Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービス影響を出さずにWafCharmを導入する
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
gr1m0h
March 27, 2026
Technology
120
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
サービス影響を出さずにWafCharmを導入する
gr1m0h
March 27, 2026
More Decks by gr1m0h
See All by gr1m0h
インシデント対応入門
grimoh
8
6.6k
フルリモートを支える技術
grimoh
0
110
マイクロモビリティシェアサービスを支える プラットフォームアーキテクチャ
grimoh
1
690
"君は見ているが観察していない"で考えるインシデントマネジメント
grimoh
4
3.9k
Enabling Client-side SLO
grimoh
7
5.7k
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
2
1.2k
Luupの開発組織におけるインシデントマネジメントの変遷
grimoh
2
2k
IoTサービスにおけるSLI設計とLUUPでの実践
grimoh
1
2.4k
Luupの開発組織におけるインシデントマネジメントのこれから
grimoh
2
1.5k
Other Decks in Technology
See All in Technology
はてなのサービス基盤を支える Kubernetes《足腰》
masayoshimaezawa
0
310
どうして今サーバーサイドKotlinを選択したのか
nealle
0
150
水を運ぶ人としてのリーダーシップ
izumii19
4
1.1k
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
630
きのこカンファレンス2026_肩書きを外したとき私は誰か
yamasatimi
1
110
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
310
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
290
FinOps X 2026 Recap from Engineer Side #JapanFinOps
chacco38
0
180
Agile and AI Redmine Japan 2026
hiranabe
4
550
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
140
感情と身体を置き去りにしない、エンジニアの生きのこり方 ──いまから、ここから「自分の状態」を扱うという選択
saorimurooka
0
420
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
120
Featured
See All Featured
The agentic SEO stack - context over prompts
schlessera
0
830
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.6k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Skip the Path - Find Your Career Trail
mkilby
1
160
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
72
40k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
1
1.8k
Writing Fast Ruby
sferik
630
63k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
220
Embracing the Ebb and Flow
colly
88
5.1k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
440
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
210
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
65
56k
Transcript
2026/03/27 おもにクラウドの話してます #6 @gr1m0h サービス影響を出さずに サービス影響を出さずに WafCharmを導入する WafCharmを導入する
Wataru Tsuda / gr1m0h(ぐりもお) SWE, SRE at Topotal, inc. SRE
as a Service: 複数社にSREの技術支援を提供 Waroom: インシデントマネジメントSaaS 今日の話:AWS WAF、Wafcharmをサービス影響を出 さずにどう導入を進めたか IaCと段階的リリースで、サービス影響を出さずに WafCharmを導入する 自己紹介 2
WafCharm https://www.wafcharm.com/jp/ パブリッククラウドに対応したWAFルールの自動運用サービス サイバーセキュリティクラウド社が提供 導入にはIAMロール作成が必要 -> CloudFormationテンプレートが公式提供されている しかし、あえてTerraform Moduleを自作した WafCharm
+ なぜTerraformで再実装したか 3
1. IaC統合 インフラ管理がTerraformなのにIAMだけCloudFormation -> 「これ誰が作った?」問題が起きる 2. 最小権限の原則 CloudFormation版: AmazonS3ReadOnlyAccess (全S3バケット)
-> WAFログ用バケットだけに絞るべき 3. 横展開 Module化 -> 変数を差し替えるだけで別の環境、次のお客様にも最速導入 OSS公開: github.com/topotal/terraform-aws-wafcharm Terraform Module化の3つの理由 4
WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]
デプロイ モニタリング 修正 全展開 -> まず観測してから判断する 観測してから判断する 5
攻撃の検知 -> 想定通り しかし... ChannelTalk(カスタマーサポートツール)の WebhookリクエストがWAFルールに誤検知された -> もしBlockモードだったらカスタマーサポートに影響が出ていた Countモードで始めたおかげで、サービス影響ゼロで発見できた Countモードで発見した誤検知
6
対応: ChannelTalkのIPをAllowlistに登録 WafCharm管理 vs Terraform管理 WafCharm Allowlist Terraform管理 ルール優先度 100〜(WafCharm管理)
0〜99(ユーザー管理) 他のルールとの優先度 Bot対策ルールの方が優先される どのルールよりも優先される -> AllowlistはTerraform側でWAFルールとして管理 -> 誤検知ゼロを確認してからBlockモードへ切り替え -> サービス影響ゼロでWafcharm導入完了 AllowlistのIaC管理 7
1. IaCで管理する Terraform Module化で一元管理・最小権限・横展開 2. まず観測する Countモード = WAF版カナリアリリース 3.
変更をコードにする AllowlistもTerraform管理でレビュー可能に まとめ:WAF導入のSRE的アプローチ 8
Links Terraform Module: topotal/terraform-aws-wafcharm Blog: TAWS WAFとWafCharm連携に必要なIAMロールをTerraformで構築する