イベント駆動=止まらない、ではありません
- 山崎行政書士事務所
- 5月2日
- 読了時間: 24分
― Azure Event-Driven Architectureにおける失敗管理・データ整合性・説明責任の研究 ―
※本稿は、Azure構成、イベント駆動設計、監視、ログ、障害対応、契約・規程・責任分界の整理を目的とする一般的情報提供です。個別紛争、訴訟対応、代理交渉、個別の法的判断は弁護士等の専門領域となる場合があります。山崎行政書士事務所のクラウド法務としては、行政書士業務の範囲を守りつつ、Azure現場の技術実態を契約・規程・監査証跡・運用手順へ落とし込む観点から論じます。
要旨
イベント駆動アーキテクチャは、システム間を疎結合にし、処理を非同期化し、障害影響を局所化するために有効な設計である。MicrosoftのAzure Architecture Centerでも、イベント駆動型アーキテクチャはイベントプロデューサー、イベントコンシューマー、イベントチャネルで構成され、プロデューサーとコンシューマーを切り離すことで独立したスケーラビリティと信頼性目標を実現しやすくなると説明されている。
しかし、イベント駆動は「止まらない設計」ではない。むしろ、「失敗を管理する設計」である。Microsoftの同資料は、イベント駆動型アーキテクチャには非同期エラー処理、最終的な整合性、デバッグ・監視・エラー回復の学習曲線があり、強い一貫性が必要な業務では不利に働く場合があると明記している。
ある現場では、非同期化によって「影響は局所化される」と判断された。実際、システム全体は停止しなかった。しかし、業務は止まっていた。イベントは流れている。一部の処理だけが失敗し続けている。リトライは繰り返されるが成功しない。誰も失敗の全体像を把握できず、気づいた時にはデータ不整合が拡大していた。さらに、「どの時点で、何が失敗したか」を説明できない状態に陥った。
本稿の結論は明確である。イベント駆動は、“止めない設計”ではない。“失敗を可視化し、隔離し、再処理し、補正し、説明する設計”である。
キーワード: Azure、Event-Driven Architecture、Event Grid、Service Bus、Event Hubs、Azure Functions、Dead Letter、Retry、Idempotency、Saga、クラウド法務、情シス
1. 序論:システムは止まっていない。しかし業務は止まっていた
イベント駆動の導入プロジェクトでは、よく次のような説明が行われる。
「同期処理をやめます」「キューで受けます」「イベントで後続処理を非同期にします」「一部が落ちても全体は止まりません」「スケールしやすくなります」「影響は局所化されます」
これは、技術的には間違っていない。イベント駆動型アーキテクチャでは、プロデューサーとコンシューマーが切り離され、イベントはほぼリアルタイムで配信され、複数のコンシューマーが同じイベントを処理できる。Azureでは、パブリッシュ/サブスクライブ型にはEvent Grid、イベントストリーミングにはEvent Hubsが代表的な選択肢として整理されている。
しかし、現場で起きる事故はもっと泥臭い。
ある本番環境で、注文登録APIを非同期化した。APIはリクエストを受け、イベントを発行し、後続の在庫引当、請求連携、通知送信、ファイル生成、監査ログ書き込みがイベントコンシューマーで処理される構成だった。リリース後、APIは落ちなかった。フロント画面も一応動いていた。イベントも流れていた。
だが、業務は止まっていた。
在庫引当だけが失敗していた。請求連携は一部成功していた。通知は送られていた。注文ステータスは「受付済み」のまま進まない。一部の顧客にはメールが届き、別の顧客には届いていない。リトライは動いているが、同じエラーで何度も失敗している。失敗イベントはDLQに積まれているが、誰も見ていない。
現場のチャットには、次のような短いメッセージが流れる。
「Functionは起動しています」「Event Gridの配信は成功しているようです」「Service Busにメッセージはあります」「DLQに少し溜まっています」「どの注文が未処理ですか?」「分かりません」「顧客に何と説明しますか?」「調査中です」
ここで露呈したのは、イベント駆動の失敗ではない。失敗を管理しないまま、イベント駆動を採用した設計の失敗である。
2. イベント駆動の本質:疎結合は、責任分界の曖昧化にもなる
イベント駆動の利点は、疎結合である。だが、疎結合は責任分界を曖昧にする危険もある。
同期APIであれば、呼び出し元はレスポンスを待つ。失敗すれば、その場でエラーになる。利用者も、アプリ担当も、インフラ担当も、比較的分かりやすい。「この処理は失敗しました」と言える。
一方、イベント駆動では、プロデューサーはイベントを発行した時点で成功と判断することがある。だが、後続処理は別のコンシューマーで実行される。さらに、その後続処理が別イベントを発行し、また別のコンシューマーが処理する。Microsoftの資料でも、イベント駆動ではプロデューサーとコンシューマーが非同期イベントチャネルによって切り離されるため、イベント発行直後にはサービス間のデータが一貫しないと説明されている。
ここで、業務上の問いが発生する。
イベントを発行したら業務完了なのか。全コンシューマーが成功したら業務完了なのか。一部コンシューマーが失敗しても、業務は継続してよいのか。どのコンシューマーの失敗は即時停止対象なのか。どの失敗は後で再処理してよいのか。失敗中の注文を画面ではどう表示するのか。顧客には「受付済み」と言ってよいのか。
この問いに答えずに「非同期化したので止まりません」と言うのは、設計として危険である。
止まらないことは、正しいとは限らない。流れていることは、処理済みとは限らない。リトライしていることは、復旧していることとは限らない。DLQに入っていることは、管理されていることとは限らない。
3. Azure Event Grid:最低1回配信と順序非保証を前提にする
Azure Event Gridは、イベント駆動設計でよく使われる。だが、Event Gridを使う場合、最初に説明しなければならないのは「最低1回配信」と「順序非保証」である。
Microsoft Learnでは、Event Gridは一致する各サブスクリプションに対して、最低1回は各メッセージを直ちに配信しようとすると説明されている。一方で、Event Gridはイベント配信の順序を保証しないため、サブスクライバーはイベントを順番に受け取るとは限らない。
この仕様は、業務設計に直結する。
同じイベントが二重に届く可能性がある。順序が入れ替わる可能性がある。遅れて届く可能性がある。配信先が失敗すれば再試行される。一定条件を超えると配信不能になる。
つまり、コンシューマー側は冪等性を持たなければならない。注文確定イベントが二回届いても、二重請求しない。ファイル生成イベントが二回届いても、二重生成しない。通知イベントが二回届いても、二重送信しない。順序が前後しても、古いイベントで新しい状態を巻き戻さない。
イベント駆動で本当に怖いのは、システム停止ではない。二重処理、欠落処理、逆順処理、遅延処理を、業務が正しく認識できないことである。
4. Event Gridの再試行:リトライは救済でもあり、障害拡大装置でもある
Event Gridは、配信先が応答しない場合やエラーを返す場合に再試行を行う。Microsoft Learnでは、Event Gridはイベント配信後に応答を30秒待ち、応答がない場合は再試行キューに入れ、10秒、30秒、1分、5分、10分、30分、1時間、3時間、6時間、12時間ごと最大24時間という指数バックオフに基づく再試行を行うと説明している。
また、Event Gridの再試行ポリシーでは、最大試行回数は1〜30、既定値は30、イベントTTLは1〜1,440分、既定値は1,440分であり、どちらか早く制限に達した条件で配信不能処理になる。
ここで現場の事故が起きる。
リトライ回数を設計していない。TTLを業務RTO/RPOと結びつけていない。配信不能になった後の処理がない。失敗イベントの保管場所が監視されていない。リトライでバックエンドDBに負荷をかけ続ける。失敗したイベントが、何時間も後に突然成功して業務状態を変える。
リトライは、救済策である。しかし、無制限に近いリトライは、障害拡大装置にもなる。
たとえば、後続の在庫APIが仕様変更で400を返し続けている場合、リトライしても成功しない。認証設定が誤って401や403を返している場合も、同じである。Microsoft Learnでも、Event Gridは一部の構成関連エラーについて再試行せず、デッドレターが構成されていない場合はイベントを破棄する場合があると説明されている。
したがって、設計時に問うべきは「リトライするか」ではない。
何回リトライするのか。何分までリトライするのか。どのエラーは即時DLQに送るのか。どのエラーは再試行してよいのか。リトライ中の業務状態をどう表示するのか。リトライ失敗後、誰が再投入を判断するのか。再投入してよいイベントと、してはいけないイベントをどう分けるのか。
ここまで決めなければ、イベント駆動は失敗を管理できない。
5. Dead Letterは“ゴミ箱”ではなく“業務未処理台帳”である
Event Gridでは、一定期間内に配信できない、または配信試行回数を超えたイベントを、配信不能イベントとしてストレージアカウントに送信できる。ただし、既定では配信不能処理は有効ではなく、配信不能イベントを保持するストレージアカウントを指定する必要がある。
また、Event Gridの名前空間トピックに対するデッドレター機能では、処理できないイベントをリハイドレートして本来の処理へ戻す、後で監査のために読み取って分析する、より迅速に分析するため専用ツールへ送る、といった用途が示されている。デッドレターイベントには、デッドレター理由、配信試行回数、最後の配信結果、公開時刻、最後の配信試行時刻などが含まれる。
ここで重要なのは、DLQやデッドレター保管先を「失敗したイベントの置き場」として扱わないことである。
デッドレターは、業務未処理台帳である。監査上の未処理証跡である。再処理判断の入口である。データ不整合の発生源である。契約上の説明資料である。
現場では、DLQに積まれたメッセージを誰も見ていないことがある。アプリは動いている。イベントは流れている。メトリックも大きな異常には見えない。だが、DLQには未処理イベントが増えている。気づいた時には、業務データが数百件、数千件単位で未反映になっている。
この状態で、障害報告会では次の問いが飛ぶ。
「いつから失敗していましたか」「何件失敗しましたか」「どの注文ですか」「何回リトライしましたか」「再処理してよいデータですか」「二重処理になりませんか」「顧客影響はどこまでですか」「なぜ監視で気づかなかったのですか」
DLQを監視していない設計では、答えられない。
6. Azure Service Bus:DLQは自動で片付かない
Azure Service Busを使う場合、配信不能キューの扱いはさらに重要である。Microsoft Learnでは、Service BusのDLQの目的は、受信者に配信できないメッセージ、または処理できなかったメッセージを保持し、取り出して検査できるようにすることだと説明されている。また、DLQは自動的にクリーンアップされず、DLQから明示的に取得し、配信不能メッセージを完了するまで残り続ける。
Service Busでは、メッセージの最大配信回数の既定値は10であり、ピークロック状態で配信されたメッセージが明示的に破棄されたり、ロック期限切れになったりすると配信回数が増える。配信回数が上限を超えると、メッセージはDLQへ移動され、理由はMaxDeliveryCountExceededになる。
つまり、Service BusのDLQは、自然に減らない。誰かが見るまで残る。誰かが判断するまで残る。誰かが再送するまで業務は進まない。
ある現場では、DLQのメッセージ数がじわじわ増えていた。最初は数件。次に数十件。翌朝には数百件。だが、システム全体の死活監視は正常だった。APIも動いている。Functionsも起動している。Service Busにも接続できる。
しかし、業務上は、処理されていないデータが増え続けていた。
この状態は「止まっていない」ではない。静かに壊れているのである。
7. Azure Functionsの再試行:最大回数は“絶対保証”ではない
イベント駆動のAzure現場では、Event Grid、Service Bus、Event Hubs、Storage QueueなどをAzure Functionsで処理する構成が多い。ここでも、再試行の理解が重要である。
Microsoft Learnでは、Azure Functionsには、個々のトリガー拡張機能の組み込み再試行動作と、Functionsランタイムが提供する再試行ポリシーの二種類があると説明されている。再試行ポリシーは、正常完了または最大再試行回数に達するまで失敗した実行を再実行するようランタイムに指示する。
ただし、最大再試行回数にも注意が必要である。Microsoft Learnは、現在の再試行回数はインスタンスのメモリに格納され、再試行中にインスタンスでエラーが発生した場合は再試行回数が失われる可能性があるため、最大再試行回数はベストエフォートであり、まれに要求した最大回数より多く実行が再試行される可能性があると説明している。
つまり、設計書に「最大5回リトライ」と書いても、それだけでは説明として弱い。
Functionsの再試行回数。Event Grid側の再試行回数。Service Bus側の最大配信回数。アプリケーションコード内のリトライ。SDK側のトランジェントエラーリトライ。DB接続ライブラリ側のリトライ。
これらが重なると、実際の処理回数は想定より増える。結果として、同じ注文に対する在庫引当が複数回走る、同じ通知が複数回送られる、同じ外部APIを何度も叩く、という事故が起きる。
イベント駆動では、リトライを「層」で設計しなければならない。どこでリトライするのか。どこではリトライしないのか。どこで諦めるのか。どこで人間に渡すのか。どこで補正するのか。
ここを決めないリトライ設計は、障害時に業務を壊す。
8. 重複検出と冪等性:二重に届く前提で作る
Service Busには重複検出機能がある。Microsoft Learnでは、送信直後のエラーやネットワークレベルのエラーによって、送信側がメッセージ送信の成否を確認できず、同じメッセージを再送する可能性があると説明している。重複検出では、同じメッセージIDを持つメッセージの重複コピーを破棄できる。
ただし、重複検出は万能ではない。重複検出ウィンドウは既定10分、最小20秒、最大7日であり、ウィンドウが大きいほどスループットに影響する。さらに、同じMessageIdを使って再送できない場合は、安全に再処理できるメッセージ、すなわち冪等な処理を設計する必要がある。
冪等性とは、同じ処理を複数回実行しても、結果が一回実行した時と同じになる性質である。
イベント駆動では、冪等性がなければ事故になる。
注文確定イベントを二回処理しても、注文は一件である。請求イベントを二回処理しても、請求は一回である。通知イベントを二回処理しても、顧客への通知は一回である。在庫引当イベントを二回処理しても、在庫は一回分だけ減る。
これを実現するには、イベントID、業務キー、処理済み台帳、重複検出ウィンドウ、バージョン番号、楽観ロック、ステータスマシン、外部APIの冪等キーを設計する必要がある。
「同じイベントは来ないはず」という設計は、Azureのイベント駆動では危険である。「同じイベントは来る。そのうえで壊れない」と設計する必要がある。
9. データ整合性:イベント駆動は“最終的整合性”を業務に説明する必要がある
イベント駆動では、最終的整合性が前提になることが多い。MicrosoftのAzure Architecture Centerも、イベント駆動では非同期イベントチャネルによってプロデューサーとコンシューマーが切り離されるため、状態変更の発行から全コンシューマーが反映するまでに遅延が発生し、その間はシステムの各部分が異なる状態を持つ可能性があると説明している。
この「一時的に不一致になる」ことを、業務側が理解していないと事故になる。
たとえば、注文システムでは「注文受付済み」「在庫引当済み」「請求連携済み」「出荷指示済み」「通知済み」という状態がある。イベント駆動にすると、これらが順番に、または並列に進む。
しかし、在庫引当が失敗し、請求連携が成功したらどうするか。通知は送ったが、出荷指示が失敗したらどうするか。ファイル生成は成功したが、監査ログ書き込みが失敗したらどうするか。DBは更新されたが、イベント発行が失敗したらどうするか。イベントは発行されたが、コンシューマーが失敗したらどうするか。
この問いは、単なる技術問題ではない。業務規程、契約、顧客説明、内部統制の問題である。
「最終的に整合します」と言うなら、次を説明しなければならない。
最終とは何分後か。どの状態なら顧客に表示してよいか。どの失敗なら業務を止めるか。どの失敗なら後続処理を待つか。どの失敗なら補正処理を走らせるか。どのデータを正本とするか。いつ人間が介入するか。
最終的整合性は、技術用語ではない。業務にとっては、「一時的に不一致になることを許容する」という合意である。
10. 補正トランザクション:戻す設計を持たない非同期化は危険である
分散システムでは、すべてを単一トランザクションで完了できないことが多い。そのため、失敗時には補正トランザクションが必要になる。
MicrosoftのAzure Architecture Centerは、最終的に一貫性のある操作の各ステップが個別のアクションであり、失敗時には対応する元に戻す操作を補正トランザクションとして実行できると説明している。また、補正トランザクションは失敗する可能性もあるため、進行状況を記録し、再試行により同じステップが複数回実行される可能性を踏まえて、各ステップを冪等なコマンドとして設計する必要がある。
この考え方は、イベント駆動の実務そのものである。
在庫引当が成功し、請求連携が失敗したら、在庫引当を戻すのか。通知送信が成功し、注文確定が失敗したら、訂正通知を送るのか。外部倉庫へ出荷指示を送った後に、社内DB更新が失敗したらどうするのか。決済は成功したが、注文作成が失敗したら、返金するのか、手動処理にするのか。
これをコードの中で場当たり的に扱うと、障害時に説明できない。
補正トランザクションは、設計書に書くべきである。どのイベントに、どの補正イベントがあるのか。どの状態なら補正可能か。どの状態を超えたら人間判断か。補正処理自体が失敗したらどうするのか。補正の証跡をどこに残すのか。
イベント駆動では、「失敗したらリトライ」だけでは足りない。「失敗したら戻す」「戻せなければ止める」「止めたら説明する」まで設計する必要がある。
11. 監視:イベントが流れていることではなく、失敗が管理されていることを見る
イベント駆動の監視では、CPUやメモリ、Function起動回数だけを見ても足りない。見るべきは、失敗の蓄積である。
Service Busでは、Azure Monitorのメトリックとして、アクティブメッセージ数、完了メッセージ数、配信不能メッセージ数、受信・送信メッセージ数、サーバーエラー、スロットル要求などが提供されている。特にDeadletteredMessagesは、キューまたはトピック内の配信不能メッセージ数を示す重要なメトリックである。
また、Service Busのリソースログは、診断設定を作成してLog Analyticsなどへルーティングするまで収集・保存されない。Microsoft Learnは、リソースログは自動生成されるが、保存やクエリを実行するには診断設定が必要だと説明している。
つまり、監視設計では次を明確にする必要がある。
DLQ件数が何件を超えたらアラートか
どのキュー・トピック・サブスクリプション単位で見るか
どのイベント種別で失敗が多いか
どの処理ステップで失敗しているか
失敗イベントの業務キーを抽出できるか
再処理済みか、未処理か、補正済みかを追えるか
Log Analyticsに何日保持するか
契約・監査上、失敗イベントの証跡を提出できるか
「イベント数が増えた」「Functionの実行回数が増えた」だけでは足りない。業務上の未処理が見えていなければ、監視とは言えない。
12. 現場で使うKQL:失敗を“再現可能な証跡”にする
イベント駆動の障害報告では、「流れていました」「失敗していました」では足りない。KQLで再抽出できる条件が必要である。
たとえば、Service BusのメトリックをLog Analyticsへ送っている場合、DLQ増加を概観するKQLは次のような形になる。実際の列名、メトリック名、診断設定のルーティング先は環境に合わせて調整する必要がある。
AzureMetrics| where TimeGenerated > ago(24h)| where ResourceProvider == "MICROSOFT.SERVICEBUS"| where MetricName == "DeadletteredMessages"| summarize DeadLetters = max(Total) by bin(TimeGenerated, 5m), Resource, _ResourceId| where DeadLetters > 0| order by TimeGenerated descService Busの診断エラーを追う場合は、リソース固有テーブルまたはAzureDiagnosticsを使い、ActivityName、EntityName、OperationResult、ErrorMessageを軸に見る。
AZMSDiagnosticErrorLogs| where TimeGenerated > ago(24h)| project TimeGenerated, NamespaceName, EntityType, EntityName, ActivityName, OperationResult, ErrorCount, ErrorMessage, _ResourceId| order by TimeGenerated descFunctions側では、Application InsightsのAppExceptions、AppTraces、AppDependencies、AppRequestsを業務キーやCorrelation IDで結合して追う必要がある。
AppExceptions| where TimeGenerated > ago(24h)| where AppRoleName has "event-consumer"| summarize Failures = count(), SampleProblem = any(ProblemId) by bin(TimeGenerated, 5m), AppRoleName, OperationName, _ResourceId| where Failures > 0| order by TimeGenerated desc重要なのは、KQLそのものではない。失敗条件を文字として保存し、誰でも同じ結果を再抽出できる状態にすることである。
イベント駆動の監査では、次が問われる。
どの時間帯に失敗したか。どのイベント種別が失敗したか。どの業務キーが影響を受けたか。何回リトライされたか。DLQに入ったか。再処理されたか。補正されたか。顧客影響は何件か。
これをKQLで追えない設計は、障害時に属人化する。
13. 「失敗の全体像」を持たないイベント駆動は危険である
イベント駆動では、失敗が局所化する。これは利点である。だが、局所化した失敗を束ねて見られないと、業務全体の失敗が見えなくなる。
注文イベントは成功。在庫イベントは失敗。請求イベントは成功。通知イベントは成功。監査ログイベントは失敗。ファイル生成イベントはリトライ中。
各コンシューマーは、自分のログだけを見る。Service Bus担当は、キューのメトリックだけを見る。Functions担当は、関数の例外だけを見る。DB担当は、SQLの負荷だけを見る。業務担当は、画面ステータスだけを見る。
誰も、注文単位の全体像を見ていない。
ここで必要なのは、イベント処理台帳である。
イベントID。Correlation ID。業務キー。イベント種別。発行時刻。受信時刻。処理開始時刻。処理完了時刻。リトライ回数。失敗理由。DLQ有無。再処理時刻。補正イベントID。最終業務状態。
これらを追える設計がなければ、「どの時点で、何が失敗したか」を説明できない。
14. イベント駆動の契約・法務上の論点
イベント駆動は、技術アーキテクチャであると同時に、契約・責任分界の論点でもある。
委託先がイベントを処理する場合、どの時点で受領完了なのか。API呼び出し元にレスポンスを返した時点で業務完了なのか。後続イベント処理が完了した時点なのか。失敗イベントの再処理は誰の責任か。DLQの監視は誰が行うのか。再処理に伴う二重処理の責任は誰が負うのか。顧客通知は誰が判断するのか。ログ提出はどの範囲か。メッセージ本文に個人情報が含まれる場合、保存期間とアクセス権限はどうするのか。
Event Gridの配信不能イベントは監査目的でアーカイブできるが、イベントに含める情報にも注意が必要である。Azure Architecture Centerは、イベントはワークロード内の複数コンポーネントに見える場合があるため、意図しない情報漏えいを防ぐためにイベントに含める情報に注意すべきだと説明している。
つまり、イベント本文に個人情報、取引情報、認証情報、秘密情報を入れすぎると、イベント経路全体が情報管理対象になる。DLQに落ちたイベントも、ログに残ったイベントも、再処理用ストレージに置かれたイベントも、すべて管理対象である。
イベント駆動は、データフローを増やす。データフローを増やすなら、責任分界も増える。責任分界を増やすなら、契約・規程・監査証跡も増やさなければならない。
15. NIST CSF 2.0の観点:これはRecoverではなくGovernの問題である
イベント駆動の失敗管理は、単なる復旧手順ではない。Governの問題である。
NIST CSF 2.0は、Govern、Identify、Protect、Detect、Respond、Recoverの6機能で構成され、組織がサイバーセキュリティリスクを理解、評価、優先順位付け、コミュニケーションするための枠組みを提供する。
イベント駆動に当てはめると、次のようになる。
CSF機能 | イベント駆動で問われること |
Govern | 失敗イベント、再処理、補正、顧客説明の責任者は誰か |
Identify | どのイベントがどの業務・データ・委託先に関係するか |
Protect | イベント本文、DLQ、再処理ストア、認証情報をどう守るか |
Detect | DLQ、リトライ失敗、遅延、データ不整合をどう検知するか |
Respond | 失敗イベントを誰が分析し、再処理・補正を判断するか |
Recover | 再処理、補正、業務復旧、顧客説明をどう完了させるか |
「イベント駆動だから止まらない」は、Protectの一部にすぎない。本当に必要なのは、失敗したイベントを誰が見て、誰が判断し、誰が説明するかをGovernで定義することだ。
山崎行政書士事務所のクラウド法務×Azure技術支援でも、クラウド法務の本質は、Azureのアーキテクチャ、ID、ログ、バックアップ、DR、AI、委託、監査、インシデント対応を、契約・規程・説明資料・運用手順として一貫した言葉に翻訳することだと整理されている。
イベント駆動の失敗管理は、まさにこの領域である。
16. 2026年時点の実務上の注意:Service Bus SDKの移行も設計リスクである
2026年時点では、Service Bus SDKのサポート期限にも注意が必要である。Microsoft Learnは、Azure SDKガイドラインに準拠していない旧Service Bus SDKライブラリであるWindowsAzure.ServiceBus、Microsoft.Azure.ServiceBus、com.microsoft.azure.servicebusおよびSBMPプロトコルが、2026年9月30日に廃止されると案内している。
これは、イベント駆動システムにとって単なる開発ライブラリの話ではない。障害時の再接続、リトライ、メッセージロック、DLQ処理、監査ログ、認証方式に影響する可能性がある。古いSDKで作られたコンシューマーが残っている場合、イベント駆動の失敗管理は最新のAzure運用と整合しない可能性がある。
したがって、設計レビューでは次を確認すべきである。
どのSDKを使っているか。どのバージョンか。サポート期限はいつか。認証方式はSASかMicrosoft Entra IDか。DLQ再処理ツールは最新SDKに対応しているか。再試行・ロック更新・完了処理の動作は文書化されているか。
クラウド法務では、これを「技術的負債」としてだけでなく、「運用継続性と説明責任のリスク」として扱う必要がある。
17. 実務設計原則:イベント駆動は失敗を中心に設計する
イベント駆動を採用する場合、設計書の中心に置くべきは「正常系」ではない。失敗系である。
最低限、次を定義すべきである。
観点 | 設計すべき事項 |
イベント定義 | イベントID、業務キー、発行元、イベント種別、スキーマ、バージョン |
配信保証 | 最低1回、順序非保証、再送、重複、遅延への対応 |
リトライ | 回数、間隔、TTL、最大配信数、どの層でリトライするか |
DLQ | 保管場所、監視、アラート、分析、再処理、廃棄判断 |
冪等性 | 重複処理防止キー、処理済み台帳、外部APIの冪等キー |
整合性 | 最終的整合性の許容時間、業務状態、正本データ |
補正 | 補正イベント、補正手順、手動介入条件、再実行可能性 |
監視 | DLQ件数、失敗率、遅延、リトライ数、未処理業務件数 |
証跡 | KQL、Correlation ID、業務キー、再処理履歴、障害報告 |
責任分界 | プロデューサー、コンシューマー、運用者、委託先、業務部門 |
契約 | 再処理協力、ログ提出、障害通知、データ不整合時の対応 |
セキュリティ | イベント本文の最小化、暗号化、アクセス権限、DLQ保全 |
正常に流れるイベントだけを設計するのは、イベント駆動ではない。失敗したイベントをどう扱うかを設計して初めて、イベント駆動になる。
18. 障害報告書に必要なイベント駆動証跡
イベント駆動の障害報告書には、次の項目を入れるべきである。
項目 | 記載内容 |
対象イベント | イベント種別、Event ID、Correlation ID、業務キー |
発生時刻 | 発行時刻、受信時刻、処理開始時刻、失敗時刻 |
失敗箇所 | コンシューマー名、Function名、キュー名、トピック名 |
再試行 | リトライ回数、最大回数、TTL、最終試行時刻 |
DLQ | DLQ到達有無、DLQ到達時刻、DeadLetterReason |
影響範囲 | 未処理件数、二重処理件数、不整合件数、顧客影響 |
整合性 | 正本データ、補正対象、再処理可否 |
再処理 | 再投入時刻、再処理実行者、成功・失敗結果 |
補正 | 補正イベント、補正処理、手動介入内容 |
証跡 | KQL、ログ保存場所、チケット番号、提出可能範囲 |
再発防止 | リトライ設計、DLQ監視、冪等性、補正手順、契約見直し |
「イベントは流れていました」では、障害報告にならない。「このイベントIDについて、この時刻に、このコンシューマーで、この理由により失敗し、何回リトライされ、DLQへ入り、何時に再処理され、業務データはこの範囲で補正されました」と書ける必要がある。
19. 契約・規程・運用文書への落とし込み
クラウド法務としては、イベント駆動を次の文書に落とし込む必要がある。
第一に、イベント設計書。イベント名、スキーマ、発行元、購読先、業務キー、個人情報有無、再処理可否、補正可否を一覧化する。
第二に、イベント失敗管理台帳。各イベントについて、リトライ回数、TTL、DLQ保管先、監視条件、アラート先、再処理手順、廃棄判断基準を記載する。
第三に、データ整合性マトリクス。DB、Queue、Event Grid、Service Bus、Blob、外部SaaS、基幹システム間で、どの状態が正本か、どの不整合を許容するかを整理する。
第四に、補正トランザクション手順書。失敗パターンごとに、再処理、取消、返金、訂正通知、手動承認、顧客連絡の手順を定義する。
第五に、KQL・監視設計書。DLQ件数、失敗率、リトライ数、遅延、未処理件数を、どのKQLで、どの頻度で、誰が確認するかを明記する。
第六に、委託先責任分界表。イベント発行、コンシューマー処理、DLQ監視、再処理、補正、ログ提出、障害報告を誰が担当するかを決める。
第七に、契約・SOW別紙。イベント処理失敗時の再処理協力、ログ提出、障害通知期限、データ不整合時の責任分界、再委託先のアクセス制御を明文化する。
第八に、監査・取引先向け説明資料。「イベント駆動で止まりにくい」ではなく、「失敗イベントをこのように検知し、隔離し、再処理し、補正し、証跡を保存する」と説明する。
20. 山崎行政書士事務所が提供すべき価値
イベント駆動の事故は、技術だけでは解決しない。
エンジニアは、Event Grid、Service Bus、Functions、DLQ、KQLを理解している。法務・監査は、契約、責任分界、証跡、報告義務を理解している。業務部門は、どの不整合が許容できないかを知っている。経営層は、顧客影響と説明責任を負う。
問題は、これらが別々の言葉で話していることである。
山崎行政書士事務所のクラウド法務・Azure技術支援は、この分断をつなぐ支援である。イベントID、DLQ、リトライ、KQL、冪等性、補正トランザクションというAzure現場の言葉を、契約・規程・責任分界・障害報告・監査証跡の言葉へ翻訳する。
「イベント駆動だから止まりません」ではなく、「この失敗はここで止め、このログで見つけ、この手順で再処理し、この補正で業務を戻し、この証跡で説明します」と言える状態を作る。
そこに、クラウド法務の実務価値がある。
21. 結論:イベント駆動は“失敗を管理する設計”である
本稿の結論は、次の一文に尽きる。
イベント駆動は、“止めない設計”ではない。“失敗を管理する設計”である。
システムは止まらないかもしれない。しかし、業務は止まることがある。イベントは流れているかもしれない。しかし、一部処理は失敗し続けることがある。リトライは動いているかもしれない。しかし、同じエラーを繰り返しているだけかもしれない。DLQはあるかもしれない。しかし、誰も見ていなければ未処理台帳にすぎない。最終的整合性と言うかもしれない。しかし、いつ整合するかを説明できなければ業務合意ではない。
イベント駆動で本当に問うべきことは、次である。
リトライ回数・上限・TTLは設計されているか
DLQは監視され、再処理手順があるか
失敗イベントは業務キー単位で可視化されているか
同じイベントが複数回来ても壊れないか
順序が入れ替わっても壊れないか
データ整合性の保証範囲は定義されているか
補正トランザクションは設計されているか
どの時点で、何が失敗したかを説明できるか
委託先、情シス、業務部門、経営の責任分界は明確か
契約・監査・障害報告に耐える証跡が残るか
山崎行政書士事務所のクラウド法務・Azure技術支援は、この「イベントは流れている」と「業務として説明できる」の隙間を埋める支援である。Event Grid、Service Bus、Event Hubs、Azure Functions、KQL、DLQ、冪等性、補正トランザクション、契約、規程、責任分界、監査証跡を一つの設計として整理し、情シスと経営層が同じ言葉で説明できる状態を作る。
イベント駆動=止まらない、ではありません。イベント駆動=失敗を見つけ、止血し、再処理し、補正し、説明する設計です。
コメント