cursor-compliance-audit
Cursor IDEの利用におけるコンプライアンスとセキュリティ監査に対応します。SOC 2、GDPR、HIPAA評価、証拠収集、改善対応を実施できます。「cursor compliance」「cursor audit」「cursor security review」「cursor soc2」「cursor gdpr」「cursor data governance」などのキーワードをトリガーとして動作します。
description の原文を見る
Compliance and security auditing for Cursor IDE usage: SOC 2, GDPR, HIPAA assessment, evidence collection, and remediation. Triggers on "cursor compliance", "cursor audit", "cursor security review", "cursor soc2", "cursor gdpr", "cursor data governance".
SKILL.md 本文
Cursor コンプライアンス監査
Cursor IDEの使用に関するコンプライアンスおよびセキュリティ監査フレームワーク。SOC 2、GDPR、およびHIPAA評価を対象とし、監査チェックリスト、エビデンス収集、および改善ガイダンスを提供します。
Cursor セキュリティ体制
認証と証明
| 認証 | ステータス | 備考 |
|---|---|---|
| SOC 2 Type II | 認証済み | 年次監査、レポートはリクエストに応じて利用可能 |
| ペネトレーションテスト | 年次 | 結果はNDAの下で共有(エンタープライズ) |
| 保存時の暗号化 | AES-256 | すべての保存データ |
| 転送中の暗号化 | TLS 1.2+ | すべてのAPI通信 |
| ゼロデータリテンション | 利用可能 | プライバシーモード経由 |
| GDPR準拠 | はい | EUデータ処理に対応 |
| HIPAA BAA | 利用不可(2026年初頭現在) | HIPAAセクションを参照 |
データ処理アーキテクチャ
Developer Machine
│
├─► Cursor Client ──► Cursor API (US/EU) ──► Model Provider
│ (local) (routing + auth) (OpenAI/Anthropic)
│ │
│ └─► Zero retention agreement
│
├─► Codebase Index ──► Embedding API ──► Turbopuffer (vectors)
│ (no plaintext stored)
│
└─► Local Settings (API keys, preferences)
(never transmitted)
監査チェックリスト: SOC 2
CC6.1 — 論理的アクセス制御
[ ] SSO (SAML/OIDC) が設定され実装されている
[ ] Identity Providerレベルで MFA が有効化されている
[ ] RBAC ロールが割り当てられている: Owner、Admin、Member
[ ] 非アクティブユーザーがプロビジョニング解除されている(SCIMまたは手動)
[ ] アクセスレビューが実施されている(四半期ごと)
エビデンス:
- 管理ダッシュボードからのSSO設定スクリーンショット
- IdP MFAポリシードキュメンテーション
- Cursor管理者からのユーザーリストエクスポート
- SCIMシンクログ(適用可能な場合)
CC6.6 — システム境界
[ ] プライバシーモードがチームレベルで実装されている
[ ] .cursorignore が機密ファイル用に設定されている
[ ] データ分類が .cursorignore パターンと整合している
[ ] モデルプロバイダーのデータリテンション契約が文書化されている
[ ] BYOK設定が文書化されている(適用可能な場合)
エビデンス:
- プライバシーモード実装スクリーンショット
- .cursorignore ファイルの内容(gitにコミット)
- Cursorデータ使用ポリシー承認
- APIキープロバイダー契約
CC6.7 — データ転送セキュリティ
[ ] すべての Cursor API コールが TLS 1.2+ を使用している
[ ] 企業プロキシが有効な証明書で設定されている
[ ] 自己署名証明書またはTLSバイパスが使用されていない
[ ] ネットワークファイアウォールルールが文書化されている
エビデンス:
- Cursorデータフローを示すネットワークアーキテクチャ図
- cursor.com ドメイン用ファイアウォールルール
- プロキシ設定
CC7.2 — 監視
[ ] 管理ダッシュボード使用分析が月次でレビューされている
[ ] 異常な使用パターンが調査されている
[ ] シート使用率がアクセスレビュー用に追跡されている
エビデンス:
- 月次使用報告書スクリーンショット
- 異常対応インシデントログ
- ユーザーアクティビティサマリー
監査チェックリスト: GDPR
データマッピング
データカテゴリ: ソースコードスニペット
処理目的: AI支援コード生成
法的根拠: 正当な利益(開発者の生産性)
データ位置: 転送中のみ(プライバシーモード付きゼロリテンション)
副処理者: OpenAI、Anthropic、Turbopuffer(埋め込み)
保持期間: なし(プライバシーモード)またはプロバイダーポリシー(プライバシーモードなし)
個人の権利
| 権利 | Cursorサポート |
|---|---|
| アクセス権 | cursor.com/settings のアカウント設定 |
| 削除権 | アカウント削除ですべてのサーバー側データが削除される |
| ポータビリティ権 | 設定エクスポート(settings.json) |
| 制限権 | プライバシーモードが処理を制限 |
| 異議権 | プライバシーモード + .cursorignore |
GDPR準拠チェックリスト
[ ] Cursor との データ処理契約(DPA)が署名されている(エンタープライズ)
[ ] すべてのEUチームメンバーに対してプライバシーモードが有効化されている
[ ] 副処理者リストがレビューされている(cursor.com/privacy)
[ ] データ保護影響評価(DPIA)が完了している
[ ] チームが Chat/Composer に個人情報を貼り付けないよう指導されている
エビデンス:
- 署名されたDPA
- プライバシーモード実装確認
- DPIA文書
- チームトレーニング記録
HIPAA評価
現在のステータス: Cursorは2026年初頭現在、業務提携契約(BAA)を提供していません。
医療機関向けの改善対策
組織がPHIを取り扱う場合:
1. プライバシーモードを有効化(必須)
2. .cursorignore をすべてのPHI含有ファイルを除外するよう設定:
.cursorignore:
**/patient-data/
**/medical-records/
**/hl7/
**/fhir-resources/
**/*.hl7
**/*.ccda
3. AzureのBYOKを検討:
- Azure OpenAI は HIPAA BAA オプションを提供
- CursorのAIリクエストをAzure経由でルーティング
- Azureがデータガバナンスを処理
4. 開発者トレーニング: ChatまたはComposerにPHIを貼り付けない
5. コードレビューポリシー: AI生成コードにPHIが含まれていないことを確認
6. 重要: PHIを処理するシステムでのCursor使用前に、
コンプライアンスチームに相談してください
改善対応プレイブック
検出内容: プライバシーモードが実装されていない
重要度: 高
リスク: コードがモデルプロバイダーによって学習用に保持される可能性
改善対応:
1. 管理ダッシュボード > プライバシー > 実装を有効化(即座)
2. すべてのチームメンバーに通知(メール)
3. 実装を確認: ダッシュボード内の各メンバーのステータスを確認
4. 文書化: 実装日、承認権限
検出内容: .cursorignore がない
重要度: 中
リスク: 機密ファイルがAIコンテキストに含まれる可能性
改善対応:
1. プロジェクトルートに .cursorignore を作成
2. パターンを追加: .env*、secrets/、credentials/、PIUディレクトリ
3. gitにコミット(PRレビュー必須)
4. 確認: Cursor 設定 > コードベースインデックス > 含まれるファイルを表示
5. 機密ファイルがインデックス済みリストから除外されていることを確認
検出内容: 管理されていないAPIキー(BYOK)
重要度: 中
リスク: 共有または未更新のAPIキー
改善対応:
1. BYOKキーを使用しているチームメンバーを監査
2. キーが個人のもの(共有チームキーではない)であることを確認
3. 四半期キーローテーションスケジュールを実装
4. キー管理ポリシーを文書化
5. Azureゲートウェイでの集約を検討(エンタープライズ)
検出内容: アクセスレビューなし
重要度: 中
リスク: 退職した従業員がCursorアクセスを保持している
改善対応:
1. 管理ダッシュボードから現在のメンバーリストをエクスポート
2. HR有効従業員リストと相互参照
3. 退職した従業員のアカウントを無効化
4. 自動プロビジョニング解除用にSCIMを有効化
5. 四半期アクセスレビューをスケジュール
エンタープライズ向け考慮事項
- SOC 2レポート: Cursor(エンタープライズプラン)から直接リクエストするか、アカウントマネージャー経由でリクエスト
- ベンダーリスク評価: Cursor のセキュリティページ(cursor.com/security)を初期入力として使用
- 第三者監査: Cursor の SOC 2 レポートは彼らのコントロールを対象とします。あなたの監査はあなたの設定を対象とします
- 継続的監視: 四半期アクセスレビューと年次ポリシー更新のカレンダーリマインダーを設定
リソース
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- ComeOnOliver
- ライセンス
- MIT
- 最終更新
- 2026/5/11
Source: https://github.com/ComeOnOliver/skillshub / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。