jpskill.com
📦 その他 コミュニティ

soc2-audit-prep

/cs:soc2-audit-prep <scope> — SOC 2 Type II readiness 6-question forcing interrogation. Observation-period focused. Use before Type II observation begins, mid-period checkpoint, or pre-field-test month-10 readiness.

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o soc2-audit-prep.zip https://jpskill.com/download/21758.zip && unzip -o soc2-audit-prep.zip && rm soc2-audit-prep.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21758.zip -OutFile "$d\soc2-audit-prep.zip"; Expand-Archive "$d\soc2-audit-prep.zip" -DestinationPath $d -Force; ri "$d\soc2-audit-prep.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して soc2-audit-prep.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → soc2-audit-prep フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] soc2-audit-prep

/cs:soc2-audit-prep — SOC 2 Type II 監査の質問

コマンド: /cs:soc2-audit-prep <scope>

SOC 2 Type II 監査人は、SOC 2 の作業を厳しく評価します。Type II サイクルに入る前に、観察期間に特化した6つの質問があります。

実行時期

  • 観察期間前(サイクルの1~2ヶ月目)
  • 観察期間中(6ヶ月目のチェックポイント)
  • フィールドテスト前(10ヶ月目)
  • レポート後(次サイクルの計画)
  • スコープ変更後(TSCカテゴリの追加)
  • 観察期間中の重大なインシデント発生後

6つのSOC 2 Type II 質問

1. スコープは何ですか、どのTSCカテゴリが含まれていますか?

セキュリティは常に必須です。その他は顧客の要求に基づいて選択されます。

  • セキュリティ下の共通基準(CC1-CC9)は常に含まれます
  • 可用性(A1):SLAコミットメントのあるSaaS向け
  • 処理の完全性(PI1):トランザクション/財務データを処理するシステム向け
  • 機密性(C1):専有/機密データを扱うシステム向け
  • プライバシー(P1-P8):個人データを扱うシステム向け(該当する場合、GDPRと重複)
  • AICPA AT-C 205 システム記述:完全性 + 正確性 + 境界の明確さ

2. 観察期間中にサイクルをスキップしたコントロールはありましたか?

Type II は一貫した運用を要求します。1回のサイクルスキップは例外となる可能性が高いです。

  • 四半期ごとのコントロール(例:アクセスレビュー):4四半期すべてが対象
  • 月ごとのコントロール(例:脆弱性スキャン):すべての月が対象
  • 継続的なコントロール(例:ロギング):期間中にギャップがないこと
  • 年次コントロール(例:BCP演習、トレーニング):期間内に完了していること

3. 期間中に実装されたコントロールの変更管理の証拠を見せてください。

期間中の変更は監査リスクが高いです。

  • 観察期間中に実装された新しいコントロール:変更管理で文書化されていること
  • 変更されたコントロール:根拠 + 発効日 + 以前のサンプルへの影響
  • 削除されたコントロール:根拠 + 顧客への影響評価
  • 戦略:期間中の変更を避け、次サイクルに延期すること

4. 例外ログはどこにあり、重要性評価はどうなっていますか?

リアルタイムの例外ロギング — 遡及的ではありません。

  • 各例外は発見時にログに記録され、監査時ではありません
  • 例外ごとに:何が / いつ / 影響 / 改善策 / 担当者
  • 重要性評価:例外が全体的なコントロール運用に影響を与えますか?
  • 監査法人のしきい値:通常、コントロールあたり1~2件の例外は許容されます。3件以上は指摘事項となります。

5. 観察期間の最初の月の各TSC基準からのサンプル証拠を見せてください。

最後の週ではなく — 最初の月です。

  • 監査法人は観察期間全体からサンプルを抽出します
  • 前半に集中した証拠は運用規律を示します
  • 後半に集中した証拠(最後の30日間)は「慌てている」兆候です
  • サンプルIDは運用システムから再現可能であるべきです

6. ISO 27001とのクロスウォークはどうなっていますか、どの証拠が再利用されますか?

75%のコントロールが重複 — 規範的なペアです。

  • cross_framework_mapper.py を実行して、信頼性の高い重複テーマを確認してください
  • 各共有成果物は両方の監査で引用されます(1つの収集、2つのレポート)
  • 監査カレンダーを cs-ciso-iso27001 と調整してください
  • 同じコントロールに対して重複する証拠ファイルを作成することは避けてください

ワークフロー

# 1. スコープ設定 + ギャップ分析(観察期間前)
python ../../ra-qm-team/skills/soc2-compliance/scripts/gap_analyzer.py current_state.json

# 2. ISO 27001 クロスウォーク付きコントロールマトリックス
python ../../ra-qm-team/skills/soc2-compliance/scripts/control_matrix_builder.py program.json

# 3. 継続的な証拠追跡(観察期間中)
python ../../ra-qm-team/skills/soc2-compliance/scripts/evidence_tracker.py evidence_log.json

# 4. 模擬監査(フィールドテスト前 10ヶ月目)
python ../../skills/compliance-os/scripts/audit_simulator.py soc2_scope.json

出力形式

# SOC 2 Type II 監査準備: <scope>
**日付:** YYYY-MM-DD
**観察期間:** YYYY-MM-DD から YYYY-MM-DD

## 行われている決定
[scoping | pre-observation | observation-status | pre-field | report-response]

## TSCスコープ
- セキュリティ: 含まれる
- 可用性: <yes/no>
- 処理の完全性: <yes/no>
- 機密性: <yes/no>
- プライバシー: <yes/no>

## 観察期間のステータス
- 経過月数: N / 12
- 一貫して運用されたコントロール: 全体の %
- 特定されたサイクルスキップ: <list>
- 期間中のコントロール変更: N (それぞれ変更管理で文書化: yes/no)

## 例外ログ
- 記録された例外の総数: N
- コントロールあたりの最大例外数: M (監査法人の許容範囲: 通常1-2)
- 重要な例外 (全体的なコントロールに影響): <list>
- 例外ごとの改善状況: complete/in-progress

## サンプル証拠の網羅性
- 1-3ヶ月目の証拠: complete/gaps
- 4-6ヶ月目の証拠: complete/gaps
- 7-9ヶ月目の証拠: complete/gaps
- 10-12ヶ月目の証拠: complete/gaps (レポート前ステータスのみ)

## ISO 27001 クロスウォークの再利用
- 信頼性の高い重複テーマ: N
- 証拠プール内の共有成果物: <count>
- 重複する証拠収集の回避: % 削減

## 監査法人の準備状況
- スコープ設定の議論: complete/pending
- AT-C 205 に基づくシステム記述: complete/pending
- ウォークスルーのリハーサル: complete/pending
- サンプル準備: complete/pending

## 評価
🟢 ON-TRACK | 🟡 NEEDS-ATTENTION | 🔴 MATERIAL-RISK

## トップ3のアクション
[担当者 + 観察期間のタイミングを含む具体的な次の3つのステップ]

ルーティング

  • /cs:compliance-readiness — 複数フレームワークのビュー用
  • /cs:iso27001-audit-prep — ISO 27001 クロスウォークペア用(75%重複)
  • /cs:gdpr-audit-prep — プライバシー TSC の重複用
  • /cs:ciso-review — エグゼクティブのサイバーセキュリティ戦略用

関連

バージョン: 1.0.0

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

/cs:soc2-audit-prep — SOC 2 Type II Forcing Questions

Command: /cs:soc2-audit-prep <scope>

The SOC 2 Type II auditor pressure-tests any SOC 2 work. Six observation-period-disciplined questions before any Type II cycle.

When to Run

  • Pre-observation period (months 1-2 of cycle)
  • Mid-observation period (month 6 checkpoint)
  • Pre-field-test (month 10)
  • Post-report (planning next cycle)
  • After scope change (adding TSC category)
  • After major incident during observation period

The Six SOC 2 Type II Questions

1. What's the scope, and which TSC categories are in?

Security always required; others elective based on customer ask.

  • Common Criteria (CC1-CC9) under Security always
  • Availability (A1): for SaaS with SLA commitments
  • Processing Integrity (PI1): for systems processing transactional / financial data
  • Confidentiality (C1): for systems handling proprietary / confidential data
  • Privacy (P1-P8): for systems handling personal data (overlap with GDPR if applicable)
  • AICPA AT-C 205 description of system: complete + accurate + boundaries clear

2. Did any control skip a cycle during observation period?

Type II requires consistent operation — single skipped cycle = likely exception.

  • Quarterly controls (e.g., access reviews): all 4 quarters covered
  • Monthly controls (e.g., vulnerability scans): all months covered
  • Continuous controls (e.g., logging): no gaps during period
  • Annual controls (e.g., BCP exercises, training): completed within period

3. Show me the change-management evidence for any control implemented mid-period.

Mid-period changes = high audit risk.

  • New controls implemented during observation: documented with change-management
  • Modified controls: rationale + effective date + impact on prior samples
  • Removed controls: rationale + customer impact assessment
  • Strategy: avoid mid-period changes; defer to next cycle

4. Where's the exception log, and what's the materiality assessment?

Real-time exception logging — not retroactive.

  • Each exception logged when discovered, not at audit time
  • Per exception: what / when / impact / remediation / owner
  • Materiality assessment: does the exception affect overall control operation?
  • Audit firm threshold: typically 1-2 exceptions per control acceptable; 3+ = finding

5. Show me sample evidence from each TSC criterion in the FIRST month of observation.

Not the last week — the first month.

  • Audit firm samples across the observation period
  • Front-loaded evidence demonstrates operational discipline
  • Back-loaded evidence (last 30 days) = "scrambling" signal
  • Sample IDs should be reproducible from operational systems

6. What's the cross-walk to ISO 27001, and which evidence reuses?

75% control overlap — the canonical pair.

  • Run cross_framework_mapper.py for HIGH-confidence overlap themes
  • Each shared artefact cited by both audits (one collection, two reports)
  • Coordinate audit calendar with cs-ciso-iso27001
  • Avoid producing duplicate evidence files for same control

Workflow

# 1. Scoping + gap analysis (pre-observation)
python ../../ra-qm-team/skills/soc2-compliance/scripts/gap_analyzer.py current_state.json

# 2. Control matrix with ISO 27001 cross-walk
python ../../ra-qm-team/skills/soc2-compliance/scripts/control_matrix_builder.py program.json

# 3. Continuous evidence tracking (during observation)
python ../../ra-qm-team/skills/soc2-compliance/scripts/evidence_tracker.py evidence_log.json

# 4. Mock audit (pre-field-test month 10)
python ../../skills/compliance-os/scripts/audit_simulator.py soc2_scope.json

Output Format

# SOC 2 Type II Audit Prep: <scope>
**Date:** YYYY-MM-DD
**Observation Period:** YYYY-MM-DD to YYYY-MM-DD

## The Decision Being Made
[scoping | pre-observation | observation-status | pre-field | report-response]

## TSC Scope
- Security: included
- Availability: <yes/no>
- Processing Integrity: <yes/no>
- Confidentiality: <yes/no>
- Privacy: <yes/no>

## Observation Period Status
- Months elapsed: N / 12
- Controls operated consistently: % of total
- Cycle skips identified: <list>
- Mid-period control changes: N (each documented with change-mgmt: yes/no)

## Exception Log
- Total exceptions logged: N
- Per-control max exceptions: M (audit firm tolerance: typically 1-2)
- Material exceptions (overall control affected): <list>
- Remediation status per exception: complete/in-progress

## Sample Evidence Coverage
- Month 1-3 evidence: complete/gaps
- Month 4-6 evidence: complete/gaps
- Month 7-9 evidence: complete/gaps
- Month 10-12 evidence: complete/gaps (only for pre-report status)

## ISO 27001 Cross-Walk Reuse
- HIGH-confidence overlap themes: N
- Shared artefacts in evidence pool: <count>
- Duplicate evidence collection avoided: % savings

## Audit Firm Readiness
- Scoping discussion: complete/pending
- Description of system per AT-C 205: complete/pending
- Walkthrough rehearsal: complete/pending
- Sample preparation: complete/pending

## Verdict
🟢 ON-TRACK | 🟡 NEEDS-ATTENTION | 🔴 MATERIAL-RISK

## Top 3 Actions
[3 concrete next steps with owner + observation-period timing]

Routing

  • /cs:compliance-readiness — for multi-framework view
  • /cs:iso27001-audit-prep — for ISO 27001 cross-walk pair (75% overlap)
  • /cs:gdpr-audit-prep — for Privacy TSC overlap
  • /cs:ciso-review — for executive cybersecurity strategy

Related

Version: 1.0.0