RA-GRSを選んでいたのに、説明で詰まった話

― Azure Storage冗長化におけるRPO・整合性・業務許容とクラウド法務上の説明責任 ―

※本稿は、Azure構成・BCP/DR・監査証跡・契約文書・責任分界の整理を目的とする一般的情報提供です。個別紛争、訴訟対応、代理交渉、個別の法的判断は弁護士等の専門領域となる場合があります。山崎行政書士事務所のクラウド法務としては、行政書士業務の範囲を守りつつ、Azure現場の技術実態を文書・規程・説明資料・証跡へ落とし込む観点から論じます。

要旨

Azure StorageでRA-GRS、すなわち読み取りアクセス geo 冗長ストレージを選択していると、現場では「冗長化済みです」と説明しがちである。しかし、障害訓練や監査で本当に問われるのは、冗長化の有無ではない。

問われるのは、次である。

「どの時点のデータまで戻るのか」「フェールオーバー時に差分は出るのか」「業務側は、何分・何件・どの種類のデータ欠落を許容するのか」「最新データまで保証できない場合、誰が、誰に、どう説明するのか」

Microsoft Learnでは、GRS/RA-GRSではプライマリリージョンでLRSにより同期的にコピーした後、セカンダリリージョンへ非同期的にコピーされると説明されている。さらに、非同期レプリケーションであるため、プライマリリージョンに影響する障害が発生し、プライマリリージョンを復旧できない場合、データが失われる可能性があると明記されている。RPOは、プライマリへの最新書き込みと、セカンダリへの最後の書き込みとの間隔である。(learn.microsoft.com)

したがって、RA-GRSは「最新データまで必ず守る設定」ではない。RA-GRSは、地理的冗長性とセカンダリ読み取りアクセスを提供する強力な選択肢であるが、RPO、整合性、業務許容、フェールオーバー判断、復旧後の再冗長化、説明責任までを設計して初めて、BCP/DRとして意味を持つ。

本稿の結論は明確である。RA-GRSは選ぶ設計ではない。説明できる設計に落とし込むべきである。

キーワード： Azure Storage、RA-GRS、GRS、BCP、DR、RPO、RTO、Last Sync Time、フェールオーバー、クラウド法務、情シス

1. 序論：「冗長化済みです」は、障害訓練では答えにならない

ある現場で、Azure Storageの冗長性としてRA-GRSが選択されていた。設計書にも「ストレージは冗長化済み」と書かれていた。経営層向けの説明資料にも、「リージョン障害に備えた冗長化を実施」と記載されていた。

表面上は問題がないように見える。

ストレージアカウントはRA-GRS。セカンダリエンドポイントへの読み取りアクセスもある。Microsoftのデータセンター障害に備えた地理的冗長性もある。ダッシュボード上でも、冗長性の設定は正しく見える。

しかし、障害訓練で話は止まった。

「この業務データは、どの時点まで復旧できますか」「フェールオーバーした場合、直前の注文データは残りますか」「ユーザーがアップロードしたファイルとDB側の処理履歴に差分が出たら、どちらを正としますか」「業務部門には、何分前まで戻る可能性があると説明していますか」「RA-GRSと書いてありますが、RPOは何分として合意していますか」

その場で答えられなかった。

技術的には、RA-GRSを選んでいた。しかし、業務的には、何を許容するか決めていなかった。法務・監査的には、どう説明するか整理していなかった。

この事故の本質は、ストレージ設定の失敗ではない。「冗長化」という言葉を、RPO・整合性・責任分界に分解していなかったことにある。

2. RA-GRSの技術的前提：読み取り可能と、最新保証は別である

RA-GRSは、GRSに「セカンダリリージョンへの読み取りアクセス」を加えた構成である。Microsoft Learnでは、GRSまたはGZRSでは、フェールオーバーが発生しない限りセカンダリリージョンのデータへユーザーやアプリケーションから直接アクセスできない一方、RA-GRSまたはRA-GZRSではセカンダリリージョンへの読み取りアクセスが許可されると説明されている。(learn.microsoft.com)

ここで現場が誤解しやすいのは、「セカンダリから読める」ことと、「最新データが必ず存在する」ことを混同する点である。

Azure Storageの信頼性に関する公式情報では、RA-GRS/RA-GZRS構成の場合、通常運用中にセカンダリリージョンへ読み取りアクセスできるが、非同期レプリケーションの遅延により、少し古いデータが返される可能性があると説明されている。さらに、プライマリリージョンへの書き込みが完了した後、データはセカンダリリージョンに非同期的にレプリケートされる。(learn.microsoft.com)

つまり、RA-GRSの説明は次のように切り分ける必要がある。

正しい説明：RA-GRSでは、プライマリリージョンとは別のセカンダリリージョンへデータを非同期レプリケーションし、セカンダリエンドポイントから読み取りできる構成を取ることができる。

危険な説明：RA-GRSなので、リージョン障害時も最新データまで必ず復旧できます。

後者は、監査・障害訓練・取引先説明で非常に危険である。

3. RPOの本質：最後の書き込みと、最後の同期は一致しない

RA-GRS設計で最初に明文化すべき概念はRPOである。

RPO、すなわちRecovery Point Objectiveは、「どの時点までのデータを復旧対象として期待するか」という目標である。Azure Storageでは、プライマリリージョンへの最新の書き込みと、セカンダリリージョンへの最後の書き込みとの間隔がRPOとして説明されている。Microsoft Learnは、データがセカンダリリージョンに非同期的にレプリケートされるため、プライマリリージョンに影響するエラーが発生し、プライマリを復旧できない場合にはデータが失われる可能性があると説明している。(learn.microsoft.com)

このため、障害訓練で問うべきなのは「RA-GRSかどうか」ではない。

問うべきなのは、次である。

• 最終同期時刻はいつか

• 最後の業務書き込みはいつか

• その差分は何分か

• 差分期間にどの業務データが入っているか

• その差分を業務側は許容できるか

• 許容できない場合、補完手段はあるか

Microsoft Learnでは、ストレージアカウントの「最終同期時刻」プロパティについて、プライマリリージョンのデータがセカンダリリージョンにも書き込まれたことが保証される最後の時刻を示すと説明している。最終同期時刻以前に書き込まれたデータとメタデータはセカンダリで使用できるが、それ以後のデータとメタデータは、まだコピーされていない場合があり、失われる可能性がある。(learn.microsoft.com)

つまり、RA-GRSの説明責任は、次の式で考えるべきである。

潜在的なデータ損失範囲＝ 最後の業務書き込み時刻 − Azure Storage の最終同期時刻

この差分を見ずに「冗長化済み」と説明するのは、技術的にも実務的にも不十分である。

4. 現場の生々しい話：障害訓練で止まった会話

障害訓練では、次のような会話が起きる。

情シスが言う。「ストレージはRA-GRSなので、リージョン障害に備えています」

監査担当が聞く。「どこまで戻りますか」

インフラ担当が答える。「セカンダリにレプリケートされています」

業務部門が続ける。「では、障害直前に登録された注文は残りますか」

ここで止まる。

アプリ担当は、注文登録時にBlobへファイルを置き、DBへ処理状態を書いている。バッチ担当は、そのBlobを数分後に読み取り、別システムへ連携している。会計担当は、Blobに残ったCSVとDBの処理済みステータスが一致することを前提にしている。

もしフェールオーバー時に、DB側には処理済みデータがあるが、Blobがセカンダリに未同期だったらどうするか。逆に、Blobはあるが、DB側の処理ログが別リージョンで復旧できなかったらどうするか。ユーザーが再アップロードしてよいのか。二重処理をどう防ぐのか。顧客に「一部データが反映されていない可能性があります」と言うのか。言うなら、誰が、どの文面で、いつ言うのか。

RA-GRSの設定画面だけでは、この問いに答えられない。

ここで必要なのは、Azureの冗長性設定ではなく、業務データの整合性設計である。

5. 計画外フェールオーバー：差分と不整合を前提に設計する

RA-GRSを選んでいても、プライマリリージョンに大規模障害が発生した場合、書き込み可用性を復旧するにはフェールオーバー判断が必要になる。Azure Storageのディザスターリカバリー計画に関するMicrosoft Learnでは、Azure Storageアカウントには顧客管理の計画フェールオーバー、顧客管理の計画外フェールオーバー、Microsoft管理のフェールオーバーがあると説明されている。さらに、Microsoft管理のフェールオーバーには依存せず、カスタマーマネージドフェールオーバーを用いてDR計画を開発・テスト・実装するよう説明されている。(learn.microsoft.com)

特に重要なのは、計画外フェールオーバーである。Microsoft Learnは、計画外のカスタマーマネージドフェールオーバーには通常、ある程度のデータ損失が伴い、ファイルとデータの不整合が発生するおそれがあると説明している。プライマリに書き込まれたがセカンダリにまだ存在していないデータは、フェールオーバー後に永久に失われる可能性がある。(learn.microsoft.com)

ここで現場が押さえるべきことは三つである。

第一に、フェールオーバーは「安全な切替ボタン」ではない。第二に、計画外フェールオーバーは、復旧と引き換えにデータ損失を受け入れる判断である。第三に、その判断は情シスだけで完結しない。業務責任者、経営、法務、場合によっては取引先説明まで巻き込む。

つまり、RA-GRSのDR設計では、技術手順より先に、意思決定条件を決める必要がある。

6. フェールオーバー後の落とし穴：RA-GRSのままではない

もう一つ、障害訓練で詰まりやすい点がある。

それは、計画外フェールオーバー後の冗長性である。

Microsoft Learnでは、GRSまたはRA-GRSアカウントでカスタマーマネージドの計画外フェールオーバーを実行した場合、フェールオーバー後、そのストレージアカウントは新しいプライマリリージョンでLRSになると説明されている。つまり、geo冗長は失われる。(learn.microsoft.com)

計画外フェールオーバーの詳細ページでも、フェールオーバー後はセカンダリリージョンが新しいプライマリとなり、元のプライマリリージョン内のデータコピーは削除され、ストレージアカウントはLRSへ変換され、geo冗長が失われると説明されている。(learn.microsoft.com)

これは非常に重要である。

障害から復旧した直後の環境は、一見すると業務再開している。しかし、その時点では再びリージョン障害に耐えられる状態とは限らない。再度GRS/RA-GRSを有効化し、新しいセカンダリへデータがレプリケートされるまで、二次災害への耐性は低下している。

したがって、DR手順書には「フェールオーバーして終わり」ではなく、「フェールオーバー後の再冗長化」「再冗長化完了までの暫定運用」「次回障害へのリスク説明」まで含める必要がある。

7. セカンダリ読み取りは、自動切替ではない

RA-GRSの「RA」はRead Accessである。ここにも現場の誤解がある。

Azure Storageの公式情報では、RA-GRS/RA-GZRS構成の場合、アプリケーションは必要に応じてセカンダリエンドポイントへアクセスし、セカンダリリージョンから読み取ることができるが、この方法ではアプリケーションを明示的に構成する必要があり、自動的には行われないと説明されている。(learn.microsoft.com)

つまり、RA-GRSを有効にしても、アプリケーションが自動的にセカンダリを読みに行くわけではない。

アプリケーション側で、次を設計する必要がある。

• プライマリエンドポイント障害時にセカンダリエンドポイントを読むか

• 読み取り専用で業務を継続するか

• 書き込みが必要な業務を停止するか

• 読み取りデータが古い可能性を画面や運用でどう扱うか

• 再開後にプライマリとセカンダリの差分をどう整合させるか

「RA-GRSだから読めます」は、半分だけ正しい。「業務として読んでよいか」は、別の設計問題である。

8. Geo Priority Replicationという新しい論点

2026年時点では、Azure Blob Storage Geo Priority Replicationという重要な選択肢もある。Microsoft Learnでは、この機能はGRS/GZRSが有効なストレージアカウントのBlobデータのレプリケーションに優先順位を付け、サポート対象ワークロードでは、請求月の99.0%でブロックBlobデータの最終同期時刻が15分以下の遅れに保たれることをSLAとして保証すると説明されている。(learn.microsoft.com)

ただし、これを「すべてのストレージデータでRPO 15分保証」と説明してはならない。同じMicrosoft Learnでは、SLAはブロックBlobデータにのみ適用され、ページBlobや追加Blobなどは対象外であること、過去30日以内に追加またはページBlob API呼び出しが行われたストレージアカウント、初期同期期間、一定の高負荷条件などではSLA対象外となる場合があると説明されている。(learn.microsoft.com)

さらに、Geo Blob Lagメトリックはプレビューとして提供され、プライマリリージョンとセカンダリリージョン間の最後の完全なデータコピーからの秒数を監視できると説明されている。これは、BCP/DRの監視証跡として有用だが、プレビュー機能であること、登録後に表示開始まで時間がかかる可能性があることも踏まえる必要がある。(learn.microsoft.com)

つまり、最新の設計では次のように整理するべきである。

RA-GRSを選ぶ。必要であればGeo Priority Replicationを検討する。しかし、それでも対象データ、対象Blob種別、SLA適格条件、監視メトリック、業務上のRPO合意を分けて説明する。

技術機能を足すだけでは、説明責任は完成しない。

9. 「冗長化済み」を四つに分解する

クラウド法務の観点では、「冗長化済み」という言葉をそのまま契約書、監査回答、経営説明に使うのは危険である。少なくとも、次の四つに分解する必要がある。

この表を作らずに「RA-GRSなので大丈夫です」と言うと、障害訓練では必ず詰まる。

特に、業務データがBlob単体で完結しない場合は注意が必要である。DB、Queue、Table、Blob、外部SaaS、基幹システム、監査ログ、メール通知、決済APIが絡むと、Azure StorageだけをRA-GRSにしても、業務全体の整合性は保証されない。

10. 何を業務側に許容してもらうのか

RA-GRSの本当の難しさは、技術設定ではなく、業務合意である。

業務側に確認すべきことは、次である。

• 何分前の状態まで戻る可能性を許容するか

• 障害直前のアップロードファイルが失われる可能性を許容するか

• 処理途中のファイルを再投入してよいか

• 二重登録・二重請求・二重出荷をどう防ぐか

• 取引先へ「反映されていない可能性」を通知する基準は何か

• データ差分調査に何時間かけてよいか

• 復旧優先は、読み取り再開か、書き込み再開か、整合性確認か

• フェールオーバー判断は誰が承認するか

この合意がないままRA-GRSを選ぶと、障害時に「戻すべきか」「待つべきか」「切り替えるべきか」の判断が現場に丸投げされる。

そして、現場は最も危険な状態になる。

「切り替えれば業務は再開するが、データが欠けるかもしれない」「切り替えなければデータ損失は避けられるかもしれないが、業務停止が長引く」「業務部門は最新データ保証だと思っている」「経営層は冗長化済みだから止まらないと思っている」

この状態は、技術事故であると同時に、説明責任の事故である。

11. 最終同期時刻を運用に組み込む

RA-GRS設計では、最終同期時刻を障害時だけ見るのでは遅い。定期的に取得し、障害訓練・月次点検・監査証跡へ組み込むべきである。

Microsoft Learnでは、PowerShellで GeoReplicationStats.LastSyncTime を確認する方法、Azure CLIで geoReplicationStats.lastSyncTime を取得する方法が示されている。(learn.microsoft.com)

例として、PowerShellでは次のような形で確認できる。

$lastSyncTime = $(Get-AzStorageAccount `  -ResourceGroupName "<resource-group>" `  -Name "<storage-account>" `  -IncludeGeoReplicationStats).GeoReplicationStats.LastSyncTime

Azure CLIでは次のように取得できる。

az storage account show \  --name <storage-account> \  --resource-group <resource-group> \  --expand geoReplicationStats \  --query geoReplicationStats.lastSyncTime \  --output tsv

ただし、コマンドを打てることが目的ではない。重要なのは、その値を何に使うかである。

• 最後の業務書き込みログと比較する

• 潜在的なデータ損失範囲を推定する

• フェールオーバー判断会議の材料にする

• 障害報告書に記載する

• 訓練時に、想定RPOと実測値の差を見る

• 監査時に、RPOの根拠資料として提示する

これができて初めて、RA-GRSは「選んだ設定」から「説明できる統制」になる。

12. 計画フェールオーバーと訓練の意味

RA-GRSを使うなら、訓練も設計に含める必要がある。

Azure Storageの公式情報では、計画フェールオーバーはDR計画のテストや大規模災害への予防的対応などに利用でき、プライマリとセカンダリの両リージョンでストレージアカウントが利用できる必要があると説明されている。計画フェールオーバーでは、プライマリとセカンダリが入れ替わり、DR計画を検証できる。(learn.microsoft.com)

一方で、計画外フェールオーバーはデータ損失・不整合の可能性を伴う。したがって、訓練では次を確認する必要がある。

• 計画フェールオーバーでアプリが動くか

• セカンダリエンドポイントから読み取りできるか

• DNSや接続文字列の扱いは正しいか

• フェールオーバー後に監視・ログ・バックアップは動くか

• 再冗長化にどれだけ時間とコストがかかるか

• 業務部門が想定RPOを理解しているか

• 障害報告書の雛形に、最終同期時刻と差分評価を記載できるか

訓練の目的は、ボタンを押すことではない。「切り替えた後に、業務として説明できるか」を確認することである。

13. NIST CSF 2.0の観点：これはRecoverだけでなくGovernの問題である

NIST Cybersecurity Framework 2.0は、組織がサイバーセキュリティリスクを理解、評価、優先順位付け、コミュニケーションするための高レベルな成果分類を提供する枠組みである。NISTは、CSF 2.0が特定の達成方法を処方するものではないとも説明している。(nist.gov)

RA-GRSの問題は、Recoverだけではない。むしろGovernの問題である。

誰がRPOを承認するのか。誰がデータ損失リスクを受容するのか。誰がフェールオーバーを判断するのか。誰が業務側に差分を説明するのか。誰が取引先へ通知するのか。誰が障害報告書に根拠を書くのか。誰が再冗長化完了を確認するのか。

これを決めないままRA-GRSを選ぶと、障害時にエンジニアが経営判断を背負うことになる。それは、設計として危険である。

山崎行政書士事務所のAzure BCP・DR・バックアップ設計ページでも、BCP・DR・バックアップは「入れているか」ではなく、有事に復旧判断ができ、証跡を示せるかで評価されると整理されている。また、RTO/RPO、復旧手順の実効性、バックアップ対象、権限統制、テストと証跡をAzure運用前提で整理する方針が示されている。(shizuoka-yamazaki-jimusho.com)

RA-GRSの設計は、まさにこの領域である。技術設定と、業務判断と、説明責任を一つの文書体系にしなければならない。

14. クラウド法務として整備すべき文書

RA-GRSを本当に説明できる設計にするには、少なくとも次の文書を整備すべきである。

14.1 RPO/RTO合意書

RPOとRTOを「目標値」として書くだけでは不十分である。対象業務、対象データ、対象ストレージアカウント、Blob種別、関連DB、Queue、外部システム、監査ログまで含めて、どの範囲に適用されるRPOなのかを明記する。

14.2 データ整合性マトリクス

Blob、DB、Queue、Table、外部API、バッチ処理、業務ステータスの関係を整理し、フェールオーバー時に差分が出た場合の正本を定義する。

たとえば、次のように定義する。

• Blobがあり、DB処理ログがない場合：再処理対象

• DB処理済みで、Blobがない場合：業務確認対象

• Queueメッセージのみ残る場合：重複防止キーで再投入判定

• 外部送信済みで内部ログがない場合：取引先照会対象

14.3 フェールオーバー判断基準

計画外フェールオーバーを開始する条件を、技術条件と業務条件に分けて定義する。

技術条件だけでは足りない。Azure Resource Health、Service Health、ストレージ到達性、最終同期時刻だけでなく、業務停止時間、顧客影響、手動代替可否、データ損失許容も判断材料にする。

14.4 最終同期時刻確認手順

誰が、どのコマンドで、どの時点の最終同期時刻を取得し、どのログと比較し、どの会議で提示するかを明記する。

14.5 障害報告書テンプレート

障害報告書には、少なくとも次を入れる。

• 障害発生時刻

• 最後の正常書き込み時刻

• 最終同期時刻

• 想定データ損失範囲

• 実際に影響を受けたオブジェクト数

• 業務補完方法

• フェールオーバー判断者

• 再冗長化開始時刻

• 再冗長化完了確認

• 再発防止策

14.6 責任分界表

情シス、アプリベンダー、インフラ担当、MSP、SOC、業務部門、経営、法務の間で、誰が何を判断し、誰が何を説明するかを決める。

14.7 取引先・監査向け説明資料

「RA-GRSを使用しています」ではなく、次のように説明する。

「Azure StorageはRA-GRSで構成し、セカンダリ読み取りアクセスを備えています。ただし、レプリケーションは非同期であるため、計画外フェールオーバー時には最終同期時刻以後のデータが失われる可能性があります。そのため、当社では最終同期時刻と業務書き込みログを比較し、差分範囲を特定したうえで、業務補完手順に従って復旧判断を行います。」

この粒度で説明できて初めて、クラウド法務として監査に耐える。

15. 設計レビューで見るべきチェックリスト

RA-GRSを採用したAzure Storageについて、情シスが見るべき項目は次である。

このチェックリストは、単なる技術レビューではない。経営説明、監査回答、委託先管理、BCP訓練を一体化するための実務表である。

16. 山崎行政書士事務所が提供すべき価値

山崎行政書士事務所のクラウド法務の価値は、Azureの設定画面を読むことだけではない。Azureの実装を、RPO、RTO、責任分界、契約、障害報告、監査証跡へ翻訳することにある。

事務所サイトでは、Azure現場伴走として、要件定義から運用まで、RPO/RTO、SLA/SLO、責任分界、DR/バックアップ、監視設計、運用手順、KQLやスクリプトレビューまで整理する支援が示されている。(shizuoka-yamazaki-jimusho.com)

RA-GRSの事故は、まさにこの支援領域である。

Azure上ではRA-GRSが選ばれている。しかし、業務側は最新データ保証だと思っている。契約書には「冗長化」としか書かれていない。障害報告書には最終同期時刻を書く欄がない。運用手順書にはフェールオーバー後のLRS化が書かれていない。監査回答では「地理冗長」とだけ説明している。

このズレを埋めるには、Azureを理解した文書整備が必要である。技術と法務を別々に扱うと、ここで必ず抜ける。

17. 考察：RA-GRSは“安心材料”ではなく“判断材料”である

RA-GRSは非常に有効な冗長性オプションである。しかし、RA-GRSを選んだこと自体は、BCPの完成ではない。

RA-GRSは、経営判断のための材料である。業務継続のための選択肢である。監査説明のための技術根拠の一部である。しかし、RPO合意、業務補完、整合性確認、フェールオーバー判断、再冗長化手順がなければ、RA-GRSは「選んだだけ」の設定になる。

障害訓練で問われるのは、選択肢ではない。判断である。

「切り替えるのか、待つのか」「何を失う可能性があるのか」「その損失を誰が許容したのか」「復旧後にどう整合性を確認するのか」「顧客や取引先にどう説明するのか」

この問いに答えるために、RA-GRSを設計する必要がある。

18. 結論：選ぶ設計ではなく、説明できる設計へ

本稿の結論は、次の一文に尽きる。

RA-GRSは、最新データまで必ず保証する魔法の設定ではない。非同期レプリケーションを前提に、RPO・整合性・業務許容・説明責任を設計して初めて、BCP/DRとして機能する。

「冗長化済みです」では足りない。「RA-GRSです」でも足りない。「セカンダリから読めます」だけでも足りない。

必要なのは、次を説明できることである。

• どの時点のデータまで戻るのか

• 最終同期時刻はどう確認するのか

• フェールオーバー時に差分は出るのか

• 差分が出た場合、どの業務手順で補完するのか

• 業務側は何を許容しているのか

• 誰がフェールオーバーを判断するのか

• フェールオーバー後、いつ再冗長化するのか

• 障害報告書に何を根拠として書くのか

• 取引先・監査・経営にどう説明するのか

RA-GRSを選ぶことは、設計の入口である。説明できるRPOを定義することが、設計の本体である。業務が許容できる差分を合意することが、BCPの核心である。証跡を残し、責任分界を明確にすることが、クラウド法務の実務である。

選ぶ設計ではなく、説明できる設計へ。冗長化の有無ではなく、復旧判断と説明責任まで設計せよ。

山崎行政書士事務所のクラウド法務・Azure技術支援は、この「Azureでは設定済み」と「経営・監査・業務に説明できる」の隙間を埋める支援である。RA-GRSを、単なる冗長化オプションではなく、RPO、整合性、責任分界、障害報告、契約、監査証跡に耐えるBCP/DR設計へ変える。