情報セキュリティをシステムの企画・設計段階から確保するための方策のこと。内閣サイバーセキュリティセンター（NISC）を中心に提唱されている。開発プロセスの早期段階からセキュリティを考慮することで、後付けでセキュリティ機能を追加する場合と比べて、①手戻りが少ない、②低コスト、③保守性の向上 などの利点があるとされています。

ITシステムの開発においては、要件定義段階から非機能要件のひとつとしてセキュリティ要件を洗い出して、設計に反映させ、実装することは古くから行われてきたので、目新しい考え方ではない。一方、最近になって、さまざまなモノがインターネットに接続されるIoTが進展するにつれ、IoT機器が搭載しているソフトウェアの脆弱性が悪用されたサイバー攻撃のリスクも高まっているが、IoT機器では、運用段階に入ってからセキュリティ対策を新たに講じることが難しい。そこで、企画・設計段階から、機器やITシステムへのサイバーセキュリティリスクを想定し、リスク対策を実装しておくことの重要性があらためて認識されるようになっている。