セキュリティバイデザイン

システムの企画・設計段階からセキュリティを確保するための方策を組み込む考え方。後付けでセキュリティ対策を追加するのではなく、開発プロセスの初期段階からセキュリティを考慮することで、より効果的かつ効率的な対策を実現する。

システムやサービスの企画・設計段階からセキュリティを組み込む考え方。後付けでセキュリティ対策を追加するのではなく、設計時点で脅威分析やリスク評価を行い、セキュリティ要件を仕様に反映させる。開発コストの削減と高いセキュリティレベルの実現に寄与する。

システムの企画・設計段階からセキュリティを組み込む考え方。後付けでセキュリティ対策を追加するのではなく、アーキテクチャレベルでセキュリティを考慮する。脅威モデリングが重要な活動の一つ。

システムの企画・要件定義段階で、脅威分析の結果やセキュリティポリシーに基づき、必要なセキュリティ機能や非機能要件を明確化すること。認証・認可、暗号化、監査ログ、可用性などの要件を含む。

攻撃者がシステムに対して攻撃を仕掛ける可能性のある全てのポイント（入口）の総称。ネットワークポート、API、Webフォーム、ユーザーインターフェースなどが含まれ、アタックサーフェスの最小化がセキュリティ設計の基本原則となる。

システムの設計段階からプライバシー保護を組み込む考え方。カナダのアン・カブキアン博士が提唱した7つの基本原則に基づき、個人情報の収集最小化、利用目的の限定、データの匿名化などを設計に反映する。

DevOps（開発と運用の連携）にセキュリティを統合した開発手法。開発ライフサイクルの全段階でセキュリティを自動化・組み込み、CI/CDパイプラインにSAST、DAST、SCAなどのセキュリティテストを統合して、迅速かつ安全なリリースを実現する。

CI（継続的インテグレーション）はコード変更を頻繁にリポジトリに統合し自動テストを実行する手法、CD（継続的デリバリー）はビルド・テスト・デプロイを自動化し迅速にリリースする手法。セキュリティテストをパイプラインに組み込むことで、脆弱性の早期発見と修正を可能にする。

施設やオフィスを情報資産の重要度に応じて複数のセキュリティゾーンに分割し、ゾーンごとに異なるレベルの物理的セキュリティ対策を適用する手法。一般エリア、管理エリア、サーバルームなどに分け、段階的にアクセスを制限する。