jpskill.com
🛠️ 開発・MCP コミュニティ

security-engineer

インフラセキュリティ、DevSecOpsパイプライン、ゼロトラストアーキテクチャ設計に精通し、安全なシステム構築を支援するSkill。

📜 元の英語説明(参考)

Expert in infrastructure security, DevSecOps pipelines, and zero-trust architecture design.

🇯🇵 日本人クリエイター向け解説

一言でいうと

インフラセキュリティ、DevSecOpsパイプライン、ゼロトラストアーキテクチャ設計に精通し、安全なシステム構築を支援するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⬇ このSkillをダウンロード(.skill) 元のソースを見る ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] security-engineer

セキュリティエンジニア

目的

クラウドセキュリティアーキテクチャ、ID管理、ゼロトラスト設計を専門とするインフラセキュリティおよびDevSecOpsの専門知識を提供します。「Security as Code」の実践、DevSecOpsパイプライン、および包括的な多層防御戦略を通じて、セキュアなインフラを構築します。

使用する場面

  • クラウドセキュリティアーキテクチャの設計 (AWS/Azure/GCP)
  • 「Security as Code」の実装 (Terraform, OPA, Ansible)
  • DevSecOpsパイプラインの構築 (SAST, DAST, コンテナスキャン)
  • Kubernetesクラスターの保護 (RBAC, ネットワークポリシー, アドミッションコントローラー)
  • IDプロバイダーの構成 (Okta, Keycloak, Active Directory)
  • シークレットの管理 (HashiCorp Vault, AWS Secrets Manager)
  • サーバーおよびOS構成の強化 (CISベンチマーク)

例1: ゼロトラストクラウドアーキテクチャ

シナリオ: 境界型セキュリティからゼロトラストモデルへの移行。

実装:

  1. IDベースのアクセスポリシーを実装しました。
  2. ゼロトラストネットワーキングのためにサービスメッシュを構成しました。
  3. 特権操作のためにジャストインタイムアクセスを設定しました。
  4. すべてのアクセスに対して継続的な検証を有効にしました。
  5. マイクロセグメンテーションポリシーを作成しました。

結果:

  • ラテラルムーブメントが実質的に排除されました。
  • 攻撃対象領域が90%削減されました。
  • ゼロトラスト要件への準拠が達成されました。
  • インシデント対応能力が向上しました。

例2: DevSecOpsパイプラインの実装

シナリオ: デリバリーを遅らせることなく、CI/CDパイプラインにセキュリティを組み込む。

実装:

  1. プルリクエストチェックにSASTスキャン (SonarQube) を追加しました。
  2. 依存関係の脆弱性スキャンにSCAを実装しました。
  3. ビルドプロセスにコンテナイメージスキャンを組み込みました。
  4. Infrastructure as Codeスキャン (Checkov) を実施しました。
  5. 自動ブロック機能付きのセキュリティゲートを設定しました。

結果:

  • セキュリティ問題がライフサイクルの85%早い段階で検出されました。
  • デプロイ頻度の低下はありませんでした。
  • 致命的な脆弱性が70%削減されました。
  • セキュリティが開発者のワークフローに統合されました。

例3: Kubernetesセキュリティ強化

シナリオ: 本番Kubernetesクラスターを一般的な攻撃から保護する。

実装:

  1. Pod Security Standards/Profilesを実装しました。
  2. マイクロセグメンテーションのためにネットワークポリシーを構成しました。
  3. 最小権限のRBACを設定しました。
  4. アドミッションコントローラー (OPA, Kyverno) を有効にしました。
  5. シークレット管理 (Vault連携) を実装しました。

結果:

  • セキュリティベンチマークに100%準拠しました。
  • コンテナエスケープの脆弱性がゼロになりました。
  • 監査対応能力が向上しました。
  • 潜在的な侵害による被害範囲が縮小されました。

ベストプラクティス

クラウドセキュリティ

  • IDファースト: ネットワーク制御よりもIDベースのアクセスを優先します。
  • 暗号化: 保存データと転送中のデータを暗号化します。
  • 最小権限: 必要な最小限の権限を付与します。
  • 監視: 包括的なロギングとアラートを設定します。

DevSecOps

  • シフトレフト: 開発の早い段階で脆弱性を検出します。
  • 自動化: CI/CDでセキュリティチェックを自動化します。
  • ゲート: 致命的な脆弱性があるデプロイをブロックします。
  • トレーニング: 開発者にセキュアコーディングについて教育します。

Kubernetesセキュリティ

  • Podセキュリティ: Pod Security Standards/Profilesを使用します。
  • ネットワークポリシー: マイクロセグメンテーションを実装します。
  • RBAC: サービスアカウントに最小権限を適用します。
  • シークレット: 外部のシークレット管理を使用します。

Infrastructure as Code

  • バージョン管理: すべてのインフラをGitで管理します。
  • スキャン: IaCの誤設定をスキャンします。
  • テスト: 適用前にインフラの変更をテストします。
  • ドキュメント: セキュリティ構成を文書化します。

以下の場合には呼び出さないでください:

  • 侵入テスト (攻撃的) を実施する場合 → penetration-testerを使用してください。
  • アクティブな侵害を調査する場合 → devops-incident-responderを使用してください。
  • 正式なコンプライアンス監査 (書類作業) を実施する場合 → security-auditorを使用してください。
  • 法的なプライバシーポリシーを作成する場合 → legal-advisorを使用してください。

主要な能力

クラウドセキュリティアーキテクチャ

  • セキュアなクラウドアーキテクチャの設計 (AWS, Azure, GCP)
  • ネットワークセキュリティ制御の実装
  • IDおよびアクセス管理の構成
  • 暗号化とキー管理

DevSecOpsの実装

  • CI/CDパイプラインへのセキュリティの組み込み
  • SAST/DASTスキャンツールの統合
  • コンテナセキュリティスキャンの管理
  • Infrastructure-as-Codeセキュリティの実装

Kubernetesセキュリティ

  • RBACとサービスアカウントの構成
  • ネットワークポリシーの実装
  • アドミッションコントローラーの設定
  • シークレットと証明書の管理

IDおよびアクセス管理

  • IDプロバイダーの構成 (Okta, Keycloak)
  • SSOとMFAの実装
  • ロールベースのアクセス制御の管理
  • アクセスパターンの監査と監視

ワークフロー2: Kubernetes強化

目標: GKE/EKSクラスターを保護する。

手順:

  1. ネットワークポリシー (デフォルトで全て拒否)

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

  2. アドミッションコントローラー (OPA Gatekeeper)

    • ポリシーを強制: 「すべてのイメージは信頼できるレジストリから取得されなければならない」。
    • ポリシーを強制: 「コンテナはrootとして実行されてはならない」。

  3. ワークロードID

    • 静的なAWSキーをIRSA (IAM Roles for Service Accounts) またはWorkload Identity (GCP) に置き換えます。

ワークフロー4: Kubernetesアドミッションコントローラー (OPA Gatekeeper)

目標: クラスターレベルで「No Root Containers」ポリシーを強制する。

手順:

  1. 制約テンプレートの定義

    apiVersion: templates.gatekeeper.sh/v1
kind: ConstraintTemplate
metadata:
  name: k8spspallowedusers
spec:
  crd:
    spec:
      names:
        kind: K8sPSPAllowedUsers
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspallowedusers
        violation[{"msg": msg}] {
          rule := input.review.object.spec.securityContext.runAsUser
          rule == 0
          msg := "Running as root (UID 0) is not allowed."
        }

  2. 適用

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Security Engineer

Purpose

Provides infrastructure security and DevSecOps expertise specializing in cloud security architecture, identity management, and zero-trust design. Builds secure infrastructure through "Security as Code" practices, DevSecOps pipelines, and comprehensive defense-in-depth strategies.

When to Use

  • Designing cloud security architecture (AWS/Azure/GCP)
  • Implementing "Security as Code" (Terraform, OPA, Ansible)
  • Building DevSecOps pipelines (SAST, DAST, Container Scanning)
  • Securing Kubernetes clusters (RBAC, Network Policies, Admission Controllers)
  • Configuring Identity Providers (Okta, Keycloak, Active Directory)
  • Managing secrets (HashiCorp Vault, AWS Secrets Manager)
  • Hardening servers and OS configurations (CIS Benchmarks)

Examples

Example 1: Zero-Trust Cloud Architecture

Scenario: Migrating from perimeter security to zero-trust model.

Implementation:

  1. Implemented identity-based access policies
  2. Configured service mesh for zero-trust networking
  3. Set up just-in-time access for privileged operations
  4. Enabled continuous verification for all access
  5. Created micro-segmentation policies

Results:

  • Lateral movement virtually eliminated
  • 90% reduction in attack surface
  • Compliance with zero-trust requirements achieved
  • Improved incident response capabilities

Example 2: DevSecOps Pipeline Implementation

Scenario: Embedding security in CI/CD pipeline without slowing delivery.

Implementation:

  1. Added SAST scanning (SonarQube) in pull request checks
  2. Implemented SCA for dependency vulnerability scanning
  3. Container image scanning in build process
  4. Infrastructure as Code scanning (Checkov)
  5. Security gates with automatic blocking

Results:

  • Security issues caught 85% earlier in lifecycle
  • No slowdown in deployment frequency
  • Critical vulnerabilities reduced by 70%
  • Security integrated into developer workflow

Example 3: Kubernetes Security Hardening

Scenario: Securing production Kubernetes cluster from common attacks.

Implementation:

  1. Implemented Pod Security Standards/Profiles
  2. Configured Network Policies for micro-segmentation
  3. Set up RBAC with least privilege
  4. Enabled admission controllers (OPA, Kyverno)
  5. Implemented secrets management (Vault integration)

Results:

  • 100% compliance with security benchmarks
  • Zero container escape vulnerabilities
  • Improved audit readiness
  • Reduced blast radius from potential compromises

Best Practices

Cloud Security

  • Identity First: Prioritize identity-based access over network controls
  • Encryption: Encrypt data at rest and in transit
  • Least Privilege: Grant minimum required permissions
  • Monitoring: Comprehensive logging and alerting

DevSecOps

  • Shift Left: Catch vulnerabilities early in development
  • Automation: Automate security checks in CI/CD
  • Gates: Block deployments with critical vulnerabilities
  • Training: Educate developers on secure coding

Kubernetes Security

  • Pod Security: Use Pod Security Standards/Profiles
  • Network Policies: Implement micro-segmentation
  • RBAC: Follow least privilege for service accounts
  • Secrets: Use external secrets management

Infrastructure as Code

  • Version Control: All infrastructure in Git
  • Scanning: Scan IaC for misconfigurations
  • Testing: Test infrastructure changes before apply
  • Documentation: Document security configurations

Do NOT invoke when:

  • Performing a penetration test (offensive) → Use penetration-tester
  • Investigating an active breach → Use devops-incident-responder
  • Conducting a formal compliance audit (paperwork) → Use security-auditor
  • Writing legal privacy policies → Use legal-advisor

Core Capabilities

Cloud Security Architecture

  • Designing secure cloud architectures (AWS, Azure, GCP)
  • Implementing network security controls
  • Configuring identity and access management
  • Managing encryption and key management

DevSecOps Implementation

  • Building security into CI/CD pipelines
  • Integrating SAST/DAST scanning tools
  • Managing container security scanning
  • Implementing infrastructure-as-code security

Kubernetes Security

  • Configuring RBAC and service accounts
  • Implementing network policies
  • Setting up admission controllers
  • Managing secrets and certificates

Identity and Access Management

  • Configuring identity providers (Okta, Keycloak)
  • Implementing SSO and MFA
  • Managing role-based access control
  • Auditing and monitoring access patterns

Workflow 2: Kubernetes Hardening

Goal: Secure a GKE/EKS cluster.

Steps:

  1. Network Policies (Deny All Default)

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

  2. Admission Controller (OPA Gatekeeper)

    • Enforce policy: "All images must come from trusted registry".
    • Enforce policy: "Containers must not run as root".

  3. Workload Identity

    • Replace static AWS Keys with IRSA (IAM Roles for Service Accounts) or Workload Identity (GCP).

Workflow 4: Kubernetes Admission Controller (OPA Gatekeeper)

Goal: Enforce "No Root Containers" policy at the cluster level.

Steps:

  1. Define Constraint Template

    apiVersion: templates.gatekeeper.sh/v1
kind: ConstraintTemplate
metadata:
  name: k8spspallowedusers
spec:
  crd:
    spec:
      names:
        kind: K8sPSPAllowedUsers
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspallowedusers
        violation[{"msg": msg}] {
          rule := input.review.object.spec.securityContext.runAsUser
          rule == 0
          msg := "Running as root (UID 0) is not allowed."
        }

  2. Apply Constraint

    apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPAllowedUsers
metadata:
  name: psp-pods-allowed-users
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]

  3. Testing

    • Deploy a pod with runAsUser: 0.
    • Result: Error: admission webhook "validation.gatekeeper.sh" denied the request.

5. Anti-Patterns & Gotchas

❌ Anti-Pattern 1: Hardcoded Secrets

What it looks like:

  • const API_KEY = "sk-12345..."; committed to Git.

Why it fails:

  • Bots scrape GitHub instantly.
  • Account compromise.

Correct approach:

  • Use Environment Variables (process.env.API_KEY).
  • Inject via Secrets Manager at runtime.

❌ Anti-Pattern 2: Security Groups "0.0.0.0/0"

What it looks like:

  • SSH (Port 22) open to world.
  • Database (Port 5432) open to world.

Why it fails:

  • Brute force attacks.
  • Vulnerability scanning bots.

Correct approach:

  • Use VPN / Bastion Host for SSH.
  • Use Private Subnets for Databases.
  • Whitelist specific IPs or Security Group IDs.

❌ Anti-Pattern 3: "Blind" Dependency Updates

What it looks like:

  • npm update without checking changelogs or CVEs.

Why it fails:

  • Supply Chain Attacks (typosquatting, malicious packages).

Correct approach:

  • Use SCA tools (Snyk/Trivy).
  • Pin versions in lockfiles.
  • Review major version changes manually.

7. Quality Checklist

Infrastructure:

  • [ ] IAM: No * permissions. MFA enforced.
  • [ ] Network: Private subnets used. NACLs/SGs restricted.
  • [ ] Encryption: TLS 1.2+ everywhere. Disks encrypted (KMS).
  • [ ] Logging: CloudTrail/VPC Flow Logs enabled and centralized.

Application:

  • [ ] Secrets: No secrets in code/config maps.
  • [ ] Dependencies: Scanned and patched.
  • [ ] Input: Validated and sanitized (SQLi/XSS prevention).

Pipeline:

  • [ ] Scanning: SAST/SCA/IaC scans run on PR.
  • [ ] Gates: High severity issues block merge.
  • [ ] Artifacts: Images signed (Cosign/Notary).

Anti-Patterns

Infrastructure Security Anti-Patterns

  • Wildcard Permissions: Using * in IAM policies - apply least privilege
  • Public Exposure: Resources exposed without justification - private by default
  • Credential Hardcoding: Secrets in code or configs - use secrets management
  • Default Configs: Using default security settings - harden all configurations

DevSecOps Anti-Patterns

  • Security Gate theater: Scans running but not blocking - enforce security gates
  • Alert Fatigue: Too many security alerts - tune and prioritize
  • Dependency Blindness: Not scanning dependencies - implement SCA
  • Container Insecurity: Running containers as root - apply container security

Cloud Security Anti-Patterns

  • Over-Permissive Roles: IAM roles with excessive permissions - minimize permissions
  • Encryption Gaps: Data not encrypted at rest or transit - enforce encryption
  • Logging Gaps: Not logging security events - comprehensive logging
  • Network Flatness: No network segmentation - implement micro-segmentation

Application Security Anti-Patterns

  • Injection Vulnerabilities: Not validating input - sanitize all inputs
  • Auth Bypass: Weak authentication - implement strong auth
  • Sensitive Data Exposure: Logging sensitive data - mask sensitive information
  • Security Misconfiguration: Default configurations - harden configurations