2025年版：AWS サーバーレス構成における運用監視の設計戦略 - Application SignalsとADOTで進化するエラー検知

エンジニアブログ

最終更新日：2025年08月26日｜公開日：2025年08月26日

writer：益子竜与志

サーバーレス構成の運用監視は、2024年から2025年にかけてCloudWatchの大幅な機能強化により大きく変化しています。

従来のログベースのエラー検知に加え、「CloudWatch Application Signals」によるSLO自動収集や、生成AI機能「CloudWatch Investigations」による根本原因分析が実用段階に入りました。本記事では、最新のAWS公式機能を活用した運用監視設計の実践的なアプローチと、プロダクション環境で本当に必要な監視項目について解説します。

運用監視設計の変化と最新動向

サーバーレス構成における運用監視は、この1年で劇的な進歩を遂げています。特に注目すべきは、CloudWatch Application SignalsのLambda対応と、CloudWatch Investigationsによる生成AI活用です。これらの機能により、従来のログ監視中心のアプローチから、SLO（Service Level Objective）ベースの戦略的な運用監視へのシフトが可能になりました。

従来の運用監視では、個別のメトリクスやログを分析し、運用担当者が手動で関連性を見つけ出す必要がありました。しかし新機能により、システム全体の健全性を俯瞰し、障害発生時の初動調査を自動化できるようになっています。これは単なる機能追加ではなく、運用監視の根本的なパラダイムシフトと考えています。

設計原則の再定義

運用監視の設計原則として、「アプリケーションと運用監視の疎結合」は今も重要ですが、その実装方法は大きく変化しています。従来のCloudWatch Logsサブスクリプションフィルターによるエラー検知に加え、「ADOT（AWS Distro for OpenTelemetry）」レイヤーによる計測データ自動収集が主流となりつつあります。

現代の設計原則として重要なのは以下の3点です。

多層防御アプローチ

まず「多層防御アプローチ」では、ログ層でのサブスクリプションフィルターやメトリクスフィルター、メトリクス層でのLambdaとDynamoDB標準メトリクス、サービス層でのApplication SignalsとADOTによるSLO指標を組み合わせます。これにより、異なる抽象化レベルでの包括的な監視を実現します。

SLO中心設計

「SLO中心設計」では、ビジネス要件に直結するレイテンシ、エラー率、トラフィック指標を自動収集し、アラートノイズを削減します。従来の個別メトリクス監視から、ユーザー体験に直結する指標への転換が重要です。

自動化された初動調査

最後に「自動化された初動調査」では、CloudWatch Investigationsによる生成AI活用で、アラーム発生時の関連メトリクスとログの横断分析を自動実行します。これにより、障害対応の初速を大幅に向上させることができます。

Application Signalsによる可観測性の向上

Application Signalsは、Lambda関数においても「ADOT（AWS Distro for OpenTelemetry）」レイヤーの追加により利用可能となりました。この機能により、コード変更なしでSLO指標の自動収集が実現します。

従来のLambda監視では、Durationメトリクスから手動でレイテンシを算出し、Errorsメトリクスでエラー率を把握していました。Application Signalsでは、これらの指標がサービスレベルで自動集計され、分散トレースと連携して関数間の依存関係も可視化されます。

実装面では、ADOT Lambda Layerを関数に追加し、環境変数で計測を有効化するだけで開始できます。X-RayやContainer Insightsとの統合も自動的に行われ、従来個別に設定していた各種計測ツールを統一的に管理できます。

これにより、関数レベルの詳細な監視と、サービスレベルの包括的なSLO管理を両立させることが可能になりました。プロダクション環境では、まずApplication Signalsでサービス全体の健全性を把握し、問題発生時に個別メトリクスでドリルダウンするというアプローチが効果的です。

CloudWatch Investigationsによる根本原因分析

2025年に一般提供開始となったCloudWatch Investigationsは、生成AIを活用してテレメトリデータを横断分析し、根本原因仮説を提示します。アラーム発生時の自動開始設定により、障害対応の初動を大幅に効率化できます。

従来の障害対応では、アラーム通知を受けた運用担当者が、CloudWatchコンソールで関連メトリクスを手動で確認し、CloudWatch Logsで詳細なログを調査していました。Investigationsでは、アラームトリガーと同時に関連指標の分析が開始され、デプロイイベントやインフラ変更との時系列相関も自動的に提示されます。

注意点として、同時実行数は2件、月間150件の利用上限があるため、重要なアラームに限定して自動開始を設定することが重要です。また、生成AIによる分析結果は仮説段階であり、最終的な根本原因特定は人間の判断が必要であることも理解しておく必要があります。

実運用では、P0・P1レベルの重要アラームにInvestigations自動開始を設定し、P2以下は手動トリガーとすることで、上限内での効果的な活用が可能です。

Lambda関数の監視強化戦略

Lambda関数の監視は、従来のメトリクス監視に加え、同時実行制御とエラーハンドリングの観点が重要になっています。2024年以降のベストプラクティスとして、アカウントレベルの同時実行監視と、非同期処理の失敗動線管理が不可欠です。

同時実行制御の重要性

Lambda関数の同時実行監視では、「ConcurrentExecutions」メトリクスでリージョンレベルの同時実行クォータ（デフォルト1,000）に対する使用率を監視します。推奨アラーム条件として、アカウントの同時実行クォータの80%を継続的に超えた場合の通知設定が効果的です。

引用：Lambda 関数のスケーリングについて Lambda は各リージョンでデフォルト1,000の同時実行クォータを設定し、アカウント内のすべての関数で共有されます。

実践的な監視設計では、以下のパターンが重要になります。まず「予約同時実行」を設定した関数では、個別の同時実行上限に対する監視を追加し、「プロビジョニング同時実行」では初期化済み実行環境の枯渇を監視します。また、関数レベルでの「Throttles」メトリクス監視により、同時実行制限による処理拒否を検知することも不可欠です。

非同期処理とエラーハンドリング

非同期Lambda関数では、従来のErrorsメトリクスに加え、「AsyncEventAge」「AsyncEventsDropped」「DeadLetterErrors」「DestinationDeliveryFailures」の監視が重要です。これらのメトリクスは、非同期処理の失敗パターンを詳細に把握するために必要な指標です。

特に「DeadLetterErrors」と「DestinationDeliveryFailures」は、リソース設定ミスの可能性を示唆するため、発生時はCloudFormationテンプレートやインフラ設定の見直しが必要になります。また、「RecursiveInvocationsDropped」は実装上の無限ループを示すため、ソースコードの修正対象として優先度を高く設定すべきです。

実運用では、DLQ（Dead Letter Queue）またはOn-failure Destinationの適切な設定と合わせて、これらのメトリクス監視を導入することで、非同期処理の信頼性を大幅に向上させることができます。

以下の表は、Lambda関数の主要監視メトリクスと推奨アラーム条件をまとめたものです。

表 Lambda関数の主要監視メトリクス一覧

メトリクス	推奨アラーム条件	対応策
ConcurrentExecutions	アカウントクォータの80%超	上限緩和申請またはワークロード見直し
Throttles	1件以上の連続発生	予約同時実行設定または処理負荷分散
AsyncEventAge	継続的な上昇傾向	関数処理時間短縮または同時実行数増加
DeadLetterErrors	1件以上の発生	DLQ設定確認およびインフラ設定見直し
DestinationDeliveryFailures	1件以上の発生	デスティネーション設定確認
RecursiveInvocationsDropped	1件以上の発生	ソースコード内の無限ループ修正

DynamoDB監視の戦略的アプローチ

DynamoDB監視では、アカウントレベルのキャパシティ上限監視が最重要課題です。複数チームや複数環境が同居するアカウントでは、一つのチームの変更が他チームのAuto Scaling機能に影響を与える可能性があります。

アカウントレベルキャパシティ監視

「AccountProvisionedReadCapacityUtilization」と「AccountProvisionedWriteCapacityUtilization」の監視により、アカウント全体のキャパシティ使用率を把握します。これらのメトリクスが80%を超えて推移する場合、開発環境と本番環境のアカウント分離や、マルチアカウント管理の検討が必要です。

「MaxProvisionedTableReadCapacityUtilization」と「MaxProvisionedTableWriteCapacityUtilization」では、アカウント内で最も高いキャパシティを消費するテーブルの使用率を監視できます。これにより、特定のテーブルがアカウント全体のキャパシティを圧迫している状況を早期発見できます。

テーブルレベルスロットル監視

テーブルとGSIレベルでは、スロットル率の継続監視が重要です。「ReadThrottleEvents」と「WriteThrottleEvents」をそれぞれの「ConsumedReadCapacityUnits」と「ConsumedWriteCapacityUnits」で除算し、スロットル率が2%を超えて持続する場合はキャパシティ設定の見直しが必要です。

CloudWatch Contributor Insightsとの組み合わせにより、ホットパーティション問題の特定も可能になります。頻繁にアクセスされるアイテムが持続的なスロットリングを引き起こしている場合、パーティションキー設計の見直しが必要になることがあります。

グローバルテーブル特有の監視

グローバルテーブルでは、「ReplicationLatency」の監視が不可欠です。レプリケーション遅延が平均3分（180,000ミリ秒）を超えて持続する場合、すべてのレプリカテーブルでWCU設定の整合性確認が必要です。

プロビジョニングモードのグローバルテーブルでは、すべてのレプリカで同一のAuto Scaling設定を使用することが推奨されています。異なる設定により、一部のレプリカが他のレプリカからの変更レプリケートに遅延し、データの整合性に影響を与える可能性があります。

以下の表は、DynamoDB監視の重要メトリクスとアラーム条件をまとめたものです。

表 DynamoDB監視メトリクス重要度別一覧

重要度	メトリクス	推奨アラーム条件	影響範囲
最高	AccountProvisionedReadCapacityUtilization	80%超	アカウント全体
最高	AccountProvisionedWriteCapacityUtilization	80%超	アカウント全体
高	ReadThrottleEvents率	2%超持続	個別テーブル
高	WriteThrottleEvents率	2%超持続	個別テーブル
高	ReplicationLatency	180秒超持続	グローバルテーブル
中	SystemErrors率	2%超持続	個別テーブル
中	UserErrors率	2%超持続	個別テーブル

ログ監視とメトリクス連携の最適化

ログ監視は、2024年の機能強化により大幅に効率化されました。特にCloudWatch Logs Live Tailによる準リアルタイムログ追跡と、データマスキング機能によるPII保護が実用段階に入っています。

サブスクリプションフィルターの進化

従来のサブスクリプションフィルターは、エラーログの即時検知に有効ですが、設定の複雑さが課題でした。最新の実装では、JSONフィルターパターン「{$.level = "ERROR"}」による構造化ログの直接フィルタリングが可能になり、より精密なエラー検知が実現できます。

受信イベントは引き続きbase64およびgzip圧縮で渡されるため、Lambda内でのデコード処理は必要ですが、フィルターパターンの精度向上により、不要な関数実行を大幅に削減できます。宛先としてLambda、Kinesis、Firehoseが選択可能で、障害通知の要件に応じて最適な配信方法を選択することが重要です。

メトリクスフィルターとアラーム連携

ログに対するアラーム機能では、メトリクスフィルターでエラーログ件数をメトリクス化し、静的しきい値または異常検知アラームを作成できます。異常検知機能は2024年の改善により、季節性や傾向変化の学習精度が向上し、アラートノイズの削減に効果的です。

実践的な設計では、サブスクリプションフィルターによる即時通知と、メトリクスフィルターによる傾向監視を組み合わせることで、短期的な障害対応と中長期的な品質改善の両方に対応できます。

外部システム連携とクロスアカウント監視

CloudWatch Metric Streamsにより、メトリクスをほぼリアルタイムでS3、Firehose、外部APMへストリーミング可能になりました。JSON形式またはOpenTelemetry 1.0形式での出力に対応し、クロスアカウント監視との親和性も高くなっています。

複数AWSアカウントでの統合監視では、Metric Streamsによる中央集約と、各アカウントでの個別アラーム設定を組み合わせることで、スケーラブルな監視体制を構築できます。特に、開発・ステージング・本番環境が異なるアカウントに分離されている場合、この機能は非常に有効です。

エラー検知実装の現代的パターン

従来のサブスクリプションフィルターによるエラー検知に加え、Application SignalsとADOTを活用した包括的な監視パターンが主流になっています。実装の観点から、段階的な導入戦略が重要です。

レイヤー型監視アーキテクチャ

現代的な監視設計では、3つのレイヤーでの監視を組み合わせます。

ログ層では、CloudWatch Logsサブスクリプション機能により、エラーレベルのログを即座にSNSやIncident Managerに通知します。フィルターパターンを適切に設定することで、ノイズを削減しつつ重要なエラーを見逃さない仕組みを構築します。

メトリクス層では、LambdaとDynamoDBの標準メトリクスに加え、Composite AlarmやAnomalyDetectionを活用してアラート疲れを抑制します。複数の条件を組み合わせた論理演算により、真に対応が必要な状況のみをアラート対象とします。

サービス層では、Application SignalsとADOTによるSLO指標の自動収集により、ユーザー体験に直結する監視を実現します。分散トレースとの連携により、マイクロサービス間の依存関係も含めた包括的な可観測性を提供します。

実装上の考慮事項

TypeScriptでのエラー検知Lambda実装では、最新のAWS SDK v3とPowertoolsライブラリの組み合わせが推奨されます。従来のJavaScriptベースの実装から、型安全性を重視したアプローチへの移行が進んでいます。

import { SNSClient, PublishCommand } from '@aws-sdk/client-sns';
import { Logger } from '@aws-lambda-powertools/logger';
import middy from '@middy/core';
import { injectLambdaContext } from '@aws-lambda-powertools/logger/middleware';

const snsClient = new SNSClient({});
const logger = new Logger({ serviceName: 'ErrorNotification' });

const lambdaHandler = async (event: CloudWatchLogsEvent): Promise<void> => {
  const payload = Buffer.from(event.awslogs.data, 'base64');
  const decompressed = await gunzip(payload);
  const logData = JSON.parse(decompressed.toString('utf-8'));

  await snsClient.send(new PublishCommand({
    TopicArn: process.env.ERROR_NOTIFY_TOPIC_ARN,
    Message: JSON.stringify(logData, null, 2)
  }));
};

export const handler = middy(lambdaHandler)
  .use(injectLambdaContext(logger));

実装時の重要な考慮点として、エラー検知Lambda自体の障害対策も必要です。DLQの設定と、エラー検知処理の冪等性確保により、監視システム自体の信頼性を担保することが不可欠です。

インシデント管理との統合

現代的なエラー検知では、単なる通知に留まらず、AWS Incident Managerとの統合によるインシデント管理の自動化が重要です。CloudWatch InvestigationsのアラームアクションとしてIncident Manager起動を設定することで、障害対応の初動を大幅に効率化できます。

エスカレーション設定により、重要度に応じた通知先の自動切り替えも可能になります。P0レベルでは即座に担当者への電話通知、P1レベルではSlack通知、P2レベルではメール通知というような段階的対応が設定できます。

運用監視のプロダクション導入戦略

新機能を含む運用監視の導入では、段階的なアプローチが成功の鍵となります。すべての監視機能を一度に導入するのではなく、ビジネス影響度とリスクレベルに応じた優先度付けが重要です。

導入フェーズ設計

第1フェーズでは、既存のCloudWatch Logsとメトリクスを活用したベースライン監視を構築します。Lambda関数のConcurrentExecutions監視とDynamoDBのアカウントレベルキャパシティ監視から開始し、システム全体の安定性を確保します。

第2フェーズでは、Application SignalsとADOT導入により、SLOベースの監視に移行します。コード変更を最小限に抑えたレイヤー追加により、既存システムへの影響を抑制しつつ、より詳細な可観測性を実現します。

第3フェーズでは、CloudWatch Investigationsの導入により、障害対応の自動化を進めます。重要アラームから段階的に自動開始設定を追加し、運用チームの負荷軽減を図ります。

チーム運用体制の整備

監視システムの導入と並行して、運用チーム体制の整備も不可欠です。特に、新しい生成AI機能であるInvestigationsの結果解釈には、一定の技術的知識が必要です。

運用ランブックの整備により、アラート種別ごとの対応手順を明文化し、経験の浅いメンバーでも適切な初動対応ができる体制を構築することが重要です。また、定期的なポストモーテムミーティングにより、監視精度の継続的改善を図ります。

実際の運用では、誤検知によるアラート疲れを避けるため、しきい値の継続的なチューニングが必要です。本記事で示した数値は初期設定の目安であり、実際のワークロードに応じた調整が不可欠であることを理解しておく必要があります。

以下のチェックリストは、プロダクション導入時の必須確認項目をまとめたものです。

プロダクション導入チェックリスト

運用監視システムの導入前に確認すべき主要項目は以下の通りですが、自社の運用体制と要件に合わせてカスタマイズすることが重要です。

Lambda同時実行監視でアカウントクォータの80%警戒ライン設定とエスカレーション手順の確立ができている
DynamoDBアカウント上限監視でAccountProvisioned系メトリクスのアラーム設定とキャパシティ計画の策定ができている
サブスクリプションフィルターによるエラーログ即時通知とSNS/Incident Manager連携の設定ができている
Application SignalsとADOTレイヤー導入によるSLO指標自動収集の設定ができている
CloudWatch Investigations自動開始設定で重要アラームへの適用ができている
グローバルテーブルレプリケーション遅延監視でReplicationLatencyアラーム設定ができている
Streams→Lambda処理遅延監視でIteratorAgeアラーム設定とバッチサイズ最適化ができている
メトリクス外部連携でMetric Streamsによる統合監視基盤構築ができている

まとめ

サーバーレス構成の運用監視は、AWSの継続的な機能強化により大きく進歩しています。従来のログベース監視から、SLO中心の戦略的な監視への転換により、より効率的で信頼性の高いシステム運用が実現できます。新機能の積極的な活用と、段階的な導入戦略により、チームの運用負荷を軽減しながら、システムの可観測性を大幅に向上させることが可能です。

この記事を書いた人

ソリューションアーキテクト益子竜与志

複数のITベンチャーで技術責任者／経営企画を歴任し、事業戦略とプロダクト成長を主導。2017年にRagate株式会社を創業し、サーバーレス技術の黎明期よりAWS・サーバーレス開発プロジェクトを牽引し、AWS Top Engineers 2024 ( Service ) ・AWS Rising Star Partners of the Year – Japan賞を受賞。経営課題/戦略を起点としたDX戦略策定とクラウドシステムデリバリを強みに、SMB市場を中心に数多くの企業変革を支援。GLOBIS経営大学院MBAで培った経営戦略・マーケティングミックスの知見と、AWS／先端技術の深い専門性を掛け合わせ、価値創出を加速させている。

【保有資格・認定】