ReddRadar
Agent skill
tool-security
MCPツールとAPI統合のセキュリティ設計を体系化するスキル。 脅威整理、制御設計、設定検証を通じて安全なツール運用を支援する。 Anchors: • Web Application Security / 適用: 脅威モデリング / 目的: 攻撃面の整理 • OWASP ASVS / 適用: セキュリティ要件 / 目的: 制御の網羅性 Trigger: Use when designing tool security controls, validating security configs, or reviewing secrets handling. tool security, threat modeling, config validation
Install this agent skill to your Project
npx add-skill https://github.com/majiayu000/claude-skill-registry/tree/main/skills/design/tool-security
SKILL.md
Tool Security
概要
MCPツールやAPI統合におけるセキュリティ設計を支援するスキル。脅威整理から制御設計、設定検証までを一貫した手順で提供する。
ワークフロー
Phase 1: 脅威と境界の整理
目的: ツール利用に伴う攻撃面と保護対象を整理する
アクション:
- データフローと境界を洗い出す
- 主要な脅威とリスクを分類する
- 保護対象と優先順位を決める
Task: agents/security-surface-analysis.md を参照
Phase 2: 制御設計と設定
目的: 脅威に対する制御を設計し、設定テンプレートを整備する
アクション:
- 認証/認可/入力検証の制御を設計する
- 設定テンプレートに反映する
- 監査ログと鍵管理の方針を決める
Task: agents/security-control-design.md を参照
Phase 3: 検証と監査
目的: セキュリティ設定の妥当性を検証し、運用監査を行う
アクション:
- 設定検証スクリプトで確認する
- 環境変数とシークレットの扱いを点検する
- 実行記録を保存する
Task: agents/security-validation.md を参照
Task仕様ナビ
| Task | 起動タイミング | 入力 | 出力 |
|---|---|---|---|
| security-surface-analysis | Phase 1 開始時 | ツール構成/データフロー | 脅威整理メモ |
| security-control-design | Phase 2 開始時 | 脅威整理/要件 | 制御設計書 |
| security-validation | Phase 3 開始時 | 設定/監査ログ | 検証レポート |
詳細仕様: 各Taskの詳細は agents/ ディレクトリを参照
ベストプラクティス
すべきこと
| 推奨事項 | 理由 |
|---|---|
| 攻撃面と保護対象を明確にする | 優先順位を誤らないため |
| 設定テンプレートを統一する | 運用ミスを減らすため |
| 検証スクリプトで確認する | 設定ミスを早期検出するため |
| 鍵とログの管理方針を明文化する | 監査性を確保するため |
避けるべきこと
| 禁止事項 | 問題点 |
|---|---|
| 影響範囲を確認せずに権限を付与する | 攻撃面が拡大する |
| 検証を省略して設定を反映する | 設定ミスが残る |
| ログを残さない | 監査や原因追跡が困難になる |
リソース参照
scripts/(決定論的処理)
| スクリプト | 機能 |
|---|---|
scripts/check-env-vars.mjs |
環境変数の安全性を点検する |
scripts/validate-security-config.mjs |
セキュリティ設定を検証する |
scripts/validate-skill.mjs |
スキル構造と必須成果物を検証する |
scripts/log_usage.mjs |
実行記録を保存する |
references/(詳細知識)
| リソース | パス | 読込条件 |
|---|---|---|
| 基礎概念 | references/Level1_basics.md | Phase 1 で参照 |
| 実務パターン | references/Level2_intermediate.md | Phase 2 で参照 |
| 応用戦略 | references/Level3_advanced.md | 監査時に参照 |
| エキスパート | references/Level4_expert.md | 高度化時に参照 |
| APIキー管理 | references/api-key-management.md | 認証設計時に参照 |
| 入力検証 | references/input-validation-guide.md | 制御設計時に参照 |
| 権限パターン | references/permission-patterns.md | 制御設計時に参照 |
assets/(テンプレート・素材)
| アセット | 用途 |
|---|---|
assets/security-config-template.json |
セキュリティ設定テンプレート |
assets/audit-log-schema.json |
監査ログのスキーマ |
変更履歴
| Version | Date | Changes |
|---|---|---|
| 2.0.0 | 2026-01-02 | Frontmatter再設計、Task仕様と検証フローを刷新 |
| 1.0.1 | 2025-12-24 | 初期バージョン |
Recommended Agent Skills
Expand your agent's capabilities with these related and highly-rated skills.
majiayu000/claude-skill-registry
agent-ops-spec
Manage specification documents in .agent/specs/. Use when user provides requirements, acceptance criteria, or feature descriptions that need to be tracked and validated against implementation.
majiayu000/claude-skill-registry
agent-ops-state
Maintain .agent state files. Use at session start, after meaningful steps, and before concluding: read/update constitution/memory/focus/issues/baseline consistently.
majiayu000/claude-skill-registry
agent-ops-spec
Manage specification documents in .agent/specs/. Use when user provides requirements, acceptance criteria, or feature descriptions that need to be tracked and validated against implementation.
majiayu000/claude-skill-registry
agent-ops-testing
Test strategy, execution, and coverage analysis. Use when designing tests, running test suites, or analyzing test results beyond baseline checks.
majiayu000/claude-skill-registry
agent-ops-testing
Test strategy, execution, and coverage analysis. Use when designing tests, running test suites, or analyzing test results beyond baseline checks.
majiayu000/claude-skill-registry
agent-ops-state
Maintain .agent state files. Use at session start, after meaningful steps, and before concluding: read/update constitution/memory/focus/issues/baseline consistently.
Didn't find tool you were looking for?