DevSecOpsは、Development(開発)、Security(セキュリティ)、Operations(運用)を組み合わせた言葉であり、ソフトウェア開発手法の一つであるDevOpsにセキュリティを組み込む手法、考え方である。
DevOpsは、開発担当者と運用担当者が連携・協力しながら迅速な開発を行うための方法論・概念であるが、本番環境を短期間で変更できるようになる一方で、成果物である製品のセキュリティをどのように担保するかが課題となる。
この課題に対して、DevSecOpsは、設計からテストの開発と運用のアプリケーションのライフサイクル全体を通して、セキュリティ観点の品質確保を行う。セキュリティ対策を意識することなく自動的組み込むことで、セキュリティ実装がより上流、いわゆるシフトレフトで行われるため、以下の効果が期待される。
- セキュリティリスクや脆弱性を早期に発見、修正することによる品質向上
- テストフェーズなど後工程におけるセキュリティ考慮漏れによる開発工数の増大の回避
- 開発、運用、セキュリティが一体となった体制構築・開発基盤の構築による開発スピード向上
DevSecOpsではSAST、DAST、IASTなどのテストツール、ソフトウェア構造分析(SCA)ツールなどが主に用いられる。
DevSecOpsは近年、DXの推進などによる企業内でアプリケーション開発の内製化が進む中、DevOpsとともに、開発工程におけるセキュリティ品質を担保する手法として、関心が高まっている。
