セキュアSDLC（開発ライフサイクルのセキュリティ統合）とは？自分ごと体験で覚えるITパスポート対策

🎬 こんなシーン、想像してみて

❓ 2問問題：あなたならどっち？

✅ 正解：セキュアSDLC（Secure Software Development Life Cycle）

📘 セキュアSDLC（開発ライフサイクルのセキュリティ統合）とは何か

セキュアSDLCは従来の開発ライフサイクル（要件定義→設計→実装→テスト→リリース→運用）の各フェーズにセキュリティ活動を組み込む。要件定義→セキュリティ要件定義。設計→脅威モデリング（STRIDE）。実装→セキュアコーディング・コードレビュー。テスト→SAST/DAST・ペネトレーションテスト。

🎯 試験のキモ

「Shift Left Security」：セキュリティを後工程から前工程に前倒しすることで問題を早期発見・修正コストを削減する考え方。リリース後に発見された脆弱性の修正コストは設計段階の100倍以上になると言われる。DevSecOpsはセキュアSDLCをCI/CDパイプラインに自動化して組み込んだ実装形態。 **覚え方** 🎯 セキュアSDLC＝**全フェーズにセキュリティ組込（Shift Left）**。**早期発見＝修正コスト1/100**。DevSecOps化。

⚠️ 間違いやすいポイント

混同注意：「セキュアSDLC」と「DevSecOps」は別概念。セキュアSDLCは各開発フェーズへのセキュリティ活動の組み込み方針を指し、DevSecOpsはその方針をCI/CDパイプラインで自動化した実装形態。「Shift Left」は後工程のセキュリティ検査を前倒しするという方向性の話で、「ペネトレーションテスト」はテストフェーズの活動に過ぎない。脅威モデリング（STRIDE）は「設計フェーズ」で実施する点が試験で問われやすい。

🧠 覚え方

📚 ITパスポートの試験対策・勉強方法

セキュアSDLC（開発ライフサイクルのセキュリティ統合）はITパスポートのIT全般分野で頻出（mid）。ITパスポート 過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。