Wiz
すべての記事

セキュアSDLC

Swaroop Sham
安全なコーディングチートシートを入手するWiz Defendを試す

Secure SDLCとは何ですか?

セキュアSDLC(SSDLC)は、開発ライフサイクル全体にわたってセキュリティ設計、ツール、およびプロセスを統合することにより、ソフトウェアセキュリティを強化するためのフレームワークです。

この記事では、'では、セキュアSDLCのフェーズについて説明し、独自のワークフローを開発するためのベストプラクティスをいくつか紹介します。

Secure Coding Best Practices [Cheat Sheet]

In this 11 page cheat sheet we'll cover 10+ essential security topics, offering practical steps for areas like API security, input validation, and containerized application protection—ideal for both beginner and advanced users.

セキュアSDLCとは?

セキュアSDLCは、あらゆるフェーズでセキュリティ上の懸念を考慮することで、ソフトウェア開発ライフサイクル(SDLC)を強化します。 これは、ソフトウェア製品に関与するすべてのチームのセキュリティを主要な責任にすることを目的としています。 要件、設計、構築、テストの各段階にセキュリティを含めることで、誰もが最初からセキュリティの問題に意見を述べることができ、予期せず問題が発生する可能性が低くなります。

セキュアSDLCは、最新の開発および展開方法に合わせて拡張できる包括的なセキュリティアプローチを提供するため、重要です。 ソフトウェアツールチェーンは、オープンソースコンポーネント、外部API、クラウドインフラストラクチャなど、ますます複雑化しています。 だからそれ'セキュリティが継続的に考慮されることが不可欠です。 セキュアSDLCは、セキュリティをプロセスの第一級の部分にすることで、これを保証します。

セキュアSDLCを使用している組織は、このモデル以来、全体的なセキュリティを向上させています。 より多くの脅威を早期に捕捉することでリスクを軽減—製品に侵入する前に。 また、スループットの向上 (セキュリティ問題の修正に費やす時間が短縮されるため) だけでなく、コストが削減され、コンプライアンスの問題にさらされる可能性が低くなります。 

Catch code risks before you deploy

Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.

Wiz がお客様の個人データをどのように取り扱うかについては、当社のプライバシーポリシーをご確認下さい: プライバシーポリシー.

セキュアSDLCの仕組み

セキュアSDLCは、確立された5フェーズSDLCモデルに基づいて構築されています。

  1. 要件の定義

  2. 設計

  3. コーディング

  4. テスティング

  5. 配備

この伝統的な方法では、'セキュリティがどこに当てはまるのかが不明瞭です。 その結果、セキュリティはデプロイ前のチェックリストタスクに追いやられることが多く、本番環境でリスクが見つかるまでまったく対処されません。

セキュアSDLC セキュリティを左にシフト SDLCの5つのフェーズすべてに。 これにより、要件の初期定義から開発および展開タスクまで、セキュリティが常に優先されます。

1. セキュリティで保護された要件

要件フェーズ は、自分が何であるかを定義することがすべてです'構築し、それが解決する問題を再構築します。 それ'ここでは、機能スコープと、使用するテクノロジ (プログラミング言語やフレームワークなど) に関する固定された制約を決定します。

セキュアSDLCとは、このフェーズの一環としてセキュリティ要件も特定し、定義する必要があることを意味します。 これらには、システムが依存する特定のセキュリティメカニズム(機密性の高い個人データの適切な暗号化など)に加えて、遵守する必要があるコンプライアンス標準が含まれます。 RBAC の使用 不正アクセスを防止するため。

2. セキュアな設計

設計フェーズでは、要件を実装可能な実現可能なソリューションに変換します。 それ'ここで、どのように決定するかを決定します。'ツールとテクノロジーを組み合わせて有用な機能を構築することで、要件を達成します。

システムの設計を成功させるには、製品、ビジネス、エンジニアリング、セキュリティの各チームにわたる複数の関係者の関与が必要です。 プロダクトマネージャーは、特定のユーザーエクスペリエンスを通じて要件を満たすことを望んでいるかもしれませんが、開発者はソフトウェアアーキテクチャを好みます。'sが使用されます。 しかし、これらすべてのさまざまな意見に加えて、'セキュリティ要件がどのように満たされるか、および他の決定によって影響を受けるかどうかを検討することが不可欠です。

したがって、セキュアなSDLCでは、設計段階を通じてセキュリティ入力を照合し、評価する必要があります。 設計の変更には、セキュリティ モデルの再評価が必要です。 それ'ビルド中に発生する可能性のあるセキュリティ上の懸念を未然に防ぐことが重要です。そうでなければ、'早期に軽減された場合、開発者はそれらに対処するための準備ができていない可能性があり、その結果、製品に脆弱性が到達する可能性があります。

プロのヒント

Wiz’s agentless SBOM allows you to gain complete visibility of your applications’ components, including packages, open-source libraries, and nested dependencies, without blind spots and deploying an agent.

詳細はこちら

3. 安全なコーディング

設計が承認されると、SDLCはビルドフェーズに移行します。 ここでは、選択したデザインを実行するためのコードが記述されます。

安全なSDLCの場合、 セキュリティの問題を防ぐために、安全で防御的なコーディング手法を使用する必要があります. 次に、これには、コードの安全でない領域を特定し、それらがデプロイされないようにするツールとプロセスを使用する必要があります。

安全なコーディング手法には、次のものがあります。

  • 入力を正しくサニタイズする

  • シークレットをハードコーディングしない

  • 使用 SASTソリューション 潜在的なバグや脆弱性を見つけるため

  • フレームワークとプログラミング言語の既存のセキュリティガイドラインに準拠する

また、依存しているオープンソース・コンポーネントは、定期的なソフトウェア・コンポジション分析 (SCA) スキャンの対象となり、古い依存関係、脆弱な依存関係、または非準拠の依存関係を特定できるようにする必要があります SBOMの.

なぜなら、自動化は今でもできるからです'すべての障害を見つけると、'デプロイする前に、セキュリティ上の問題がないかコードを確認することが不可欠です。 セキュリティ専門家によるレビューを含む、複数の必須レビューなどのポリシーを実装することで、見落としのリスクを最小限に抑えることができます。

4. セキュリティテスト

包括的なテストは、ソフトウェアが設計どおりに機能するだけでなく、安全で安全に使用できることを確認するために不可欠です。 セキュアSDLC内では、テストは次の業種をカバーする必要があります。

  • 開発者による手動テスト

  • 本番環境のようなインフラストラクチャでの大規模なテスト

  • セキュリティチームによる監査

  • ペネトレーションテスト

  • セキュリティと脆弱性のスキャン

安全なコーディングを実践するということは、発見すべき脆弱性が比較的少ないことを意味します。 ただし、ランタイムの脆弱性など、開発サイクル中に検出できない問題もあります API で これらは、アプリがデプロイされているクラウド環境でのみ悪用できます。

つまり、自動テスト、セキュリティスキャン、ペネトレーションテストの組み合わせが重要です。 問題が検出された場合は、SDLCを設計/構築フェーズに短縮して、ライブ展開が行われる前に修復できるようにする必要があります。

5. 導入とメンテナンスのための継続的なセキュリティ

最新のSDLCは、アプリケーションによって連続的です'のライフサイクルは、通常、最初の起動から数年間延長されます。 ソフトウェアを出荷し、 "仕事は完了しました" はとうの昔になくなっています。

したがって、セキュアSDLCでは、本番環境で実行されているアプリや、次のような関連インフラストラクチャに対して継続的なセキュリティカバレッジが必要です CI/CD パイプラインとして. システムに影響を与える新しい脆弱性が発見されたり、クラウド環境の変更によってセキュリティ上のリスクを生み出す設定ミスが発生したりする可能性があります。

デプロイ後もセキュリティを維持するために、DevOpsチームはアプリケーションを監視し、変化するリスク状況を正確に把握できるソリューションを必要としています。 自動アラート、推奨されるアクション、検出された脅威の包括的な可視性 - すべて クラウドセキュリティポスチャマネジメント(CSPM) プラットホーム—新しい脅威を常に通知し、SDLC内の一貫した解決努力をサポートします。

さらに、監視ソリューションによって表面化されたリスクデータは、安全なSDLCを通る次のループの開始を通知する必要があります。 検出された脆弱性を分析して優先順位を付けた後、新しい要件を定義し、セキュリティを強化するために設計を調整し、改善を開発およびテストできます。 これにより、ソフトウェアのリスクが大幅に軽減されます'の寿命。

Wizアカデミー

CI/CD Pipeline Security Best Practices 2025

もっと読む

セキュアSDLCの主要分野

安全なSDLCを実現するには、プロセスのできるだけ多くの領域にセキュリティを統合する必要があります。 安全なエンドツーエンドのソフトウェア配信は、各ステップが適切な制御によって保護されているかどうかにかかっています。

開発チーム

開発チームは、'セキュリティを自動的に理解することが期待されます。 トレーニングとリスク認識プログラムを提供することで、エンジニアを教育し、セキュリティ上の問題が発生する可能性のある場所を予測するのに役立ちます。 これにより、多くの種類の問題を防ぐと同時に、問題が検出されたときに軽減策を適用するための開発者の装備も向上します。

開発者にセキュリティの責任の一部を分担させることで、シフトレフト効果が生じます。 これは、コードの作成時にセキュリティが継続的に考慮されることを意味します。 開発者は、作業中に潜在的な問題を発見して解決することができ、セキュリティ修正プログラムを追加する必要はありません。'別のチームによって報告されました。 これにより、サイロが解消され、配信のフィードバックループが強化されます。

安全なコード

ソフトウェアは、'コードに脆弱性や設定ミスが含まれている場合は、安全です。 残念ながら、ハードコードされたシークレットやインジェクション攻撃などの問題は、'自動化を使用して簡単に検出できます。

コードのセキュリティ保護は、開発者を適切にトレーニングし、残りの欠陥を見つけることができるスキャンツールで開発者をサポートすることに帰着します。 開発者は、特定のコーディング手法を使用することの影響と、アプリのデプロイ時にセキュリティの問題にどのようにつながる可能性があるかを知る必要があります。

コードは常に変化しているため、長期的な安定性を保証するために自動テストスイートを使用する必要があります。 そうしないと、あるサブシステムの変更が誤って別のサブシステムのセキュリティ問題につながる可能性があります。 堅牢なツールチェーンと明確に定義された組織の作業方法を組み合わせることで、コードの一貫性が向上し、セキュリティの問題が軽減されます。

The State of Code Security [in 2025]

From exposed secrets and public repositories to risky CI/CD practices, our research reveals that the convenience of modern development often makes security more challenging.

Get Report

セキュリティ基準

セキュアSDLCのかなりの部分は、すべてのチームに適用されるセキュリティ標準の設定、文書化、および遵守に関係しています。 全員が同じベースラインに対して作業していることを確認するには、次のような基本的な要件が必要です。 暗号化は、常に満たされます。

セキュリティ標準を有用にするには、達成可能で、現実的で、測定可能である必要があります。 曖昧な言葉は'ここで役に立つので、 "重大または重大度の高い脆弱性を追加しない新しい PR、" じゃない "新しいコードはセキュリティで保護する必要があります。" また、標準設定プロセスには、セキュリティの専門家、開発者、製品マネージャーなど、顧客のセキュリティに対する期待を理解しているさまざまなチームからのインプットも必要です。

セキュアなソフトウェア

優れたソフトウェアはそうあるべきです セキュア・バイ・デザインこれは、セキュア SDLC モデルが提唱していることです。 これは究極的には、単にセキュリティの問題を予測し、早い段階で開発者を巻き込むだけではありません。

安全なソフトウェアは、真のセキュリティファーストの精神に基づいている必要があります。 つまり、セキュリティに悪影響を与える可能性のある機能は、たとえ'ビジネスリーダーや顧客から特に要求されています。 セキュリティに重点を置くことで、リスクが軽減され、あなたとあなたの顧客がセキュリティインシデントに直面する可能性が低くなるため、時間の経過とともにコストが削減されます。

同様に、'SDLCを厳守することが重要ですが、たとえ機能を完成させるために近道をしたくなるような場合でも、SDLCを厳守することが重要です。 これは、適切なスキャン、レビュー、監査が実施されていれば回避できたはずのセキュリティ上の問題で機能が起動した場合、逆効果になります。

ユーザーインターフェース

セキュアSDLCで見落とされがちなのが、提供するユーザーインターフェース(UI)です。 安全でない選択を簡単に行える UI (多要素認証のないアカウントの使用や有効期限のない API キーの使用を許可するなど) は、セキュリティの脆弱性にさらされる可能性を高める可能性があります。

それ'このシナリオでは、責任のなすり合いをすることができます。 結局のところ、それはユーザーでした'安全でない API キーを作成するための選択。 しかし、そのキーが漏洩したり、悪用されたり、悪意のあるトラフィックをサービスに誘導するために使用されたりした場合、複数の顧客に影響を与えるインシデントに直面する可能性があります。

したがって、ユーザー・インターフェースでオプションなしのセキュリティー・デフォルトを適用すると、SDLC のセキュリティーに影響します。 安全でない選択を行う機能を排除することで、開発者がインシデントに対処するために時間を割かなければならないリスクが軽減されます。

セキュリティリスクの管理

安全なSDLCを維持できるかどうかは、新しいリスクが発生したときに、どれだけうまくトリアージして軽減できるかにかかっています。 専用のリスク管理ソリューションを使用することで、脅威の状況の変化を可視化し、SDLCの将来の改善について正確な決定を下すことができます。

たとえば、'サードパーティの依存関係に多数の脆弱性がある場合は、それらの機能の代替パッケージを探すことをお勧めします。 また、ソースコード内で検出された脆弱性 (ハードコードされたシークレットなど) は、開発者にトレーニングを提供し、コードのセキュリティを向上させるために新しいスキャン ツールを採用する必要があることを示している可能性があります。

Protect The Software Supply Chain

Secure all components of your software supply chain with full visibility into software bill of materials and risk assessment across container and machine images, IaC templates, and code repositories.

Learn more

セキュアSDLCのベストプラクティス

ここでは、SDLCを保護するための推奨アクションをいくつか紹介します。

  • セキュリティを左にシフトする: セキュリティをシフトレフトすることが最初のステップです。 みんなまで'セキュリティに関与する場合は、次のことができます。'リスクの予測、検出、修正に完全に包括的なアプローチを取る。

  • セキュリティファーストの文化を確立する: セキュリティファーストの文化とは、誰もがセキュリティについて考え、自分の決定がセキュリティにどのような影響を与えるかを考えていることを意味します。 これにより、新しい製品機能やコード変更によって既存のサービスに脆弱性が生じるリスクが最小限に抑えられます。

  • 組織内のセキュリティプラクティスを標準化します。 セキュリティ制御は、その有効性を最大化するために、一元化され、一貫性のあるものでなければなりません。 セキュリティ要件と作業方法を標準化し、誰もが簡単に参照できるように文書化します。

  • 過去の経験に基づいて継続的に改善する: アプリケーションは'また、セキュリティ体制も静的ではありません。 脅威を継続的にスキャンし、問題を分析して、安全なSDLCの弱点を明らかにする傾向を特定します。 プロセスを反復して改善し、リスクエクスポージャーを減らします。

  • 確立された安全なSDLCフレームワークを参照してください。 安全なSDLCをどこから始めればよいかまだわかりませんか? NIST などの確立されたフレームワークのレビュー's セキュアソフトウェア開発フレームワーク(SSDF) とOWASP's 包括的で軽量なアプリケーションセキュリティプロセス(CLASP) は、一般的な種類のアプリケーションやフレームワークに役立つガイダンスと例を提供します。

これらのヒントにより、ソフトウェア配信プロセス全体のセキュリティ向上を推進できます。

安全なクラウド開発プロセスの運用化を成功させることが、クラウドセキュリティプログラムを拡張するための鍵となります。 code scanning や in-code remediation などの機能は、リスクをより迅速に修正し、コストのかかる運用上の問題をソースで防ぐことができるため、クラウドネイティブなセキュリティと開発の真の約束を実現します。 この精神に基づき、Wizは、シンプルで直感的なプラットフォームでお客様がDevSecOpsの概念を完全に受け入れることができるようにするという継続的な取り組みを示しています。

概要

セキュアSDLCは、セキュリティをシフトレフトし、ソフトウェア開発ライフサイクルのすべてのフェーズの一部にします。 このモデルでは、要件段階でセキュリティを意識的に計画し、安全なコーディングによって製品に適用し、安全な展開方法を使用して運用環境で維持することで、リスクを軽減します。

安全なSDLCアプローチは、誰もがセキュリティに責任を持つことを意味します。 これにより、問題を早期に発見する機会が増え、脆弱性の数が最小限に抑えられます'長期的には遭遇します。 すべての開発者がセキュリティの期待について知らされると、'新たなリスクをもたらす可能性が低くなります。 同様に、脅威が現れても、専門家のセキュリティガイダンスを待つことなく、チームの誰もが迅速に解決できます。

ウィズ'SSDLCへのアプローチ

私たち'の発売を発表できることに興奮しています Wizコードは、コードからクラウドまでのセキュアソフトウェア開発ライフサイクル(SSDLC)を強化するために設計された最新のイノベーションです。

Watch 5-min demo: How Wiz secures code development

Fix security issues directly in your IDE, pull requests, or CI/CD to prevent risks from reaching your cloud. See it for yourself.

SDLC全体でセキュリティをシームレスに統合

Wiz Codeは、クラウドセキュリティプラットフォームを開発のあらゆる段階に拡張し、次のことを可能にします。

  • セキュリティをシフトレフト: IDE とプルリクエストで直接リアルタイムのセキュリティフィードバックを取得し、クラウドの洞察で強化します。

  • セキュリティポリシーの統合: 拡張された統合ポリシーエンジンにより、SDLC全体に一貫したセキュリティ制御を実施します。

  • 修復の迅速化:開発者ワークフローへの緊密な統合とワンクリックの修正提案により、クラウドの問題をより迅速に修正します。

  • Code-to-Cloud および Cloud-to-Code のマッピング: セキュリティ グラフを活用して、コード リポジトリと CI/CD パイプラインをクラウド環境に接続し、問題の優先順位を迅速に付けます。

  • セキュリティポスチャ管理の拡張: CI/CD パイプラインのセキュリティを可視化し、開発全体を通じて堅牢なセキュリティスタンスを確保します。

セキュアSDLCの主な利点

  • コード環境とクラウド環境の両方の全体的なセキュリティ体制を改善

  • スタック全体にわたるセキュリティ問題の修復を迅速化

  • シームレスなセキュリティ統合による開発者の生産性の向上

  • 潜在的な脅威にさらされる時間を減らす

  • 開発者がワークフロー内のセキュリティの所有権を持てるようにする

Wiz Codeを使用すると、セキュリティを真にシフトレフトして、より安全なアプリケーションを作成し、全体的な脅威のフットプリントを削減し、市場投入までの時間を短縮できます。