DREAD リスク評価モデル

DREADは、Microsoftによって開発された、情報セキュリティ脅威を体系的に優先順位付けするための定性的リスク評価モデルです。その名称は、損害（Damage）、再現性（Reproducibility）、悪用可能性（Exploitability）、影響を受けるユーザー（Affected Users）、発見可能性（Discoverability）の5つの評価カテゴリの頭字語です。リスク管理体系において、DREADは通常、脅威の特定（例：STRIDEモデル使用）後、リスク分析・評価ツールとして適用されます。DREAD自体は独立したISO規格ではありませんが、その概念はセキュリティ開発ライフサイクル（SDL）の実践に広く組み込まれており、NIST SP 800-154などのガイドラインでも有効なリスク評価手法として言及されています。

企業でのDREADモデルの実務応用は、通常3つのステップで行われます。ステップ1は「脅威の特定」で、STRIDEなどの手法を用いて対象システム（例：車載ECU）の潜在的脅威をリストアップします。ステップ2は「DREAD評価」で、専門家チームが各脅威を5つの次元で評価（例：1-10スケール）します。ステップ3は「リスクの優先順位付け」で、評価スコアを合計または平均し、最もスコアの高い脅威から対策を講じます。ある自動車メーカーは、ISO/SAE 21434準拠のためにDREADを導入し、開発段階で特定された高リスクの脆弱性を量産前に70%削減することに成功しました。これにより、製品の安全性が大幅に向上しました。

台湾企業がDREADを導入する際の主な課題は3つです。第一に「評価の主観性」。対策として、明確な評価基準書を作成し、レビュー委員会で合意形成を図ることが有効です。第二に「専門人材の不足」。対策として、重要システムからスモールスタートし、外部コンサルタントを活用して社内ノウハウを蓄積します。第三に「アジャイル開発への統合の難しさ」。対策として、脅威モデリングを設計段階に組み込み（シフトレフト）、開発チーム内に「セキュリティチャンピオン」を任命し推進します。最初の行動項目として、評価基準書の策定を優先すべきです。

積穗科研は台湾企業のDREADに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact