• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G06F
管理番号 1247525
審判番号 不服2010-18199  
総通号数 145 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2012-01-27 
種別 拒絶査定不服の審決 
審判請求日 2010-08-11 
確定日 2011-11-24 
事件の表示 特願2003- 22630「セキュリティ管理装置及びセキュリティ管理方法」拒絶査定不服審判事件〔平成16年 8月19日出願公開、特開2004-234378〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1.手続の経緯

本願は、平成15年1月30日の出願であって、平成21年4月15日付けで拒絶理由通知がなされ、同年6月22日付けで意見書が提出されるとともに手続補正がなされたが、平成22年4月22日付けで拒絶査定がなされ、これに対し、同年8月11日付けで前記拒絶査定に対する審判請求がなされるとともに手続補正がなされ、同年9月2日付けで特許法第164条第3項の規定による報告がなされ、平成23年3月25日付けで当審より審尋がなされ、同年5月27日付けで前記審尋に対する回答書が提出されたものである。


第2.平成22年8月11日付けの手続補正についての補正却下の決定

[補正却下の決定の結論]
平成22年8月11日付けの手続補正を却下する。

[理由]
1.本件補正
平成22年8月11日付けの手続補正(以下、「本件補正」という)は、平成21年6月22日付けの手続補正により補正された特許請求の範囲の記載、
「 【請求項1】
端末および該端末以外の装置とネットワークで接続され、
前記端末のセキュリティレベルを検出するセキュリティ検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部と、
を備えたセキュリティ管理装置。
【請求項2】
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していると前記判定部で判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とする請求項1に記載のセキュリティ管理装置。
【請求項3】
前記アクセス制御部は、前記端末の通信経路を選択する機能を備え、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末の通信先を前記ネットワーク上の特定の装置に変更する請求項1または2に記載のセキュリティ管理装置。
【請求項4】
前記特定の装置が前記端末のセキュリティの設定を行う、或は設定の案内を前記端末に提供する請求項3に記載のセキュリティ管理装置。
【請求項5】
端末および該端末以外の装置とネットワークで接続されたコンピュータであり、該コンピュータが、
前記端末のセキュリティレベルを検出するステップと、
前記端末のセキュリティレベルと所定のレベルとを比較判定するステップと、
前記端末のセキュリティレベルが所定のレベルに達していないと判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するステップと、
を実行するセキュリティ管理方法。
【請求項6】
端末および該端末以外の装置とネットワークで接続されたコンピュータに、
前記端末のセキュリティレベルを検出するステップと、
前記端末のセキュリティレベルと所定のレベルとを比較判定するステップと、
前記端末のセキュリティレベルが所定のレベルに達していないと判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するステップと、
を実行させるためのセキュリティ管理プログラム。
【請求項7】
前記端末のセキュリティレベルが所定のレベルに達していると判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とするステップを含む請求項6に記載のセキュリティ管理プログラム。
【請求項8】
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末のアクセス許可範囲を制限するステップにおいて、
前記端末の通信経路を選択して通信先を前記ネットワーク上の特定の装置に変更する請求項6に記載のセキュリティ管理プログラム。
【請求項9】
前記特定の装置が前記端末のセキュリティの設定を行う、或は設定の案内を前記端末に提供する請求項8に記載のセキュリティ管理プログラム。
【請求項10】
セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とをネットワークを介して接続したセキュリティ管理システムとして構成し、
端末のセキュリティレベルを検出するセキュリティレベル検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部と、
を備えたことを特徴とするセキュリティ管理システム。
【請求項11】
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していると前記判定部で判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とする請求項10に記載のセキュリティ管理システム。
【請求項12】
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末を前記セキュリティ設定案内装置に接続させる請求項10または11に記載のセキュリティ管理システム。」
を、
「 【請求項1】
端末および該端末以外の装置とネットワークで接続され、
前記端末のセキュリティレベルを検出するセキュリティ検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部と、を備え、
前記アクセス制御部は、前記端末の通信経路を選択する機能を備え、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末の通信先を、前記端末のセキュリティの設定を行う或は設定の案内を前記端末に提供し端末のセキュリティレベルを向上させるための前記ネットワーク上の特定の装置に変更する、
ことを特徴とするセキュリティ管理装置。
【請求項2】
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していると前記判定部で判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とする請求項1に記載のセキュリティ管理装置。
【請求項3】
端末および該端末以外の装置とネットワークで接続されたコンピュータに、
前記端末のセキュリティレベルを検出するステップと、
前記端末のセキュリティレベルと所定のレベルとを比較判定するステップと、
前記端末のセキュリティレベルが所定のレベルに達していないと判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するステップと、を実行させ、
前記端末のセキュリティレベルが所定のレベルに達していないと判定された場合、前記端末のアクセス許可範囲を制限するステップにおいて、
前記端末の通信経路を選択して、前記端末の通信先を、前記端末のセキュリティの設定を行う或は設定の案内を前記端末に提供し端末のセキュリティレベルを向上させるための前記ネットワーク上の特定の装置に変更する、
ことを実行させるためのセキュリティ管理プログラム。
【請求項4】
前記端末のセキュリティレベルが所定のレベルに達していると判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とするステップを含む請求項3に記載のセキュリティ管理プログラム。
【請求項5】
セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とをネットワークを介して接続したセキュリティ管理システムとして構成し、
端末のセキュリティレベルを検出するセキュリティレベル検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部と、を備え、
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末を、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続させる、
ことを特徴とするセキュリティ管理システム。
【請求項6】
前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していると前記判定部で判定された場合、前記制限範囲より広範囲のネットワーク範囲を前記端末のアクセス許可範囲とする請求項5に記載のセキュリティ管理システム。」
に、補正するものである。


2.補正の適否
以下、本件補正後の請求項5についてする本件補正が、特許法第17条の2の規定を満足しているかについて検討する。

(1)新規事項の有無、補正の目的要件
本件補正後の請求項5についてする本件補正は、願書に最初に添付した明細書、特許請求の範囲又は図面に記載した事項の範囲内においてなされており、特許法第17条の2第3項の規定に適合する。

そして、本件補正後の請求項5についてする本件補正は、本件補正前の請求項10に係る発明に、本件補正前の請求項12に記載の「前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末」を「前記セキュリティ設定案内装置に接続させる」という発明特定事項を追加するとともに、本件補正前の請求項10に係る発明の「セキュリティ設定案内装置」が「端末のセキュリティレベルを向上させるため」のものであるという発明特定事項を追加する補正である。
この補正は、本件補正前の請求項10に係る発明の「アクセス制御部」及び「セキュリティ設定案内装置」の構成を限定したものであるから、特許法第17条の2第4項第2号の特許請求の範囲の減縮(請求項に記載した発明を特定するために必要な事項を限定するものであつて、その補正前の当該請求項に記載された発明とその補正後の当該請求項に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるものに限る。)を目的とするものである。

(2)独立特許要件
以上のとおり、本件補正後の請求項5についてする本件補正は、特許法第17条の2第4項の規定に適合している。
そこで、次に、本件補正後の請求項5に係る発明(以下、「補正後の発明」という。)が特許出願の際独立して特許を受けることができるものであるかについて、検討する。

(2-1)本件補正後の明細書の記載要件について
本件補正後の明細書には、次の事項が記載されている。

A.「 【0025】
前記セキュリティ検出部11は、アクセスパターンによって端末2のセキュリティレベルを検出する。例えばウイルス定義ファイルを備えたサーバ5に前記端末2が所定間隔でアクセスしたか否かをアクセスパターンとして検出する。該セキュリティ検出部11は、記憶部(メモリ)を備え、前記検出結果を記憶させている。
【0026】
前記判定部12は、前記メモリを参照し、セキュリティ検出部11が検出したセキュリティレベルが所定のレベルに達しているか否かを判定する。」

B.「 【0029】
図3は、このセキュリティ管理手順を示す説明図である。
セキュリティ管理装置1は、起動すると、先ずセキュリティ検出部11のメモリ内の検出結果を全て削除(初期化)する(ステップ1、以下S1のように略記する)。」

C.「 【0030】
次にセキュリティ管理装置1のセキュリティ検出部11は、接続されている端末2のセキュリティレベル、即ち所定の間隔でウイルス情報サーバ5にアクセスしたか否かを検出し、メモリに記憶する(S2)。この検出は、各端末2に記憶されたログ(何時何処にアクセスしたかの記録)やウイルス定義ファイルの更新時間を読み出すようにしても良いし、ウイルス情報サーバ5に記憶されたログ(どの端末が何時アクセスしたかの記録)を読み出すようにしても良い。
【0031】
端末2からのアクセスがあった場合、判定部12は、前記メモリを参照し、この端末2が所定のセキュリティレベルに達しているか否か、即ちアクセス許可の対象であるか否かを判定する(S3,S4)。」

上記A、Cの記載や、本願図面の図3の記載によれば、「セキュリティレベル検出部」は、「端末」が「ウイルス定義ファイルを備えたサーバ5(ウイルス情報サーバ5)」に「所定間隔でアクセスしたか否か」を「アクセスパターンとして検出」し、当該「検出結果を記憶部(メモリ)に記憶」しておき、「端末」からのアクセスがあった場合、「判定部」は、前記「メモリを参照」し、この端末が所定のセキュリティレベルに達しているか否か、判断しているから、セキュリティレベルの検出には、「端末」が一定期間ネットワークに接続され、「記憶部(メモリ)」に、「セキュリティレベル検出部」が検出した「検出結果」が格納されている必要があるものと認められる。したがって、上記Bの記載によれば、「セキュリティ管理装置1は、起動すると、先ずセキュリティ検出部11のメモリ内の検出結果を全て削除(初期化)する」のであるから、ネットワークに接続されている何れの端末の検出結果もメモリに記憶されていない状態となり、端末のセキュリティレベルをどのようにして判断するのか不明である。

よって、本件補正後の明細書の発明の詳細な説明は、補正後の発明を含む、本件補正後の特許請求の範囲の各請求項に係る発明を、当業者がその実施をすることができる程度に明確かつ十分に記載したものではないから、特許法第36条第4項第1号に規定する要件を満たしていない。
したがって、補正後の発明は、特許出願の際独立して特許を受けることができない。

(2-2)補正後の発明の進歩性について
(2-2-1)引用文献1の記載事項
本願の出願日前に頒布され、原査定の拒絶の理由に引用された刊行物である、兵藤 敏之,セキュリティ状態のランク付け,コンピュータセキュリティシンポジウム2002,日本,社団法人情報処理学会,2002年10月30日,第2002巻,p.71-76.(以下、「引用文献1」という。)には、次の事項が記載されている。

A.「3.2.危険度によるアクセス制御
図1に示されるようなデータベースサーバヘのアクセスを例に採り,クライアントPCの危険度に応じてアクセス制御を行う手順を示す.以下に図1における各エンティティを説明した上で,アクセス制御の実践手順を記す.

エンティティ:
パッチ適用サーバ兼危険度管理サーバ
セキュリティホールの情報と対応するパッチを保持しているサーバ.組織内のPCはこのサーバにアクセスして,各セキュリティホールに対するパッチを適用する.全てのPCのパッチ適用状況とその危険度を記憶し,管理している.
データベースサーバ
組織内の重要な情報を保持しているデータベース.「危険度0以外のコンピュータからのアクセス要求は拒否する」というアクセス制御ポリシーで運用されている.
PC-A,PC-B
組織内のエンドユーザが使用しているクライアントコンピュータ.一般のPCである.エンドユーザはこのPCを端末としてサーバにアクセスする.

手順:
(1)各PC(PC-A,PC-B)は一定時間毎またはユーザの指示を受けた時点でパッチ適用サーバ兼危険度管理サーバ(以下,「管理サーバ」)に接続し,必要なパッチ等の適用を行う.あえて特定のパッチは適用をしないということも可能である,管理サーバは各PCの危険度を診断し,これを記憶する.今回の例ではある時点において,PC-Aは全てのパッチを適用して危険度が0に,PC-Bは一部のパッチのみを適用して危険度が1となったとする.
(2)データベースサーバ(以下,「DBサーバ」)へのアクセスが許されているユーザが,PC-AからDBサーバに接続を要求したとする.
(3)DBサーバは管理サーバにPC-Aの危険度の取得を要求する.これを受け,管理サーバはDBサーバへPC-Aの危険度を通知する.
(4)DBサーバはアクセス制御ポリシーにしたがい,PCの危険度によりアクセスの可否を決定する.この例では,DBサーバのポリシーが「危険度0のPC以外のアクセスは拒否」となっているため,PC-Aからのアクセスは許可される.
(5)同じユーザがPC-BからDBサーバに接続を要求した場合も,(3)?(4)と同様の処理が行われる.PC-Bは危険度が1であるPC-Bからのアクセスは正規ユーザのものであっても拒否される.
(6)新たなセキュリティホールが発見されると,その情報と当該セキュリティホールの深刻度,および,パッチが(完成し次第)管理サーバに通知される.今回の例では,深刻度1のセキュリティホール(当該セキュリティホールがふさがれていないPCの危険度は1となる)が発見されたとする.管理サーバは自分が管理している全てのPCに対して因子1を付加する.これにより管理サーバが保持している各PCの危険度が変更される.例えば,それまで危険度が0であったPC-Aは因子1が付加されたため,危険度が1となる.危険度がもともと1であったPC-Bの危険度はこの場合は変わらない.
(7)危険度が変更された後に同一のユーザが再びPC-AよりDBサーバにアクセスしょうとすると,今度はDBサーバのポリシーに合わないため,アクセスは拒否される.
(8)PC-Aが再び管理サーバにアクセスして最新パッチを適用することにより,PC-Aの危険度は0に戻り,当該ユーザのPC-Aからのアクセスは許可されるようになる.」
(第75頁左欄4行?第76頁左欄9行)

(2-2-2)引用発明
a.Aの「図1に示されるようなデータベースサーバヘのアクセスを例に採り,クライアントPCの危険度に応じてアクセス制御を行う手順を示す.以下に図1における各エンティティを説明した上で,アクセス制御の実践手順を記す.

エンティティ:
パッチ適用サーバ兼危険度管理サーバ
セキュリティホールの情報と対応するパッチを保持しているサーバ.組織内のPCはこのサーバにアクセスして,各セキュリティホールに対するパッチを適用する.全てのPCのパッチ適用状況とその危険度を記憶し,管理している.
データベースサーバ
組織内の重要な情報を保持しているデータベース.「危険度0以外のコンピュータからのアクセス要求は拒否する」というアクセス制御ポリシーで運用されている.
PC-A,PC-B
組織内のエンドユーザが使用しているクライアントコンピュータ.一般のPCである.エンドユーザはこのPCを端末としてサーバにアクセスする.」
という記載から、引用文献1には、「データベースサーバと、PCと、パッチ適用サーバ兼危険度管理サーバとを相互に接続したシステム」が記載されており、「データベースサーバ」が、「危険度0以外のコンピュータからのアクセス要求は拒否する」こと、「パッチ適用サーバ兼危険度管理サーバ」が、「セキュリティホールの情報と対応するパッチを保持しているサーバ」であり「組織内のPCはこのサーバにアクセスして,各セキュリティホールに対するパッチを適用する」ことが記載されているものと認められる。

b.Aの「手順:
(1)各PC(PC-A,PC-B)は一定時間毎またはユーザの指示を受けた時点でパッチ適用サーバ兼危険度管理サーバ(以下,「管理サーバ」)に接続し,必要なパッチ等の適用を行う.あえて特定のパッチは適用をしないということも可能である,管理サーバは各PCの危険度を診断し,これを記憶する.今回の例ではある時点において,PC-Aは全てのパッチを適用して危険度が0に,PC-Bは一部のパッチのみを適用して危険度が1となったとする.」
という記載から、引用文献1には、「パッチ適用サーバ兼危険度管理サーバ」が「各PCの危険度を診断し,これを記憶する」ことが記載されている。

c.Aの「(6)新たなセキュリティホールが発見されると,その情報と当該セキュリティホールの深刻度,および,パッチが(完成し次第)管理サーバに通知される.今回の例では,深刻度1のセキュリティホール(当該セキュリティホールがふさがれていないPCの危険度は1となる)が発見されたとする.管理サーバは自分が管理している全てのPCに対して因子1を付加する.これにより管理サーバが保持している各PCの危険度が変更される.例えば,それまで危険度が0であったPC-Aは因子1が付加されたため,危険度が1となる.危険度がもともと1であったPC-Bの危険度はこの場合は変わらない.
(7)危険度が変更された後に同一のユーザが再びPC-AよりDBサーバにアクセスしょうとすると,今度はDBサーバのポリシーに合わないため,アクセスは拒否される.
(8)PC-Aが再び管理サーバにアクセスして最新パッチを適用することにより,PC-Aの危険度は0に戻り,当該ユーザのPC-Aからのアクセスは許可されるようになる.」
という記載から、引用文献1には、「データベースサーバ」は、「PC」の危険度が1となった場合「アクセスを拒否」し、「PC」が「管理サーバ(パッチ適用サーバ兼危険度管理サーバ)」にアクセスして最新パッチを適用し、危険度が0に戻るとアクセスが許可されることが記載されている。

以上、a乃至cから、引用文献1には、次の発明(以下、「引用発明」という。)が記載されている。
「データベースサーバ、PC、パッチ適用サーバ兼危険度管理サーバとを相互に接続したシステムとして構成し、
パッチ適用サーバ兼危険度管理サーバがPCの危険度を診断し,これを記憶し、
データベースサーバは、PCの危険度が0以外である場合、データベースサーバへのアクセスを拒否し、
データベースサーバへのアクセスが拒否された場合、PCは、パッチ適用サーバ兼危険度管理サーバにアクセスして最新パッチを適用する、
ことを特徴とするシステム。」

(2-2-3)対比
補正後の発明と引用発明とを対比する。

a.引用発明の「データベースサーバ」は、「PC」の危険度に基づいてアクセスの可否を管理しており、セキュリティに関する管理を行う装置であるといえるから、補正後の発明の「セキュリティ管理装置」に相当する。

b.引用発明の「PC」は、エンドユーザがこの「PC」を端末としてサーバにアクセスするものであるから、補正後の発明における「ユーザ用の端末」に相当する。

c.引用発明における、「診断」された「PC」の「危険度」は、補正後の発明における、「検出」された「端末」の「セキュリティレベル」に相当する。

d.引用発明の「パッチ適用サーバ兼危険度管理サーバ」は、「PC」にパッチを適用することで「PC」の「危険度」を下げる機能を有するものであるから、補正後の発明における「端末のセキュリティレベルを向上させる」ための「セキュリティ設定案内装置」に相当する。

e.引用発明の「システム」では、「データベースサーバ」と「PC」、「PC」と「パッチ適用サーバ兼危険度管理サーバ」、及び、「データベースサーバ」と「パッチ適用サーバ兼危険度管理サーバ」とが、相互に接続されていることは明らかである。
したがって、引用発明の「システム」において、「データベースサーバ」と「PC」、「PC」と「パッチ適用サーバ兼危険度管理サーバ」、及び、「データベースサーバ」と「パッチ適用サーバ兼危険度管理サーバ」とが、相互に接続されていることと、補正後の発明において、「セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とをネットワークを介して接続した」こととは、セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とを相互に接続した点で共通する。

f.引用発明の「システム」では、「パッチ適用サーバ兼危険度管理サーバ」が「PC」の「危険度を診断し、これを記憶し」ているから、引用発明の「システム」は、「PCの危険度を診断」し、これを記憶する手段を有することは明らかである。
そして、引用発明の「システム」が有する前記「PCの危険度を診断」する手段は、補正後の発明の「セキュリティ管理システム」が有する「端末のセキュリティレベルを検出するセキュリティレベル検出部」に相当する。

g.引用発明の「システム」では、「データベースサーバは、PCの危険度が0以外である場合、データベースサーバへのアクセスを拒否し」ているが、これは、引用発明の「システム」が、「PCの危険度が0以外である」か否かを判断する手段を有していること、すなわち、「PCの危険度」と「危険度が0」という所定の危険度とを比較判定する手段を有していることに他ならない。
そして、引用発明の「システム」が有する前記「PCの危険度が0以外である」か否かを判断する手段は、補正後の発明の「セキュリティ管理システム」が有する「端末のセキュリティレベルと所定のレベルとを比較判定する判定部」に相当する。

h.引用発明の「システム」では、「データベースサーバは、PCの危険度が0以外である場合、データベースサーバへのアクセスを拒否し」ている。ここで、「PC」の「データベースサーバへのアクセスを拒否」することは、「PC」の「アクセス」を許可する範囲を制限していることに他ならない。そして、引用発明の「システム」は、「PCの危険度が0以外である場合」は前記「PC」の「アクセス」を許可する範囲を制限する手段を有していることは明らかである。また、前記「PCの危険度が0以外である」とは、「PCの危険度」が「危険度が0」というレベルに達していないということである。
してみれば、引用発明の「システム」が有する、前記「PCの危険度が0以外である場合」は前記「PC」の「アクセス」を許可する範囲を制限する手段と、補正後の発明の「セキュリティ管理システム」が有する「前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部」とは、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末のアクセスを許可する範囲を制限するアクセス制御部である点で共通する。

i.引用発明の「システム」においては、「データベースサーバへのアクセスが拒否された場合」に、「PC」は、「最新パッチを適用する」ための「パッチ適用サーバ兼危険度管理サーバにアクセス」するものである。
これに対して、補正後の発明の「セキュリティ管理システム」では、「前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末を、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続させる」ものである。すなわち、「アクセス制御部」は、積極的に「前記端末」を「前記セキュリティ設定案内装置に接続させる」ものである。
してみれば、引用発明の「システム」において、「データベースサーバへのアクセスが拒否された場合」に「PC」は「最新パッチを適用する」ための「パッチ適用サーバ兼危険度管理サーバにアクセス」することと、補正後の発明の「セキュリティ管理システム」において、「前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末を、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続させる」こととは、端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末は、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続する点で共通する。

j.なお、補正後の発明において、「セキュリティレベル検出部」と「判定部」と「アクセス制御部」とが、「セキュリティ管理システム」のどこに設けられているか、特定されていない。
この点につき、本願明細書の発明の詳細な説明には、段落【0024】に「セキュリティ管理装置1は、セキュリティ検出部11や、判定部12、アクセス制御部13を備えている」と記載される一方で、段落【0040】には「セキュリティレベルの検出は、端末2上で監査用のプログラムを実行し、検出結果を記憶部に記憶するものでも良い。この検出結果を記憶する記憶部は、セキュリティ管理装置1内であっても良いし、端末2やセキュリティ設定案内サーバ6、ウイルス情報サーバ5等、セキュリティ管理装置1からアクセス可能な装置内にあっても良い。」と記載されている。
そして、引用発明において、前記g及びhで認定した、「PCの危険度」と「危険度が0」という所定の危険度とを比較判定する手段及び「PCの危険度が0以外である場合」は前記「PC」の「アクセス」を許可する範囲を制限する手段は、補正後の発明の「セキュリティ管理装置」に相当する「データベースサーバ」が有するものの、前記fで認定した「PCの危険度を診断」し、これを記憶する手段は、補正後の発明の「セキュリティ設定案内装置」に相当する「パッチ適用サーバ兼危険度管理サーバ」が有している。
したがって、以上の点は、本件補正後の請求項5の記載に基づけば相違点とはならないことは当然であるが、仮に、本願明細書の発明の詳細な説明を参酌しても実質的な相異点であるとは認められない。

以上a?jから、補正後の発明と引用発明とは、以下の点で一致し、また、相違する。
(一致点)
「セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とを相互に接続したセキュリティ管理システムとして構成し、
前記端末のセキュリティレベルを検出するセキュリティレベル検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末のアクセスを許可する範囲を制限するアクセス制御部と、を備え、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末は、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続する、
ことを特徴とするセキュリティ管理システム。」

(相違点1)
補正後の発明の「セキュリティ管理システム」では、 セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とを「ネットワークを介して接続」しているのに対して、引用発明の「システム」では、「データベースサーバ」と「PC」、「PC」と「パッチ適用サーバ兼危険度管理サーバ」、及び、「データベースサーバ」と「パッチ適用サーバ兼危険度管理サーバ」とが、相互に接続されていることは明らかであるものの、前記「データベースサーバ」と「PC」と「パッチ適用サーバ兼危険度管理サーバ」とが、一つの「ネットワークを介して接続」されているかどうかは、不明である点。

(相違点2)
補正後の発明の「セキュリティ管理システム」では、端末のセキュリティレベルが所定のレベルに達していないと判定部で判定された場合に、端末の「ネットワーク上でのアクセスを許可するネットワーク範囲を制限」しているのに対して、引用発明のシステムでは、端末のセキュリティレベルが所定のレベルに達していないと判断された場合、端末のアクセスを許可する範囲を制限する手段を有していると認められるものの、端末のアクセスを許可する範囲が、「ネットワーク上での」アクセスを許可する「ネットワーク範囲」であることまでは明記されていない点。

(相違点3)
補正後の発明の「セキュリティ管理システム」では、端末のセキュリティレベルが所定のレベルに達していないと判定部で判定された場合に、「アクセス制御部」は、「前記端末を」端末のセキュリティレベルを向上させるためのセキュリティ設定案内装置に「接続させる」のに対して、引用発明の「システム」では、「データベースサーバへのアクセスが拒否された場合、PCは、パッチ適用サーバ兼危険度管理サーバにアクセス」する点。

(2-2-4)判断
(相違点1、相違点2について)
複数の「PC」と複数の「サーバ」とを相互に接続する手段として、一つのネットワークを介して相互に接続することは、常套手段に過ぎない。
したがって、引用発明においても、「データベースサーバ」、「PC」、「パッチ適用サーバ兼危険度管理サーバ」のそれぞれを、一つのネットワークを介して相互に接続することは、当業者であれば当然になし得たことである。このとき、「PC」とネットワークを介して相互に接続された「データベースサーバ」への「アクセスを拒否」することは、前記「PC」に対して、ネットワーク上での「アクセス」を許可するネットワーク範囲を制限することに他ならない。
よって、相違点1、相違点2は格別のものではない。

(相違点3について)
引用発明において、「データベースサーバへのアクセスが拒否された場合、PCは、パッチ適用サーバ兼危険度管理サーバにアクセスして最新パッチを適用する」のであるから、前記「データベースサーバ」に「アクセス」しようとして当該「アクセスが拒否された」「PC」は、「最新パッチを適用する」ために、何らかの手段・方法によって、「パッチ適用サーバ兼危険度管理サーバにアクセスして」いるものである。
しかし、引用文献1には、「データベースサーバへのアクセスが拒否」された「PC」が、どのようにして「パッチ適用サーバ兼危険度管理サーバ」に「アクセスする」のかは、何ら記載されていない。

ところで、本願出願前に頒布された刊行物である特開平10-98480号公報には、図面と共に以下の事項が記載されている。
ア.「【0015】
【発明の実施の形態】本発明の実施の形態について以下に説明する。本発明は、その好ましい実施の形態において、コネクションオリエンテッドネットワークにおける各種サーバおよびクライアントの自動設定サーバは、設定データを保持していない自動設定クライアントから接続された場合においても、当該自動設定クライアントに対して設定データを取得させることを可能としたものである。
【0016】より具体的には、本発明は、その好ましい実施の形態において、自動設定サーバ(図2の102)が、接続してきた自動設定クライアントの設定データを保持する自動設定サーバのアドレスを、この自動設定クライアントに通知する手段(図2の116および117)と、自動設定クライアントにおける、通知された当該アドレスによって、設定データを保持する自動設定サーバに接続する手段(図2の105および118)を、備えて構成される。」

同様に、本願出願前に頒布された刊行物である佐藤郁,CAD/CGソフト徹底研究 Auto CAD 2000 第2回,日経デジケン,日本,日経BP社,1999年 9月20日,第4巻 第12号,p.124-129の、特に第127頁には、以下の事項が記載されている。
イ.「●CAD部品提供に使うHTMLの書き方

(1)タグ IEのために利用される。NCでは無視される。
width height:DWFファイルを表示する幅と高さ。ピクセル単位で設定
classid:IEがwhipプラグインを起動するために必要なid(1文字も間違えてはならない)
codebase:whipプラグインがインストールされていない場合に参照する場所。オートデスクのホームページに接続して自動的にインストールが始まる。
(2)タグ IEのために利用される。NCでは無視される。
(の中になければならない)
name:次のパラメータ、valueの内容の意味を指定する。"filename"から変えてはならない。
value:表示するdwfファイル名。URLリンクと同様に絶対表示も相対表示も可能。
(3)タグ NCのために唯一利用される。IEでは無視される。
width height:DWFファイルを表示する幅と高さ。ピクセル単位で設定
name:param のnameとは意味が違い、JavaとJavaScriptによって参照される、他と重複しない名前を、HTML文書中の各DWFに与えるための名前パラメータ。重ならなければよいので自由に変更できるが、拡張子抜きのファイル名を用いるのが般的。 src:参照するdwfファイル名。URLリンクと同様に絶対表示も相対表示も可能。
codebase:whipプラグインがインストールされていない場合に参照するホームページ。オートデスクのホームページに接続するが、自動的にインストールは始めないので安心。
(4)
タグ IEのために利用される。NCでは無視される。
タグの前に記述することも可能だが、HTMLファイルとしては、の間が同じ部品ファイルの記述であった方がわかりやすいので、最後に持ってくるのを慣習としている。

(1)……… classid="clsid:b2be75f3-9197-11cf-abf4-08000996e931"
codebase="ftp://ftp.autodesk.com/pub/whip/whip.cab">
(2)………
(3)……… name=drawingname src="kobe35t1.dwf"
pluginspage=http://www.autodesk.com/whip/>
(4)………
」(第127頁の囲み記事。なお、各項目の先頭の「(1)」?「(4)」の数字は、原文では丸付き数字で表記されていた。)

さらに、本願出願前に頒布された刊行物である繰上敬子,パーツ作成テクニック編,DREAMWEAVER&FIREWORKS Webデザイン・テクニック for Windows,日本,(株)毎日コミュニケーションズ,2001年 6月19日,p.34-35には、図面と共に以下の事項が記載されている。
ウ.「プラグインの有無を自動判別するページを作るには?
Flashムービーでは、環境による表示の違いは少ないが、プラグインがインストールされていなければ表示できない。トップページで振り分けてみよう。」
エ.「プラグインのダウンロードサイトを調べておこう
マクロメディア社のサイトから情報収集
コンテンツ内にFlashを利用したページを閲覧させるには、ユーザーのコンピュータにマクロメディア社のShockwave PlayerまたはFlash Playerというプラグインがインストールされていなければならない。このうちShockwave PlayerでShockwave とFlashのファイルを再生することができる。Flash Playerでは、Flash のファイルのみ再生可能だ。
マクロメディア社のサイトには、他のWebサイトからプラグインのダウンロードサイトへリンクする場合にどうすればよいかを説明するガイドが用意されている。使用しているローカルマシンに、必要なバナー画像を保存し、ダウンロードサイトのURLをメモしておこう。」
オ.「プラグインがインストールされていなかった場合は
プラグインダウンロードサイトへのリンクを作る
(1)Webサイトのトップページでプラグインの有無を判定し、プラグインがインストールされていなかった場合は、ダウンロードサイトへのリンクを置いた代替ページが開くようにしたい。トップページの前にこの代替ページを作っておこう。ドキュメントウィンドウ上に、マクロメディア社のサイトから持ってきたバナー画像を配置する
(2)バナー画像の「プロパティ」インスペクタで、「リンク」にダウンロードサイトのURLを指定する。ここでは新しいウィンドウでダウンロードサイトを開くように、「ターゲット」を「_blank」とした」(なお、各項目の先頭の(1)及び(2)の数字は、原文では黒白が反転した丸付き数字で表記されていた。)
カ.「ブラウザで表示を確認しよう
ブラウザで表示を確認する
プラグインがインストールされている場合は、Flashムービーを使用したページが開く
プラグインがインストールされていなかった場合には、代替ページが開く
使用しているコンピュータに既にプラグインがインストールされている場合は、いへいびアが上手く動作しているのかどうかを確認するのは難しい。しかし、なるべく、OS・ブラウザのバージョン・プラグインの有無といった条件を変更して、表示を確認しておこう。」

上記ア?カから、ユーザの操作する端末が所定の装置にアクセスして問題が生じた場合、その問題を解決するためにアクセスすることを求められている他の装置へ前記端末を接続させるために、前記所定の装置が前記端末を他の装置へ自動的に接続させる手法や、前記所定の装置がユーザに接続先を指示することで前記端末を他の装置に接続させる手法は、本願出願時において、既に周知の技術であった。

したがって、引用発明において、「データベースサーバへのアクセスが拒否された場合、PCは、パッチ適用サーバ兼危険度管理サーバにアクセス」するに際して、「拒否」した前記「データベースサーバ」が「PC」を「パッチ適用サーバ兼危険度管理サーバ」へ強制的に「アクセス」させること、あるいは、「拒否」した前記「データベースサーバ」がユーザに「アクセス」先として「パッチ適用サーバ兼危険度管理サーバ」を指示することによって、前記「PC」を前記「パッチ適用サーバ兼危険度管理サーバ」に接続させることは、当業者であれば容易になしえたことであると認められる。

よって、相違点3は格別のものではない。

(2-2-5)補正後発明に係る発明の進歩性についてのまとめ
以上のとおり、各相違点は、いずれも格別のものではなく、補正後の発明の効果も、引用発明から当業者が予期し得たものであると認められる。
したがって、補正後の発明は、引用発明から当業者が容易に発明をすることができたものであるから、特許法第29条第2項に規定により、特許出願の際独立して特許を受けることができるものではない。

(2-3)独立特許要件のまとめ
以上から、本件補正は、特許法第17条の2第5項の規定により準用する特許法第126条第5項の規定に適合していない。


3.小括
したがって、本件補正は、平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第17条の2第5項において準用する同法第126条第5項の規定に違反するので、同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。
よって、補正却下の決定の結論のとおり、決定する。


第3.本願発明について

1.本願発明
平成22年8月11日付けの手続補正は上記のとおり却下されたので、本願の請求項10に係る発明(以下、「本願発明」という。)は、平成21年6月22付けの手続補正書により補正された明細書、特許請求の範囲及び図面の記載からみて、その特許請求の範囲の請求項10に記載された以下のとおりのものと認める。
「【請求項10】
セキュリティ管理装置と、ユーザ用の端末と、セキュリティ設定案内装置とをネットワークを介して接続したセキュリティ管理システムとして構成し、
端末のセキュリティレベルを検出するセキュリティレベル検出部と、
前記端末のセキュリティレベルと所定のレベルとを比較判定する判定部と、
前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合、前記端末の前記ネットワーク上でのアクセスを許可するネットワーク範囲を制限するアクセス制御部と、
を備えたことを特徴とするセキュリティ管理システム。」


2.引用発明
引用発明は、前記「第2.平成22年8月11日付けの手続補正についての補正却下の決定」の「2.補正の適否」の「(2)独立特許要件」の「(2-2-2)引用発明」の項で認定したとおりである。


3.対比・判断
本願発明は、補正後の発明が有する、
「前記アクセス制御部は、前記端末のセキュリティレベルが所定のレベルに達していないと前記判定部で判定された場合に、前記端末を、端末のセキュリティレベルを向上させるための前記セキュリティ設定案内装置に接続させる」、
という発明特定事項を削除した発明である。
そして、前記「第2.平成22年8月11日付けの手続補正についての補正却下の決定」の「2.補正の適否」の「(2)独立特許要件」における「(2-2)補正後の発明の進歩性について」?「(2-2-6)補正後発明に係る発明の進歩性についてのまとめ」で検討したように、補正後の発明が引用発明に基づいて当業者が容易に発明をすることができたものであるから、補正後の発明から前記の発明特定事項を削除した発明である本願発明も、引用発明に基づいて当業者が容易に発明をすることができたものである。


4.むすび
以上のとおり、本願発明は、引用発明に基づいて当業者が容易に発明をすることができたものと認められるから、特許法第29条第2項の規定により特許を受けることができない。

よって、結論のとおり審決する。
 
審理終結日 2011-09-26 
結審通知日 2011-09-27 
審決日 2011-10-11 
出願番号 特願2003-22630(P2003-22630)
審決分類 P 1 8・ 121- Z (G06F)
最終処分 不成立  
前審関与審査官 深沢 正志赤穂 州一郎  
特許庁審判長 鈴木 匡明
特許庁審判官 石井 茂和
山崎 達也
発明の名称 セキュリティ管理装置及びセキュリティ管理方法  
代理人 高田 大輔  
代理人 遠山 勉  
代理人 平川 明  
代理人 松倉 秀実  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ