red-team
作成者 alirezarezvanired-team は、認可された敵対者シミュレーションの計画に使うスキルです。レッドチーム演習、攻撃パス分析、MITRE ATT&CK のシーケンス設計、チョークポイントのスコアリング、OPSEC リスクメモ、crown jewel ターゲティングに対応します。安全にスコープを定めた演習を進めるためのプランナースクリプトと方法論リファレンスも含まれています。
このスキルの評価は 82/100 で、汎用的な攻撃セキュリティ用プロンプトではなく、体系立てたレッドチーム演習計画を必要とするディレクトリ利用者にとって有力な掲載候補です。リポジトリ上の内容からは、方法論、ワークフローの指針、利用可能なプランナースクリプトが確認でき、エージェントが少ない推測でスキルを起動・実行しやすい構成になっています。一方で、インストール手順が不足していることと、対応テクニックの範囲が限られる可能性がある点は、導入のしやすさをやや制約します。
- トリガー範囲が明確です。認可されたレッドチーム演習、攻撃パス分析、攻撃シミュレーションを対象とし、脆弱性スキャンやインシデント対応とは明確に切り分けられています。
- SKILL.md には、kill-chain 手法、テクニックのスコアリング、チョークポイント分析、OPSEC リスク評価、crown jewel ターゲティング、ワークフロー、アンチパターン、相互参照など、実務向けの内容が充実しています。
- 実行可能な支援ツール `scripts/engagement_planner.py` が含まれており、使用例、認可ゲート、JSON 出力、終了コード、テクニックとアクセスレベルの検証に対応しています。
- skill path にはインストールコマンドや README がないため、ユーザーはリポジトリ全体の構成からインストール方法を推測する必要があります。
- 提供された抜粋を見る限り、プランナーは限定的な組み込みテクニックカタログを使用しているようです。より広範な MITRE ATT&CK カバレッジが必要なチームでは拡張が必要になる可能性があります。
red-team skill の概要
red-team skill の用途
red-team skill は、許可された敵対者シミュレーションの計画を支援するスキルです。構造化されたレッドチーム演習計画、攻撃パス、MITRE ATT&CK のテクニック順序、チョークポイント分析、OPSEC リスクメモ、クラウンジュエルのターゲティングを組み立てるために使います。場当たり的な攻撃的セキュリティのプロンプトではなく、再現性のある計画フレームワークを必要とするセキュリティチーム、コンサルタント、パープルチームのリード、AI エージェントに向いています。
これは脆弱性スキャナー、エクスプロイト生成ツール、インシデント対応プレイブックではありません。本来の役割は、許可された模擬攻撃者が、定義されたアクセスレベルから高価値資産へどのように到達し得るか、どのテクニックが運用上のリスクを高めるか、防御側がどこでコントロールを検証できるかを整理して考えることです。
向いているユーザーと演習タイプ
すでに書面による許可があり、対象環境のスコープが定義され、既知または候補となる MITRE ATT&CK テクニックがあり、計画成果物を作る必要がある場合に、この red-team skill を使います。特に次の用途に適しています。
- 署名済みの Rules of Engagement に基づく社内レッドチーム演習
- AD、データベース、クラウドストレージ、決済システムなどのクラウンジュエルに対する攻撃パス分析
- 防御側が想定テレメトリやチョークポイントを必要とするパープルチーム計画
- 攻撃パスに対して工数と検知リスクのスコアリングが必要な経営層向けリスク議論
一方で、基本的なチェックリスト、未認証の脆弱性探索、マルウェア開発、緊急トリアージだけが目的の場合には、あまり適していません。
この skill の違い
実用上の差別化ポイントは、計画の構造にあります。このリポジトリには SKILL.md、補助的な方法論ドキュメントである references/attack-path-methodology.md、ヘルパースクリプトの scripts/engagement_planner.py が含まれています。これらは組み合わせて、次の点に焦点を当てます。
- 選択したテクニックからのキルチェーンフェーズの組み立て
- 検知リスクと前提条件を使った工数スコアリング
- 攻撃パス全体におけるチョークポイントの特定
- OPSEC リスク評価
- クラウンジュエルへの経路計画
そのため red-team skill は、汎用的な「レッドチーム計画を作って」というプロンプトよりも、運用に落とし込みやすい形を持っています。
red-team skill の使い方
red-team のインストールとリポジトリの読み進め方
Claude skills 環境で次のコマンドを使って skill をインストールします。
npx skills add alirezarezvani/claude-skills --skill red-team
インストール後は、次の順番でファイルを読むと理解しやすくなります。
SKILL.md— メインのワークフロー、境界条件、アンチパターン、演習ロジックscripts/engagement_planner.py— 想定される入力と出力モデルreferences/attack-path-methodology.md— 攻撃パスグラフ、工数スコアリング、チョークポイント分析の説明
特にスクリプトは、プロンプトを書く前に確認すると役立ちます。実際に使う入力スキーマとして、--techniques、--access-level、--crown-jewels、--authorized、--json が見えるからです。
red-team skill に必要な入力
red-team を安定して使うには、漠然としたターゲット以上の情報を渡す必要があります。質の高い入力には、次のような要素が含まれます。
- 許可状況と RoE の要約
- 検知検証やクラウンジュエルへのアクセスシミュレーションなどの演習目的
- 開始時のアクセスレベル:
external、internal、credentialed - スコープ内のシステム、事業部門、クラウドアカウント、ネットワークセグメント
- スコープ外のシステムと禁止アクション
- 候補となる MITRE ATT&CK テクニック。例:
T1078、T1059、T1003 - クラウンジュエル。例: “Domain Controller”、“S3 Data Lake”、“PCI database”
- 検知、ログ、EDR に関する前提
- 必要な出力形式: 計画書、攻撃パステーブル、OPSEC リスクレジスター、JSON など
弱いプロンプトは「レッドチーム計画を作って」とだけ依頼します。より強いプロンプトは、skill がスコアリングして順序付けできる制約を渡します。
red-team をよりうまく使うためのプロンプトパターン
この skill を使うときは、リポジトリの方法論を要約させるだけでなく、それを適用するように依頼します。例:
Use the
red-teamskill to create an authorized engagement plan. We have signed RoE for a production-safe simulation against the corporate Windows domain. Starting access level iscredentialed. In scope: AD, endpoint fleet, internal file shares. Out of scope: destructive actions, persistence beyond test window, password spraying, and production data exfiltration. Candidate techniques:T1078,T1059.001,T1003.001,T1550.002. Crown jewels: Domain Controller and HR file share. Prioritize attack paths by effort score and detection risk, identify choke points, list OPSEC risks, and suggest defender validation points.
このプロンプトが有効なのは、許可、スコープ、アクセスレベル、テクニック、クラウンジュエル、出力への期待値を明確に渡しているためです。
engagement planner スクリプトの使い方
ナラティブな計画を書く前に構造化された出力が欲しい場合は、skill ディレクトリからヘルパースクリプトをローカル実行できます。
python3 scripts/engagement_planner.py --techniques T1059,T1078,T1003 --access-level external --authorized --json
対応している technique ID を確認するには --list-techniques を使います。このスクリプトは計画支援ツールであり、演習の完全な権限を与えるものではありません。内蔵されているテクニック一覧は限定的なので、必要に応じて実際の ATT&CK カタログや環境上の制約を skill へのプロンプトに反映してください。
red-team skill FAQ
red-team は Penetration Testing 向けですか?
red-team は Penetration Testing の作業を支援できますが、標準的なペネトレーションテストのチェックリストよりも範囲が狭く、戦略寄りです。Penetration testing は脆弱性の発見と検証を重視することが多いのに対し、この skill は敵対者シミュレーションに重点を置きます。つまり、テクニックの順序付け、攻撃パスのモデリング、チョークポイントの特定、検知と対応コントロールのテストです。
初心者でもこの red-team skill を使えますか?
初心者でも、構造化された演習計画を学ぶ目的では使えます。ただし、これを許可や運用上の実行権限として扱ってはいけません。この skill は、RoE、スコープ境界、MITRE ATT&CK 用語、アクセスレベル、そして正当なセキュリティ演習における OPSEC の重要性を理解していることを前提にしています。これらに不慣れな場合は、シニアなセキュリティレビュー担当者と一緒に使ってください。
導入時の主な障害は何ですか?
最大の障害は、許可の欠落、曖昧なスコープ、不十分な環境コンテキストです。アクセスレベル、許可されたテクニック、禁止アクション、クラウンジュエル、検知前提がないまま、「ある企業ネットワーク」を対象に責任ある計画を立てることはできません。もう一つの障害は、同梱スクリプトがすべての ATT&CK テクニックを網羅していると期待することです。これは実用的なプランナーであり、完全な ATT&CK データベースではありません。
使うべきでない場面は?
この skill を、許可のないターゲティング、エクスプロイト開発、マルウェア手順、認証情報の窃取、承認されたテスト範囲外での永続化、署名済み RoE のない実戦的な活動に使ってはいけません。また、タスクがインシデント対応、コンプライアンス証跡の収集、単純な脆弱性スキャンである場合も避けてください。それらには別のワークフローが必要です。
red-team skill を改善する方法
より強い制約で red-team の出力を改善する
red-team の結果を改善する最短の方法は、制約を明示することです。実施時間帯、ビジネス影響の上限、許可されたツール、禁止されたテクニック、ログ取得範囲、そして「成功」の定義を含めてください。たとえば、「HR file share へのアクセスをデータ持ち出しなしでシミュレートする」という指定は、「HR データに到達する」よりも安全で実行に移しやすい計画につながります。
注意すべきよくある失敗パターン
計画が汎用的すぎる、RoE の前提を飛ばしている、目立つテクニックを過度に優先している、検知リスクを無視している、といった出力に注意してください。もう一つよくある問題は、代替経路のない直線的なキルチェーンです。複数のパス、工数スコア、想定される検知ポイント、防御側がコントロールの有効性を測定できるチョークポイントを求めましょう。
最初の計画の後に反復する
最初の出力を得たら、狙いを絞ったフォローアップを行います。
- “Re-rank paths assuming EDR detects PowerShell heavily.”
- “Remove techniques outside credentialed-access scope.”
- “Convert this into a purple-team exercise table.”
- “Add expected telemetry for each phase.”
- “Identify the minimum safe simulation steps for executives.”
こうした反復によって、red-team ガイドは静的なテンプレートではなく、対象環境に即した計画になります。
自社環境向けに skill を拡張する
成熟したチームであれば、自社の ATT&CK マッピング、資産重要度モデル、EDR の可視性に関する前提、クラウド ID の経路、承認済みテクニックライブラリを使って skill の入力をカスタマイズできます。engagement_planner.py を調整し、社内のテクニック制約、検知スコア、クラウンジュエル定義を含めることもできます。この skill が実際のコントロールと RoE を反映するほど、攻撃パス分析はより有用になります。
