Microsoft セキュリティ開発ライフサイクル

This article includes a list of references, related reading, or external links, but its sources remain unclear because it lacks inline citations. Please help improve this article by introducing more precise citations. (March 2025) (Learn how and when to remove this message)

Microsoftセキュリティ開発ライフサイクル（SDL）は、Microsoft が DevOps プロセスにセキュリティを統合するために採用しているアプローチです（DevSecOps アプローチと呼ばれることもあります）。この SDL のガイダンスとドキュメントを活用することで、このアプローチとプラクティスを組織に合わせて調整できます。  

SDLアプローチで概説されているプラ​​クティスは、従来のウォーターフォール型開発手法から最新のDevOpsアプローチまで、あらゆるタイプのソフトウェア開発とあらゆるプラットフォームに適用可能です。一般的に、以下の分野に適用できます。

• ソフトウェア– ファームウェア、AIアプリケーション、オペレーティングシステム、ドライバー、IoTデバイス、モバイルデバイスアプリ、ウェブサービス、プラグインまたはアプレット、ハードウェアマイクロコード、ローコード/ノーコードアプリ、その他のソフトウェア形式のソフトウェアコードを開発する場合。SDLのプラクティスのほとんどは、セキュアなコンピューターハードウェア開発にも適用できます。 
• プラットフォーム– ソフトウェアが「サーバーレス」プラットフォーム アプローチ、オンプレミス サーバー、モバイル デバイス、クラウドでホストされる VM、ユーザー エンドポイント、Software as a Service (SaaS) アプリケーションの一部、クラウド エッジ デバイス、IoT デバイス、またはその他の場所で実行されているかどうか。 

SDLは、開発ワークフローに組み込むべき10のセキュリティプラクティスを推奨しています。SDLの10のセキュリティプラクティスの適用は継続的な改善プロセスであるため、重要な推奨事項は、ある時点から開始し、進捗に合わせて改善を続けることです。この継続的なプロセスには、セキュリティスキルとプラクティスをDevOpsワークフローに組み込む際に、文化、戦略、プロセス、技術的制御の変更が含まれます。

10 の SDL プラクティスは次のとおりです。

1. セキュリティ標準、指標、ガバナンスを確立する
2. 実証済みのセキュリティ機能、言語、フレームワークの使用を要求する
3. セキュリティ設計レビューと脅威モデリングを実行する
4. 暗号化標準の定義と使用
5. ソフトウェアサプライチェーンのセキュリティ確保
6. エンジニアリング環境のセキュリティを確保する
7. セキュリティテストを実行する
8. 運用プラットフォームのセキュリティを確保する
9. セキュリティ監視と対応を実装する
10. セキュリティトレーニングを提供する

• 信頼できるコンピューティングベース

1. 文化、戦略、プロセスの確立 - イノベーションセキュリティ（CAF Secure）
2. セキュリティプラクティスとコントロールの定義 - DevSecOpsコントロール
3. Well Architected セキュリティ評価で現在のワークロードを評価する - Well Architected Review

• 公式サイト

このソフトウェアエンジニアリング関連の記事はスタブです。記事を拡張することでWikipediaに貢献できます。

• v
• t
• e