【元記事】
3行まとめ
- Claude Code用のセキュリティ診断スキル「claude-security-scan」を開発し、OWASP Top 10ベースの診断を全自動で実行
- 静的診断(依存関係脆弱性、シークレット漏洩、コード危険パターン)と動的診断(HTTPヘッダー、SQLi、JWT検証など)を網羅
- 1回あたり約$0.05、週次CI/CDで月$0.5程度で運用可能。本番URL実行ブロックやプロンプトインジェクション対策など安全設計も実装
要約
背景・課題
- セキュリティ診断ツール(Burp Suite、ZAP)の学習コストが高く、個人や小規模チームには現実的でなかった
- pentest業者への依頼は予算的に厳しく、個人開発サービスにはセキュリティ予算が取れない
- npm auditやgitleaksを個別に回しても、結果の解釈やOWASPカテゴリへのマッピングは結局自分で行う必要があった
アプローチ
- 「ツール実行→結果解釈→レポート生成」をClaude Codeに任せ、判定ロジックは決定的ツール(npm audit、gitleaks)に委ねる
- AIは「実行・解釈・レポート化」の指揮役に徹し、ブレのある判定を防ぐ
- 本番URL実行ブロック、プロンプトインジェクション対策(YAML構造化スキーマ)、出力フィルタ(機密情報マスク)を実装
成果・ポイント
/security-scanの一言で依存関係脆弱性スキャンから動的診断、シークレット漏洩検出までAIが実行- 1回あたり約12,800トークン($0.05)、週次CI/CDで月$0.3〜0.5に収まるコスト効率
- 検出結果はOWASP Top 10カテゴリ別に整理され、深刻度(Critical/High/Medium/Low)と修正方針を提案