# Safety-II
Navigation: [[index]] | [[_index|concepts]]
## 定義
Erik Hollnagel が提唱した安全科学の枠組み。従来の Safety-I が「悪い結果が起きないようにする」ことに焦点を当てるのに対し、Safety-II は「物事がうまくいく頻度を高める」ことに焦点を当てる。悪い結果(事故・障害)だけでなく、成功事例を含む**結果の全分布**を研究・改善の対象とする。
Safety-I の本質的な限界として「悪い結果の非発生は研究できない(何も起きていないものを観察できない)」という問題がある(Hollnagel, 2014)。代わりに、組織が成功し続けている理由を理解することで、同じ条件下での失敗を自然に減らせるとする。
## 確率論的モデルとの対応(Benninghoff 解釈)
[[John Benninghoff]] はセキュリティへの Safety-II 適用を正規分布モデルで整理する:
- **従来のアプローチ(Safety-I 的)**:ポリシー・制御・手続きで行動を制約し、分布の分散を狭める。副作用として良い結果も減らす。
- **Safety-II 的アプローチ**:組織パフォーマンスを改善し、分布全体を右シフトさせる。悪い結果を減らしつつ良い結果も増やす。
このモデルはセキュリティにおいて「防御コストとして扱う」から「パフォーマンス投資として扱う」への視点転換を支持する。
## 横断的知見
- SRE の文脈でも近接した考え方が現れる: 「失敗から学ぶ」だけでなく「成功から学ぶ」ポストモーテム文化、ゲームデーやカオスエンジニアリングによる成功条件の探索。Safety-II が提供する語彙はSRE実践と親和性が高い。(Source: [[@2025__SREcon25Americas__Is the S in SRE for Security]])
- セキュリティとSREでパフォーマンスが連動する(DORA等)という実証的観察は、Safety-IIが言う「成功条件は汎用的な組織能力に依存する」という主張と整合する。(Source: [[@2025__SREcon25Americas__Is the S in SRE for Security]])
## 未解決の問い
- Safety-II の考え方は具体的なセキュリティ実践(脆弱性スキャン・パッチ管理)にどう落とし込まれるか?
- 「成功率の向上」を測定する指標(Security Level Objectives)は Safety-II のフィードバックループとして十分に機能するか?
- SRE における「エラーバジェット」消費モデル(失敗許容)と Safety-II の「成功増加」志向は本質的に矛盾するか、相補的か?
## 関連
- [[John Benninghoff]] — SRE・セキュリティへの Safety-II 適用の論者
- [[Security Level Objectives]] — Safety-II の「成功増加」を測定する指標候補
- [[インシデント管理]] — SRE のインシデント対応と Safety-II の実践の接点
- 参考: Hollnagel, E. (2014). Is safety a subject for science? *Safety Science*, *67*, 21-24.
## 出典
- [[@2025__SREcon25Americas__Is the S in SRE for Security]] — Benninghoff による Safety-II のセキュリティ・SRE 適用