novel-jp/risk-review
skills/risk-review/SKILL.md
AI ガイド付きリスクアセスメント。未対応リスクを1件ずつレビューし、選択肢・推奨・具体的対応内容を提示する。
data-ai
Updated Apr 10, 2026
$ install --global
skillsauthnpx skillsauth add novel-jp/projsight-plugin risk-reviewInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 10, 2026, 2:16 AM36.4s1 file scanned
SKILL.md
- name:
- risk-review
- description:
- AI ガイド付きリスクアセスメント。未対応リスクを1件ずつレビューし、選択肢・推奨・具体的対応内容を提示する。
/risk-review
プロジェクトの未対応リスクを 1 件ずつ対話的にレビューし、AI が選択肢・具体的対応内容・推奨を提示する。判断結果に応じて Task / Issue / DR / Question / Scope 等のエンティティを横断的に生成する。
設計ドキュメント: DD-#142
前提
- ProjSight MCP Server のツールを使用する
- AI は推奨を出すが、最終判断は常にユーザーが行う(PMBOK「リスクオーナーが判断」の原則)
- エンティティの登録・更新はすべてユーザーに提案し、承認を得てから 実行する
- 1 リスクずつ対話的にレビューする(全件一括は判断疲れを引き起こす)
- スキップは常に許可する(「今は判断できない」は正当な選択)
Step 1: コンテキスト取得
以下のツールを並列で実行し、プロジェクトの現状を把握する:
get_project_context(projectId)— カウント、アラート、activePhaselist_risks(projectId)— 全リスクlist_drs(projectId, type='design')— 設計ドキュメント一覧(AI 分析のコンテキスト)list_issues(projectId)— Issue 一覧(関連性チェック用)
取得後、レビュー対象を抽出する:
- 対象:
statusがidentified,analyzing,plannedのリスク - 除外:
resolved,closed,escalatedのリスク - 表示順: severity(probability × impact)降順 — 深刻なものから先にレビュー
レビュー対象が 0 件の場合:
未対応のリスクはありません。プロジェクトのリスク管理は健全です。
と報告して終了。
Step 2: リスクごとの対話ループ
各リスクについて、以下の手順を実行する:
2a. リスク詳細の取得
get_risk(riskId)— リスクの全フィールド取得list_links(projectId, entityType: 'risk', entityId: riskId)— 関連エンティティ- 関連する DD がありそうな場合は
get_dr(drId)で詳細を参照
2b. AI 分析と選択肢提示
以下のフォーマットで提示する:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Risk #[number]: [タイトル]
確率: [●●●○○] ([X]/5) 影響: [●●●●○] ([Y]/5) 深刻度: [X×Y]
ステータス: [identified/analyzing/planned]
担当: [ownerName ?? '未設定']
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 AI 評価:
現在の影響:
[プロジェクトのコンテキストを踏まえた、このリスクの具体的な影響を説明]
放置した場合:
[最悪のシナリオを具体的に記述]
関連エンティティ:
[リンクされている Task/Issue/DR があれば表示]
🔧 対応選択肢:
A. [具体的な選択肢名] ← 推奨
何をするか: [実装レベルで具体的に記述]
期待効果: [定量的・定性的な効果]
コスト: [工数・費用・トレードオフ]
B. [別の選択肢名]
何をするか: [実装レベルで具体的に記述]
期待効果: [定量的・定性的な効果]
コスト: [工数・費用・トレードオフ]
C. 保留(次回レビューで再評価)
D. クローズ(リスク消滅・対応不要)
E. スキップ(今は判断しない)
❓ 判断精度を上げるための質問:
- [判断に必要だが不足している情報を質問として提示]
- [ユーザーが回答すればより良い推奨ができる質問]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
どれを選びますか?(A/B/C/D/E、または質問への回答)
選択肢提示のルール:
- 対応選択肢(A, B)は最低 2 つ提示する(代替案のない判断はしない)
- 各選択肢に「何をするか」を実装レベルで具体的に記述する(「検討する」ではなく「Provisioned Concurrency を 5 に設定する」)
- 推奨には理由を明示する
- 「判断精度を上げるための質問」は、答えによって推奨が変わりうる質問のみ記載する
- 質問をユーザーが回答した場合は、回答を踏まえて選択肢を再提示する
2c. ユーザーの選択に応じたアクション
| ユーザーの選択 | 実行するアクション |
| ---------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| A or B(対応する) | ユーザーに確認後: (1) upsert_risk(mitigation: 選択した対応内容, status: 'planned') (2) /start-task ワークフロー #3 に誘導(タスク作成・リンク・開始)するか確認。今すぐ着手しない場合は planned のまま記録だけする (3) add_risk_review でレビュー記録を保存(Step 2d 参照) |
| C(保留) | ユーザーに保留理由を聞く → upsert_risk(notes: "レビュー日: YYYY-MM-DD。保留理由: ...") → add_risk_review でレビュー記録を保存 |
| D(クローズ) | ユーザーにクローズ理由を確認 → upsert_risk(status: 'closed') → add_risk_review でレビュー記録を保存 |
| E(スキップ) | 何もせず次のリスクへ(レビュー記録は保存しない) |
| 質問への回答 | 回答を踏まえて選択肢を再提示(Step 2b に戻る) |
アクション実行中に発生しうる派生登録:
判断の過程で以下が必要と判断された場合、ユーザーに提案する:
| 状況 | 提案するアクション |
| -------------------------- | ---------------------------------------------------------------------------------------------------------------------- |
| 判断に情報が足りない | upsert_question(title, body) + create_link(risk → question, related) |
| 対応方針が重要な意思決定 | upsert_dr(title, context, decision) + create_link(risk → dr, related) |
| 緩和策がスコープ変更を伴う | add_scope_change(description, impact) |
| 分析中に新しいリスクを発見 | upsert_risk(title, ...) + create_link(risk → new_risk, related) |
| リスクが既に顕在化している | upsert_issue(title, category, severity) + create_link(risk → issue, caused_by) + upsert_risk(status: 'resolved') |
2d. レビュー記録の保存
ユーザーの判断が確定したら(A/B/C/D、E以外)、add_risk_review でレビュースナップショットを保存する。
add_risk_review(
riskId: <riskId>,
aiAssessment: <Step 2b で提示した AI 評価テキスト>,
options: <Step 2b で提示した選択肢の配列>,
decision: <ユーザーの選択(例: "A: 緩和策を実行")>,
reason: <ユーザーが述べた判断理由(あれば)>,
probabilityAtReview: <レビュー時の確率>,
impactAtReview: <レビュー時の影響度>,
statusBefore: <レビュー前のステータス>,
statusAfter: <レビュー後のステータス>,
createdEntities: <派生登録したエンティティ一覧(あれば)>
)
注意: aiAssessment は最大 4000 文字、options[].description は最大 1000 文字に収める。
Step 3: サマリ
全リスクのレビュー完了後(またはユーザーが途中で終了した場合)、サマリを表示する:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
リスクレビュー完了
レビュー対象: N 件
─────────────────────
対応決定: N 件(タスク作成 M 件)
保留: N 件(次回レビューで再評価)
クローズ: N 件
スキップ: N 件
派生登録:
- 質問追加: N 件
- DR 作成: N 件
- スコープ変更: N 件
- 新規リスク: N 件
- Issue 登録: N 件
次のアクション:
- [具体的な次のステップを列挙]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
注意事項
- レビュー対象が 10 件を超える場合、「全件レビューしますか?上位 N 件だけにしますか?」とユーザーに確認する
- ユーザーが途中で「もう十分」と言った場合は、残りをスキップしてサマリに移行する
- 同一セッションで 2 回目の
/risk-reviewを実行する場合、前回レビュー済み(保留・クローズ・対応済み)のリスクはスキップする
Related Skills
novel-jp/start-task
tools
VerifiedTrustedCommunity
タスクを作成・紐づけ・開始する。コーディング前に必ずこのコマンドを実行すること。
SKILL.mdUpdated Apr 10, 2026
novel-jp/review-task
tools
VerifiedTrustedCommunity
タスク記述の品質をレビューし、改善提案を出す。学習・本番共用の汎用スキル。
SKILL.mdUpdated Apr 10, 2026
novel-jp/review-dr
testing
VerifiedTrustedCommunity
DR(Decision Record)の品質をレビューし、改善提案を出す。学習・本番共用の汎用スキル。
SKILL.mdUpdated Apr 10, 2026
novel-jp/product-review
tools
VerifiedTrustedCommunity
プロダクトオーナー視点で機能提案・スコープ変更をレビューする。Plan 承認前に実行を推奨。
SKILL.mdUpdated Apr 10, 2026