会社情報
採用情報
お問い合わせ
Article

導入後のトラブルを防ぐ運用設計

高田晃太郎
導入後のトラブルを防ぐ運用設計

ソフトウェアの総所有コスト(TCO)の60〜80%は運用・保守が占める、という報告は長く指摘されており、現場の実感とも整合します¹。さらに、障害原因の大半が変更由来になりがちで、デプロイ頻度が高い組織ほど信頼性の設計が成果を左右する傾向が示唆されています⁷。DORAの4指標(デプロイ頻度、変更の失敗率、リードタイム、復旧時間)はビジネス成果と強い相関を持つ²ため、導入後のトラブルは偶発ではなく、SRE/DevOpsの設計課題として扱える対象です⁴。狙うべきは、現場の“頑張り”に依存しない再現可能な運用設計。SLO/SLIで信頼性を言語化し、段階的リリースと互換性設計で変更を壊さず、可観測性を起点に検知から復旧までを反復可能にする。この三点が揃えば、トラブルは減り、ダウンタイムは短くなり、同時に開発速度も落ちません。

信頼性を仕様化する: SLOとエラーバジェット

運用設計の出発点は、ユーザー視点の信頼性を仕様として固定することです。SLO(Service Level Objective)は「どの体験をどの水準で守るか」を数値で表し、SLI(Service Level Indicator)はその測り方の約束です⁴。たとえばAPIなら、可用性、遅延、エラー率、整合性などが候補になります。平均値は体験のばらつきを隠すため、p95/p99といったパーセンタイル(上位5%/1%を除いた水準)や、どの時間窓で集計するかの定義が重要です⁵。鍵は、ビジネス優先度と計測実装を同時に設計すること⁶。単に99.9%と掲げるのではなく、どのルートを、どの時間窓で、どの網羅条件で測るかまで決めます。

エラーバジェットは、SLOから自動的に導かれる「残余の失敗許容量」です。これを運用の意思決定に結び付ければ、日々の開発計画が信頼性と自然に整合します。たとえば月間99.9%の可用性なら、月間ダウンタイム許容量は約43分³。バジェットの消費が速い時期は変更を抑制し、余裕がある時期は負債返済より機能開発に比重を置く、といった運用ポリシーを事前合意しておくと、現場の迷いが減ります⁴。

SLIの選定と計測基盤の実装

測れない目標は守れません。SLIは外形監視と内部計測(メトリクス/トレース/ログ)を組み合わせ、ユーザー体験を代表する指標に還元します。HTTP 200だから良いのではなく、p95レイテンシがしきい値以下で、正しい応答本文が返り、重要エンドポイントの成功率が一定以上であるかが重要です⁶。メトリクスはPrometheusやマネージド監視に収集し、トレースはOpenTelemetryで可視化すると遅延の因果が追いやすくなります。ログは構造化(例: JSON)し、相関ID(トレースIDなど)で結べるように設計します。これらの計測はアプリケーションからの露出とインフラ側のエクスポートの両面が必要です。

apiVersion: monitoring.sre/v1
kind: SLO
metadata:
  name: api-availability-99.9
spec:
  objective: 99.9
  window: 30d
  sli:
    method: ratio
    good:
      prometheus: sum(rate(http_requests_total{route="/v1/*",code=~"2.."}[5m]))
    total:
      prometheus: sum(rate(http_requests_total{route="/v1/*"}[5m]))
  alerting:
    burnRates:
      - window: 5m
        factor: 14
      - window: 1h
        factor: 6

このようにSLOを宣言的に表現できると、しきい値やバーンレート(消費速度)の監視を自動化でき、アラートの質も安定します⁶。

エラーバジェットの運用ルール

バジェット運用はポリシーが核です。今月の消費が一定割合を超えたらリリースを段階的に制限し、根本原因の特定と緩和策の実施を優先する。四半期での黒字を達成した場合、機能開発のWIP制限を緩める。こうしたルールをロードマップ会議の定足数に組み込み、議論を数値で始め数値で終える運用にすると、感情ではなく事実で意思決定できます⁴。

変更が壊さない仕組み: 段階的リリースと後方互換

導入後のトラブルの多くは変更が原因である以上、変更を安全にする工程設計が最も効きます。段階的リリースは、影響範囲を意図的に小さくしながら品質シグナルを拾う設計思想です。カナリア(少数ユーザーからの先行展開)、ブルーグリーン、フェーズドロールアウト、フィーチャーフラグ(機能のON/OFF切替)は、ユースケースに応じて併用できます⁷。さらに、データベース変更には拡張先行・収束後追い(Expand-Contract)の原則を徹底し、古いクライアントと新しいスキーマが一定期間共存できるようにします。後方互換を保ったリリースにできれば、ロールバックの負担も軽くなります⁸。

# GitHub Actions: 段階的リリースの例
name: deploy-canary
on:
  push:
    branches: [ main ]
jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Build & push image
        run: |
          docker build -t ghcr.io/acme/app:${GITHUB_SHA} .
          docker push ghcr.io/acme/app:${GITHUB_SHA}
      - name: Rollout 5%
        run: kubectl -n prod set image deploy/app app=ghcr.io/acme/app:${GITHUB_SHA} --record && kubectl -n prod rollout status deploy/app --timeout=60s
      - name: Gate by SLO burn rate
        run: ./scripts/gate_by_slo_burn_rate.sh --threshold 2.0
      - name: Increase to 50% then 100%
        run: ./scripts/rollout_incremental.sh 50 100

自動化に計測ゲート(SLO/SLIに基づく進行判定)を含めると、シグナル悪化時に展開を自動停止でき、人的判断の遅れを排除できます。フィーチャーフラグはAPI互換の安全弁としても有効で、失敗時にデプロイせずフラグを切るだけで回避できます。

// Feature flag (Node.js/Unleash)
import { UnleashClient } from 'unleash-client';
const client = new UnleashClient({ url: process.env.UNLEASH_URL, appName: 'app' });
await client.start();
if (client.isEnabled('checkout-new-flow')) {
  return runNewCheckout();
} else {
  return runLegacyCheckout();
}

データベースは変更の最難所です。カラム追加と並行稼働、アプリケーション側の書き込みの二重化、読み取りのフォールバック、十分に切り替わったことをメトリクスで確認してから旧カラムを削除する、といった段階を踏めば、無停止での移行が現実的になります⁸。後方互換の破壊を伴うAPI変更は、バージョニングと十分な移行期間を前提に、段階導入のパイプラインで検証を繰り返します。

ORRとRunbookで“準備ができた”を定義する

運用準備審査(Operational Readiness Review: ORR)は、リリース可能の判定を技術的・運用的観点で行うチェックポイントです。監視項目は用意されているか、ダッシュボードは誰でも見られるか、アラートはノイズが抑制されているか、オンコールは整備されたか、ロールバック手順は検証済みか、といった項目を通過基準にします。チェックリストは人に依存せず、成果物としてリポジトリに含めます。Runbook(運用手順書)は、一次切り分けから復旧、連絡手順までを含む「手で回せるオートメーション」の仕様書です。

# Runbook (example)
service: payments-api
severities:
  sev1: "全ユーザー影響、SLO重大逸脱"
  sev2: "一部機能障害、回避策あり"
health_checks:
  - /healthz returns 200
  - p95 latency < 300ms
rollback:
  steps: |
    1) kubectl rollout undo deploy/payments-api
    2) toggle feature flag 'checkout-new-flow' off
contacts:
  channel: "#inc-payments"
  oncall: "OpsGenie/PAYMENTS-PRIMARY"

このようなRunbookがあると、当直が交代しても操作が揺れにくく、復旧時間のばらつきが減ります。なお、チェック項目は静的文書に閉じず、可能な限り自動検証のスクリプト化を進めると形骸化を防げます。

キャパシティ計画と飽和の管理

本番は常に揺れています。飽和(saturation)の兆候を早期に捉え、事前にヘッドルーム(余裕枠)を確保する運用は、障害の“芽”を摘み取ります。CPUやスレッドプールの利用率だけでなく、キュー滞留やDB接続プールの枯渇、GC停止時間、下流依存のレートリミットに対する余裕など、システム固有の飽和指標を定義し、週次の傾向分析で安全域を維持します。負荷試験は環境を近似できて初めて意味があるため、データ規模、外部依存、ネットワーク制約まで含めて再現し、SLOを守れる最大処理量を“仕様”としてカタログ化します。

検知から復旧まで: インシデント運用の型

障害ゼロは理想であり続けますが、現実の価値は早い検知と早い復旧にあります。アラートはSLO逸脱の予兆に基づくべきで、ノイズは可能な限り自動抑制し、ページングは人間が対応すべき事象だけに限定します⁵。役割は明確にし、インシデントコマンダー(全体指揮)、コミュニケーター(対外連絡)、サブジェクトマターエキスパート(技術支援)が短時間で集まり意思決定できる運用を整備します。コミュニケーションは単一の戦術チャンネルに集約し、ステークホルダーには定期更新のリズムを予め約束します。

# Prometheus Alert: SLO burn-rate based paging
- alert: ApiErrorBudgetBurningFast
  expr:  (sum(rate(http_requests_total{route="/v1/*",code!~"2.."}[5m])) /
          sum(rate(http_requests_total{route="/v1/*"}[5m])))
        > 0.02
  for: 5m
  labels:
    severity: page
  annotations:
    summary: "Error budget burn > 2% over 5m"
    runbook: "https://runbooks.acme.local/api-errors"

復旧の最短経路は回避策の適用と影響範囲の縮小です。直ちにロールバックできる体制は、事前にその練習をしているチームにしか存在しません。定期的なゲームデイやフェイルオーバー演習を運用カレンダーに組み込み、実際に切り戻し、実際に冗長系へ切り替え、実際にコミュニケーションテンプレートを使って周知する習慣を持つと、復旧時間は自然に縮まります。

ポストモーテムと継続的改善

事後分析は非難しない文化を前提に、事実の時系列、検知の遅れ、設計ギャップ、手順の欠落、判断のバイアスを切り分けます。アクションは優先度と期限、オーナーを明確にし、バックログで透明に追跡します。ここでもエラーバジェットを使い、信頼性投資をロードマップの一等席に座らせます。改善により変更の失敗率が下がれば、同じ開発速度でもトラブルは減り、MTTRも短くなります。結果としてサービスの評判が安定し、現場の疲弊も和らぎます。

ROIの見積もり: 運用設計に投資する理由

運用設計はコストセンターではありません。たとえば、週に20回デプロイし、変更の失敗率が20%、失敗1件あたりの有意ダウンタイムが平均30分だと仮定します。月80回の変更のうち16回が失敗し、合計ダウンタイムは8時間となります。SLO起点の段階的リリース、ORR、Runbook整備で失敗率を10%、復旧時間を15分にできれば、月のダウンタイムは2時間まで圧縮される試算になります。6時間の短縮はSLAペナルティの回避、カスタマーサクセス/サポート負荷の減少、エンジニアリングのコンテキストスイッチ削減として返ってきます。人件費を時給ベースで換算し、顧客損失や解約率上昇の抑制効果を加えれば、投資回収期間は数カ月程度と見積もられるケースがあります。

また、信頼性が仕様として明文化されると、開発の着地基準が明確になり、議論の手戻りが減ります。これによりプロジェクトマネジメントの予測可能性が増し、ステークホルダーへの説明責任も果たしやすくなります。特にエンタープライズ導入では、監査対応と説明責任のコストが無視できません。ORRやRunbook、SLOといった成果物は、それ自体がコンプライアンスのアーティファクトとして機能し、商談の進行にも寄与しうるでしょう。

もし信頼性設計の全体像や実行ステップをさらに整理したい場合は、SREの基礎をまとめた解説を参照してください。組織的なデプロイの仕組み化にはGitOpsの実践ガイドが役立ち、クラウドコストの最適化は信頼性と両立します。関連する解説として、SRE入門: SLOから始める信頼性設計、GitOps実践ガイド: 変更をコードで統制する、クラウドコスト最適化: 可観測性とFinOps、そしてインシデント体制の構築にはインシデントマネジメントの型が参考になります。

まとめ

導入後のトラブルは運に任せるテーマではありません。SLOで期待値を数値化し、エラーバジェットで優先順位を揃え、段階的リリースと後方互換で変更を穏やかにし、ORRとRunbookで“準備ができた”を定義し、検知から復旧までの流れを訓練で身体化する。この一連を日常の開発フローに埋め込めば、信頼性は“気合”ではなく仕組みとして再現できます。まずは主要ユーザージャーニーを一つ選び、SLIとSLOを一週間で定義して可観測化を始めてみてください。次のスプリントではリリースに小さなカナリア段を挿入し、翌月にはORRのミニマムをプロダクトごとに持たせる。そうした小さな前進の積み重ねが、やがて現場の静けさと事業の伸びやかさに直結します。あなたのチームは、どの一手から始めますか。

参考文献

  1. IEEE/ACM literature overview: Software maintenance is a widely recognized, resource-intensive phase. https://dl.acm.org/doi/fullHtml/10.1145/1096000.1096008
  2. Forsgren, Humble, Kim. Accelerate: State of DevOps (2019). https://research.google/pubs/2019-accelerate-state-of-devops-report/
  3. Uptime calculator: 99.90% monthly downtime ≈ 43m. https://uptime.is/99.90
  4. Google Cloud Blog. SRE fundamentals: SLI vs SLO vs SLA and error budgets. https://cloud.google.com/blog/en/products/devops-sre/sre-fundamentals-sli-vs-slo-vs-sla
  5. ACM Queue. SLIs, SLOs, and SLAs: On-call teams and measuring reliability. https://queue.acm.org/detail.cfm?id=3309571
  6. Google CRE Life Lessons: Tune up your SLI metrics. https://cloud.google.com/blog/products/management-tools/tune-up-your-sli-metrics-cre-life-lessons
  7. Google SRE Workbook: Canarying releases. https://sre.google/workbook/canarying-releases/
  8. AWS Well-Architected DevOps Guidance: Ensure backwards compatibility for data store and schema changes. https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/dl.ads.5-ensure-backwards-compatibility-for-data-store-and-schema-changes.html