WO2023152880A1

WO2023152880A1 - 脆弱性解析装置及び脆弱性解析方法

Info

Publication number: WO2023152880A1
Application number: PCT/JP2022/005391
Authority: WO
Inventors: 茂人宮内; 正治塩谷; 鐘治桜井
Original assignee: 三菱電機株式会社
Priority date: 2022-02-10
Filing date: 2022-02-10
Publication date: 2023-08-17

Abstract

脆弱性の解析を効率的に行うことが可能な技術を提供することを目的とする。脆弱性解析装置は、製品が１以上の脆弱ソフトウェアを利用しているか否かを判定する第１判定部と、脆弱ソフトウェアに含まれるソースコードのうち、製品が利用しているソースコードを、利用ソースコードとして特定する特定部と、利用ソースコードと脆弱ソースコードとを突合する突合部とを備え、利用ソースコードと脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。

Description

脆弱性解析装置及び脆弱性解析方法

　本開示は、脆弱性解析装置及び脆弱性解析方法に関する。

　近年のＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）化の進展に伴い、様々な製品がインターネットなどのネットワークに接続されてきており、その結果として、サイバー攻撃を受けるリスクが増大してきている。そのような攻撃から製品の安全性を確保するためには、当該製品で利用されているＯＳＳ（Ｏｐｅｎ　Ｓｏｕｒｃｅ　Ｓｏｆｔｗａｒｅ）などのソフトウェアに脆弱性が発見された場合に、当該脆弱性が製品に影響するかについて解析が必要となる。この解析はできる限り効率良く行われることが望ましく、かつ、製品において脆弱性への対策が必要か否かについての判断はできる限り迅速に行われることが望ましい。

　そのような背景から、例えば特許文献１に記載された技術が提案されている。この技術では、外部ネットワークから、脆弱性の影響を受けるソフトウェアを搭載した計算機に直接的に到達可能な経路が探索される。それから、当該計算機に直接的に到達可能な経路において、脆弱性の影響を受けるソフトウェアがファイアウォールまたはＩＰＳ（Ｉｎｔｒｕｓｉｏｎ　Ｐｒｅｖｅｎｔｉｏｎ　Ｓｙｓｔｅｍ）で防御されているか否かを判定される。そして、その判定結果に基づいて、脆弱性の影響を受けるソフトウェアが、外部ネットワークから直接的に攻撃可能か否かが判定される。

特開２０１２－２０８８６３号公報

　脆弱性が公開されたソフトウェアであっても、その脆弱性は、当該ソフトウェアのうちの一部のソースコードに存在することが多い。それにもかかわらず、従来技術では、脆弱性を有するソフトウェアの脆弱性が存在するソースコードを製品が利用しているか否かに関わらず、当該ソフトウェアを製品が利用している場合には、製品に脆弱性があると判定する。このため、脆弱性の解析を効率的に行うことができず、不要な対策検討及び手戻りなどが生じるという問題があった。

　そこで、本開示は、上記のような問題点に鑑みてなされたものであり、脆弱性の解析を効率的に行うことが可能な技術を提供することを目的とする。

　本開示に係る脆弱性解析装置は、製品が１以上の脆弱ソフトウェアを利用しているか否かを判定する第１判定部と、前記製品が利用していると判定された前記脆弱ソフトウェアに含まれるソースコードのうち、前記製品が利用しているソースコードを、利用ソースコードとして特定する特定部と、前記利用ソースコードと脆弱ソースコードとを突合する突合部とを備え、前記利用ソースコードと前記脆弱ソースコードとの突合結果に基づいて、前記脆弱ソフトウェアの利用に起因する前記製品の脆弱性を判定する。

　本開示によれば、脆弱ソフトウェアに含まれるソースコードのうち製品が利用している利用ソースコードと、脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。このような構成によれば、脆弱性の解析を効率的に行うことができる。

　本開示の目的、特徴、局面及び利点は、以下の詳細な説明と添付図面とによって、より明白となる。

実施の形態１に係る脆弱性解析装置の構成を示すブロック図である。実施の形態１に係る脆弱性解析装置の処理を示すフローチャートである。実施の形態１に係るソフトウェア脆弱性情報の一例を示す図である。実施の形態１に係る脆弱性解析装置の処理を模式的に示す図である。実施の形態２に係る脆弱性解析装置の構成を示すブロック図である。実施の形態２に係る脆弱性解析装置の処理を示すフローチャートである。実施の形態２に係る脆弱性解析装置の処理を模式的に示す図である。脆弱ソースコードの関数が、外部ＩＦ関数からの関数呼び出し関係を有する一例を示す図である。実施の形態３に係る脆弱性解析装置の構成を示すブロック図である。実施の形態３に係る脆弱性解析装置の処理を示すフローチャートである。その他の変形例に係る脆弱性解析装置のハードウェア構成を示すブロック図である。その他の変形例に係る脆弱性解析装置のハードウェア構成を示すブロック図である。

　＜実施の形態１＞
　図１は、本実施の形態１に係る脆弱性解析装置の構成を示すブロック図である。

　図１の脆弱性解析装置は、製品情報記憶装置及び公開情報記憶装置と通信可能に接続されている。製品情報記憶装置は、利用ソフトウェアリスト３と、製品ソースコード６と、利用ソースコード７とを有する。公開情報記憶装置は、公開ソフトウェア脆弱性情報２と、公開ソフトウェアソースコード情報５と、公開対策パッチ情報９とを有する。なお図１の例では、製品情報記憶装置は、脆弱性解析装置に備えられていないが、脆弱性解析装置に備えられてもよい。

　図１の脆弱性解析装置は、第１判定部である脆弱ソフトウェア利用判定部１と、特定部である利用ソースコード特定部４と、突合部であるソースコード突合部８とを備える。

　脆弱ソフトウェア利用判定部１は、製品が１以上の脆弱ソフトウェアを利用しているか否かを判定する。脆弱ソフトウェアは、製品の脆弱性の要因となる可能性があるソフトウェアである。以下、脆弱ソフトウェアは、脆弱性が公開されたオープンソースソフトウェアであるものとして説明するが、これに限ったものではなく、例えば脆弱性がユーザに認識された非公開のソフトウェアなどであってもよい。

　本実施の形態１では脆弱ソフトウェア利用判定部１は、公開ソフトウェア脆弱性情報２から、脆弱ソフトウェアの名称及びバージョンを取得し、利用ソフトウェアリスト３から、製品が利用するソフトウェアの名称及びバージョンを取得する。そして、脆弱ソフトウェア利用判定部１は、脆弱ソフトウェアの名称及びバージョンと、製品が利用するソフトウェアの名称及びバージョンとに基づいて、製品が脆弱ソフトウェアを利用しているか否かを判定する。

　利用ソースコード特定部４は、製品が利用していると判定された脆弱ソフトウェアに含まれるソースコードのうち、製品が利用しているソースコードを、利用ソースコードとして特定する。本実施の形態１では利用ソースコード特定部４は、公開ソフトウェアソースコード情報５から取得された脆弱ソフトウェアのソースコードと、製品ソースコード６から取得された製品のソースコードとを突合することにより、利用ソースコードを特定する。

　以上の結果、脆弱ソフトウェアに含まれるソースコードの少なくとも一部が利用ソースコードとして特定される。この段階では、利用ソースコードに脆弱性があるのか、脆弱ソフトウェアのうち利用ソースコード以外の部分に脆弱性があるのかが判定されておらず、その判定はソースコード突合部８以降で行われる。利用ソースコード特定部４で特定された利用ソースコードは、製品情報記憶装置の利用ソースコード７として格納される。

　ソースコード突合部８は、利用ソースコードと、製品の脆弱性の要因となる可能性があるソースコードである脆弱ソースコードとを突合し、利用ソースコードが脆弱ソースコードを含むか否かを判定し、その判定結果を突合結果として生成する。なお本実施の形態１では、ソースコード突合部８は、製品情報記憶装置の利用ソースコード７と脆弱ソースコードとをファイル単位で突合する。

　ここで、公開対策パッチ情報９に含まれる公開された対策パッチは、脆弱ソフトウェアの脆弱性をなくすためのソースコードとして、脆弱ソフトウェアのソースコードが部分的に修正されたソースコードを含む。つまり、対策パッチは脆弱ソースコードと対応関係にある。そこで本実施の形態１では、ソースコード突合部８は、公開対策パッチ情報９に含まれる対策パッチを、脆弱ソースコードに用いる。

　ソースコード突合部８は、利用ソースコードと脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。例えば、利用ソースコードが脆弱ソースコードのファイルを含むという突合結果が得られた場合には、ソースコード突合部８は、脆弱ソフトウェアの脆弱性の影響が製品にあると判定したり、製品の脆弱性が存在すると判定したりする。一方、利用ソースコードが脆弱ソースコードのファイルを含むという突合結果が得られなかった場合には、ソースコード突合部８は、脆弱ソフトウェアの脆弱性の影響が製品にないと判定したり、製品の脆弱性が存在しないと判定したりする。以下では、この判定は、ソースコード突合部８で行われるものとして説明するが、これに限ったものではなく、例えば、脆弱性解析装置に設けられた、ソースコード突合部８以外の図示しない判定部で行われてもよい。

　＜動作＞
　図２は、本実施の形態１に係る脆弱性解析装置の処理を示すフローチャートである。図２の処理は、脆弱性解析装置の処理が開始すると行われる。

　ステップＳ１にて、脆弱ソフトウェア利用判定部１は、公開ソフトウェア脆弱性情報２に格納されているソフトウェア脆弱性情報から、脆弱性が公開された脆弱ソフトウェアの名称及びバージョンを取得する。図３は、公開ソフトウェア脆弱性情報２に格納されているソフトウェア脆弱性情報の一例を示す図である。ソフトウェア脆弱性情報は、例えばＩＤ、脆弱性の内容を示すタイトル、更新日、脆弱性が含まれるソフトウェアの名称、そのバージョン、及び、深刻度評価値などを含む。

　例えば、脆弱ソフトウェア利用判定部１は、公開ソフトウェア脆弱性情報２に格納されている情報を定期的に確認する。そして、脆弱ソフトウェア利用判定部１は、公開ソフトウェア脆弱性情報２に格納されている情報から、更新日（つまり公開日）が最後の確認日以降である脆弱ソフトウェアについて、名称と脆弱性が含まれるバージョンとを取得する。

　ステップＳ２にて、脆弱ソフトウェア利用判定部１は、利用ソフトウェアリスト３に格納されている製品情報から、脆弱性解析装置で解析対象の製品が利用しているソフトウェア（以下、利用ソフトウェアと記すこともある）について、名称とバージョン情報とを取得する。

　ステップＳ３にて、脆弱ソフトウェア利用判定部１は、利用ソフトウェアの名称が脆弱ソフトウェアの名称と一致し、かつ、利用ソフトウェアのバージョンが脆弱ソフトウェアのバージョンに含まれているか否かを判定する。利用ソフトウェアの名称が脆弱ソフトウェアの名称と一致し、かつ、利用ソフトウェアのバージョンが脆弱ソフトウェアのバージョンに含まれている場合には、脆弱ソフトウェアが解析対象の製品で利用されていると判定されて、処理がステップＳ４に進む。そうでない場合には、脆弱ソフトウェアが解析対象の製品で利用されていないと判定されて、処理がステップＳ９に進む。

　ステップＳ４にて、利用ソースコード特定部４は、製品で利用されていると判定された脆弱ソフトウェアのソースコードを公開ソフトウェアソースコード情報５から取得し、解析対象の製品のソースコードを製品ソースコード６から取得する。そして、利用ソースコード特定部４は、脆弱ソフトウェアのソースコードと、解析対象の製品のソースコードとを突合することで、脆弱ソフトウェアに含まれるソースコードのうち、解析対象の製品が利用しているソースコードを利用ソースコードとして特定する。それから、利用ソースコード特定部４は、特定した利用ソースコードを、製品情報記憶装置の利用ソースコード７として格納する。

　ステップＳ５にて、ソースコード突合部８は、公開対策パッチ情報９から脆弱ソフトウェアの対策パッチを取得する。

　ステップＳ６にて、ソースコード突合部８は、解析対象の製品の利用ソースコードを、製品情報記憶装置の利用ソースコード７から取得する。

　ステップＳ７にて、ソースコード突合部８は、ステップＳ５で取得された対策パッチを脆弱ソースコードとして用い、当該脆弱ソースコードとステップＳ６で取得された利用ソースコードとを、ファイル単位で突合する。そして、ソースコード突合部８は、利用ソースコードが脆弱ソースコードのファイルを含むか否かを判定する。利用ソースコードが脆弱ソースコードのファイルを含むと判定された場合には、解析対象の製品は脆弱ソースコードを利用していると判定されて、処理がステップＳ８に進む。利用ソースコードが脆弱ソースコードのファイルを含むと判定されなかった場合には、解析対象の製品は脆弱ソースコードを利用していないと判定されて、処理がステップＳ９に進む。

　ステップＳ８にて、ソースコード突合部８は、脆弱ソフトウェアの脆弱性の影響が製品にあると判定したり、製品の脆弱性が存在すると判定したりする。その後、図２の処理が終了する。

　ステップＳ９にて、ソースコード突合部８は、脆弱ソフトウェアの脆弱性の影響が製品にないと判定したり、製品の脆弱性が存在しないと判定したりする。その後、図２の処理が終了する。

　図４は、脆弱性解析装置の処理を模式的に示す図である。図４の場合、脆弱ソフトウェア利用判定部１は、製品２１が脆弱ソフトウェア２２を利用していると判定する。また、利用ソースコード特定部４は、脆弱ソフトウェア２２に含まれる一部のソースコードを、利用ソースコード２３として特定する。

　ここで図４では、対策パッチ２４である脆弱ソフトウェアＡのうち、「Ｈｏｇｅ１．ｃ」及び「Ｈｏｇｅ２．ｃ」という修正されたファイル２４ａ，２４ｂが公開されている。図４の場合、製品２１の利用ソースコード２３は、脆弱ソフトウェアＡと同じ「Ｈｏｇｅ１．ｃ」及び「Ｈｏｇｅ２．ｃ」というファイル２３ａ，２３ｂの少なくともいずれかを含む。このため、ソースコード突合部８は、製品２１の利用ソースコード２３は脆弱ソースコードを含むと判定し、脆弱ソフトウェア２２の脆弱性の影響が製品２１にあると判定する。

　＜実施の形態１のまとめ＞
　以上のような本実施の形態１に係る脆弱性解析装置によれば、脆弱ソフトウェアに含まれるソースコードのうち製品が利用している利用ソースコードと、脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。このような構成によれば、製品が脆弱ソフトウェアを利用していても、利用ソースコードが脆弱ソースコードを含まない場合には、脆弱ソフトウェアの脆弱性の影響が製品にあると判定されないので、脆弱性の解析を効率的に行うことできる。

　また本実施の形態１によれば、脆弱ソフトウェアの名称及びバージョンと、製品が利用するソフトウェアの名称及びバージョンとに基づいて、製品が脆弱ソフトウェアを利用しているか否かを判定する。このような構成によれば、製品が脆弱ソフトウェアを利用しているか否かを効率よく判定することができる。なお、この判定は、効率よく行う必要がないのであれば、これに限ったものではない。例えば、脆弱ソフトウェアのソースコードと、解析対象の製品のソースコードとを突合することで、製品が脆弱ソフトウェアを利用しているか否かが判定されてもよい。

　また本実施の形態１によれば、利用ソースコードと脆弱ソースコードとをファイル単位で突合するので、脆弱ソフトウェアの利用に起因する製品の脆弱性の判定精度を高めることができる。

　また本実施の形態１によれば、対策パッチを脆弱ソースコードに用いるので、脆弱性の解析を効率的に行うことできる。

　＜実施の形態２＞
　図５は、本実施の形態２に係る脆弱性解析装置の構成を示すブロック図である。以下、本実施の形態２に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。

　図５の構成は、図１の構成に、解析部である構造解析部１０と、第２判定部である優先順位判定部１１とが追加された構成と同様である。

　本実施の形態２では、ソースコード突合部８は、製品情報記憶装置の利用ソースコード７と脆弱ソースコードとを、ファイル単位ではなく関数単位で突合する。

　構造解析部１０は、外部インターフェース（外部ＩＦ）からの静的な関数呼び出し構造を解析する。ソースコード突合部８は、利用ソースコードと脆弱ソースコードとの突合結果と、関数呼び出し構造の解析結果とに基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。以下では、この判定は、ソースコード突合部８で行われるものとして説明するが、これに限ったものではなく、例えば、脆弱性解析装置に設けられた、ソースコード突合部８以外の図示しない判定部で行われてもよい。

　ソースコード突合部８は、１以上の脆弱ソフトウェアの利用に起因する製品の脆弱性を判定する。優先順位判定部１１は、複数の脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された場合に、製品での複数の脆弱ソフトウェアの脆弱性に対する対策実施の優先順位を判定する。本実施の形態２では、優先順位判定部１１は、公開ソフトウェア脆弱性情報２に格納されているソフトウェア脆弱性情報のうち、公開された脆弱ソフトウェアの深刻度評価値（図３参照）に基づいて優先順位を判定する。

　＜動作＞
　図６は、本実施の形態２に係る脆弱性解析装置の処理を示すフローチャートである。図６の処理は、脆弱性解析装置の処理が開始すると行われる。

　図６のステップＳ１～Ｓ７では、ステップＳ７でソースコード突合部８がファイル単位ではなく関数単位で突合することを除けば、図２のステップＳ１～Ｓ７と同様の処理が行われる。

　図７は、脆弱性解析装置のステップＳ１～Ｓ７の処理を模式的に示す図である。図７の場合、脆弱ソフトウェア利用判定部１は、製品２１が脆弱ソフトウェア２２を利用していると判定する。また、利用ソースコード特定部４は、脆弱ソフトウェア２２に含まれる一部のソースコードを、利用ソースコード２３として特定する。

　ここで図７では、対策パッチ２４である脆弱ソフトウェアＢの「Ｈｏｇｅ３．ｃ」のＦｏｏ１（）及びＦｏｏ２（）という修正された関数が公開されている。なお、これら関数の戻り値の表記は省略されている。図７の場合、製品２１の利用ソースコード２３は、脆弱ソフトウェアＢと同じＦｏｏ１（）及びＦｏｏ２（）という関数の少なくともいずれか１つを含む。このため、ソースコード突合部８は、製品２１の利用ソースコード２３は脆弱ソースコードを含むと判定する。

　図６のステップＳ７にて、利用ソースコードが脆弱ソースコードのファイルを含むと判定された場合には、処理がステップＳ１１に進む。利用ソースコードが脆弱ソースコードのファイルを含むと判定されなかった場合には、処理がステップＳ９に進む。

　ステップＳ１１にて、構造解析部１０は、解析対象の製品のソースコードを製品ソースコード６から取得し、外部ＩＦからの関数呼び出し構造を解析する。そして、構造解析部１０は、脆弱ソースコードの関数が、外部に公開されている外部ＩＦ関数からの関数呼び出し関係を有するか否かを判定し、その判定結果を解析結果として生成する。図８は、脆弱ソースコードの関数が、外部ＩＦ関数からの関数呼び出し関係を有する一例を示す図である。

　脆弱ソースコードの関数が外部ＩＦ関数からの関数呼び出し関係を有すると判定された場合には、処理がステップＳ８に進み、脆弱ソースコードの関数が外部ＩＦ関数からの関数呼び出し関係を有すると判定されなかった場合には、処理がステップＳ９に進む。図６のステップＳ８，Ｓ９では、図２のステップＳ８，Ｓ９と同様の処理が行われる。ステップＳ８の後には、処理がステップＳ１６に進み、ステップＳ９の後には、図６の処理が終了する。

　ステップＳ１６にて、優先順位判定部１１は、複数の脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された場合に、公開ソフトウェア脆弱性情報２に格納されているソフトウェア脆弱性情報から、脆弱ソフトウェアの深刻度評価値を取得する。

　ステップＳ１７にて、優先順位判定部１１は、深刻度評価値に基づいて、製品での複数の脆弱ソフトウェアの脆弱性に対する対策実施の優先順位を判定する。例えば、優先順位判定部１１は、脆弱ソフトウェアの深刻度評価値が大きいほど、当該脆弱ソフトウェアの対策実施が優先的に行われるように優先順位を判定する。その後、図６の処理が終了する。

　＜実施の形態２のまとめ＞
　以上のような本実施の形態２に係る脆弱性解析装置によれば、利用ソースコードと脆弱ソースコードとを関数単位で突合するので、脆弱ソフトウェアの利用に起因する製品の脆弱性の判定精度を高めることができる。

　また本実施の形態２によれば、利用ソースコードと脆弱ソースコードとの突合結果と、関数呼び出し構造の解析結果とに基づいて、製品の脆弱性を判定するので、脆弱性の解析を効率的に行うことできる。

　また本実施の形態２によれば、複数の脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された場合に、脆弱ソフトウェアの深刻度評価値に基づいて、製品での複数の脆弱ソフトウェアの脆弱性に対する対策実施の優先順位を判定する。このような構成によれば、製品での複数の脆弱ソフトウェアの脆弱性に対する対策実施を効率よく行うことができる。

　＜実施の形態３＞
　図９は、本実施の形態３に係る脆弱性解析装置の構成を示すブロック図である。以下、本実施の形態３に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。なお、図９では図の複雑化を避けるために、実施の形態１，２で説明された構成要素の図示が適宜省略されている。

　図９の脆弱性解析装置は、確認部である対策影響確認部１２をさらに備える。脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された後、かつ、製品での脆弱ソフトウェアの脆弱性に対する対策実施後に、対策影響確認部１２は、製品に予め定められた機能が損なわれていないかを確認する。予め定められた機能とは、例えば脆弱ソフトウェアの脆弱性に対する対策実施前に存在していた製品の機能などである。

　なお本実施の形態３では、対策影響確認部１２は、脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された場合に、脆弱ソフトウェアの脆弱性に対する対策パッチを取得すること、製品での脆弱ソフトウェアに対策パッチを適用すること、及び、対策パッチが適用された製品の回帰テストを実行することを自動的に行う。なお、回帰テストとは、変更後のソフトウェアが、変更前のソフトウェアと同じ機能を有するかどうかを、機能テストと非機能テストとを実行して確認するテストである。

　＜動作＞
　図１０は、本実施の形態３に係る対策影響確認部１２の処理を示すフローチャートである。なお、図１０の処理は、脆弱性解析装置の処理が開始すると行われる。

　ステップＳ２１にて、対策影響確認部１２は、脆弱ソフトウェアの利用に起因する製品の脆弱性が存在するとソースコード突合部８で判定されたか否かを確認する。脆弱ソフトウェアの利用に起因する製品の脆弱性が存在することが確認された場合には、ステップＳ２２～Ｓ２４の処理が自動的に行われる。脆弱ソフトウェアの利用に起因する製品の脆弱性が存在することが確認されなかった場合には、図１０の処理が終了する。

　ステップＳ２２にて、対策影響確認部１２は、公開対策パッチ情報９に含まれている、脆弱ソフトウェアの脆弱性に対する対策パッチを取得する。

　ステップＳ２３にて、対策影響確認部１２は、製品ソースコード６に格納され、脆弱性が存在すると判定された製品のソースコードのうちの脆弱ソースコードに、公開対策パッチ情報９から取得した対策パッチを適用する。

　ステップＳ２４にて、対策影響確認部１２は、対策パッチの適用をトリガにして、脆弱性が存在すると判定された製品の回帰テストを実行して、脆弱性への対策を行ったことによる製品のデグレードが発生していないことを確認する。その後、図１０の処理が終了する。

　＜実施の形態３のまとめ＞
　以上のような本実施の形態３に係る脆弱性解析装置によれば、脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された後、かつ、製品での脆弱ソフトウェアの脆弱性に対する対策実施後に、製品に予め定められた機能が損なわれていないかを確認する。例えば、脆弱ソフトウェアの利用に起因する製品の脆弱性が存在すると判定された場合に、脆弱ソフトウェアの脆弱性に対する対策パッチを取得すること、製品での脆弱ソフトウェアに対策パッチを適用すること、及び、対策パッチが適用された製品の回帰テストを実行することを自動的に行う。このような構成によれば、製品での脆弱ソフトウェアの脆弱性に対する対策実施を効率よく行うことができる。

　＜その他の変形例＞
　上述した図１の脆弱ソフトウェア利用判定部１、利用ソースコード特定部４、及び、ソースコード突合部８を、以下「脆弱ソフトウェア利用判定部１等」と記す。脆弱ソフトウェア利用判定部１等は、図１１に示す処理回路８１により実現される。すなわち、処理回路８１は、製品が１以上の脆弱ソフトウェアを利用しているか否かを判定する脆弱ソフトウェア利用判定部１と、製品が利用していると判定された脆弱ソフトウェアに含まれるソースコードのうち、製品が利用しているソースコードを、利用ソースコードとして特定する利用ソースコード特定部４と、利用ソースコードと脆弱ソースコードとを突合し、利用ソースコードと脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定するソースコード突合部８と、を備える。処理回路８１には、専用のハードウェアが適用されてもよいし、メモリに格納されるプログラムを実行するプロセッサが適用されてもよい。プロセッサには、例えば、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、ＤＳＰ（Digital Signal Processor）などが該当する。

　処理回路８１が専用のハードウェアである場合、処理回路８１は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Application Specific Integrated Circuit）、ＦＰＧＡ（Field Programmable Gate Array）、またはこれらを組み合わせたものが該当する。脆弱ソフトウェア利用判定部１等の各部の機能それぞれは、処理回路を分散させた回路で実現されてもよいし、各部の機能をまとめて一つの処理回路で実現されてもよい。

　処理回路８１がプロセッサである場合、脆弱ソフトウェア利用判定部１等の機能は、ソフトウェア等との組み合わせにより実現される。なお、ソフトウェア等には、例えば、ソフトウェア、ファームウェア、または、ソフトウェア及びファームウェアが該当する。ソフトウェア等はプログラムとして記述され、メモリに格納される。図１２に示すように、処理回路８１に適用されるプロセッサ８２は、メモリ８３に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、脆弱性解析装置は、処理回路８１により実行されるときに、製品が１以上の脆弱ソフトウェアを利用しているか否かを判定するステップと、製品が利用していると判定された脆弱ソフトウェアに含まれるソースコードのうち、製品が利用しているソースコードを、利用ソースコードとして特定するステップと、利用ソースコードと脆弱ソースコードとを突合し、利用ソースコードと脆弱ソースコードとの突合結果に基づいて、脆弱ソフトウェアの利用に起因する製品の脆弱性を判定するステップと、が結果的に実行されることになるプログラムを格納するためのメモリ８３を備える。換言すれば、このプログラムは、脆弱ソフトウェア利用判定部１等の手順や方法をコンピュータに実行させるものであるともいえる。ここで、メモリ８３は、例えば、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、フラッシュメモリ、ＥＰＲＯＭ（Erasable Programmable Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）などの、不揮発性または揮発性の半導体メモリ、ＨＤＤ（Hard Disk Drive）、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、ＤＶＤ（Digital Versatile Disc）、それらのドライブ装置、または、今後使用されるあらゆる記憶媒体であってもよい。

　以上、脆弱ソフトウェア利用判定部１等の各機能が、ハードウェア及びソフトウェア等のいずれか一方で実現される構成について説明した。しかしこれに限ったものではなく、脆弱ソフトウェア利用判定部１等の一部を専用のハードウェアで実現し、別の一部をソフトウェア等で実現する構成であってもよい。例えば、脆弱ソフトウェア利用判定部１については専用のハードウェアとしての処理回路８１、インターフェースなどの取得回路（取得サーキットリー）などでその機能を実現し、それ以外についてはプロセッサ８２としての処理回路８１がメモリ８３に格納されたプログラムを読み出して実行することによってその機能を実現することが可能である。

　以上のように、処理回路８１は、ハードウェア、ソフトウェア等、またはこれらの組み合わせによって、上述の各機能を実現することができる。

　また、以上で説明した脆弱性解析装置は、パーソナルコンピュータと、携帯電話、スマートフォン及びタブレットなどの携帯端末を含む通信端末と、パーソナルコンピュータ及び通信端末の少なくとも１つにインストールされるアプリケーションの機能と、サーバとを適宜に組み合わせてシステムとして構築される脆弱性解析システムにも適用することができる。この場合、以上で説明した脆弱性解析装置の各機能あるいは各構成要素は、前記システムを構築する各機器に分散して配置されてもよいし、いずれかの機器に集中して配置されてもよい。

　なお、各実施の形態及び各変形例を自由に組み合わせたり、各実施の形態及び各変形例を適宜、変形、省略したりすることが可能である。

　上記した説明は、すべての局面において、例示であって、限定的なものではない。例示されていない無数の変形例が、想定され得るものと解される。

　１　脆弱ソフトウェア利用判定部、４　利用ソースコード特定部、８　ソースコード突合部、１０　構造解析部、１１　優先順位判定部、１２　対策影響確認部。

Claims

　製品が１以上の脆弱ソフトウェアを利用しているか否かを判定する第１判定部と、
　前記製品が利用していると判定された前記脆弱ソフトウェアに含まれるソースコードのうち、前記製品が利用しているソースコードを、利用ソースコードとして特定する特定部と、
　前記利用ソースコードと脆弱ソースコードとを突合する突合部と
を備え、
　前記利用ソースコードと前記脆弱ソースコードとの突合結果に基づいて、前記脆弱ソフトウェアの利用に起因する前記製品の脆弱性を判定する、脆弱性解析装置。
　請求項１に記載の脆弱性解析装置であって、
　前記脆弱ソフトウェアは、脆弱性が公開されたオープンソースソフトウェアである、脆弱性解析装置。
　請求項１または請求項２に記載の脆弱性解析装置であって、
　前記第１判定部は、
　前記脆弱ソフトウェアの名称及びバージョンと、前記製品が利用するソフトウェアの名称及びバージョンとに基づいて、前記製品が前記脆弱ソフトウェアを利用しているか否かを判定する、脆弱性解析装置。
　請求項１から請求項３のうちのいずれか１項に記載の脆弱性解析装置であって、
　前記突合部は、
　前記利用ソースコードと前記脆弱ソースコードとをファイル単位で突合する、脆弱性解析装置。
　請求項１から請求項３のうちのいずれか１項に記載の脆弱性解析装置であって、
　前記突合部は、
　前記利用ソースコードと前記脆弱ソースコードとを関数単位で突合する、脆弱性解析装置。
　請求項５に記載の脆弱性解析装置であって、
　外部インターフェースからの関数呼び出し構造を解析する解析部をさらに備え、
　前記利用ソースコードと前記脆弱ソースコードとの突合結果と、前記関数呼び出し構造の解析結果とに基づいて、前記製品の前記脆弱性を判定する、脆弱性解析装置。
　請求項５または請求項６に記載の脆弱性解析装置であって、
　前記１以上の脆弱ソフトウェアは、複数の脆弱ソフトウェアであり、
　前記複数の脆弱ソフトウェアの利用に起因する前記製品の前記脆弱性が存在すると判定された場合に、前記製品での前記複数の脆弱ソフトウェアの脆弱性に対する対策実施の優先順位を判定する第２判定部をさらに備える、脆弱性解析装置。
　請求項７に記載の脆弱性解析装置であって、
　前記第２判定部は、
　前記脆弱ソフトウェアの深刻度評価値に基づいて前記優先順位を判定する、脆弱性解析装置。
　請求項１から請求項６のうちのいずれか１項に記載の脆弱性解析装置であって、
　前記脆弱ソフトウェアの利用に起因する前記製品の前記脆弱性が存在すると判定された後、かつ、前記製品での前記脆弱ソフトウェアの脆弱性に対する対策実施後に、前記製品に予め定められた機能が損なわれていないかを確認する確認部をさらに備える、脆弱性解析装置。
　請求項９に記載の脆弱性解析装置であって、
　前記確認部は、
　前記脆弱ソフトウェアの利用に起因する前記製品の前記脆弱性が存在すると判定された場合に、前記脆弱ソフトウェアの前記脆弱性に対する対策パッチを取得すること、前記製品での前記脆弱ソフトウェアに前記対策パッチを適用すること、及び、前記対策パッチが適用された前記製品の回帰テストを実行することを自動的に行う、脆弱性解析装置。
　請求項１から請求項９のうちのいずれか１項に記載の脆弱性解析装置であって、
　前記突合部は、
　対策パッチを前記脆弱ソースコードに用いる、脆弱性解析装置。
　製品が１以上の脆弱ソフトウェアを利用しているか否かを判定し、
　前記製品が利用していると判定された前記脆弱ソフトウェアに含まれるソースコードのうち、前記製品が利用しているソースコードを、利用ソースコードとして特定し、
　前記利用ソースコードと脆弱ソースコードとを突合し、
　前記利用ソースコードと前記脆弱ソースコードとの突合結果に基づいて、前記脆弱ソフトウェアの利用に起因する前記製品の脆弱性を判定する、脆弱性解析方法。