Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービス影響を出さずにWafCharmを導入する
Search
gr1m0h
March 27, 2026
Technology
120
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
サービス影響を出さずにWafCharmを導入する
gr1m0h
March 27, 2026
More Decks by gr1m0h
See All by gr1m0h
SRE Lounge Hiroshimaへの招待
grimoh
0
360
インシデント対応入門
grimoh
8
6.6k
フルリモートを支える技術
grimoh
0
120
マイクロモビリティシェアサービスを支える プラットフォームアーキテクチャ
grimoh
1
690
"君は見ているが観察していない"で考えるインシデントマネジメント
grimoh
4
3.9k
Enabling Client-side SLO
grimoh
7
5.7k
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
2
1.2k
Luupの開発組織におけるインシデントマネジメントの変遷
grimoh
2
2k
IoTサービスにおけるSLI設計とLUUPでの実践
grimoh
1
2.4k
Other Decks in Technology
See All in Technology
ローカルLLMとLINE Botの組み合わせ その3 / LINE DC Generative AI Meetup #8
you
PRO
0
110
プロダクトだけじゃない、社内プロセスにおける自動化・省力化ノススメ
kakehashi
PRO
1
2.1k
知らん間に、回ってる
ming_ayami
0
280
脱金融のフューチャー・デザイン / Future Design Beyond Finance
ks91
PRO
0
130
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
360
クラウド上のデータ復旧で見落としがちな制約: 医療系 SaaS の BCP 設計から得た教訓
kakehashi
PRO
0
1.9k
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
1.1k
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
2
130
どうして今サーバーサイドKotlinを選択したのか
nealle
0
210
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
0
2k
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
440
Terraform共通モジュールをチーム横断で“変えられる”運用へ ― リリースと適用の分離
kekke_n
0
1.3k
Featured
See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
330
We Have a Design System, Now What?
morganepeng
55
8.2k
Design in an AI World
tapps
1
260
Typedesign – Prime Four
hannesfritz
42
3.1k
Producing Creativity
orderedlist
PRO
348
40k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
410
A designer walks into a library…
pauljervisheath
211
24k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.4k
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Leo the Paperboy
mayatellez
8
1.9k
How to Talk to Developers About Accessibility
jct
2
280
Transcript
2026/03/27 おもにクラウドの話してます #6 @gr1m0h サービス影響を出さずに サービス影響を出さずに WafCharmを導入する WafCharmを導入する
Wataru Tsuda / gr1m0h(ぐりもお) SWE, SRE at Topotal, inc. SRE
as a Service: 複数社にSREの技術支援を提供 Waroom: インシデントマネジメントSaaS 今日の話:AWS WAF、Wafcharmをサービス影響を出 さずにどう導入を進めたか IaCと段階的リリースで、サービス影響を出さずに WafCharmを導入する 自己紹介 2
WafCharm https://www.wafcharm.com/jp/ パブリッククラウドに対応したWAFルールの自動運用サービス サイバーセキュリティクラウド社が提供 導入にはIAMロール作成が必要 -> CloudFormationテンプレートが公式提供されている しかし、あえてTerraform Moduleを自作した WafCharm
+ なぜTerraformで再実装したか 3
1. IaC統合 インフラ管理がTerraformなのにIAMだけCloudFormation -> 「これ誰が作った?」問題が起きる 2. 最小権限の原則 CloudFormation版: AmazonS3ReadOnlyAccess (全S3バケット)
-> WAFログ用バケットだけに絞るべき 3. 横展開 Module化 -> 変数を差し替えるだけで別の環境、次のお客様にも最速導入 OSS公開: github.com/topotal/terraform-aws-wafcharm Terraform Module化の3つの理由 4
WAFをいきなりBlockモードで入れるのは テストなしで本番デプロイするのと同じ カナリアリリースと同じ発想: [Countモード] -> [観測・誤検知調査] -> [Allowlist設定] -> [Blockモード]
デプロイ モニタリング 修正 全展開 -> まず観測してから判断する 観測してから判断する 5
攻撃の検知 -> 想定通り しかし... ChannelTalk(カスタマーサポートツール)の WebhookリクエストがWAFルールに誤検知された -> もしBlockモードだったらカスタマーサポートに影響が出ていた Countモードで始めたおかげで、サービス影響ゼロで発見できた Countモードで発見した誤検知
6
対応: ChannelTalkのIPをAllowlistに登録 WafCharm管理 vs Terraform管理 WafCharm Allowlist Terraform管理 ルール優先度 100〜(WafCharm管理)
0〜99(ユーザー管理) 他のルールとの優先度 Bot対策ルールの方が優先される どのルールよりも優先される -> AllowlistはTerraform側でWAFルールとして管理 -> 誤検知ゼロを確認してからBlockモードへ切り替え -> サービス影響ゼロでWafcharm導入完了 AllowlistのIaC管理 7
1. IaCで管理する Terraform Module化で一元管理・最小権限・横展開 2. まず観測する Countモード = WAF版カナリアリリース 3.
変更をコードにする AllowlistもTerraform管理でレビュー可能に まとめ:WAF導入のSRE的アプローチ 8
Links Terraform Module: topotal/terraform-aws-wafcharm Blog: TAWS WAFとWafCharm連携に必要なIAMロールをTerraformで構築する