難解なWAFログ"を生成AIが自動解読、対応工数90%以上削減

オーエムネットワーク株式会社
～既存のWAF設定を変えずに、GAS×Geminiで"外付けの判定エンジン"を構築～

オーエムネットワーク株式会社（本社：新潟県新潟市、代表取締役：山岸真也）は、WAF（Web Application Firewall）の監視業務において、生成AI「Gemini」によるプログラムの自動生成を活用し、Google Apps Script（GAS）上で動作する自動判定システムを構築しました。
本システムは、通常の運用業務の合間にGeminiを活用して構築されました。Geminiがプログラムコードの大部分を生成したことで、エンジニアによる微調整とテストを除き、人間による開発工程をほぼ介さない極めて短期間での実装を実現しています。WAFの検知ログは解析に専門知識を要するため、従来はエンジニアによる都度の解読・判定が不可欠でした。本システムの導入により、これら日常的な確認作業の自動化に成功し、対応工数を90%以上削減。セキュリティレベルを維持したまま、運用効率の大幅な改善を実現しました。

WAFとは？

WAF（ワフ）とは「Web Application Firewall」の略称で、WebサイトやWebアプリケーションをサイバー攻撃から守るための「専用の門番」のような存在です。
一般的なファイアウォールがネットワークの入り口を見張るのに対し、WAFは通信の中身（入力された文字など）を詳しく検査します。例えば、お問い合わせフォームに悪意のあるプログラムを送り込もうとする動きを検知し、瞬時に遮断します。お客様の大切なデータを預かるクラウドサービスにおいて、この門番が24時間体制で目を光らせることは、セキュリティ対策の要となっています。

WAF運用の課題とエンジニアの負担

セキュリティを強固に保つためには、門番であるWAFが「少しでも怪しい」と感じた通信をすべて記録・通知する必要がありますが、現場には以下の課題がありました。
- 「誤検知」への迅速な対応：セキュリティレベルを高く設定すると、パスワード変更などの正常な操作にWAFが過剰反応してしまうケースがあり、その都度「正規の操作か攻撃か」の判断が必要でした。
- 解析の難解さと工数：通知ログはURLエンコード（記号化）された難解な文字列で構成されており、人間がそのまま読むことは困難です。エンジニアは通知が届くたびに内容を解読・精査しなければなりませんでした。
- 報告業務の精度向上：一部のお客様からは、セキュリティ状況の正確な把握と報告が求められます。膨大なログの中から必要な情報を抽出し、整理する作業には常にスピードと正確性が求められていました。

GAS×生成AIによる自動判定エンジンの構築

既存のWAF設定は一切変更せず、通知後の判定工程を自動化する「外付けの判定エンジン」を構築しました。Google Apps Script（GAS）で自動判定の仕組みを構築し、その判定ロジックの設計・検証に生成AI「Gemini」を活用。熟練エンジニアが持つ判断基準を迅速にプログラムへ落とし込みました。

【自動判定システムの主な特徴】
- 高度なデコードと可視化：記号化されたログを瞬時に日本語化し、内容を一目で把握。
- コンテキストによる自動仕分け：管理画面内での特定操作や既知の偵察Botなどをロジックで自動判定し、不要な通知をカット。
- 特定顧客向けの優先報告：セキュリティ報告の要件があるお客様に関連するログを自動判別し、専用フラグを付与して担当者へ即座に通知。

本システムの稼働により、正常な防御成功などの通知を自動処理する制御を導入。これにより、毎日10通ほど届いていた通知確認が「数日に一度の例外対応」へと劇的に効率化されました。

今後の展望

今回の取り組みにより、「既存のセキュリティ設定を変えずに、判定工程だけをAIで自動化する」という運用改善のアプローチが有効であることを確認できました。
今後は、判定ロジックのさらなる蓄積・洗練を進め、未知の攻撃パターンへの対応スピードを向上させていきます。さらに、現在の「検知ログの自動判定」にとどまらず、検知後の初動対応までを生成AIが支援する仕組みの構築も視野に入れています。自動化によって生まれたリソースをサービスのさらなる改善に充て、安全性と品質をより高い次元で追求してまいります。