API Gateway は、各システム(基幹・マイレージ・利用照会・パソカ)が互いを直接呼び出さず、
すべての通信を一元的に仲介するインテグレーション層です。
リクエストのルーティング・認証・流量制御・ログ収集をここに集約することで、
各システムは業務ロジックのみに集中できます。障害の波及防止や独立したデプロイ・スケールアウトも実現します。
🔐
認証・認可
各システムへのアクセスを一元管理。OAuth2 / JWT トークン検証を行い、不正リクエストをゲートウェイ層でブロック。各サービスは認証ロジックを持つ必要がない。
OAuth2
JWT
RBAC
🚦
ルーティング・負荷分散
受信リクエストを適切な下流システムへ転送。パスベース・ヘッダーベースのルーティングと、ラウンドロビン/加重分散によるロードバランシングを提供。
パスルーティング
ロードバランシング
⏱️
レートリミット・流量制御
クライアントやシステム単位でリクエスト数を制限。過負荷・DDoS攻撃から下流システムを保護し、サービス品質(QoS)を維持する。
Rate Limiting
Throttling
Circuit Breaker
📨
非同期メッセージング (MQ)
マイレージシステムへのポイント更新などは、メッセージキュー経由の非同期処理で連携。送信側が応答を待たずに処理を継続でき、障害時の再試行も自動化。
MQ
非同期
リトライ
🔄
プロトコル変換・データ変換
REST ↔ SOAP、JSON ↔ XML などのプロトコル・データ形式変換をゲートウェイ層で吸収。レガシーシステムとモダンAPIの共存を実現。
REST
SOAP
JSON/XML変換
📋
ログ・監視・トレーシング
全トラフィックのアクセスログを集中収集。分散トレーシング(Trace ID)によりシステム間の処理の流れを可視化し、障害箇所の特定を迅速化。
アクセスログ
分散トレーシング
メトリクス
各システムからのリクエストがAPIゲートウェイを経由して処理される流れです。
🖥️
送信元システム
基幹 / マイレージ
利用照会 / パソカ
→
🔐
認証・認可
OAuth2 トークン検証
RBAC チェック
→
→
→
📨
同期 / 非同期
REST API
MQ (非同期)
→
→
⚠️ 障害時の動作:
宛先システムが応答しない場合、Circuit Breaker が発動しフォールバックレスポンスを返却。MQ 経由の非同期リクエストは自動リトライキューに積まれ、復旧後に再処理されます。
| 項目 |
要件・目標値 |
対応方針 |
優先度 |
| 可用性 |
99.9% 以上(月間ダウンタイム 44分以内) |
冗長構成(Active-Active)・ヘルスチェック自動切替 |
高 |
| 応答性能 |
REST API:p95 ≤ 200ms、MQ:処理遅延 ≤ 5秒 |
キャッシュ・コネクションプール最適化 |
高 |
| スケーラビリティ |
ピーク時 10,000 req/sec 対応 |
水平スケールアウト・オートスケーリング |
高 |
| セキュリティ |
通信の暗号化・不正アクセス防止 |
TLS 1.2+ 必須・WAF 連携・IPホワイトリスト |
高 |
| 障害隔離 |
単一システム障害の波及防止 |
Circuit Breaker・タイムアウト設定・Bulkhead パターン |
高 |
| 監視・ログ |
全リクエストのトレース・アラート通知 |
分散トレーシング・ログ集中管理・Zabbix 連携 |
中 |
| 保守性 |
API バージョン管理・無停止デプロイ |
バージョニング (v1/v2)・Blue-Green デプロイ |
中 |
| データ保持 |
アクセスログ 90日間保持 |
ログローテーション・外部ストレージ転送 |
低 |