# セキュリティテスト計画書生成 — 運用ガイド

## 基本情報

| 項目 | 内容 |
|------|------|
| 業種 | IT・開発 |
| ユースケース | セキュリティテスト計画書生成 |
| WFパターン | `start → llm(計画書生成) → end` |
| RAG | なし |
| 検証結果 | E2E pass |
| デモURL例 | http://localhost/workflow/uOqWiN1HC51sG99e |

## 概要

アプリケーション構成を入力として、OWASP準拠のセキュリティテスト計画書を生成する。

## デモ手順

1. DDF Web UI (`/dashboard`) を開く
2. 「セキュリティテスト計画書生成」の「デモ生成」ボタンをクリック
3. 業種「IT・開発」、UC「セキュリティテスト計画書生成」が自動入力される
4. 「デモ生成開始」をクリック
5. 生成完了後、デモURLを顧客に共有


## テスト入力例

### 入力例1
```
対象: ECサイト（React + Node.js + PostgreSQL）。スコープ: 認証・認可、決済フロー、管理画面、ファイルアップロード。除外: インフラ（別途実施）。認証: JWT + OAuth 2.0（Google/Apple）。データ: 個人情報（氏名・住所・メール）、クレカ情報（Stripe経由、PCI DSS対象外）。ツール: OWASP ZAP、Burp Suite Community。
```


## 顧客への説明ポイント

- 「これは自動生成されたプロトタイプです。本番利用には追加の設計・開発が必要です」
- 「御社の実データ/ドキュメントを使えば、さらに精度の高いデモをお見せできます」
- 「Self-hostedなので、御社のデータは外部に出ません」

## AI品質評価コメント

Difyワークフローの出力は、要求されたセキュリティテスト計画書のすべての項目（テスト計画、OWASPベースのチェックリスト、手動テスト観点、自動スキャンツール設定例、合格基準）を非常に詳細かつ構造化されたJSON形式で生成しています。

特筆すべきは、入力クエリ固有の要素（ECサイトの構成、JWT/OAuth認証、Stripe連携、React/Node.js/PostgreSQLスタック、ファイルアップロード機能など）に具体的に言及し、それらの特性に合わせたテスト観点や設定例を提供している点です。OWASPチェックリストや手動テスト手順、自動スキャン設定例も汎用的なものではなく、想定されるアプリケーションに特化した具体的な内容となっており、顧客デモとして十分な品質を超えています。

意味のあるテキストが返され、ユースケーステーマに完全に関連し、最低限の品質を大きく上回り、入力固有の要素に具体的に言及し、汎用テンプレートではないため、全ての合格基準を満たしています。

## 次のステップ（受託提案）

1. 顧客の実データでカスタマイズデモ（POC: 5-10万円）
2. 本番環境設計・構築（受託開発）
3. 既存システム（kintone/Salesforce等）とのAPI連携
4. 運用保守サポート
