ClawHub 安全審査テンプレート（実務適用例付き）

新規スキルを導入する前に、以下の基準で安全審査を実施してください。本ページは、実際の審査を想定した入力例を含んでいます。

1. 基本情報

• Skill名: sample-fetcher-pro (例)
• 作者 / 提供元: @trust-dev-team
• 参照URL: https://github.com/example/sample-fetcher
• 導入目的: 競合サイトからの価格データ自動取得とスプレッドシート記録の自動化。

2. 権限チェック

• 必要最小権限になっているか:
  • 設定：ブラウザ操作権限と Google Sheets 書き込み権限のみ。
• 書き込み系操作の範囲が明確か:
  • 指定した Pricing_2026 シート以外への書き込みは行わない。
• 外部送信の有無を確認:
  • 取得データは自社サーバー内でのみ処理される。

3. 信頼性チェック

• README / ドキュメントが十分か:
  • インストール手順、エラーコード一覧が整備されている。
• メンテナンス更新が継続しているか:
  • 最終更新が 2週間前であり、メンテナがアクティブ。
• 既知の脆弱性報告なし:
  • GitHub Security Advisories にて該当なしを確認済み。

4. 検証環境テスト（必須）

• 48時間観測:
  • サンドボックス環境で 2日間連続稼働させ、メモリリークや不正通信がないか確認。
• 失敗時ログが取得できるか:
  • ネットワーク遮断時に適切なエラーログが吐き出されることを確認。
• 停止/ロールバック手順があるか:
  • openclaw uninstall でクリーンに削除できることを確認。

5. 本番反映判断

• 導入可
• 条件付き可
• 不可

6. 反映後レビュー（導入1週間後）

• エラー件数: 0件
• 作業削減効果: 週次 5時間のデータ入力作業が 10分（目視確認のみ）に短縮。
• 追加リスク: なし。

運用ルール

• 管理者権限（Admin）を必要とするスキルは、必ず 2名以上の承認を得ること。
• 監査ログは最低 90日間保管し、月次で不正アクセスの有無をチェックする。
• 四半期に一度、導入済みスキルの再評価（必要性の確認）を実施する。