OpenClaw セキュリティ基準チェックリスト（公開前）

このページは、OpenClawを対外公開・本番運用する前に最低限満たすべき基準をまとめたものです。

1. 認証と鍵管理

• APIキーは環境変数で管理
• キーは用途別（dev/stg/prod）に分離
• 失効・ローテーション手順を文書化

2. 権限最小化

• 不要スキルを無効化
• 書き込み系操作は承認フローを設置
• 本番環境での危険コマンドを制限

3. 監査ログ

• 主要操作ログを収集・保管
• エラー通知を即時受け取れる状態
• 保管期間と閲覧権限を定義

4. 依存関係・脆弱性対策

• 依存パッケージの脆弱性スキャンを定期実施
• 重大脆弱性への緊急パッチ手順あり
• 本番反映前にステージング検証

5. 運用体制

• 変更管理（誰が何を変えたか）
• 週次レビュー（KPIと障害振り返り）
• インシデント時の停止/復旧手順

推奨KPI

• セキュリティインシデント件数
• 平均復旧時間（MTTR）
• 権限逸脱の検出件数

安全性は機能ではなく、運用で担保します。