jpskill.com
🛠️ 開発・MCP コミュニティ

security-engineering

セキュリティアーキテクチャや実装パターンを用いて、認証・認可の設計、脅威モデリング、セキュリティフレームワークへの準拠など、セキュリティーコントロールを適切に設計・実装するSkill。

📜 元の英語説明(参考)

Security architecture and implementation patterns. Use when designing security controls, implementing authentication/authorization, conducting threat modeling, or ensuring compliance with security frameworks.

🇯🇵 日本人クリエイター向け解説

一言でいうと

セキュリティアーキテクチャや実装パターンを用いて、認証・認可の設計、脅威モデリング、セキュリティフレームワークへの準拠など、セキュリティーコントロールを適切に設計・実装するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o security-engineering.zip https://jpskill.com/download/16835.zip && unzip -o security-engineering.zip && rm security-engineering.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/16835.zip -OutFile "$d\security-engineering.zip"; Expand-Archive "$d\security-engineering.zip" -DestinationPath $d -Force; ri "$d\security-engineering.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して security-engineering.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → security-engineering フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

セキュリティエンジニアリング

アプリケーションセキュリティ、インフラストラクチャセキュリティ、コンプライアンス、インシデント対応を網羅する包括的なセキュリティエンジニアリングスキルです。

このスキルを使うべき時

  • セキュリティアーキテクチャの設計
  • 認証と認可の実装
  • 脅威モデリングの実施
  • セキュリティコードレビュー
  • コンプライアンス制御の実装 (SOC2, HIPAA, PCI-DSS)
  • インシデント対応計画
  • セキュリティ監視とアラート

セキュリティアーキテクチャ

多層防御

複数のレベルでセキュリティ制御を階層化します。

レイヤー 制御
ペリメータ Firewall, WAF, DDoS protection
ネットワーク セグメンテーション, IDS/IPS, VPN
ホスト ハーディング, EDR, パッチ管理
アプリケーション 入力検証, セキュアコーディング, SAST/DAST
データ 暗号化, アクセス制御, DLP
アイデンティティ MFA, SSO, 特権アクセス管理

ゼロトラストアーキテクチャ

コア原則:

  1. 絶対に信頼せず、常に検証する
  2. 侵害を前提とした考え方
  3. 最小特権アクセス
  4. マイクロセグメンテーション
  5. 継続的な検証

実装:

  • アイデンティティベースのアクセス (ネットワークベースではない)
  • デバイスの健全性検証
  • 継続的な認証
  • あらゆる場所での暗号化された通信
  • 詳細なロギングと監視

認証パターン

OAuth 2.0 / OIDC

グラントタイプ:

グラント ユースケース
Authorization Code + PKCE Web/モバイルアプリ
Client Credentials サービス間通信
Device Code CLI ツール, IoT

トークンのベストプラクティス:

  • 短寿命のアクセストークン (15分 - 1時間)
  • 安全なリフレッシュトークンのストレージ
  • 使用時のトークンローテーション
  • 失効機能

セッション管理

  • 安全な、HttpOnly, SameSite クッキー
  • セッションタイムアウト (アイドルおよび絶対)
  • ログアウト時のセッション無効化
  • 同時セッション制限
  • デバイス/IPへのセッションバインディング

多要素認証

  • TOTP (認証アプリ)
  • WebAuthn/FIDO2 (ハードウェアキー)
  • プッシュ通知
  • SMS (最後の手段、SIMスワップに脆弱)

認可パターン

RBAC (ロールベースアクセス制御)

Users → Roles → Permissions

最適なケース: 明確に定義された組織階層

ABAC (属性ベースアクセス制御)

If user.department == "engineering" AND
   resource.classification == "internal" AND
   time.hour BETWEEN 9 AND 17
THEN allow

最適なケース: 複雑で動的なアクセス要件

Policy as Code

OPA/Rego または Cedar を使用してポリシーを外部化します。

  • バージョン管理されたポリシー
  • テスト可能なアクセスルール
  • 監査証跡
  • 関心の分離

セキュア開発

OWASP Top 10 対策

リスク 対策
Injection パラメータ化されたクエリ、入力検証
Broken Auth 強力なパスワードポリシー、MFA、レート制限
Sensitive Data 暗号化、最小限のデータ収集
XXE 外部エンティティの無効化
Broken Access 認可チェック、デフォルト拒否
Misconfig 安全なデフォルト、ハーディングガイド
XSS 出力エンコーディング、CSP
Deserialization 整合性チェック、信頼できないデータの回避
Components 依存関係スキャン、アップデート
Logging 集中ロギング、アラート

セキュリティテスト

SAST (静的解析):

  • すべてのコミットで実行
  • 重大な検出結果をブロック
  • ツール: Semgrep, CodeQL, SonarQube

DAST (動的解析):

  • ステージング/開発環境に対して実行
  • ツール: OWASP ZAP, Burp Suite

依存関係スキャン:

  • 既知の脆弱性のチェック
  • ツール: Snyk, Dependabot, npm audit

シークレット管理

絶対にしないこと:

  • シークレットを git にコミットする
  • シークレットをログに記録する
  • URL でシークレットを渡す
  • シークレットをハードコードする

すること:

  • シークレットマネージャーを使用する (Vault, AWS Secrets Manager)
  • シークレットを定期的にローテーションする
  • シークレットアクセスを監査する
  • 短寿命の認証情報を使用する

コンプライアンスフレームワーク

共通要件

フレームワーク 注力分野
SOC 2 トラストサービス (セキュリティ、可用性など)
HIPAA 医療データの保護
PCI-DSS 決済カードデータ
GDPR EU 個人データ保護
ISO 27001 情報セキュリティマネジメント

主要な制御

  • アクセス制御と認証
  • 暗号化 (保存時および転送時)
  • ロギングと監視
  • インシデント対応手順
  • 事業継続計画
  • ベンダー管理
  • 従業員のセキュリティトレーニング

インシデント対応

対応フェーズ

  1. 準備: ランブック、ツール、トレーニング
  2. 検知: 監視、アラート、トリアージ
  3. 封じ込め: 隔離、証拠保全
  4. 根絶: 脅威の除去、脆弱性の修正
  5. 復旧: サービスの復元、クリーンな状態の検証
  6. 教訓: 事後分析、改善

深刻度レベル

レベル 説明 対応時間
P1 アクティブな侵害、データ流出 即時
P2 脆弱性が悪用されている 4時間以内
P3 高リスクの脆弱性が発見された 24時間以内
P4 セキュリティ改善が必要 次のスプリント

参照ファイル

  • references/threat_modeling.md - STRIDE 手法と例
  • references/compliance_controls.md - フレームワーク固有の制御マッピング

他のスキルとの統合

  • cloud-infrastructure - クラウドセキュリティ向け
  • debugging - セキュリティインシデント調査向け
  • testing - セキュリティテストパターン向け
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Security Engineering

Comprehensive security engineering skill covering application security, infrastructure security, compliance, and incident response.

When to Use This Skill

  • Designing security architecture
  • Implementing authentication and authorization
  • Conducting threat modeling
  • Security code review
  • Implementing compliance controls (SOC2, HIPAA, PCI-DSS)
  • Incident response planning
  • Security monitoring and alerting

Security Architecture

Defense in Depth

Layer security controls at multiple levels:

Layer Controls
Perimeter Firewall, WAF, DDoS protection
Network Segmentation, IDS/IPS, VPN
Host Hardening, EDR, patch management
Application Input validation, secure coding, SAST/DAST
Data Encryption, access control, DLP
Identity MFA, SSO, privileged access management

Zero Trust Architecture

Core Principles:

  1. Never trust, always verify
  2. Assume breach mentality
  3. Least privilege access
  4. Micro-segmentation
  5. Continuous verification

Implementation:

  • Identity-based access (not network-based)
  • Device health verification
  • Continuous authentication
  • Encrypted communications everywhere
  • Detailed logging and monitoring

Authentication Patterns

OAuth 2.0 / OIDC

Grant Types:

Grant Use Case
Authorization Code + PKCE Web/mobile apps
Client Credentials Service-to-service
Device Code CLI tools, IoT

Token Best Practices:

  • Short-lived access tokens (15 min - 1 hour)
  • Secure refresh token storage
  • Token rotation on use
  • Revocation capabilities

Session Management

  • Secure, HttpOnly, SameSite cookies
  • Session timeout (idle and absolute)
  • Session invalidation on logout
  • Concurrent session limits
  • Session binding to device/IP

Multi-Factor Authentication

  • TOTP (authenticator apps)
  • WebAuthn/FIDO2 (hardware keys)
  • Push notifications
  • SMS (last resort, vulnerable to SIM swap)

Authorization Patterns

RBAC (Role-Based Access Control)

Users → Roles → Permissions

Best for: Well-defined organizational hierarchies

ABAC (Attribute-Based Access Control)

If user.department == "engineering" AND
   resource.classification == "internal" AND
   time.hour BETWEEN 9 AND 17
THEN allow

Best for: Complex, dynamic access requirements

Policy as Code

Use OPA/Rego or Cedar for externalized policy:

  • Version controlled policies
  • Testable access rules
  • Audit trail
  • Separation of concerns

Secure Development

OWASP Top 10 Mitigations

Risk Mitigation
Injection Parameterized queries, input validation
Broken Auth Strong password policy, MFA, rate limiting
Sensitive Data Encryption, minimal data collection
XXE Disable external entities
Broken Access Authorization checks, default deny
Misconfig Secure defaults, hardening guides
XSS Output encoding, CSP
Deserialization Integrity checks, avoid untrusted data
Components Dependency scanning, updates
Logging Centralized logging, alerting

Security Testing

SAST (Static Analysis):

  • Run on every commit
  • Block high-severity findings
  • Tools: Semgrep, CodeQL, SonarQube

DAST (Dynamic Analysis):

  • Run against staging/dev
  • Tools: OWASP ZAP, Burp Suite

Dependency Scanning:

  • Check for known vulnerabilities
  • Tools: Snyk, Dependabot, npm audit

Secrets Management

Never:

  • Commit secrets to git
  • Log secrets
  • Pass secrets in URLs
  • Hardcode secrets

Do:

  • Use secret managers (Vault, AWS Secrets Manager)
  • Rotate secrets regularly
  • Audit secret access
  • Use short-lived credentials

Compliance Frameworks

Common Requirements

Framework Focus Area
SOC 2 Trust services (security, availability, etc.)
HIPAA Healthcare data protection
PCI-DSS Payment card data
GDPR EU personal data protection
ISO 27001 Information security management

Key Controls

  • Access control and authentication
  • Encryption (at rest and in transit)
  • Logging and monitoring
  • Incident response procedures
  • Business continuity planning
  • Vendor management
  • Employee security training

Incident Response

Response Phases

  1. Preparation: Runbooks, tools, training
  2. Detection: Monitoring, alerting, triage
  3. Containment: Isolate, preserve evidence
  4. Eradication: Remove threat, patch vulnerabilities
  5. Recovery: Restore services, verify clean
  6. Lessons Learned: Post-mortem, improvements

Severity Levels

Level Description Response Time
P1 Active breach, data exfiltration Immediate
P2 Vulnerability being exploited < 4 hours
P3 High-risk vulnerability discovered < 24 hours
P4 Security improvement needed Next sprint

Reference Files

  • references/threat_modeling.md - STRIDE methodology and examples
  • references/compliance_controls.md - Framework-specific control mappings

Integration with Other Skills

  • cloud-infrastructure - For cloud security
  • debugging - For security incident investigation
  • testing - For security testing patterns