Security Review Generator スキル
このスキルは、プロジェクトを分析し、そのプロジェクトに最適化されたセキュリティレビュースキルおよびサブエージェント設定を生成するメタスキルです。
重要: このスキル自体はセキュリティレビューを実行しません。セキュリティレビューを行うためのスキルファイルを生成します。
概要
Security Review Generator は、以下の機能を提供します:
- •プロジェクト分析: 技術スタック、フレームワークを自動検出
- •カスタムスキル生成: プロジェクト固有のセキュリティレビュースキルを生成
- •サブエージェント設定生成: プロジェクトタイプに応じたサブエージェント設定ファイルを生成
- •レビュー基準のカスタマイズ: 適用するコンプライアンス、脅威モデル、評価手法を選択可能
生成されるファイル
このスキルを実行すると、対象プロジェクトのルートに以下のファイルが生成されます:
1. メインスキルファイル
- •
.claude/skills/security-review/SKILL.md- 実際にセキュリティレビューを実行するスキル
2. サブエージェント設定(プロジェクトタイプに応じて選択)
- •
.claude/skills/security-review/agents/backend-security-agent.md - •
.claude/skills/security-review/agents/frontend-security-agent.md - •
.claude/skills/security-review/agents/infrastructure-security-agent.md - •
.claude/skills/security-review/agents/api-security-agent.md
3. 参照ファイル(必要に応じてコピー)
- •
.claude/skills/security-review/references/- 選択された手法のリファレンス
使用方法
/security-review-generator
ワークフロー
Phase 1: プロジェクト分析
- •
技術スタック検出
- •
scripts/analyze_project.pyを実行 - •言語、フレームワークを特定
- •プロジェクトタイプを判定(Backend/Frontend/Fullstack/Infrastructure)
- •
- •
エントリーポイント特定
- •メインファイルの検出
- •データフローのマッピング
Phase 2: 生成オプションの確認
ユーザーに以下の設定を確認(AskUserQuestion):
コンプライアンスフレームワーク(複数選択可)
- •SOC 2: サービス組織のセキュリティ監査
- •GDPR: EU一般データ保護規則
- •HIPAA: 医療情報保護法(米国)
- •PCI DSS: クレジットカード情報保護基準
- •すべて: 全チェックを使用
- •なし: コンプライアンスチェック不要
脅威モデリング手法(複数選択可)
- •STRIDE: なりすまし、改ざん、否認、情報漏洩、DoS、権限昇格
- •Attack Tree: 攻撃経路の視覚化と評価
- •PASTA: 7段階リスクベース脅威モデリング
- •すべて: 全手法を使用
- •なし: 脅威モデリング不要
リスク評価手法(複数選択可)
- •CVSS v3.1: 業界標準の脆弱性スコアリング
- •DREAD: Microsoft方式のリスク評価
- •ビジネス影響度: CIA + 財務・評判への影響
- •すべて: 全手法を使用
- •なし: リスク評価不要
脆弱性チェック項目
- •OWASP Top 10: Webアプリケーション脆弱性
- •CWE Top 25: 危険なソフトウェア脆弱性
- •CVE/NVD/GitHub Advisory: 依存関係の既知脆弱性
- •すべて: 全チェック項目を使用
- •なし: 脆弱性チェック不要
Phase 3: スキルファイル生成
プロジェクト分析結果とユーザー選択に基づいて、カスタマイズされたスキルファイルを生成:
3.1 メインスキル生成
プロジェクト固有の SKILL.md を生成:
- •検出された技術スタックに特化したチェック項目
- •選択されたコンプライアンス要件
- •選択された脅威モデル・評価手法
- •プロジェクト固有の参照パス
3.2 サブエージェント設定生成
プロジェクトタイプに基づいて必要なサブエージェント設定を生成:
| プロジェクトタイプ | 生成されるサブエージェント |
|---|---|
| Backend | backend-security, api-security |
| Frontend | frontend-security |
| Fullstack | backend-security, frontend-security, api-security |
| Infrastructure | infrastructure-security |
| Fullstack + Infra | 全サブエージェント |
各サブエージェント設定には以下が含まれます:
- •実行プロンプトテンプレート
- •チェック項目リスト
- •出力フォーマット仕様
- •使用するリファレンスのパス
Phase 4: リファレンスファイルのコピー
選択された手法に必要なリファレンスファイルを .claude/skills/security-review/references/ にコピー:
references/ ├── stride-methodology.md # STRIDE選択時 ├── attack-tree-patterns.md # Attack Tree選択時 ├── pasta-framework.md # PASTA選択時 ├── scoring-systems.md # リスク評価手法 ├── zero-trust-checklist.md # 常にコピー └── compliance-frameworks.md # コンプライアンス選択時
Phase 5: 使用方法の説明
生成完了後、以下を説明:
- •生成されたスキルの場所
- •スキルの有効化方法(CLAUDE.md への登録など)
- •実行方法
- •カスタマイズのヒント
生成されるスキルの仕様
メインスキル(security-review/SKILL.md)の機能
生成されるスキルは以下の機能を持ちます:
- •並列サブエージェント実行: Task ツールで複数のセキュリティレビューを並列実行
- •脆弱性チェック: OWASP Top 10、CWE、CVE/NVD の動的取得と検証
- •脅威モデリング: 選択された手法による分析
- •リスク評価: 選択された手法によるスコアリング
- •レポート生成:
assets/report-template.mdに基づく詳細レポート
レポート出力先
生成されたスキルがセキュリティレビューを実行すると、以下のファイルがプロジェクトルートに出力されます:
{project_root}/
├── security-review-report.md # メインレポート(エグゼクティブサマリー、技術詳細、改善ロードマップ)
├── security-findings.json # 発見事項の構造化データ(finding-schema.json 準拠)
├── compliance-mapping.json # コンプライアンスフレームワークとのマッピング
└── security-roadmap.md # 優先度付き改善ロードマップ
サブエージェント設定の内容
各サブエージェント設定(agents/*.md)には以下が含まれます:
# {Agent Name} Security Agent
## 役割
{エージェントの責務の説明}
## チェック項目
{プロジェクト固有のチェックリスト}
## 実行プロンプト
{Task ツールに渡すプロンプトテンプレート}
## 出力フォーマット
{findings.json スキーマに準拠した出力形式}
スクリプト使用方法
プロジェクト分析
python scripts/analyze_project.py /path/to/project
出力例:
{
"project_type": "fullstack",
"languages": ["Python", "JavaScript"],
"frameworks": ["Django", "React"],
"entry_points": ["main.py", "index.js"],
"recommended_subagents": [
"backend-security",
"frontend-security",
"api-security"
]
}
サブエージェントプロンプト生成
python scripts/generate_subagent.py references/subagent-templates backend-security context.json
脆弱性検索(生成されたスキルで使用)
# 単一パッケージの検索 python scripts/vulnerability_lookup.py search django 4.2.0 # 依存関係の一括検索 python scripts/vulnerability_lookup.py batch dependencies.json
テンプレートリファレンス
セキュリティフレームワーク
- •
references/stride-methodology.md: STRIDE 脅威モデリング手法 - •
references/attack-tree-patterns.md: Attack Tree 構築パターン - •
references/pasta-framework.md: PASTA 7段階プロセス
スコアリングシステム
- •
references/scoring-systems.md: CVSS v3.1、DREAD、ビジネス影響度評価
セキュリティ原則
- •
references/zero-trust-checklist.md: Zero Trust 原則チェックリスト
コンプライアンス
- •
references/compliance-frameworks.md: SOC 2、GDPR、HIPAA、PCI DSS マッピング
サブエージェントテンプレート
- •
references/subagent-templates/backend-security.md: バックエンドレビュー - •
references/subagent-templates/frontend-security.md: フロントエンドレビュー - •
references/subagent-templates/infrastructure-security.md: インフラレビュー - •
references/subagent-templates/api-security.md: API レビュー
出力ディレクトリ構造
スキル実行後にプロジェクトルートに生成される構造:
.claude/
└── skills/
└── security-review/
├── SKILL.md # メインスキル(セキュリティレビュー実行用)
├── agents/
│ ├── backend-security-agent.md
│ ├── frontend-security-agent.md
│ ├── infrastructure-security-agent.md
│ └── api-security-agent.md
├── assets/
│ ├── finding-schema.json # 発見事項スキーマ
│ └── report-template.md # レポートテンプレート
└── references/
├── stride-methodology.md
├── scoring-systems.md
└── ...(選択された手法のみ)
実装例
スキル実行時の内部フロー:
1. ユーザーがスキルを実行 ↓ 2. プロジェクトパスを取得(デフォルト: カレントディレクトリ) ↓ 3. analyze_project.py を実行してプロジェクト分析 ↓ 4. ユーザーに生成オプションを確認(AskUserQuestion) - コンプライアンスフレームワーク - 脅威モデリング手法 - リスク評価手法 - 脆弱性チェック項目 ↓ 5. 必要なサブエージェント設定を特定 ↓ 6. メインスキル(SKILL.md)を生成 - プロジェクト固有の設定を埋め込み - 選択された手法のワークフローを構築 ↓ 7. サブエージェント設定ファイルを生成 - テンプレートをカスタマイズ - プロジェクト情報を埋め込み ↓ 8. 必要なリファレンスファイルをコピー ↓ 9. 生成結果をユーザーに報告 - 生成されたファイルの一覧 - スキルの有効化・実行方法 ↓ 10. (任意)ユーザーが生成されたスキルを実行してセキュリティレビュー開始
カスタマイズ
新しいサブエージェントテンプレートの追加
- •
references/subagent-templates/に新しいテンプレートを追加 - •
scripts/analyze_project.pyで推奨ロジックに追加 - •
scripts/generate_subagent.pyでテンプレート読み込みを確認
コンプライアンスフレームワークの追加
- •
references/compliance-frameworks.mdに新しいフレームワークを追加 - •
assets/finding-schema.jsonのcompliance_mappingに新しいプロパティを追加 - •Phase 2 の選択肢に追加
カスタムスコアリングシステムの追加
- •
references/scoring-systems.mdに新しいシステムを追加 - •Phase 2 の選択肢に追加
ベストプラクティス
スキル生成時
- •正確なプロジェクトパス: 依存関係ファイルが含まれるルートディレクトリを指定
- •適切な手法選択: プロジェクト規模とセキュリティ要件に応じて選択
- •コンプライアンス要件の確認: 法的要件がある場合は必ず選択
生成後
- •スキルのレビュー: 生成された SKILL.md を確認し、必要に応じて調整
- •サブエージェントの調整: プロジェクト固有のチェック項目を追加
- •テスト実行: 小さなスコープでテスト実行してから本番利用
トラブルシューティング
スクリプト実行エラー
chmod +x scripts/*.py
プロジェクト分析が不正確
手動で context.json を作成して generate_subagent.py に渡すことで、正確な設定を生成できます。
生成されたスキルが動作しない
- •生成された SKILL.md のパス参照を確認
- •リファレンスファイルが正しくコピーされているか確認
制限事項
- •生成のみ: このスキル自体はセキュリティレビューを実行しない
- •テンプレートベース: 完全なカスタマイズには手動編集が必要
- •言語/フレームワーク依存: サポートされていない技術スタックは手動設定が必要
FAQ
Q: このスキルでセキュリティレビューできますか? A: いいえ。このスキルはセキュリティレビューを行うスキルを「生成」します。生成後に、生成されたスキルを実行してください。
Q: 生成されたスキルはどこに保存されますか?
A: プロジェクトルートの .claude/skills/security-review/ に保存されます。
Q: 既存のスキルを更新できますか? A: はい。同じプロジェクトで再実行すると、既存のファイルを上書きするか確認されます。
Q: 複数のプロジェクト用に異なるスキルを生成できますか? A: はい。各プロジェクトで実行すると、それぞれのプロジェクトに最適化されたスキルが生成されます。
サポート
問題や質問がある場合は、以下のリソースを参照してください: