異常と相関の分析

1）なぜiGamingなのか

• （KPIと収益がレポートに落ちる前に）早期に差異を検出します。
• 季節性/プロモーション/トーナメントから失敗を区別します。
• 「症状の治療」の代わりに根本原因（RCA）を見つけます。
• プライバシーと倫理（RG/AML）を尊重し、PIIを排除します。

2）異常なタイポロジー

ポイント：単一のピーク/すくい（例えば。スパイクPSPエラー）。
collective：非定型値のシーケンス（長い劣化）。
contextual：夜間は通常、日中は異常（コンテキストに応じて：hour/country/channel）。
モード/トレンドの変化（変更点）：レベル、分散、季節性が劇的に変化しました。
構造：省略/重複のスパイク、スキーマドリフト。
原因と効果：隣のノード（PSP/プロバイダ）を変更して、私たちの行を「回しました」。

3）データの準備とコンテキスト

カレンダーと季節：週末/祝日/トーナメント/プロモーション→個々のベースライン。
集計レイヤー：1-min/5-min/hour、国/ブランド/プロバイダ/デバイス。
ノーマライゼーション：1人当たり（プレーヤー/セッションあたり）、時間ごとに、FX。
時間の特徴：rolling mean/std、 EWMA、 lags、 day of the week、 「minutes to cut-off」。
品質：レイトイベント/重複をフィルタリングし、タイムゾーンエラーを排除します。

4）検出方法（ハイブリッドに簡単）

統計と時系列

堅牢なzスコア（中央値/IQR）、 EWMA、 STL分解（トレンド/季節/残留）。
CUSUM/ADWIN-平均/分散シフトに敏感。
Change-points（例えば、PELT/BOCPD）：モード変更のポイントを修正します。
預言者/ETS-予測+信頼の回廊→間隔外の排出。

多次元/密度

アイソレーションフォレスト、LOF、ワンクラスSVM-多くの兆候（PSP、地理、チャネル、デバイス）がある場合。
複雑なパターンのオートエンコーダ（再構築/エラー）。

オンラインストリーム

スライドウィンドウ、クオンタイルスケッチ、EWMA+ヒステリシス；透かしと遅延データを計算します。

バウンスを抑制する「デュアルスレッショルド」

ハイブリッド

ドメインルール（SLOを意識）+統計/ML→より高い精度と説明性。

5）検出の質： 測定する方法

マークされたインシデントのためのPrecision/Recall/F1。
ATTD（平均検出時間）とTTR（正規化までの時間）。
デュレーション・バイアス：「点滅」に対するペナルティ（異常からの頻繁な入力/出力）。
元ポストビジネスメトリクス：「何回のラウンド/預金が保存されましたか」、「何回のP1sが防止されましたか」。
安定性：抑制された誤報の割合；p95「静かな夜」。

6）相関、因果関係およびトラップ

因果関係≠相関：共通ドライバ（在庫/外部ダウン）は両方のメトリックを「駆動」できます。
部分相関（条件付き）、相互情報（MI）-リンクが非線形の場合。
グレンジャーの因果性-一方の行は他方を予測するのに役立ちます。
DAG/因果発見-影響の方向についての仮説。
シンプソンのパラドックス：層別化（country/channel/device）なしで「嘘」を集約する。
漏洩：将来の情報を含む兆候は誤った理由を与えます。

7）根本原因分析（RCA）

依存グラフ：ゲームプロバイダー→ロビー→ベット→支払い/PSP→KPI。
測定スキャン：誰が「壊れた」？（国、ブランド、プロバイダー、支払方法、固定資産）。
コントラストグループ：異常/no→相対リスク/オッズ比がある場合。
多変量異常モデルのShapley/Feature属性。
What-ifシナリオ：疑わしいセグメントを無効にする-KPIは復元されますか？

8）騒音低減と優先順位付け

ヒステリシス：確認のための「5つの窓のうち3つの壊れた」。
動的しきい値：ベースライン± k・σ、クオンタイル5/95、季節プロファイル。
グループ化：1ゲームあたり300アラートの代わりに「プロバイダーA」ごとに1つのインシデント。
SLO-awareness： alertim SLO/business閾値が影響を受ける場合のみ。
抑制：ラベルセットあたりの最大T分のNアラート。

9）コンベヤー： オンラインおよびオフライン

オンライン：Flink/Spark ストリーミング/CEP-分のウィンドウ、透かし、重複除外、idempotency。
オフライン：歴史の年のバックテスト、「合成」インシデントの注入、候補者の比較。
ModelOps：ルール/モデルバージョニング（MAJOR/MINOR/PATCH）、シャドウ/カナリア、ルールのロールバック。

10）プライバシー、倫理、コンプライアンス

フィッシュおよびアラートのゼロPII；識別子の代わりにトークン。
RG/AML：個々のチャネルとアクセス；redactionテキスト。
バイアス：敏感な測定（国/方法/デバイス）の変化を確認します-異常を差別に変えないでください。
Legal Hold/DSAR：検出/意思決定の履歴を保存する-WORMログ。

11） iGamingケース（既製テンプレート）

支払い/PSP

検出：以下の'success_rate_deposits_5m#'baseline_28d 3 σ、 3/5ウィンドウの確認→P1。
RCA： 'psp、 country、 method'のセクション。キュー/リトレースのチェック。

ゲームプロバイダ

検出：プロバイダAの'rounds_per_min' <rolling_quantileの60％（0。1） 28d→P1用。
アクション：非表示ゲームタイル、通知プロバイダ、スイッチロビー。

RG

検出：ブランドB→P2で10分で>3 ppによる'high_risk_share'。
RCA：キャンペーン/ボーナス、新しいデバイスの急増、ジオシフト。

アンチフラウド

検出：'chargeback_rate_60m> μ+3 σ'および'new_device_share'→P1。
アクション：得点/出金制限をきつく締めます。

12）アーティファクトとパターン

12.1 YAMLルール（オンライン）

yaml rule_id: psp_success_drop severity: P1 source: stream:payments. metrics_1m baseline: {type: seasonal_quantile, period: P28D, quantile: 0. 1, by: [hour, dow, country, psp]}
detect:
type: ratio_below value: 0. 6 confirm: {breaches_required: 3, within: PT5M}
labels: {psp: "$psp", country: "$country"}
actions:
- route: pagerduty:payments
- soars: [{name: switch_psp, params: {backup: "PSP_B"}}]
privacy: {pii_in_payload: false}
version: 1. 4. 0

12.2オフラインバックテストの設定

yaml dataset: payments_gold period: {from: "2025-07-01", to: "2025-10-31"}
inject_scenarios:
- type: level_shift target: success_rate where: {psp: "PSP_A", country: "EE"}
from: "2025-09-15T12:00Z"
delta: -0. 02 metrics: [precision, recall, f1, attd_sec]

12.3 RCAインシデントパスポート

インシデント： ドロップラウンド@provider A

期間： 2025-11-01 18： 10-18：35（ヨーロッパ/キエフ）

ルートノード： 'ゲーム。エンジン。provider_A' （change-point@18：12）

Аффект： 'lobby_clicks\'、' rounds_per_min\45％'、'GGR/min\28％'

反論： 支払OK、 PSP OK、 FX/stats正常

アクション： タイル、プロバイダの連絡先、ステータスバナーを非表示にする

結果： 回復@18：34；損失はXを防ぎました

13）プロセスサクセスメトリック

P1/P2インシデントのPrecision/Recall/F1（ドメイン所有者によるマークアップ）。
ATTD/MTTR分単位（中央値/p90）。
Noise： 「false night」アラームの− X％、 ≤ Yアラート/シフト。
RCA時間：原因の根本原因の中央値。
保存されたビジネス：保持された預金/ラウンドの評価。
適用範囲：観察の下の重大な経路の95％を≥して下さい。

14）プロセスとRACI

ドメインオーナー（R）-ルール/ベースライン/インシデントマーキング。
データプラットフォーム/観測性（R）-検出エンジン、ストレージ、SLO。
MLリード（R）-異常モデル、キャリブレーション、公平性。
SRE/SecOps （R）-SOAR/PagerDutyの統合、インシデント。
CDO/DPO （A）-プライバシー/倫理方針、ゼロPII。
製品/金融（C）-SLOのしきい値とビジネスの優先順位。

15）実装ロードマップ

0-30日（MVP）

1.重要なパス：支払い、game_rounds、新鮮さの摂取。
2.ベースライン時間/日と主要な寸法（国/ブランド/psp/プロバイダ）。
3.簡単な検出器：EWMA/堅牢なzスコア+ヒステリシス。
4.アラートチャンネルと3 runbook 'a （支払い/ゲーム/DQ）。
5.歴史の3-6か月のバックテスト；インシデントのマーキング。

30-90日

1.チェンジポイント、季節の数量、マルチモーダルシリーズ。
2.多次元の場合のための分離の森林/LOF；シャドウモード。
3.RCA依存関係グラフと半自動アトリビューション。
4.SLO意識のしきい値；抑制/グループ化；オートコンプリート・チケット。

3〜6ヶ月

1.チャンピオン-チャレンジャーのルール/モデル；自動チューニングしきい値。
2.署名されたWebhookとの外部統合（プロバイダ/PSP）。
3.レポート「MTTR/収益へのアラート貢献」；四半期ごとの衛生セッション。
4.論争の相関のための因果実験（A/B、グレンジャー、器械変数）。

16）アンチパターン

すべての国/時間/チャネルに共通する目のしきい値。
季節性/在庫を無視する→誤報の嵐。
バックテストやインシデントのマークアップはありません。最適化するものはありません。
層別/部分的なcorr→false原因のない相関を追いかける。
PIIによるログ/アラート、共有チャンネルのスクリーンショット。
改訂と所有者なしの「永遠の」ルール。

17）関連セクション

データフローアラート、DataOpsプラクティス、分析とメトリクスAPI、監査とバージョン管理、MLOps：モデルの搾取、アクセス制御、セキュリティと暗号化、データ保持ポリシー、バイアスの削減。

合計

異常と相関解析は「MLマジック」ではなく、エンジニアリングシステムです。正しいコンテキストと季節性、ルールとモデルのハイブリッド、厳格な品質指標、管理されたRCAです。iGamingでは、このようなシステムはMTTRを削減し、収益を保護し、プライバシー違反なしでプレーヤーや規制当局の信頼を維持します。