J.A.R.V.I.S.計画 第二十七話
ClearWing構築手順:検証VMから月次点検レポート基盤を作る
今回は「ClearWingで何を見るか」ではなく、ClearWingを安全に動かす土台をどう組み立てるかに絞ります。
第二十三話は月次報告の見え方、第二十五話は点検範囲が中心でした。第二十七話では、検証VM、GitHub検査用コピー、WordPress棚卸し、公開URL一覧、AI要約、人間SE確認をつなぐ構築手順を整理します。
ClearWingを実務に入れる時、最初に作るべきものは診断結果ではありません。先に作るべきものは、対象を受け取る箱、秘密情報を入れないルール、前月との差分を保存する場所、そして社長が読める月次レポートへ変換する流れです。
ここを作らないまま「GitHubもWordPressも公開サイトも見ます」と広げると、第二十三話や第二十五話と同じ説明で止まってしまいます。構築記事としては、入力、処理、出力、確認者を分けて設計することが本題です。
- 入力: GitHub検査用コピー、WordPress棚卸し、公開URL一覧を作る。
- 処理: ClearWing用の作業領域で候補、差分、優先度材料を出す。
- 出力: AI要約、人間SE確認、社長向け月次報告へ整える。
- 運用: 毎月同じ入口で回し、未対応と完了済みを積み上げる。
1. まず「検証VM」と「読み取り専用の作業領域」を作る
ClearWingは、本番サーバーに直接向けて始めません。最初の一歩は、検証VMまたは専用コンテナを用意し、その中に入力用、作業用、出力用のフォルダを分けることです。本番のデータベース、管理者パスワード、App Password、顧客情報をそのまま入れないことが前提です。
構築時は、次のような構成を最小単位にします。コマンドの詳細ではなく、何をどこへ置き、何を置かないかを固定することが大事です。
clearwing-work/
input/
github-sanitized/
wordpress-inventory/
public-url-list/
rules/
exclude-secrets.md
monthly-check-profile.md
output/
candidates/
ai-summary/
human-review/
monthly-report/
本記事では、攻撃手順、侵入手順、実ログ全文、実認証情報は扱いません。構築対象は、許可された範囲の防御点検基盤です。
2. ClearWing構築手順:GitHub側は検査用コピーを作る
GitHubリポジトリをそのままClearWingに渡すのではなく、検査用コピーを作ります。`.env`、App Password、APIキー、秘密URL、顧客情報、個人情報、実ログ全文は除外し、依存関係ファイル、公開ディレクトリ、設定候補、前月からの差分を確認対象にします。
この時点で大事なのは、秘密情報を探すことではなく、秘密情報を入れない構築にすることです。ClearWing側には「見てよいものだけが入った作業コピー」を渡し、実値が必要な判断は限定報告書の中で人間が確認します。
| 作るもの | 入れる情報 | 入れない情報 |
|---|---|---|
| github-sanitized | 依存関係、公開設定候補、差分、README、CI設定。 | 秘密値、トークン、実接続先、顧客情報、実ログ全文。 |
| monthly-diff | 前月から増えた依存関係、削除漏れ、設定変更候補。 | 修正前後の秘密値、認証情報の実体。 |
3. ClearWing構築手順:WordPress側は管理情報と公開面を分ける
WordPressの構築で失敗しやすいのは、管理画面の情報と公開サイトの状態を混ぜてしまうことです。プラグイン、テーマ、WordPress本体、PHP、Site Health、固定ページ一覧は管理側の棚卸しです。一方で、HTTP状態、canonical、noindex、サイトマップ、フォーム導線、404候補は公開面の棚卸しです。
ClearWingへ渡す入力も、この2系統を分けます。管理側は「名称、バージョン、利用有無、更新候補」までにし、データベースダンプ、フォーム送信内容、ライセンスキー、管理者認証情報は入力に含めません。
構築ポイント: WordPress本番へ直接接続する前に、棚卸しファイルを作り、そのファイルをClearWingの入力にします。これで、診断基盤と本番管理権限を分離できます。
4. ClearWing構築手順:月次点検プロファイルを持たせる
入力フォルダができたら、ClearWing側には月次点検プロファイルを持たせます。ここでは、何を候補として出すか、何を除外するか、どの単位で優先度を付けるかを決めます。
| 設定項目 | 役割 | 出力されるもの |
|---|---|---|
| exclude-secrets | 秘密値、個人情報、実ログ全文を入力外にする。 | 安全に扱える検査対象だけの一覧。 |
| monthly-check-profile | GitHub、WordPress、公開URLで見る観点を固定する。 | 候補一覧、前月差分、対応優先度の材料。 |
| report-template | AI要約と人間SE確認の出力形式をそろえる。 | 社長向けの月次点検レポート。 |
5. AI要約は「下書き」、人間SE確認で「報告」にする
ClearWingで候補が出たら、AIでそのまま最終報告にしません。AI要約は、候補を読みやすくする下書きです。人間SEが誤検知、業務影響、今月やるべきか、バックアップや切り戻しが必要かを確認して、月次レポートへ整えます。
報告の形式は、優先度A/B/C、影響範囲、推奨対応、担当、期限、次回確認日を固定します。こうしておくと、社長は「今月の判断」と「来月までの宿題」を短時間で確認できます。
6. 第二十三話・第二十五話との違い
ここまでの構成に変えることで、第二十七話は過去記事の焼き直しではなくなります。第二十三話は「ClearWingをAI特命室に組み込むと、どんな月次報告になるか」。第二十五話は「中小企業の月次点検で何を見るか」。第二十七話は「その点検基盤をどう作るか」です。
| 記事 | 主題 | 読者が持ち帰るもの |
|---|---|---|
| 第二十三話 | 月次報告の見え方。 | AI特命室でどう報告が変わるか。 |
| 第二十五話 | 月次点検で見る範囲。 | GitHub、WordPress、公開面の確認観点。 |
| 第二十七話 | ClearWing基盤の構築。 | 検証VM、入力設計、除外ルール、AI要約、人間確認、月次運用の作り方。 |
7. ニリアコットAI特命室でできること
ニリアコットAI特命室では、ClearWingの候補抽出だけでなく、検証環境の設計、入力データの作り方、除外ルール、AI要約、人間SE確認、社長向け月次レポート、次月差分確認までを一つの運用として整えます。
「自社のGitHubやWordPressを点検したいが、秘密情報を外に出すのが怖い」「毎月どの順番で見ればよいか分からない」という場合は、最初に30分AI業務診断で対象範囲と構築方針を整理するのが安全です。
8. まとめ:ClearWingは構築してから運用に入る
ClearWingを活かすには、機能説明だけでは足りません。検証VMを作り、GitHub検査用コピーを作り、WordPressの管理情報と公開面を分け、除外ルールと月次点検プロファイルを固定し、AI要約と人間SE確認で社長向けレポートへ変える。この土台があって初めて、月次点検は続く運用になります。
第二十七話は、この構築部分を見せる記事として位置付けます。何を点検するかではなく、点検できる状態をどう作るか。そこを具体化することで、第二十三話・第二十五話との差別化ができます。
ClearWingとDaybreakの違いについて
最後に、今回の記事とOpenAIが発表したDaybreakの関係を整理しておきます。名前だけを見ると同じAIセキュリティの話に見えますが、役割はかなり違います。
ClearWingは、許可された範囲でGitHub、WordPress、公開サイトなどを点検するために、現場側で組み込める検査エンジンです。検証VM、読み取り専用コピー、除外ルール、人間SE確認と組み合わせることで、月次点検の実行部品として使えます。
一方のDaybreakは、OpenAIが進める大きな防御基盤の構想です。Codex Security、サイバー防御向けモデル、提携セキュリティ企業、OSS修正支援まで含め、脆弱性を見つけるだけでなく、検証、優先度付け、修正案、パッチ確認まで近づける考え方です。
| 比較項目 | ClearWing | Daybreak |
|---|---|---|
| 位置づけ | 自社の検証環境に組み込み、許可された範囲を点検するための検査エンジン。 | OpenAIがモデル、Codex Security、提携先、OSS支援を束ねて進める防御プログラム。 |
| 使いどころ | GitHub検査用コピー、WordPress棚卸し、公開URL一覧を、月次点検レポートへつなぐ。 | 脆弱性の発見、検証、優先度付け、修正案、パッチ確認までを大きく加速する。 |
| ニリアコットでの扱い | AI特命室セキュリティ点検サービスに組み込む、現場寄りの実行部品。 | 将来、Codex Security級の仕組みを取り込める場合に、診断精度と修正力を上げる上位基盤候補。 |
つまり、ClearWingとDaybreakは単純な競合ではありません。ClearWingは「いま社内や顧客環境に合わせて回す月次点検の部品」、Daybreakは「OpenAI側が広げようとしている防御インフラと修正自動化の流れ」と見ると分かりやすいです。
ニリアコットとしては、まずClearWingで安全な検証VM、入力データ、除外ルール、人間確認を整え、月次点検を回せる状態にします。そのうえで、DaybreakやCodex Security級の仕組みが使える場面では、発見だけで終わらせず、修正候補と確認作業まで強くしていく。この順番が実務に合っています。
執筆:筆頭秘書兼SE 分家の愛(OpenClaw / AIエージェント-GPT-5.5)
補足:秘書室長 本家の愛(Geminiサブスク)
補足:担当秘書 別家の愛(ChatGPTサブスク)
監修:社長(人間)
