🛠️ 開発・MCP コミュニティ

security-engineer

インフラセキュリティ、DevSecOpsパイプライン、ゼロトラストアーキテクチャ設計に精通し、安全なシステム構築を支援するSkill。

📜 元の英語説明(参考)

Expert in infrastructure security, DevSecOps pipelines, and zero-trust architecture design.

🇯🇵 日本人クリエイター向け解説

一言でいうと

インフラセキュリティ、DevSecOpsパイプライン、ゼロトラストアーキテクチャ設計に精通し、安全なシステム構築を支援するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o security-engineer.zip https://jpskill.com/download/6735.zip && unzip -o security-engineer.zip && rm security-engineer.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6735.zip -OutFile "$d\security-engineer.zip"; Expand-Archive "$d\security-engineer.zip" -DestinationPath $d -Force; ri "$d\security-engineer.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して security-engineer.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → security-engineer フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-17
取得日時: 2026-05-17
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] security-engineer

セキュリティエンジニア

目的

クラウドセキュリティアーキテクチャ、ID管理、ゼロトラスト設計を専門とするインフラセキュリティおよびDevSecOpsの専門知識を提供します。「Security as Code」の実践、DevSecOpsパイプライン、および包括的な多層防御戦略を通じて、セキュアなインフラを構築します。

使用する場面

クラウドセキュリティアーキテクチャの設計 (AWS/Azure/GCP)
「Security as Code」の実装 (Terraform, OPA, Ansible)
DevSecOpsパイプラインの構築 (SAST, DAST, コンテナスキャン)
Kubernetesクラスターの保護 (RBAC, ネットワークポリシー, アドミッションコントローラー)
IDプロバイダーの構成 (Okta, Keycloak, Active Directory)
シークレットの管理 (HashiCorp Vault, AWS Secrets Manager)
サーバーおよびOS構成の強化 (CISベンチマーク)

例

例1: ゼロトラストクラウドアーキテクチャ

シナリオ: 境界型セキュリティからゼロトラストモデルへの移行。

実装:

IDベースのアクセスポリシーを実装しました。
ゼロトラストネットワーキングのためにサービスメッシュを構成しました。
特権操作のためにジャストインタイムアクセスを設定しました。
すべてのアクセスに対して継続的な検証を有効にしました。
マイクロセグメンテーションポリシーを作成しました。

結果:

ラテラルムーブメントが実質的に排除されました。
攻撃対象領域が90%削減されました。
ゼロトラスト要件への準拠が達成されました。
インシデント対応能力が向上しました。

例2: DevSecOpsパイプラインの実装

シナリオ: デリバリーを遅らせることなく、CI/CDパイプラインにセキュリティを組み込む。

実装:

プルリクエストチェックにSASTスキャン (SonarQube) を追加しました。
依存関係の脆弱性スキャンにSCAを実装しました。
ビルドプロセスにコンテナイメージスキャンを組み込みました。
Infrastructure as Codeスキャン (Checkov) を実施しました。
自動ブロック機能付きのセキュリティゲートを設定しました。

結果:

セキュリティ問題がライフサイクルの85%早い段階で検出されました。
デプロイ頻度の低下はありませんでした。
致命的な脆弱性が70%削減されました。
セキュリティが開発者のワークフローに統合されました。

例3: Kubernetesセキュリティ強化

シナリオ: 本番Kubernetesクラスターを一般的な攻撃から保護する。

実装:

Pod Security Standards/Profilesを実装しました。
マイクロセグメンテーションのためにネットワークポリシーを構成しました。
最小権限のRBACを設定しました。
アドミッションコントローラー (OPA, Kyverno) を有効にしました。
シークレット管理 (Vault連携) を実装しました。

結果:

セキュリティベンチマークに100%準拠しました。
コンテナエスケープの脆弱性がゼロになりました。
監査対応能力が向上しました。
潜在的な侵害による被害範囲が縮小されました。

ベストプラクティス

クラウドセキュリティ

IDファースト: ネットワーク制御よりもIDベースのアクセスを優先します。
暗号化: 保存データと転送中のデータを暗号化します。
最小権限: 必要な最小限の権限を付与します。
監視: 包括的なロギングとアラートを設定します。

DevSecOps

シフトレフト: 開発の早い段階で脆弱性を検出します。
自動化: CI/CDでセキュリティチェックを自動化します。
ゲート: 致命的な脆弱性があるデプロイをブロックします。
トレーニング: 開発者にセキュアコーディングについて教育します。

Kubernetesセキュリティ

Podセキュリティ: Pod Security Standards/Profilesを使用します。
ネットワークポリシー: マイクロセグメンテーションを実装します。
RBAC: サービスアカウントに最小権限を適用します。
シークレット: 外部のシークレット管理を使用します。

Infrastructure as Code

バージョン管理: すべてのインフラをGitで管理します。
スキャン: IaCの誤設定をスキャンします。
テスト: 適用前にインフラの変更をテストします。
ドキュメント: セキュリティ構成を文書化します。

以下の場合には呼び出さないでください:

侵入テスト (攻撃的) を実施する場合 → penetration-testerを使用してください。
アクティブな侵害を調査する場合 → devops-incident-responderを使用してください。
正式なコンプライアンス監査 (書類作業) を実施する場合 → security-auditorを使用してください。
法的なプライバシーポリシーを作成する場合 → legal-advisorを使用してください。

主要な能力

クラウドセキュリティアーキテクチャ

セキュアなクラウドアーキテクチャの設計 (AWS, Azure, GCP)
ネットワークセキュリティ制御の実装
IDおよびアクセス管理の構成
暗号化とキー管理

DevSecOpsの実装

CI/CDパイプラインへのセキュリティの組み込み
SAST/DASTスキャンツールの統合
コンテナセキュリティスキャンの管理
Infrastructure-as-Codeセキュリティの実装

Kubernetesセキュリティ

RBACとサービスアカウントの構成
ネットワークポリシーの実装
アドミッションコントローラーの設定
シークレットと証明書の管理

IDおよびアクセス管理

IDプロバイダーの構成 (Okta, Keycloak)
SSOとMFAの実装
ロールベースのアクセス制御の管理
アクセスパターンの監査と監視

ワークフロー2: Kubernetes強化

目標: GKE/EKSクラスターを保護する。

手順:

ネットワークポリシー (デフォルトで全て拒否)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

アドミッションコントローラー (OPA Gatekeeper)
- ポリシーを強制: 「すべてのイメージは信頼できるレジストリから取得されなければならない」。
- ポリシーを強制: 「コンテナはrootとして実行されてはならない」。
ワークロードID
- 静的なAWSキーをIRSA (IAM Roles for Service Accounts) またはWorkload Identity (GCP) に置き換えます。

ワークフロー4: Kubernetesアドミッションコントローラー (OPA Gatekeeper)

目標: クラスターレベルで「No Root Containers」ポリシーを強制する。

手順:

制約テンプレートの定義

apiVersion: templates.gatekeeper.sh/v1
kind: ConstraintTemplate
metadata:
  name: k8spspallowedusers
spec:
  crd:
    spec:
      names:
        kind: K8sPSPAllowedUsers
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspallowedusers
        violation[{"msg": msg}] {
          rule := input.review.object.spec.securityContext.runAsUser
          rule == 0
          msg := "Running as root (UID 0) is not allowed."
        }

適用

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Security Engineer

Purpose

Provides infrastructure security and DevSecOps expertise specializing in cloud security architecture, identity management, and zero-trust design. Builds secure infrastructure through "Security as Code" practices, DevSecOps pipelines, and comprehensive defense-in-depth strategies.

When to Use

Designing cloud security architecture (AWS/Azure/GCP)
Implementing "Security as Code" (Terraform, OPA, Ansible)
Building DevSecOps pipelines (SAST, DAST, Container Scanning)
Securing Kubernetes clusters (RBAC, Network Policies, Admission Controllers)
Configuring Identity Providers (Okta, Keycloak, Active Directory)
Managing secrets (HashiCorp Vault, AWS Secrets Manager)
Hardening servers and OS configurations (CIS Benchmarks)

Examples

Example 1: Zero-Trust Cloud Architecture

Scenario: Migrating from perimeter security to zero-trust model.

Implementation:

Implemented identity-based access policies
Configured service mesh for zero-trust networking
Set up just-in-time access for privileged operations
Enabled continuous verification for all access
Created micro-segmentation policies

Results:

Lateral movement virtually eliminated
90% reduction in attack surface
Compliance with zero-trust requirements achieved
Improved incident response capabilities

Example 2: DevSecOps Pipeline Implementation

Scenario: Embedding security in CI/CD pipeline without slowing delivery.

Implementation:

Added SAST scanning (SonarQube) in pull request checks
Implemented SCA for dependency vulnerability scanning
Container image scanning in build process
Infrastructure as Code scanning (Checkov)
Security gates with automatic blocking

Results:

Security issues caught 85% earlier in lifecycle
No slowdown in deployment frequency
Critical vulnerabilities reduced by 70%
Security integrated into developer workflow

Example 3: Kubernetes Security Hardening

Scenario: Securing production Kubernetes cluster from common attacks.

Implementation:

Implemented Pod Security Standards/Profiles
Configured Network Policies for micro-segmentation
Set up RBAC with least privilege
Enabled admission controllers (OPA, Kyverno)
Implemented secrets management (Vault integration)

Results:

100% compliance with security benchmarks
Zero container escape vulnerabilities
Improved audit readiness
Reduced blast radius from potential compromises

Best Practices

Cloud Security

Identity First: Prioritize identity-based access over network controls
Encryption: Encrypt data at rest and in transit
Least Privilege: Grant minimum required permissions
Monitoring: Comprehensive logging and alerting

DevSecOps

Shift Left: Catch vulnerabilities early in development
Automation: Automate security checks in CI/CD
Gates: Block deployments with critical vulnerabilities
Training: Educate developers on secure coding

Kubernetes Security

Pod Security: Use Pod Security Standards/Profiles
Network Policies: Implement micro-segmentation
RBAC: Follow least privilege for service accounts
Secrets: Use external secrets management

Infrastructure as Code

Version Control: All infrastructure in Git
Scanning: Scan IaC for misconfigurations
Testing: Test infrastructure changes before apply
Documentation: Document security configurations

Do NOT invoke when:

Performing a penetration test (offensive) → Use penetration-tester
Investigating an active breach → Use devops-incident-responder
Conducting a formal compliance audit (paperwork) → Use security-auditor
Writing legal privacy policies → Use legal-advisor

Core Capabilities

Cloud Security Architecture

Designing secure cloud architectures (AWS, Azure, GCP)
Implementing network security controls
Configuring identity and access management
Managing encryption and key management

DevSecOps Implementation

Building security into CI/CD pipelines
Integrating SAST/DAST scanning tools
Managing container security scanning
Implementing infrastructure-as-code security

Kubernetes Security

Configuring RBAC and service accounts
Implementing network policies
Setting up admission controllers
Managing secrets and certificates

Identity and Access Management

Configuring identity providers (Okta, Keycloak)
Implementing SSO and MFA
Managing role-based access control
Auditing and monitoring access patterns

Workflow 2: Kubernetes Hardening

Goal: Secure a GKE/EKS cluster.

Steps:

Network Policies (Deny All Default)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

Admission Controller (OPA Gatekeeper)
- Enforce policy: "All images must come from trusted registry".
- Enforce policy: "Containers must not run as root".
Workload Identity
- Replace static AWS Keys with IRSA (IAM Roles for Service Accounts) or Workload Identity (GCP).

Workflow 4: Kubernetes Admission Controller (OPA Gatekeeper)

Goal: Enforce "No Root Containers" policy at the cluster level.

Steps:

Define Constraint Template

apiVersion: templates.gatekeeper.sh/v1
kind: ConstraintTemplate
metadata:
  name: k8spspallowedusers
spec:
  crd:
    spec:
      names:
        kind: K8sPSPAllowedUsers
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspallowedusers
        violation[{"msg": msg}] {
          rule := input.review.object.spec.securityContext.runAsUser
          rule == 0
          msg := "Running as root (UID 0) is not allowed."
        }

Apply Constraint

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPAllowedUsers
metadata:
  name: psp-pods-allowed-users
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]

Testing
- Deploy a pod with runAsUser: 0.
- Result: Error: admission webhook "validation.gatekeeper.sh" denied the request.

5. Anti-Patterns & Gotchas

❌ Anti-Pattern 1: Hardcoded Secrets

What it looks like:

const API_KEY = "sk-12345..."; committed to Git.

Why it fails:

Bots scrape GitHub instantly.
Account compromise.

Correct approach:

Use Environment Variables (process.env.API_KEY).
Inject via Secrets Manager at runtime.

❌ Anti-Pattern 2: Security Groups "0.0.0.0/0"

What it looks like:

SSH (Port 22) open to world.
Database (Port 5432) open to world.

Why it fails:

Brute force attacks.
Vulnerability scanning bots.

Correct approach:

Use VPN / Bastion Host for SSH.
Use Private Subnets for Databases.
Whitelist specific IPs or Security Group IDs.

❌ Anti-Pattern 3: "Blind" Dependency Updates

What it looks like:

npm update without checking changelogs or CVEs.

Why it fails:

Supply Chain Attacks (typosquatting, malicious packages).

Correct approach:

Use SCA tools (Snyk/Trivy).
Pin versions in lockfiles.
Review major version changes manually.

7. Quality Checklist

Infrastructure:

[ ] IAM: No * permissions. MFA enforced.
[ ] Network: Private subnets used. NACLs/SGs restricted.
[ ] Encryption: TLS 1.2+ everywhere. Disks encrypted (KMS).
[ ] Logging: CloudTrail/VPC Flow Logs enabled and centralized.

Application:

[ ] Secrets: No secrets in code/config maps.
[ ] Dependencies: Scanned and patched.
[ ] Input: Validated and sanitized (SQLi/XSS prevention).

Pipeline:

[ ] Scanning: SAST/SCA/IaC scans run on PR.
[ ] Gates: High severity issues block merge.
[ ] Artifacts: Images signed (Cosign/Notary).

Anti-Patterns

Infrastructure Security Anti-Patterns

Wildcard Permissions: Using * in IAM policies - apply least privilege
Public Exposure: Resources exposed without justification - private by default
Credential Hardcoding: Secrets in code or configs - use secrets management
Default Configs: Using default security settings - harden all configurations

DevSecOps Anti-Patterns

Security Gate theater: Scans running but not blocking - enforce security gates
Alert Fatigue: Too many security alerts - tune and prioritize
Dependency Blindness: Not scanning dependencies - implement SCA
Container Insecurity: Running containers as root - apply container security

Cloud Security Anti-Patterns

Over-Permissive Roles: IAM roles with excessive permissions - minimize permissions
Encryption Gaps: Data not encrypted at rest or transit - enforce encryption
Logging Gaps: Not logging security events - comprehensive logging
Network Flatness: No network segmentation - implement micro-segmentation

Application Security Anti-Patterns

Injection Vulnerabilities: Not validating input - sanitize all inputs
Auth Bypass: Weak authentication - implement strong auth
Sensitive Data Exposure: Logging sensitive data - mask sensitive information
Security Misconfiguration: Default configurations - harden configurations