jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ Vulnerability Scanner

vulnerability-scanner

OWASPやサプライチェーンセキュリティなどの高度な脆弱性分析に基づき、攻撃対象領域を特定し、リスクを優先順位付けして、セキュリティ上の弱点を効率的に発見・管理するSkill。

⏱ RAG構築 1週間 → 1日

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Advanced vulnerability analysis principles. OWASP 2025, Supply Chain Security, attack surface mapping, risk prioritization.

🇯🇵 日本人クリエイター向け解説

一言でいうと

OWASPやサプライチェーンセキュリティなどの高度な脆弱性分析に基づき、攻撃対象領域を特定し、リスクを優先順位付けして、セキュリティ上の弱点を効率的に発見・管理するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o vulnerability-scanner.zip https://jpskill.com/download/3688.zip && unzip -o vulnerability-scanner.zip && rm vulnerability-scanner.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3688.zip -OutFile "$d\vulnerability-scanner.zip"; Expand-Archive "$d\vulnerability-scanner.zip" -DestinationPath $d -Force; ri "$d\vulnerability-scanner.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して vulnerability-scanner.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → vulnerability-scanner フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
2

💬 こう話しかけるだけ — サンプルプロンプト

  • Vulnerability Scanner を使って、最小構成のサンプルコードを示して
  • Vulnerability Scanner の主な使い方と注意点を教えて
  • Vulnerability Scanner を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

脆弱性スキャナー

攻撃者のように考え、専門家のように防御する。2025年の脅威の状況を認識する。

🔧 ランタイムスクリプト

自動検証のために実行します。

スクリプト 目的 使用法
scripts/security_scan.py 適用されたセキュリティ原則を検証します python scripts/security_scan.py <project_path>

📋 参照ファイル

ファイル 目的
checklists.md OWASP Top 10、認証、API、データ保護のチェックリスト

1. セキュリティ専門家の考え方

中核となる原則

原則 適用
Assume Breach 攻撃者がすでに内部にいるかのように設計します
Zero Trust 決して信頼せず、常に検証します
Defense in Depth 複数の層、単一障害点なし
Least Privilege 最小限の必要なアクセスのみ
Fail Secure エラー発生時はアクセスを拒否します

脅威モデリングの質問

スキャンする前に、次の質問をします。

  1. 何を保護していますか? (資産)
  2. 誰が攻撃しますか? (脅威アクター)
  3. どのように攻撃しますか? (攻撃ベクトル)
  4. どのような影響がありますか? (ビジネスリスク)

2. OWASP Top 10:2025

リスクカテゴリ

ランク カテゴリ 考慮事項
A01 Broken Access Control 誰が何にアクセスできますか?IDOR、SSRF
A02 Security Misconfiguration デフォルト、ヘッダー、公開されたサービス
A03 Software Supply Chain 🆕 依存関係、CI/CD、ビルドの整合性
A04 Cryptographic Failures 弱い暗号、公開されたシークレット
A05 Injection ユーザー入力 → システムコマンド
A06 Insecure Design 欠陥のあるアーキテクチャ
A07 Authentication Failures セッション、資格情報管理
A08 Integrity Failures 未署名の更新、改ざんされたデータ
A09 Logging & Alerting 死角、監視なし
A10 Exceptional Conditions 🆕 エラー処理、フェイルオープン状態

2025年の主な変更点

2021 → 2025年の変更点:
├── SSRFがA01 (アクセス制御) に統合
├── A02が昇格 (クラウド/コンテナ設定)
├── A03 NEW: サプライチェーン (主要な焦点)
├── A10 NEW: 例外的な条件
└── 焦点のシフト: 根本原因 > 症状

3. サプライチェーンセキュリティ (A03)

攻撃対象領域

ベクトル リスク 質問事項
Dependencies 悪意のあるパッケージ 新しい依存関係を監査していますか?
Lock files 整合性攻撃 コミットされていますか?
Build pipeline CI/CDの侵害 誰が変更できますか?
Registry タイポスクワッティング 検証済みのソースですか?

防御原則

  • パッケージの整合性を検証する (チェックサム)
  • バージョンを固定し、更新を監査する
  • 重要な依存関係にはプライベートレジストリを使用する
  • アーティファクトに署名し、検証する

4. 攻撃対象領域のマッピング

マッピングする内容

カテゴリ 要素
Entry Points API、フォーム、ファイルアップロード
Data Flows 入力 → 処理 → 出力
Trust Boundaries 認証/認可がチェックされる場所
Assets シークレット、PII、ビジネスデータ

優先順位付けマトリックス

リスク = 可能性 × 影響

高影響 + 高可能性 → CRITICAL
高影響 + 低可能性  → HIGH
低影響 + 高可能性  → MEDIUM
低影響 + 低可能性   → LOW

5. リスクの優先順位付け

CVSS + コンテキスト

要因 重み 質問
CVSS Score 基本的な深刻度 脆弱性の深刻度はどのくらいですか?
EPSS Score 悪用される可能性 悪用されていますか?
Asset Value ビジネスコンテキスト 何が危険にさらされていますか?
Exposure 攻撃対象領域 インターネットに面していますか?

優先順位付けの意思決定ツリー

EPSS >0.5で積極的に悪用されていますか?
├── YES → CRITICAL: 即時対応
└── NO → CVSSを確認
         ├── CVSS ≥9.0 → HIGH
         ├── CVSS 7.0-8.9 → 資産価値を考慮
         └── CVSS <7.0 → 後でスケジュール

6. 例外的な条件 (A10 - 新規)

フェイルオープン vs フェイルクローズ

シナリオ フェイルオープン (BAD) フェイルクローズ (GOOD)
認証エラー アクセスを許可する アクセスを拒否する
解析失敗 入力を受け入れる 入力を拒否する
タイムアウト 永遠に再試行する 制限 + 中止

確認事項

  • すべてをキャッチして無視する例外ハンドラー
  • セキュリティ操作におけるエラー処理の欠落
  • 認証/認可における競合状態
  • リソース枯渇シナリオ

7. スキャン方法論

フェーズベースのアプローチ

1. 偵察
   └── ターゲットを理解する
       ├── テクノロジースタック
       ├── エントリポイント
       └── データフロー

2. 発見
   └── 潜在的な問題を特定する
       ├── 設定レビュー
       ├── 依存関係分析
       └── コードパターン検索

3. 分析
   └── 検証と優先順位付け
       ├── 誤検知の排除
       ├── リスクスコアリング
       └── 攻撃チェーンのマッピング

4. レポート
   └── 実用的な発見事項
       ├── 明確な再現手順
       ├── ビジネスへの影響
       └── 修正ガイダンス

8. コードパターン分析

高リスクパターン

パターン リスク 探すべきもの
クエリ内の文字列連結 インジェクション "SELECT * FROM " + user_input
動的コード実行 RCE eval(), exec(), Function()
安全でない逆シリアル化 RCE pickle.loads(), unserialize()
パス操作 トラバーサル ファイルパス内のユーザー入力
無効化されたセキュリティ 各種 verify=False, --insecure

シークレットパターン

タイプ インジケーター
APIキー api_key, apikey, 高エントロピー
トークン token, bearer, jwt
資格情報 password, secret, key
クラウド AWS_, AZURE_, GCP_ プレフィックス

9. クラウドセキュリティの考慮事項

共有責任

レイヤー あなたが所有 プロバイダーが所有
データ
アプリケーション
OS/ランタイム 状況による 状況による
インフラストラクチャ

クラウド固有のチェック

  • IAM: 最小特権が適用されていますか?
  • ストレージ: パブリックなバケットはありますか?
  • ネットワーク: セキュリティグループは強化されていますか?
  • シークレット: 使用中
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Vulnerability Scanner

Think like an attacker, defend like an expert. 2025 threat landscape awareness.

🔧 Runtime Scripts

Execute for automated validation:

Script Purpose Usage
scripts/security_scan.py Validate security principles applied python scripts/security_scan.py <project_path>

📋 Reference Files

File Purpose
checklists.md OWASP Top 10, Auth, API, Data protection checklists

1. Security Expert Mindset

Core Principles

Principle Application
Assume Breach Design as if attacker already inside
Zero Trust Never trust, always verify
Defense in Depth Multiple layers, no single point
Least Privilege Minimum required access only
Fail Secure On error, deny access

Threat Modeling Questions

Before scanning, ask:

  1. What are we protecting? (Assets)
  2. Who would attack? (Threat actors)
  3. How would they attack? (Attack vectors)
  4. What's the impact? (Business risk)

2. OWASP Top 10:2025

Risk Categories

Rank Category Think About
A01 Broken Access Control Who can access what? IDOR, SSRF
A02 Security Misconfiguration Defaults, headers, exposed services
A03 Software Supply Chain 🆕 Dependencies, CI/CD, build integrity
A04 Cryptographic Failures Weak crypto, exposed secrets
A05 Injection User input → system commands
A06 Insecure Design Flawed architecture
A07 Authentication Failures Session, credential management
A08 Integrity Failures Unsigned updates, tampered data
A09 Logging & Alerting Blind spots, no monitoring
A10 Exceptional Conditions 🆕 Error handling, fail-open states

2025 Key Changes

2021 → 2025 Shifts:
├── SSRF merged into A01 (Access Control)
├── A02 elevated (Cloud/Container configs)
├── A03 NEW: Supply Chain (major focus)
├── A10 NEW: Exceptional Conditions
└── Focus shift: Root causes > Symptoms

3. Supply Chain Security (A03)

Attack Surface

Vector Risk Question to Ask
Dependencies Malicious packages Do we audit new deps?
Lock files Integrity attacks Are they committed?
Build pipeline CI/CD compromise Who can modify?
Registry Typosquatting Verified sources?

Defense Principles

  • Verify package integrity (checksums)
  • Pin versions, audit updates
  • Use private registries for critical deps
  • Sign and verify artifacts

4. Attack Surface Mapping

What to Map

Category Elements
Entry Points APIs, forms, file uploads
Data Flows Input → Process → Output
Trust Boundaries Where auth/authz checked
Assets Secrets, PII, business data

Prioritization Matrix

Risk = Likelihood × Impact

High Impact + High Likelihood → CRITICAL
High Impact + Low Likelihood  → HIGH
Low Impact + High Likelihood  → MEDIUM
Low Impact + Low Likelihood   → LOW

5. Risk Prioritization

CVSS + Context

Factor Weight Question
CVSS Score Base severity How severe is the vuln?
EPSS Score Exploit likelihood Is it being exploited?
Asset Value Business context What's at risk?
Exposure Attack surface Internet-facing?

Prioritization Decision Tree

Is it actively exploited (EPSS >0.5)?
├── YES → CRITICAL: Immediate action
└── NO → Check CVSS
         ├── CVSS ≥9.0 → HIGH
         ├── CVSS 7.0-8.9 → Consider asset value
         └── CVSS <7.0 → Schedule for later

6. Exceptional Conditions (A10 - New)

Fail-Open vs Fail-Closed

Scenario Fail-Open (BAD) Fail-Closed (GOOD)
Auth error Allow access Deny access
Parsing fails Accept input Reject input
Timeout Retry forever Limit + abort

What to Check

  • Exception handlers that catch-all and ignore
  • Missing error handling on security operations
  • Race conditions in auth/authz
  • Resource exhaustion scenarios

7. Scanning Methodology

Phase-Based Approach

1. RECONNAISSANCE
   └── Understand the target
       ├── Technology stack
       ├── Entry points
       └── Data flows

2. DISCOVERY
   └── Identify potential issues
       ├── Configuration review
       ├── Dependency analysis
       └── Code pattern search

3. ANALYSIS
   └── Validate and prioritize
       ├── False positive elimination
       ├── Risk scoring
       └── Attack chain mapping

4. REPORTING
   └── Actionable findings
       ├── Clear reproduction steps
       ├── Business impact
       └── Remediation guidance

8. Code Pattern Analysis

High-Risk Patterns

Pattern Risk Look For
String concat in queries Injection "SELECT * FROM " + user_input
Dynamic code execution RCE eval(), exec(), Function()
Unsafe deserialization RCE pickle.loads(), unserialize()
Path manipulation Traversal User input in file paths
Disabled security Various verify=False, --insecure

Secret Patterns

Type Indicators
API Keys api_key, apikey, high entropy
Tokens token, bearer, jwt
Credentials password, secret, key
Cloud AWS_, AZURE_, GCP_ prefixes

9. Cloud Security Considerations

Shared Responsibility

Layer You Own Provider Owns
Data
Application
OS/Runtime Depends Depends
Infrastructure

Cloud-Specific Checks

  • IAM: Least privilege applied?
  • Storage: Public buckets?
  • Network: Security groups tightened?
  • Secrets: Using secrets manager?

10. Anti-Patterns

❌ Don't ✅ Do
Scan without understanding Map attack surface first
Alert on every CVE Prioritize by exploitability + asset
Ignore false positives Maintain verified baseline
Fix symptoms only Address root causes
Scan once before deploy Continuous scanning
Trust third-party deps blindly Verify integrity, audit code

11. Reporting Principles

Finding Structure

Each finding should answer:

  1. What? - Clear vulnerability description
  2. Where? - Exact location (file, line, endpoint)
  3. Why? - Root cause explanation
  4. Impact? - Business consequence
  5. How to fix? - Specific remediation

Severity Classification

Severity Criteria
Critical RCE, auth bypass, mass data exposure
High Data exposure, privilege escalation
Medium Limited scope, requires conditions
Low Informational, best practice

Remember: Vulnerability scanning finds issues. Expert thinking prioritizes what matters. Always ask: "What would an attacker do with this?"

When to Use

This skill is applicable to execute the workflow or actions described in the overview.

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。