Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “リスク評価:DREAD を中心に” part: “Part 1” chapter: “1-2”

リスク評価の考え方

Pentest の成果物は単なる「脆弱性の一覧」ではなく、「どのリスクをどの順序で対処すべきか」を示したものでなければならない。そのためには、発見した脆弱性の重大度を一貫した基準で評価する必要がある。本章では、代表的なモデルである DREAD を軸に、リスク評価の考え方を整理する。

本章のゴール

  • 前提:脆弱性の影響が技術要因だけで決まらない(ビジネス要因も含む)ことを理解している。
  • 到達目標:DREAD の各観点と限界を説明し、技術的重大度・ビジネスインパクト・発生可能性を分けて優先度を決定する考え方を整理できる。
  • 対応演習:任意の発見事項を 1 件選び、DREAD での評価と、組織の重要度区分(存在する場合)へのマッピング方針を記録する。

DREAD モデルの概要

DREAD は、かつて Microsoft で利用されていたリスク評価モデルであり、次の 5 つの観点からスコアリングを行う。

  • D:Damage Potential(被害規模)
    脆弱性が悪用された場合、どの程度の被害が発生しうるか。
  • R:Reproducibility(再現性)
    攻撃の再現がどの程度容易か。特別な前提や環境を必要としないか。
  • E:Exploitability(攻撃容易性)
    実際に悪用するための技術的難易度や必要なツールの特殊性。
  • A:Affected Users(影響を受けるユーザ数)
    影響範囲が限定的か、サービス全体に及ぶか。
  • D:Discoverability(発見可能性)
    攻撃者が脆弱性に気付く可能性。自動スキャンで容易に発見されるか、詳細なリバースエンジニアリングを要するか。

各項目を 1〜5 点などのスコアで評価し、合計点や平均点をもとに重要度をランク付けする。評価基準は組織ごとに調整することが多い。

DREAD の活用例

Web アプリケーションの SQL インジェクションを例に、簡易的なスコアリングを行うと次のようになる。

  • Damage Potential:5(データベース全体の窃取・改ざんが可能)
  • Reproducibility:4(特定のパラメータに対して再現容易)
  • Exploitability:4(一般的なツールで容易に悪用可能)
  • Affected Users:5(全ユーザのデータが影響を受ける可能性)
  • Discoverability:3(自動スキャンで発見される可能性が高い)

合計 21 点/最大 25 点といった形で評価し、「Critical」とランク付けする、といった運用が想定される。

DREAD の限界と補完

DREAD は分かりやすい一方で、次のような課題も指摘されている。

  • 評価者によるブレが大きくなりやすい(特に Discoverability など)
  • 同じスコアでも、実際のビジネスインパクトが大きく異なる可能性がある
  • 現行の多くの組織では CVSS など別のスキームが利用されている

そのため本書では、DREAD を「リスク思考を整理するための教育的モデル」として扱い、実務では組織の標準(例:CVSS v3.1、独自の重要度区分)と組み合わせることを推奨する。具体的には、DREAD によって脆弱性ごとの特徴や直感的な危険度を整理した上で、最終的な重要度ランクや修正期限の決定は、既存の社内基準や CVSS スコアリングといった枠組みにマッピングすることを想定している。

実務でのリスク評価プロセス

実務的には、次のようなプロセスでリスク評価を行うと整理しやすい。

図1-3 は、技術的な重大度・ビジネスインパクト・発生可能性を分けて整理し、最終的な優先度と修正期限の決定に接続する流れを示す。レポートでは、どの段階の判断が根拠になっているかを明示すると、合意形成が容易になる。

図1-3: 実務でのリスク評価プロセス(概要)

flowchart TB
    S1[1. 技術的な重大度\n(DREAD / CVSS 等)]
    S2[2. ビジネスインパクト\n(情報の重要度/契約/ブランド等)]
    S3[3. 発生可能性\n(公開範囲/攻撃者/運用状況等)]
    S4[4. 優先度の決定\n(Critical/High/… と修正期限)]

    S1 --> S2 --> S3 --> S4
  1. 技術的な重大度の評価
    DREAD や CVSS に基づき、「技術的にどれだけ危険か」を定量・定性評価する。
  2. ビジネスインパクトの評価
    対象システムが扱う情報の重要度、法令・契約上の義務、ブランド影響などを踏まえ、ビジネス側の影響度を評価する。
  3. 発生可能性の評価
    公開範囲、利用ユーザ、攻撃者のモチベーションなどから、「実際に悪用される蓋然性」を検討する。
  4. 優先度の決定
    上記を踏まえて、修正優先度(例:Critical/High/Medium/Low)と修正期限の目安を決定する。

Pentest レポートでは、「技術的な重大度」と「ビジネスインパクト」を分けて記載すると、関係者間の合意形成がしやすくなる。

次に読む章

本章のポイント

  • DREAD は 5 つの観点(Damage/Reproducibility/Exploitability/Affected Users/Discoverability)で、脆弱性の重要度を整理するモデルである。
  • DREAD は評価者によるブレが出やすいため、教育的なモデルとして位置づけ、実務では CVSS 等の組織標準と組み合わせて運用する。
  • 実務の優先度決定では、技術的な重大度に加え、ビジネスインパクトと発生可能性を分けて評価することが有効である。