ciso-review
作成者 alirezarezvaniciso-review は、顧客データ、コンプライアンス、ベンダー、信頼境界、本番アクセスに関わる計画を CISO 目線で確認する Security Audit プロンプトです。脅威モデル、影響範囲、検知、対応、規制上の露出、リリース可否リスクという6つの強制質問を使い、計画をブロッカー、緩和策、ローンチ判断のガイダンスへ整理します。
このスキルの評価は72/100です。ディレクトリ掲載には十分ですが、完全な CISO レビューシステムを求めるユーザーよりも、軽量なセキュリティレビュー用チェックリストを必要とするユーザーに向いています。リポジトリ上の根拠として、有効で焦点の絞られた SKILL.md があり、明確なコマンド、発動すべき状況、実質的な強制質問が示されています。一方で、導入判断をより後押しするサポート資料、例、インストールガイドは不足しています。
- 顧客データ、コンプライアンス、本番アクセス、監査、インシデント、信頼境界の変更に関わる計画に対して、`/cs:ciso-review <plan>` という明確なトリガーと呼び出し方法が用意されています。
- STRIDE による脅威モデリング、影響範囲、検知、インシデント対応、規制上の懸念を含む6つの強制質問で、CISO 視点のレビューを簡潔に組み立てられます。
- PII/PHI/cardholder data、FAIR-based ALE、MTTD、alerts、on-call ownership、tabletop-tested runbooks などの具体的なセキュリティ概念を挙げており、一般的なプロンプトよりもエージェントが踏み込んだ確認をしやすくなっています。
- サポートファイル、参考資料、例、インストール手順がないため、利用者は SKILL.md の内容だけを頼りにする必要があります。
- 運用面のガイダンスは、テンプレート、採点基準、具体的な成果物例を備えた完全なレビューワークフローというより、質問主導のチェックに近い構成です。
ciso-review skillの概要
ciso-reviewでできること
ciso-review skillは、顧客データ、コンプライアンス対象範囲、ベンダー、本番環境へのアクセス、信頼境界に関わる計画を、セキュリティ責任者の視点でレビューするためのプロンプトです。レビューは、CISOが確認するような6つの強制質問――脅威モデル、影響範囲、検知、インシデント対応、規制上の露出、リリース可否リスク――を軸に進みます。
本番変更、ベンダー選定、監査マイルストーン、インシデント後の是正計画の前に、懐疑的なSecurity Auditの観点を入れたいときに使います。価値は「一般的なセキュリティ助言」ではありません。何が起き得るのか、起きた場合にどこまで悪化するのか、検知できるのか、ローンチ前に何を直すべきかをAIアシスタントに洗い出させる、構造化された問い詰めの枠組みです。
向いているユーザーと意思決定
ciso-review skillは、すべての判断を正式な評価プロセスに持ち込むほどではないものの、素早い事前レビューが必要なエンジニアリングリード、創業者、セキュリティマネージャー、コンプライアンス担当者、プラットフォームチームに向いています。PII、PHI、決済データ、認証、認可、ログ、サードパーティ連携、特権アクセスを扱うシステムをデプロイする前には特に有用です。
一方で、深いエクスプロイト調査、ソースコードの脆弱性スキャン、有資格のセキュリティ評価者の代替には向きません。意思決定の質を上げるためのツールとして扱ってください。リスクを表に出し、問いを鋭くし、実際のSecurity Auditでの会話に備えるためのものです。
一般的なプロンプトとの違い
一般的な「これをセキュリティ観点でレビューして」というプロンプトは、広いチェックリストに終わりがちです。ciso-review skillは、アシスタントの役割をCISOの強制機能に絞り込みます。STRIDEによる脅威モデリング、最悪ケースの影響範囲、FAIRに近い損失の考え方、検知体制、インシデント対応体制、コンプライアンス影響を確認します。
この構造が重要なのは、導入の障害がたいてい「セキュリティの存在を忘れていた」ことではないからです。実際には、曖昧なオーナーシップ、定量化されていない露出、欠けている検知、未検証の対応計画、不明確なローンチ基準が問題になります。
ciso-review skillの使い方
ciso-reviewのインストールとリポジトリパス
GitHubのskillリポジトリからインストールするには、ディレクトリ標準のskillインストール手順を使います。例:
npx skills add alirezarezvani/claude-skills --skill ciso-review
skillは次の場所にあります。
c-level-advisor/c-level-agents/skills/ciso-review/SKILL.md
リポジトリ上の根拠を見る限り、追加のスクリプト、参照フォルダ、付随するルールファイルは示されていません。そのため、まず SKILL.md を読んでください。実装はコンパクトで、中心となる要素はコマンドパターン /cs:ciso-review <plan> と、6つの質問によるレビュー手順です。
skillに渡すべき入力
ciso-reviewを効果的に使うには、1行のアイデアだけを渡さないでください。計画、アーキテクチャ、扱うデータ、影響を受けるユーザー、ベンダー、アクセス経路、コントロール、監視、コンプライアンス文脈、ローンチ時期を含めます。
弱いプロンプト:
/cs:ciso-review We are adding a new analytics vendor.
より強いプロンプト:
/cs:ciso-review Review our plan to send product usage events to Vendor X. Data includes user_id, email, workspace_id, IP address, feature events, and timestamps. Vendor receives data via server-side API from production. SOC 2 scope applies; GDPR users are included. We currently have a DPA draft, SSO for vendor admin access, no field-level tokenization, logs in Datadog, and no specific detection rule for abnormal export volume. Launch target is next Friday. Identify top risks, required blockers, detection gaps, and a ship/no-ship recommendation.
後者のほうが出力の質が上がります。アシスタントが仮定を作りすぎることなく、影響範囲、検知、規制上の露出、対応準備を評価できるだけの文脈があるためです。
Security Audit準備の実務ワークフロー
ciso-review skillは、実装が凍結された後ではなく、セキュリティ承認の前に使います。有用な流れは次のとおりです。
- 変更計画を平易な英語で書く。
- データインベントリを追加する。データ種別、機微性、所在地、保持期間、影響を受けるユーザー数を含める。
- 信頼境界を追加する。内部サービス、ベンダー、管理者、顧客、CI/CD、本番アクセスを含める。
/cs:ciso-review <plan>を実行する。- 指摘事項を、ブロッカー、緩和策、オーナー、期限に落とし込む。
- 修正後にskillを再実行し、残余リスクが許容できるか確認する。
監査準備では、アシスタントに「すでにある証跡」と「まだ必要な証跡」を分けさせるとよいでしょう。SOC 2、ISO 27001、HIPAA、GDPR、ベンダーセキュリティレビュー用の資料として使いやすくなります。
出力を改善するコツ
実行の明確さが必要な場合は、文章の説明ではなく、優先順位付きのリスク表を依頼します。発生可能性、影響、影響を受ける資産、現在のコントロール、不足しているコントロール、オーナー、推奨判断を含めると効果的です。
追加するとよい指示の例:
- “Use STRIDE and call out the top 3 risks by likelihood × impact.”
- “Estimate worst-case exposure in users, records, systems, and business impact.”
- “Identify detection rules, alert owners, and MTTD assumptions.”
- “State what must be true before ship.”
- “Separate blockers from follow-up hardening.”
ciso-review skill FAQ
ciso-reviewはCISO専用ですか?
いいえ。ciso-review skillは、セキュリティ上重要な意思決定を行う人、またはその準備をする人なら誰にとっても有用です。CISOではないチームでも、セキュリティ責任者が投げかけるような問いを構造的に扱えます。ただし、最終承認はセキュリティ、法務、コンプライアンス、リスクの各責任者に委ねるべきです。
ciso-reviewは正式なSecurity Auditの代わりになりますか?
いいえ。Security Audit準備におけるciso-reviewは、事前レビューとギャップ発見のツールとして使うのが最適です。リスク、証跡、ローンチブロッカーの整理には役立ちますが、ペネトレーションテスト、コード分析、法務レビュー、正式な認証作業を行うものではありません。
ciso-reviewを使うべきでない場面は?
高リスクな規制対象システム、暗号設計、インシデント封じ込め、法的な侵害判定、本番環境の緊急対応において、唯一のレビュー手段として使うべきではありません。また、データ、アクセス、アーキテクチャ、コントロールについて十分な文脈を提供できない場合も避けてください。出力が仮定に大きく依存してしまいます。
レビュー可能な計画とは?
レビュー可能な計画とは、何が変わるのか、どのデータが関わるのか、誰がアクセスできるのか、どこを流れるのか、何が失敗し得るのか、どの監視があるのか、誰が対応するのか、どの規制が適用されるのか、どんな期限や事業上のプレッシャーがあるのかに答えられるものです。これらの事実が欠けている場合は、まず不足しているレビュー入力を集める手伝いをアシスタントに依頼してください。
ciso-review skillを改善する方法
ciso-reviewの結果は文脈を具体化すると改善する
ciso-reviewの出力を最も早く改善する方法は、暗黙のリスクを明示することです。図や簡潔なアーキテクチャメモ、認証・認可モデル、管理者ロール、ベンダーアクセス、暗号化の境界、保持期間、ログのカバレッジ、ロールバック手段を含めてください。
質の高い入力では、「ログを使っている」とだけ書くのでは不十分です。どのログか、どこに送られるのか、どのアラートが発火するのか、誰が受け取るのか、想定検知時間はどれくらいかまで書きます。このskillの検知に関する質問は、可観測性と実際に行動につながる検知とのギャップを明らかにするために設計されています。
注意すべきよくある失敗
主な失敗は、もっともらしいが汎用的な回答をそのまま受け入れてしまうことです。定量化された影響範囲、名前の付いた資産、具体的な検知シグナル、リリース可否の基準が出力にない場合は、突き返してください。
もう1つよくある問題は、コンプライアンスをコントロール要件ではなくラベルとして扱ってしまうことです。GDPR、HIPAA、SOC 2、ISO 27001、PCIとの関連が言及されているなら、どの証跡、ポリシー、コントロール、契約上の成果物が必要なのかを確認してください。
初回レビュー後に反復する
最初のciso-reviewが終わったら、未解決のブロッカーだけに絞って2回目のレビューを依頼します。例:
Re-review the plan assuming we added vendor SSO, IP allowlisting, a Datadog alert for export spikes, and an incident runbook. What residual risks remain, and what would still block launch?
これにより、skillは一度きりの批評ではなく、実務的なリスク低減ループになります。最終的に望ましい出力は、短い意思決定メモです。承認、条件付き承認、ブロックのいずれかを示し、証跡とオーナーを添えたものにします。
