auditing-security
セキュリティ監査と脆弱性対策を支援します。OWASP Top 10に基づく包括的な脆弱性チェック、コード分析、リスク評価を提供します。セキュリティ脆弱性の特定、コンプライアンス確認、セキュアコーディング実装が必要な場合に使用してください。
$ インストール
git clone https://github.com/sekka/dotfiles /tmp/dotfiles && cp -r /tmp/dotfiles/home/.claude/skills/auditing-security ~/.claude/skills/dotfiles// tip: Run this command in your terminal to install the skill
SKILL.md
name: auditing-security description: セキュリティ監査と脆弱性対策を支援します。OWASP Top 10に基づく包括的な脆弱性チェック、コード分析、リスク評価を提供します。セキュリティ脆弱性の特定、コンプライアンス確認、セキュアコーディング実装が必要な場合に使用してください。
セキュリティ監査
概要
OWASP Top 10に基づくセキュリティ脆弱性の監査を包括的に支援するスキルです。
実行フロー
Step 1: 監査スコープの確認
- 監査対象(認証、API、データベース、インフラ)
- 重要度の高い機能とデータフロー
- セキュリティ要件とコンプライアンス基準
Step 2: OWASP Top 10 チェック
A01: アクセス制御の不備
- 権限昇格の可能性
- 水平・垂直アクセス制御
- デフォルト拒否の原則
A02: 暗号化の失敗
- 機密データの暗号化
- 安全なアルゴリズム(bcrypt、Argon2)
- TLS/SSL設定
A03: インジェクション
- SQL/NoSQL/コマンドインジェクション
- 入力検証とサニタイゼーション
- パラメータ化クエリ
A04: 安全でない設計
- 脅威モデリング
- 多層防御
- セキュアバイデザイン
A05: セキュリティの誤構成
- デフォルト設定
- セキュリティヘッダー(CSP等)
- エラーメッセージ
A06: 脆弱で古いコンポーネント
- 依存関係の脆弱性(npm audit、Snyk)
- ライブラリの最新化
A07: 識別と認証の失敗
- 多要素認証
- セッション管理
- ブルートフォース対策
A08: ソフトウェアとデータの整合性
- デシリアライゼーション
- CI/CDセキュリティ
- 整合性検証(SRI)
A09: セキュリティログと監視
- イベントログ
- 監視とアラート
- インシデント対応
A10: SSRF
- 外部リソースリクエストの検証
- URLホワイトリスト
Step 3: コード分析
- 安全でないコーディングパターン
- ハードコードされた機密情報
- 入力検証の実装
Step 4: 構成レビュー
- インフラ設定
- IAM/RBACポリシー
- シークレット管理
Step 5: リスク評価
| 重大度 | 対応優先度 |
|---|---|
| Critical | 即時対応 |
| High | 24時間以内 |
| Medium | 1週間以内 |
| Low | 次回リリース |
出力成果物
- 監査レポート: 脆弱性一覧と重大度
- 修正提案: 具体的なコード/設定変更
- アクションプラン: 優先度付きタスク
- 継続的改善計画: 自動スキャン、CI/CD統合
ベストプラクティス
- 攻撃者の視点で考える: 最小権限の原則
- 多層防御: 単一の防御に依存しない
- セキュアバイデフォルト: 安全な設定をデフォルトに
- 継続的な監視: 定期的なスキャンと監査
- 文書化と教育: セキュリティ対策の文書化
推奨ツール
- npm audit / Snyk: 依存関係スキャン
- OWASP ZAP: Webアプリ脆弱性スキャナ
- Trivy: コンテナスキャン
- git-secrets: 機密情報検出
関連ファイル
- CHECKLIST.md - OWASP Top 10チェックリスト
- TOOLS.md - スキャンツール一覧
Repository
sekka
Author
sekka/dotfiles/home/.claude/skills/auditing-security
0
Stars
0
Forks
Updated4h ago
Added1w ago