SECURITY PRODUCT EVALUATION DEVICE, SECURITY PRODUCT EVALUATION METHOD, AND SECURITY PRODUCT EVALUATION PROGRAM

PROBLEM TO BE SOLVED: To evaluate a detection rate of a security product in checking unknown malware.SOLUTION: A security product evaluation device comprises: a connection cut-off unit 22 which cuts off the connection of the security product 20 to be evaluated to the Internet 4 over a fixed period of time and stops the update; a malware acquisition unit 24 which obtains inspection results of a certain period from a malware inspection site 6 which includes a plurality of security products, examines a sample, and provides the examination results to the outside, and acquires samples in which a positive value is less than or equal to a first threshold value L and greater than or equal to a second threshold value H (H>L) from the malware inspection site 6 at a point of time after the date and time at which the update was stopped when the number of security products detected by the malware inspection site 6 as malware is defined as a positive value at that point of time; and a sample examination unit 28 which stores the acquired sample as malware and examines the sample of the security product 20 by the stored malware.SELECTED DRAWING: Figure 1 【課題】 未知のマルウェアを検査した際のセキュリティ製品の検知率を評価する。【解決手段】 評価対象となるセキュリティ製品20のインターネット4への接続を一定期間に渡って遮断してその更新を停止する接続遮断部22と、複数のセキュリティ製品を備えて検体を実行し、その結果を外部へ提供するマルウェア検査サイト6から一定期間の検査結果を入手し、マルウェア検査サイト6がマルウェアとして検知したセキュリティ製品の数をその時点におけるポジティブ値と定義し、更新が停止された日時以降の時点において、検体検査結果から、ポジティブ値が第１の閾値L以下であり、かつ、第２の閾値H(H>L)以上である検体をマルウェア検査サイト6から取得するマルウェア取得部24と、取得された検体をマルウェアとして記憶し、記憶されたマルウェアによってセキュリティ製品20の検体を実行する検体実行部28とを備える。【選択図】図１