Agent Skills by ALSEL
汎用セキュリティ⭐ リポ 3品質スコア 71/100

compliance-audit

組織やイニシアチブが名指された規制枠組みに対してどの程度コンプライアンス対応できているかを、コントロールレベルで評価します。人間によるレビューの下書きおよび優先順位付けを支援するツールとして機能し、認証意見ではありません。

description の原文を見る

Produces a control-level compliance-readiness gap assessment of an organization or initiative against a named regulatory framework, as a drafting and triage aid for human review, not a certification opinion.

SKILL.md 本文

/compliance-audit

目的

/compliance-audit は、組織、事業部門、プロダクト、または特定のイニシアティブが指定された規制フレームワークに対して、コントロールレベルのコンプライアンス準備度ギャップ評価を生成します。フレームワークのカタログ内の各コントロールについて、スキルはそのコントロールを組織のプロセスとシステムにマッピングし、コントロールが要求するものと比較して実際に何があるかを評価し、利用可能な証拠と不足している証拠を識別し、優先順位付けされた改善ロードマップと証拠インベントリを生成します。これはドラフティングとトリアージの補助であり、認証意見ではなく、証明ではなく、正式な監査報告書ではなく、法的助言でもありません。

実は何か:フレームワークが要求するコントロールに名前を付け、組織の実際のプロセスにそれらをマッピングし、「フレームワークが期待するもの」と「組織が現在持っているもの」の間のギャップを表面化させるというアナリティカルな真実のパスです。ギャップは検証および改善するためのものとしてフレーミングされ、コンプライアンス状態についての結論としてではありません。

実ではない何か:認証監査、証明報告書、ライセンス監査人の代替(SOC 2 の CPA ファーム、ISO 27001 の認定レジストラ、PCI DSS の QSA)、規制リスク公開についての法的意見、または合格/不合格の評点。すべての調査結果は、具体的なソースドキュメントと具体的なコントロール要件に根拠を持つ仮説であり、人間(コンプライアンスオフィサー + 関連分野の弁護士 + 関連する場合は外部監査人)が検証するためのものです。

スキルは --framework によってパラメータ化されています。コア方法(スコープ → コントロールマッピング → ギャップ分析 → 改善ロードマップ → 証拠インベントリ)はフレームワーク全体で同じです。コントロールカタログのみが変わります。これは制限ではなく、設計選択です。フレームワークを追加することは、スキルの書き直しではなく、データ更新(compliance-frameworks ナレッジパック内の新しいアダプター)です。

使用する場合

以下の場合は /compliance-audit を起動します:

  • 外部監査人を参加させる前に、組織が今後の認証監査(SOC 2 Type I/II、ISO 27001、HIPAA、PCI DSS)に対する準備状況を評価する
  • 新しく規制された環境に展開するイニシアティブ(例えば、規制の対象となる銀行に展開される SaaS プロダクト、HIPAA の対象となるヘルスアプリ、EEA に進出する消費者向けプロダクト)のためにギャップ分析を生成する
  • M&A デューデリジェンスのためにコンプライアンス準備度エクスポートを準備する(ターゲット側またはアクワイアラー側)
  • 重大な変更後に再監査する(新しい管轄区域、新しいデータフロー、新しいサブプロセッサ、新しい AI ユースケース、新しい顧客セグメント)- アップデートモード
  • 違反に対応する際に、違反通知を管理するフレームワークに対する違反対応の姿勢をトリアージする
  • 実質的な外部監査人または弁護士による確認の前に、コンプライアンスオフィサーのためのコントロールレベルのチェックリストを準備する
  • 敵対的なパス(--mode adversarial)を使用して、認証前コンプライアンスの姿勢をストレステストする

使用しない場合

以下の場合は /compliance-audit を使用しないでください:

  • 契約条項ごとのレビュー が必要な場合 → /contract-review(フェーズ 3 A1)を使用します。/contract-review は CONTRACT を監査します。/compliance-audit は ORG または INITIATIVE をフレームワークに対して監査します。分析の単位が異なります。
  • 公開されているプライバシーポリシー開示監査 が必要な場合 → /privacy-policy-audit(フェーズ 3 A3)を使用します。A3 は POLICY DOCUMENT の開示十分性を監査します。A4 は ORG の CONTROLS を基礎となる規制フレームワークに対して監査します。A3 は --framework gdpr が選択されている場合 A4 のサブセットですが、A3 は開示ドキュメントの場合の方が高速で、より狭く、より焦点を絞っています。
  • NDA 固有のトリアージ が必要な場合 → /nda-triage(フェーズ 3 A2)を使用します
  • 6 つのドメイン全体のイニシアティブレベルのリスク状況 が必要な場合 → /risk-analysis(フェーズ 3 A5)を使用します。A5 はアップストリームです。「6 つのドメイン(法務、商業、オペレーション、規制、財務、評判)全体でどのような害が及ぶ可能性があるのか」という質問をします。A4 は A5 のダウンストリームです。規制上の露出を A5 が表面化させ、A4 は特定フレームワークのコントロールカタログにマッピングします。
  • 契約交渉ストレステスト が必要な場合 → /contract-stress-test(フェーズ 3 A7)を使用します
  • 適用可能なフレームワーク全体の AI システムガバナンス姿勢評価 が必要な場合 → /ai-regulatory-audit(フェーズ 5A C1.2b、将来)を使用します。A4 は組織に対して HORIZONTAL フレームワーク(SOC 2、GDPR、HIPAA)を監査します。C1.2b は AI SYSTEM のガバナンス姿勢をそれに適用される フレームワーク全体で監査します。AI がない企業でも A4 が必要です。AI はあるが水平規制露出がない企業でも C1.2b が必要です。A4 と C1.2b は競争者ではなく、補完者です。AI システムが規制された組織の内部に存在する場合、両方のスキルが実行されます。A4 は組織レベル、C1.2b はシステムレベルです。
  • **規制当局の露出または執行可能性についての ライセンスを持つ法的意見 が必要な場合 → 外部弁護士に相談します。スキルはこの代替にはなりません。
  • 顧客、規制当局、または投資家のための 正式な証明報告書 が必要な場合 → スキルは監査人への入力分析を生成します。監査人が証明を生成します。

スキルは意図的に /risk-analysis(6 つのドメインの 1 つとして規制ドメインを表面化させる)のダウンストリームと外部監査人参加(正式な意見を発行する)のアップストリームに位置しています。フレームワークのコントロール言語が組織の実際のプロセスに出会う場所です。

境界ステートメント(重要)

compliance-audit スキルは特定の交差点にあり、隣接スキルの領土にドリフトしてはいけません。ドリフトが重複する調査結果、一貫性のない深刻度、混乱した所有権を作成するため、境界は負荷が関係しています。

スキル分析の単位主な質問
/risk-analysis (A5)イニシアティブまたはディール「6 つのドメイン全体でどのような害が及ぶ可能性があるのか」
/contract-review (A1)特定の契約「この契約は条項ごとに何を言っているのか」
/privacy-policy-audit (A3)公開されているポリシードキュメント「ポリシーは規制が必要とする開示をしているのか」
/compliance-audit (A4)組織またはイニシアティブ対フレームワーク「フレームワークがどのようなコントロールを必要とするのか、そして組織は何を準備していますか」
/ai-regulatory-audit (C1.2b、将来)AI システム「AI システムの適用可能なフレームワーク全体のガバナンス姿勢は何ですか」

A4 は水平フレームワーク、コントロールレベル監査です。4 つの側面で境界があります:

  1. A5 に対して上へ:A4 は A5 の 6 ドメインのリスク状況をやり直しません。A5 が規制上の懸念を表面化させた場合、A4 はその懸念を入力として取り、特定フレームワークのコントロールにマッピングします。A4 調査結果が A5 調査結果と重なる場合、A4 は重複を明示的に注記し、A4 調査結果をディールレベルではなくコントロールレベルでフレーミングします。
  2. 契約とポリシーに対して下へ:A4 は特定の契約の条項(それは A1)または特定のポリシードキュメントの開示(それは A3)を監査しません。A4 調査結果が契約条項の変更を必要とする場合、A4 は A1 を指します。ポリシー開示の変更が必要な場合、A4 は A3 を指します。
  3. C1.2b に対して横へ:A4 は組織が何をするかに適用される水平フレームワークを監査します。C1.2b は AI システムを特に監査します。組織が水平フレームワークのスコープ内に AI がある場合(例えば、GDPR Art. 22 が AI スコアリングプロダクトに適用される)、A4 は GDPR コントロールをカバーし、C1.2b は AI システムの特定のガバナンス姿勢をカバーします。重複しません。A4 は「DPIA は記録されていますか」と問い、C1.2b は「AI システムの DPIA 方法論は防御可能ですか」と問います。
  4. 外部監査人に対して外へ:A4 は監査前ギャップ評価です。証明言語を発行せず、法的結論としての認証準備度について意見しておらず、CPA/QSA/レジストラ参加の代替にはならず、規制露出についての正式な意見ではありません。その出力は監査人の作業に栄養を与え、その逆ではありません。

ユーザーが A4 に隣接領土でいくつかをするように要求すると、スキルは拒否し、正しい兄弟スキルを指します。このスコープドリフトの変換は、不可視から阻止をするまでは、A3 が /data-mapping/dpia/cookie-tracker-audit、および /dpa-review に対して使用するものと同じパターンです。

モード

作成(デフォルト)

組織、イニシアティブ、またはプロダクトに対して、フレームワークスコープの完全な監査を実行します。出力セクションの構造に従って、新しいコンプライアンス監査出力ファイルを生成します。

/compliance-audit Legionis --framework soc2
/compliance-audit "AXIA Bank Discount deployment" --framework israeli-ppl-bank-discount
/compliance-audit SKYMOD --framework gdpr
/compliance-audit "acquisition target X" --framework custom-diligence-pack

アップデート

重大な変更後に再監査します。新しいコントロール証拠が文書化された、コントロールが改善された、新しい管轄区域またはサブプロセッサが追加された、またはフレームワーク改正。既存の監査出力へのパスを渡します。

/compliance-audit update AXIA/Product/compliance-audit-israeli-ppl-bank-discount-2026-04-11.md

アップデートモードは調査結果の番号付けを保持します(番号を変更するのではなく 7a、7b を追加)、~~打ち消し線~~と 1 行の理由で解決された調査結果をマークします。ファイルの下部に ## Changelog を保持し、組織が何を進めたかを記載します。

--mode adversarial

delegation-protocol.md から Pattern 5 Adversarial Review を起動します。新しいコンテキストの敵対的エージェント(通常 @general-counsel またはピアの @compliance-officer インスタンス)は、ドラファーの根拠を見ずに現在の監査調査結果をストレステストします。パターンは最大 2 イテレーションでキャップされます。名前付きの人間の同点決定者を、レビューが開始する前に指定する必要があります。

敵対的サブモードを以下の場合のみ使用します:

  • 監査は認証前で、見落とされたコントロールギャップのコストは重大です(監査調査結果、認証遅延、カスタマーエスカレーション)
  • 監査は M&A デューデリジェンスエクスポート用で、見落とされた調査結果のコストは重大です(ディールリスク、クローズ後補償責任)
  • 監査は規制されたデプロイ用です(銀行、医療システム、重要インフラストラクチャ)、見落とされたコントロールはゴーライブを遅延させる可能性があります
  • 名前付きの人間の同点決定者が利用可能です
  • 監査はほぼ最終版であり、スコープでまだ進化していません
/compliance-audit "AXIA Bank Discount deployment" --framework israeli-ppl-bank-discount --mode adversarial --tiebreaker "Yohay Etsion"

初期段階の準備度評価、ルーチンの年次メンテナンス、低リスクのトリアージの場合は、代わりに Pattern 1 Consultation でデフォルト作成モードを使用します。

必要な入力

スキルは出力を生成する前に以下を収集する必要があります。いずれかが不足している場合は、推測するのではなくユーザーに尋ねます。

入力必須
--frameworkはいsoc2 / gdpr / iso27001 / hipaa / israeli-ppl / nist-csf / pci-dss / custom-{name}
組織またはイニシアティブ名はい"AXIA Bank Discount deployment"
スコープステートメントはい"8,600 人の従業員の労働力の Bank of Israel 規制銀行にデプロイされた従業員監視 SaaS。クラウド LLM 推論。イスラエルデータ レジデンシー"
ソースドキュメント少なくとも 1 つ計画、ポリシー、以前の監査、コントロールマトリックス、契約、アーキテクチャダイアグラム、以前のリスク分析
事業区域はい(複数の場合があります)"イスラエル主要。EU 残留物と U.S. デラウェア親との国境を越えた考慮事項"
ステージはい"最初の監査に備えて" / "認証前" / "年次メンテナンス" / "違反対応" / "買収デューデリジェンス" / "展開前準備"
ステークホルダーリスト既知の場合"Asaf Massuri (AXIA CTO)、Yohay Etsion (Fractional CPO)、Dan (Bank Discount スポンサー)"
ユーザーが検討したい既知のギャップいずれかある場合"SOC 2 は開始されていないことをわかっていますが、ブリッジレターが整備される前に何を出荷できるかを知りたいのです"
同点決定者(敵対的モードのみ)敵対的の場合はい"Yohay Etsion"

管轄区域が不明な場合、スキルはドキュメントに基づいて防御可能な仮定を立て、出力で明示的にフラグを立てます。それは無言で拾いません。

フレームワークが v1.0.0 でスキルに不明な場合(compliance-frameworks ナレッジパックはまだ作成されていません。フェーズ 5A C1.5)、スキルはインラインフレームワーク定義をサポートします。ユーザーはフレームワーク名と簡潔なコントロールリストを提供するか、ユーザーは標準名(soc2、gdpr、iso27001、hipaa、israeli-ppl、nist-csf、pci-dss)を使用し、スキルはスキルの作成日付時点のコンプライアンスオフィサーのそのフレームワークのドメイン知識に依存します。カスタムフレームワークの場合、ユーザーは入力でコントロールカタログを提供する必要があります。

フレームワークアダプターパターン

スキルは --framework によってパラメータ化されています。コア方法はフレームワーク全体で同じです。コントロールカタログのみが変わります。

どのように動作するか

  1. スキルは指定されたフレームワークのフレームワークアダプターをロードします。アダプターは構造化されたコントロールカタログです。コントロールファミリのリスト、各ファミリ内のコントロールのリスト、各コントロール参照(例えば、"CC6.1")、コントロールステートメント(コントロールが要求すること)、コントロール目的、および証拠期待。
  2. スキルは各コントロールを、ソースドキュメントと入力コンテキストを使用して、組織のプロセスとシステムにマッピングします。
  3. 各コントロールについて、スキルはコントロールレベルで 1 つの調査結果(または関連する調査結果の小さなクラスター)を生成します。コントロール参照 → コントロールが要求すること → 組織が持っているもの対コントロールが要求するもの → 利用可能な証拠対不足している証拠 → 深刻度 → 提案される改善。

フレームワークアダプターソース(v1.0.0 以降)

v1.0.0 では、スキルは compliance-frameworks ナレッジパックが存在する前にシップします。パックは フェーズ 5A C1.5 にスケジュールされています。パックが作成されるまで、スキルは以下のフォールバックメカニズムを使用します:

  • 標準名のフレームワーク(soc2、gdpr、iso27001、hipaa、israeli-ppl、nist-csf、pci-dss):スキルはスキルの作成日付時点のコンプライアンスオフィサーのドメイン知識に依存します。これはギャップ評価作業には十分ですが、ナレッジパック内の最新アダプターの代替ではありません。
  • カスタムフレームワーク--framework custom-{name}):ユーザーは入力の一部としてコントロールカタログをインラインで提供します。スキルはユーザー提供のカタログをそのまま使用します。ユーザーはカタログの正確性に責任があります。
  • ハイブリッドフレームワーク(例えば、israeli-ppl-bank-discount は PPL + Directive 361 + 労働法をバンドルする):ユーザーは入力でバンドルを定義し、どの基礎フレームワークがスコープ内にあるかをリストします。スキルはバンドルをカスタムフレームワークとして扱い、バンドルされたスコープに対して監査を実行します。

フレームワークを追加することはスキルの書き直しではなく、データ更新です

compliance-frameworks ナレッジパックが フェーズ 5A C1.5 で作成されると、新しいフレームワークの追加は以下になります:

  1. アダプターファイルを作成します(compliance-frameworks/{framework-name}.md)で、構造化されたコントロールカタログを含みます
  2. このスキルのコードへの変更はありません
  3. スキルは新しいアダプターを自動的に選択します

これが、ナレッジパックが存在していないにもかかわらず、スキルが v1.0.0 でシップする理由です。v1.0.0 の制限は「構造化アダプターライブラリなし」です。v1.0.0 の機能は「ユーザーが説明できるまたは指定できるフレームワークに対して監査方法を実行します」です。機能は今すぐ有用です。制限は フェーズ 5A で改善されます。

日付に敏感な規制コンテンツのための current-status.md サイドカーパターン

規制フレームワークは進化します。EU AI Act マイルストーン、イスラエル PPL 修正(修正 13 は 2024 年に到着、修正 14 が保留中)、Bank of Israel ディレクティブ改正、EDPB 意見、CNIL ガイダンス。これらのすべては、急速に老化する日付があります。監査出力内に特定の日付をインラインにすると、古い成果物が作成されます。

スキルは日付に敏感なコンテンツのためにサイドカーパターンを使用します。監査出力が変更される可能性がある規制状態を参照する場合(例えば、「EU AI Act Article 10 は段階的開始スケジュールごとに Q3 2026 から適用されます」)、参照は監査出力の横に保存されたサイドカーファイルを指します:

AXIA/Product/
  compliance-audit-israeli-ppl-bank-discount-2026-04-11.md          ← 監査出力
  compliance-audit-israeli-ppl-bank-discount-2026-04-11-status.md   ← サイドカー

サイドカーは以下を保持します:(1)参照される各規制手段の現在の状態(日付とソース付き)、(2)有効日付を持つ既知の今後の変更、(3)次の監査で更新する必要があるシテーション。監査が Update モードで再実行されると、スキルは最初にサイドカーを更新し、次に更新されたステータスに対して監査調査結果を更新します。これは、基礎となる規制が移動するときに、監査調査結果がドリフトするのを防ぎます。

サイドカーパターンは フェーズ 5A C1.5 提案から継承されます(元々 /ai-regulatory-audit 用)、同じ日付感度問題が適用されるため、ここで適用されます。

出力構造

すべての /compliance-audit 出力は sensitive-skill-guardrails.md Section 3 に準拠しています。構造は交渉不可能です。実質的な調査結果は監査ごとに異なります。

1. 免責事項 + UPL ガードレール ブロック(上部)

sensitive-skill-guardrails.md Section 3.1 からの逐語的なブロック、{jurisdiction} が記入されています。コンプライアンス特定のフレーミングの場合、ブロックは以下のように適応されます(同じ構造、コンプライアンス適切な言語):

⚠️ 法的または監査的助言ではありません。 この出力は製品組織スキルによって生成されたドラフティングおよびトリアージ補助であり、弁護士、外部監査人、またはライセンスを持つコンプライアンス証明者ではありません。その作成または使用により、弁護士・依頼人またはクライアント・監査人の関係は作成されません。コンプライアンスの問題は管轄区域固有であり、事実固有です。以下の調査結果は、公開フレームワーク要件に対するコントロールレベルのギャップ仮説であり、コンプライアンス状態についての法的結論ではありません。この出力を、認証、規制、または材料コンプライアンス決定の唯一の根拠として依存しないでください。争点のあるすべての事項、規制当局に面する提出物、認証監査、および規制上の結果を伴う材料決定には、関連管轄区域に適格なライセンスを持つ弁護士による確認 AND 認定外部監査人(SOC 2 の CPA ファーム、ISO 27001 の認定レジストラ、PCI DSS の QSA、または同等の)との参加が必要です。

スコープ内の管轄区域: {例えば、"イスラエル + U.S. デラウェア残留物"}。調査結果は名前付きフレームワークのコントロール要件に対してフレーミングされます。操作が追加の管轄区域または追加の規制活動に拡張される場合、以下のすべての調査結果を体制ごとに再検証するための仮説として扱います。

2. 監査メタデータブロック

免責事項の下の小さなラベルブロック、含む:

  • フレームワーク--framework 値(例えば、israeli-ppl-bank-discount
  • フレームワークアダプターバージョン:使用されたアダプターの日付またはバージョン。v1.0.0 でナレッジパックがない場合は、これは「インライン定義、2026-04-11」または「標準名、コンプライアンスオフィサー ドメイン知識 2026-04-11」です
  • 組織/イニシアティブ:監査されているもの
  • スコープステートメント:ユーザー提供のスコープ
  • スコープ内の管轄区域:指定、明示的、国境を越えた考慮事項を含む
  • ステージ:監査準備中/認証前/年次メンテナンス/違反対応/買収デューデリジェンス/展開前準備
  • ソースドキュメント:パス付きで列挙
  • 監査日:今日
  • 監査バージョン:1.0.0 初期。アップデート用に 1.1、1.2 など
  • サイドカーステータスファイル:存在する場合は、-status.md サイドカーへのパス

3. ## Control Mapping(短い概要)

フレームワークのコントロール領域が組織のプロセスとシステムにマッピングされる方法の短い概要(複数ページのテーブルではなく、約半ページ)。目的は、調査結果が開始される前にフレームを明示することです。形式:コントロールファミリでグループ化されたリスト、各ファミリごとに 1 行の概要で、スコープ内のものと内部で所有している者を述べています。

Control Mapping は調査結果ではありません。これは調査結果の設定です。マッピングが、コントロールファミリ全体がスコープ外(例えば、「支払いカード処理は組織が PAN に触れないため N/A」)であることを明らかにする場合、マッピングはそう述べ、そのファミリの調査結果は生成されません。

4. ## Findings

番号付きリスト。各調査結果はコントロールレベル(A5 のようなディールレベルではなく、A1 のようなクローズレベルではない)にあります。各調査結果には以下があります:

  • コントロール参照:特定のフレームワーク引用(例えば、"SOC 2 CC6.1"、"GDPR Art. 32"、"ISO 27001 A.5.15"、"HIPAA 164.308(a)(1)(i)"、"Bank of Israel Directive 361 §4.2"、"PPL Section 17B"、"Data Security Reg 5777-2017 §5(b)(3)")。バンドルされたフレームワークの場合、引用は基礎体制とその特定のクローズに名前を付けます。
  • コントロールファミリ:フレームワークのコントロールファミリの 1 つ(例えば、"Access Control"、"Audit Logging"、"Outsourcing Management"、"Employee Monitoring Notice")
  • コントロールが何を要求するか:コントロールステートメントの根拠のある言い換え、虚構ではない。スキルがコントロール要件を正確に述べることができない場合は、そう述べ、人間検証のためにコントロールをフラグします。
  • 組織が何を持っているか:特定の引用(例えば、"bank-discount-israeli-regulatory-compliance-plan.md Section 2.3")でソースドキュメントに根拠を持つ。何も実施されていない場合は、[ABSENT] と述べ、通常どこに存在するかを指名します。
  • 利用可能な証拠対不足している証拠:どのようなアーティファクト(ドキュメント、ログ、コンフィグスナップショット、証明、サードパーティレポート)が存在するかと何が不足しているか。証拠ギャップはコントロールギャップと同じくらい重要な場合があります。
  • 深刻度P0(重大なギャップ。監査、認証、またはデプロイが進行する前に対処する必要がある)、P1(重要。対処されるべきまたはそう明示的に書かれた根拠で受け入れられるべき)、P2(あるといいな。追跡するが、ブロックしない)
  • 提案される改善:特定の次のステップ。受け入れられるフォーム:Verify {X} against {Y}Document {process}Engage {specialist counsel} on {control}Produce evidence artifact: {name}Escalate to {role} for accept-with-risk decision

調査結果はコントロールファミリでタグ付けされます。見落とされたコントロール調査結果(フレームワークが要求し、組織がまったく持っていないコントロール)は [ABSENT] でタグ付けされ、存在するが不完全なコントロールより重要な場合が多い。クロスコントロール調査結果(例えば、1 つのコントロール領域のデータ残留物コミットメントが別のコントロール領域のサブプロセッサ開示と矛盾する)は [CROSS-CONTROL] でタグ付けされます。

フレーミングルール(交渉不可能):調査結果は**「{フレームワーク} {コントロール参照}要件に対するコントロールギャップ」としてフレーミングされます。決して「組織は {フレームワーク}に非準拠です」**としてではない。前者はドラフティングおよびトリアージ観察です。後者はスキルが作成する権限を持たない法的/監査人の結論です。例:

  • 正しい:「Bank of Israel Directive 361 §4.2 に対するコントロールギャップ(アウトソーシング材料分類):ソースドキュメントは、Bank Discount のコンプライアンスチームが AXIA を材料アウトソーシング契約として分類したかどうかを示していません。技術的な深掘りの前に、Bank Discount コンプライアンス連絡先と分類を確認することをお勧めします。材料の場合、強化された要件が適用されます(規制当局への事前通知、強化された監視、終了計画)。分類プロセスについては @compliance-officer に、分類が争点の場合は @general-counsel に参加してください。」
  • 不正確:「材料アウトソーシング分類が完了していないため、組織は Bank of Israel Directive 361 に非準拠です。」

クロス参照ルール:A5 または A1 調査結果がすでに同じ基礎問題をサーフェスしている場合、A4 調査結果は前の調査結果を明示的に指名する必要があります(例えば、「A5 調査結果 8 はこれをディールレベルでサーフェスしました。A4 コントロールレベルの改善はその以前の作業に基づいています」)。A4 は重複しません。コントロールレベルでそれを リフレームし、コントロール固有の改善と証拠要件で拡張します。

5. ## Remediation Roadmap

優先順位付けされたアクションリスト、P0 → P1 → P2 でグループ化。各アクション名:

  • 調査結果(調査結果番号で)
  • 所有者(役割または利害関係者リストの特定の指定個人)
  • 努力バケット。S / M / L のみ、決して特定の時間または日数ではありません(no-estimates.md ごと)。S ≈ 1 週間以内に 1 人、M ≈ 複数週に 1 人、L ≈ 人月以上。スキルが実装見積もりを生成する権限を持たないのに努力をバケットすることができない場合、アクションは [TBD] を使用し、見積もりをロック解除するものを記録します。
  • 他のアクションまたは外部当事者への依存関係

ロードマップはプロジェクト計画ではありません。組織の実際のプロジェクト計画に栄養を与えるアクションの優先順位付けされたリストです。特定の日付、FTE 割り当て、実装シーケンスは、このスキルのスコープ外であり、@program-manager またはコンプライアンス PMO に属しています。

6. ## Evidence Inventory

2 列のリスト:「コンプライアンスをサポートする既存の証拠」と「作成または取得する必要がある不足している証拠」。各証拠アイテム名:

  • サポートするコントロール(参照による)
  • 証拠タイプ(ドキュメント/ログ/設定/証明/サードパーティレポート/トレーニングレコード)
  • 所有者
  • 不足しているアイテムについて:ギャップと、それを閉じるために必要なアクション

証拠インベントリは、外部監査人の証拠要求のためのフィーダーリストです。監査人が尋ねる前に「実際に何があるのか」という質問を見えるようにします。

7. ## Reviewer Checklist

明示的なサインオフアイテム。最小限のチェックリスト:

  • フレームワークスコープは、組織が事業を行う実際の規制環境に対して確認
  • スコープ内の管轄区域は、実際の操作フットプリントに対して確認
  • ソースドキュメント列挙および検証(虚構のソースなし)
  • すべての P0 調査結果は、指定承認者によって対処または明示的に受け入れられ、リスク
  • すべての P1 調査結果のトリアージ(対処、受け入れ、またはエスカレート)
  • すべての [ABSENT] 調査結果は、コントロール設計で改善されたか、文書化された理由で明示的に放棄
  • すべての [CROSS-CONTROL] 調査結果検証。相互作用は両方向で動作します
  • A5(リスク分析)、A1(契約レビュー)、または A3(プライバシーポリシー監査)との重複調査結果を調整。一貫性のない深刻度なし
  • 兄弟スキル(A1、A3、C1.2b)へのクロスリファレンスが調査結果を指す場合はフォローアップ
  • サイドカーステータスファイル確認した日付に敏感なアイテムについて、古い場合は更新
  • 「ライセンスを持つ弁護士または外部監査人なしで評価できない」アイテムについて弁護士参加
  • 外部監査人参加ステータス確認(SOC 2 CPA ファーム、ISO 27001 レジストラなど)認証パスが再生中の場合
  • ステークホルダーリスト確認。各コントロールファミリは指定された内部所有者があります

8. ## Cannot Assess Without Licensed Counsel or External Auditor

スキルが意図的に意見をしなかったこともの明示的なリスト。2 つのカテゴリー:

  • ライセンスを持つ弁護士なしで評価できない。管轄区域固有の執行可能性の質問、新規の規制解釈、労働法および労働者評議会固有の相談要件、国境を越えた転送の執行可能性、セキュリティ法の含意、コンプライアンス駆動のリストラクチャリングの税務処理
  • 外部監査人なしで評価できない。コントロール有効性の正式な証明、認証準備度を束縛意見として、特定のフレームワークの監査人期待に対するコントロール設計適切性、認定監査人によって判断されるような証拠十分性

出力ごとに最小 5 つのアイテム。多目的および規制業界デプロイメントに対してより多く。 各行として単一行として形式化:"{句}の執行可能性 {管轄区域}" / "{フレームワーク}下のフォーマルコントロール有効性意見" / "{監査人タイプ}監査の証拠適切性" / など。

9. (オプション)Changelog(アップデートモードのみ)

アップデートモードの場合、ファイルの下部に ## Changelog セクションで、組織が前回の監査以来何を進めたか、どの調査結果が解決されたか、どれが廃止されたか、どの新しい調査結果が表示された(例えば、新しいサブプロセッサ、新しい管轄区域、フレームワーク改正から)をリストします。

方法

スキルの監査パスは以下のシーケンスに従います。後のステップが前のステップの出力に依存するため、順序が重要です。

ステップ 1 — スコープ

スコープ内にあるもの、スコープ外にあるもの、適用される管轄区域、監査が実行されるフレームワークを確認します。スコープステートメントとソースドキュメントを読んでください。以下の内部マップを構築します:

  • 組織的境界(どのエンティティ、どのビジネスユニット、どのプロダクト)
  • スコープ内のシステムとプロセス(どのデータフロー、どのサードパーティ、どの施設、どのユーザーカテゴリー)
  • スコープ内の管轄区域(デラウェア親が操作サブを有するイスラエル操作活動が操作にある場合でも、デラウェアの残留露出を含む二次管轄区域を含む)
  • フレームワークスコープ(適用されるコントロールファミリ、スコープ外のものと理由)
  • ステージ(準備就緒、認証前、年次メンテナンス、違反、デューデリジェンス、展開前)

スコープが不明な場合、スキルは明確にすることを求めます。それは推測しません。

ステップ 2 — Control Mapping

フレームワークアダプター(ナレッジパック、標準ドメイン知識、またはユーザー提供のインライン定義から)をロードします。フレームワーク内の各コントロールファミリについて、フレームワークのコントロールをソースドキュメントと入力コンテキストを使用して、組織のプロセスとシステムにマッピングします。

短い概要を生成します(出力の ## Control Mapping セクション)は、スコープ内の各コントロールファミリについて名前を付けます:

  • コントロールファミリがマッピングされる組織プロセス/システム
  • ファミリを内部で所有している者
  • ファミリがこの監査またはこの監査のいずれかがスコープ内であるかどうか(スコープ外の理由の 1 行)

Control Mapping は調査結果の設定であり、調査結果そのものではありません。

ステップ 3 — ギャップ分析

スコープ内の各コントロールについて、組織が何を準備しているかを評価します。コントロールごとに 3 つの状態:

  • 実装済み。ソースドキュメントはフレームワーク要件を満たすコントロールを示します。検証上の懸念または証拠ギャップがある場合のみ調査結果を生成します。
  • 部分的。ソースドキュメントは、要件を部分的に満たすコントロールを示します(例えば、コントロールは存在しますが、証拠は薄い、またはコントロールはいくつかのシステムをカバーしますが、すべてではない)。材料性に応じて P1 または P0 で調査結果を生成します。
  • 不在。ソースドキュメントに明白なコントロール。材料性に応じて P0 または P1 でタグ付けされた [ABSENT] 調査結果を生成します。不在はしばしば弱さより重要です。

調査結果はソースドキュメントに実際に存在するものに根拠を持つ必要があります。虚構の調査結果は許可されていません。スキルが懸念の根拠を見つけることができない場合は、ユーザーに明確にするか、アイテムを「ライセンスを持つ弁護士または外部監査人なしで評価できない」に移動します。

A5(リスク分析)および A1(契約レビュー)出力がある場合は、それらを同じイニシアティブにとって調査結果と相互参照します。重複が存在する場合、A4 調査結果はコントロールレベルで再フレームし、前の調査結果を明示的に指名します。

ステップ 4 — 改善ロードマップ

P0 → P1 → P2 と依存関係により調査結果をシーケンスします。各アクションについて、所有者、努力バケット(S/M/L)、および依存関係に名前を付けます。ロードマップは優先順位付けされたアクションリスト、プロジェクト計画ではありません。

アクションは具体的で実行可能である必要があります。「アクセス制御を改善する」はロードマップアクションではありません。「M365 AXIA コネクタの四半期アクセスレビュープロセスを文書化(Directive 361 §5.3 証拠要件)。所有者 Asaf Massuri。努力 S。アーキテクチャダイアグラム(保留中)に依存」はロードマップアクションです。

ステップ 5 — 証拠インベントリ

スコープ内の各コントロールファミリについて、存在する証拠(ソースドキュメントに根拠を持つ)と不足している証拠を列挙します。これは、監査が準備度評価から正式な監査にシップする場合、外部監査人の証拠要求をフィードします。

証拠インベントリはしばしば外部監査人が最初に求めるものです。事前にそれを生成することは、認証サイクルを何週間も加速させます。

ステップ 6 — 「ライセンスを持つ弁護士または外部監査人なしで評価できない」を書く

調査結果を確定する前に書かれています。アイテムがここに行く場合、それも信頼できる調査結果として表示されることはできません。このセクションは、スキルがスコープを明示することです。

2 つのサブカテゴリー:ライセンスを持つ弁護士(法的質問)および外部監査人(正式な意見質問)。どちらも完全な出力に必須です。

利用可能な委譲パターン

デフォルト:Pattern 1 相談

特定のコントロールファミリが専門家の入力を必要とする場合、/compliance-auditdelegation-protocol.md Pattern 1 ごとに相談をスポーンします:

トリガースポーン
データフロータッチ従業員またはカスタマー PII、国境を越えた転送、Art. 9 機密データ🔒 プライバシーカウンセル
IP ライセンシング、商標、著作権コントロール📜 IP カウンセル
AI システムガバナンスはフレームワークコントロール(GDPR Art. 22、EU AI Act、Colorado AI Act)と重複する🤖 AI アーキテクト(システム間境界と C1.2b 領土のクロス)
新規の司法上の質問または規制当局の姿勢の不確実性⚖️ 一般弁護士
労働法、労働者評議会の相談、従業員監視通知👔 雇用弁護士
コントロール実装の詳細(IT ガバナンス、ITIL、システムレベルコントロール)💻 IT ガバナンス(CIO)または 🖥️ IT セキュリティポリシー専門家
SOC 2 準備、ISO 27001 スコープ、HIPAA 固有のコントロール⚖️ コンプライアンスオフィサー(ピアインスタンスの自己相談、またはギャップが認証監査領土に近づく場合、外部 CPA ファーム窓口)
エンタープライズリスクレジスター、保険の配置🛡️ リスク管理者
コントロールギャップが条項の変更を必要とする場合、契約レベルの改善📄 契約カウンセル(ユーザーは特定の契約のために /contract-review を実行するように指示されている)

相談は Findings セクションで属性付けされます:「クロス境界転送調査結果について 🔒 プライバシーカウンセルに相談しました。彼は、Israel→EU フローの適切性評価が修正 13 PPL アラインメントを考慮する必要があることを指摘しました。」 コンプライアンス監査の所有権はコンプライアンスオフィサーに留まります。

リクエストの場合:Pattern 5 敵対的レビュー(--mode adversarial

認証前監査、M&A デューデリジェンスエクスポート、見落とされたギャップのコストが重大な規制されたデプロイメント準備度評価のために使用します。すべての 4 つの Pattern 5 ガードレール:レビュー開始前に指定された名前の人間同点決定者、敵対的エージェントの新しいコンテキストスポーン、最大 2 イテレーション、役割分離(ドラファーは生成後まで敵対的な調査結果を見ない)が必要です。

ルーチン年次メンテナンス監査、初期段階準備度評価、目標が協調的改善(これは Pattern 3 Review)である場合、Pattern 5 を使用しないでください。

品質ゲート

/compliance-audit は機密スキルです。sensitive-skill-guardrails.md Section 4 で定義された 2 パス公開ゲートを通過した後でのみ出荷:

  • パス 1 — スキャフォールディングチェック。📋 法務部長は構造(免責事項、フレームワークと管轄区域フィールド、Control Mapping、Findings、Remediation Roadmap、Evidence Inventory、Reviewer Checklist、Cannot Assess Without、前書き、ROI フレーミング、委譲引用、第一原理作成、境界ステートメント、フレームワークアダプターパターン)を検証します。15 分、バイナリ GO / REWORK。
  • パス 2 — 実質的なチェック。⚖️ 一般弁護士は、法的推論、深刻度の閾値、コントロールファミリの対応範囲、クロススキル境界の正確性(A1、A3、A5、C1.2b に対して)、管轄区域の取扱い、フレームワークアダプター整合性、およびエッジケースを検証します。72 時間 SLA 後続の類似フェーズ 3 法律スキルのため。テンプレートパターンは A5 /risk-analysis、A1 /contract-review、A3 /privacy-policy-audit によって検証されたので、A4 は後続の類似の期間を継承します。

すべての起動時に、スキルは出力を生成する前に sensitive-skill-guardrails.md の Section 7 に対して自己チェックを行います。自己チェックがいずれかのアイテムで失敗する場合、出力は発行されません。

ROI フレーミング

/compliance-audit の ROI は**「コントロールレベルのコンプライアンスギャップ分析のドラフティングとトリアージに節約された時間」**として報告されています。決して「コンプライアンス監査に節約された時間」または「法的レビューに節約された時間」ではありません。

法務/コンプライアンスレート:$300-400/hr ブレンド feedback_roi_rates.md ごと。フェーズ 3 コンプライアンス準備度ギャップ評価全体のデフォルト $350/hr マルチファミリフレームワーク。

時間節約ベースライン:20-50 のコントロールがスコープ内で、実際の組織のプロセスにマッピングされ、改善ロードマップと証拠インベントリを備えた 10-20 の調査結果を生成する、フレームワークに対するコントロールレベルのギャップ評価の構造化アーティファクトを作成します。 = 高級コンプライアンス実業家の~8-12 時間のドラフティングとトリアージ時間。Control Mapping は労力が大きいです。そこが時間が使われる場所です。シンプルな監査(単一ファミリスコープ、小さな組織、ルーチンフレームワーク)は ~4-6 時間のベースラインです。複雑な監査(バンドルされたフレームワーク、規制業界デプロイメント、マルチ管轄区域スコープ

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
yohayetsion
リポジトリ
yohayetsion/product-org-os
ライセンス
MIT
最終更新
2026/5/11
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/yohayetsion/product-org-os / ライセンス: MIT

関連スキル

Anthropic Claudeセキュリティ⭐ リポ 8,981

secure-code-guardian

認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。

by Jeffallan
汎用セキュリティ⭐ リポ 1,982

claude-authenticity

APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。

by LeoYeAI
Anthropic Claudeセキュリティ⭐ リポ 2,159

anth-security-basics

Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。

by jeremylongshore
汎用セキュリティ⭐ リポ 699

x-ray

x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。

by pashov
汎用セキュリティ⭐ リポ 677

semgrep

Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。

by wimpysworld
汎用セキュリティ⭐ リポ 591

ghost-bits-cast-attack

Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。

by yaklang
本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: yohayetsion · yohayetsion/product-org-os · ライセンス: MIT