この章で学べること
1. なぜDevSecOpsを学ぶのか
セキュリティを後回しにすると、リリース直前で大量の脆弱性が発覚したり、本番運用後に重大なインシデントが発生したりして、対応コストが大きく膨らみます。DevSecOpsでは、開発の早い段階からセキュリティを組み込み、CI/CDパイプラインで自動的に脆弱性を検出することで、安全性とリリーススピードを両立させます。
この章では、SAST・SCA・DASTといった代表的なセキュリティ検知手法を理解し、GitHub ActionsやAWSのサービスを使って実際にCI/CDパイプラインへ組み込むまでを段階的に学びます。
2. 学べること・身につくこと
この章を修了すると、以下のスキルが身につきます。
| スキル | 内容 |
|---|---|
| DevSecOpsの基礎 | Shift Leftの考え方とSAST/SCA/DASTを含む代表的な検知手法の役割と使い分けを理解できる |
| SASTの組み込み | GitHub ActionsからSemgrepでソースコードの脆弱性を自動検出できる |
| AI統合セキュリティレビュー | AWS Security Agentで設計レビュー・コードレビュー・ペネトレーションテストをAIに統合実行させられる |
3. こんな方におすすめ
- セキュリティを開発プロセスに組み込み、Shift Leftを実践したい方
- リリース前に脆弱性を自動で検出・ブロックする仕組みを構築したい方
- DevSecOpsエンジニアとしてキャリアを積みたい方
- 本番運用するシステムの脆弱性管理を体系的に学びたい方
4. 講座一覧
| 講座名 | 種別 | 概要 | 目安時間 | 料金の目安 |
|---|---|---|---|---|
| DevSecOpsの基本 | 講座 | DevSecOpsの考え方とSAST/SCA/DASTを含む代表的なセキュリティ検知手法 | 30分 | – |
| CI/CDパイプラインにSASTを導入しよう | ハンズオン | GitHub ActionsとSemgrepでソースコードの脆弱性を自動検出 | 60分 | 無料 |
| AWS Security AgentでAIによる統合セキュリティレビューを体験しよう | ハンズオン | AIによる設計レビュー・コードレビュー・ペネトレーションテストの統合体験 | 120分 | 約3,000〜8,000円 |
5. 前提知識
- AWS講座(IAM・VPC・EC2・ECRなどAWSの主要サービスを理解していることが前提です)
- コンテナ講座(コンテナイメージスキャン・ECRスキャンを扱うため)
- Infra as Code講座(IaCセキュリティスキャンでTerraformコードを扱うため)
- CI/CDパイプライン講座(GitHub Actionsへのセキュリティ検知の組み込みを扱うため)
6. 関連する章
- CI/CDパイプライン講座では、本章のセキュリティ検知を組み込む土台となるCI/CDパイプラインの構築を学べます
- Infra as Code(Terraform)講座では、本章のIaCセキュリティスキャンの対象となるTerraformコードの基礎を学べます