Azure Managed Service Column ＜Azure運用コラム＞フェイルセーフとは？Azureを活用したシステム安定化を実現する設計

フェイルセーフによるシステムの安定運用と被害の拡大防止

フェイルセーフとは、システムに障害や操作ミスなどの異常が発生した際に、処理や機能を意図的に停止・制限することで、安全性を確保する設計思想です。

クラウド環境においても、誤操作や異常通信によるトラブルを検知・抑制し、業務への影響を最小限にとどめるために、フェイルセーフは重要な思想となります。本記事では、フェイルセーフとフェイルオーバーの違いを整理し、 Azure 上で実現できるフェイルセーフ設計の具体例を紹介します。

1. フェイルセーフとは

フェイルセーフは、障害発生時に、システムを安全に停止、あるいは機能を制限できる設計思想です。

IT 以外の世界でも用いられる考え方であり、ユーザーへの影響を最小限にとどめる効果があります。IT におけるフェイルセーフは、障害発生時にシステムの意図的な停止や、アクセス制限で、ユーザーや業務への被害を防ぐことを指します。

フェイルセーフとフェイルオーバーの違い

フェイルセーフに似た言葉として、フェイルオーバーがありますが、両者は目的が異なる思想です。

フェイルオーバーの目的は、障害時に予備として用意した環境に処理を切り替え、業務やサービスの継続を図ることです。本機から予備機への切り替えが瞬時に行われればユーザーは障害に気が付かないまま、切り替え前と変わらずにサービスの提供ができます。

一方、フェイルセーフの目的はシステムの停止、または制限によって、事故やデータ破損などのリスク回避をすることです。

まとめると、フェイルオーバーが「止めずに切り替える」のに対し、フェイルセーフは「あえて止めて守る」点に違いがあります。

フェイルセーフの具体例

IT におけるフェイルセーフの具体例として、データベースを例に解説します。

データベースには、トランザクション処理が途中で失敗した際に自動的にロールバックされる機能があります。中途半端なデータ登録や整合性の崩れを防ぎ、システムを一貫した状態に保つことができます。

データベースはフェイルセーフ設計によって、処理を無理に継続せず、安全な状態に巻き戻すことで、障害時の被害を最小限に抑えています。

2. フェイルセーフを実現する Azure の機能と構成例

Azure ではフェイルセーフを実現する様々な機能を提供しています。

WORM設定による誤操作・人的ミス対策

Azure Blob Storage は WORM （ Write Once Read Many ）という設定が可能です。

WORM は、一定期間データの変更・削除を禁止することで、操作ミスや不正アクセスによる改ざん・削除を防ぐ仕組みです。これは、誤操作などが発生しても「データ破壊が起きないよう安全側に倒す」というフェイルセーフの考え方に則った対策といえます。

Application Gateway＋WAFによる異常通信の遮断制御

Azure は Application Gateway と WAF （ Web Application Firewall ）の組み合わせで、 L7 層（アプリケーション層）の通信制御とアプリケーション保護が可能です。

Application Gateway は L7 通信のルーティングを行うロードバランサです。 WAF はその配下で動作するセキュリティ機能で、 SQL インジェクションやクロスサイトスクリプティング（ XSS ）などの攻撃を即時ブロックする設定ができます。

両者を使うと、不正アクセスやシステム脆弱性を突く攻撃時も、サービス自体を一時的に保護モードに切り替えられます。両者は業務の完全停止ではなく、保護モードに切り替えてサービスの安全性を確保していることから、フェイルセーフの考え方を具現化できる構成です。

Azure SQLのトランザクション制御によるデータ整合性の確保

Azure SQLではトランザクション制御によりフェイルセーフを実現できます。

本制御はトランザクション処理の途中でエラーが発生した場合、自動的にロールバックされ、処理前の状態に戻せるため、データの不整合や二重登録などのリスクを防ぐことが可能です。例として、複数テーブルにまたがる更新処理中に障害が起きた場合でも、すべての変更をなかったことにして、一貫性のある状態へ戻します。

Azure SQL はロールバックにより誤動作やデータ破損を防ぐことで、フェイルセーフとしての仕組みを提供しているといえます。

3. Azure によるフェイルセーフ設計で意識すべき 3 つの視点

Azure でのフェイルセーフ設計をする際には以下の視点を持つことが大切です。

保護対象の明確化

どの業務・データを優先的に守るべきかを明確にしなければなりません。すべてのシステム・データに対して同等のフェイルセーフ設計をするのではなく、重要度に応じて設計します。

例として、基幹業務で扱うトランザクションデータや、法的な保存義務のある文書データなどは、障害発生時にも確実に保護します。一方で、バッチ処理の一時ファイルやログなどは、後から再生成できるケースもあり、そもそも保存自体が不要なデータもあるでしょう。優先順位を可視化することで、設計のリソース配分を最適化できます。

障害時の挙動設計

障害が発生した際にシステムがどのように振る舞うべきかを事前に決めておくべきです。フェイルセーフには「完全に停止する」「一部機能だけ制限する」などの段階があり、どのような制御を行うかによってユーザーへの影響も変わります。

例として、認証サーバーに異常が起きた際に「すべてのログインを停止するのか」「一部のユーザーだけに制限するのか」を決めるべきです。決めておくことで、 WAF による通信遮断や、 RBAC （ロールベースアクセス制御）で、段階的な制限や通信の遮断ができます。

適切な機能選定

要件やコスト、運用体制を踏まえて、 Azure のどの機能を使うかを見極める必要があります。多くのフェイルセーフ機能がありますが、それらをすべて導入することは現実的ではありません。

例として、業務データの誤削除対策には WORM 設定が有効ですが、それにはストレージへの保存コストが伴います。業務の重要性、障害時の許容設計（ RPO / RTO ）を明確にして、コストと効果のバランスを見極める必要があります。

4. まとめ

フェイルセーフは「障害発生時に安全を確保する」仕組みです。フェイルセーフの設計思想を適用すると、障害発生時にシステムの完全停止だけでなく、機能やアクセスの制限、停止前の保護モード化を通じて、ユーザーや業務への影響を最小限にします。

Azure は様々な機能でフェイルセーフを実現できるため、システム設計の際には何をどこまで保護するのか、どのように安全性を確保するのかを予算を踏まえて、利用する機能を選定する必要があります。

Rworks では、Azure の豊富な知見をもとに、お客様の要件に応じた最適なクラウド設計・構成のご支援を行っています。ぜひお気軽にご相談ください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  冗長化とは？構成パターンやAzureでの実現方法をわかりやすく解説

• 

  Azure運用コラム 一覧へ