DevSecOps

DevOpsの開発プロセスにセキュリティ（Sec）を組み込む手法。開発の初期段階からセキュリティを考慮し、自動化されたセキュリティテストやコード分析をCI/CDパイプラインに統合する。

DevOpsの開発ライフサイクル全体にセキュリティを統合するアプローチ。開発の初期段階からセキュリティテストや脆弱性チェックを自動化し、セキュリティをチーム全員の責任とする。シフトレフトの考え方を適用する。

CI（継続的インテグレーション）はコード変更を頻繁にリポジトリに統合し自動テストを実行する手法、CD（継続的デリバリー）はビルド・テスト・デプロイを自動化し迅速にリリースする手法。セキュリティテストをパイプラインに組み込むことで、脆弱性の早期発見と修正を可能にする。

システムの企画・設計段階からセキュリティを組み込む考え方。後付けでセキュリティ対策を追加するのではなく、開発ライフサイクルの初期段階からセキュリティ要件を考慮することで、コスト削減と高いセキュリティ水準の両立を図る。

プログラムの入力に大量の予期しないデータ（ファズ）を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

ソースコードやバイナリを実行せずに解析し、セキュリティ上の脆弱性を検出するテスト手法。開発の早い段階で脆弱性を発見でき、CI/CDパイプラインに組み込んで自動実行される。SQLインジェクションやバッファオーバーフローなどのコーディング上の問題を検出する。

セキュリティ運用の自動化・効率化を実現するプラットフォーム。脅威インテリジェンスの活用、インシデント対応ワークフローの自動化、複数のセキュリティツールの統合管理を行い、SIEMと連携して運用負荷を軽減する。

サーバやネットワークなどのインフラ構成をコード（定義ファイル）で管理する手法。バージョン管理、自動テスト、再現性のある環境構築が可能になる。セキュリティの観点では、設定ミスの防止、セキュリティポリシーのコードレビュー、構成のドリフト検知に有効。