ciso-review
/cs:ciso-review <plan> — Risk-paranoid interrogation of any plan that touches data, compliance, or production access.
下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o ciso-review.zip https://jpskill.com/download/21691.zip && unzip -o ciso-review.zip && rm ciso-review.zip$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21691.zip -OutFile "$d\ciso-review.zip"; Expand-Archive "$d\ciso-review.zip" -DestinationPath $d -Force; ri "$d\ciso-review.zip"完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。
💾 手動でダウンロードしたい(コマンドが難しい人向け)
- 1. 下の青いボタンを押して
ciso-review.zipをダウンロード - 2. ZIPファイルをダブルクリックで解凍 →
ciso-reviewフォルダができる - 3. そのフォルダを
C:\Users\あなたの名前\.claude\skills\(Win)または~/.claude/skills/(Mac)へ移動 - 4. Claude Code を再起動
⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。
🎯 このSkillでできること
下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。
📦 インストール方法 (3ステップ)
- 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
- 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
- 3. 展開してできたフォルダを、ホームフォルダの
.claude/skills/に置く- · macOS / Linux:
~/.claude/skills/ - · Windows:
%USERPROFILE%\.claude\skills\
- · macOS / Linux:
Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。
詳しい使い方ガイドを見る →- 最終更新
- 2026-05-18
- 取得日時
- 2026-05-18
- 同梱ファイル
- 1
📖 Skill本文(日本語訳)
※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。
/cs:ciso-review — CISO強制質問
コマンド: /cs:ciso-review <plan>
リスクを過度に心配する脅威モデラー。顧客データまたはコンプライアンスの範囲に触れる本番環境への変更を行う前に、6つの質問をします。
実行するタイミング
- PII / PHI /カード所有者データに触れるシステムをデプロイする前
- データアクセス権を持つ新しいベンダーと契約する前
- コンプライアンス監査(SOC 2、ISO 27001、HIPAA、GDPR)の前
- 信頼境界を越えるアーキテクチャ上の決定を行う前
- ニアミスインシデントの後
6つのCISO質問
1. 脅威モデル
このシステムのSTRIDE脅威モデルは何ですか?そして、どの脅威が最も可能性が高いですか?
- Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Info Disclosure(情報漏えい)、DoS(サービス拒否)、Elevation of Privilege(権限昇格)。
- 可能性 × 影響で上位3つを選んでください。
2. 爆発半径
これが完全に侵害された場合、どのようなデータが露出し、何人のユーザーが影響を受けますか?
- 最悪のケースを平易な言葉で説明してください。
- FAIRベースのALEでドル換算して定量化してください。
3. 検出
侵害を示すシグナルは何ですか?そして、それらがトリガーされるまでの時間(MTTD)はどれくらいですか?
- ログだけでは検出ではありません。
- 検出ルール、アラート、オンコールを定義してください。
4. 対応
このシナリオに対するIRランブックはありますか?そして、それは机上訓練でテストされましたか?
- ランブックがない場合:出荷前に作成してください。
- 未テストの場合:出荷前に机上訓練を行ってください。
5. 規制通知期間
このシナリオが発生した場合、規制当局への通知期間はどれくらいですか?
- GDPR:72時間。HIPAA:60日。州のデータ侵害法は異なります。
- 顧客への連絡テンプレートを事前に作成してください。
6. ベンダーとサプライチェーン
どのサードパーティベンダーが対象範囲ですか?そして、彼らのセキュリティ体制はどうですか?
- サブプロセッサーリストは最新ですか?
- DPAは締結されていますか?
- ベンダーごとの最終セキュリティレビューはいつですか?
ワークフロー
python ../../../skills/ciso-advisor/scripts/risk_quantifier.py
python ../../../skills/ciso-advisor/scripts/compliance_tracker.py出力形式
# CISO Review: <plan>
**Date:** YYYY-MM-DD
## Threat Model
- Top threat: <STRIDE category> — <description>
- Likelihood: H/M/L | Impact: H/M/L
- ALE: $X / year
## Blast Radius
- Data exposed (worst case): <description>
- Users affected: N
- Estimated cost: $X
## Detection
- MTTD target: X hours
- Current MTTD: X hours
- Detection rule: <name>
## Response
- IR runbook: ✅ / ❌
- Last tabletop: <date>
## Regulatory
- Frameworks in scope: SOC 2 / ISO 27001 / HIPAA / GDPR
- Notification window: X hours/days
## Vendors
- New vendors added: N
- DPAs signed: N / N
- Security reviews complete: N / N
## Verdict
🟢 SHIP | 🟡 MITIGATE THEN SHIP | 🔴 BLOCKルーティング
/cs:cto-review— アーキテクチャの整合性/cs:gc-review— DPA、規制上の影響/cs:decide— リスク受容の記録/cs:boardroom— 致命的なリスクの場合
関連
- エージェント:
cs-ciso-advisor - スキル:
ciso-advisor - コンプライアンス:
../../../../ra-qm-team/
バージョン: 1.0.0
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開
/cs:ciso-review — CISO Forcing Questions
Command: /cs:ciso-review <plan>
The risk-paranoid threat-modeler. Six questions before any production change that touches customer data or compliance scope.
When to Run
- Before deploying any system that touches PII / PHI / cardholder data
- Before signing a new vendor with data access
- Before a compliance audit (SOC 2, ISO 27001, HIPAA, GDPR)
- Before any architecture decision crossing trust boundaries
- After any near-miss incident
The Six CISO Questions
1. Threat Model
What's the STRIDE threat model for this system, and which threat is most likely?
- Spoofing, Tampering, Repudiation, Info Disclosure, DoS, Elevation of Privilege.
- Pick the top 3 by likelihood × impact.
2. Blast Radius
If this is fully compromised, what data is exposed and how many users are affected?
- Worst case in plain English.
- Quantify in dollars via FAIR-based ALE.
3. Detection
What signals indicate compromise, and how long until they're triggered (MTTD)?
- Logs alone are not detection.
- Define the detection rule, the alert, and the on-call.
4. Response
Is there an IR runbook for this scenario, and has it been tabletop-tested?
- If no runbook: build one before ship.
- If untested: tabletop before ship.
5. Regulatory Window
What's the regulator notification window if this scenario occurs?
- GDPR: 72h. HIPAA: 60d. State breach laws vary.
- Pre-write the customer comms template.
6. Vendor & Supply Chain
Which third-party vendors are in scope, and what's their security posture?
- Subprocessor list current?
- DPAs in place?
- Last security review per vendor?
Workflow
python ../../../skills/ciso-advisor/scripts/risk_quantifier.py
python ../../../skills/ciso-advisor/scripts/compliance_tracker.pyOutput Format
# CISO Review: <plan>
**Date:** YYYY-MM-DD
## Threat Model
- Top threat: <STRIDE category> — <description>
- Likelihood: H/M/L | Impact: H/M/L
- ALE: $X / year
## Blast Radius
- Data exposed (worst case): <description>
- Users affected: N
- Estimated cost: $X
## Detection
- MTTD target: X hours
- Current MTTD: X hours
- Detection rule: <name>
## Response
- IR runbook: ✅ / ❌
- Last tabletop: <date>
## Regulatory
- Frameworks in scope: SOC 2 / ISO 27001 / HIPAA / GDPR
- Notification window: X hours/days
## Vendors
- New vendors added: N
- DPAs signed: N / N
- Security reviews complete: N / N
## Verdict
🟢 SHIP | 🟡 MITIGATE THEN SHIP | 🔴 BLOCKRouting
/cs:cto-review— architecture alignment/cs:gc-review— DPA, regulatory implications/cs:decide— log risk acceptance/cs:boardroom— for CRITICAL risks
Related
- Agent:
cs-ciso-advisor - Skill:
ciso-advisor - Compliance:
../../../../ra-qm-team/
Version: 1.0.0