// シス担のミカタ
セキュリティフレームワーク・モデル

DREAD(脅威評価モデル) どれっど

リスク評価脅威モデリングSTRIDE脆弱性セキュリティ設計リスクスコアリング
DREADについて教えて

簡単に言うとこんな感じ!

DREADは「このセキュリティのリスク、どれくらいヤバいの?」を数字で点数化するための評価モデルだよ!5つの観点でそれぞれ1〜10点をつけて合計したら、リスクの大きさを比較できるってしくみなんだ。優先順位をつけて対策できるのが便利なポイント!

DREADとは

DREADとは、ソフトウェアやシステムにおけるセキュリティ上の脅威・リスクを定量的(数値で)評価するためのフレームワークです。Microsoftが2000年代初頭に開発・公開し、脅威モデリングの現場で広く活用されてきました。

DREADという名称は、評価に使う5つの指標の頭文字を並べたものです。Damage(被害の大きさ)・Reproducibility(再現性)・Exploitability(攻撃の容易さ)・Affected Users(影響するユーザー数)・Discoverability(発見されやすさ)の5項目で構成されます。各項目を1〜10点で採点し、その平均または合計値によってリスクの優先度を判断します。

「このシステムにはたくさんの脆弱性があるけど、どこから直せばいいの?」という問いに答えるためのツールです。感覚や勘ではなく、共通の物差しで複数のリスクを比べて優先順位をつけることができるため、セキュリティ担当者や開発チームが会話・議論をする共通言語としても機能します。

DREADの5つの評価軸

頭文字項目名意味評価の目安(低→高)
DDamage(被害)攻撃が成功した場合の被害の深刻さ情報漏えいなし → 機密データ全流出
RReproducibility(再現性)攻撃をどれだけ簡単に再現できるか特定条件でのみ再現 → いつでも確実に再現可能
EExploitability(攻撃容易性)攻撃を実行するためのスキル・コストの低さ高度な専門知識が必要 → ツール1つで誰でも可能
AAffected Users(影響ユーザー数)被害を受けるユーザーの範囲個人1人 → 全ユーザー・社会全体
DDiscoverability(発見容易性)攻撃者が脆弱性を見つけやすいか深くコードを読まないと見えない → 公開情報から一目瞭然

覚え方:「ドレッドな攻撃、いつでも全員バレてる」

  • (Damage)= ダメージはどれほど?
  • (Reproducibility)= 再現できる?
  • (Exploitability)= 攻撃しやすい?
  • (Affected Users)= 大勢が影響受ける?
  • (Discoverability)= 見つけられやすい?

スコアの計算方法

各項目を1〜10点で採点し、スコアを算出します。

DREADスコア = (D + R + E + A + D) ÷ 5

例:
  Damage          = 8
  Reproducibility = 7
  Exploitability  = 6
  Affected Users  = 9
  Discoverability = 5

  スコア = (8+7+6+9+5) ÷ 5 = 7.0 (高リスク)

一般的なリスクレベルの目安は次のとおりです。

スコア範囲リスクレベル対応方針の目安
8〜10🔴 高(Critical)即時対応必須
4〜7🟡 中(Medium)計画的に対応
1〜3🟢 低(Low)監視継続・低優先

歴史と背景

  • 1999〜2002年頃:Microsoftが社内のセキュリティ開発プロセス強化を推進。SDL(Security Development Lifecycle) の一環として脅威モデリング手法を体系化しはじめる
  • 2002年:Microsoftが「STRIDE」と「DREAD」を組み合わせた脅威モデリング手法を公式に提唱。STRIDEで脅威の種類を分類し、DREADでそのリスク度を定量評価するという2段階アプローチが確立される
  • 2000年代中盤:書籍『Threat Modeling』(Frank Swiderski & Window Snyder, Microsoft Press)でDREADが広く紹介され、セキュリティエンジニアの間に普及
  • 2008〜2010年頃:Microsoftが「Discoverability(発見容易性)の採点が攻撃者目線に偏りすぎており、防御側の動機を下げる」として、社内ではDの項目を除外した4項目評価に変更するケースも登場
  • 2010年代以降:OWASPなどのコミュニティではDREADをベースにしつつ独自に改良したリスク評価モデル(OWASP Risk Rating Methodology)が登場。DREADそのものは「主観性が高い」という批判も受けながらも、教育・入門用フレームワークとして現在も広く使われている

STRIDEとの関係:セットで使う脅威モデリング

DREADは単独でも使えますが、STRIDEと組み合わせることで真価を発揮します。STRIDEが「どんな種類の脅威か」を分類し、DREADが「その脅威はどれほど深刻か」を数値化する、という役割分担です。

STRIDE(脅威の分類) 「どんな脅威か?」を整理する S — Spoofing(なりすまし) 他人のIDを詐称して操作する T — Tampering(改ざん) データや設定を不正に変更する R — Repudiation(否認) 操作したことを後から否定する I — Info Disclosure(情報漏えい) 秘密情報が外部に露出する D — Denial of Service(妨害) サービスを使えなくする E — Elevation of Privilege(権限昇格) 不正に管理者権限を取得する DREAD(リスクの定量化) 「どれほど深刻か?」を数値化する D — Damage 被害の深刻さ(1〜10) R — Reproducibility 再現しやすさ(1〜10) E — Exploitability 攻撃の容易さ(1〜10) A — Affected Users 影響ユーザー数(1〜10) D — Discoverability 発見されやすさ(1〜10) → 平均スコアでリスクレベル判定

他のリスク評価フレームワークとの比較

フレームワーク開発元特徴向いている場面
DREADMicrosoft5項目を数値化して平均スコアで優先度決定。シンプルで導入が容易開発初期の脅威モデリング・教育目的
CVSS(共通脆弱性評価システム)FIRST国際標準の脆弱性スコアリング。Base/Temporal/Environmental の3層構造既知の脆弱性(CVE)の深刻度評価
OWASP Risk RatingOWASPDREADを発展させた8項目評価。可能性×影響度の2軸で判断Webアプリケーションのリスク評価
FAIRFAIR Institute金銭的損失を確率論的に算出。精度が高い分、習得コストも高い経営層への定量的なリスク報告

関連する規格・RFC

※ DREADはMicrosoftの社内手法が起源であり、IETFや ISOによる公式標準規格は存在しません。ただし、脆弱性の定量評価に関連する規格として以下が参考になります。

規格・参考文書内容
NIST SP 800-30リスクアセスメントのガイドライン(NIST)
CVSS v3.1 Specification共通脆弱性評価システムの仕様(FIRST.org)

関連用語