Entry № 1150
シフトレフトセキュリティ
シフトレフトセキュリティ とは何ですか?
シフトレフトセキュリティセキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
シフトレフトセキュリティは、欠陥(セキュリティ欠陥を含む)は混入箇所の近くで検出できるほど修正コストが低いという考え方に基づきます。具体的には、設計レビューに脅威モデリングを組み込み、IDE や Pull Request ごとに SAST と SCA を実行し、Infrastructure-as-Code を apply 前に解析し、ビルド時に依存関係やコンテナイメージを検証します。ランタイム防御を置き換えるものではなく補完するものであり、ランタイム側に届く問題の量と深刻度を減らすことが目的です。成功には高速かつ正確なツール、優れた開発者体験、明確な責任分担が不可欠です。
● 例
- 01
Semgrep の pre-commit フックを設定し、push 前に開発者へ検出結果を提示する。
- 02
CI で Terraform に対して Checkov を実行し、安全でないクラウド設定をブロックする。
● よくある質問
シフトレフトセキュリティ とは何ですか?
セキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
シフトレフトセキュリティ とはどういう意味ですか?
セキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
シフトレフトセキュリティ からどのように防御しますか?
シフトレフトセキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
シフトレフトセキュリティ の別名は何ですか?
一般的な別名: シフトレフト, 早期セキュリティテスト。