システム開発や運用において、「商用環境」と「検証環境」を明確に分けることは基本中の基本です。
しかし、分かっていても人はミスをします。
今回は、社員が経験した「商用環境に検証用リソースをアップロードしてしまい、サービス障害を引き起こした事例」について振り返り、原因と対策、そして学んだことを整理します。
発生した現象
あるリリース作業の際、誤って検証用のリソースやプログラムを商用環境にアップロードしてしまいました。その結果、サービスの一部が正常に動作しなくなり、ユーザーがサービスを利用できない状態に陥りました。
特に問題だったのは、商用環境と検証環境でパラメータ設定や依存モジュールに差異があった点です。検証環境では問題なく動作していた処理が、商用サーバでは想定外の挙動を引き起こし、最終的には緊急対応として復旧作業を行う事態となりました。
原因の整理
原因を振り返ると、複数の要因が重なっていました。
まず、複数台構成のサーバのうち、1台だけ誤ったリソースがアップロードされていました。全台が同一状態であることを前提にしていたため、差分に気づくのが遅れました。
次に、各サーバでリソースを反映するために使用するコマンド(バッチ)の実行を誤っていました。対象サーバや実行内容の確認が不十分だったことが直接の原因です。
そして何より、当時はデプロイ作業が自動化されておらず、すべて手作業で行っていた点が大きな問題でした。人為的ミスがそのまま商用環境に影響する構造になっていたのです。
検討した対策案
この障害を受けて、以下の対策を検討しました。
1つ目は、リリース作業手順書の詳細化です。誰が作業しても同じ手順・同じ結果になるよう、チェックリスト形式で手順を明文化することを目指しました。
2つ目は、リリース作業のダブルチェックです。コマンドの内容や対象サーバを、必ず別の担当者が確認する体制を整えることを検討しました。
最終的に採用した結論
最終的に採用したのは、上記2つの対策です。
リリース作業手順書を詳細化し、対象サーバ、実行コマンド、確認ポイントを具体的に記載しました。曖昧な表現を排除し、「迷わない手順書」を目指しました。
加えて、実際にコマンドを実行する前に、別の担当者が内容を確認するダブルチェック体制を導入しました。これにより、誤ったリソースのアップロードを事前に防げるようになりました。
この経験から学んだこと
まず、手順書の明確化は必須だということです。作業者の経験や勘に依存しない仕組みを作ることで、人為的ミスの可能性を大きく下げられます。
次に、ダブルチェック体制の重要性です。一人での作業はどうしても見落としが発生します。第三者の目を入れるだけで、事故の多くは未然に防げます。
そして、「人は必ずミスをする」という前提に立つことの大切さです。完全な自動化ができなくても、ミスを前提に防ぐ仕組みを用意することが重要だと痛感しました。
この事例は10年以上前のものですが、手順書の整備とチェック体制の重要性は今でも変わりません。複数サーバや複雑なデプロイ作業においてこそ、この基本が最も効果を発揮すると感じています。
