Cloud Armorのポリシー追加¶
ステータス:承認済み(開発中)
このPRDは承認され、現在開発が進められています。 👉 関連する開発チケット: https://linear.app/soarig/issue/SOA-55/cloud-armorポリシー追加
1. メタデータ¶
- 作成者: 秋田隼豊
- 作成日: 2026/03/26
- 承認日: 2026/03/27
2. 目的と背景 (Why)¶
- なぜこれを作るのか?:
/.env、/wp-admin、.gitなどの機密情報や脆弱性をスキャンするような悪意のあるアクセスが頻繁に発生している。これらのリクエストをバックエンドに到達する前に弾くことで、セキュリティリスクを低減し、インフラの無駄なリソース消費を防ぐ必要がある。 - 目指すゴール: Cloud ArmorなどのWAF(Web Application Firewall)を利用して、既知の不正なパスへのリクエストをエッジレベルで遮断する状態。
3. ターゲットユーザー (Who)¶
- 誰のための機能か?: サービス管理者、インフラ・セキュリティエンジニア
4. ユーザーメリットと想定効果 (Value & ROI)¶
- ユーザーが得られる価値: 不正アクセスによる情報漏洩リスクの低減、システムの安全性向上。
- 想定効果: バックエンド(サーバーやデータベース)への無駄なトラフィックや負荷の削減、ログのノイズ低減。
5. 機能要件 (What)¶
- 主要な機能 / ユーザーストーリー:
- インフラ管理者は Cloud Armor のポリシーを設定し、
/.envなどの特定のパスパターンに対するリクエストを自動的にブロック(403 Forbiddenなど)できる。 - 必要に応じて、ブロックするパスのリストを更新・追加できる。
6. 非機能要件・やらないこと¶
- システム要件: Cloud Armor などの WAF レイヤーで実装すること。アプリケーションコード側での対応は極力避ける。
- 今回のスコープ外: 今回はIPアドレスベースのブロック(レート制限など)はスコープ外とし、特定の「パス(URI)」に対する遮断ルールの追加に特化する。また、正規のユーザーアクセスを誤って遮断(False Positive)しないよう、対象パスの選定には注意する。