難解なWAFログ、生成AIが自動解読オーエムネットワークが運用工数を90%以上削減

オーエムネットワーク株式会社は、生成AI「Gemini」とGoogle Apps Script (GAS)を活用し、Web Application Firewall (WAF)のログ解析を自動化するシステムを構築しました。これにより、WAF監視業務における対応工数を90%以上削減し、セキュリティ運用効率の大幅な改善を実現しています。

WAF運用、AIで劇的効率化か

見出し

1 WAF運用、AIで劇的効率化か
2 WAFとは何か？その役割と課題
3 既存設定を変えずに「外付けの判定エンジン」を構築
4 今後の展望
5 オーエムネットワーク株式会社概要
6 情報源

同社によると、この自動判定システムは通常の運用業務の合間に、Geminiがプログラムコードの大部分を生成することで構築されました。エンジニアによる微調整とテストを除けば、人間による開発工程をほとんど介さず、極めて短期間での実装が実現したといいます。WAFの検知ログは専門知識を要するため、従来はエンジニアが都度解読・判定する必要がありましたが、本システムの導入により、日常的な確認作業が自動化されました。これにより、セキュリティレベルを維持しつつ、運用効率が大幅に改善され、対応工数は90%以上削減されたとしています。

WAFとは何か？その役割と課題

WAF（Web Application Firewall）は、WebサイトやWebアプリケーションをサイバー攻撃から守るための「専用の門番」として機能します。一般的なファイアウォールがネットワークの入り口を監視するのに対し、WAFは通信の中身、特にWebアプリケーションへの入力内容を詳細に検査します。例えば、お問い合わせフォームへの悪意あるプログラムの送信などを検知し、瞬時に遮断することで、顧客データなどを預かるクラウドサービスにおいて、24時間体制のセキュリティ対策の要となっています。

しかし、セキュリティを強固に保つためWAFが高感度に設定されると、「誤検知」が頻発することが運用上の課題でした。パスワード変更などの正常な操作にもWAFが過剰反応するケースがあり、その都度、正規の操作か攻撃かを判断する必要があったといいます。また、通知されるログはURLエンコードされた難解な文字列で構成されており、人間がそのまま解読することは困難でした。エンジニアは通知が届くたびに内容を解読・精査しなければならず、これが大きな負担となっていました。さらに、顧客によってはセキュリティ状況の正確な把握と報告が求められ、膨大なログの中から必要な情報を抽出し、整理する作業にはスピードと正確性が常に求められていたのが実情です。

既存設定を変えずに「外付けの判定エンジン」を構築

オーエムネットワークは、既存のWAF設定を一切変更することなく、通知後の判定工程を自動化する「外付けの判定エンジン」を構築しました。Google Apps Script（GAS）で自動判定の仕組みを構築し、その判定ロジックの設計・検証には生成AI「Gemini」が活用されました。これにより、熟練エンジニアが持つ判断基準を迅速にプログラムへ落とし込むことが可能になったといいます。

この自動判定システムは、以下の主な特徴を持つとしています。

高度なデコードと可視化：記号化されたログを瞬時に日本語化し、内容を一目で把握できる機能。
コンテキストによる自動仕分け：管理画面内での特定操作や既知の偵察Botなどをロジックで自動判定し、不要な通知をカットする機能。
特定顧客向けの優先報告：セキュリティ報告の要件がある顧客に関連するログを自動判別し、専用フラグを付与して担当者へ即座に通知する機能。

本システムの稼働により、正常な防御成功などの通知を自動処理する制御が導入されました。その結果、毎日約10通届いていた通知確認作業が、「数日に一度の例外対応」へと劇的に効率化されたと発表されています。

今後の展望

今回の取り組みを通じて、オーエムネットワークは「既存のセキュリティ設定を変えずに、判定工程だけをAIで自動化する」という運用改善のアプローチが有効であることを確認したとしています。今後は、判定ロジックのさらなる蓄積と洗練を進め、未知の攻撃パターンへの対応スピード向上を目指す方針です。さらに、現在の「検知ログの自動判定」に留まらず、検知後の初動対応までを生成AIが支援する仕組みの構築も視野に入れているといいます。自動化によって生まれたリソースをサービスのさらなる改善に充て、安全性と品質をより高い次元で追求していく考えです。