Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービス影響を出さずにWafCharmを導入する
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
gr1m0h
March 27, 2026
Technology
100
0
Share
サービス影響を出さずにWafCharmを導入する
gr1m0h
March 27, 2026
More Decks by gr1m0h
See All by gr1m0h
インシデント対応入門
grimoh
8
6.5k
フルリモートを支える技術
grimoh
0
94
マイクロモビリティシェアサービスを支える プラットフォームアーキテクチャ
grimoh
1
660
"君は見ているが観察していない"で考えるインシデントマネジメント
grimoh
4
3.9k
Enabling Client-side SLO
grimoh
7
5.6k
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
2
1.1k
Luupの開発組織におけるインシデントマネジメントの変遷
grimoh
2
1.9k
IoTサービスにおけるSLI設計とLUUPでの実践
grimoh
1
2.3k
Luupの開発組織におけるインシデントマネジメントのこれから
grimoh
2
1.5k
Other Decks in Technology
See All in Technology
責任あるソフトウェアエンジニアリングの紹介4章・5章 / RSE_Ch4-5
ido_kara_deru
0
270
layerx-fde-practices
cipepser
5
1.5k
はじめてのAI-DLC
yoshidashingo
2
410
TSKaigi 2026 - 型プラグインシステムの実装に使われるテクニック
teamlab
PRO
1
170
その英語学習、AWSで代替できませんか?
suzutatsu
1
210
キャリア25年目にしてTypeScript に出会うまで - 「型」を通じて振り返るプログラミング言語遍歴 / Meeting TypeScript After 25 Years in Tech - Looking Back at My Programming Language Journey Through "Types"
bitkey
PRO
2
170
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
cm_yasuhara
0
190
LookerとADKで作る社内AIエージェント
chanyou0311
0
300
Python開発環境にハーネス適用を検討する
yuuka51
0
390
TypeScriptで実現する既存APIを活用したリモートMCPサーバー構築 / TSKaigi 2026
soarteclab
1
200
TSKaigi 2026 - enumよ、さようなら
teamlab
PRO
2
350
Cortex(Code) を ML モデルの 精度改善サイクルに組み込む.pdf
oimo23
0
260
Featured
See All Featured
Mind Mapping
helmedeiros
PRO
1
200
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
190
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
360
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
Side Projects
sachag
455
43k
The Limits of Empathy - UXLibs8
cassininazir
1
330
It's Worth the Effort
3n
188
29k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
400
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.3k
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
87
How to make the Groovebox
asonas
2
2.2k
Transcript
2026/03/27 おもにクラウドの話してます #6 @gr1m0h サービス影響を出さずに サービス影響を出さずに WafCharmを導入する WafCharmを導入する
Wataru Tsuda / gr1m0h(ぐりもお) SWE, SRE at Topotal, inc. SRE
as a Service: 複数社にSREの技術支援を提供 Waroom: インシデントマネジメントSaaS 今日の話:AWS WAF、Wafcharmをサービス影響を出 さずにどう導入を進めたか IaCと段階的リリースで、サービス影響を出さずに WafCharmを導入する 自己紹介 2
WafCharm https://www.wafcharm.com/jp/ パブリッククラウドに対応したWAFルールの自動運用サービス サイバーセキュリティクラウド社が提供 導入にはIAMロール作成が必要 -> CloudFormationテンプレートが公式提供されている しかし、あえてTerraform Moduleを自作した WafCharm
+ なぜTerraformで再実装したか 3
1. IaC統合 インフラ管理がTerraformなのにIAMだけCloudFormation -> 「これ誰が作った?」問題が起きる 2. 最小権限の原則 CloudFormation版: AmazonS3ReadOnlyAccess (全S3バケット)
-> WAFログ用バケットだけに絞るべき 3. 横展開 Module化 -> 変数を差し替えるだけで別の環境、次のお客様にも最速導入 OSS公開: github.com/topotal/terraform-aws-wafcharm Terraform Module化の3つの理由 4
WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]
デプロイ モニタリング 修正 全展開 -> まず観測してから判断する 観測してから判断する 5
攻撃の検知 -> 想定通り しかし... ChannelTalk(カスタマーサポートツール)の WebhookリクエストがWAFルールに誤検知された -> もしBlockモードだったらカスタマーサポートに影響が出ていた Countモードで始めたおかげで、サービス影響ゼロで発見できた Countモードで発見した誤検知
6
対応: ChannelTalkのIPをAllowlistに登録 WafCharm管理 vs Terraform管理 WafCharm Allowlist Terraform管理 ルール優先度 100〜(WafCharm管理)
0〜99(ユーザー管理) 他のルールとの優先度 Bot対策ルールの方が優先される どのルールよりも優先される -> AllowlistはTerraform側でWAFルールとして管理 -> 誤検知ゼロを確認してからBlockモードへ切り替え -> サービス影響ゼロでWafcharm導入完了 AllowlistのIaC管理 7
1. IaCで管理する Terraform Module化で一元管理・最小権限・横展開 2. まず観測する Countモード = WAF版カナリアリリース 3.
変更をコードにする AllowlistもTerraform管理でレビュー可能に まとめ:WAF導入のSRE的アプローチ 8
Links Terraform Module: topotal/terraform-aws-wafcharm Blog: TAWS WAFとWafCharm連携に必要なIAMロールをTerraformで構築する
SiteGround - Reliable hosting with speed, security, and support you can count on.
grimoh
ido_kara_deru
cipepser
yoshidashingo
teamlab
suzutatsu
bitkey
cm_yasuhara
chanyou0311
yuuka51
(1).png){kind=avatar}
soarteclab
oimo23
helmedeiros
sarafernandez
katarinadahlin
twada
sachag
cassininazir
3n
mfonobong
chriscoyier
irinanazarova
marcoroth
asonas
![WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]](https://files.speakerdeck.com/presentations/a7f2a6a1528041e8aa8586c22369b6df/slide_4.jpg){kind=link}
