# Safety-II Navigation: [[index]] | [[_index|concepts]] ## 定義 Erik Hollnagel が提唱した安全科学の枠組み。従来の Safety-I が「悪い結果が起きないようにする」ことに焦点を当てるのに対し、Safety-II は「物事がうまくいく頻度を高める」ことに焦点を当てる。悪い結果(事故・障害)だけでなく、成功事例を含む**結果の全分布**を研究・改善の対象とする。 Safety-I の本質的な限界として「悪い結果の非発生は研究できない(何も起きていないものを観察できない)」という問題がある(Hollnagel, 2014)。代わりに、組織が成功し続けている理由を理解することで、同じ条件下での失敗を自然に減らせるとする。 ## 確率論的モデルとの対応(Benninghoff 解釈) [[John Benninghoff]] はセキュリティへの Safety-II 適用を正規分布モデルで整理する: - **従来のアプローチ(Safety-I 的)**:ポリシー・制御・手続きで行動を制約し、分布の分散を狭める。副作用として良い結果も減らす。 - **Safety-II 的アプローチ**:組織パフォーマンスを改善し、分布全体を右シフトさせる。悪い結果を減らしつつ良い結果も増やす。 このモデルはセキュリティにおいて「防御コストとして扱う」から「パフォーマンス投資として扱う」への視点転換を支持する。 ## 横断的知見 - SRE の文脈でも近接した考え方が現れる: 「失敗から学ぶ」だけでなく「成功から学ぶ」ポストモーテム文化、ゲームデーやカオスエンジニアリングによる成功条件の探索。Safety-II が提供する語彙はSRE実践と親和性が高い。(Source: [[@2025__SREcon25Americas__Is the S in SRE for Security]]) - セキュリティとSREでパフォーマンスが連動する(DORA等)という実証的観察は、Safety-IIが言う「成功条件は汎用的な組織能力に依存する」という主張と整合する。(Source: [[@2025__SREcon25Americas__Is the S in SRE for Security]]) ## 未解決の問い - Safety-II の考え方は具体的なセキュリティ実践(脆弱性スキャン・パッチ管理)にどう落とし込まれるか? - 「成功率の向上」を測定する指標(Security Level Objectives)は Safety-II のフィードバックループとして十分に機能するか? - SRE における「エラーバジェット」消費モデル(失敗許容)と Safety-II の「成功増加」志向は本質的に矛盾するか、相補的か? ## 関連 - [[John Benninghoff]] — SRE・セキュリティへの Safety-II 適用の論者 - [[Security Level Objectives]] — Safety-II の「成功増加」を測定する指標候補 - [[インシデント管理]] — SRE のインシデント対応と Safety-II の実践の接点 - 参考: Hollnagel, E. (2014). Is safety a subject for science? *Safety Science*, *67*, 21-24. ## 出典 - [[@2025__SREcon25Americas__Is the S in SRE for Security]] — Benninghoff による Safety-II のセキュリティ・SRE 適用