シフトレフトセキュリティ

シフトレフトセキュリティとは、ひとことで言えば、SDLCの右側（テスト・運用）に偏りがちだったセキュリティ活動を、左側（要件定義・設計・実装）の早期段階に移動させる考え方です。たとえば、要件定義段階で脅威モデリングを実施したり、開発者のIDEにSAST（静的解析）プラグインを組み込んでコーディング中に脆弱性を検知したりします。早期発見・早期修正により、リリース後の脆弱性対応コスト（一般に100倍と言われる）を削減できます。DevSecOpsの中核思想であり、CISSPでは「セキュリティを後付けではなく組み込む」というセキュアSDLCの原則を表現するキーワードとして頻出します。