こんにちは。はなくとです。
今回はリスク分析モデルの1つであるDREADモデルについて書いていきたいと思います。
DREADの英語の意味は「(ひどく)恐れる」だったので、ドレッド・ヘアは「恐れる髪」なのか!とウキウキしたのですが、「強くかかったパーマ」らしく「ふーん」って感じです。雑学です。
1.DREADとは?
DREADとはリスクに対し、5つの観点から10段階で評価する手法です。
5つの観点とは、Damage potential、Reproductivity、Exploitability、Affected users、Discoverabilityであり、それぞれの英語頭文字をとってDREADと呼びます。
この5つの観点に対する評価結果と、自組織が保有する情報資産の重要度を掛け算し、リスクの大きさを判断します。
1.1 DREADの5つの観点
5つの観点についてそれぞれの説明は下記の通りです。この観点を用いて「情報漏えい」、「内部不正」といった個々のリスクを分析し、リスクの影響度を評価します。
項番 | 項目 | 説明 |
1 | Damage potential | 想定される損害 |
2 | Reproductivity | 攻撃が成功する再現可能性 |
3 | Exploitability | 攻撃に利用される可能性 |
4 | Affected users | 影響を受けるユーザの規模 |
5 | Discoverability | 脆弱性が攻撃者に発見される可能性 |
ちなみにリスクは脆弱性のあるところに脅威が発生することで顕在化します。脅威分析の方法としてはSTRIDEが有名です。
1.2 DREADで分析した後は?
5つの観点で分析した後は、リスク分析結果に基づいてリスクへの対応を決めます。リスクへの対応とは、
1.リスクの低減
2.リスクの保有
3.リスクの回避
4.リスクの移転
です。こちらの記事にまとめてあるので興味があれば参照してください。
リスク対応を検討した結果、セキュリティ対策を行うものがあれば、ロードマップを策定し、順次セキュリティ対策を導入していくという、流れとなります。このように、リスク分析はセキュリティ対策の優先順位を決めるために利用されます。企業や組織の予算は限られているので、優先順位をつけることは重要なことです。
1.3 DREADの限界
DREADは評価者の主観が入ってしまう分析手法であることから、評価者によって分析結果が異なるという弱点があります。そこで、最近はDREADではなく、Bug barというモデルが使われるようになっているようです。Bug barについては別途紹介したいと思います。
7.まとめ
DREADとは、
・Damage potential(想定される損害)
・Reproductivity(攻撃が成功する再現可能性)
・Exploitability(攻撃に利用される可能性)
・Affected users(影響を受けるユーザ数)
・Discoverability(脆弱性が攻撃者に発見される可能性)
の英語頭文字をとったリスク分析モデルのこと。リスク分析を行うことでセキュリティ対策の優先順位をつけることができ、限られた予算の中で効果的にセキュリティ対策を導入する助けとなる。
おしまい。