# Is the S in SRE for "Security"?
Navigation: [[index]] | [[_index|sources]] | [[@2025__SREcon25Americas__Is the S in SRE for Security]]
## 概要
SRE とサイバーセキュリティの重なりを、安全科学(Safety-II)・実証的 DevOps 研究・定量的リスクモデリングの三軸で論じるトーク。[[John Benninghoff]]([[Security Differently]] 創業者)が SREcon25 Americas(2025年3月)で発表。セキュリティを「防御コスト」でなく「組織パフォーマンスの一側面」として捉え直すことで、SRE と Security の相互強化を訴える。
## 主要メッセージ
- **Safety-II の枠組み**:悪い結果の非発生を目指すより、良い結果を増やすパフォーマンス向上(分布の右シフト)が優れた戦略(p.3–9)。
- **DORA・Veracode・Sonatype の3データセット**:2019年時点で既にセキュリティパフォーマンスと DevOps パフォーマンスの相関を独立して示していた(p.10–13)。
- **セキュリティのトップ2コントロール(攻撃面管理・パッチ頻度)はSREの日常業務と同一**(p.17–18)。
- **Security Level Objectives(SLO のセキュリティ版)**:セキュリティへのリソース配分を意思決定する指標として機能する(p.26–27)。
## 視覚的に重要な図表
**p.7 パフォーマンス向上による右シフト**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-007.png]]
制約による分布の狭窄(p.5–6)と対比して、パフォーマンス改善が曲線全体を右にシフトし、悪い結果を減らしつつ良い結果を増やすことを示す。
**p.9 三つのモデルの統合**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-009.png]]
元の分布(黒)・狭窄した分布(青)・右シフトした分布(青)を重ね、パフォーマンス向上戦略の優位性を示す。
**p.11 2019 Accelerate State of DevOps Report — DORA 4指標**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-011.png]]
デプロイ頻度・変更リードタイム・サービス復旧時間・変更失敗率の4指標を Low/Medium/High/Elite の4段階で示す表。Nicole Forsgren の DORA 研究はプロダクティビティ・信頼性・可用性・セキュリティが連動することを示した。
**p.12 Veracode SOSS Volume 9 — スキャン頻度と脆弱性修正速度**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-012.png]]
横軸に初回検出からの日数(対数スケール)、縦軸に年間スキャン回数を置き、25%・50%・75% の脆弱性クローズのマイルストーンを示す。年間300回以上スキャンする組織は脆弱性をオーダーマグニチュード速く修正する。
**p.14 Three Modes of Security Performance**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-014.png]]
大きな円(General)の内側に小さな円(Security)が内包される Mode 1。後続スライドで Mode 2(部分的重複)・Mode 3(完全に外側)を示す3モデルの起点。
**p.17 Evidence-based cybersecurity policy(2024年メタレビュー)**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-017.png]]
Woods & Seymour (2024) が保険請求・セキュリティインシデントへのコントロール効果を調べたメタレビュー。トップ5: 攻撃面管理、パッチ頻度、クラウドメール、特定 VPN 回避、多要素認証。
**p.18 Security performance contained in SRE**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-018.png]]
トップ2コントロール(攻撃面管理・パッチ頻度)と SRE の運用活動(インベントリ・構成管理、ソフトウェア・依存関係管理)が 1対1 で対応することを示す2列の表。
**p.23 セキュリティインシデントとアウテージの損失規模比較**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-023.png]]
左: サイバーセキュリティ損失 $100–$10B(典型 $1M)、右: アウテージ損失 $100–$10M(典型 $100K)。どちらも対数正規分布。Cyentia IRIS 2022 データに基づく 10万回シミュレーション。
**p.24 Security Team vs SRE Team — Incident Response 比較**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-024.png]]
Security: インシデントが数日〜数週間・Threat Hunting・フォレンジクス・情報制限。SRE: 数時間・オンコール対応・ポストインシデントレビュー・情報共有。パケット解析とメモリダンプのスキルは共通。
**p.27 Potential Security Level Objectives**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-027.png]]
具体的な SLO 候補: エンドポイント当たりの脆弱性数、公開サービス当たりの開放ポート数、MFA 未使用エンドポイント率、孤立アカウント率、ログイン失敗率、ログイン成功率。
**p.28 Practical Take-aways**
![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-028.png]]
① SRE の仕事がコアなセキュリティパフォーマンスを支える。② SRE ケイパビリティをセキュリティ支援に、セキュリティケイパビリティを SRE 支援に拡張する。③ Security と SRE は一緒に進めばより遠くへ行ける。
## 概念・実体への接続
- [[Safety-II]] — 悪い結果の非発生より成功の研究・増加を重視する安全科学の枠組み。この講演の思想的基盤。
- [[John Benninghoff]] — 登壇者。Security Differently 創業者。25年のサイバーセキュリティと SRE キャリア。
- [[Security Differently]] — Benninghoff の組織。セキュリティを工学的実践に統合することをアドバイス。
- [[Security Level Objectives]] — この講演が提唱する SLO のセキュリティ版概念。
- [[SRE]] — SRE の中核実践(構成管理・依存関係管理・オブザーバビリティ・インシデント対応)がセキュリティコントロールと高度に重複する。
- [[サービスレベル目標]] — SLO の概念的親概念。Security Level Objectives の着想元。
## 限界・不確実点
- SREcon25 Americas の正確な発表日は不明(2025年3月開催として推定。`confidence: high` だが日付は月精度)。
- transcript なし(動画 URL も未取得)。口頭説明は取得不可。
- p.21 の SIEM ツール Gartner Magic Quadrant の正確なツール名は画像解像度で読めない(Security Specific / General Purpose の分類のみ確認)。