• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない(前置又は当審拒絶理由) G06F
管理番号 1307127
審判番号 不服2012-24822  
総通号数 192 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2015-12-25 
種別 拒絶査定不服の審決 
審判請求日 2012-12-14 
確定日 2015-10-30 
事件の表示 特願2009-535273「ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置」拒絶査定不服審判事件〔平成20年 5月29日国際公開、WO2008/063343、平成22年 3月18日国内公表、特表2010-508598〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由
第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,2007年10月23日(パリ条約による優先権主張外国庁受理2006年11月3日(以下,「優先日」という。),米国)を国際出願日とする出願であって,その手続の経緯は以下のとおりである。

平成21年 4月30日 :国内書面,出願審査請求書の提出
平成24年 1月13日付け :拒絶理由の通知
平成24年 7月18日 :意見書,手続補正書の提出
平成24年 8月 6日付け :拒絶査定
平成24年12月14日 :審判請求書の提出
平成26年12月22日付け :拒絶理由の通知(当審)
平成27年 3月18日 :意見書,手続補正書の提出


第2 本願発明

本願の請求項1乃至10に係る発明は,上記平成27年3月18日付け手続補正により補正された特許請求の範囲1乃至10に記載されたとおりのものであると認められるところ,その請求項1に係る発明(以下,「本願発明」という。)は,以下のとおりのものである。

「ターゲット犠牲者によって受信される望まれないトラフィックを検出する方法であって,前記ターゲット犠牲者が,1つまたは複数の宛先アドレスを有し,前記方法が,
1つまたは複数のストリング表現を識別するルール・ベースを維持するステップと,
ログ・ファイル内の1つまたは複数のエラー・エントリを分析するステップであって,前記ログ・ファイルが,前記ターゲット犠牲者によって受信される1つまたは複数の要求を含み,前記1つまたは複数のエラー・エントリが,前記ターゲット犠牲者によって維持された1つまたは複数のファイルの格納された位置への攻撃者による不成功の試みに対応するステップと,
前記不成功の試みのエラー・エントリのうちの少なくとも一つに関連する1つまたは複数の要求が,1つまたは複数の所定の保護されたファイルに関連する前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップと,
前記不成功の試みのエラー・エントリのうちの少なくとも一つに関連する1つまたは複数の要求が,1つまたは複数の所定の保護されたファイルに関連する前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に,告発メッセージを中央フィルタに送信するステップとを含むことを特徴とする望まれないトラフィックを検出する方法。」


第3 引用例

1 引用例1に記載されている技術的事項および引用発明1

(1)本願の優先日前に頒布され,当審からの上記平成26年12月22日付け拒絶理由通知において引用された,「EC時代のセキュリティ対策」,日経インターネットテクノロジー 第39号,日本,日経BP社,2000年 9月22日,p.38-41(以下,「引用例1」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

A 「攻撃・侵入検知システム(IDS : Intrusion Detection System)はサーバーへの侵入やサービス停止を目的としたDoS(サービス妨害)攻撃などを検知し,管理者に警告するツールである。攻撃を検知した場合,自動的にセッションを切断するなどして被害を防ぐ機能も備える。
IDSは製品によって不正の検知方法がネットワーク監視型とホスト監視型の2タイプがあり,それぞれ導入形態や監視対象が異なる。最近では,2つのシステムを統合管理できる製品や,両方の機能を備えた製品が登場している。さらに,ファイアウォールと連携したり, 自らがファイアウォールとして機能して不正アクセスをブロックしたりする製品も増えている。」
(第38頁左欄1行?同頁右欄6行)

B 「シグネチャと照合して不正アクセスを検知
IDSは,ネットワークを流れるデータやサーバーの状態などをリアルタイムに監視し,不正アクセスを検知して管理者に警報を出すなど機能を備える(図1)。不正アクセスであるかどうかは,ネットワークを流れるデータやサーバーのログ・データと,IDSが持つ「シグネチャ」と照合することで判断する。シグネチャは不正アクセスの手口をデータ化したもので, どのIDS製品も数多くのシグネチャを用意している。
シグネチャの数は製品によって異なるが,その数がそのままIDSの性能を表しているわけではない。シグネチャの数え方が製品によって異なるからだ。一般に知られている攻撃の手口をシグネチャとして定義している製品もあれば,その手口に含まれる操作1つひとつをシグネチャとしている製品もある。
新しく発見された攻撃の手口についても,バージョン・アップごとに対応している。最近ではベンダーのサイトからダウンロードして新規シグネチャを追加できる製品,独自のスクリプトなどでシグネチャを定義できる製品なども登場している。スキルのあるユーザーならば,新しい手口が発見されたときにすぐに対応できる。」(第38頁右欄7行?第39頁左欄13行)

C 「パケットをチェックするネット監視型
IDSが不正アクセスを検知する方法は,大きく2通り。1つが米シスコ・システムズの「Cisco Secure IDS」などが採用しているネットワーク監視型である(図2)。具体的には,同一セグメントに流れるパケットを収集して検査する(写真1)。パケットのヘッダーやデータ部分を解析して,不正なヘッダーをもつパケットがあったり,データ部に疑わしい文字列(たとえば“telnet”,“root”,“passwd”)があるパケットが連続していたりすると警報を出す。」(第39頁左欄18行?31行)

D 「ログを監視するホスト監視型
もう1つの形態は,ホスト監視型と呼ばれるもの。米アクセント・テクノロジズの「Intruder Alert」などの製品がこの方式を採用している。OSのシステム・ログやアプリケーションのイベント・ログなどを監視し,異常があったときに警告する(図3)。システム・ログの内容やバグはOSによって異なるため,OSごとにシグネチャを用意している(写真2)。」(第39頁左欄32行?同頁右欄1行)

E 「これに対してホスト監視型は,監視対象のマシンがIDSと異なるセグメントにあっても,監視情報(またはログそのもの)さえ収集できればよい。つまり,ネットワークがつながっていれば,どこにあっても監視できる。その代わり,監視対象のマシンにエージェントが必要になる製品が多い。
いずれの形態も,攻撃検知にどのシグネチャを使うかという設定が必要である。シグネチャごとに適用するマシンを選択することも可能である。さらにホスト監視型は監視対象のサーバーごとに, どういったログを収集するのか設定する必要がある。」(第40頁中欄15行?同頁右欄6行)

F 「攻撃ごとにアクションを定義
IDSは不正侵入,または攻撃を検知した場合,その内容をログに記録するとともに,さまざまな動作(アクション)を実行できる。基本的なアクションは,画面上に警告ウインドウを表示する「ポップアップ」。ほとんどの製品は電子メールで管理者に通知することもできる。このほかポケベルやFAX,SNMPトラップを送信できる製品や,ほかのアプリケーションを起動するといったアクションをサポートする製品もある。どのようなアクションをさせるかは,ユーザーの環境に合わせてシグネチャごとに定義できる。
警報を出すだけでなく,セッションを切断するなどの防御策を講じる製品も多い。ネットワーク監視型の製品はいずれも,不正なパケットを検知したときに送信元と送信先のマシンにTCPのリセット・コマンドを送ってセッションを切断する機能をもつ。さらに,ほとんどの製品はファイアウォール・ソフトと連携する機能も備える。侵入や攻撃を検知すると,該当するアプリケーションのポートを閉じたり,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウオールに依頼する。」(第41頁左欄19行?同頁中欄13行)

(2)ここで,上記引用例1に記載されている事項を検討する。

ア 上記Aの「攻撃・侵入検知システム(IDS : Intrusion Detection System)はサーバーへの侵入やサービス停止を目的としたDoS(サービス妨害)攻撃などを検知し,管理者に警告するツールである。攻撃を検知した場合,自動的にセッションを切断するなどして被害を防ぐ機能も備える。」との記載,上記Bの「IDSは,ネットワークを流れるデータやサーバーの状態などをリアルタイムに監視し,不正アクセスを検知して管理者に警報を出すなど機能を備える(図1)。」との記載からすると,「攻撃・侵入検知システム(IDS)」を用いて「サーバー」への攻撃を検知する方法を読み取ることができ,「攻撃・侵入検知システム(IDS)」が検知する「サーバー」への攻撃が,「サーバー」への不正アクセスであることから,引用例1には,
“攻撃・侵入検知システム(IDS)を用いてサーバーへの不正アクセスを検知する方法”
が記載されていると解される。

イ 上記Bの「不正アクセスであるかどうかは,ネットワークを流れるデータやサーバーのログ・データと,IDSが持つ「シグネチャ」と照合することで判断する。シグネチャは不正アクセスの手口をデータ化したもので, どのIDS製品も数多くのシグネチャを用意している。」との記載からすると,「攻撃・侵入検知システム(IDS)」は「不正アクセスの手口」をデータ化した「シグネチャ」を有することが読み取れる。
また,上記Bの「シグネチャの数は製品によって異なるが,その数がそのままIDSの性能を表しているわけではない。シグネチャの数え方が製品によって異なるからだ。一般に知られている攻撃の手口をシグネチャとして定義している製品もあれば,その手口に含まれる操作1つひとつをシグネチャとしている製品もある。」との記載からすると,「不正アクセスの手口」として,「操作」をデータ化した「シグネチャ」を有する態様が読み取れるから,引用例1には,
“不正アクセスの手口に含まれる操作をデータ化したシグネチャを有”すること
が記載されていると解される。

ウ 上記Cの「IDSが不正アクセスを検知する方法は,大きく2通り。1つが米シスコ・システムズの「Cisco Secure IDS」などが採用しているネットワーク監視型である(図2)。」との記載,上記Dの「もう1つの形態は,ホスト監視型と呼ばれるもの。米アクセント・テクノロジズの「Intruder Alert」などの製品がこの方式を採用している。OSのシステム・ログやアプリケーションのイベント・ログなどを監視し,異常があったときに警告する(図3)。システム・ログの内容やバグはOSによって異なるため,OSごとにシグネチャを用意している(写真2)。」との記載,上記Eの「これに対してホスト監視型は,監視対象のマシンがIDSと異なるセグメントにあっても,監視情報(またはログそのもの)さえ収集できればよい。」との記載からすると,「攻撃・侵入検知システム(IDS)」が不正アクセスを検知する方法として,ネットワーク監視型とホスト監視型があり,その中で,ホスト監視型,すなわち,不正アクセスを検知する方法として,複数のログ・データを監視する態様が読み取れるから,引用例1には,
“不正アクセスを検知するために,複数のログ・データを監視”するステップ
が記載されていると解される。

エ 上記ウでの検討から,「攻撃・侵入検知システム(IDS)」が不正アクセスを検知する方法として,ネットワーク監視型とホスト監視型があり,その中で,ホスト監視型は,不正アクセスを検知するために,複数のログ・データを監視すると解され,また,上記Bの「不正アクセスであるかどうかは,ネットワークを流れるデータやサーバーのログ・データと,IDSが持つ「シグネチャ」と照合することで判断する。」との記載からすると,ホスト監視型は,不正アクセスを検知するために,「サーバー」の「複数のログ・データ」と,IDSが持つ「シグネチャ」とを照合することが読み取れるから,引用例1には,
“サーバーの複数のログ・データとシグネチャとを照合”するステップ
が記載されていると解される。

オ 上記Aの「さらに,ファイアウォールと連携したり, 自らがファイアウォールとして機能して不正アクセスをブロックしたりする製品も増えている。」との記載からすると,「攻撃・侵入検知システム(IDS)」が「ファイアウォール」と連携する態様が読み取れる。
そして,上記Fの「IDSは不正侵入,または攻撃を検知した場合,その内容をログに記録するとともに,さまざまな動作(アクション)を実行できる。…(中略)…。さらに,ほとんどの製品はファイアウォール・ソフトと連携する機能も備える。侵入や攻撃を検知すると,該当するアプリケーションのポートを閉じたり,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する。」との記載からすると,「攻撃・侵入検知システム(IDS)」が「ファイアウォール」と連携する場合には,侵入や攻撃など不正アクセスを検知すると,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する態様が読み取れるから,引用例1には,
“サーバーの複数のログ・データとシグネチャとを照合した結果,ログ・データとシグネチャとが一致した場合に不正アクセスを判断して,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する”ステップ
が記載されていると解される。

(3)以上,ア乃至オの検討によれば,引用例1には次の発明(以下,「引用発明1」という。)が記載されているものと認める。

「攻撃・侵入検知システム(IDS)を用いてサーバーへの不正アクセスを検知する方法であって,
前記不正アクセスの手口に含まれる操作をデータ化したシグネチャを有し,
前記不正アクセスを検知するために,複数のログ・データを監視し,
前記サーバーの前記複数のログ・データと前記シグネチャとを照合し,
前記サーバーの前記複数のログデータと前記シグネチャとを照合した結果,ログ・データとシグネチャとが一致した場合に不正アクセスを判断して,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する方法。」


2 引用例2に記載されている技術的事項及び引用発明2

(1)本願の優先日前に頒布され,当審からの上記平成26年12月22日付け拒絶理由通知において引用された,特開2005-56007号公報(平成17年3月3日出願公開,以下,「引用例2」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

G 「【請求項5】
入力される構造化文書の受け取りの許否を判定する入力データ制限方法において,
文書構造上の許容範囲を示す自由度制限条件が予め定義されており,構造化文書が入力されると,入力された構造化文書の構造を前記自由度制限条件と比較し,
前記入力された構造化文書が前記自由度制限条件を満たしていない場合,前記入力された構造化文書の送信元であるクライアントに関連付けてエラー情報を記録し,
前記クライアントに関連付けられた前記エラー情報が所定の条件を満たした場合,以後の前記クライアントからの構造化文書の入力を拒否する,
ことを特徴とする入力データ制限方法。」

H 「【0006】
【発明が解決しようとする課題】
しかし,インターネットという環境においては,必ずしもクライアントが正当な入力データを送信してくるとは限らない。そのため,XMLを用いて自由度の高いデータの送受信環境を構築すると,悪意のある第三者からの攻撃に対する防御が弱くなってしまう。たとえば,悪意のある第三者が,自由度の高さを逆手に取った不正な構造化文書を送信することで,サーバ側の入力データ処理プログラムの負荷を増大させるケースが考えられる。また,自由度が高いほどセキュリティホールが発生する可能性が高まる。そのセキュリティホールが悪意のある第三者に狙われると,最悪の場合,システムが乗っ取られてしまう。
【0007】
これらのケースでは,単に定められたフォーマットに従っていることをデータ解析によって確認するだけでは不十分であり,自由度を制限して悪意を持つクライアントの攻撃を回避するような仕組みが必要となる。
【0008】
本発明はこのような点に鑑みてなされたものであり,自由度の高い汎用的なフォーマットを持つ構造化文書のうち不正な構造化文書の入力を拒否することができる入力データ制限プログラムおよび入力データ制限方法を提供することを目的とする。」


(2)ここで,上記引用例2に記載されている事項を検討する。

ア 上記Hの「しかし,インターネットという環境においては,必ずしもクライアントが正当な入力データを送信してくるとは限らない。そのため,XMLを用いて自由度の高いデータの送受信環境を構築すると,悪意のある第三者からの攻撃に対する防御が弱くなってしまう。たとえば,悪意のある第三者が,自由度の高さを逆手に取った不正な構造化文書を送信することで,サーバ側の入力データ処理プログラムの負荷を増大させるケースが考えられる。」,「本発明はこのような点に鑑みてなされたものであり,自由度の高い汎用的なフォーマットを持つ構造化文書のうち不正な構造化文書の入力を拒否することができる入力データ制限プログラムおよび入力データ制限方法を提供することを目的とする。」との記載からすると,クライアントからネットワークを介してサーバに入力される不正な構造化文書を拒否する入力データ制限方法が読みとれるから,上記Gの「入力される構造化文書の受け取りの許否を判定する入力データ制限方法」との記載を勘案すると,引用例2には,
“クライアントからネットワークを介してサーバに入力される不正な構造化文書の受け取りの許否を判定する入力データ制限方法”
が記載されていると解される。

イ 上記Gの「前記入力された構造化文書が前記自由度制限条件を満たしていない場合,前記入力された構造化文書の送信元であるクライアントに関連付けてエラー情報を記録し,前記クライアントに関連付けられた前記エラー情報が所定の条件を満たした場合,以後の前記クライアントからの構造化文書の入力を拒否する」との記載からすると,引用例2には,
“入力された構造化文書が自由度制限条件を満たしていない場合,前記入力された構造化文書の送信元であるクライアントに関連付けてエラーログ情報を記録し,前記クライアントに関連付けられた前記エラーログ情報が所定の条件を満たした場合,前記エラーログ情報に対応する前記クライアントからの構造化文書の入力を拒否する”ことが
が記載されていると解される。

(3)以上,ア及びイの検討によれば,引用例2には次の発明(以下,「引用発明2」という。)が記載されているものと認める。

「クライアントからネットワークを介してサーバに入力される不正な構造化文書の受け取りの許否を判定する入力データ制限方法であって,
入力された構造化文書が自由度制限条件を満たしていない場合,前記入力された構造化文書の送信元であるクライアントに関連付けてエラーログ情報を記録し,
前記クライアントに関連付けられた前記エラーログ情報が所定の条件を満たした場合,前記エラーログ情報に対応する前記クライアントからの構造化文書の入力を拒否する,
ことを特徴とする入力データ制限方法。」

3 引用例3に記載されている技術的事項

本願の優先日前に頒布され,当審からの上記平成26年12月22日付け拒絶理由通知において引用された,Office,「実践的侵入検知活用法 侵入検知の実際」,Security MAGAZINE 第2号,日本,株式会社翔泳社,2002年 3月 1日,第8巻,p.107-119(以下,「引用例3」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

J 「ログから不正アクセスに関わると思われる情報だけを扱いやすいように抜き出し,不正アクセスの有無を確認したり,それらの情報利用しやすい書式に整理し,警告を発するなどのアクションを自動的にするのがログファイルモニタだ。ログファイルモニタの代表例には,「LogSurfer」と「Swatch」がある。
■LogSurfer
LogSurferは,リアルタイムにログ監視するためのプログラムである。ログに特定の文字列がないかを監査し,それが発見された場合に特定の動作を行なうことができる。パッケージの動作確認はSolaris2.5でしかなされていないとのことであるが,Linuxをはじめ,多くのUnix環境で動作する。」(第108頁右欄14行?26行)

4 引用例4に記載されている技術的事項

本願の優先日前に頒布され,当審からの上記平成26年12月22日付け拒絶理由通知において引用された,特開2003-67268号公報(平成15年3月7日出願公開,以下,「引用例4」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

K 「【0013】ユーザのセキュリティを維持するために,従来からプロバイダはパケットフィルタリング技術を用いたサービスを提供している。以下その技術について説明する。パケットフィルタリング技術とは,ルータを通過しようとする通信パケットに通過基準を設け,前記通過基準を満たした通信パケットのみルータを通過させ,通過基準を満たさない通信パケットはルータを通過させないようにしたものである。
…(中略)…
【0015】パケットフィルタリングでは,パケットのヘッダに記述された宛先アドレス,送信元アドレス,宛先のポート番号,送信元のポート番号,通信パケットの流れる方向などをチェックし,通信パケットを通過させるかさせないかを決定している。ここで,どのような通信パケットを通過させるかを決定する通過基準は,セキュリティ・ポリシーと呼ばれ,近年プロバイダは各ユーザ毎にセキュリティ・ポリシーを自由に設定できるサービスを提供するようになった。」


第4 参考文献

1 参考文献1に記載されている技術的事項

本願の優先日前に頒布された,特開2006-120138号公報(平成18年5月11日出願公開,以下,「参考文献1」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

L 「【0021】
侵入検知システム302は,本発明の例示されている実施形態により,何らかの侵入の試みから内部ネットワーク301を保護することができる。特に,侵入検知システム302は,ルール・ベースにステートフルの相互プロトコル侵入シグネチャを格納することができ,また以下で,図4および5に関して説明されているように,それらのシグネチャのうちの1つまたは複数と一致する侵入の試みを認識することができる。
【0022】
ファイヤウォール303は,本発明の例示されている実施形態により,選択された入メッセージが内部ネットワーク301にさらに入り込まないように防止することができる。以下で,図6および7に関して説明されているように,ファイヤウォール303は,ルール・ベースにステートフルの相互プロトコル・ルールを格納することができ,またそれに応じてそれらのルールのうちの1つまたは複数に基づき入メッセージをブロックすることができる。」

2 参考文献2に記載されている技術的事項

本願の優先日前に頒布された,特開2006-285500号公報(平成18年10月19日出願公開,以下,「参考文献2」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

M 「【0008】
そこで本発明は,ホスト型ポリシベースIPSの機能により,様々な形態の不正アクセスを検出するとともに,それらによって検出された情報から,その原因となったアクセスに対してプロトコル毎にテンプレートを個別に用意し,ネットワークを介して同様な不正アクセスを受けた際に,それらのリクエストをサービスプログラムが受け付ける前にホスト上で防御する不正アクセスに対する防御ポリシ作成システム及び方法とそのプログラムを提供することを目的とする。」

N 「【0019】
図3は,ポリシ自動生成部19の詳細機能構成を示す。ポリシ自動生成部19は,動作監視部14で生成される不正アクセス情報25と一時記憶領域に記録されていた接続要求時情報26を読み込み,不正アクセスの形態が許可されていないファイルへのアクセスであるか,許可されていないプログラムの起動であるかを判定し,次の処理を決定する不正アクセス形態判定ディスパッチャ91と,そのディスパッチャが次の処理を決定するためのテーブルであるプロトコルマップ情報92と,外部プログラムの直接起動,もしくは接続要求時情報26に含まれるファイル名の直接参照時に,該当箇所を判定するためのプログラム・ファイルチェック手段93と,接続要求時情報26に含まれるデータに対応付けられるファイルに対する不正アクセス判定を行うプロトコル別ファイルマップ手段94と,マップされたファイルへのアクセス方式で,他のファイルに対する不正アクセスと共通箇所を判定するプロトコル別共通データ判定処理96と,それらの結果から,ポリシデータテンプレート97とプロトコル別ポリシ生成ガイド98を読み込んで生成ポリシ21を生成するポリシデータ生成手段95と,これらの処理で判定した不正アクセスの特徴データを蓄積する不正アクセス特徴データ蓄積統計情報27を有する。」


第5 対比

1 本願発明と引用発明1とを対比する。

(1)引用発明1の「サーバー」は,ネットワークを介した不正アクセスなどの攻撃対象であることから,本願発明の「ターゲット犠牲者」に相当し,ネットワークを介してアクセス可能であることから,引用発明1の「サーバー」は「宛先アドレス」を有することは自明である。
また,引用発明1のネットワークを介した「不正アクセス」は,ネットワークを介して「サーバー」が受信するトラフィックとみることができるから,本願発明の「望まれないトラフィック」に相当すると言える。
そうすると,引用発明1の「攻撃・侵入検知システム(IDS)を用いてサーバーへの不正アクセスを検知する方法」は,本願発明の「ターゲット犠牲者が,1つまたは複数の宛先アドレスを有し」,「ターゲット犠牲者によって受信される望まれないトラフィックを検出する方法」に相当すると言える。

(2)引用発明1の「シグネチャ」は,「サーバー」への不正アクセスを識別するために,「不正アクセスの手口に含まれる操作をデータ化した」ものであることから,本願発明の「1つまたは複数のストリング表現」に相当すると言える。
そうすると,引用発明1の「前記不正アクセスの手口に含まれる操作をデータ化したシグネチャを有」することと,本願発明の「1つまたは複数のストリング表現を識別するルール・ベースを維持するステップ」とは後記する点で相違するものの,引用発明1と本願発明とは“1つまたは複数のストリング表現を有”する点で共通すると言える。

(3)引用発明1の「複数のログ・データ」は,「サーバー」に記録された複数のログ・データであって,「サーバー」が受信する「不正アクセス」のみならず,1つまたは複数の要求を含むことは明らかであるから,本願発明の「ログ・ファイル」に相当すると言える。
また,引用発明1は「複数のログ・データを監視」するところ,「サーバー」への不正アクセスの検知のための分析を行っているとみることができる。
そうすると,引用発明1の「前記不正アクセスを検知するために,複数のログ・データを監視」するステップと本願発明の「ログ・ファイル内の1つまたは複数のエラー・エントリを分析するステップであって,前記ログ・ファイルが,前記ターゲット犠牲者によって受信される1つまたは複数の要求を含み,前記1つまたは複数のエラー・エントリが,前記ターゲット犠牲者によって維持された1つまたは複数のファイルの格納された位置への攻撃者による不成功の試みに対応するステップ」とは後記する点で相違するものの,“ログ・ファイル内のエントリを分析するステップであって,前記ログ・ファイルが,前記ターゲット犠牲者によって受信される1つまたは複数の要求を含む,ステップ”である点で共通すると言える。

(4)上記(3)の検討から,引用発明1の「複数のログ・データ」は,「サーバー」に記録された複数のログ・データであって,1つまたは複数の要求を含むことから,本願発明の「ログ・ファイル」に相当すると言える。
また,引用発明1の「シグネチャ」は「不正アクセスの手口に含まれる操作をデータ化した」ものであるところ,上記(2)の検討から,引用発明1の「シグネチャ」は本願発明の「1つまたは複数のストリング表現」に相当すると言えることから,引用発明1の「前記サーバーの前記複数のログ・データと前記シグネチャとを照合」することは,「ログ・ファイル」の「エントリ」が「ストリング表現」と一致する「ストリング」を含むかどうかを判定することに他ならない。
そうすると,引用発明1の「前記サーバーの前記複数のログ・データと前記シグネチャとを照合」するステップと本願発明の「前記不成功の試みのエラー・エントリのうちの少なくとも一つに関連する1つまたは複数の要求が,1つまたは複数の所定の保護されたファイルに関連する前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップ」とは後記する点で相違するものの,“前記エントリのうちの少なくとも一つに関連する1つまたは複数の要求が前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップ”である点で共通すると言える。

(5)引用発明1の「ファイアウォール」は,不正アクセスを判断することから,本願発明の「中央フィルタ」に対応する。
そして,本願発明においては,エラー・エントリに関連する要求が,ルール・ベース内のストリング表現と一致するストリングを含む場合に,「告発メッセージを中央フィルタに送信する」ところ,不正アクセスを管理するための手段である「中央フィルタ」と連携するとみることができるから,本願発明と引用発明1とは,“不正アクセス管理手段と連携する”点で共通していると言える。
そうすると,引用発明1の「前記サーバーの前記複数のログデータと前記シグネチャとを照合した結果,ログ・データとシグネチャとが一致した場合に不正アクセスを判断して,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する」ステップと本願発明の「前記不成功の試みのエラー・エントリのうちの少なくとも一つに関連する1つまたは複数の要求が,1つまたは複数の所定の保護されたファイルに関連する前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に,告発メッセージを中央フィルタに送信するステップ」とは後記する点で相違するものの,“前記エントリのうちの少なくとも一つに関連する1つまたは複数の要求が前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に,不正アクセス管理手段と連携するステップ”である点で共通すると言える。

2 以上から,本願発明と引用発明1とは,以下の点で一致し,また,以下の点で相違する。

(一致点)

「ターゲット犠牲者によって受信される望まれないトラフィックを検出する方法であって,前記ターゲット犠牲者が,1つまたは複数の宛先アドレスを有し,前記方法が,
1つまたは複数のストリング表現を有し,
ログ・ファイル内のエントリを分析するステップであって,前記ログ・ファイルが,前記ターゲット犠牲者によって受信される1つまたは複数の要求を含む,ステップと,
前記エントリのうちの少なくとも一つに関連する1つまたは複数の要求が前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップと,
前記エントリのうちの少なくとも一つに関連する1つまたは複数の要求が前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に,不正アクセス管理手段と連携するステップとを含むことを特徴とする望まれないトラフィックを検出する方法。」

(相違点1)
望まれないトラフィックを検出するためのストリング表現に関し,本願発明は,「1つまたは複数のストリング表現を識別するルール・ベースを維持する」のに対して,引用発明1は,ストリング表現(シグネチャ)を識別するルール・ベースを維持することについて言及がない点。

(相違点2)
分析対象とするログ・ファイル内のエントリに関し,本願発明は,「ログ・ファイル内の1つまたは複数のエラー・エントリを分析」し,「前記1つまたは複数のエラー・エントリが,前記ターゲット犠牲者によって維持された1つまたは複数のファイルの格納された位置への攻撃者による不成功の試みに対応する」のに対して,引用発明1は,「サーバーのログデータをシグネチャと照合することにより分析」するものであり,サーバーによって維持されたファイルの格納された位置への攻撃者による不成功の試みに対応するエラー・エントリに限定して分析することについて言及がない点。

(相違点3)
ルールベース内のストリング表現に関し,本願発明は,「1つまたは複数の所定の保護されたファイルに関連する」のに対して,引用発明1は,ルールベース(シグネチャ)内のストリング表現が保護されたファイルに関連するかどうか明記されていない点。

(相違点4)
望まれないストリングを検出した場合の不正アクセス管理手段との連携に関し,本願発明では,「告発メッセージを中央フィルタに送信する」のに対して,引用発明1では,「アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処置をファイアウォールに依頼する」点。


第6 当審の判断

上記相違点1乃至4について検討する。

1 相違点1について

引用例1の上記Bに「新しく発見された攻撃の手口についても,バージョン・アップごとに対応している。最近ではベンダーのサイトからダウンロードして新規シグネチャを追加できる製品,独自のスクリプトなどでシグネチャを定義できる製品なども登場している。スキルのあるユーザーならば,新しい手口が発見されたときにすぐに対応できる。」と記載されるように,「シグネチャ」を新しい手口に対応させる必要があることは,本願優先日前には当該技術分野の技術常識であった。
一方,引用例3(上記J,表1を参照)に記載されるように,IDSによるログの監視に関して,パターンマッチさせる編集可能なルールを正規表現で記述し,ログに特定の文字列(ストリング)がないかを監査することが周知の態様であり,また,参考文献1(上記Lを参照)に記載されるように,IDSのルール・ベースにシグネチャを格納してメッセージと照合することも,本願優先日前には当該技術分野の周知技術であった。
そして,引用発明1において,上記周知技術を適用し,ストリング表現を識別するためにルール・ベースを具備し,維持すること,すなわち,上記相違点1に係る構成とすることは,当業者が容易に想到し得たことである。

2 相違点2について

引用発明1は,サーバーのログデータを特にエラーデータに限定することなくシグネチャと照合して分析するところ,上記引用発明2のごとく,クライアントから構造化文書が入力された際のエラーログ情報を対象に分析して,所定の条件を満たしたエラーログ情報に対応する構造化文書の入力を拒否することは,本願優先日前には当該技術分野において公知の技術であった。
そして,引用発明1と引用発明2は共に,ログデータと所定のルールとを比較照合して,ネットワークを介して入力される攻撃性の高い情報を検知することを課題としている点で共通しており,引用例1の上記Eの記載からすると,監視対象ごとに収集するログを設定する必要がある旨の示唆が読み取れる。
そうすると,引用発明1において上記引用発明2を適用し,適宜,サーバーのログデータ内のエラー情報を分析し,前記エラー情報に対応するアクセス要求がシグネチャに登録された文字列を含むかどうか判定すること,すなわち,上記相違点2に係る構成とすることは,当業者が容易に想到し得たことである。

3 相違点3について

引用発明1は,シグネチャに不正アクセスの手口を維持するところ,セキュリティ技術の分野において,所定ファイルへの不正アクセスを検出して防御する旨の技術は,例えば,参考文献2(上記M,Nを参照)に記載されるように,本願優先日前に当該技術分野の周知技術であった。
そして,不正アクセスから防御する必要がある所定ファイルは,当該システム内で保護された所定ファイルであると言える。
そうすると,引用発明1において参考文献2に記載の周知技術を適用し,シグネチャに維持する不正アクセスの手口を,適宜,所定の保護されたファイルに関連するストリング表現とすること,すなわち,上記相違点3に係る構成とすることは,当業者が容易に想到し得たことである。

4 相違点4について

引用発明1では,「サーバーの前記複数のログデータと前記シグネチャとを照合した結果,ログ・データとシグネチャとが一致した場合に不正アクセスを判断して,アクセス元のIPアドレスからのアクセスを一時的に遮断するといった処理をファイアウォールに依頼する」ところ,不正アクセスの遮断を依頼するため,IDSが不正アクセスに係る「アクセス元のIPアドレス」などの情報を「ファイアウォール」に送信することは明らかである。
また,引用例4(0013,0015段等)に記載されるように,プロバイダが実行するパケットフィルタリング技術を用いたサービスにおいて,パケットのヘッダに記述された宛先アドレス,送信元アドレス,宛先のポート番号,送信元のポート番号,通信パケットの流れる方向などをチェックし,フィルタリングにより通信パケットを通過させるか否かを決定する旨の技術が本願優先日前には当該技術分野の周知技術であった。
そうすると,引用発明1において引用例4に記載の周知のフィルタリング技術を適用し,不正アクセスを一時的に遮断する処理をファイアウォールに依頼することに替えて,適宜,不正アクセスに係る情報を中央フィルタに送信するように構成すること,すなわち,上記相違点4に係る構成とすることは,当業者が容易に想到し得たことである。

5 小括

上記で検討したごとく,相違点1乃至4に係る構成は当業者が容易に想到し得たものであり,そして,これらの相違点を総合的に勘案しても,本願発明の奏する作用効果は,上記引用発明1,引用発明2及び引用例3,4などに記載の当該技術分野の周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。


第7 むすび

以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。

よって,結論のとおり審決する。
 
審理終結日 2015-06-08 
結審通知日 2015-06-09 
審決日 2015-06-22 
出願番号 特願2009-535273(P2009-535273)
審決分類 P 1 8・ 121- WZ (G06F)
最終処分 不成立  
前審関与審査官 平井 誠  
特許庁審判長 山崎 達也
特許庁審判官 辻本 泰隆
石井 茂和
発明の名称 ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置  
代理人 岡部 讓  
代理人 吉澤 弘司  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ