Category Archives: 脆弱性・パッチ情報

Threat Modeling: 脅威モデル、STRIDEとDREAD

一般的な流れは、STRIDEモデルを利用して脅威(Threat)の洗い出し・特定を行い、DREADモデルにて評価・スコア化を行うことにより、対応すべき脅威(Threat)を特定する。

 

STRIDEモデル:脅威(Threat)の洗い出し

  • Spoofing(なりすまし)
  • Tampering(改ざん)
  • Repudiation/Nonrepudiation(否認、避妊拒否)
  • Information Disclosure(情報漏洩)
  • Denial of Services(サービス拒否)
  • Elevation of Privilege(権限の昇格)

 

DREADモデル:脅威の評価・スコア化

  • Damage(損害の大きさ)
  • Reproducible(再現性)
  • Exploitable(悪用性)
  • Affected Users(影響を受けるユーザ)
  • Discoverability(検出可能性)

DREADモデルの場合は、脅威(Treat)をDREADのそれぞれのカテゴリで1(低)から3(高)で評価する。スコアの合計が12から15の場合はその脅威は高レベル、8から11は中レベル、5から7は低レベルとする。