第4章:運用の5層モデル

この章で分かること

  • 検知→証拠→分析→実行→学習の5層
  • 各層の責任主体
  • 障害対応フローとの対応
  • 自社ツールのマッピング方法
  • 監視とAIの障害ドメイン分離
たとえ話

火災対応: ①煙感知 → ②映像保存 → ③状況整理 → ④消火判断 → ⑤防火訓練改善。
AIは主に③の強化。①のセンサー置き換えではありません。

全体構成図 · ソース: ../diagrams/overall_architecture.mmd
%% 全体構成図: 既存監視 + AI分析 + 人間統制
flowchart TB
  subgraph Sources["監視・観測ソース"]
    APP["アプリケーション\nOpenTelemetry"]
    SRV["サーバー / ホスト"]
    NET["ネットワーク機器"]
    CI["CI/CD\nGitHub Actions等"]
    LLM["LLM利用ログ"]
  end

  subgraph Collect["収集チャネル"]
    OTEL["OTel / APM"]
    SNMP["SNMP Polling"]
    TRAP["SNMP Trap"]
    SYS["Syslog"]
    CW["クラウド監視"]
    CILOG["CIログ取込"]
  end

  subgraph Store["証拠保存基盤"]
    PROM["Prometheus / メトリクス"]
    LOKI["Loki等 / ログ"]
    TEMPO["トレース基盤"]
    INC["インシデント管理"]
    CHG["変更・デプロイ履歴"]
    RB["ランブック / 過去事例"]
  end

  subgraph Detect["検知・アラート基盤\n決定論的"]
    AL["閾値判定 / 死活 / SLO"]
    AM["通知制御\n重複排除・抑制"]
  end

  subgraph AI["AI分析層\nL0〜L2中心"]
    AICOL["証拠収集・相関"]
    AIANA["仮説・反証・次アクション"]
  end

  subgraph People["人間・承認"]
    OPS["運用担当"]
    DEV["開発担当"]
    APR["承認者"]
  end

  APP --> OTEL
  SRV --> SNMP
  SRV --> SYS
  NET --> TRAP
  NET --> SYS
  CI --> CILOG
  LLM --> PROM
  LLM --> LOKI

  OTEL --> PROM
  OTEL --> LOKI
  OTEL --> TEMPO
  SNMP --> PROM
  TRAP --> AL
  SYS --> LOKI
  CW --> AL
  CILOG --> LOKI

  PROM --> AL
  LOKI --> AL
  AL --> AM
  AM --> INC

  INC --> AICOL
  PROM --> AICOL
  LOKI --> AICOL
  TEMPO --> AICOL
  CHG --> AICOL
  RB --> AICOL
  AICOL --> AIANA

  AIANA --> OPS
  AIANA --> DEV
  OPS --> APR
  DEV --> APR
  APR -->|承認付き実行| Sources
図が見えないときのテキスト版
ソース→収集→検知/証拠→インシデント→AI分析→人間承認→実行改善

1. 五層の定義

  1. 検知 … SNMP/Syslog/Prom/APM/SLO/CI/SIEM等。監視基盤
  2. 証拠保存 … ログ・メトリクス・トレース・変更・AI実行履歴。ログ/監査
  3. 分析 … 相関・仮説・反証・次確認。AI+運用
  4. 意思決定と実行 … ロールバック、顧客通知等。運用/開発+承認
  5. 学習 … ポストモーテム、ルール・ランブック更新。責任者ほか
障害対応フロー · ソース: ../diagrams/incident_response_flow.mmd
%% 障害対応フロー
flowchart TD
  A["異常発生"] --> B["既存監視が検知\nSNMP / Syslog / Prom / APM / SLO / CI"]
  B --> C["アラートルール判定\n重複排除・抑制・ルーティング"]
  C --> D["インシデント起票"]
  D --> E["AIが証拠を収集\nログ・メトリクス・トレース・変更履歴"]
  E --> F["AIが状況を構造化\n事実 / 仮説 / 反証 / 不足情報"]
  F --> G["人間が判断\n影響・リスク・手順選択"]
  G --> H{"承認が必要か?"}
  H -->|いいえ・低リスク| I["承認済み/許可済み手順を実行"]
  H -->|はい・高リスク| J["承認者レビュー"]
  J --> I
  I --> K["復旧確認\n復旧ゴール照合"]
  K --> L["ポストモーテム"]
  L --> M["監視・ログ・手順・AI評価を改善"]

  style B fill:#1e3a5f,stroke:#7dd3fc,color:#fff
  style E fill:#134e4a,stroke:#5eead4,color:#fff
  style F fill:#134e4a,stroke:#5eead4,color:#fff
  style G fill:#7c2d12,stroke:#fdba74,color:#fff
  style J fill:#7c2d12,stroke:#fdba74,color:#fff
図が見えないときのテキスト版
異常→検知→判定→起票→AI→構造化→判断→承認実行→復旧→振り返り→改善

2. 自社マッピングのやり方

書く欄
1製品名とルール置き場Alertmanager, クラウドアラーム
2保存先と保持期間ログ基盤、トレーシング
3AIツール名と権限読取MCPのみ、等
4承認者と実行手段変更管理、runbook実行
5振り返りの場週次/インシデント後
設計のコツ: ①と③の障害ドメインを分ける。AI用クラウドが落ちても閾値アラームは鳴り続ける。
運用担当者付箋マッピングを主催する
PGAI分析に必要な証拠を実装ログに残す
SE証拠保存層の保持期間・検索キー・権限を設計する
PM④の承認者表を先に作る
経営層⑤に時間を投資しない運用は同じ障害を買い続ける

ふりかえり

  • 自社部品を5層に貼れたか
  • ①が無いのに③だけ導入しようとしていないか