DREAD モデル
DREAD モデル とは何ですか?
DREAD モデルDamage、Reproducibility、Exploitability、Affected users、Discoverability の 5 観点から脅威を評価する定性的なリスク評価モデル。
DREAD は、2000 年代初頭に Microsoft が STRIDE と並んで導入した、アプリケーション脅威モデリング用の定性的リスク評価モデルです。アナリストは特定した脅威について、Damage potential、Reproducibility、Exploitability、Affected users、Discoverability の 5 観点で通常 1〜10 のスコアを付け、合計や平均を取って相対的なリスクスコアを得て優先順位付けに使用します。スコアの主観性と再現性の低さから Microsoft は DREAD を正式に廃止しましたが、AppSec、脅威モデリング、ISO 27001 のリスクアセスメントなど、CVSS や完全な定量分析より軽量な評価が望まれる場面では依然として教育・活用されています。STRIDE で識別した脅威と組み合わせやすいのも特徴です。
● 例
- 01
脅威モデリングワークショップで、STRIDE で抽出した各脅威を DREAD で点数付けし、対応バックログの優先順位を決める。
- 02
プロダクトセキュリティチームが、CVE 相当のスコアがまだ適用できない初期設計レビューで DREAD を活用する。
● よくある質問
DREAD モデル とは何ですか?
Damage、Reproducibility、Exploitability、Affected users、Discoverability の 5 観点から脅威を評価する定性的なリスク評価モデル。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
DREAD モデル とはどういう意味ですか?
Damage、Reproducibility、Exploitability、Affected users、Discoverability の 5 観点から脅威を評価する定性的なリスク評価モデル。
DREAD モデル からどのように防御しますか?
DREAD モデル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DREAD モデル の別名は何ですか?
一般的な別名: DREAD リスクモデル。