結論: Claude Skillsは、企業の専門知識・業務ワークフロー・社内ナレッジをモジュール化し、全社のClaude利用を標準化する仕組みです。プロンプト管理の限界を超え、組織の知識資産をAIに埋め込む唯一の公式手段です。
この記事の要点:
- 要点1: Skillsは3段階の漸進的ロード(メタデータ→指示→リソース)でコンテキスト消費を最小化する
- 要点2: SKILL.mdのdescriptionフィールドがClaudeの自動選択を左右する最重要設計点
- 要点3: Claude API経由のSkillsはワークスペース全体で共有でき、エンタープライズ展開の核となる
対象読者: ClaudeをチームまたはエンタープライズITシステムに組み込もうとしているDX推進担当者・情報システム部長・開発リード
読了後にできること: 自社の業務ワークフローをSkillとして設計し、Claude APIへの登録手順を今日から進められる
「Claudeに毎回同じ指示を貼り付けるのが面倒で、定着しない……」
企業向けAI研修で、この悩みを聞く頻度が急増しています。プロンプトを毎回書き直す、チームで共有しようとするとフォーマットがバラバラになる、新しいメンバーが入るたびにゼロから教える——そういった「繰り返しの非効率」をどうにかしたい、という声です。
先日、ある情報システム部門の責任者からこんな相談を受けました。「月次の経営レポートをClaude経由で自動生成しようとしているのですが、毎回指示書を貼り付けるのが億劫で現場に定着しない。チーム全員が同じ品質で使える仕組みが欲しい」というものでした。
この問題を解決するのが、AnthropicのClaude Skillsです。Skillsは指示書・スクリプト・参照資料を1つのモジュールに統合し、Claudeが必要なタイミングで自動的に呼び出す仕組みです。一度設計すれば繰り返し使え、APIを通じてチーム全体に配布でき、企業のナレッジ資産としてバージョン管理できる。この記事では、Skillsの構造から実際の設計ノウハウ、エンタープライズ展開まで、実務の視点で詳しく解説します。
AI導入の体系的な戦略については、AI導入戦略完全ガイドもあわせてご参照ください。
Claude Skillsとは何か — なぜエンタープライズで必要なのか
Claude Skillsは、Claudeに「専門能力のモジュール」を追加する仕組みです。AnthropicはこれをAgent Skillsと呼び、2025年に正式提供を開始しました。
プロンプトとの違いを正確に理解することが重要です。プロンプトは「この会話のための一時的な指示」です。Skillsは「繰り返し使う業務パターン」を恒久的にパッケージ化したものです。
| 比較軸 | プロンプト | Skills |
|---|---|---|
| スコープ | 1会話限り | 永続・再利用可能 |
| 共有方法 | コピペ・ドキュメント共有 | API・Claude Code・Plugin |
| バージョン管理 | 困難 | Git管理可能 |
| 自動選択 | なし(毎回手動) | あり(descriptionで自動判定) |
| コード実行 | 不可 | 可能(scripts/配下) |
エンタープライズでSkillsが必要な理由は3つあります。
第1に、知識の標準化です。ベテラン社員のノウハウが属人化されず、Skillとして組織に残ります。第2に、コスト効率です。同じ指示を何度もコンテキストに含めることなく、必要なタイミングだけ読み込む設計になっています。第3に、ガバナンスです。APIレベルで管理されるため、どのチームがどのSkillを使っているかを把握・制御できます。
Skillsの3層アーキテクチャを理解する
SkillsはAnthropicが「漸進的開示(Progressive Disclosure)」と呼ぶ3段階の読み込み設計になっています。これがコンテキスト効率の核心です。
Level 1: メタデータ(常時ロード)
セッション開始時、ClaudeはすべてのSkillの「名前」と「説明文」だけを読み込みます。1つのSkillあたり約100トークンの消費です。10個のSkillを登録していても、合計1,000トークン程度しか消費しません。
---
name: monthly-report-generator
description: 月次経営レポートを生成します。売上データや KPI データの集計、
前月比較、役員向けサマリーの作成が必要な時に使用してください。
キーワード: レポート、月次、経営、売上、KPI、集計
---Level 2: 指示本文(スキル起動時にロード)
ユーザーのリクエストがSkillのdescriptionにマッチすると、ClaudeはSKILL.mdの本文を読み込みます。このタイミングで初めて詳細な手順・ルール・フォーマット指定がコンテキストに入ります。通常5,000トークン以下に設計するのが推奨です。
Level 3: リソース・スクリプト(必要時にロード)
Skill本文が参照している追加ファイル(REFERENCE.md、データベーススキーマ、Pythonスクリプトなど)は、必要になった時点で初めて読み込まれます。スクリプトは実行されても、そのコード自体はコンテキストに入りません——出力だけが返ってきます。これにより、大量の参照資料をバンドルしてもトークンコストを抑えられます。
| レベル | タイミング | トークンコスト | 内容 |
|---|---|---|---|
| Level 1: メタデータ | 常時(起動時) | ~100トークン/Skill | nameとdescriptionのみ |
| Level 2: 指示 | Skill起動時 | 5,000トークン以下推奨 | SKILL.md本文 |
| Level 3: リソース | 参照された時 | 実質無制限 | 追加ファイル・スクリプト実行結果 |
Skillsの標準ディレクトリ構造
すべてのSkillは以下のディレクトリ構造で構成されます。必須なのはSKILL.mdのみです。
my-skill/
├── SKILL.md # 必須: YAMLフロントマター + 指示本文
├── scripts/ # 任意: 実行可能スクリプト(Python/Bash等)
│ ├── generate_report.py
│ └── validate_data.py
├── references/ # 任意: 参照資料(スキーマ、API仕様書等)
│ ├── database_schema.md
│ └── api_reference.md
└── templates/ # 任意: 出力テンプレート
└── monthly_report_template.xlsx複雑な業務フローへの応用例
sales-intelligence-skill/
├── SKILL.md # メインSKILL — 売上インテリジェンス
├── scripts/
│ ├── fetch_crm_data.py # CRMからデータ取得
│ ├── generate_forecast.py # 予測レポート生成
│ └── send_slack_digest.py # Slack通知送信
├── references/
│ ├── crm_field_mapping.md # CRMフィールド定義
│ ├── kpi_definitions.md # KPI計算式
│ └── report_format_spec.md # レポートフォーマット仕様
└── templates/
└── executive_summary.docx # 役員向けサマリーテンプレ組み込みSkillsとカスタムSkillsの使い分け
AnthropicはPre-built Agent Skillsを公式に提供しています。これらは追加設定なしで即日利用できます。
公式Pre-built Skills(2026年5月時点)
| Skill | Skill ID | 主な機能 |
|---|---|---|
| PowerPoint | pptx | プレゼン作成・スライド編集・コンテンツ分析 |
| Excel | xlsx | スプレッドシート作成・データ分析・チャート生成 |
| Word | docx | 文書作成・コンテンツ編集・フォーマット |
| PDFレポート生成・テキスト抽出・フォーム処理 | ||
| Claude API | (Claude Code同梱) | APIリファレンス・SDK・8言語対応 |
カスタムSkillsは、自社固有の業務ワークフローや専門知識をパッケージ化するためのものです。社内マニュアル、契約書審査チェックリスト、コーディング規約など、どんな業務パターンでもSkillにできます。
SKILL.md Frontmatterの設計 — nameとdescriptionの書き方
Skillの成否を決める最重要ファイルがSKILL.mdです。特にdescriptionフィールドの設計がSkillの自動選択精度に直結します。
Frontmatterの全フィールド仕様
---
name: contract-review-assistant # 必須。64文字以内、英小文字・数字・ハイフンのみ
description: | # 必須。1024文字以内。Claude自動選択のトリガー
契約書のレビューを支援します。NDA、業務委託契約、利用規約などの
法的文書の確認、リスク条項の抽出、チェックリストとの照合が
必要な時に使用してください。
使用場面: 契約書 レビュー NDA 業務委託 利用規約 法的 条項 リスク
---nameフィールドの制約:
- 最大64文字
- 英小文字・数字・ハイフンのみ(スペース不可)
- 「anthropic」「claude」は使用不可(予約語)
- XMLタグを含めない
descriptionフィールドの制約:
- 最大1,024文字
- 空白不可
- XMLタグを含めない
descriptionの書き方 — Claudeが自動選択するためのトリガー設計
descriptionはClaude Skillsの心臓部です。Level 1でClaudeが読み込む唯一の情報であり、「このSkillを使うべきか」を判断するための全情報がここに集約されています。
実際に企業研修のSkillを設計した時に試した比較例を示します。
NG例 — 起動が不安定になるdescription:
description: 研修資料を作成するスキルです。これでは「いつ使うべきか」がClaudeに伝わりません。曖昧すぎて自動選択されないか、逆に関係ないタスクでも起動してしまいます。
OK例 — 確実に起動するdescription:
description: |
企業向けAI研修のカリキュラム、スライド、ハンズオン資料を設計・作成します。
以下の場合に使用してください:
- 研修プログラムの全体設計が必要な時
- スライドやテキスト教材の作成依頼がある時
- ハンズオン演習の設計・難易度調整が必要な時
- 研修後のフォローアップ資料作成が必要な時
キーワード: 研修 カリキュラム スライド 教材 ハンズオン 演習 AI研修ポイントは「何をするか」と「いつ使うか」の両方を明示することです。具体的なユースケースと関連キーワードを列挙することで、Claudeの自動選択精度が大幅に向上します。
SKILL.md本文の書き方 — 指示設計のベストプラクティス
SKILL.md本文は、新入社員へのオンボーディングガイドとして書くイメージが正確です。Claudeはこのガイドを読んで、初めてその業務のやり方を学びます。
実践的なSKILL.md例(月次レポート自動生成)
---
name: monthly-report-generator
description: |
月次経営レポートの生成と分析を支援します。
売上データの集計、前月比較、KPI分析、役員向けサマリーの
作成が必要な時に使用してください。
キーワード: 月次レポート 経営レポート 売上 KPI 集計 前月比
---
# 月次経営レポート生成ガイド
## 概要
本Skillは、月次経営データからCFO・役員向けレポートを自動生成します。
売上、利益率、顧客獲得コスト(CAC)、解約率(Churn)を分析対象とします。
## 手順
### Step 1: データ取得
以下のスクリプトでCRMからデータを取得します:
```bash
python3 scripts/fetch_crm_data.py --month {YYYY-MM}
```
### Step 2: 分析フレームワーク
以下の順序で分析を進めてください:
1. MoM(前月比)の計算
2. YoY(前年同月比)の計算
3. 目標達成率の計算
4. 外れ値・異常値の検出
### Step 3: レポート生成
templates/executive_summary.docx を使用し、
以下のセクション構成でレポートを生成します:
- エグゼクティブサマリー(400字以内)
- KPIダッシュボード
- 深掘り分析(上位3項目)
- 来月の推奨アクション
## 制約事項
- 個人識別情報(PII)はレポートに含めない
- 数値は全て万円単位で統一する
- 前提を置いた場合は必ず「[仮定]」と明記する
## 参照資料
詳細なKPI定義は [references/kpi_definitions.md](references/kpi_definitions.md) を参照してください。階層的Skills — メインSkillとサブスキル設計
複雑な業務ワークフローでは、1つのSkillに全てを詰め込まず、階層構造で設計することが重要です。
階層設計の例(法務部門向け)
legal-department-skills/
├── contract-review/ # メインSkill: 契約書レビュー
│ ├── SKILL.md
│ ├── references/
│ │ ├── nda-checklist.md # NDA専用チェックリスト
│ │ ├── saas-checklist.md # SaaS契約専用
│ │ └── employment-checklist.md # 雇用契約専用
│ └── scripts/
│ └── extract_clauses.py # 条項抽出スクリプト
│
├── legal-research/ # サブSkill: 法的調査
│ ├── SKILL.md
│ └── references/
│ └── legal_databases.md
│
└── compliance-audit/ # サブSkill: コンプライアンス監査
├── SKILL.md
└── references/
└── regulation_map.mdメインSkillのdescriptionに「詳細は legal-research や compliance-audit Skillも参照してください」と書くことで、Claudeが文脈に応じて適切なサブスキルを呼び出せるようになります。
サブSkill連携の実装例
---
name: contract-review
description: |
契約書のレビューと分析を支援します。NDA、業務委託、SaaS利用規約、
雇用契約に対応。条項のリスク評価、抜け漏れチェック、交渉ポイントの
抽出が必要な時に使用してください。
関連Skill: legal-research(判例調査), compliance-audit(法令準拠確認)
---
# 契約書レビューSkill
## 対応契約書タイプ
- NDA(秘密保持契約)→ [references/nda-checklist.md](references/nda-checklist.md) を参照
- 業務委託契約 → [references/saas-checklist.md](references/saas-checklist.md) を参照
- 雇用契約 → [references/employment-checklist.md](references/employment-checklist.md) を参照
## 法令調査が必要な場合
legal-research Skillを追加して法的根拠の確認を行ってください。チーム共有パターン — GitHub管理からプラグイン化まで
Skillsのチーム共有には3つのパターンがあります。規模と管理要件に応じて選択してください。
パターン1: Gitリポジトリ共有(小〜中規模チーム)
# チームリポジトリにSkillsを管理
company-skills-repo/
├── README.md # Skill一覧・使い方ガイド
├── skills/
│ ├── marketing/
│ │ ├── seo-content/ # SEOコンテンツ作成Skill
│ │ └── ad-copy/ # 広告コピー作成Skill
│ ├── engineering/
│ │ ├── code-review/ # コードレビューSkill
│ │ └── api-design/ # API設計Skill
│ └── hr/
│ ├── job-description/ # 求人票作成Skill
│ └── interview-prep/ # 面接準備Skill
└── .github/
└── workflows/
└── skill-validation.yml # Skill品質チェックCIチームメンバーはGitリポジトリをClone後、Claude Codeの設定(`~/.claude/skills/` または `.claude/skills/`)にコピーして使用します。
パターン2: Claude API経由でワークスペース共有(中〜大規模)
Claude APIを使ってCustom Skillsをアップロードすると、ワークスペース全メンバーが共有して使用できます。これがエンタープライズでの主流パターンです。
import anthropic
import zipfile
import os
def upload_skill_to_workspace(skill_dir: str, client: anthropic.Anthropic):
"""Skillディレクトリをzip化してAPIにアップロードする"""
skill_name = os.path.basename(skill_dir)
zip_path = f"/tmp/{skill_name}.zip"
# ディレクトリをzip化
with zipfile.ZipFile(zip_path, 'w', zipfile.ZIP_DEFLATED) as zipf:
for root, dirs, files in os.walk(skill_dir):
# .gitや__pycache__を除外
dirs[:] = [d for d in dirs if d not in ['.git', '__pycache__', 'node_modules']]
for file in files:
file_path = os.path.join(root, file)
arcname = os.path.relpath(file_path, skill_dir)
zipf.write(file_path, arcname)
# APIにアップロード
with open(zip_path, 'rb') as f:
response = client.beta.skills.create(
name=skill_name,
skill_zip=f
)
print(f"Skill '{skill_name}' uploaded. ID: {response.id}")
return response.id
# 使用例
client = anthropic.Anthropic(api_key="your-api-key")
skill_id = upload_skill_to_workspace("./skills/contract-review", client)パターン3: Claude Code Pluginで配布(大規模・管理一元化)
Claude Code PluginsはSkillsを含む形式でパッケージ化でき、組織内の全開発者に一括配布できます。
company-plugin/
├── manifest.json # Plugin設定ファイル
├── skills/ # 組み込むSkillsのディレクトリ
│ ├── code-review/
│ ├── api-design/
│ └── security-audit/
└── README.md{
"name": "acme-corp-engineering",
"version": "2.1.0",
"description": "ACME社エンジニアリングチーム共通Skills",
"skills": [
{"path": "skills/code-review"},
{"path": "skills/api-design"},
{"path": "skills/security-audit"}
],
"repository": "https://github.com/acme-corp/claude-plugin"
}Claude Code Pluginsについての詳細は、Claude Code Plugin開発完全ガイドをあわせてご覧ください。
エンタープライズ展開 — SSO・権限管理・監査ログ
数百人規模でClaudeを使う組織では、Skillsの展開にガバナンスが不可欠です。以下が実際の企業で使われている展開パターンです。
Claude Enterprise計画でのSkills管理
Claude Enterpriseでは以下が利用できます(2026年5月時点):
- SAML 2.0 / OIDC対応SSO: IDプロバイダー(Okta、Azure AD、Google Workspaceなど)との統合でSSOを強制
- SCIM プロビジョニング: ユーザーの自動追加・削除
- カスタムRBAC: Skillsの閲覧・実行・管理を役割別に制御
- 監査ログ: 誰がいつどのSkillを使ったかを記録(SOC 2対応)
- Managed Settings(MDM展開): managed-settings.jsonを組織全体に強制配布
Managed Settingsを使った組織レベルのSkill強制適用
{
"organizationSettings": {
"skills": {
"allowedSkillSources": [
"anthropic-official",
"https://github.com/acme-corp/claude-plugin"
],
"blockedSkills": [],
"defaultSkills": [
"acme-corp-base-policy",
"acme-corp-security-guidelines"
]
},
"mcpServers": {
"allowList": ["company-crm-mcp", "company-hr-mcp"]
}
}
}このJSONをMDM(Mobile Device Management)ツール経由で全社PCに配布することで、全Claudeインスタンスに共通のSkill設定を強制できます。ユーザーが勝手に未承認のSkillを追加することを防ぐことができます。
監査ログ設計の実例
監査ログに記録されるべき情報と、その活用方法です:
| 記録項目 | 活用用途 | 保持期間推奨 |
|---|---|---|
| Skill使用ユーザー・タイムスタンプ | 使用状況分析・コスト配賦 | 1年 |
| 起動されたSkill名・バージョン | Skill品質改善・廃止判断 | 1年 |
| エラー・異常終了の記録 | Skill修正・インシデント対応 | 2年 |
| 外部データアクセス記録 | セキュリティ監査・コンプライアンス | 永続推奨 |
既存社内ナレッジ(Notion/Confluence)との連携
多くの企業では、既にNotionやConfluenceに豊富な業務ナレッジが蓄積されています。これをSkillsに変換するのが、最も効率的なエンタープライズ導入パターンです。
Notionページ→Skill変換のパターン
import requests
import yaml
import os
def notion_to_skill(page_id: str, notion_token: str, output_dir: str):
"""NotionページをSKILL.md形式に変換する"""
headers = {
"Authorization": f"Bearer {notion_token}",
"Notion-Version": "2022-06-28"
}
# ページ本文取得
response = requests.get(
f"https://api.notion.com/v1/blocks/{page_id}/children",
headers=headers
)
blocks = response.json()["results"]
# Notionブロック→Markdown変換(簡略版)
markdown_content = convert_notion_blocks_to_markdown(blocks)
# SKILL.mdのフロントマター生成
# Notionのページタイトルとタグからdescriptionを自動生成
page_meta = requests.get(
f"https://api.notion.com/v1/pages/{page_id}",
headers=headers
).json()
skill_name = page_meta["properties"]["Name"]["title"][0]["text"]["content"]
tags = [t["name"] for t in page_meta["properties"].get("Tags", {}).get("multi_select", [])]
frontmatter = {
"name": skill_name.lower().replace(" ", "-"),
"description": f"{skill_name}に関する業務手順を実行します。\nキーワード: {' '.join(tags)}"
}
# SKILL.md出力
os.makedirs(output_dir, exist_ok=True)
with open(f"{output_dir}/SKILL.md", "w", encoding="utf-8") as f:
f.write(f"---\n{yaml.dump(frontmatter, allow_unicode=True)}---\n\n")
f.write(markdown_content)
print(f"Skill '{skill_name}' created at {output_dir}/SKILL.md")
# 使用例
notion_to_skill(
page_id="YOUR_NOTION_PAGE_ID",
notion_token="secret_xxxx",
output_dir="./skills/procurement-process"
)Confluence→Skill変換の考え方
Confluenceの場合も同様に、REST APIでページ本文を取得し、HTML→Markdown変換後にSKILL.mdとして保存します。重要なのは、descriptionに既存ページのラベル・タグを活用することです。これにより、既存の情報アーキテクチャをSkillsの自動選択ロジックにそのまま流用できます。
研修設計の観点では、スキルの「書き方を学ぶ研修」より「既存ナレッジをSkillに変換するハンズオン」が定着率が高い、というのが複数社の研修経験から得た知見です。ナレッジベース変換ワークショップとセットで導入することを推奨しています。
Plugins / MCP Serverとの関係と使い分け
エンタープライズClaude活用では、Skills / Plugins / MCP Serverの3つが混在して語られます。整理します。
| 機能 | Skills | Plugins | MCP Server |
|---|---|---|---|
| 主な役割 | 業務知識・手順の埋め込み | Skills+ツールのパッケージ | 外部システムへのリアルタイム接続 |
| ネットワーク | APIは不可、Claude Codeは可 | 依存するSkillsに準じる | あり(リアルタイムデータ取得) |
| 配布方法 | 個別またはAPI経由 | marketplace / plugin化 | MCPサーバー設定 |
| 最適ユースケース | 業務手順・ナレッジ標準化 | Skillsのチーム配布 | CRM・DB・API連携 |
実務での使い分けルール:
- 「業務手順・フォーマット・社内ナレッジを標準化したい」→ Skills
- 「SkillsをチームにGitHub経由で配布・管理したい」→ Plugins
- 「CRM・社内DB・外部APIにリアルタイムでアクセスしたい」→ MCP Server
MCP Serverの実装については、Anthropic MCP Server構築完全ガイドで詳しく解説しています。また、Claude Code Hooks(Pre/PostToolUse)との連携についてはClaude Code Hooks完全ガイド、Slash CommandについてはClaude Code Slash Command完全ガイドを参照してください。
実用Skillsサンプル10選 — 社内ナレッジ型
以下は実際の企業で設計・運用されている、または研修でよく求められるSkillパターンです。全てSKILL.mdの骨格を含めて示します。
1. 社内マニュアル検索・回答Skill
---
name: internal-manual-qa
description: |
社内マニュアル・業務規程に基づいて質問に回答します。
勤怠、経費精算、備品申請、リモートワーク規程など
社内ルールの確認が必要な時に使用してください。
---2. 契約書レビューSkill
---
name: contract-review
description: |
NDA・業務委託・SaaS利用規約などの契約書をレビューします。
リスク条項の抽出、チェックリストとの照合、
交渉ポイントの特定が必要な時に使用してください。
---3. コーディング規約チェックSkill
---
name: coding-standards-check
description: |
自社コーディング規約に基づいてコードをレビューします。
命名規則、エラーハンドリング、セキュリティガイドライン、
テスト要件の確認が必要な時に使用してください。
---4. 採用面接評価Skill
---
name: interview-evaluation
description: |
採用面接の評価フレームワークに基づいて候補者を評価します。
評価シートの作成、スコアリング、フィードバック文案の
作成が必要な時に使用してください。
---5. 営業提案書作成Skill
---
name: sales-proposal-generator
description: |
自社の提案書フォーマットに従って営業提案書を作成します。
顧客の課題分析、ROI試算、サービス説明の構成が
必要な時に使用してください。
---6. カスタマーサポート回答Skill
---
name: customer-support-response
description: |
カスタマーサポートの回答品質基準に沿ってメール・チャット文案を作成します。
お客様からのクレーム対応、FAQ回答、
エスカレーション判断が必要な時に使用してください。
---7. プレスリリース作成Skill
---
name: press-release-writer
description: |
自社のPRガイドラインに沿ったプレスリリースを作成します。
新製品発表、人事情報、事業提携など公式発表文書の
起草が必要な時に使用してください。
---8. セキュリティインシデント対応Skill
---
name: security-incident-response
description: |
情報セキュリティポリシーに基づいてインシデント対応を支援します。
インシデントレポートの作成、影響範囲の特定、
報告エスカレーション手順の確認が必要な時に使用してください。
---9. 財務モデル分析Skill
---
name: financial-model-analysis
description: |
自社の財務分析フレームワークに基づいて財務データを分析します。
P&Lレビュー、予実差異分析、予算策定サポート、
役員向け財務サマリーの作成が必要な時に使用してください。
---10. ローカライゼーションSkill
---
name: localization-reviewer
description: |
自社のローカライゼーションガイドラインに基づいてコンテンツを翻訳・レビューします。
UI文言、マーケティングコピー、法的文書の
日英・日中・日韓翻訳品質チェックが必要な時に使用してください。
---セキュリティ考察 — 権限管理とPII保護
Skillsはコード実行環境でClaudeが動作するため、適切なセキュリティ設計が不可欠です。
信頼できるソースからのみ使用する
AnthropicはSkillsを「ソフトウェアのインストールと同等に扱う」ことを強く推奨しています。悪意あるSkillは以下のリスクをもたらします:
- ファイルシステムへの不正アクセス
- 外部URLへのデータ送信(データ漏洩)
- ツールの悪用(bash、ファイル操作等)
- 外部依存関係を通じた間接的な指示インジェクション
社内Skill審査プロセスの設計
# Skill審査チェックリスト(CI/CDに組み込む例)
name: skill-security-audit
run:
- name: SKILL.md静的解析
# descriptionに外部URLが含まれていないか
# scripts/に危険なネットワーク呼び出しがないか
- name: スクリプトレビュー
# 外部APIへのデータ送信がないか確認
python3 audit_scripts.py ./skills/${SKILL_NAME}/scripts/
- name: 依存関係チェック
# requirements.txtの脆弱性スキャン
pip-audit -r ./skills/${SKILL_NAME}/scripts/requirements.txtPII(個人識別情報)保護の設計
Skillsがデータを処理する場合、SKILL.md本文に明示的なPIIルールを記述することが重要です。
## データハンドリングルール
### 絶対禁止事項
- 以下の情報をログ・外部サービスに送信してはならない:
- 氏名、住所、電話番号、メールアドレス
- マイナンバー、社員番号
- パスワード、APIキー、トークン
- 財務個別データ(個人の給与、口座情報)
### 処理前に確認すること
- 入力データに上記PIIが含まれる場合、マスク処理(***)後に分析する
- 処理結果にPIIが含まれないか最終確認してから出力するまた、AnthropicのAPIではSkillsはZero Data Retention(ZDR)の対象外です。Skill定義と実行データは標準データ保持ポリシーに従って保持されます。機密性の高い業務でSkillsを使う場合は、Claude Enterpriseでの契約条件を確認してください。
【要注意】Skills設計でよくある失敗パターン4選
失敗1: descriptionが曖昧すぎて自動選択されない
❌ よくある間違い
description: 業務を効率化するスキルです。⭕ 正しいアプローチ
description: |
月次売上データの集計・分析・レポート生成を支援します。
KPI集計、前月比計算、役員向けサマリー作成が必要な時に使用してください。
キーワード: 月次 売上 KPI 集計 レポート 前月比 役員なぜ重要か: Claudeはdescriptionだけを見てSkillを選択します。曖昧な説明はSkillが全く起動しないか、意図しないタスクで起動するかのどちらかになります。
失敗2: 1つのSkillに全機能を詰め込む
❌ よくある間違い: 「マーケティング全般Skill」として、SEO・広告・SNS・メルマガ・分析をすべて1つのSKILL.mdに詰め込む
⭕ 正しいアプローチ: 業務単位で分割する
marketing/
├── seo-content-skill/
├── ad-copy-skill/
├── sns-post-skill/
└── email-campaign-skill/なぜ重要か: 1つのSkillが大きすぎるとLevel 2のトークンコストが増大し、Claudeの理解精度も下がります。1Skill=1業務ワークフローが基本設計です。
失敗3: scriptsのエラーハンドリングを省略する
❌ よくある間違い
import pandas as pd
df = pd.read_excel("data.xlsx") # エラー処理なし⭕ 正しいアプローチ
import pandas as pd
import sys
try:
df = pd.read_excel("data.xlsx")
if df.empty:
print("ERROR: データが空です。正しいファイルが指定されているか確認してください。")
sys.exit(1)
except FileNotFoundError:
print("ERROR: data.xlsxが見つかりません。ファイルパスを確認してください。")
sys.exit(1)
except Exception as e:
print(f"ERROR: データ読み込み失敗 — {e}")
sys.exit(1)なぜ重要か: スクリプトのエラーメッセージはそのままClaudeのコンテキストに入ります。明確なエラーメッセージがないと、Claudeが問題を特定できず適切なフォールバックができません。
失敗4: スキルのバージョン管理を怠る
❌ よくある間違い: SkillをAPIにアップロードしたまま、ローカルの元ファイルを更新し続ける。どれが本番版か分からなくなる
⭕ 正しいアプローチ: Gitタグ+CIでバージョン管理する
# .github/workflows/deploy-skills.yml
name: Deploy Skills to Claude API
on:
push:
tags:
- 'skill-v*' # skill-v1.2.3 のようなタグでデプロイ
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Upload Skills to Claude API
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
run: python3 scripts/deploy_skills.pyなぜ重要か: バージョン管理なしでは、Skillsを更新した際に予期しない動作変化が全ワークスペースに波及します。GitタグとCIデプロイを組み合わせることで、本番反映前にレビューできます。
まとめ:今日から始める3つのアクション
- 今日やること: 既存の業務マニュアル(PDF・Notionページ・Confluenceドキュメント)の中から、最も繰り返し参照されるものを1つ選び、SKILL.mdの骨格(frontmatter + 手順本文)を書いてみる
- 今週中: Claude Codeのプロジェクト配下(
.claude/skills/)に作成したSkillを配置し、実際のタスクで自動起動を確認する。descriptionを調整して選択精度を高める - 今月中: チームで使うSkillを3〜5本揃えてGitリポジトリで管理し、Claude APIを通じてワークスペース全体に展開する。監査ログの収集も開始する
Claude Skillsは、Claudeを「汎用AIアシスタント」から「自社専用の業務AIシステム」へと転換する最も直接的な手段です。プロンプト管理の限界を超え、組織の知識を持続的にAIに埋め込む仕組みを今から構築しておくことが、2026〜2027年のAI競争力の核になると感じています。
Claude Code関連の技術についてさらに深掘りするには、Claude Code完全ガイドをご覧ください。
参考・出典
- Agent Skills Overview — Anthropic Claude API Docs(参照日: 2026-05-06)
- anthropics/skills — GitHub 公式Skillsリポジトリ(参照日: 2026-05-06)
- Extend Claude with skills — Claude Code Docs(参照日: 2026-05-06)
- Introducing Agent Skills — Anthropic News(参照日: 2026-05-06)
- Introduction to Claude Skills — Claude Cookbook(参照日: 2026-05-06)
- Set up single sign-on (SSO) — Claude Help Center(参照日: 2026-05-06)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー約10万人)。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
