WO2023175953A1

WO2023175953A1 - 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2023175953A1
Application number: PCT/JP2022/012784
Authority: WO
Inventors: 将川北
Original assignee: 日本電気株式会社
Priority date: 2022-03-18
Filing date: 2022-03-18
Publication date: 2023-09-21
Also published as: JPWO2023175953A1

Abstract

情報処理装置は、脆弱性説明情報から第一のプロトコルとポート番号とを抽出する抽出部と、（ａ）観測装置が第一のプロトコルとポート番号を用いて通信をして得られたログから、第二のプロトコルと送信先ポート番号とを抽出し、（ｂ）第二のプロトコルと送信先ポート番号を用いて、あらかじめ設定された判定期間に、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信件数を求め、度数分布情報を生成し、（ｃ）度数分布情報に対して平滑化処理を実行して曲線情報を算出し、（ｄ）曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）処理結と閾値とを用いて実攻撃の有無を判定する第一の判定部と、脆弱性情報に含まれる悪用事例有無情報と実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価部とを有する。

Description

情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

　技術分野は、サイバセキュリティにおけるリスクアセスメントに用いられる、情報処理装置、情報処理方法に関し、更には、これらを実現するためのプログラムを記録しているコンピュータ読み取り可能な記録媒体に関する。

　国家、重要インフラ、企業、団体などを狙った不正アクセスによるサイバー攻撃が社会問題となっている。日本では２０２０年６月の改正個人情報保護法により、サイバー攻撃による個人情報漏洩について件数を問わず、被害者及び個人情報保護委員会への報告が義務化された。

　すなわち、被害組織は、顧客情報の漏洩、システム障害が発生したことを公表しなければならない。ところが、これらが発生したことをマスメディアに報道された場合、例えば、企業においては、株価の低下、影響範囲の調査など、事後対応に多大な費用がかかる。

　そこで、このようなビジネスリスクを事前に把握するため、情報システムに内在する脆弱性を洗い出すセキュリティリスクアセスメントが実施されている。

　関連する技術として特許文献１には不正アクセス統合対応システムが開示されている。特許文献１の不正アクセス統合対応システムによれば、まず、広域コンピュータネットワークに接続されたサイトごとに、サイト内における複数種類の不正アクセスに関するセンサ及び構成機器の各種ログ情報を汎用化したログ形式で集約する。次に、不正アクセス統合対応システムは、集約したログから複数種類のセンサ及び構成機器間のログを関連付けて不正アクセスを統合検知する。

　関連する技術として特許文献２にはセキュリティ管理装置が開示されている。特許文献２のセキュリティ管理装置によれば、異常検出方式に基づく侵入検知において、なんらかの不正アクセスに関する異常を検出した場合に、どのような不正アクセスを検出したものであるのかを特定する。

　関連する技術として特許文献３には実運用環境を考慮した脆弱性の深刻度に応じて、効率的に装置の制御を行う情報処理装置が開示されている。特許文献３の情報処理装置によれば、実運用環境情報と脆弱性情報とに基づいて深刻度を算出し、深刻度に応じて情報処理装置を制御する。

　関連する技術として特許文献４には、複数のコンピュータを含む業務処理システムに対する攻撃を検出し、検出した攻撃による影響を分析する業務処理システム監視装置が開示されている。特許文献４の業務処理システム監視装置によれば、各コンピュータで実行される情報処理活動の重要度と、各コンピュータのシステム構成と、各コンピュータに対する攻撃の検知結果とに基づいて、各コンピュータのうちいずれか一つ以上のコンピュータに対する攻撃の影響を分析する。

特開２００５－２０２６６４号公報特開２００８－１６７０９９号公報特開２０１４－１７４６７８号公報特開２０１７－２１１９７８号公報

　しかしながら、特許文献１から４によれば、セキュリティリスクアセスメントによって洗い出された脆弱性に対処するには、システムの改修が必要になる。また、解消すべき脆弱性の個数が増えるにしたがい、コーディング、テストにかかる工数が増大する。したがって、脆弱性の対処を効果的に実施するためには、脆弱性の深刻度を的確に見極める必要がある。

　脆弱性の深刻度を測る評価手法として、攻撃可能性などを用いて判定するＣＶＳＳ（Common Vulnerability Scoring System）を用いる方法が知られている。しかし、深刻度が高いと判断された脆弱性のうち、実攻撃に用いられるのは一部であるので、脆弱性の対処に対して費用対効果を十分に得られない。

　例えば、実攻撃の有無は、観測データによって判断できる。また、リモート攻撃可能な脆弱性は、固有の通信ポートへ一定の攻撃試行があれば実攻撃があったと判断できる。

　ところが、複数の実攻撃を観測するためには大量の観測装置が必要である。しかし、観測装置の数量を容易に増やすのは困難である。そこで、例えば、複数の通信ポートを一台の観測装置を用いて開くことが考えられる。しかし、攻撃者は、複数の通信ポートが開かれている装置は観測装置である可能性が高いと警戒するので、攻撃試行を中断する可能性がある。

　一つの目的として、実攻撃の有無を包括的に認識して脆弱性の深刻度を的確に評価する、情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体を提供する。

　上記目的を達成するため、一つの側面における情報処理装置は、
　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出部と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定部と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価部と、
　を有することを特徴とする。

　また、上記目的を達成するため、一側面における情報処理方法は、
　情報処理装置が、
　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出処理と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定処理と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価処理と、
　を実行することを特徴とする。

　さらに、上記目的を達成するため、一側面におけるプログラムを記録したコンピュータ読み取り可能な記録媒体は、
　コンピュータに、
　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出処理と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定処理と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価処理と、
　を実行させる命令を含むプログラムを記録していることを特徴とする。

　一つの側面として、実攻撃の有無を包括的に認識して脆弱性の深刻度を的確に評価できる。

図１は、情報処理装置の一例を説明するための図である。図２は、通信件数の度数分布と平滑化の一例を説明するための図である。図３は、深刻度決定情報のデータ構造を説明するための図である。図４は、実施形態１の情報処理装置を有するシステムの一例を説明するための図である。図５は、情報処理装置の動作の一例を説明するための図である。図６は、判定期間におけるモデル曲線と曲線との差分の一例を説明するための図である。図７は、変形例２の深刻度決定情報のデータ構造を説明するための図である。図８は、実施形態１、変形例１から３における情報処理装置を実現するコンピュータの一例を示す図である。

　以下、図面を参照して実施形態について説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。

（実施形態１）
　図１を用いて、実施形態１における情報処理装置１０の構成について説明する。図１は、情報処理装置の一例を説明するための図である。

［装置構成］
　図１に示す情報処理装置１０は、実攻撃の有無を包括的に認識し、脆弱性の深刻度を的確に評価する装置である。また、図１に示すように、情報処理装置１０は、抽出部１１と、第一の判定部１２と、深刻度評価部１３とを有する。

　抽出部１１は、記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する。

　記憶装置は、情報処理装置１０の外部に設けられたデータベースなどである。記憶装置は、一つ以上の脆弱性情報を記憶している。

　脆弱性情報は、例えば、公開済みの脆弱性に関する情報（脆弱性情報データベースなどから収集した脆弱性に関する情報）、ゼロディ（脆弱性が公開される前、又は、修正用プログラムがリリースされる前）な脆弱性に関する情報などを用いて、あらかじめ生成された情報である。

　脆弱性情報データベースとは、脆弱性に関する情報をデータベース化して一般に公開されているプラットフォームで、例えば、ＣＶＥ（Common Vulnerabilities and Exposures）、ＮＶＤ（National Vulnerability Database）、ＪＶＮ（Japan Vulnerability Notes）、ＪＶＮ iPedia、ＯＳＶＤＢ（Open Source Vulnerability Database）などのデータベースである。

　脆弱性情報は、少なくとも脆弱性識別情報、脆弱性公開日時情報、悪用事例有無情報、リモート攻撃可否情報、脆弱性説明情報、エクスプロイトコード情報、エクスプロイトコード公開日時情報などを有する。

　脆弱性識別情報は、脆弱性情報それぞれを識別する情報である。例えば、ＣＶＥ（脆弱性情報データベース）から取得した情報に基づいて生成された脆弱性情報である場合、脆弱性識別情報は、ＣＶＥ－ＩＤを用いることが考えられる。脆弱性公開日時情報は、脆弱性情報が公開された年月日時を表す情報である。

　悪用事例有無情報は、対象の脆弱性が悪用された事例が有るか無いかを表す情報である。対象の脆弱性が悪用された事例が有る場合、例えば、悪用事例有無情報Ｋに「１」を設定する。対象の脆弱性が悪用された事例が無い場合、例えば、悪用事例有無情報Ｋに「０」を設定する。

　リモート攻撃可否情報は、対象の脆弱性を利用してリモートで攻撃が実行される可能性があるか否かを表す情報である。リモート攻撃が可能な場合、例えば、リモート攻撃可否情報Ｒに「１」を設定する。リモート攻撃が可能でない場合、例えば、リモート攻撃可否情報Ｒに「０」を設定する。

　脆弱性説明情報は、対象の脆弱性に関する説明を表す情報である。例えば、ＣＶＥ（脆弱性情報データベース）から取得した情報に基づいて生成された脆弱性情報である場合、脆弱性説明情報は、ＣＶＥが公開されているサイトのDescriptionなどに記載されているテキスト情報である。

　エクスプロイトコード情報は、エクスプロイトコードの公開先を表す情報である。エクスプロイトコードの公開先を表す情報は、例えば、エクスプロイトコードが公開されているサイトのＵＲＬ（Uniform Resource Locator）などである。エクスプロイトコード公開日時情報は、エクスプロイトコードが公開された年月日時を表す情報である。

　第一のプロトコル情報とポート番号情報は、例えば、脆弱性説明情報に含まれる第一のプロトコルとポート番号を、正規表現を利用した一般的なテキスト抽出処理により抽出する。

　なお、脆弱性説明情報から第一のプロトコルとポート番号が得られない場合、例えば、対象の脆弱性に対応するエクスプロイトコードの公開先のテキスト情報から、第一のプロトコルとポート番号を抽出してもよい。

　第一の判定部１２は、まず、ネットワークに接続された観測装置が、第一のプロトコルとポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出する。

　ログは、第一のプロトコルとポート番号に対応するソケットを用いて行われた通信の履歴を表す情報である。ログには、少なくとも、通信が行われた年月日時、送信元ＩＰアドレス、第二のプロトコル、送信先ポート番号が記録される。

　第二のプロトコル情報と送信先ポート番号情報は、例えば、正規表現を利用した一般的なテキスト抽出処理を用いて、ログから抽出される。

　次に、第一の判定部１２は、抽出した第二のプロトコルと送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数（通信件数）を求めて、度数分布情報を生成する。

　判定期間は、あらかじめ設定された開始時点ｔ１（年月日時）と、あらかじめ設定された期間Ｔ又は終了時点ｔ２（年月日時））とを用いて表される期間である。開始時点ｔ１は、例えば、脆弱性情報に対するエクスプロイトコードが公開された時点以降の時点（年月日時）である。開始時点ｔ１は、例えば、利用者により設定される。期間Ｔ又は終了時点ｔ２は、例えば、実験、シミュレーションの結果、又は、利用者により設定される。なお、判定期間は、例えば、３０日などに設定することが考えられる。

　度数分布情報は、判定期間に、時系列に並べられた複数のサンプリング期間Ｔｓ（区間）ごとに行われた通信の件数（通信件数）を表す情報である。サンプリング期間Ｔｓは、例えば、実験、シミュレーションなどの結果に基づいて決定する。なお、サンプリング期間Ｔｓは、一日などに設定することが考えられる。

　図２は、通信件数の度数分布と平滑化の一例を説明するための図である。図２には、サンプリング期間Ｔｓごとの通信件数（黒丸）を用いた度数分布グラフが示されている。

　次に、第一の判定部１２は、生成した度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出する。平滑化処理は、例えば、スプライン補間などの処理である。図２の曲線２１は、例えば、サンプリング期間Ｔｓごとに多項式を使用して補間した曲線である。

　次に、第一の判定部１２は、生成した曲線情報に対して定積分処理を実行して処理結果Ｄを算出する。定積分処理は、判定期間の曲線に対して定積分を実行する処理である。図２の領域２２（斜線範囲）は、定積分処理の処理結果Ｄを表している。

　次に、第一の判定部１２は、算出した処理結果Ｄとあらかじめ設定した閾値Ｔｈとを用いて実攻撃の有無を判定する。閾値Ｔｈは、実攻撃の有無を判定するための情報である。閾値Ｔｈは、例えば実験、シミュレーションなどの結果に基づいて決定した値である。

　処理結果Ｄが閾値Ｔｈ以上である場合、実攻撃が有ると判定し、実攻撃の判定結果Ａに「１」を設定する。定積分処理の結果Ｄが閾値Ｔｈ未満である場合、実攻撃が無いと判定し、実攻撃の判定結果Ａに「０」を設定する。

　深刻度評価部１３は、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとに基づいて深刻度Ｓを算出する。

　具体的には、まず、深刻度評価部１３は、悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとを取得する。次に、深刻度評価部１３は、悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとを用いて、深刻度Ｓを決定するための深刻度決定情報を参照し、深刻度Ｓを求める。

　深刻度決定情報は、悪用事例の有無と実攻撃の有無とに基づいて深刻度Ｓを決定する情報である。図３は、深刻度決定情報のデータ構造を説明するための図である。

　図３の深刻度決定情報３１を用いた場合、悪用事例有無情報が悪用事例無し（Ｋ＝０）で、実攻撃の判定結果が実攻撃無し（Ａ＝０）である場合、悪用事例も実攻撃もないので深刻度は「０」（Ｓ＝０）とする。また、悪用事例有無情報が悪用事例無し（Ｋ＝０）で、実攻撃の判定結果が実攻撃有り（Ａ＝１）である場合、悪用事例は無いものの実攻撃が有るので深刻度は「１」（Ｓ＝１）とする。

　また、悪用事例有無情報が悪用事例有り（Ｋ＝１）で、実攻撃の判定結果が実攻撃無し（Ａ＝０）である場合、悪用事例が既に公開されているので深刻度は「２」（Ｓ＝２）とする。また、悪用事例有無情報が悪用事例有り（Ｋ＝１）で、実攻撃の判定結果が実攻撃有り（Ａ＝１）である場合、悪用事例が既に公開され、実攻撃も観測されたので深刻度は「３」（Ｓ＝３）とする。

　深刻度は、対象の脆弱性がどの程度深刻であるかを表す指標である。図３の例では、深刻度は、セキュリティ上のリスクを段階的に示す指標である。深刻度（Ｓ）を四段階の指標で表す場合、例えば、深刻度が高い順に「３」「２」「１」「０」の指標を設定する。ただし、深刻度（Ｓ）は四段階に限定されるものではない。

　指標それぞれは、例えば、「３」が「緊急」であることを表し、「２」が「重要」であることを表し、「１」が「警告」であることを表し、「０」が「注意」であることを表している。

　緊急は、例えば、不正プログラムが利用者の操作なしで実行される可能性のある脆弱性であることを示す。重要は、例えば、利用者のデータの機密性、完全性、可用性が侵害される可能性がある脆弱性であることを示す。警告は、脆弱性の悪用が困難であることなどの理由により危険性が緩和される脆弱性であることを示す。注意は、例えば、悪用が非常に困難で影響がわずかな脆弱性であることを示す。

　次に、深刻度評価部１３は、対象の脆弱性に関する、脆弱性識別情報と、悪用事例有無情報Ｋと、実攻撃の判定結果Ａと、深刻度Ｓと、深刻度Ｓを評価した年月日時を表す情報とを関連付けて、記憶装置に記憶する。

［システム構成］
　図４を用いて、実施形態１における情報処理装置１０の構成をより具体的に説明する。図４は、実施形態１の情報処理装置を有するシステムの一例を説明するための図である。

　図４に示すように、実施形態１におけるシステム１００は、情報処理装置１０と、記憶装置２０と、観測装置３０と、出力装置４０とを有する。観測装置３０は、ネットワーク５０に接続されている。

　情報処理装置１０は、例えば、ＣＰＵ（Central Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）などのプログラマブルなデバイス、又はＧＰＵ（Graphics Processing Unit）、又はそれらのうちのいずれか一つ以上を搭載した回路、サーバコンピュータ、パーソナルコンピュータ、モバイル端末などである。

　情報処理装置１０は、サイバセキュリティにおけるリスクアセスメントに用いられる、情報を分析する装置（情報分析装置）である。

　記憶装置２０は、データベース、サーバコンピュータ、メモリを有する回路などである。記憶装置２０は、例えば、脆弱性情報データベースなどを用いてもよい。図４の例では、記憶装置２０は情報処理装置１０の外部に設けているが、情報処理装置１０の内部に設けてもよい。

　観測装置３０は、通信機能を有するソフトウェアが実装されたコンピュータなどである。観測装置３０は、例えば、第一のプロトコルとポート番号を用いて通信をし、少なくとも、通信が行われた年月日時、送信元ＩＰアドレス、第二のプロトコル、送信先ポート番号を、ログとして記憶する装置である。なお、観測装置３０は一つ以上設けてもよい。

　出力装置４０は、出力情報生成部１６により、出力可能な形式に変換された出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する。出力装置４０は、例えば、液晶、有機ＥＬ（Electro Luminescence）、ＣＲＴ（Cathode Ray Tube）を用いた画像表示装置などである。さらに、画像表示装置は、スピーカなどの音声出力装置などを備えていてもよい。なお、出力装置４０は、プリンタなどの印刷装置でもよい。

　ネットワーク５０は、例えば、インターネット、ＬＡＮ（Local Area Network）、専用回線、電話回線、企業内ネットワーク、移動体通信網、ブルートゥース（登録商標）、ＷｉＦｉ（Wireless Fidelity）などの通信回線を用いて構築された一般的なネットワークである。

　情報処理装置について詳細に説明する。
　図４の例では、情報処理装置１０は、少なくとも脆弱性情報取得部１４と、抽出部１１と、ログ取得部１５と、第一の判定部１２と、深刻度評価部１３と、出力情報生成部１６とを有する。なお、抽出部１１、第一の判定部１２、深刻度評価部１３の説明は、既にしたので、それらの説明は省略する。

　脆弱性情報取得部１４は、まず、記憶装置２０から対象の脆弱性情報を取得する。次に、脆弱性情報取得部１４は、取得した脆弱性情報を抽出部１１に出力する。

　ログ取得部１５は、第一のプロトコルとポート番号に基づいて通信をした観測装置３０からログを取得する。次に、ログ取得部１５は、取得したログを第一の判定部１２に出力する。

　出力情報生成部１６は、少なくとも、対象の脆弱性に関する情報と、対象の脆弱性の深刻度Ｓとを利用者に提示するための出力情報を生成する。次に、出力情報生成部１６は、出力情報を出力装置４０に出力する。なお、出力情報生成部１６は、図２に示したような度数分布グラフ、曲線などのグラフを出力装置４０に出力するための出力情報を生成してもよい。

［装置動作］
　実施形態１における情報処理装置の動作について図５を用いて説明する。図５は、情報処理装置の動作の一例を説明するための図である。以下の説明においては、適宜図を参照する。また、実施形態１では、情報処理装置を動作させることによって、情報処理方法が実施される。よって、実施形態１における情報処理方法の説明は、以下の情報処理装置の動作説明に代える。

　脆弱性情報取得部１４は、まず、記憶装置２０から対象の脆弱性情報を取得する（ステップＡ１）。次に、ステップＡ１において、対象の脆弱性情報のリモート攻撃可否情報Ｒと、悪用事例有無情報Ｋとを参照して、リモート攻撃可否情報が可能でない場合（Ｒ＝０）、又は、リモート攻撃可否情報が可能である場合（Ｒ＝１）で、かつ悪用事例有無情報が有る場合（Ｋ＝１）、ステップＡ２以降の処理を実行せずに処理を終了する。

　理由は、リモートから攻撃できない脆弱性はネットワークレイヤでの観測ができないため、対象外とするからである。また、リモートから攻撃できる場合でも、悪用事例有無情報がある場合は、あえて自ら調べる必要が無いため、これも対象外とするからである。

　ステップＡ１において、リモート攻撃可否情報が可能である場合（Ｒ＝１）で、かつ悪用事例有無情報が無い場合（Ｋ＝０）、ステップＡ２以降の処理を実行する。その後、脆弱性情報取得部１４は、取得した脆弱性情報を抽出部１１に出力する。

　次に、抽出部１１は、取得した対象の脆弱性情報に含まれる脆弱性説明情報に対してテキスト抽出処理を実行して、第一のプロトコル情報とポート番号情報とを抽出する（ステップＡ２）。

　次に、ログ取得部１５は、第一のプロトコルとポート番号に基づいて通信をした観測装置３０からログを取得する（ステップＡ３）。次に、ステップＡ３において、ログ取得部１５は、取得したログを第一の判定部１２に出力する。

　次に、第一の判定部１２は、ログ取得部１５からログを取得する。次に、第一の判定部１２は、取得したログに対してテキスト抽出処理を実行して、第二のプロトコル情報と、送信先ポート番号情報を抽出する（ステップＡ４）。

　次に、第一の判定部１２は、抽出した第二のプロトコルと送信先ポート番号とを用いて、判定期間における、時系列に並べられた複数のサンプリング期間それぞれで行われた通信の件数（通信件数）を求めて、度数分布情報を生成する（ステップＡ５）。

　次に、第一の判定部１２は、生成した度数分布情報に対して平滑化処理を実行して曲線情報を算出する（ステップＡ６）。次に、第一の判定部１２は、生成した曲線情報に対して定積分処理を実行して処理結果Ｄを算出する（ステップＡ７）。

　次に、第一の判定部１２は、処理結果Ｄとあらかじめ設定した閾値Ｔｈとを用いて実攻撃の有無を判定する（ステップＡ８）。その後、ステップＡ８において、第一の判定部１２は、実攻撃の有無の判定結果Ａを深刻度評価部１３に出力する。

　深刻度評価部１３は、悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとを取得する。次に、深刻度評価部１３は、悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとを用いて、深刻度Ｓを決定するための深刻度決定情報３１を参照し、深刻度Ｓを求める（ステップＡ９）。

　次に、深刻度評価部１３は、脆弱性識別情報と、悪用事例有無情報Ｋと、実攻撃の判定結果Ａと、深刻度Ｓと、深刻度Ｓを評価した年月日時を表す情報とを関連付けて、記憶装置２０などに記憶する（ステップＡ１０）。

　次に、出力情報生成部１６は、少なくとも、対象の脆弱性に関する情報と、対象の脆弱性の深刻度Ｓとを利用者に提示するための出力情報を生成する（ステップＡ１１）。次に、ステップＡ１１において、出力情報生成部１６は、出力情報を出力装置４０に出力する。

　上述したステップＡ１からＡ１１の処理を、記憶装置２０に記憶されている一つ以上の脆弱性情報それぞれに対して実行する。また、ステップＡ１からＡ１１の処理を、あらかじめ設定された一定間隔、又は、不定期に反復して実行する。

［実施形態１の効果］
　以上のように実施形態１によれば、観測装置３０の数を増やさずに、実攻撃の有無を包括的に認識して、脆弱性の深刻度を的確に評価できる。

　また、脆弱性の深刻度を的確に評価できるので、セキュリティリスクアセスメントによって洗い出された脆弱性への対処において、システムの改修、解消すべき脆弱性の個数が増えても、コーディング、テストにかかる工数を抑制できる。

　また、ＣＶＳＳなどを用いた深刻度の判断より、実攻撃に用いられる脆弱性の深刻度を的確に評価できるので、脆弱性の対処に対して費用対効果が十分に得られる。

［プログラム］
　実施形態１におけるプログラムは、コンピュータに、図５に示すステップＡ１からＡ１１を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、実施形態１における情報処理装置と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、脆弱性情報取得部１４、抽出部１１、ログ取得部１５、第一の判定部１２、深刻度評価部１３、出力情報生成部１６として機能し、処理を行なう。

　また、実施形態１におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、脆弱性情報取得部１４、抽出部１１、ログ取得部１５、第一の判定部１２、深刻度評価部１３、出力情報生成部１６のいずれかとして機能してもよい。

（変形例１）
　実施形態１の第一の判定部１２では、算出した定積分処理の処理結果Ｄと、あらかじめ設定した閾値Ｔｈとを用いて実攻撃の有無を判定した。

　変形例１の第一の判定部１２（第二の判定部）では、あらかじめ作成したモデル曲線を表すモデル曲線情報と、算出した曲線情報とを用いて、判定期間Ｔにおける差分を求めて処理結果Ｄとする。

　図６は、判定期間におけるモデル曲線と曲線との差分の一例を説明するための図である。具体的は、図６に示すように、モデル曲線６０と曲線２１とを用いて、判定期間Ｔにおける差分（図６の領域６１（斜線範囲）の面積と領域６２（斜線範囲）の面積との和）を求めて処理結果Ｄ１として用いる。

　モデル曲線６０は、実験、シミュレーションなどの結果を用いて決定する。又は、モデル曲線６０は、機械学習などを用いて生成してもよい。

　具体的には、まず、変形例１の第一の判定部１２（第二の判定部）は、判定期間の時点ｔ１から時点ｔ３（交差点）における、モデル曲線６０の定積分処理の処理結果Ｄａと、曲線２１の定積分処理の処理結果Ｄｂと算出し、処理結果Ｄｂから処理結果Ｄａを差し引いて差分Ｄｓa（Ｄｂ－Ｄａ：図６の領域６１（斜線範囲）の面積）を求める。

　次に、変形例１の第一の判定部１２（第二の判定部）は、判定期間の時点ｔ３（交差点）から時点ｔ２における、モデル曲線６０の定積分処理の処理結果Ｄｃと、曲線２１の定積分処理の処理結果Ｄｄと算出し、処理結果Ｄｃから処理結果Ｄｄを差し引いて差分Ｄｓｂ（Ｄｃ－Ｄｄ：図６の領域６２（斜線範囲）の面積）を求める。

　次に、変形例１の第一の判定部１２（第二の判定部）は、差分Ｄｓaと差分Ｄｓｂとの和を求めて、処理結果Ｄ１（＝Ｄｓa＋Ｄｓｂ）を求める。

　なお、ｔ３（交差点）が複数ある場合、モデル曲線を関数ｆ（ｔ）、曲線２１を関数ｇ（ｔ）としたとき、ｆ（ｔ）－ｇ（ｔ）の“絶対値”をｔ１からｔ２において定積分した結果をＤ１とする。

　次に、変形例１の第一の判定部１２（第二の判定部）は、算出した処理結果Ｄ１とあらかじめ設定した閾値Ｔｈ１とを用いて実攻撃の有無を判定する。閾値Ｔｈ１は、実攻撃の有無を判定するための情報である。閾値Ｔｈ１は、例えば、実験、シミュレーションなどの結果に基づいて決定した値である。

　処理結果Ｄ１が閾値Ｔｈ１以上である場合、実攻撃が有ると判定し、実攻撃の判定結果Ａに「１」を設定する。処理結果Ｄ１が閾値Ｔｈ１未満である場合、実攻撃が無いと判定し、実攻撃の判定結果Ａに「０」を設定する。

　以上、変形例１によれば、脆弱性が悪用される回数が時間の経過とともに変化する流行特性を考慮した判定が可能となる。

（変形例２）
　実施形態１の深刻度評価部１３では、悪用事例有無情報Ｋと、実攻撃の有無の判定結果Ａとを用いて、深刻度Ｓを決定するための深刻度決定情報３１を参照し、深刻度Ｓを求める。

　変形例２の深刻度評価部１３では、まず、図７に示すような深刻度決定情報７１を用いて深刻度Ｓを求める。図７は、変形例２の深刻度決定情報のデータ構造を説明するための図である。深刻度決定情報７１は、悪用事例有無情報Ｋと実攻撃の有無の判定結果Ａとの組み合わせと、被害事例有無情報Ｌとに基づいて深刻度Ｓを決定する情報である。

　被害事例有無情報Ｌは、例えば、マスメディアの提供するニュース記事などの被害情報、セキュリティレポートなどの被害情報に基づいて生成された、対象の脆弱性情報に対する被害事例の有無を表す情報である。被害事例有無情報Ｌは、例えば、記憶装置２０などに記憶することが考えられる。

　図７の深刻度決定情報７１を用いた場合、被害事例有無情報が被害事例無し（Ｌ＝０）で、悪用事例有無情報が悪用事例無し（Ｋ＝０）で、実攻撃の判定結果が実攻撃無し（Ａ＝０）である場合、深刻度は「０」（Ｓ＝０）とする。

　被害事例有無情報が被害事例有り（Ｌ＝１）で、悪用事例有無情報が悪用事例無し（Ｋ＝０）で、実攻撃の判定結果が実攻撃無し（Ａ＝０）である場合、深刻度は「１」（Ｓ＝１）とする。

　被害事例有無情報が被害事例有り（Ｌ＝０）で、悪用事例有無情報が悪用事例無し（Ｋ＝１）で、実攻撃の判定結果が実攻撃有り（Ａ＝０）である場合、深刻度は「２」（Ｓ＝２）とする。

　被害事例有無情報が被害事例有り（Ｌ＝１）で、悪用事例有無情報が悪用事例無し（Ｋ＝１）で、実攻撃の判定結果が実攻撃有り（Ａ＝０）である場合、深刻度は「３」（Ｓ＝３）とする。

　被害事例有無情報が被害事例有り（Ｌ＝０）で、悪用事例有無情報が悪用事例有り（Ｋ＝０）で、実攻撃の判定結果が実攻撃無し（Ａ＝１）である場合、深刻度は「１」（Ｓ＝１）とする。

　被害事例有無情報が被害事例有り（Ｌ＝１）で、悪用事例有無情報が悪用事例有り（Ｋ＝０）で、実攻撃の判定結果が実攻撃無し（Ａ＝１）である場合、深刻度は「２」（Ｓ＝２）とする。

　被害事例有無情報が被害事例有り（Ｌ＝０）で、悪用事例有無情報が悪用事例有り（Ｋ＝１）で、実攻撃の判定結果が実攻撃無し（Ａ＝１）である場合、深刻度は「３」（Ｓ＝３）とする。

　被害事例有無情報が被害事例有り（Ｌ＝１）で、悪用事例有無情報が悪用事例有り（Ｋ＝１）で、実攻撃の判定結果が実攻撃無し（Ａ＝１）である場合、深刻度は「３」（Ｓ＝３）とする。

　次に、変形例２の深刻度評価部１３は、対象の脆弱性に関する、脆弱性識別情報と、悪用事例有無情報Ｋと、実攻撃の判定結果Ａと、深刻度Ｓと、深刻度Ｓを評価した年月日時を表す情報とを関連付けて、記憶装置２０に記憶する。

　変形例２によれば、観測装置３０の数を増やさずに、実施形態１よりも、更に、実攻撃の有無を包括的に認識して、脆弱性の深刻度を的確に評価できる。

（変形例３）
　変形例２の深刻度評価部１３では、図７に示すような深刻度決定情報７１を用いて深刻度Ｓを求める。

　変形例３の深刻度評価部１３では、数１に示す関数を用いて深刻度Ｓを求める。関数ｍｉｎ（ｘ，ｙ）は、ｘとｙのうち小さい方を返す関数である。

　被害事例有無情報、悪用事例有無情報、実攻撃の有無の判定結果を１、０で表すのではなく、小数点を含むリスク値として表現し、深刻度Ｓを求めてもよい。例えば、被害、悪用、実攻撃の情報ソースの信頼性をソースごとに利用者が設定し、リスク値として用いる。また、被害、悪用、実攻撃のあった地域の全世界に対する割合をリスク値として用いてもよい。

　変形例３によれば、柔軟にリスク値を設定でき、軽微な事象を過剰に深刻と捉えることなく、深刻度の値を算出できる。

［物理構成］
　ここで、実施形態１、変形例１から３におけるプログラムを実行することによって、情報処理装置を実現するコンピュータについて図８を用いて説明する。図８は、実施形態１、変形例１から３における情報処理装置を実現するコンピュータの一例を示す図である。

　図８に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。なお、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ、又はＦＰＧＡを備えていてもよい。

　ＣＰＵ１１１は、記憶装置１１３に格納された、実施形態１、変形例１から３におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。また、実施形態１、変形例１から３におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、実施形態１、変形例１から３におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであってもよい。なお、記録媒体１２０は、不揮発性記録媒体である。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリなどの半導体記憶装置があげられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）などの汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）などの磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体があげられる。

　なお、実施形態１、変形例１から３における情報処理装置１０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。さらに、情報処理装置１０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　以上、実施形態を参照して発明を説明したが、発明は上述した実施形態に限定されるものではない。発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上述した記載によれば、実攻撃の有無を包括的に認識して脆弱性の深刻度を的確に評価できる。また、攻撃の分析が必要な分野において有用である。

　１０　情報処理装置
　１１　抽出部
　１２　第一の判定部
　１３　深刻度評価部
　１４　脆弱性情報取得部
　１５　ログ取得部
　１６　出力情報生成部
　２０　記憶装置
　３０　観測装置
　４０　出力装置
　５０　ネットワーク
１１０　コンピュータ
１１１　ＣＰＵ
１１２　メインメモリ
１１３　記憶装置
１１４　入力インターフェイス
１１５　表示コントローラ
１１６　データリーダ／ライタ
１１７　通信インターフェイス
１１８　入力機器
１１９　ディスプレイ装置
１２０　記録媒体
１２１　バス

Claims

　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出手段と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定手段と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価手段と、
　を有する情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記深刻度評価手段は、更に、対象の前記脆弱性情報に対する被害事例の有無を表す被害事例有無情報を取得し、前記被害事例有無情報と、前記悪用事例有無情報と、実攻撃の有無の前記判定結果とに基づいて深刻度を算出する、
　情報処理装置。
　請求項１又は２に記載の情報処理装置であって、
　前記第一の判定手段に替えて、（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｆ）前記判定期間における、あらかじめ生成したモデル曲線と前記曲線の差分を、前記モデル曲線を表すモデル曲線情報と前記曲線情報とを用いて算出し、（ｇ）算出した前記差分とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第二の判定手段と、
　を有する情報処理装置。
　請求項１に記載の情報処理装置であって、
　抽出手段は、前記脆弱性説明情報から前記第一のプロトコル情報と前記ポート番号情報が抽出できない場合、対象の前記脆弱性に対応するエクスプロイトコードの公開先のテキスト情報から前記第一のプロトコルと前記ポート番号を抽出する、
　情報処理装置。
　情報処理装置が、
　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出処理と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定処理と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価処理と、
　を実行する情報処理方法。
　請求項５に記載の情報処理方法であって、
　前記深刻度評価処理は、更に、対象の前記脆弱性情報に対する被害事例の有無を表す被害事例有無情報を取得し、前記被害事例有無情報と、前記悪用事例有無情報と、実攻撃の有無の前記判定結果とに基づいて深刻度を算出する、
　情報処理方法。
　請求項５又は６に記載の情報処理方法であって、
　前記第一の判定処理に替えて、（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｆ）前記判定期間における、あらかじめ生成したモデル曲線と前記曲線の差分を、前記モデル曲線を表すモデル曲線情報と前記曲線情報とを用いて算出し、（ｇ）算出した前記差分とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第二の判定処理
　を実行する情報処理方法。
　コンピュータに、
　記憶装置に記憶されている脆弱性情報に含まれる、脆弱性に関する説明を表す脆弱性説明情報から、通信に用いる第一のプロトコルを表す第一のプロトコル情報とポート番号を表すポート番号情報とを抽出する抽出処理と、
　（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｄ）生成した前記曲線情報に対して定積分処理を実行して処理結果を算出し、（ｅ）算出した前記処理結果とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第一の判定処理と、
　前記脆弱性情報に含まれる、対象の脆弱性が悪用された事例が有るか無いかを表す悪用事例有無情報を取得し、前記悪用事例有無情報と、実攻撃の有無の判定結果とに基づいて深刻度を算出する深刻度評価処理と、
　を実行させるプログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項８に記載のコンピュータ読み取り可能な記録媒体であって、
　前記深刻度評価処理は、更に、対象の前記脆弱性情報に対する被害事例の有無を表す被害事例有無情報を取得し、前記被害事例有無情報と、前記悪用事例有無情報と、実攻撃の有無の前記判定結果とに基づいて深刻度を算出する、
　前記プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項８又は９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記コンピュータに、
　前記第一の判定処理に替えて、（ａ）ネットワークに接続された観測装置が、前記第一のプロトコルと前記ポート番号を用いて通信をして得られたログから、第二のプロトコルを表す第二のプロトコル情報と、送信先ポート番号を表す送信先ポート番号情報とを抽出し、（ｂ）抽出した前記第二のプロトコルと前記送信先ポート番号を用いて、あらかじめ設定された判定期間に、時系列に並べた、あらかじめ設定された複数のサンプリング期間それぞれにおいて通信の件数を求めて、度数分布情報を生成し、（ｃ）生成した前記度数分布情報に対して平滑化処理を実行して曲線を表す曲線情報を算出し、（ｆ）前記判定期間における、あらかじめ生成したモデル曲線と前記曲線の差分を、前記モデル曲線を表すモデル曲線情報と前記曲線情報とを用いて算出し、（ｇ）算出した前記差分とあらかじめ設定した閾値とを用いて実攻撃の有無を判定する第二の判定処理
　を実行させるプログラムを記録しているコンピュータ読み取り可能な記録媒体。