DREAD評価システム

DREAD評価システムとは

DREAD評価システムとは、ある脅威が自身にとって脅威となりうるかを判断するための評価項目です。

その脅威が自身にとって、本当に脅威になるのかを5つの質問で評価することができます。

  • 被害の可能性(damage potential) うちに被害ある?
  • 再現可能性(reproductivity) シミュレーションできる?
  • 攻撃利用の可能性(exploitability) 攻撃になりうる?
  • ユーザ影響(affected users) うちのお客様への影響は?
  • 発見の可能性(discoverability) 見つけられる?

高すぎるリスクは許容する

 

弊社のバナナ倉庫に重大な欠陥がありました。

 
 

なんだと!

 
 

この脅威にさらされると、弊社のバナナがすべてが腐ります。

 
 

なんなんだね、それは!

 
 

津波です。

 
 

・・・

 

おすすめ書籍

新版 CISSP CBK 公式ガイド

セキュリティ専門家の国際的認証基準として需要が高まっているCISSP(Certified Information Systems Security Professional)。2005年既刊の邦訳版から12年が経ち、CISSPのドメインが変更され内容・訳語が古くなったため、最新の第4版の邦訳版を日本語公式ガイドブックとして出版。技術知識はもちろん、経営・法律知識まで完全に網羅し、セキュリティの設計・運用・実装を理解するための最高のテキスト。

参考文献

ウィキペディア、DREAD (risk assessment model)、https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model)