サービス影響を出さずにWafCharmを導入する

Transcript

1. 2026/03/27 おもにクラウドの話してます #6 @gr1m0h サービス影響を出さずに サービス影響を出さずに WafCharmを導入する WafCharmを導入する

2. Wataru Tsuda / gr1m0h（ぐりもお） SWE, SRE at Topotal, inc. SRE

   as a Service: 複数社にSREの技術支援を提供 Waroom: インシデントマネジメントSaaS 今日の話：AWS WAF、Wafcharmをサービス影響を出 さずにどう導入を進めたか IaCと段階的リリースで、サービス影響を出さずに WafCharmを導入する 自己紹介 2

3. WafCharm https://www.wafcharm.com/jp/ パブリッククラウドに対応したWAFルールの自動運用サービス サイバーセキュリティクラウド社が提供 導入にはIAMロール作成が必要 -> CloudFormationテンプレートが公式提供されている しかし、あえてTerraform Moduleを自作した WafCharm

   + なぜTerraformで再実装したか 3

4. 1. IaC統合 インフラ管理がTerraformなのにIAMだけCloudFormation -> 「これ誰が作った？」問題が起きる 2. 最小権限の原則 CloudFormation版: AmazonS3ReadOnlyAccess （全S3バケット）

   -> WAFログ用バケットだけに絞るべき 3. 横展開 Module化 -> 変数を差し替えるだけで別の環境、次のお客様にも最速導入 OSS公開: github.com/topotal/terraform-aws-wafcharm Terraform Module化の3つの理由 4

5. WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]

   デプロイ モニタリング 修正 全展開 -> まず観測してから判断する 観測してから判断する 5

6. 攻撃の検知 -> 想定通り しかし... ChannelTalk（カスタマーサポートツール）の WebhookリクエストがWAFルールに誤検知された -> もしBlockモードだったらカスタマーサポートに影響が出ていた Countモードで始めたおかげで、サービス影響ゼロで発見できた Countモードで発見した誤検知

   6

7. 対応: ChannelTalkのIPをAllowlistに登録 WafCharm管理 vs Terraform管理 WafCharm Allowlist Terraform管理 ルール優先度 100〜（WafCharm管理）

   0〜99（ユーザー管理） 他のルールとの優先度 Bot対策ルールの方が優先される どのルールよりも優先される -> AllowlistはTerraform側でWAFルールとして管理 -> 誤検知ゼロを確認してからBlockモードへ切り替え -> サービス影響ゼロでWafcharm導入完了 AllowlistのIaC管理 7

8. 1. IaCで管理する Terraform Module化で一元管理・最小権限・横展開 2. まず観測する Countモード = WAF版カナリアリリース 3.

   変更をコードにする AllowlistもTerraform管理でレビュー可能に まとめ：WAF導入のSRE的アプローチ 8

9. Links Terraform Module: topotal/terraform-aws-wafcharm Blog: TAWS WAFとWafCharm連携に必要なIAMロールをTerraformで構築する