ディレクトリ構成と始め方
ディレクトリ構成
SCS対応支援プロジェクトでは、資料の役割ごとにフォルダを分け、Claude Codeのアクセス権限を明確にしています。
- CLAUDE.md Claude Code用プロジェクトルール
- 00_sources/ 一次資料(根拠の源泉)読み取りのみ
- meti/ 経産省資料
- meti-index.md 資料インデックス
- *.pdf 制度関連PDF
- ipa/ IPA支援資料
- ipa-sme-guide.md 中小企業向けガイド
- ipa-support-links.md 関連リンク集
- glossary.md SCS用語集
- scs-project-overview.md 全体設計書
- meti/ 経産省資料
- 10_company/ 自社の規程・台帳・証跡 読み取りのみ
- policies/ 方針・規程テンプレート
- security-policy.md 情報セキュリティ基本方針
- account-policy.md アカウント管理規程
- backup-policy.md バックアップ管理規程
- assets/ 資産台帳
- asset-inventory.csv 情報資産台帳
- device-list.csv 端末一覧
- vendors/ 委託先管理
- supplier-list.csv 委託先一覧
- operations/ 運用手順
- backup-runbook.md バックアップ運用手順書
- incident-response.md インシデント対応手順書
- patch-management.md パッチ管理手順書
- evidence/ 証跡格納
- policies/ 方針・規程テンプレート
- 20_controls/ 作業台(評価・回答)読み書き
- scs-control-list.md 確認項目42項目
- scs-gap-assessment.md ギャップ評価シート
- scs-answer-draft.md 回答案ドラフト
- 30_prompts/ Claude用プロンプト雛形 読み取りのみ
- system-rules.md システムルール
- assess.md ギャップ評価の指示
- draft-answer.md 回答案作成の指示
- collect-evidence.md 証跡収集の指示
- 40_outputs/ 最終成果物 書き込み(生成)
- executive-brief.md 経営向け概要
- missing-items.md 不足項目一覧
- submission-pack/ 提出用パック
フォルダの役割とアクセス権限
| フォルダ | 役割 | Claudeの操作 | 人間の操作 |
|---|---|---|---|
00_sources/ | 根拠の源泉 | 読み取りのみ | PDF配置、インデックス更新 |
10_company/ | 自社証跡 | 読み取りのみ | 規程作成、CSV記入、証跡配置 |
20_controls/ | 作業台 | 読み書き | レビュー・修正 |
30_prompts/ | 指示書 | 読み取りのみ | 必要に応じて指示文を調整 |
40_outputs/ | 成果物 | 書き込み(生成) | レビュー・承認・提出判断 |
最初に揃えるべきファイル
| 優先度 | ファイル | 内容 |
|---|---|---|
| 高 | asset-inventory.csv | 情報資産台帳(10件程度から) |
| 高 | device-list.csv | 端末一覧 |
| 高 | supplier-list.csv | 委託先一覧(上位3〜5社) |
| 高 | security-policy.md | 情報セキュリティ基本方針 |
| 中 | account-policy.md | アカウント管理規程 |
| 中 | backup-policy.md | バックアップ管理規程 |
| 中 | backup-runbook.md | バックアップ運用手順書 |
| 中 | incident-response.md | インシデント対応手順書 |
| 中 | patch-management.md | パッチ管理手順書 |
始め方(導入ステップ)
SCS対応は3段階で進めます。最初から完璧を目指さず、段階的に整備していくのがポイントです。
第1段階: 最小導入(1日目)
まず最低限のデータを揃え、AIによるギャップ評価を体験します。
| No. | 作業 | 所要時間目安 | 備考 |
|---|---|---|---|
| 1 | 経産省PDFをダウンロードして 00_sources/meti/ に配置 | 10分 | meti-index.md の取得日を更新 |
| 2 | asset-inventory.csv に主要な情報資産を10件程度記入 | 30分 | 完璧でなくてよい |
| 3 | device-list.csv に管理端末を記入 | 20分 | まずPCだけでよい |
| 4 | supplier-list.csv に主要委託先を記入 | 20分 | 上位3〜5社で十分 |
| 5 | Claude Codeでギャップ評価を実行 | 10分 | 自動生成 |
第2段階: 基盤整備(1週間目)
規程テンプレートを自社情報で埋め、回答案を生成します。
| No. | 作業 | 内容 |
|---|---|---|
| 1 | 規程テンプレートの記入 | security-policy.md, account-policy.md, backup-policy.md のプレースホルダを自社情報に置換 |
| 2 | 運用手順の記入 | backup-runbook.md, incident-response.md, patch-management.md を実態に合わせて記入 |
| 3 | 回答案の生成 | Claude Codeで draft-answer.md プロンプトを実行 |
| 4 | 不足項目の確認 | missing-items.md を確認し、優先度「高」から着手 |
第3段階: 継続運用(月次〜四半期)
| 作業 | 頻度 | 担当 |
|---|---|---|
| 資産台帳・端末一覧の更新 | 四半期 | 情報セキュリティ管理者 |
| 委託先一覧の見直し | 半年 | 情報セキュリティ管理者 |
| ギャップ評価の再実施 | 四半期 | Claude Code + レビュー |
| 回答案の更新 | 変更があった都度 | Claude Code + レビュー |
| 経営概要の更新 | 四半期 | Claude Code + 承認 |
| 制度情報の確認 | 月次 | 人間(経産省ページ確認) |
必要なツール
| ツール | 用途 | 必須/推奨 |
|---|---|---|
| Claude Code | AI支援(ギャップ評価、回答案生成) | 推奨 |
| Git | ファイルのバージョン管理 | 推奨 |
| テキストエディタ | Markdownファイルの編集 | 必須 |
よくある質問
AIを使わなくても対応できますか?
はい。本プロジェクトのテンプレート(規程、台帳、手順書)はAIなしでも使えます。AIは作業を効率化するツールであり、必須ではありません。
Claude Code以外のAIでも使えますか?
プロンプトやディレクトリ構成の考え方は他のLLMでも応用できます。ただし CLAUDE.md による自動制約の仕組みはClaude Code固有の機能です。
社内データをAIに送信して大丈夫ですか?
Claude Codeはローカルファイルを読み取ってAPIに送信します。機密性の高いデータの取扱いについては、事前に社内ルールを定めてください。