Zenn
👏

オンコール体制に真面目に向き合う

に公開
SRE
運用保守
オンコール
idea

概要

システム運用において、アラート対応やオンコールは避けられない重要な活動です。
しかし多くの現場では、アラートを受けるメンバーが属人化し、障害対応を特定のメンバーしか実施できない状態に陥っています。

この状態を放置すると、短期的には信頼性を維持できても、組織全体の対応力が弱まり、持続的な運用が難しくなります。
本記事では、属人化を防ぎつつ信頼性を損なわない「理想的なオンコール体制」を構築するための考え方をまとめます。

そもそもオンコールは辛い作業である

システムは 24時間365日稼働 し続けることが求められますが、人間はそうはいきません。
誰だって休日や余暇を障害対応で壊されたくはないはずですし、真夜中に電話で叩き起こされることを歓迎する人はいないでしょう。

さらに、障害対応中は経営層や関係者から「早期復旧」を強く求められます。
その緊張感の中で冷静に作業するのは、誰にとっても大きな負担です。

もしオンコール体制が明確に整備されておらず、特定の誰かの善意や責任感に依存しているなら、それはその人に過度な重責を背負わせているということです。
こうした状態は 「不健全な組織」 の典型であり、持続性がなく、いずれ破綻します。

オンコールを健全に回すには、自主性や善意に頼るのではなく、組織として仕組み化することが必要です。

理想的なオンコール体制とは?

オンコール対応を担うには、システムのワークロードや構成を理解している必要があります。
そのため、理解度が浅いメンバー(ビギナー)は対応を避けがちになり、結果的に知識を持つ特定メンバー(エキスパート)に依存する傾向が生まれます。

これは MTTR(平均復旧時間)の観点では合理的ですが、同時に 知識格差の拡大や属人化 を招きます。

ではビギナーにも強制的にオンコールを割り当てれば解決するのでしょうか?
残念ながらそう単純ではありません。理解度が低いまま対応にあたれば、MTTRが伸び、サービス信頼性を損なうリスクがあります。

👉 ここにトレードオフが存在します。

  • 知識を持つメンバーに依存すれば、信頼性は確保できるが属人化が進む
  • ビギナーを参加させれば、知識は分散するが信頼性低下のリスクがある

この二律背反をどう解消するかが、理想的なオンコール体制のカギとなります。

オンコール体制の設計

オンコールを構成する基本要素は次の3つに整理できます。

  1. どのような障害が発生しているのか?(アラート内容)
  2. 誰が対応するのか?(担当者)
  3. いつまでに対応するのか?(対応期限・優先度)

ここでは「誰が対応するのか」「いつまでに対応するのか」の2点に焦点を当てます。

誰が対応するのか?

先述のトレードオフを解消する有効な方法の一つが、エキスパートとビギナーのペア対応(On-call buddy system) です。

表面的には二重工数に見えますが、属人化を防ぎ持続可能な体制を作る投資と捉えるべきです。
重要なのは、エキスパートがすべてを主導して解決してしまわないことです。
ビギナーが自ら手を動かし、調べ、解決に至る経験を積むことが不可欠であり、エキスパートは「支援者」として振る舞う必要があります。

⚠️ ただし、すべてのアラートにこの方式を適用すべきではありません。
クリティカルな障害時には信頼性を最優先し、エキスパートが即座に主導すべきです。
状況を見極め、任せる範囲と引き取るタイミングを判断することが重要です。

いつまでに対応するのか?

担当者がアラートを受け取った際に、重要度と対応期限を即座に把握できることが必要です。
そのため、発火するアラートを整理し、重要度レベルを明確にします。

Googleの The Site Reliability Workbook では以下の分類を推奨しています。

分類 内容 説明
page(alert) 緊急通知・即時対応が必要 クリティカルな障害に対して発行
ticket 非緊急/時間的余裕のある対応 中〜長期的なエラーや傾向に対して発行
info 補足・参考情報として通知 軽微なログや傾向分析に対して発行

この分類に基づき、可能な限り対応手順をアラートに含めることが重要です。
ただし、手順が常に最新とは限らず、ケースによって原因が異なることもあるため、**「ビギナーが実行し、エキスパートが保証する」**という役割分担を徹底する必要があります。

対応した後は?

オンコールは対応して終わりではありません。
対応後の知見を手順書に反映することで、次回以降の対応力を高められます。

AWSの Well-Architected Framework では、手順書に以下を含めることを推奨しています。

  • 概要: リスクや対応方針
  • 前提条件: 必要なログや通知基盤
  • 関係者情報: 連絡先・責務
  • 対応手順
    • 検出 / 分析 / 止血 / 根絶 / 回復
  • 期待される結果: 完了条件

ただし、全アラートに手順書を書くのは非現実的です。
まずは偽陽性や不要なアラートを削減し、「本当に対応が必要なアラート」に集中することが前提です。

オンコールの負荷を減らす

理想的なオンコール体制を整えてるだけでは属人化は防げますが負荷は減りません.
重要なのは 偽陽性アラートを削減して本当に必要なときだけ対応する状況を作ることです.  
オンコール担当者は本来、アラートが鳴らなければ通常業務に集中できるはずであり、システムの信頼性の観点からも、不要なオンコールは極力排除されるべきです。

データに基づく削減

どのアラートが最も多く発火しているかを統計し、優先的に対策することが重要です。
PrometheusやDatadogなどの監視基盤の機能を活用してもよいですし、Slack APIで発生件数を収集するだけでも効果があります。

重要なのは、件数だけでなく 発生パターン(時間帯や周期性) を記録することです。
これが原因究明の大きな手がかりになります。

評価される体制にする

アラート削減は売上に直結しないため軽視されがちです。
これを避けるには、チームの正式な目標として組み込み、評価対象にすることが不可欠です。

計測ができていれば「アラート発生数を n% 削減」といった定量評価が可能です。
アラート削減はサービスの持続的運用に不可欠な投資であり、正しく評価される仕組みを整えることが求められます。

まとめ

オンコール体制は、単なる「当番制」ではありません。
属人化を防ぎつつ信頼性を維持する仕組みとして設計し、継続的に改善していく必要があります。

また、オンコールを 学習機会 と捉え、育成に活用することで、負担を組織強化へと転換できます。
健全な体制はサービスの安定だけでなく、チームの持続性と成長にも寄与します。

すべてを一度に実現するのは難しいかもしれません。
しかし、「できないから諦める」のではなく、理想に近づける改善を一歩ずつ積み重ねることが大切です。

Discussion