VULNERABILITY ASSESSMENT DEVICE

To provide concrete means which confirms whether an unauthorized input is likely to lead a program to a specific disadvantageous state or not.SOLUTION: A vulnerability assessment device 100 includes: an input unit 110 which accepts input of a source code of a program being an assessment object, information indicative of a resource desired to be protected and an attack success condition being a condition that the resource desired to be protected cannot be protected, information indicative of an attack determination position being a position where satisfaction of the condition that the resource desired to be protected cannot be protected can be determined, and input information to the program; an input position designation unit 120 which designates an input position indicative of a position where the input information to the program is to be inputted; an attack determination position designation unit 130 which designates the attack determination position being the position where satisfaction of the condition that the resource desired to be protected cannot be protected can be determined, in accordance with the information indicative of the attack determination position; and an attack path analysis unit 140 which analyzes paths from the attack determination position to the input position to specify an attack path being a path through which the attack success condition is satisfied by specific processing in the attack determination position, among the paths.SELECTED DRAWING: Figure 1 【課題】不正な入力によって、プログラムが特定の不都合な状態に到達する可能性の有無を確認する具体的な手段を提供する。【解決手段】脆弱性評価装置１００は、評価対象となるプログラムのソースコード、守りたい資産および守りたい資産が守れない条件である攻撃成立条件を示す情報、守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を示す情報およびプログラムに対する入力情報を入力する入力部１１０と、プログラムに対する入力情報を入力する位置を示す入力位置を指定する入力位置指定部１２０と、守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を、攻撃判定位置を示す情報から指定する攻撃判定位置指定部１３０と、攻撃判定位置から入力位置までの経路を解析し、経路から攻撃判定位置における特定の処理によって攻撃成立条件が満たされる経路である攻撃経路を特定する攻撃経路解析部１４０を含む。【選択図】図１