はじめに
こんにちは。
株式会社ビズリーチで、プロダクトセキュリティグループ / SREグループに所属している佐々木康徳です。
SREは日々、サービスの信頼性を守るために、さまざまなアラートや運用上の判断に向き合っています。 その中でも、WAFアラートのようなセキュリティシグナルの検知は、攻撃や不審な挙動を把握するための重要な情報源です。
個々の検知を丁寧に見ることは重要です。確認を重ねることで、担当者の判断観点は少しずつ磨かれていきます。一方で、その観点が形式知として運用の仕組みに反映されなければ、知見は個人の経験に留まりやすくなります。 その結果、次の運用改善に活かしづらくなります。
本記事では、WAFアラートなどのセキュリティシグナルを起点に、SREの判断観点をAIに“効かせる”取り組みを紹介します。 ここでいう「AIに効かせる」とは、SREが普段見ている観点を、AIが改善案を出すときに参照できる形にすることです。
目指しているのは、AIに判断を丸投げすることではありません。 AIはWAFアラート検知をもとに改善案や判断基準の見直しを提案し、人間はその提案を確認・承認します。承認した内容は、次の運用に反映します。 この流れを作ることで、アラート対応の中で更新される判断基準を、継続的なWAF運用改善につなげていきます。
WAFアラート対応を運用改善につなげる
WAFアラートには、SQLインジェクションやXSSなどを検知するものがあります。 これらは、アプリケーションを守るうえで内容を確認しておくべきアラートです。
ただし、アラートが発生しただけで、すべてを問題ありとは判断できません。 実際には、対象パス、パラメータ、発生頻度、アプリケーション側の仕様、最新のセキュリティ状況を組み合わせて確認します。
私たちが着目したのは、こうした確認で見えてきた観点を、その場限りにしないことです。 個別のアラートに対応するだけでなく、判断の過程で得た観点を次のWAF運用改善につなげていきます。
たとえば、次のような観点を見ます。
- 検知内容がアプリケーションの想定挙動と合っているか
- 最新のセキュリティ状況を踏まえて、追加調査が必要か
- WAFルール、Runbook、検知条件の見直しにつながる要素があるか
こうした観点を個人の経験に留めず、チームで共有し、誰もが使える状態にしたい。 AIが改善案を出す際にも参照できるようにしたい。 そう考えたことが、今回の取り組みの出発点です。
SREの判断観点をAIに“効かせる”
SREの判断観点をAIに効かせるには、ログだけではなく、判断に必要なコンテキストと観点をあわせて渡す必要があります。 コンテキストとは、アプリケーションの仕様、Runbook、検知条件、エスカレーション条件などです。 観点とは、それらをもとに何を確認し、どのような改善につなげるかという見方です。
たとえば、人間は検知されたリクエストを見て、次のような観点を確認します。
- 既知の攻撃パターンに近いか
- 一時的なスキャンか、継続的な攻撃の兆候か
- 追加調査やエスカレーションが必要か
さらに、WAFルール、Runbook、検知条件に改善の余地がないかを見ます。 ここに、SREが日々の運用で更新している判断観点があります。
この判断観点は、単にドキュメント化するだけでは十分ではありません。 書かれているだけの観点は、実際の運用で参照されないことがあります。 AIの入力 / 出力形式、確認観点、提案内容に組み込んで初めて、その判断観点が運用に効き始めます。
AIに期待する出力は、「このアラートは怪しいです」という単純な判定ではありません。 対応の優先順位、追加調査の要否、WAFルールやRunbookの見直し候補などを、できるだけ速く人間が確認しやすい形で提示することが重要です。 人間が承認すべき判断ポイントも、あわせて示される必要があります。
このようにAIを設計すると、人間は「何を承認し、何を差し戻すか」を判断しやすくなります。 AIを単なる要約係ではなく、SREの判断観点を使って改善案を出す存在として扱えるようになります。
AIの提案を人間が承認し、運用に反映する
今回の取り組みでは、WAF運用改善のサイクルを次のように捉えています。
- AIがWAFアラートの検知をもとに、改善案や判断基準の見直しを提案する
- 人間がその提案を確認し、妥当性や影響を判断する
- 承認した内容や差し戻しの理由を、WAFルール、Runbook、検知条件、AIに渡す観点に反映する
このサイクルでは、AIが改善案を出します。 一方で、運用に入れてよいかを判断する責任は人間が持ちます。
AIが提案し、人間が承認する。 この線引きを明確にすることで、運用の責任を曖昧にしないようにしています。 あわせて、承認や差し戻しの根拠も残します。
たとえば、AIが次のような提案をするケースを想定しています。
特定のWAFルールで検知されるリクエストについて、対象パスとパラメータの組み合わせに偏りがあります。現在のセキュリティ状況や現在のアプリケーション仕様に照らすと、Runbookに確認観点を追記することで、次回以降の確認を標準化できそうです。
この提案に対して、人間は「その提案を運用に入れて問題ないか」「影響範囲が許容できるか」「他チームとの確認が必要か」を判断します。 承認できるものはWAFルールやRunbookに反映し、妥当でないものは差し戻します。
AIの提案は、一度出力して終わりにはしません。 承認した提案、差し戻した理由、実際の運用で役立った観点を振り返ります。 その結果を、次回以降の提案の質を上げるために使います。
Human on the Loopとして、運用ループを設計する
この考え方は、 Human on the Loop として運用を設計することにも通じます。
弊社CTOの外山が「AI Engineering Summit Tokyo 2026」で発表した「AI駆動開発が変える、大規模開発の前提 ーHuman in the LoopからHuman on the Loopへ」では、AI実行をどう統治するかという観点で、 Human in the Loop から Human on the Loop への移行について触れています。 同資料では、AIに任せる範囲を広げるだけでなく、ルール・チェック・実行を制御構造に組み込む考え方も紹介されています。 また、この考え方を 立法 ・ 司法 ・ 行政 のように役割を分けて整理する視点も紹介されています。
この考え方の背景は、以下の発表資料でも紹介しています。
参考: AI駆動開発が変える、大規模開発の前提 ーHuman in the LoopからHuman on the Loopへ
ここからは、この考え方をWAF運用改善の文脈に引き寄せて整理します。
従来のAIを使った運用では、人間が検知の流れの中に入り続けていました。 AIが要約や一次整理をしても、人間がログを読み、観点を思い出し、判断する構造です。
一方で、AIがSREの判断観点に沿って改善案を出せるようになると、人間の役割は変わります。 AIが出した候補を確認し、運用に入れてよいかを判断します。 必要に応じて、ルールや観点そのものも見直します。
Human on the Loop の考え方をもとに、WAF運用改善の題材として置き換えると、先ほどの 立法 ・ 司法 ・ 行政 は次のように対応します。
| 観点 | WAF運用での役割 | 意味 |
|---|---|---|
| 立法 | ルールを定める | 判断観点、エスカレーション条件、AIに渡す前提を整える |
| 司法 | ルールに沿って評価する | WAFアラートの検知やAIの提案が妥当かを確認する |
| 行政 | 実際の運用に反映する | WAFルール、Runbook、検知条件に反映する |
セキュリティに関わる判断をすべて自動化することは、誤検知、検知漏れ、サービス影響などの事業リスクを伴います。 そのため、運用に入れる最終判断は人間が責任を持つほうがよいと考えています。
だからこそ、AIに任せる範囲と、人間が確認するポイントをあらかじめ設計しておく必要があります。
まとめ
WAFアラート対応で得た判断観点は、その場の対応だけで終わらせず、次の運用改善に活かせます。 本記事で扱った流れは、次のとおりです。
- SREが普段見ている観点を整理する
- AIが改善案や判断基準の見直しを提案するときに参照できる形にする
- 人間が提案を確認・承認する
- 承認した内容を次の運用改善につなげる
今後は、AIが提案した改善案を評価する仕組みも整えていきます。 たとえば、WAFルールや検知条件を変更した場合に、既存ログへどのような影響が出るかを確認できる状態にします。 そのうえで、誤検知が増えないか、必要な検知を落としていないかを、人間が判断しやすい形で確認できるようにします。
このサイクルを通じて、SREの関わり方を「アラート対応すること」から「AIが提案した判断基準の見直しを承認し、運用を更新すること」へ広げていきます。
今後も、日々の運用で得られた知見をもとに、WAF運用改善のサイクル全体を回せる状態を目指します。
「SRE NEXT 2026 IN TOKYO」と勉強会について
最後に、関連するイベントについても紹介します。
「SRE NEXT 2026 IN TOKYO」は、2026年7月10日から11日にかけてTOC有明で開催されます。 ビズリーチはParty Sponsorとして参加する予定です。懇親会会場でぜひお話ができればと思いますので、ぜひブースへお立ち寄りください。
また、9月上旬には、株式会社MIXI様と共催で「SREのAI活用」をテーマにSREメンバーが登壇する勉強会も予定しています。
勉強会では、本記事で扱ったWAF運用改善の承認サイクルや、SREの判断観点をAIに効かせる取り組みについて、実際の運用設計や試行錯誤も交えてお話しする予定です。勉強会の詳細は「SRE NEXT」や、今後SNS等でご案内いたしますので、こちらもぜひご参加お待ちしております。