はじめに

こんにちは。
株式会社ビズリーチで、プロダクトセキュリティグループ / SREグループに所属している佐々木康徳です。

SREは日々、サービスの信頼性を守るために、さまざまなアラートや運用上の判断に向き合っています。 その中でも、WAFアラートのようなセキュリティシグナルの検知は、攻撃や不審な挙動を把握するための重要な情報源です。

個々の検知を丁寧に見ることは重要です。確認を重ねることで、担当者の判断観点は少しずつ磨かれていきます。一方で、その観点が形式知として運用の仕組みに反映されなければ、知見は個人の経験に留まりやすくなります。 その結果、次の運用改善に活かしづらくなります。

本記事では、WAFアラートなどのセキュリティシグナルを起点に、SREの判断観点をAIに“効かせる”取り組みを紹介します。 ここでいう「AIに効かせる」とは、SREが普段見ている観点を、AIが改善案を出すときに参照できる形にすることです。

目指しているのは、AIに判断を丸投げすることではありません。 AIはWAFアラート検知をもとに改善案や判断基準の見直しを提案し、人間はその提案を確認・承認します。承認した内容は、次の運用に反映します。 この流れを作ることで、アラート対応の中で更新される判断基準を、継続的なWAF運用改善につなげていきます。

WAFアラート対応を運用改善につなげる

WAFアラートには、SQLインジェクションやXSSなどを検知するものがあります。 これらは、アプリケーションを守るうえで内容を確認しておくべきアラートです。

ただし、アラートが発生しただけで、すべてを問題ありとは判断できません。 実際には、対象パス、パラメータ、発生頻度、アプリケーション側の仕様、最新のセキュリティ状況を組み合わせて確認します。

私たちが着目したのは、こうした確認で見えてきた観点を、その場限りにしないことです。 個別のアラートに対応するだけでなく、判断の過程で得た観点を次のWAF運用改善につなげていきます。

たとえば、次のような観点を見ます。

こうした観点を個人の経験に留めず、チームで共有し、誰もが使える状態にしたい。 AIが改善案を出す際にも参照できるようにしたい。 そう考えたことが、今回の取り組みの出発点です。

WAFアラート対応を運用改善につなげる全体像
WAFアラート対応で得た判断観点を、チームで使える運用改善へつなげる流れ

SREの判断観点をAIに“効かせる”

SREの判断観点をAIに効かせるには、ログだけではなく、判断に必要なコンテキストと観点をあわせて渡す必要があります。 コンテキストとは、アプリケーションの仕様、Runbook、検知条件、エスカレーション条件などです。 観点とは、それらをもとに何を確認し、どのような改善につなげるかという見方です。

たとえば、人間は検知されたリクエストを見て、次のような観点を確認します。

さらに、WAFルール、Runbook、検知条件に改善の余地がないかを見ます。 ここに、SREが日々の運用で更新している判断観点があります。

この判断観点は、単にドキュメント化するだけでは十分ではありません。 書かれているだけの観点は、実際の運用で参照されないことがあります。 AIの入力 / 出力形式、確認観点、提案内容に組み込んで初めて、その判断観点が運用に効き始めます。

SREの判断観点をAIの提案に効かせる設計
判断に必要なコンテキストと観点を、AIの提案と人間の承認に反映する

AIに期待する出力は、「このアラートは怪しいです」という単純な判定ではありません。 対応の優先順位、追加調査の要否、WAFルールやRunbookの見直し候補などを、できるだけ速く人間が確認しやすい形で提示することが重要です。 人間が承認すべき判断ポイントも、あわせて示される必要があります。

このようにAIを設計すると、人間は「何を承認し、何を差し戻すか」を判断しやすくなります。 AIを単なる要約係ではなく、SREの判断観点を使って改善案を出す存在として扱えるようになります。

AIの提案を人間が承認し、運用に反映する

今回の取り組みでは、WAF運用改善のサイクルを次のように捉えています。

  1. AIがWAFアラートの検知をもとに、改善案や判断基準の見直しを提案する
  2. 人間がその提案を確認し、妥当性や影響を判断する
  3. 承認した内容や差し戻しの理由を、WAFルール、Runbook、検知条件、AIに渡す観点に反映する

このサイクルでは、AIが改善案を出します。 一方で、運用に入れてよいかを判断する責任は人間が持ちます。

AIが提案し、人間が承認する。 この線引きを明確にすることで、運用の責任を曖昧にしないようにしています。 あわせて、承認や差し戻しの根拠も残します。

たとえば、AIが次のような提案をするケースを想定しています。

特定のWAFルールで検知されるリクエストについて、対象パスとパラメータの組み合わせに偏りがあります。現在のセキュリティ状況や現在のアプリケーション仕様に照らすと、Runbookに確認観点を追記することで、次回以降の確認を標準化できそうです。

この提案に対して、人間は「その提案を運用に入れて問題ないか」「影響範囲が許容できるか」「他チームとの確認が必要か」を判断します。 承認できるものはWAFルールやRunbookに反映し、妥当でないものは差し戻します。

AIの提案は、一度出力して終わりにはしません。 承認した提案、差し戻した理由、実際の運用で役立った観点を振り返ります。 その結果を、次回以降の提案の質を上げるために使います。

Human on the Loopとして、運用ループを設計する

この考え方は、 Human on the Loop として運用を設計することにも通じます。

AI提案と人間承認のサイクル
AIが改善案を提案し、人間が確認・承認して、運用に反映するサイクル

弊社CTOの外山が「AI Engineering Summit Tokyo 2026」で発表した「AI駆動開発が変える、大規模開発の前提 ーHuman in the LoopからHuman on the Loopへ」では、AI実行をどう統治するかという観点で、 Human in the Loop から Human on the Loop への移行について触れています。 同資料では、AIに任せる範囲を広げるだけでなく、ルール・チェック・実行を制御構造に組み込む考え方も紹介されています。 また、この考え方を 立法司法行政 のように役割を分けて整理する視点も紹介されています。

この考え方の背景は、以下の発表資料でも紹介しています。

Human in/on the Loop と、AI実行を統治するための制御構造を整理した登壇資料

参考: AI駆動開発が変える、大規模開発の前提 ーHuman in the LoopからHuman on the Loopへ

ここからは、この考え方をWAF運用改善の文脈に引き寄せて整理します。

従来のAIを使った運用では、人間が検知の流れの中に入り続けていました。 AIが要約や一次整理をしても、人間がログを読み、観点を思い出し、判断する構造です。

一方で、AIがSREの判断観点に沿って改善案を出せるようになると、人間の役割は変わります。 AIが出した候補を確認し、運用に入れてよいかを判断します。 必要に応じて、ルールや観点そのものも見直します。

Human on the Loop の考え方をもとに、WAF運用改善の題材として置き換えると、先ほどの 立法司法行政 は次のように対応します。

観点 WAF運用での役割 意味
立法 ルールを定める 判断観点、エスカレーション条件、AIに渡す前提を整える
司法 ルールに沿って評価する WAFアラートの検知やAIの提案が妥当かを確認する
行政 実際の運用に反映する WAFルール、Runbook、検知条件に反映する

セキュリティに関わる判断をすべて自動化することは、誤検知、検知漏れ、サービス影響などの事業リスクを伴います。 そのため、運用に入れる最終判断は人間が責任を持つほうがよいと考えています。

だからこそ、AIに任せる範囲と、人間が確認するポイントをあらかじめ設計しておく必要があります。

まとめ

WAFアラート対応で得た判断観点は、その場の対応だけで終わらせず、次の運用改善に活かせます。 本記事で扱った流れは、次のとおりです。

今後は、AIが提案した改善案を評価する仕組みも整えていきます。 たとえば、WAFルールや検知条件を変更した場合に、既存ログへどのような影響が出るかを確認できる状態にします。 そのうえで、誤検知が増えないか、必要な検知を落としていないかを、人間が判断しやすい形で確認できるようにします。

このサイクルを通じて、SREの関わり方を「アラート対応すること」から「AIが提案した判断基準の見直しを承認し、運用を更新すること」へ広げていきます。

今後も、日々の運用で得られた知見をもとに、WAF運用改善のサイクル全体を回せる状態を目指します。

「SRE NEXT 2026 IN TOKYO」と勉強会について

最後に、関連するイベントについても紹介します。

「SRE NEXT 2026 IN TOKYO」は、2026年7月10日から11日にかけてTOC有明で開催されます。 ビズリーチはParty Sponsorとして参加する予定です。懇親会会場でぜひお話ができればと思いますので、ぜひブースへお立ち寄りください。

また、9月上旬には、株式会社MIXI様と共催で「SREのAI活用」をテーマにSREメンバーが登壇する勉強会も予定しています。

勉強会では、本記事で扱ったWAF運用改善の承認サイクルや、SREの判断観点をAIに効かせる取り組みについて、実際の運用設計や試行錯誤も交えてお話しする予定です。勉強会の詳細は「SRE NEXT」や、今後SNS等でご案内いたしますので、こちらもぜひご参加お待ちしております。

ビズリーチでは、新しい仲間を募集しています。

お客様にとって価値あるモノをつくり、働く環境の変革に挑戦する仲間を募集しています。
募集中のポジションやプロダクト組織の詳細は、ぜひキャリア採用サイトをご覧ください。

ビズリーチ採用サイト
佐々木 康徳
佐々木 康徳

2024年ビズリーチに入社。SREグループに所属。esports(eスポーツ)の観戦や、競技者として参加することが好き。