re:Inforce で発表された AWS WAF と WAF ルールにまつわる 生成 AI 奮闘記

Transcript

1. re:Inforce で発表された AWS WAF と WAF ルールにまつわる 生成 AI 奮闘記

   2025/07/05 (土) フォージビジョン株式会社 https://www.forgevision.com/ JAWS ミート 2025 - 非公式 肉スポンサーセッション

2. アジェンダ • 自己紹介 ◦ 尾谷 紘平 • AWS re:Inforce とは

   • 発表されたアップデート新サービスなど • re:Inforce 2025 でアップデートされた AWS WAF の UI について • 自己紹介 ◦ 長友 亜美 • WAF ルールにまつわる Bedrock 奮闘記

3. 自己紹介 - 1/2 ➔ 尾谷 紘平 フォージビジョン株式会社所属 大阪府高槻市在住 ・内製化支援チームマネージャ ・Orca

   Security 販売担当マネージャ ・JAWS-UG 初心者支部メンバー ・大型イベントの実行委員やスタッフなど ・JAWS DAYS 2020〜 / FESTA 2021〜2024 ・JAWS SONIC & Midnight-JAWS ・JAWS PANKRATION 2021 3

4. この１年で担当させていただいた JAWS-UG のロゴ 4 フルスクラッチ AI デザインから 書き起こし PNG データから

   イラレデータ起こし ドット絵化 フルスクラッチ フルスクラッチ PNG データから イラレデータ起こし 現在、２件並行しています。 案件お待ちしております！

5. AWS re:Inforce とは

6. AWS re:Inforce 2025 https://pages.awscloud.com/jp-reinforce-2025.html AWS re:Inforce とは ➔ セキュリティに特化したグローバルカンファレンス 2019

   年に第一回がボストンで 開催され、今回で 6 回目 ・2019: 第 1 回　ボストン ・2020: 第 2 回　ヒューストン (中止) ・2021: 第 2 回　ヒューストン (中止) ・2022: 第 3 回　ボストン ・2023: 第 4 回　アナハイム ・2024: 第 5 回　フィラデルフィア ・2025: 第 6 回　フィラデルフィア 　2025 年 6 月 16 日～18 日に開催 6 ペンシルベニア州 フィラデルフィア 観光地: フィラデルフィア市庁舎・フィラデルフィア美術館 イースタン州立刑務所・クルーズなど ロケ地: ロッキー・フィラデルフィア・イン・ハー・シューズなど

7. AWS re:Inforce 2025 https://pages.awscloud.com/jp-reinforce-2025.html AWS re:Inforce とは ➔ 第 6

   回 re:Inforce 2025 フィラデルフィア・コンベンションセンターで 3 日間開催 ・2025 年 6 月 15 日 〜17:00 　レジストレーションのみ可 ・2025 年 6 月 16 日～18 日 　初日は朝食なし ・2025 年 6 月 17 日 　Keynote ・2025 年 6 月 18 日 　17:00〜 クロージング・レセプション 7

8. AWS re:Inforce 2025 https://pages.awscloud.com/jp-reinforce-2025.html AWS re:Inforce とは ➔ 次回開催日程・場所などは未定 ・2019:

   第 1 回　ボストン ・2020: 第 2 回　ヒューストン (中止) ・2021: 第 3 回　ヒューストン (中止) ・2022: 第 3 回　ボストン ・2023: 第 4 回　アナハイム ・2024: 第 5 回　フィラデルフィア ・2025: 第 6 回　フィラデルフィア ・2026: 第 7 回　未定 8 史上初めて、地球上で最大のサッカー大会の開催が 3 カ国で 分担されることになった。合計 16 の都市で試合が開催される。 アメリカでは、シアトル、サンフランシスコ、ロサンゼルス、 ダラス、ヒューストン、カンザスシティ、フィラデルフィア、 アトランタ、マイアミ、ボストン、ニューヨークが開催都市と なり、メキシコの本部は、モンテレイ、グアダラハラ、メキシコ シティになる。そして、カナダではバンクーバーとトロントが メインの会場となる。 2026 FIFA ワールドカップ - 開催国

9. EXPO の風景

10. EXPO の風景 re:Inforce 2025 の EXPO は AWS Summit の

    3 分の 1 程度 の大きさでした。 セキュリティに特化した イベントらしく、スポンサーも セキュリティやモニタリングに 特化したベンダーばかりが出展 しています。 2025 ダイヤモンドスポンサー一覧 ・CROWDSTRIKE ・DataDog ・Orca Security ・Paloalto ・tenable 10

11. EXPO の風景 Orca Security はボーリング ゲームのようなものを設置して いました。 ピンを倒すのではなくて、 3 球投げて、穴に入ったら

    ノベルティがゲットできる ルールでした。 盛り上がっていました。 11

12. EXPO の風景 2024 年はスポンサーティアが 下がり、Paloalto と Wiz に押されている印象が ありましたが、今年はブースが 大きくなり、

    日本人のエンジニアが現地で 解説されていて、日本人が 多くブースに来られていました。 12 2023 の Orca 2025 の Orca 2024 の Orca

13. 発表されたアップデート 新サービスなど

14. Keynote で発表された新サービスと注目機能 ➔ AWS IAM Access Analyzer の 内部 Access

    検出 ➔ 全てのアカウントのルートユーザーに MFA を必須化 ➔ AWS Certificate Manager のどこでも使えるパブリック証明書 ➔ AWS Shield Network Security Director プレビュー ➔ AWS WAF と CloudFront のシンプルなコンソール、 オンボーディング体験（5 Step で構築） ➔ AWS Network Firewall - アクティブな脅威に対する防御 ➔ Amazon GuardDuty Extended Threat Detection (2024 年 12 月 GA された機能を EKS に拡大) ➔ AWS Security Hub の Unified Cloud Security Solution プレビュー ➔ AWS MSSP Specialization ➔ AWS Well-Architected Framework Generative AI Lens 14

15. re:Inforce 前後で発表された新サービスと注目機能 ➔ Amazon Verified Permissions Express.js 向けに数分で認可機能を実装可能な OSS をリリース

    ➔ AWS WAF DDoS protection rule group Layer7 (アプリケーションレイヤー) の DDoS を数秒で検知してブロック ➔ Amazon Inspector コード セキュリティ機能を追加 15

16. re:Inforce 2025 でアップデートされた AWS WAF の UI について

17. WAF のどこが変わったか？ ➔ 2025/06/17 に公開されたブログに沿ってご紹介します 17 https://aws.amazon.com/blogs/security/introducing-the-new-console-experience-for-aws-waf/

18. OLD WAF のどこが変わったか？ ➔ UI が一新されました 18 OLD NEW NEW

    本日、AWS WAF がセキュリティ設定を簡素化するために設計された新しいコ ンソールエクスペリエンスをリリースしました。この強化されたインターフェイス は、アプリケーションランドスケープ全体を包括的に保護する統合セキュリ ティソリューションを提供 します。

19. WAF のどこが変わったか？ ➔ UI が一新されました イラストが追加されて直感的に分かりやすくなりました。 19 OLD NEW OLD

    NEW

20. WAF のどこが変わったか？ ➔ グローバル表記だったのが、リージョン表記に変わっています。 そして CloudFront 用の WebACL はバージニア北部で表示されます。 20

    OLD NEW

21. WAF のどこが変わったか？ ➔ ということは、 CloudFront 用の WebACL と バージニア北部の ALB

    や Cognito 用の WebACL が共有して 使いまわせるようになったのでは...？ 21 global region

22. WAF のどこが変わったか？ ➔ 別でした。。マークが表示されて識別できるようになってます。 22

23. WAF のどこが変わったか？ ➔ WebACL が 保護パック という名称になりました。 23 OLD NEW

    AWS WAF は、特定のワークロード向けに事前設定されたルールパック 、自 動化されたセキュリティ推奨事項、そしてセキュリティ状況を明確に示す統合 ダッシュボードを提供します。

24. WAF のどこが変わったか？ 24 テンプレートが出来ました。 わずか数秒でブロックする レイヤー 7 DDoS 攻撃対策ルール も選択できます！

25. WAF のどこが変わったか？ ➔ サードパーティのマネージドルールは、アドオン保護 から AWS Marketplace にアクセスできるようになりました。 25 新しいコンソールは、セキュリティ運用を効果的に拡張するための

    柔軟な保護レベルと統合されたパートナーソリューションも提供 します。

26. 改善点 ➔ 従来はタブによる 切り替え方式でしたが、 新 UI では、一覧から ワンクリックで 素早くアクセスできる ように改善されました。

    26 OLD NEW 簡素化されたインターフェースにより、設定 手順が 1 ページに統合 され、複数のページ を移動する手間が省けます。

27. 改善点 ➔ モニタリング機能が充実 スクリーンショットでは 何も検出していないので 真っ白ですが、 モニタリングが見やすく なりました。 QuickSight ライクな

    UI でフィルタリング機能が 統合されました。 27 OLD NEW 新しいコンソールには、成果重視のダッシュボード が搭載されており、脅威検出指標 、ルールパ フォーマンス分析 、実用的なインサイト を単一の ビューに統合することで、セキュリティ監視を簡素 化します。

28. WAF のどこが変わったか？ ➔ いい感じだけれど、本当に使いやすくなったの？ ➔ ブログの内容を鵜呑みにせず、弊社の検証環境、お客様の環境を 含めて一通り触ってみました。 28

29. 改悪点 ➔ 数が多いと把握しづらい 従来は、Web ACLs に リスト表示されており ましたが、新 UI では

    保護パックが 「リソースと保護」に ずらっと並ぶように なりました。 弊社が対応している お客様は WebACL が 20 個以上あり、 若干見づらい印象です。 29 OLD NEW

30. その他の変更点 ➔ IP sets 従来は、ナビゲーション ペインの IP sets から アクセスできましたが、

    新 UI では セットとグループを管理 ボタンからアクセスする 形に変更されました。 正規表現やエージェント でブロックするような カスタムルールもここ から作れます。 30 OLD NEW

31. その他の変更点 ➔ 保護パックを削除したいとき すぐに分かりませんでした。保護パックを選択して、詳細パネルの 右端に削除ボタンがありました。ボタンは赤色が良いと思いました。 31

32. その他の変更点 ➔ JSON ダウンロードは？ 従来の UI では、 Web ACL の設定情報を

    JSON 形式で ダウンロードする機能が 用意されていましたが 新 UI で見つかりません。 AWS はフィードバックにより、アップデートされます。 気になる点があれば、是非フィードバックにご協力をお願いします。 32 OLD

33. CloudFront への WAF 関連付けの運用

34. 自己紹介 - 2/2 ➔ 長友 亜美 フォージビジョン株式会社所属 大阪府寝屋川市在住 ・内製化支援チーム所属 特筆すべき経歴なし（伸び代は無限大）

    34

35. 長友のこれまでの関連付け方法の誤解 多くのAWSサービスでは、AWS WAFのWeb ACLを関連付ける際に一般的に associate_web_acl APIを使用します。 これは広く知られた方法ですよね。 しかし、CloudFrontに関しては他のサービスとは異なる仕様となっており、 この標準的な方法が適用できないケースがあります。 この認識の違いが、設定ミスや運用トラブルの原因となることがあります。

    35

36. 私がしたかったこと 営業時間が終了したらWebサイトをメンテナンスページにして 営業時間開始前にメンテナンスページを解除したい！！ よし、EventBridgeでスケジュール設定してLambda 呼び出して CloudFrontに関連付けてるWAF変えよ！ってことで ChatGPTに聞いたら、こんなコードを提案してくれました。 36

37. 作成してもらったコード 37 「おお、いい感じやん！さすがやん！」と思って実行したら…

38. 作成してもらったコード 38 😇　………は？？？

39. ChatGPT先生に聞いてみる 39 池上彰かChatGPTかというくらい質問したこと褒めてくれます 【正しい前提条件と形式を満たしていたら使えますねん】と 条件についても親切に教えてくれました。

40. ChatGPT先生に聞いてみる 40

41. ChatGPT先生に聞いてみる 41

42. 真実はいつもひとつ 42

43. 真実はいつもひとつ 43 めっちゃ手のひら返すやん😇

44. 正しいやり方 44

45. まとめ CloudFrontにWAFを付けたり外したりするには associate_web_acl ではなく update_distribution を使わなきゃダメなんですねー。 理由はシンプルで、CloudFrontはグローバルサービスで、WAFの紐付けが他のリソースと違うということです。 つまり、WAFの変更はCloudFrontの設定の一部として扱われている。って感じでした！ 🤖 ChatGPTを使って思ったこと

    ChatGPTはすごく便利。でも… 「AIの言うことを鵜呑みにするな」 という教訓も得ました。 間違ってることもあるし、仕様が特殊なリソース（CloudFrontとか）は特に注意！ エンジニアは失敗から学ぶ生き物。 　　　　　　　　　　日々成長しているわたしに乾杯🍻ってことで終わります 45