リリース運用や保守作業の
システム化・自動化を強力サポート!
システムライフサイクルマネジメントサービス
ソフトウェア開発において「開発スピードを上げたいがセキュリティも強化したい」というジレンマに悩む企業も多いでしょう。
この記事ではそのような企業の課題を解決するDevSecOpsの概要やDevOpsとの違い、導入メリットや成功のポイントについて解説します。
目次
DevSecOps(デブセックオプス)とは、Development(開発)、Security(セキュリティ)、Operations(運用)を組み合わせた概念で、ソフトウェア開発ライフサイクル(SDLC)の全段階にセキュリティを組み込む手法です。
従来の開発手法では、セキュリティ対策は開発完了後に実施されることが一般的でした。
しかし、この「後づけ」のアプローチでは、ぜい弱性の発見が遅れ、修正に多大なコストや時間がかかるという課題がありました。実際、開発後期に発見された問題の修正コストは、設計段階で発見された場合と比べ、数倍~数十倍の影響が生じるとされています。
こうした背景から、開発の早い段階からセキュリティを組み込む重要性が広く認識されるようになっています。
デジタル庁が2024年に公表した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」でも、システム開発の上流工程から運用工程までシームレスで一貫性のある予防的なセキュリティ対策の重要性が強調されており、この流れはDevSecOpsの考え方と軌を一にしています。※1
DevSecOpsでは、企画・設計の段階から運用に至るまで、すべての工程でセキュリティを考慮します。
この考え方は「シフトレフト」と呼ばれ、セキュリティ対策を開発プロセスの早い段階(左側)へ移行させることで、問題を早期に発見し解決できるようになります。
※1 デジタル庁「政府情報システムにおける セキュリティ・バイ・デザインガイドライン」を基に作成
DevSecOpsを理解するには、その前身である「DevOps」との違いを押さえることが近道です。
DevOpsにおいては、セキュリティは「開発が完了したものをチェックする」という独立した役割になりがちです。
いわば「DevOps+Sec」、つまり既存のDevOpsプロセスの末尾にセキュリティを付け足す形です。これは車に例えるなら、車体が完成した後に、最後にブレーキが正しく効くかを確認するようなものです。
もしそこで不備が見つかれば、解体し、原因特定を行い、修理し、関連機構の影響を調査して再組立しなければなりません。
一方、DevSecOpsはこの問題を構造から解決します。
要件定義・設計・実装・テスト・運用の各段階にセキュリティ施策を組み込み、問題が最も安く直せる段階で発見することを原則とします。
また、デジタル庁の「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」でも、上流工程でのセキュリティ対策が手戻りコストを低減することが明記されており、この考え方は公的システム開発においても標準化されつつあります。※2
※2 デジタル庁「政府情報システムにおける セキュリティ・バイ・デザインガイドライン」を基に作成
DevSecOpsに比べ従来のDevOps体制では、責任の所在やセキュリティに対する対応も大きく異なります。
具体的に、DevOpsでは、開発チームはセキュリティ対策に関与しない分業体制になりがちな場合がありました。
これに対しDevSecOpsでは、「セキュリティは関わる全員の共通目標である」という文化を重視します。
特定の専門家に責任を委ねるのではなく、開発者自身が自分の書いたプログラムの安全性を常に意識し、運用担当者も共にリスクを監視します。チーム全員が同じ目線で「信頼されるサービス」を作り上げるための組織的な変革こそが、DevSecOpsの本質なのです。
DevOpsにおける自動化は、主にプログラムの組み立てや本番環境への反映といった「作業」の効率化に焦点が当たります。
しかし、セキュリティの確認については、依然として専門家による手作業や、人が時間をかけて行う審査に頼っているケースが見られる場合もあるでしょう。
DevSecOpsでは、この「確認」のプロセス自体をシステムの中に標準として組み込みます。
プログラムが新しく更新されるたびに、システムが裏側で自動的に安全性をスキャンし、更新部品の安全基準だけでなく、機能全体の安全性をチェックします。
これにより、人の目によるチェック待ちという渋滞を解消し、常に高い安全性を維持したまま、止まることなく開発を継続できる基盤を構築するのです。
ここでは、DevSecOpsの導入効果について解説し、実際にどのような変化が生じるかをお伝えします。
DevSecOpsは要件定義・設計・実装・テスト・運用の各段階にセキュリティ施策を組み込みます。
そのため、セキュリティ起因の手戻り工数が大幅に削減されます。
従来はリリース直前に発覚したぜい弱性への対処に多くの工数が費やされていた場合、各工程でのセキュリティチェックを行うことで、その工数を減らすことが可能でしょう。
セキュリティインシデントが発生した後の対応コストは、予防コストを上回ることが考えられます。
情報漏えいが発生した企業が負担するコストには、システム修復費用だけでなく、顧客通知・信用回復・訴訟リスク対応・業務停止損失などが含まれ、大きな損害が出ることも珍しくありません。
従来のDevOpsではセキュリティは「開発が完了した後に、最後にチェックするもの」という位置づけでしたがDevSecOpsでは開発プロセスの各段階でセキュリティチェックを行うため、潜在的なリスクを早期に発見・対応できる回数が増え、結果的にセキュリティインシデントの発生確率を大幅に低減できるでしょう。
IPA「情報セキュリティ10大脅威 2025」において、「サプライチェーンや委託先を狙った攻撃」は7年連続で脅威にランクインしています。※3
実際の業務において自社のセキュリティをいくら強固にしても、開発委託先や利用しているOSS(オープンソースソフトウェア)ライブラリにぜい弱性があれば、そこが攻撃の入り口となってしまいます。
ただ、現代のシステム開発において、これら外部コンポーネントのリスクを完全に排除することは困難です。
だからこそ、DevSecOpsによる「継続的な監視」が不可欠となります。
具体的には、SCA(ソフトウェア構成分析)ツールをCI/CDパイプラインに統合することで、日々発見されるOSSのぜい弱性を自動でチェックし続けることが可能になります。
これにより、サプライチェーン上のリスクをいち早く察知し、迅速な対応へとつなげられるようになります。
※3 IPA「情報セキュリティ10大脅威2025」を基に作成
企業が経験する課題として「ISO/IEC 27001やSOC2などの認証審査が近づくたびに、証跡集めに追われる」という状況があります。
これは、セキュリティの実施状況を日常的に記録・可視化する仕組みがないことが原因です。
DevSecOpsを導入する際に、開発プロセスのすべての工程でセキュリティ検査を自動化することで、その結果が継続的にログとして蓄積されます。つまり、審査前に慌てて証跡を集める必要がなく、日常の開発活動そのものが審査対応のエビデンスとなります。
金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」でも、セキュリティ対策の実施状況を継続的に記録・報告する体制が求められており、DevSecOpsの実践がそのまま規制対応の証跡整備につながる構造が生まれます。※4
※4 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」を基に作成
DevSecOps導入以前の組織では、開発者にとってセキュリティ部門は「承認をもらうために通らなければならない部門」として認識されがちです。
審査に時間がかかる、指摘が多い、リリースが遅れる——こうした経験が積み重なると、セキュリティに対する現場の抵抗感が高まり、形式的な対応だけが横行するようになります。
DevSecOpsが根付いた組織では、このような認識が変わります。
開発者はセキュリティ検査結果をリアルタイムでフィードバックとして受け取り、問題を自ら即座に修正できます。セキュリティ担当者は「問題を指摘する人」から「安全な開発をサポートする人」へと役割が変化するでしょう。
DevSecOpsには多くのメリットがある一方で、以下の3つのような課題も存在します。
DevSecOpsが機能するには、開発・運用・セキュリティの三領域を横断的に理解したうえで、CI/CDパイプラインの設計・運営まで担える人材が必要です。
しかし、こうした複合スキルを持つ人材は国内で圧倒的に不足しており、採用市場でも即戦力の確保は容易ではありません。
IPAの「DX動向2024」では、DXを推進する人材(セキュリティ領域などを含む)の「大幅に不足している」「やや不足している」と回答した企業が全体の8割超(85.7%)にのぼると報告されており、人材不足は年々深刻化しています。※5
また、中小企業では「そもそもセキュリティの担当者が自分一人」という状況も珍しくありません。
社内に詳しい人材がいないと、開発者への教育が進まず、ツールを導入しても適切に運用できないまま放置されるリスクが生じます。
そのため、セキュリティ人材がいない場合は外部の専門家との連携と社内育成を組み合わせながら、対応力を段階的に高めていきつつ採用に力を入れるアプローチが現実的です。
※5 IPA「DX動向2024」を基に作成
DevSecOpsが求めるのは、「セキュリティは専門チームが最後に確認する仕事」という常識を覆すことです。
具体的には、開発者・運用担当者・セキュリティ担当者が対等に連携し、各自の工程でセキュリティに責任を持つ体制を作るという意識が不可欠でしょう。
しかしこの変化は、技術的な整備よりも難しい場合があります。
長年「セキュリティは別部署の仕事」として機能してきた組織では、慣れ親しんだ役割分担を崩すことへの抵抗感が生まれやすく、特に成果を上げているチームほど「今のやり方を変えたくない」という心理が働きます。
経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」では、経営層が主導してセキュリティを組織の共通責任として位置づけることの重要性を強調しています。※6
つまり、DevSecOpsの文化的な定着には、トップダウンのメッセージ発信と、現場レベルでの継続的な対話・研修の両輪が必要と言えるでしょう。
※6 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」を基に作成
DevSecOpsの実装には、SAST、DAST、SCAといった多様なセキュリティツールのパイプライン統合が欠かせません。
しかし、これらは単に「導入すれば動く」ものではなく、自社の開発言語やパイプライン構成との適合性を慎重に見極める必要があります。
というのも、多くのツールは初期設定のままだと「少しでも怪しいものはすべて報告する」という非常に厳しい基準で動くからです。
また、自社のルールに合わせた「除外設定」や「優先順位づけ」を行わないまま稼働させると、修正不要な箇所まで「危険」と判定されてしまいます。
こうした設定の調整を怠ると、現場は大量の「アラート過多」に陥ります。
誤検知(フェイクアラート)が常態化すると、開発者は次第にアラートを「ノイズ」として無視するようになり、本来検出すべき重大なリスクまでもが見過ごされてしまいます。
結果として、ツールの導入がかえってセキュリティ品質の低下を招くという、本末転倒な事態に陥りかねません。
このような失敗の背景には、ツールを入れること自体が目的化し「検知したリスクを誰が・いつ・どう判断し改善するか」という運用設計の欠如があります。
単にツールを動かすだけでなく、状況を測定し、設定を改善し続けるサイクルまでを含めて計画することが、DevSecOpsを形骸化させないための大前提となります。
ここではDevSecOpsの国内企業の事例を3つご紹介します。
DevSecOpsにより、どのような効果があるのかを事例を通じてご認識いただければと思います。
グローバルに事業を展開するある製造業の企業では、業務システムの数が200を超えるほど肥大化しており、長年にわたって使い続けてきた自社製フレームワークに大きく依存した開発体制が続いていました。
既存システムの運用・保守に多くのリソースが割かれる中で、セキュリティ対応は年に1回程度のバージョンアップやぜい弱性対応にとどまっており、リリース直前になって問題が発覚し、対応に追われるというサイクルが常態化していたのです。
こうした状況を変えるべく、同社はアプリケーションのモダナイズに着手。開発プロセスの早い段階にセキュリティチェックを組み込む「シフトレフト」のアプローチを採用し、セキュリティテストが自動で走る仕組みを整備しました。また、それまで手作業で行っていたデプロイ作業もCI/CDパイプラインによって自動化され、ヒューマンエラーの削減やリリース頻度の向上にもつながっています。
導入後は、リリース直前に問題が発覚するケースが大幅に減り、開発者が日々の作業の中で自然とセキュリティを意識するようになるという文化的な変化も生まれました。「セキュリティは最後に確認するもの」という旧来の意識から脱却し、開発の上流段階からセキュリティを組み込むDevSecOpsの実践が、品質向上とリリースの安定化を同時に実現した事例です。
ITシステムの開発・運用を複数の事業部門にまたがって担うとある企業では、チームごとに異なる開発ツールを使用していたため、職場ローテーションや新規参入者への教育コストが増大し、担当者を横断したノウハウの共有も阻害されていました。
特にセキュリティ管理の面では、セキュリティチェックが開発プロセスに組み込まれておらず、ぜい弱性が検出された際の対応が人に依存し、対応基準が確立されていない状況にありました。
こうした課題を解消するため、同社は開発・テスト・リリース・セキュリティチェックといった一連の工程を単一のプラットフォームに集約する取り組みを推進しました。
ツールの統合により複数ツールの教育コストを削減し、担当者間のノウハウ共有を促進しました。
さらに、セキュリティスキャンをCI/CDパイプラインに組み込んだことで、コードの変更をトリガーとした自動的なぜい弱性検出が可能となり、自動的に重要度を分類し、重要度ごとに統一された対応ルールを適用する仕組みとすることで対応基準の明確化にもつながっています。
結果として、DevOps+SecからDevSecOpsへの転換が実現し、開発担当者がセキュリティを「自分ごと」として意識する文化の醸成にも寄与した事例です。
金融機関においても、DevSecOpsの実践により開発生産性とセキュリティの強化を同時に推進する動きが広がっています。
とあるデジタルバンクでは、内製開発を推進する方針のもと、GitLabをSDLC全体の中核プラットフォームとして採用しました。
CIパイプラインへのSAST・ぜい弱性スキャンの組み込みと、GitOps(Git操作を起点にシステムを自動反映する仕組み)による本番デプロイ体制の整備により、強固なセキュリティと開発スピードの両立を推進しています。
さらにAI駆動開発環境として複数のLLMを組み合わせ、コード生成を中心にAIを使用した開発フローを段階的に展開しました。
これらにより、エンジニアフレンドリーな環境構築につながっています。
DevSecOps導入の成否を分けるのは、ツールの選定や技術力だけではありません。
導入を成功させるためには3つのポイントがあります。
DevSecOpsを導入する際「とりあえずツールを導入して始める」アプローチでは、しばらく経ってから「何が改善したのかわからない」という状況に陥る可能性があります。
そのため、導入を成果につなげるために最初にすべきことは、ツールの選定ではなく「現状の何に課題があるかの明確化」です。
DevSecOpsの導入を検討するきっかけとして、「セキュリティレビューがリリースのボトルネックになっている」「ぜい弱性の発見が遅く、修正コストが高い」といった課題が挙げられることがあります。
まず開発チームとセキュリティ担当者が共同で、現在どの工程でぜい弱性が検出されているか、発見から修正までに平均何日かかっているか、セキュリティ起因のリリース遅延は月に何件発生しているかなど、ベースラインとなる数字をチーム全体で記録することから始めましょう。
そのうえで、具体的に課題を解決できるツールは何かを検討する必要があります。
組織全体にセキュリティを浸透させるうえで、最も効果的な仕組みの一つが「セキュリティチャンピオン制度」の導入です。
これは、各開発チームにセキュリティに関心・知識を持つメンバーを1名指名し、チームとセキュリティ専門部門の橋渡し役を担わせる取り組みです。
セキュリティ専門家が全チームに介入するのはリソース的に限界がありますが、チームの内部に「詳しい人」がいることで、「これはセキュリティ的に問題になりますか?」という会話が日常的に発生するようになります。
全員を専門家にする必要はなく、「専門家につなげられる人」が各チームにいるだけで、問題の早期発見率は大きく上がります。
セキュリティ改善の前提として位置づけられており、セキュリティチャンピオン制度はこの考え方を現場レベルで具現化する手法といえます。
DevSecOpsの導入を全社一括で展開しようとすると、関係者が多すぎて合意形成に時間がかかり、結局何も動かないという事態になりかねません。
まずは1つのチーム・1つのプロジェクトで機能するモデルを作り上げ、そこから会社全体に広げていくアプローチが有効です。
「小さく試して、成果を見せる」というステップを踏むことで、失敗リスクを抑えながら組織として学習する機会を生み出せます。
最初のチームが「リリース遅延が減った」「ぜい弱性の指摘件数が大幅に減少した」という具体的な成果を社内で共有できれば、他チームの自発的な参加も自然と促せます。
従来のセキュリティ対策は、システムを完成させてからぜい弱性を見つけて修正する「後手の対策」が中心で、まさに「イタチごっこ」といわれる状況が続いていました。しかし、この方法ではリリース直前に重大なぜい弱性が発見されると、大幅な手戻りや納期遅延が発生してしまうリスクがあります。
そこで、最新のセキュリティ対策は「穴を開けない先手の対策」へと大きくシフトしており、開発の初期段階からセキュリティを組み込むDevSecOpsの考え方が注目を集めているのです。
このような背景から、株式会社日立システムズは2026年度に「システムライフサイクルマネジメントサービス」リリースバージョン管理(RVN)の機能拡張を予定しており、生成AIを利用したDevSecOpsプラットフォームとして、企業のセキュリティ対策を根本から変革します。
機能拡張の特長は、世界10万社以上が導入し3,000万以上のユーザーが利用するDevSecOpsのパイオニアであるGitLabとの協業により、「外部接続せず」に「開発プロセス全体」で生成AIを利用できる点です。
本機能を従来のリリース管理(RVN)に連携することで、GitLabにて品質が担保されたアプリケーションを、責任者がWeb上で確認しながら安全に本番環境にリリースすることが可能となります。
具体的には、開発段階からAIコーディングやAIソースレビューで、セキュリティぜい弱性の自動検出とリスク評価を行うため、開発プロセスの早い段階でセキュリティ対策を講じられます。
またGitLabが提供する強力なAI機能により、コードの潜在的な問題点や改善案を自動で提示してくれるため、レビュー工数を削減しながらバグの発見率を向上させ、開発者はセキュリティを意識しながらも本来の開発業務に専念できるのです。
さらに、開発段階でぜい弱性を見つけるツール(SAST)や、実際にアプリケーションを動かしながら問題を検出するツール(DAST)、依存関係スキャン、コンテナスキャン、IaCスキャンといった複雑なセキュリティ診断を、CI/CDパイプラインに統合して自動実行できます。
これにより、複雑な作業を必要とせず迅速なセキュリティ対応が実現し、ダッシュボードで診断結果やリスクを可視化できるため、経営層でも現状のセキュリティ状況を一目で把握できるでしょう。
またローカル環境で安全にAI機能を利用できるため、機密性の高いソースコードを外部に送信する心配がなく、金融機関や製造業など高度なセキュリティが求められる企業でも導入できるでしょう。
DevSecOpsは、開発・セキュリティ・運用を一体化し、開発プロセスの全工程にセキュリティを組み込む手法です。従来の「開発完了後にセキュリティを確認する」アプローチから脱却し、問題を早期に発見・修正することで、開発スピードの向上とセキュリティ強化の両立を実現します。
導入によって、セキュリティ起因の手戻り削減、インシデントリスクの低減、サプライチェーンの継続的な監視、監査証跡の自動蓄積など、多くの効果が期待できます。一方で、横断的な人材の不足や組織文化の変革、ツールの適切な運用設計といった課題も存在します。
導入を成功させるためには、まず現状の課題を数字で明確にし、セキュリティチャンピオン制度で現場とセキュリティ専門家をつなぎ、1つのチームで成功体験を作ってから全社に広げるという段階的なアプローチが有効です。
ツールの導入はあくまで手段であり、「なぜDevSecOpsを導入するのか」という目的の明確化こそが、導入成功の第一歩といえるでしょう。
リリース運用や保守作業の
システム化・自動化を強力サポート!
詳細説明や操作デモなどに関するお問い合わせは、こちらからお気軽にご相談ください。
運用のプロフェッショナルがお悩み解決をサポートします。
※ 記載の会社名、製品名はそれぞれの会社の商標もしくは登録商標です。
※ 製品の改良により予告なく記載されている仕様が変更になることがあります。
※ GitLabは米国およびその他の国におけるGitLab Inc.の商標です。
