米国 NIST SP 1800-44 (初期ドラフト) 安全なソフトウェア開発、セキュリティ、および運用 (DevSecOps) のプラクティス (2025.07.30)

こんにちは、丸山満彦です。

NISTが、NIST SP 1800-44 (初期ドラフト) 安全なソフトウェア開発、セキュリティ、および運用 (DevSecOps) のプラクティスのドラフトが公開され、意見募集がされていますね...

 

● NIST - ITL

・2025.07.30 NIST SP 1800-44 (Initial Public Draft) Secure Software Development, Security, and Operations (DevSecOps) Practices

NIST SP 1800-44 (Initial Public Draft) Secure Software Development, Security, and Operations (DevSecOps) Practices	NIST SP 1800-44 (初期ドラフト) 安全なソフトウェア開発、セキュリティ、および運用 (DevSecOps) のプラクティス
Announcement	発表
The NIST NCCoE is excited to announce the release of the preliminary draft Volume A of NIST Special Publication (SP) 1800-44, Secure Software Development, Security, and Operations (DevSecOps) Practices, to provide a high-level overview of the guidance NIST is developing to increase the security of software	NIST NCCoEは、NIST特別刊行物（SP）1800-44「セキュアなソフトウェア開発、セキュリティ、および運用（DevSecOps）プラクティス」の初期ドラフトA巻を発表し、NISTがソフトウェアのセキュリティを高めるために開発しているガイダンスの概要を提供する。
The NCCoE is collaborating with 14 companies through the Software Supply Chain and DevOps Security Practices Consortium as part of NIST’s response to White House Executive Order (EO) 14306, Sustaining Select Efforts to Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144. As stipulated in the EO, NIST is directed to establish the consortium to develop guidance that demonstrates the implementation of best practices based on NIST’s Secure Software Development Framework (SSDF).	NCCoEは、ホワイトハウスの大統領令（EO）14306（Sustaining Select Efforts to Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144）へのNISTの対応の一環として、Software Supply Chain and DevOps Security Practices Consortiumを通じて14社と協力している。EOに規定されているように、NISTは、NISTのセキュアソフトウェア開発フレームワーク（SSDF）に基づくベストプラクティスの実施を実証するガイダンスを開発するコンソーシアムを設立するよう指示されている。
The NCCoE has just released the preliminary public draft Volume A of Secure Software Development, Security, and Operations (DevSecOps) Practices (NIST Special Publication (SP) 1800-44) for public comment. The current version provides a high-level overview of the project's scope; future guidance will include a detailed reference model and specific implementation guidance for each of the project’s planned use cases.	NCCoEは、セキュアソフトウェア開発、セキュリティ、および運用（DevSecOps）プラクティス（NIST特別刊行物（SP）1800-44）の初期公開草案A巻を公開し、パブリックコメントの募集を開始した。現在のバージョンは、プロジェクトのスコープのハイレベルな概要を提供するもので、今後のガイダンスには、詳細な参照モデルと、プロジェクトで計画されている各ユースケースの具体的な実装ガイダンスが含まれる予定である。
The NCCoE welcomes public comments on the preliminary draft guidance through September 12, 2025. The project team plans to release additional drafts of the guidance incrementally throughout the project, accompanied by public comment periods. Those interested can also join the NCCoE DevSecOps Community of Interest (COI) to stay up to date and collaborate on the project .	NCCoEは2025年9月12日まで、初期ドラフト・ガイダンスに対するパブリック・コメントを歓迎する。プロジェクト・チームは、プロジェクト期間中、パブリック・コメント期間を設けながら、ガイダンスの追加ドラフトを段階的に発表する予定である。興味のある方は、NCCoE DevSecOps Community of Interest (COI)に参加して、最新情報を入手し、プロジェクトに協力することもできる。

 

プロジェクトのウェブページ...

・Project homepage

 

 

・[PDF] SP 1800-44 (Draft)

 

目次...

1 Introduction..	1 序論
1.1 Background…	1.1 背景
1.1.1 Development, Security, and Operations (DevSecOps) .	1.1.1 開発、セキュリティ、運用（DevSecOps）
1.1.2 The Role of Al in Software Development	1.1.2 ソフトウェア開発におけるアルの役割
1.1.3 The Role of Zero Trust in Software Development	1.1.3 ソフトウェア開発におけるゼロ・トラストの役割
1.2 Audience..	1.2 聴衆...
1.3 Scope	1.3 スコープ
1.4 Challenges.	1.4 課題.
2 Methodology - A Notional Reference Model for DevSecOps.	2 方法論 - DevSecOpsの想定参照モデル.
3 Next Steps..	3 次のステップ
Appendix A List of Acronyms..	附属書 A 頭字語のリスト.
Appendix B Glossar	附属書 B 用語集
List of Figures	図の一覧
Figure 1 DevSecOps Notional Reference Model	図 1 DevSecOps の想定リファレンスモデル

 

エグゼクティブサマリー

Executive Summary	エグゼクティブサマリー
DevOps embodies a modern approach to software development by abolishing the traditional silos between development and operations teams. It emphasizes collaboration, automation, and continuous improvement by removing delays and inefficiencies while boosting efficiency and quality in the software development lifecycle. However, with the evolving cybersecurity risks and rising security breaches, most organizations that produce software have been increasingly integrating security into their DevOps environments, tools, and processes – a practice known as DevSecOps.	DevOpsは、開発チームと運用チームの間の従来のサイロを廃止することで、ソフトウェア開発に対する現代的なアプローチを具現化する。ソフトウェア開発ライフサイクルの効率と品質を高めながら、遅延や非効率を排除することで、コラボレーション、自動化、継続的改善を重視する。しかし、サイバーセキュリティのリスクが進化し、セキュリティ侵害が増加する中、ソフトウェアを製造するほとんどの組織では、DevOps環境、ツール、プロセスにセキュリティを統合する傾向が強まっている。
DevSecOps is a software development paradigm that prioritizes integration of security practices from the very beginning of the development process (a “before-thought” approach) rather than addressing them as a separate concern in later stages or post-deployment (an “after-thought” approach). There are various reasons for growing adoption of DevSecOps:	DevSecOpsはソフトウェア開発のパラダイムであり、セキュリティ対策を後工程や展開後の段階（「アフターソート」アプローチ）で別の問題として扱うのではなく、開発プロセスの初期段階（「ビフォアソート」アプローチ）からセキュリティ対策を統合することを優先する。DevSecOpsの採用が増加している理由は様々である：
• The growing complexity and volume of cyber threats have made software development environments prime targets for various forms of attacks and cybersecurity breaches. Bad actors are preying on overlooked security practices in software development infrastructures and tools, misconfigurations in cloud environments, and weak access controls that lead to vulnerabilities. DevSecOps practice can help organizations build more resilient systems to protect against these types of threats.	- サイバー脅威の複雑さと量の増大により、ソフトウェア開発環境は、さまざまな形態の攻撃やサイバーセキュリティ侵害の格好の標的となっている。悪質な行為者は、ソフトウェア開発インフラやツールの見落とされたセキュリティ慣行、クラウド環境の設定ミス、脆弱性につながる脆弱なアクセス管理などを食い物にしている。DevSecOpsの実践は、組織がこの種の脅威から保護するために、よりレジリエンスに優れたシステムを構築するのに役立つ。
• Most software today relies on one or more third-party components, yet organizations often have little or no visibility into or understanding of how these components are developed, integrated, deployed, and maintained, as well as the practices used to ensure the components’ security. DevSecOps tools can scan, identify, discover, and help eliminate vulnerabilities in third-party components early in the development lifecycle.	- 今日、ほとんどのソフトウェアは、1つ以上のサードパーティ製コンポーネントに依存しているが、組織は、これらのコンポーネントがどのように開発、統合、展開、保守されているか、また、コンポーネントのセキュリティを確保するために使用されているプラクティスについて、ほとんど可視化されていないか、まったく理解できていないことが多い。DevSecOpsツールは、開発ライフサイクルの早い段階でサードパーティ・コンポーネントの脆弱性をスキャン、識別、発見し、排除することができる。
• The growing adoption of artificial intelligence (AI) in DevSecOps is making significant impacts in enhancing threat detection and prevention, security testing and remediation, preserving proactive security posture while also enhancing efficiency, speed, and quality in the software development process by automating tasks such as code integration, testing, deployment and monitoring that lead to consistently reliable and quicker software production.	- DevSecOpsにおける人工知能（AI）の採用の拡大は、脅威の検知と予防、セキュリティテストと修復の強化、事前予防的なセキュリティ態勢の維持に大きな影響を与えると同時に、コード統合、テスト、展開、監視などの作業を自動化することによって、ソフトウェア開発プロセスの効率、スピード、品質を向上させ、一貫した信頼性と迅速なソフトウェア生産につながる。
The National Cybersecurity Center of Excellence (NCCoE) is demonstrating and documenting risk-based security practices for DevSecOps, aligning with the NIST Secure Software Development Framework [1][2] Initially, this project will focus on securing cloud-based environments that resemble typical closedsource software development settings, highlighting dynamic enforcement of least privileged access through a practical Zero Trust Architecture (ZTA) implementation. Moreover, the project will showcase a holistic approach to secure software development, embedding security considerations and best practices as well as leveraging AI throughout the phases of the secure software development process to automate builds, integrations, deliveries, and deployments that lead to trustworthy and faster software development.	国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、NISTのセキュアソフトウェア開発フレームワーク[1][2]に沿って、DevSecOpsのためのリスクベースのセキュリティプラクティスを実証し、文書化している。当初、このプロジェクトは、典型的なクローズドソースソフトウェア開発環境に似たクラウドベースの環境のセキュリティ確保に焦点を当て、実用的なゼロトラストアーキテクチャ（ZTA）の実装による最小特権アクセスの動的な実施に焦点を当てる。 さらに、このプロジェクトでは、セキュアなソフトウェア開発への全体的なアプローチを紹介し、セキュアなソフトウェア開発プロセスの各フェーズを通じて、セキュリティの考慮事項やベストプラクティスを組み込むとともに、AIを活用して、ビルド、統合、納品、展開を自動化し、信頼性の高いより迅速なソフトウェア開発を実現する。
This project will result in vital and novel details concerning the possible implementations of DevSecOps that are often unavailable to the community as a whole. It will allow practitioners to evaluate, compare, and identify gaps in existing software factories, which enables and enhances cybersecurity for both software producers and consumers.	このプロジェクトは、DevSecOpsの可能な実装に関する重要かつ斬新な詳細をもたらすだろう。これにより、実務者は既存のソフトウェア工場のギャップを評価、比較、識別できるようになり、ソフトウェア生産者と消費者の両方にとってサイバーセキュリティが可能になり、強化される。

 

 

DevSecOpsの想定リファレンスモデル...

Figure 1 DevSecOps Notional Reference Model