AWS WAFの運用を地道に改善し、自社で運用可能にするプラクティス

Transcript

1. © 2026 ANDPAD All Rights Reserved. 1 AWS WAFの運用を地道に改善し、自社で運用可能にするプラクティス 2026/05

   株式会社アンドパッド サービスプラットフォーム部 セキュリティグループ テックリード Kiyotaka Ginoza

2. © 2026 ANDPAD All Rights Reserved. Confidential SES企業にてインフラ(クラウド)エンジニアとして数年勤務したのち、 2020年6月にアンドパッドに入社。 アンドパッドに入社後はSREとしてインフラ改善や運用業務、クラウドセ

   キュリティの課題に数年取り組み、2024年からセキュリティチームのテッ クリードに就任。現在は各種セキュリティ施策の推進と自身でも課題解決 に取り組んでいる。 趣味は読書、サッカー観戦、息子と遊ぶこと。 宜野座 清貴(Kiyotaka Ginoza) 株式会社アンドパッド サービスプラットフォーム部 セキュリティグループ テックリード Profile ｜ 経 歴 自己紹介 2 @kiyogino

3. © 2026 ANDPAD All Rights Reserved. Confidential 現場の効率化から経営改善まで一元管理できる クラウド型建設プロジェクト管理サービス 社　内

   社　外 営業 / 監督 / 設計 事務 / 管理職 職人 / 業者 メーカー / 流通 案件管理 資料 工程表 写真 報告 チャット 黒板 図面 受発注 •　•　• 3 ANDPADについて

4. © 2026 ANDPAD All Rights Reserved. 4 ※『建設業マネジメントクラウドサービス市場の動向とベンダシェア（ミックITリポート2025年 12月号）』（デロイト トーマツ

   ミック経済研究所調べ） ANDPAD が支える建設DX 幸せを築く人を、幸せに。 住まいをつくる。ビルや施設をつくる。街をつくる。 生活を豊かにする建築・建設業は、幸せづくりと例えられます。 私たちは、その幸せづくりをする人たちをテクノロジーの力で 後押ししていきたい。心からそう考えてます。 我々はこれからもお客様の声をサービスに反映して、 建設業界及び建設業従事者様の業務効率化、 DX化を支援してまいります。 Mission 利用社数 ユーザー数 26.5万社 69万人 4

5. © 2026 ANDPAD All Rights Reserved. Confidential ANDPADサービス一覧 現場管理を効率化したい 工事写真の撮影・整理・台帳作成を効率化したい

   顧客と円滑にコミュニケーションしたい ・ 顧客への提出物をスムーズに作成したい 工程管理の手間を 減らしたい 円滑にコミュニケーショ ンしたい 検査や是正指示を 効率化したい 経営・営業データを 可視化したい 受発注・請求書受領を 効率化したい ｚ 社内での承認フローを 効率化したい 断熱リフォームの効果を 可視化したい 現地調査を効率化したい 現場訪問の回数を 減らしたい 安全衛生管理を 徹底したい 社外リソースを 活用したい システム連携で効率性を 上げたい 施工管理 案件概要 資料 ボード 写真 写真台帳 黒板 黒板 AI作成 豆図AI キャプチャー デジタル サイン 報告出力 レイアウト 電子納品 おうちノート 工程表 横断 マイルストーン チャット 報告 図面 検査 Analytics 引合粗利管理 受発注 請求管理 資料承認 サーモ 3Dスキャン 遠隔臨場 入退場管理 BPO API連携 アプリ マーケット 5 5

6. © 2026 ANDPAD All Rights Reserved. Confidential 機能アップデート数 2,517 件/年

   機能アップデート数 ※2024年7月〜2025年6月 ※Web、APP（iOS、Android）合算 ※バグ修正、セキュリティアップデートを除く数値 ANDPAD全サービスにて継続して機能強化 施工管理 チャット 図面 引合粗利 管理 受発注 検査 ボード 黒板 資料承認 API連携 BIM 3D スキャン 入退場 管理 おうち ノート リモート 通話 歩掛管理 グリーン ファイル 早受取 請求管理 •　•　• etc 6

7. © 2026 ANDPAD All Rights Reserved. お話しすること • AWS WAFについて

   • AWS WAF 導入後の課題 • 課題を解決し、自社で運用するプ ラクティス お話ししないこと • WAFの仕組みについての深掘り • AWS WAFの具体的な ルールの中身 7 本日お話しすること/お話ししないこと

8. © 2026 ANDPAD All Rights Reserved. 8 AWS WAFについて

9. © 2026 ANDPAD All Rights Reserved. WAF（Web Application Firewall）とは？ WAFの基本的な役割

   Webアプリケーションへの通信を監視・制 御し、脆弱性を突いた攻撃から保護する専 用の防火壁 通常のファイアウォール（L3/L4）では防 げない、アプリケーション層（L7）の高度 な攻撃を検知・遮断する • SQLインジェクションの遮断 • クロスサイトスクリプティング(XSS) 防止 • etc 9 運用する上での留意点 偽陽性のリスク 正常な通信を遮断する恐れがあるため継続 的な調整が必要 監視体制 リアルタイムの脅威に対応するための体制 構築が不可欠 高度なカスタマイズの難度 複雑な独自ルールの作成には専門知識が必 要 運用の属人化リスク 特定の担当者にノウハウが集中しやすい

10. © 2026 ANDPAD All Rights Reserved. AWS WAF の主な特徴 俊敏性と拡張性に優れたセキュリティ

    • マネージドルールの活用: 専門家（AWSやサードパーティ）が作成したルールを即座に適用し、最新の脅威に対応 • マネージド型サービス: サーバー管理不要、トラフィックに応じて自動スケーリング • AWS サービスとの統合 CloudFront, ALBなどに数クリックで簡単に導入可能 • コスト効率の高さ 従量課金制で初期費用を抑え、スモールスタートが可能 • 詳細なモニタリングと可視化 CloudWatch連携でリアルタイム分析。WAFログをS3などに出力し詳細分析も可能 10

11. © 2026 ANDPAD All Rights Reserved. 11 ANDPADにおけるWAF導入後の課題

12. © 2026 ANDPAD All Rights Reserved. AWS WAFの歴史 2015 AWS

    WAF誕生 CloudFrontのみ対応の 初期リリース 2016-18 Classic (v1) 拡張 ALB対応、API対応、 マネージドルールの登場 2019 WAF v2 リリース アーキテクチャの刷新、 AWS提供マネージドルール のサポート 現在 最新機能の拡充 不正ログイン対策(ATP) Captcha、高度なログ分 析 12 ANDPADにて、 WAFを本格的に活用し始める。 現在は本番環境で20以上のWAF を運用している

13. © 2026 ANDPAD All Rights Reserved. ANDPADにおけるAWS WAFの活用 13 構成

    ALB / CloudFront AWS WAFを各リソースに紐付け ルール構成 AWSマネージドルール (AMR) 一部、特定の脆弱性に対応するカスタムルー ルを併用

14. © 2026 ANDPAD All Rights Reserved. 自社運用を開始して見えてきた4つの課題 14 1. 環境間の差分

    Devで通るのに本番でBlockされる 2. Terraformの大量差分 IaC化してもdiffが見づらすぎる 3. AWSマネージドルール (AMR)更新の追従 気づいたらルールが更新されている 4. 偽陽性への後手対応 ユーザーからの指摘で初めて気づく

15. © 2026 ANDPAD All Rights Reserved. 15 自社で運用可能にするプラクティス

16. © 2026 ANDPAD All Rights Reserved. 16 課題の詳細 • 開発と本番の差分をうまく取り込んでコード化するのが難しく、後回しになっていた

    • コンソール上で更新があると差分確認も難しく、知らぬ間に変更が起きても気づけない 状況 AWS WAF の個別ルールはコード化が進んでおらず、コンソール上で設定の変更が行われていた 課題①：環境間の差分 を解決するためのプラクティス(1)

17. © 2026 ANDPAD All Rights Reserved. プラクティス 環境間の差分の把握・解消、コード化の推進 • 難しさの原因となっていた環境間の差分を把握し、差分を解消。コード化の土台を構築

    • TerraformでのIaCを推進し、構成管理を徹底 導入の結果 • コードからの反映のみに制限し、セキュリティグループのレビューを必須化したことで、 意図しない変更が入ることを防げるようになった • diffで環境間のルール差分をすぐ確認できるようになった 17 課題①：環境間の差分 を解決するためのプラクティス(2)

18. © 2026 ANDPAD All Rights Reserved. 状況 PRのTerraform差分が膨大になり、「LGTM（たぶん 大丈夫）」が常態化 18

    課題の詳細 • マネージドルールのバージョン更新(1行の更新) のみでも、全ルールが差分として検出される • レビューコストが増大し、本来確認すべき重要 な変更を見落とすリスクが発生 Before 課題②：Terraformの大量差分 を解決するためのプラクティス(1)

19. © 2026 ANDPAD All Rights Reserved. 19 プラクティス WAFのルールの記述を rule

    → rule_json に移行 導入の結果 • 修正箇所のみ差分表示が可能となりレビュー 負荷大幅低減 🎉 Terraform Documentation: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resour ces/wafv2_web_acl#rule_json-1 After 課題②：Terraformの大量差分 を解決するためのプラクティス(2)

20. © 2026 ANDPAD All Rights Reserved. 20 状況 AWS WAFのアップグレードに追従しきれず、また本番環境での動作確認が十分ではない

    課題の詳細 • AWS WAFに更新があった時に、更新内容の把握をすぐに行えていない • アップグレード手順を含む検証プロセスの標準化ができていない 課題③：AMR更新への追従 を解決するためのプラクティス(1)

21. © 2026 ANDPAD All Rights Reserved. 21 プラクティス1: 早期検知 

    RSSにて更新を早期に確認 RSS Feed URL: https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-waf-doc-history.rss プラクティス2: Countルールの活用 最新バージョンのCountルール（アクションをBlock ではなくCountに設定）を追加し、Priorityを低く （数字を高く）設定して挙動を事前確認 ※ 注意点: ルール名とメトリクス名は一意にする 導入の結果 • 更新フロー・手順の整備により、2週間程度で最新バージョン追従が可能に 課題③：AMR更新への追従 を解決するためのプラクティス(2)

22. © 2026 ANDPAD All Rights Reserved. 状況 WAFのログは調査しつつも、量がとても多く全てを精緻に確認するのは困難だった 偽陽性に対応しきれず顧客問い合わせの発生も 課題の詳細

    • 大量のログから偽陽性（顧客の正規リクエストのブロック）をリアルタイムに抽出できていない • 監視の仕組みが不十分で、異常の検知が顧客からの指摘に依存している 22 課題④：偽陽性への後手対応 を解決するためのプラクティス(1)

23. © 2026 ANDPAD All Rights Reserved. 課題④：偽陽性への後手対応 を解決するためのプラクティス(2) プラクティス1: ALBログからWAFのBlock増加を検出

    Datadog等の監視ツールでALBでのBlock発生を検出： [email protected]_status_code:* ※ WAFログ全量転送は高額なため、ALBログを併用してコストを抑えつつ早期検出を可能に プラクティス2: 顧客リクエストの可能性が高いパスをSlack通知 攻撃によく使われるパスのBlockはアラートから除外することで、ノイズを減らし気づくべき変化のみを抽出 導入の結果 • お客様からの問い合わせ前に気づいて修正できるケースが大幅に増えた • WAFでのBlockに関するお問い合わせがほとんどなくなった 23 サンプルクエリ

24. © 2026 ANDPAD All Rights Reserved. 次の課題 ログ分析の「人手不足」 24 LLM（Gemini/Claude等）へのログ食わせ

    • リクエストの攻撃可能性についてAIに質問 する • 複雑なSQLiの判定や、難読化されたペイ ロードの解読に威力を発揮 自動クエリ生成 自然言語からAthenaクエリを生成し、調査ス ピードを大幅に向上 AWS DevOps Agentの活用 https://dev.classmethod.jp/articles/aws-devops-agent-ga/ WAF運用におけるAIの展望 AI活用の取り組み

25. © 2026 ANDPAD All Rights Reserved. 自社運用できる状態とは After • 設定を容易に確認し、修正提案が可能に

    • 差分が明確で、安心してApproveできる • 本番影響を事前に把握し、自信を持って 更新 • Blockに迅速に気づき、即座に対処 25 Before • 設定状況の確認や修正提案が困難 • PR差分が見づらく、不安なままLGTM • 開発検証ではアップグレードが不安 • Blockによる顧客影響の把握が困難 顧客影響の極小化(品質)と最新ルールの迅速なデプロイ(速度)の両立を達成。 → 結果として、セキュリティチームがWAFを運用できている実感に繋がった

26. © 2026 ANDPAD All Rights Reserved. 26 まとめ

27. © 2026 ANDPAD All Rights Reserved. Confidential まとめ WAFの運用は銀の弾丸がない地道な改善の積み重ね 1.

    環境の統一 環境ごとのWAF条件を揃え、 検証環境と本番の差異をなくし 予測可能性を高める 2. IaCの活用 差分が確認しやすいIaC構成に より、安全で透明性の高い設定 変更を実現 3. 仕組みとAI ログ調査の仕組み化やAI/LLM の活用により、顧客影響の早期 発見と対処を加速 • 組織の状況に合わせ 自社運用 か 外部委託 かを最適に選択 • 自社運用は大変だが、継続的な改善がチームの運用実感に繋がる 何か1つでも、皆様の運用の参考になれば幸いです！！ 27 © 2026 ANDPAD All Rights Reserved.

28. © 2026 ANDPAD All Rights Reserved. Confidential 28 We are

    hiring! https://engineer.andpad.co.jp/ 技術スタックや募集ポジションを 掲載してます！

29. © 2026 ANDPAD All Rights Reserved. 29 fin