2026年3月初旬、イランのドローンが中東にある3つのAWS施設を攻撃しました。UAEの2施設は直撃を受けました。バーレーンの1施設は近隣の爆発による被害を受けました。火災、構造的損傷、消火活動による水害、電力障害。すべてが一度に起きました。
AWSは顧客に対し、データのバックアップ、他のリージョンへのワークロード移行の検討、バーレーンとUAEからのトラフィック迂回を推奨しました。これは地球上最大のクラウドプロバイダーであるAWSが、率直な言葉で「ここでの稼働時間を保証できません」と伝えたのです。
これはハイパースケールクラウドプロバイダーへの初めての確認された軍事攻撃です。しかし、これが最後ではないでしょう。
クラウドには住所がある
ストリーミング業界は10年間、「クラウド」があたかも抽象的で無限に耐障害性のあるレイヤーであるかのように振る舞ってきました。しかし、そうではありません。クラウドは物理的なサーバー上で、物理的な建物の中で、物理的な電源装置で稼働しています。そして、それらの建物にはドローンのナビゲーションシステムに入力できる座標があります。
銀行アプリ、決済サービス、配達プラットフォーム、エンタープライズソフトウェア:ドローンが命中した際、湾岸地域全体でこれらすべてがダウンしました。me-central-1やme-south-1でオリジンサーバーやパッケージングパイプラインを稼働していたストリーミングサービスも例外ではありませんでした。
もしあなたのHLSオリジンが単一のAWSリージョンにあるなら、あなたのストリームの耐障害性はそのデータセンターのコンクリートの壁と同程度です。これはもはや比喩ではありません。
ストリーミングが特に脆弱な理由
ウェブサイトが30分間ダウンするのは辛いことです。ライブストリームが30秒間ダウンするのは大惨事です。視聴者は離脱し、そのイベントの残りの部分には戻ってきません。広告収入は蒸発します。契約上のペナルティが発動します。
ストリーミングには、一般的なクラウド耐障害性のアドバイスではカバーされない独自の脆弱性があります:
マニフェストの継続性。 CDNがストリーム中に障害を起こした場合、プレーヤーはABRセッションを中断することなく、別の場所から次のセグメントを取得する必要があります。マニフェストがマルチCDN配信用に設計されていない場合、フェイルオーバーはすべての視聴者にとってプレーヤーの完全な再起動を意味します。
オリジンシールドの依存性。 ほとんどのアーキテクチャは、パッケージャーとCDNエッジの間に単一のオリジンシールドを使用しています。そのシールドがオフラインになるリージョンにある場合、エッジノードはプルする先がなくなります。キャッシュはやがて期限切れになり、サービスは停止します。
DRMライセンスサーバー。 WidevineとPlayReadyのライセンス取得は、ストリーム開始時とキーローテーション間隔で行われます。ライセンスサーバーが1つのリージョンで稼働していて、そのリージョンがダウンした場合、新しい視聴者は再生を開始できません。既存の視聴者は次のキーローテーション時に切断されます。
広告挿入インフラストラクチャ。 SSAI判定サーバー、広告トラッキングビーコン、コンパニオン広告API:これらすべてに独自のインフラストラクチャ依存性があります。ストリーム自体は技術的に稼働し続けることができますが、広告パイプラインが崩壊すると、マネタイズされたストリームが無料コンテンツに変わります。
対策
良いニュース:これらはすべて解決可能です。悪いニュース:ほとんどのストリーミング事業者はこれらのいずれもテストしたことがありません。
1. 実際の依存関係チェーンを把握する
何かを修正する前に、問題を把握する必要があります。ほとんどのストリーミングエンジニアは自分のアーキテクチャの大まかなメンタルモデルを持っていますが、すべてのオリジン、すべてのCDN、すべてのDRMエンドポイント、すべての広告サーバー、すべてのDNS依存関係を実際にマッピングしたことはありません。
ストリームURLを適切なアナライザーに通してください。完全なマニフェストツリーを確認してください。各セグメントが実際にどこから配信されているか確認してください。どのCDNが主要な役割を果たしているか特定してください。冗長性が本物なのか、スライドデッキ上の項目に過ぎないのか確認してください。
今すぐiReplay.TV Stream Analyserでストリームの耐障害性をテスト →
アナライザーは、セグメントを配信しているCDN、マニフェストの背後にあるオリジンチェーン、セグメントの長さ(フェイルオーバー時間に直接影響します)、そしてストリームがリージョン障害を乗り越えられるかどうかを表示します。5分の分析で、ライブイベント中に単一障害点を発見するという事態を防げます。
2. 本物のマルチCDNを実装する(形だけのマルチCDNではなく)
2つのCDN契約を持っていることは、マルチCDN戦略ではありません。本物のマルチCDNセットアップとは:
- マニフェストに複数のCDNエンドポイントに解決できるセグメントURLが含まれていること
- プレーヤーまたはマニフェスト操作レイヤーが再生を中断することなくセッション中にCDNを切り替えられること
- ホワイトボード上だけでなく、実際の負荷下でフェイルオーバーをテスト済みであること
- すべてのトラフィックが突然生き残ったCDNにシフトした際のサンダリングハード問題にオリジンが対処できること
ほとんどのストリーミング事業者は、最初の実際の障害時に、自分たちの「マルチCDN」が実は手動DNS切り替えと30分のTTLを持つ2つのCDNに過ぎないことを発見します。それは耐障害性ではありません。それは希望的観測です。
3. オリジンとパッケージングを分散させる
ライブパッケージャーが単一のクラウドリージョンで稼働している場合、それは単一障害点です。以上。少なくとも地理的に離れた2つのリージョンで冗長パッケージングを稼働させてください。運用の複雑さに耐えられるなら、別々のクラウドプロバイダーを使用してください。
VODの場合、自動フェイルオーバー付きのクロスリージョンでオリジンストレージが複製されていることを確認してください。S3クロスリージョンレプリケーションは明白なAWSの回答ですが、2026年3月以降、より賢い質問は「バックアップオリジンはAWS上にあるべきなのか?」です。
4. DRMと広告インフラストラクチャを監査する
DRMライセンスサーバーとSSAI判定エンジンは、ほとんどのストリーミングアーキテクチャにおける隠れた単一障害点です。多くの場合、1つのリージョンで、1つのプロバイダーによってホストされており、「今まで一度もダウンしたことがない」以外のフェイルオーバー計画がありません。
ドローンがその建物に命中するまでは。
Widevine/PlayReadyプロキシがどこで稼働しているか確認してください。SSAI判定サーバーがどこにあるか確認してください。広告ビーコンがリージョン障害を乗り越えられるか確認してください。ストリームアナライザーはこれらの依存関係の一部を見つけるのに役立ちます。
5. 完全な稼働時間だけでなく、劣化モードを設計する
インフラストラクチャの耐障害性とは、ストリームを生かし続けることです。しかし、現実世界の耐障害性とは、ストリームを生かし続けられない場合の計画を持つことでもあります。最良のニュースやスポーツアプリは、CDNがダウンしても単に真っ暗にはなりません。グレースフルに劣化します。
短尺コンテンツのオフライン再生。 短いニュースクリップ、ハイライト、録画済みのニュース速報:これらは事前にデバイスにダウンロードでき、接続が劣化したりバックエンドインフラストラクチャが障害を起こした際にローカルで提供できます。HLSはAppleプラットフォームでネイティブにオフライン再生をサポートしており、ほとんどの最新プレーヤーはAndroidでも対応しています。ニュースや短尺コンテンツを配信するアプリであれば、最新のクリップバッチをデバイスにキャッシュしない理由はありません。バーレーンのデータセンターがダウンしても、ユーザーには視聴できるコンテンツがあります。重要なのは、通常運用時にオフラインキャッシュを積極的に更新して、コンテンツの鮮度を保つことです。
代替配信チャネルとしてのプッシュ通知。 ストリーミングインフラストラクチャが部分的にダウンしている場合、プッシュ通知が緊急放送システムになります。適切に設計された通知戦略は、ユーザーを稼働中のミラーにリダイレクトしたり、テキストベースのニュース要約を配信したり、障害を認め期待値を設定したりできます。プッシュインフラストラクチャ(APNs、FCM)はAppleとGoogleのシステム上で稼働しており、ストリーミングバックエンドとは完全に独立しています。CDNが障害を起こしても通知パイプラインが稼働していれば、視聴者が黙って競合に流れるのではなく、情報を提供し続けてエンゲージメントを維持できます。
音声のみのフォールバック。 4 Mbpsのフルビデオストリームは、ストレス下で維持するには大量のインフラストラクチャが必要です。64 kbpsの音声のみのストリームは、配信コストが約60分の1で、帯域幅とサーバー容量のごく一部で稼働できます。特にニュースコンテンツの場合、音声のみは完全に許容できる劣化モードです。多くの視聴者はすでに通勤中やマルチタスク中にニュースストリームを聴いています。ABRラダーに明示的な音声のみのレンディションを組み込むことは、ビデオ配信が損なわれてもサービスが稼働し続けることを意味します。また、パケットロスに対してより耐性のあるプロトコルでの配信や、最終手段としてプレーンなポッドキャストインフラストラクチャでの配信への道も開きます。
ここに問題があります:驚くほど多くのストリームが依然としてレガシーのMPEG-2 Transport Streamパッケージングで稼働しており、音声と映像が多重化されています。音声のみをリクエストする方法はありません。グレースフルに劣化する方法もありません。プレーヤーは完全な多重化セグメントをダウンロードするか、何もダウンロードしないかです。スタンドアロンの音声レンディションのないMPEG-2 TSでストリームがまだ稼働している場合、利用可能な最も安価な耐障害性レバーを見逃しています。fMP4/CMAFに移行し、マスタープレイリストに別個の音声のみのバリアントを含めることが解決策です。iReplay.TV Stream Analyserは、ストリームに音声のみのレンディションがあるか、まだTSのみの領域にいるかを数秒で教えてくれます。
これらは慰めの賞ではありません。「アプリが壊れている」と「アプリはまだ動いている、ただ今は違う形で」の違いです。ユーザーは一時的な劣化を許容します。沈黙は許容しません。
新しい現実
イラン紛争は、ストリーミング業界がまだ準備できていなかった議論を強制しました。クラウドインフラストラクチャは無敵ではありません。地理的な多様化はオプションではありません。そして「自分たちには起きないだろう」は耐障害性戦略ではありません。
IRGCは米国のテクノロジー企業を正当な軍事標的として明確に名指ししました。Google、Microsoft、Oracleはすべて同じ地域でデータセンターを運営しています。次の攻撃は別のプロバイダー、別のリージョン、または海底ケーブルの陸揚げ地点に命中する可能性があります。湾岸地域への出入りの光ファイバールートは限られており、脆弱性が減ることはありません。
ストリームが中東のインフラストラクチャに依存している場合、またはグローバルアーキテクチャに単一のクラウドプロバイダーへの隠れた依存関係がある場合、今が確認する時です。次の攻撃時ではありません。