2025年6月18日(水)

🌊 灯台守と旗振り通信に学ぶ：低帯域・高遅延時代の『レジリエント設計術』

7,498文字

約9分で読めます

💡 序論：灯台守と旗振り通信士が直面した「劣悪な通信環境」

19 世紀、海岸線に立つインフラは、現代の高速ネットワークとはかけ離れた環境下にありました。しかし、彼らの設計した運用ルールには、遅延や欠損、単一障害点が避けられないデジタルシステムを設計・運用するための普遍的な知恵が詰まっています。

⚓ 灯台守 (Lighthouse Keeper) が守ったもの

灯台守は、灯台のレンズや光源を管理し、光を絶やさず航行の安全を確保する専門職でした。彼らの仕事は、安定稼働と冗長性の体現です。

課題： 霧や悪天候による回線断（視界不良）、油切れや機構の故障といった単一障害点。
教訓： 完璧な安定は不可能であるため、予期せぬ欠損に備えたフォールバック（霧信号、予備ランプ）と、厳格なルーティンによる事前予防が求められました。

参考: 灯台守 - Wikipedia

🚩 旗振り通信士 (Semaphore Signalman) が伝えたもの

旗振り通信（手旗信号）は、主に陸上や艦船間で、旗の位置や角度によって文字や符号を遠方に送る通信手段でした。

課題： 1 文字を送るのに数秒かかる低帯域・高遅延、風や誤読によるデータの欠損。
教訓： 帯域と信頼性のトレードオフを理解し、再送ルール、省略記号（符号表）、終端フラグなど、プロトコルによる信頼性の確保が不可欠でした。

参考: 旗振り通信 - Wikipedia

💻 現代デジタル通信との結びつき

現代のクラウドインフラは高速ですが、大規模な分散システムにおいては、本質的に旗振り通信時代と同じ課題を抱えます。

遅延: リージョン間通信（数 10〜数 100ms）や DB ロック待機時間は、旗振り通信の「1 文字数秒」に相当する高遅延です。
欠損: ネットワークパケットのドロップ、スロークエリ、外部 API のタイムアウトは、霧による「旗が見えない」状態、つまり欠損です。

これらの「劣悪な通信環境」を前提とした彼らの知恵から、現代の SRE やプロダクト開発者が学ぶべき**『レジリエントな設計術』**を具体的なチェックリストとしてまとめます。

1. 再送は人間リトライが前提（指針：指数的な我慢）

旗振り通信では「重要な語は 2 回送る」が基本でした。風で旗が揺れて読めないことがあるからです。

現代のネットワーク通信の父である TCP も同様に、パケットの欠損を前提に再送（retry）を行いますが、単にすぐ再送するのではなく、待機時間を指数関数的に伸ばすエクスポネンシャルバックオフ（Exponential Backoff）を採用しています。これは旗振り通信士が、風が強い時にすぐに旗を振り直すのではなく、少し待ってから試行したであろう「指数の我慢」をシステムに落とし込んだものです。

また、頻繁なリトライが相手システムを過負荷にする場合、通信自体を一定時間やめるサーキットブレーカーパターン（Circuit Breaker）を導入するのも有効です。

Tips: アラート文言を二重化する際、単なる再送ではなく「再実行前に、ステータスダッシュボードを確認せよ」といった人間側に状況判断を促すステップを組み込むと、無駄なリトライを防げます。

出典:

バックオフパターンで再試行 - AWS 規範ガイダンス

Circuit Breaker パターン - Microsoft Azure

2. 欠損を前提にした終端フラグ（指針：原子的な完了証明）

当時は誤読を避けるために「終端旗」を掲げる慣習がありました。終端が見えなければ受信者は「メッセージが途切れた」と判断できます。

これは現代のログ設計における原子的な完了証明（Atomic Completion Proof）に相当します。バッチ処理の完了時に FINISH を出すだけではなく、{"status": "SUCCESS", "records_processed": 12345, "finish_timestamp": "..."} のような固定フォーマットで、かつ処理サマリーを含んだ終端ログを必ず出力します。

この終端行があれば、MD5 のような複雑なチェックサムを使わずとも、ログパースやメトリクス抽出の精度が格段に向上します。

Tips: 終端ログは処理成功時だけでなく、処理失敗時にも必ず（ただしフォーマットは分けて）出力することで、検知漏れを防ぎ、エラーが発生した正確な時刻と失敗理由を切り分けて記録できます。

出典:

Semaphore flag signaling - Wikipedia

3. 遅延を前提にした UX（指針：進捗の透明性）

灯台は霧が出ると点灯を増やし、航行者が「遅延しているけど生きている」と判断できるようにしました。

これは UX 設計におけるドハティの閾値（Doherty Threshold）の応用です。

0.1 秒以下: ユーザーは即座に応答があったと感じる。
1.0 秒以上: ユーザーは遅延を感じ、システムのコントロールを失ったと感じ始める。
10 秒以上: ユーザーは注意をタスクから外し、離脱を検討し始める。

この「10 秒の壁」を越えるロングタスクの場合、スピナー（ただ待たせている）ではなく、「いま何をしているか」をテキストで返す進捗バーやステップ表示（生きていることを示す）が、ユーザーの心理的負担を劇的に減らします。これは旗振り時代の知恵をそのまま応用したものです。

Tips: 灯台は霧信号（Fog Signal）を鳴らすことで、光が見えない状況でも「そこにいる」ことを伝えました。同様に、UI で見えない部分（バックエンド処理）でも、ログや通知を通じて「動作している」という生存信号を出し続けることが重要です。

出典:

Lighthouse (navigation) - Wikipedia (霧信号の概念)

4. キャッシュの期限を共有する文化（指針：ドキュメントの鮮度管理）

旗振り通信の運用マニュアルには「昨日の天気情報は使わない」といった時限付きルールが明記されていました。

古いドキュメントや仕様書が「参照されてはいけないキャッシュ」としてチーム内に残ることは、開発の大きな事故につながります。設計書や README に TTL (Time To Live) を書き込むだけで、古い設計が参照され続ける事故を防げます。

Tips: GitHub の README の先頭に「最終更新日: 2025-06-18」だけでなく、「有効期限（非推奨化予定）: 2026-06 末」と日付を書くのは、灯台守が天候情報を扱うのと同じレベルの鮮度管理の継承です。

出典:

Time to live - Wikipedia (TTL の概念)

5. 物理レイヤの冗長化は精神衛生（指針：緊急時の物理的フォールバック）

旗が折れたら通信不能になるので、予備の旗を必ず持っていました。

クラウド時代でも、SSH 鍵や API トークンのリカバリ手段、インシデント対応の手順書（runbook）をオフラインでもアクセス可能な状態（印刷して金庫に入れる、暗号化された USB に入れるなど）で持つ運用は有効です。

Tips: これは単なる技術的な冗長化（マルチ AZ、マルチリージョン）ではなく、人（エンジニア）の精神的な安心感のための冗長化です。「最悪でも物理的な方法でリカバリできる」という安心感が、過剰な夜間対応や燃え尽き症候群（Burnout）を減らす効果があります。

6. シーケンス図は風向きメモとセット（指針：環境メタデータの付与）

旗振り通信の運用日誌には、毎回「風向き」と「視程」を記録した欄があり、遅延の原因を後から特定できました。

モダンなシステムでも、シーケンス図やインシデント報告書に「ネットワーク遅延」「DB 負荷」「リリース直後」「特定のリージョンでのみ発生」のような環境メタデータを添えるだけで、インシデント振り返りの精度が跳ね上がります。特に分散トレーシングは、この「風向きと視程」をデジタルで記録する現代の通信日誌です。

7. オフライン時のフォールバックを儀式化（指針：最小限の生存通知）

霧で旗が見えないとき、通信士は「光を 3 回点滅させるだけ」の儀式を行い、相手に生存を知らせました。

アプリケーションでも完全な機能提供が難しい時は、大規模障害時に /status で最小限の状態と復旧予想時刻だけ返す「三回点滅」ルールを作ると、ユーザーの不安を減らせます。これはサービスの状態を伝える Health Check の最小限の形です。

Tips: 「503 Service Unavailable」を返すだけでなく、レスポンスボディに「私たちは稼働しています。現在、外部 DB 接続に問題が発生しており、復旧まで 30 分を見込んでいます。最新情報は status.example.com を参照してください。」といった人間向けのメッセージを含めることが重要です。

出典:

Health check - Wikipedia

8. 距離を時間換算するクセ（指針：物理的距離のコスト意識）

旗振りは見通し距離が長いほど遅延が増えました。彼らは「丘から隣の丘まで 3 秒」と距離を時間に換算してメモしていたそうです。

分散システムでは、リージョン間 RTT (Round Trip Time) を「東京=25ms、フランクフルト=250ms」と常に意識して設計することで、データの物理的配置のコストを明確にします。キャッシュの配置、データベースのリードレプリカ、非同期処理の利用判断を、この時間換算に基づいて合理的に決められます。

Tips: インフラ構成図の隣に、主要なコンポーネント間のレイテンシマップ（時間換算地図）を併記し、チーム内で「あの丘までは 250ms かかる」という共通認識を持つことが重要です。

9. 認知負荷を下げる符号表（指針：Convention over Configuration）

手旗信号ではアルファベットを 2 本の旗で表現するため、符号表を記憶するのが大変でした。そこで頻出単語の省略表（プロトコル）が作られました。

これは設計における認知負荷理論の応用です。人間の作業記憶（ワーキングメモリ）の容量は限られています。複雑な API パラメータ設計は、利用者のワーキングメモリを圧迫し、ミスを誘発します。

Tips: 頻出パラメータに良いデフォルト値を設定し、省略できるようにする（Convention over Configuration の原則）だけで、利用者の認知負荷が下がります。「デフォルトは旗の省略形」という意識でパラメータを設計すると、使う人のミスが減ります。

10. ヒューマンエラーを前提にした UI（指針：誤操作防止の多層防御）

旗を逆さに持つと意味が変わってしまうため、旗竿の握り部分に色を塗って誤用を防いでいました。

これは運用ツールの UI/CLI 設計における多層的な誤操作防止（Poka-Yoke / Fool-proofing）の考え方です。

物理層: 危険な操作（例: Production へのデプロイ）には、色やアイコン（視覚）を付ける。
プロトコル層: 実行前に「prod と入力して続行」のような確認ステップ（手間）を挟む。
セッション層: 実行可能な権限を絞り込む。

手旗の物理的 UI（色のマーキング）は、現代のフォームバリデーションや二段階認証と同じ、ヒューマンエラーを前提とした防御思想の現れです。

11. 受信側主語の SLA（指針：バックプレッシャーの尊重）

旗振り通信のマニュアルには「受信側が筆記を終えるまで待て」と明記されています。これは送信側ではなく受信側のキャパシティを尊重するルールです。

API や Webhook でも、送信側の都合（最速で送りたい）ではなく、受信側の都合（書き取り時間）を主語にしてリトライ間隔やバックオフ（Backpressure）を決める方が健全です。

Tips: 外部連携システムへのリクエストでは、相手が提示するレート制限（Rate Limit）ヘッダー（Retry-Afterなど）を必ず参照し、それを超えるペースでの送信を停止すべきです。SLA を決めるときに「相手はいま書き取っている最中かもしれない」と想像するのは、歴史からの大事な視点です。

12. 学びを再利用するチェックリスト

💡 灯台守の「遅延設計」チェックリスト

再送 (Retry): 重要なアラート/メッセージは再実行方法と担当者を明記し、二重化しているか。
終端 (Completion): 成功・失敗に関わらず、固定フォーマットの終端ログを必ず出しているか。
遅延通知 (Latency UX): 10 秒を超えるタスクは、進捗をテキストで返し、生きていることを示しているか。
TTL 明記 (Freshness): ドキュメントや設計書に有効期限（TTL/最終更新日）を明記し、鮮度を管理しているか。
フォールバック儀式 (Fallback): ダウン時、/status で復旧予想時刻を含む最小レスポンスを定義済みか。
受信側主語 (Receiver-centric): 外部システムへの送信は、相手のキャパシティ（レート制限）を尊重した間隔か。

このチェックリストを PR や設計レビューに貼っておくと、旗振り文化がチームに染み込みます。遅延を怖れず、遅延と仲良くするための古典的な知恵を、今のインフラ設計に取り入れてみてください。

13. エピローグ：灯台守の朝ルーティン

日誌には、夜明けの点検ルートが分単位で書かれていました。00 分に灯室の油量を確認、05 分にレンズの清掃、10 分に信号旗の畳み方を再確認――まるで SRE のデイリーヘルスチェックです。朝イチでダッシュボードを覗き、昨日のアラートを振り返る 5 分を儀式化するだけで、安心して 1 日を始められます。

14. 遅延の健康診断テンプレ

項目	旗振り時代の知恵	現代の指標	現場での記録
伝送路	どの区間で遅延が出ているかを「見通し距離」のように地図化する	サービスマップ、分散トレーシング	どのマイクロサービス間/どのリージョン間で遅延が顕著か
再送回数	自動リトライと手動リトライを分けてカウントする	リトライ回数のメトリクス、失敗率	自動リトライ後の成功率、手動介入が必須だったケース数
終端ログ	成功・失敗の両方に終端行を出しているか	終端ログの有無チェック、ログフォーマットの厳格化	`FINISH` または `ERROR_SUMMARY` があるか、パース成功率
受信者主語の SLO	「相手の書き取り時間」を前提にした待ち時間か	バックプレッシャーの実装、`Retry-After` の尊重	外部 API のレート制限に引っかかったエラーの割合
フォールバック儀式	ダウン時に返す最小レスポンスを定義済みか	`/status` エンドポイントのレスポンス定義	障害時に返した最小ステータスレスポンスの内容

インシデント後にこの 5 項目を埋めるだけで、旗振り通信士の知恵を現場に残せます。