Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サービス影響を出さずにWafCharmを導入する

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for gr1m0h gr1m0h
March 27, 2026
Technology
110
0

 サービス影響を出さずにWafCharmを導入する

Avatar for gr1m0h

gr1m0h

March 27, 2026

More Decks by gr1m0h

See All by gr1m0h
インシデント対応入門
Avatar for gr1m0h grimoh
8
6.5k
フルリモートを支える技術
Avatar for gr1m0h grimoh
0
110
マイクロモビリティシェアサービスを支える プラットフォームアーキテクチャ
Avatar for gr1m0h grimoh
1
680
"君は見ているが観察していない"で考えるインシデントマネジメント
Avatar for gr1m0h grimoh
4
3.9k
Enabling Client-side SLO
Avatar for gr1m0h grimoh
7
5.6k
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
Avatar for gr1m0h grimoh
2
1.1k
Luupの開発組織におけるインシデントマネジメントの変遷
Avatar for gr1m0h grimoh
2
1.9k
IoTサービスにおけるSLI設計とLUUPでの実践
Avatar for gr1m0h grimoh
1
2.4k
Luupの開発組織におけるインシデントマネジメントのこれから
Avatar for gr1m0h grimoh
2
1.5k

Other Decks in Technology

See All in Technology
「速く作る」から「正しく作る」へ ─ 生成AI時代の開発フロー改革の ロードマップと実行 ─
Avatar for starfish719 starfish719
0
9k
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
Avatar for 株式会社出前館 demaecan
1
390
AIにフローを作らせようとして挫折した話
Avatar for 濱津 太一|ユースフル hamatsutaichi
0
240
探して_入れて_作って_使う_Agent_Skills___LT.pdf
Avatar for 松尾淳平 peintangos
2
180
関西に縁あるMicrosoft MVPsが語るCopilotの未来
Avatar for Kaz Asada | しがない情シス kasada
0
1.2k
やさしいA2A入門
Avatar for みのるん minorun365
PRO
7
630
製造業のクラウド活用最適解〜AI,DXを加速するデータ基盤の作り方〜
Avatar for 濱田孝治 hamadakoji
0
420
Chart.js が簡単に使えるようになっていたので OGP 画像生成に使った話
Avatar for すずとも kamekyame
0
170
Agentic ERPをどう設計するか ー 受発注エージェントを動かす、現場の知見と設計思想ー
Avatar for 株式会社リチェルカ recerqainc
1
1.9k
AI Engineering Summit Tokyo 2026 AIの前に、やることがある 〜医療データ企業の4フェーズ〜
Avatar for Daisuke Taniwaki dtaniwaki
0
2.3k
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
Avatar for nrs nrslib
7
4.3k
MCP Appsを作ってみよう
Avatar for iwamot iwamot
PRO
4
170

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
75
12k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
480
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
62k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2.1k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.9k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
790
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.5k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
290
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
350
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.9k

Transcript

  1. 2026/03/27 おもにクラウドの話してます #6 @gr1m0h サービス影響を出さずに サービス影響を出さずに WafCharmを導入する WafCharmを導入する

  2. Wataru Tsuda / gr1m0h(ぐりもお) SWE, SRE at Topotal, inc. SRE

    as a Service: 複数社にSREの技術支援を提供 Waroom: インシデントマネジメントSaaS 今日の話:AWS WAF、Wafcharmをサービス影響を出 さずにどう導入を進めたか IaCと段階的リリースで、サービス影響を出さずに WafCharmを導入する 自己紹介 2

  3. WafCharm https://www.wafcharm.com/jp/ パブリッククラウドに対応したWAFルールの自動運用サービス サイバーセキュリティクラウド社が提供 導入にはIAMロール作成が必要 -> CloudFormationテンプレートが公式提供されている しかし、あえてTerraform Moduleを自作した WafCharm

    + なぜTerraformで再実装したか 3

  4. 1. IaC統合 インフラ管理がTerraformなのにIAMだけCloudFormation -> 「これ誰が作った?」問題が起きる 2. 最小権限の原則 CloudFormation版: AmazonS3ReadOnlyAccess (全S3バケット)

    -> WAFログ用バケットだけに絞るべき 3. 横展開 Module化 -> 変数を差し替えるだけで別の環境、次のお客様にも最速導入 OSS公開: github.com/topotal/terraform-aws-wafcharm Terraform Module化の3つの理由 4

  5. WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]

    デプロイ モニタリング 修正 全展開 -> まず観測してから判断する 観測してから判断する 5

  6. 攻撃の検知 -> 想定通り しかし... ChannelTalk(カスタマーサポートツール)の WebhookリクエストがWAFルールに誤検知された -> もしBlockモードだったらカスタマーサポートに影響が出ていた Countモードで始めたおかげで、サービス影響ゼロで発見できた Countモードで発見した誤検知

    6

  7. 対応: ChannelTalkのIPをAllowlistに登録 WafCharm管理 vs Terraform管理 WafCharm Allowlist Terraform管理 ルール優先度 100〜(WafCharm管理)

    0〜99(ユーザー管理) 他のルールとの優先度 Bot対策ルールの方が優先される どのルールよりも優先される -> AllowlistはTerraform側でWAFルールとして管理 -> 誤検知ゼロを確認してからBlockモードへ切り替え -> サービス影響ゼロでWafcharm導入完了 AllowlistのIaC管理 7

  8. 1. IaCで管理する Terraform Module化で一元管理・最小権限・横展開 2. まず観測する Countモード = WAF版カナリアリリース 3.

    変更をコードにする AllowlistもTerraform管理でレビュー可能に まとめ:WAF導入のSRE的アプローチ 8

  9. Links Terraform Module: topotal/terraform-aws-wafcharm Blog: TAWS WAFとWafCharm連携に必要なIAMロールをTerraformで構築する