# Is the S in SRE for "Security"? Navigation: [[index]] | [[_index|sources]] | [[@2025__SREcon25Americas__Is the S in SRE for Security]] ## 概要 SRE とサイバーセキュリティの重なりを、安全科学(Safety-II)・実証的 DevOps 研究・定量的リスクモデリングの三軸で論じるトーク。[[John Benninghoff]]([[Security Differently]] 創業者)が SREcon25 Americas(2025年3月)で発表。セキュリティを「防御コスト」でなく「組織パフォーマンスの一側面」として捉え直すことで、SRE と Security の相互強化を訴える。 ## 主要メッセージ - **Safety-II の枠組み**:悪い結果の非発生を目指すより、良い結果を増やすパフォーマンス向上(分布の右シフト)が優れた戦略(p.3–9)。 - **DORA・Veracode・Sonatype の3データセット**:2019年時点で既にセキュリティパフォーマンスと DevOps パフォーマンスの相関を独立して示していた(p.10–13)。 - **セキュリティのトップ2コントロール(攻撃面管理・パッチ頻度)はSREの日常業務と同一**(p.17–18)。 - **Security Level Objectives(SLO のセキュリティ版)**:セキュリティへのリソース配分を意思決定する指標として機能する(p.26–27)。 ## 視覚的に重要な図表 **p.7 パフォーマンス向上による右シフト** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-007.png]] 制約による分布の狭窄(p.5–6)と対比して、パフォーマンス改善が曲線全体を右にシフトし、悪い結果を減らしつつ良い結果を増やすことを示す。 **p.9 三つのモデルの統合** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-009.png]] 元の分布(黒)・狭窄した分布(青)・右シフトした分布(青)を重ね、パフォーマンス向上戦略の優位性を示す。 **p.11 2019 Accelerate State of DevOps Report — DORA 4指標** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-011.png]] デプロイ頻度・変更リードタイム・サービス復旧時間・変更失敗率の4指標を Low/Medium/High/Elite の4段階で示す表。Nicole Forsgren の DORA 研究はプロダクティビティ・信頼性・可用性・セキュリティが連動することを示した。 **p.12 Veracode SOSS Volume 9 — スキャン頻度と脆弱性修正速度** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-012.png]] 横軸に初回検出からの日数(対数スケール)、縦軸に年間スキャン回数を置き、25%・50%・75% の脆弱性クローズのマイルストーンを示す。年間300回以上スキャンする組織は脆弱性をオーダーマグニチュード速く修正する。 **p.14 Three Modes of Security Performance** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-014.png]] 大きな円(General)の内側に小さな円(Security)が内包される Mode 1。後続スライドで Mode 2(部分的重複)・Mode 3(完全に外側)を示す3モデルの起点。 **p.17 Evidence-based cybersecurity policy(2024年メタレビュー)** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-017.png]] Woods & Seymour (2024) が保険請求・セキュリティインシデントへのコントロール効果を調べたメタレビュー。トップ5: 攻撃面管理、パッチ頻度、クラウドメール、特定 VPN 回避、多要素認証。 **p.18 Security performance contained in SRE** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-018.png]] トップ2コントロール(攻撃面管理・パッチ頻度)と SRE の運用活動(インベントリ・構成管理、ソフトウェア・依存関係管理)が 1対1 で対応することを示す2列の表。 **p.23 セキュリティインシデントとアウテージの損失規模比較** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-023.png]] 左: サイバーセキュリティ損失 $100–$10B(典型 $1M)、右: アウテージ損失 $100–$10M(典型 $100K)。どちらも対数正規分布。Cyentia IRIS 2022 データに基づく 10万回シミュレーション。 **p.24 Security Team vs SRE Team — Incident Response 比較** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-024.png]] Security: インシデントが数日〜数週間・Threat Hunting・フォレンジクス・情報制限。SRE: 数時間・オンコール対応・ポストインシデントレビュー・情報共有。パケット解析とメモリダンプのスキルは共通。 **p.27 Potential Security Level Objectives** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-027.png]] 具体的な SLO 候補: エンドポイント当たりの脆弱性数、公開サービス当たりの開放ポート数、MFA 未使用エンドポイント率、孤立アカウント率、ログイン失敗率、ログイン成功率。 **p.28 Practical Take-aways** ![[_attachments/2025__SREcon25Americas__Is-the-S-in-SRE-for-Security/page-028.png]] ① SRE の仕事がコアなセキュリティパフォーマンスを支える。② SRE ケイパビリティをセキュリティ支援に、セキュリティケイパビリティを SRE 支援に拡張する。③ Security と SRE は一緒に進めばより遠くへ行ける。 ## 概念・実体への接続 - [[Safety-II]] — 悪い結果の非発生より成功の研究・増加を重視する安全科学の枠組み。この講演の思想的基盤。 - [[John Benninghoff]] — 登壇者。Security Differently 創業者。25年のサイバーセキュリティと SRE キャリア。 - [[Security Differently]] — Benninghoff の組織。セキュリティを工学的実践に統合することをアドバイス。 - [[Security Level Objectives]] — この講演が提唱する SLO のセキュリティ版概念。 - [[SRE]] — SRE の中核実践(構成管理・依存関係管理・オブザーバビリティ・インシデント対応)がセキュリティコントロールと高度に重複する。 - [[サービスレベル目標]] — SLO の概念的親概念。Security Level Objectives の着想元。 ## 限界・不確実点 - SREcon25 Americas の正確な発表日は不明(2025年3月開催として推定。`confidence: high` だが日付は月精度)。 - transcript なし(動画 URL も未取得)。口頭説明は取得不可。 - p.21 の SIEM ツール Gartner Magic Quadrant の正確なツール名は画像解像度で読めない(Security Specific / General Purpose の分類のみ確認)。