汎用セキュリティ⭐ リポ 38品質スコア 80/100
cursor-compliance-audit
Cursor IDEの利用におけるコンプライアンスとセキュリティ監査に対応します。SOC 2、GDPR、HIPAA評価、証拠収集、改善対応を実施できます。「cursor compliance」「cursor audit」「cursor security review」「cursor soc2」「cursor gdpr」「cursor data governance」などのキーワードをトリガーとして動作します。
description の原文を見る
Compliance and security auditing for Cursor IDE usage: SOC 2, GDPR, HIPAA assessment, evidence collection, and remediation. Triggers on "cursor compliance", "cursor audit", "cursor security review", "cursor soc2", "cursor gdpr", "cursor data governance".
SKILL.md 本文
Cursor コンプライアンス監査
Cursor IDEの使用に関するコンプライアンスおよびセキュリティ監査フレームワーク。SOC 2、GDPR、およびHIPAA評価を対象とし、監査チェックリスト、エビデンス収集、および改善ガイダンスを提供します。
Cursor セキュリティ体制
認証と証明
| 認証 | ステータス | 備考 |
|---|---|---|
| SOC 2 Type II | 認証済み | 年次監査、レポートはリクエストに応じて利用可能 |
| ペネトレーションテスト | 年次 | 結果はNDAの下で共有(エンタープライズ) |
| 保存時の暗号化 | AES-256 | すべての保存データ |
| 転送中の暗号化 | TLS 1.2+ | すべてのAPI通信 |
| ゼロデータリテンション | 利用可能 | プライバシーモード経由 |
| GDPR準拠 | はい | EUデータ処理に対応 |
| HIPAA BAA | 利用不可(2026年初頭現在) | HIPAAセクションを参照 |
データ処理アーキテクチャ
Developer Machine
│
├─► Cursor Client ──► Cursor API (US/EU) ──► Model Provider
│ (local) (routing + auth) (OpenAI/Anthropic)
│ │
│ └─► Zero retention agreement
│
├─► Codebase Index ──► Embedding API ──► Turbopuffer (vectors)
│ (no plaintext stored)
│
└─► Local Settings (API keys, preferences)
(never transmitted)
監査チェックリスト: SOC 2
CC6.1 — 論理的アクセス制御
[ ] SSO (SAML/OIDC) が設定され実装されている
[ ] Identity Providerレベルで MFA が有効化されている
[ ] RBAC ロールが割り当てられている: Owner、Admin、Member
[ ] 非アクティブユーザーがプロビジョニング解除されている(SCIMまたは手動)
[ ] アクセスレビューが実施されている(四半期ごと)
エビデンス:
- 管理ダッシュボードからのSSO設定スクリーンショット
- IdP MFAポリシードキュメンテーション
- Cursor管理者からのユーザーリストエクスポート
- SCIMシンクログ(適用可能な場合)
CC6.6 — システム境界
[ ] プライバシーモードがチームレベルで実装されている
[ ] .cursorignore が機密ファイル用に設定されている
[ ] データ分類が .cursorignore パターンと整合している
[ ] モデルプロバイダーのデータリテンション契約が文書化されている
[ ] BYOK設定が文書化されている(適用可能な場合)
エビデンス:
- プライバシーモード実装スクリーンショット
- .cursorignore ファイルの内容(gitにコミット)
- Cursorデータ使用ポリシー承認
- APIキープロバイダー契約
CC6.7 — データ転送セキュリティ
[ ] すべての Cursor API コールが TLS 1.2+ を使用している
[ ] 企業プロキシが有効な証明書で設定されている
[ ] 自己署名証明書またはTLSバイパスが使用されていない
[ ] ネットワークファイアウォールルールが文書化されている
エビデンス:
- Cursorデータフローを示すネットワークアーキテクチャ図
- cursor.com ドメイン用ファイアウォールルール
- プロキシ設定
CC7.2 — 監視
[ ] 管理ダッシュボード使用分析が月次でレビューされている
[ ] 異常な使用パターンが調査されている
[ ] シート使用率がアクセスレビュー用に追跡されている
エビデンス:
- 月次使用報告書スクリーンショット
- 異常対応インシデントログ
- ユーザーアクティビティサマリー
監査チェックリスト: GDPR
データマッピング
データカテゴリ: ソースコードスニペット
処理目的: AI支援コード生成
法的根拠: 正当な利益(開発者の生産性)
データ位置: 転送中のみ(プライバシーモード付きゼロリテンション)
副処理者: OpenAI、Anthropic、Turbopuffer(埋め込み)
保持期間: なし(プライバシーモード)またはプロバイダーポリシー(プライバシーモードなし)
個人の権利
| 権利 | Cursorサポート |
|---|---|
| アクセス権 | cursor.com/settings のアカウント設定 |
| 削除権 | アカウント削除ですべてのサーバー側データが削除される |
| ポータビリティ権 | 設定エクスポート(settings.json) |
| 制限権 | プライバシーモードが処理を制限 |
| 異議権 | プライバシーモード + .cursorignore |
GDPR準拠チェックリスト
[ ] Cursor との データ処理契約(DPA)が署名されている(エンタープライズ)
[ ] すべてのEUチームメンバーに対してプライバシーモードが有効化されている
[ ] 副処理者リストがレビューされている(cursor.com/privacy)
[ ] データ保護影響評価(DPIA)が完了している
[ ] チームが Chat/Composer に個人情報を貼り付けないよう指導されている
エビデンス:
- 署名されたDPA
- プライバシーモード実装確認
- DPIA文書
- チームトレーニング記録
HIPAA評価
現在のステータス: Cursorは2026年初頭現在、業務提携契約(BAA)を提供していません。
医療機関向けの改善対策
組織がPHIを取り扱う場合:
1. プライバシーモードを有効化(必須)
2. .cursorignore をすべてのPHI含有ファイルを除外するよう設定:
.cursorignore:
**/patient-data/
**/medical-records/
**/hl7/
**/fhir-resources/
**/*.hl7
**/*.ccda
3. AzureのBYOKを検討:
- Azure OpenAI は HIPAA BAA オプションを提供
- CursorのAIリクエストをAzure経由でルーティング
- Azureがデータガバナンスを処理
4. 開発者トレーニング: ChatまたはComposerにPHIを貼り付けない
5. コードレビューポリシー: AI生成コードにPHIが含まれていないことを確認
6. 重要: PHIを処理するシステムでのCursor使用前に、
コンプライアンスチームに相談してください
改善対応プレイブック
検出内容: プライバシーモードが実装されていない
重要度: 高
リスク: コードがモデルプロバイダーによって学習用に保持される可能性
改善対応:
1. 管理ダッシュボード > プライバシー > 実装を有効化(即座)
2. すべてのチームメンバーに通知(メール)
3. 実装を確認: ダッシュボード内の各メンバーのステータスを確認
4. 文書化: 実装日、承認権限
検出内容: .cursorignore がない
重要度: 中
リスク: 機密ファイルがAIコンテキストに含まれる可能性
改善対応:
1. プロジェクトルートに .cursorignore を作成
2. パターンを追加: .env*、secrets/、credentials/、PIUディレクトリ
3. gitにコミット(PRレビュー必須)
4. 確認: Cursor 設定 > コードベースインデックス > 含まれるファイルを表示
5. 機密ファイルがインデックス済みリストから除外されていることを確認
検出内容: 管理されていないAPIキー(BYOK)
重要度: 中
リスク: 共有または未更新のAPIキー
改善対応:
1. BYOKキーを使用しているチームメンバーを監査
2. キーが個人のもの(共有チームキーではない)であることを確認
3. 四半期キーローテーションスケジュールを実装
4. キー管理ポリシーを文書化
5. Azureゲートウェイでの集約を検討(エンタープライズ)
検出内容: アクセスレビューなし
重要度: 中
リスク: 退職した従業員がCursorアクセスを保持している
改善対応:
1. 管理ダッシュボードから現在のメンバーリストをエクスポート
2. HR有効従業員リストと相互参照
3. 退職した従業員のアカウントを無効化
4. 自動プロビジョニング解除用にSCIMを有効化
5. 四半期アクセスレビューをスケジュール
エンタープライズ向け考慮事項
- SOC 2レポート: Cursor(エンタープライズプラン)から直接リクエストするか、アカウントマネージャー経由でリクエスト
- ベンダーリスク評価: Cursor のセキュリティページ(cursor.com/security)を初期入力として使用
- 第三者監査: Cursor の SOC 2 レポートは彼らのコントロールを対象とします。あなたの監査はあなたの設定を対象とします
- 継続的監視: 四半期アクセスレビューと年次ポリシー更新のカレンダーリマインダーを設定
リソース
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- ComeOnOliver
- ライセンス
- MIT
- 最終更新
- 2026/5/11
Source: https://github.com/ComeOnOliver/skillshub / ライセンス: MIT