• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 H04L
審判 査定不服 特17条の2、3項新規事項追加の補正 取り消して特許、登録 H04L
管理番号 1347251
審判番号 不服2018-3673  
総通号数 230 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2019-02-22 
種別 拒絶査定不服の審決 
審判請求日 2018-03-14 
確定日 2019-01-15 
事件の表示 特願2016-538551「仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御」拒絶査定不服審判事件〔平成27年 6月18日国際公開、WO2015/089319、平成28年12月22日国内公表、特表2016-540446、請求項の数(15)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯
本願は、2014年(平成26年)12月11日(パリ条約による優先権主張外国庁受理 2013年12月11日、米国)を国際出願日とする出願であって、平成29年5月12日付けの拒絶理由の通知に対し、平成29年8月23日に意見書が提出され、平成29年10月31日付けで拒絶査定(原査定)がされ、これに対し、平成30年3月14日に拒絶査定不服審判の請求がされると同時に手続補正がされたものである。

第2 原査定の概要
原査定(平成29年10月31日付け拒絶査定)の概要は次のとおりである。

1.本願請求項1-6,8に係る発明は、以下の引用文献1に記載された発明であるから、特許法第29条第1項第3号に該当し、特許を受けることができない。

2.本願請求項1-15に係る発明は、以下の引用文献1に基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
1.国際公開第2013/145780号

第3 審判請求時の補正について
審判請求時の補正は、特許法第17条の2第3項から第6項までの要件に違反しているものとはいえない。
まず、審判請求時の補正によって請求項1の記載
「前記アクセス制御サービスと通信して、前記サービスによって実行される前記リソースインスタンスに関連するポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し」

「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定し、前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し」
とする補正について検討する。
当該補正はアクセス制御サービスと通信をして行う事項を限定するものであるから、特許請求の範囲の減縮を目的とするものである。また、当初明細書の【0037】には「少なくともいくつかの実施形態では、VMM212は、ホスト210におけるリソースインスタンス214のプライベートIPアドレスの認識に加えて、ホスト210におけるリソースインスタンス214が担ったロールを認識するまたは見出すこともできる。VMM212は、リソースインスタンス214が担ったロールを決定すると、アクセス制御サービス230と通信して、ロールに関連するポリシが存在するか否かを決定し、そしてポリシが存在する場合には、ネットワークパケットによって示されるターゲットまでの接続が許可されているか否かを決定することができる。」との記載があること、また、【0068】の、「図8は、少なくともいくつかの実施形態に従う、プリンシパルがロールを担い、ロールがポリシを有し、かつロールについてのポリシの評価に基づいてアクセスを許可または拒否する、オーバーレイネットワーク接続におけるアクセス制御方法のフローチャートである。アクセス制御方法は、例えば、ポリシ評価のためにアクセス制御サービスを使用する、プロバイダネットワークにおけるカプセル化層プロセスによって、例えば、それぞれのホストシステムにおける一つ以上のクライアントリソースインスタンス(VM)をその各々が率いる、ホストシステムにおける仮想マシンモニタ(VMM)によって実行することができる。」との記載とともに、【0070】には、「804に示すように、プリンシパルが担ったロールを決定することができる。806に示すように、ロールについてのポリシを識別することができる。808に示すように、ポリシに従い接続リクエストを評価することができる。要素804?806を実行するために、例えば、VMMは、プリンシパルについての情報(例えば、ソースリソースインスタンスの一つ以上のリソース識別子などのアイデンティティ情報)、及びターゲットについての情報を、図3に図示するようなアクセス制御サービスに通信することができる。」との記載があることからみて、当初明細書にはVMM212(請求項1における「ホストデバイス」に対応)がロールに関連するポリシを決定するためにアクセス制御サービス230と通信することが記載されているから、新規事項を追加するものではないといえる。
請求項9の記載「前記プリンシパルに関連するポリシの評価に従い」を「前記プリンシパルに関連するポリシを決定し、前記ポリシの評価に従い」とする補正についても、接続を許可するかを判断するために行う事項を限定するものであるから、特許請求の範囲の減縮を目的とするものであり、また、ロールはプリンシパルの一例であるから(【0035】)、プリンシパルに関連するポリシを決定することは、上述のように当初明細書の【0037】、【0070】等に記載されており、新規事項を追加するものではないといえる。
そして、「第4 本願発明」から「第6 対比・判断」までに示すように、補正後の請求項1-15に係る発明は、独立特許要件を満たすものである。

第4 本願発明
本願請求項1-15に係る発明(以下、それぞれ「本願発明1」-「本願発明15」という。)は、平成30年3月14日付けの手続補正で補正された特許請求の範囲の請求項1-15に記載された事項により特定される発明であり、以下のとおりの発明である。

「 【請求項1】
ネットワーク基板と、
プロバイダネットワークにおいてポリシを管理及び評価するように構成されたアクセス制御サービスを実施する一つ以上のコンピューティングデバイスと、
一つ以上のリソースインスタンスをその各々が実装する複数のホストデバイスと、を備えており、
前記ホストデバイスの一つ以上が、各々、
前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し、
前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定し、前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し、
前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可された場合には、一つ以上のネットワークパケットを、前記リソースインスタンスから、前記ネットワーク基板にわたるオーバーレイネットワークパスを通じて前記ターゲットに送信し、
前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可されなかった場合には、前記ネットワークパケットを前記ターゲットに送信することなく、前記ネットワークパケットを廃棄するように構成された、プロバイダネットワーク。
【請求項2】
前記ターゲットが、前記プロバイダネットワークにおける別のリソースインスタンス、または別のネットワークにおけるエンドポイントである、請求項1に記載のプロバイダネットワーク。
【請求項3】
前記リソースインスタンス及び前記ターゲットが、共に、前記プロバイダネットワークにおける特定のクライアントのプライベートネットワーク実装内のリソースインスタンスである、請求項1に記載のプロバイダネットワーク。
【請求項4】
前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定するために、前記アクセス制御サービスが、さらに、前記ターゲットに関連するポリシを決定及び評価するように構成され、前記リソースインスタンスに関連する前記ポリシ及び前記ターゲットに関連する前記ポリシの両方が前記接続を許可する場合に、前記リソースインスタンスについてのみ、前記ターゲットへの接続をオープンにすることを許可する、請求項1に記載のプロバイダネットワーク。
【請求項5】
前記リソースインスタンスが、前記ホストデバイスにおける仮想マシン(VM)として実装され、各ホストデバイスが、前記それぞれのホストデバイスにおける複数の仮想マシン(VM)をモニタする仮想マシンモニタ(VMM)を含み、前記ホストデバイスにおける前記VMMが、前述の取得、前述のアクセス及び前述の送信を実行する、請求項1に記載のプロバイダネットワーク。
【請求項6】
前記リソースインスタンスに関連する前記ポリシを評価するために、前記アクセス制御サービスが、
前記プロバイダネットワークにおける特定のクライアントのプライベートネットワーク実装におけるロールを前記リソースインスタンスが担ったことを決定し、
前記リソースインスタンスが担った前記ロールに関連するポリシを決定し、
前記ロールに関連する前記ポリシを評価するように構成された、請求項1に記載のプロバイダネットワーク。
【請求項7】
前記一つ以上のネットワークパケットを、前記リソースインスタンスから、前記ネットワーク基板にわたるオーバーレイネットワークパスを通じて前記ターゲットに送信するために、前記ホストデバイスが、
カプセル化プロトコルに従い前記一つ以上のネットワークパケットをカプセル化して、一つ以上のカプセル化パケットを生成し、
前記カプセル化パケットを、前記カプセル化パケットにおけるルーティング情報に従い、前記ターゲットに伝送されるように前記ネットワーク基板に送信するように構成された、請求項1に記載のプロバイダネットワーク。
【請求項8】
前記ネットワーク基板に実装されたオーバーレイネットワーク外部のエンドポイントと通信して、前記オーバーレイネットワークにおける前記エンドポイントについてのアイデンティティを構築し、
前記アクセス制御サービスにアクセスして、ターゲットリソースインスタンスに関連するポリシの評価に従い、前記エンドポイントについての、前記オーバーレイネットワークを通じた前記ターゲットリソースインスタンスへの接続をオープンにすることを許可することを決定し、
前述の決定に応答して、一つ以上のネットワークパケットを、前記エンドポイントから、前記ネットワーク基板にわたるオーバーレイネットワークパスを通じて前記ターゲットリソースインスタンスに送信するように構成された一つ以上のネットワークデバイスをさらに備えた、請求項1に記載のプロバイダネットワーク。
【請求項9】
プロバイダネットワーク内のホストデバイスに実装されたカプセル化層プロセスによって、前記ホストデバイスに実装された一つ以上のリソースインスタンスのうちの一つから、ターゲットエンドポイントに導かれるネットワークパケットを取得することと、
前記プロバイダネットワークにおけるアイデンティティ及びアクセス管理環境に従い、前記リソースインスタンスをプリンシパルとして識別することを決定することと、
前記プリンシパルに関連するポリシを決定し、前記ポリシの評価に従い、前記プリンシ-パルについての、前記ターゲットエンドポイントへの接続をオープンにすることを許可することを決定することと、
前記プリンシパルが前記ターゲットエンドポイントへの接続をオープンにすることを許可されたことの前述の決定に応答して、
一つ以上のカプセル化パケットを生成するためのカプセル化プロトコルに従い、前記リソースインスタンスからの一つ以上のネットワークパケットをカプセル化し、前記ターゲットエンドポイントに導くことと、及び
前記一つ以上のカプセル化パケットを、前記カプセル化パケットにおけるルーティング情報に従い、前記ターゲットエンドポイントに伝送されるように前記プロバイダネットワークのネットワーク基板に送信することと、を含む、方法。
【請求項10】
前記リソースインスタンス及び前記ターゲットエンドポイントが、共に、前記プロバイダネットワークにおける特定のクライアントのプライベートネットワーク実装内のリソースインスタンスである、請求項9に記載の方法。
【請求項11】
前記プリンシパルに関連するポリシの認可ステートメントの評価に従う、前記プリンシパルについての、前記ターゲットエンドポイントへの接続をオープンにすることを許可することの前述の決定が、
前記カプセル化層プロセスがポリシ評価リクエストを前記プロバイダネットワークにおけるアクセス制御サービスに送信することと、
前記アクセス制御サービスによって、前記プリンシパルに関連する前記ポリシを決定することと、
前記アクセス制御サービスによって、前記プリンシパルに関連する前記ポリシにおける一つ以上の認可ステートメントを評価して、前記プリンシパルについての、前記ターゲットエンドポイントに関連するリソースへの接続をオープンにすることを前記ポリシが許可することを決定することと、及び
前記プリンシパルについての、前記ターゲットエンドポイントへの接続をオープンにすることが許可されたことを、前記カプセル化層プロセスに示すことと、を含む、請求項9に記載の方法。
【請求項12】
前記アクセス制御サービスが、さらに、前記ターゲットエンドポイントに関連する前記リソースに関連するポリシの決定及び評価を実行し、前記プリンシパルに関連する前記ポリシ及び前記リソースに関連する前記ポリシの両方が前記接続を許可する場合に、前記プリンシパルについてのみ、前記リソースへの接続をオープンにすることを許可する、請求項11に記載の方法。
【請求項13】
前記プリンシパルに関連する前記ポリシにおける各認可ステートメントが、認可を許可または拒否するかについての一つ以上のアクション、前記認可ステートメントが適用される一つ以上のリソース、及び前記示された一つ以上のアクションが前記示された一つ以上のリソースについて許可または拒否されるかを示す、請求項11に記載の方法。
【請求項14】
前記カプセル化層プロセスによって、前記アイデンティティ及びアクセス管理環境に従い、前記プリンシパルとして識別されたリソースインスタンスから、別のターゲットエンドポイントに導かれる前記他のネットワークパケットを取得することと、
前記プリンシパルに関連するポリシの評価に従い、前記プリンシパルについての、前記他のターゲットエンドポイントへの接続をオープンにすることを許可しないことを決定することと、及び
前述の決定に応答して、前記ネットワークパケットを前記他のターゲットエンドポイントに送信せずに、前記他のネットワークパケットを廃棄することと、をさらに含む、請求項9に記載の方法。
【請求項15】
前記プリンシパルに関連するポリシの評価に従う、前記プリンシパルについての、前記ターゲットエンドポイントへの接続をオープンにすることを許可することの前述の決定が、
前記プロバイダネットワークにおける特定のクライアントのプライベートネットワーク実装におけるロールを前記プリンシパルが担ったことを決定することと、ここで、前記プリンシパルに関連する前記ポリシが、前記プリンシパルが担った前記ロールに関連するポリシであり、及び
前記ロールに関連する前記ポリシを評価して、前記プリンシパルについての、前記ターゲットエンドポイントへの接続をオープンにすることを許可することを決定することと、を含む、請求項9に記載の方法。」

第5 引用文献1、引用発明について
原査定の拒絶の理由に引用された引用文献1には、図面とともに次の事項が記載されている。なお、下線は当審にて付与したものである。

「[0101] As illustrated in Fig. 12, in the second exemplary embodiment, the communication system includes the communication policy management apparatus 70. This communication policy management apparatus 70 determines an access rule indicating access authorization of the virtual machine 320 created by the user terminal 50 with respect to other virtual machines.

[0102] Fig. 14 illustrates a configuration of the communication policy management apparatus 70 in Fig. 12.

[0103] As illustrated in Fig. 14, the communication policy management apparatus 70 includes the communication policy storage unit 71 and a policy control unit 72.

[0104] The communication policy storage unit 71 stores communication policies and resource information.

[0105] Fig. 15 illustrates communication policies stored in the communication policy storage unit 71. As illustrated in Fig. 15, the communication policy storage unit 71 stores a resource group ID and access control information corresponding to the resource group per role ID. For example, when the access control information represents allow, access is permitted, and when the access control information represents deny, access is rejected. For example, the communication policy in the second row in Fig. 15 indicates that a virtual machine having role ID role_0001 is permitted (allow) to access a resource group having resource group ID resource_group_0002. Likewise, for example, the communication policy in the third row in Fig. 15 indicates that a virtual machine having role ID role_0002 is not prohibited to access the resource group having resource group ID resource_group_0001.

[0106] Fig. 16 illustrates resource information stored in the communication policy storage unit 71. As illustrated in Fig. 16, the communication policy storage unit 71 stores, per resource group ID, virtual resources included in a resource group and information about the virtual resources that are associated with each other. In Fig. 16, for example, the communication policy storage unit 71 stores a resource group identified by resource group ID resource_group_0001 and the resource group is associated with resource_0001, resource_0002, and resource_0003 as resources included in the group. In addition, the communication policy storage unit 71 stores information about each of the resources (for example, IP addresses, MAC addresses, and port numbers used for services).

[0107] Based on such communication policy and resource information stored in the communication policy storage unit 71 and authentication information supplied from the virtual machine management apparatus 400, the policy control unit 72 creates an access rule about access authorization of the virtual machine 320 created by the user terminal 50. The policy control unit 72 notifies the control apparatus 10 of the created access rule.

[0108] Fig. 17 illustrates access rules indicating access authorization of the virtual machine 320 created by the policy control unit 72 with respect to other virtual machines. In a source field in Fig. 17, information about the virtual machine 320, creation of which is requested by the user terminal 50, is stored (for example, an IP address or a MAC address). The information stored in the source field is created from the attribute field in the authentication information transmitted from the authentication apparatus 60 to the policy management apparatus 70.

[0109] In a destination field in Fig. 17, information about a virtual resource is stored (for example, the IP address of the resource, the MAC address of the resource, or resource information about a port number used for a service). The information stored in the destination field is created from the resource attribute field in the resource information stored in the communication policy storage unit 71.

[0110] In an access authority field in Fig. 17, information about access control is stored. The information stored in the access authority field is created from the access authority field in the communication policies stored in the communication policy storage unit 71.

[0111] In a condition (option) field in Fig. 17, for example, a port number used for a service set in the resource attribute field in the resource information stored in the communication policy storage unit 71 is set.

[0112] For example, as illustrated in the fourth row in the table in Fig. 17, the policy control unit 72 creates an access rule indicating that a virtual machine having source address 192.168.100.1 is prohibited (deny) to communicate with a virtual machine having a destination address 192.168.0.3 and notifies the control apparatus 10 of the access rule.

[0113] If change of a virtual machine arranged in a virtual resource 300 is caused, the policy control unit 72 updates a corresponding communication policy and resource information stored in the policy storage unit 71. For example, when the policy control unit 72 is notified of logical network information by the virtual machine management apparatus 400 and recognizes change of a resource in a resource group, the policy control unit 72 updates the correspondence relationship between the resource group ID and the resource ID included in the resource information.

[0114] For example, the communication policy management apparatus 70 according to the second exemplary embodiment creates, modifies, and deletes policies, in response to a request from the user terminal 50. Such communication policy management mechanism (policy management system) may be provided as a Web-based system or an application that operates on a separate PC (Personal Computer). In addition, the policy management mechanism of the communication policy management apparatus 70 can be provided through an application using GUI (Graphical User Interface). Alternatively, CLI (Command Line Interface) or an arbitrary mode may be used.

[0115] When notified of an access rule by the communication policy management apparatus 70, the control apparatus 10 calculates a packet forwarding path based on the access rule and determines a processing rule for realizing the calculated forwarding path. The control apparatus 10 notifies the forwarding node 20 and the virtual forwarding node 310 of the determined processing rule. The control apparatus 10 may set a valid period in the determined processing rule. In such case, the control apparatus 10 sets the valid period so that, when the valid period elapses after the processing rule is set in the forwarding node 210 and the virtual forwarding node 310 or after a packet matching the matching rule is received last, the processing rule is invalidated or deleted.」

(引用文献1のパテントファミリである特表2015-515205号公報の【0101】?【0115】、【0120】?【0122】を参照して、当審仮訳)
【0101】
図12に示すように、第2の実施形態において、通信システムは、通信ポリシ管理装置70を含む。通信ポリシ管理装置70は、ユーザ端末50が作成する仮想マシン320による他の仮想マシンへのアクセスの可否を示すアクセスルールを決定する。
【0102】
図14は、図12における通信ポリシ管理装置70の構成例を示す図である。
【0103】
図14に示すように、通信ポリシ管理装置70は、通信ポリシ記憶部71と、ポリシ制御部72とを備えて構成される。
【0104】
通信ポリシ記憶部71は、通信ポリシと、リソース情報とを記憶する。
【0105】
図15は、通信ポリシ記憶部71が記憶する通信ポリシの一例である。図15の例では、通信ポリシ記憶部71は、ロールID毎に、リソースグループIDと、そのリソースグループに対するアクセス制限に関する情報とが記憶される。アクセス制限に関する情報は、例えば、アクセスを許可することをallowで、アクセスを拒否することをdenyで示す。図15の2行目の通信ポリシは、例えば、ロールID:role_0001の仮想マシンは、リソースグループID:resource_group_0002のリソースグループに、アクセスが許可されている(allow)ことを示す。同様に、図15の3行目の通信ポリシは、例えば、ロールID:role_0002の仮想マシンが、リソースグループID:resource_group_0001のリソースグループに、アクセスが禁止されていることを示す。
【0106】
図16は、通信ポリシ記憶部71が記憶するリソース情報の一例である。図16の例では、通信ポリシ記憶部71は、リソースグループID毎に、そのリソースグループに含まれる仮想リソースと、その仮想リソースの情報とを対応付けて記憶する。図16を参照すると、通信ポリシ記憶部71は、例えば、リソースグループIDがresource_group_0001で特定されるグループに、そのグループに含まれるリソースとしてresource_0001と、resource_0002と、resource_0003とを対応付けて記憶し、それぞれのリソースに関する情報(例えば、IPアドレス、MACアドレス、および、サービスに利用するポート番号など)を記憶する。
【0107】
ポリシ制御部72は、通信ポリシ記憶部71に記憶されている通信ポリシおよびリソース情報と、仮想マシン管理装置400から通知される認証情報とに基づいて、ユーザ端末50が作成する仮想マシン320のアクセス可否に関するアクセスルールを作成する。ポリシ制御部72は、作成したアクセスルールを、制御装置10に通知する。
【0108】
図17は、ポリシ制御部72が作成する、仮想マシン320による他の仮想マシンに対するアクセス可否を示すアクセスルールである。図17において、送信元フィールドには、ユーザ端末50が作成を要求した仮想マシン320に関する情報(例えば、IPアドレスやMACアドレス)が格納される。送信元フィールドに格納される情報は、認証装置60がポリシ管理装置70に送信する認証情報の属性フィールドから作成する。
【0109】
図17において、宛先フィールドは、仮想リソースに関する情報(例えば、リソースのIPアドレス、MACアドレス、および、サービスに利用するポート番号の情報)が記憶される。宛先フィールドに格納される情報は、通信ポリシ記憶部71に記憶されたリソース情報のリソース属性フィールドから作成する。
【0110】
図17において、アクセス権限フィールドには、アクセス制限に関する情報が格納される。アクセス権限フィールドに格納される情報は、通信ポリシ記憶部71の通信ポリシのアクセス権限フィールドから作成される。
【0111】
図17において、条件(オプション)フィールドには、例えば、通信ポリシ記憶部71に記憶されたリソース情報のリソース属性フィールドに設定されているサービスに利用するポート番号が設定される。
【0112】
ポリシ制御部72は、例えば、図17のテーブルの4行目目に示すように、送信元アドレス:192.168.100.1の仮想マシンが、宛先アドレス:192.168.0.3の仮想マシンと通信が不可(deny)というアクセスルールを作成し、制御装置10へ通知する。
【0113】
ポリシ制御部72は、仮想リソース300に配置される仮想マシンに変更が生じた場合、ポリシ記憶部71に記憶する通信ポリシとリソース情報とを更新する。ポリシ制御部72は、例えば、仮想マシン管理装置400から論理ネットワーク情報の通知を受け、リソースグループに含まれるリソースに変更があったことに応じて、リソース情報に含まれるリソースグループIDとリソースIDとの対応関係を更新する。
【0114】
第2の実施形態の通信ポリシ管理装置70は、ユーザ端末50からの要求を受けて、ポリシの作成や修正、削除等を行う。このような通信ポリシ管理の仕組み(ポリシ管理システム)は、Webベースのシステムとして提供してもよいし、独立したPC(Personal Computer)上で動くアプリケーションとして提供してもよい。また、通信ポリシ管理装置70のポリシ管理の仕組みは、GUI(Graphical User Interface)を用いたアプリケーションで提供されるだけでなく、CLI(Command Line Interface)で提供されてもよいし、その他どのような形態であってもよい。
【0115】
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求める。制御装置10は、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知する。なお、制御装置10は、求める処理規則に有効期限を設けてもよい。この場合、制御装置10は、処理規則が転送ノード210および仮想転送ノード310に設定されてから、または、最後に照合規則に適合するパケットを受信してから有効期限が経過した場合に、その処理規則が無効になるように、または、その処理規則が削除されるように設定する。

「[0120] The forwarding node 20 and the virtual forwarding node 310 receive the processing rule from the control apparatus 10 and set the processing rule (step S108 in Fig. 18).

[0121] The user terminal 50 transmits a packet addressed to the virtual machine 320 (step S109 in Fig. 18).

[0122] The packet transmitted from the user terminal 50 is sequentially forwarded to the forwarding node 20 and the virtual forwarding node 310. The forwarding node 20 and the virtual forwarding node 310 forward the packet in accordance with the processing rule set by the control apparatus 10 (step S110 in Fig. 18).」

(当審仮訳)
【0120】
転送ノード20および仮想転送ノード310は、制御装置10からの処理規則を受け取り、処理規則を設定する(図18のS108)。
【0121】
ユーザ端末50は、仮想マシン320宛のパケットを送信する(図18のS109)。
【0122】
ユーザ端末50から送信されたパケットは、転送ノード20および仮想転送ノード310へと順に転送される。転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する(図18のS110)。

また、図12を参照すると、仮想リソース300の中に仮想転送ノード310があり、その配下に仮想マシン320が配置されていることが読み取れる。

さらに、図17を参照すると、アクセスルールには、送信元、宛先ごとにアクセス権限(allow,deny)が設定されていることが読み取れる。

以上の記載、特に下線部によれば、上記引用文献1には次の発明(以下、「引用発明」という。)が記載されていると認められる。

「通信ポリシ管理装置70を備え、
通信ポリシ管理装置70は、ユーザ端末50が作成する仮想マシン320による他の仮想マシンへのアクセスの可否を示すアクセスルールを決定するものであって、
ここで、仮想リソース300の中に仮想転送ノード310があり、その配下に仮想マシン320が配置されており、
通信ポリシ管理装置70は、通信ポリシ記憶部71と、ポリシ制御部72とを備えて構成され、
通信ポリシ記憶部71は、通信ポリシと、リソース情報とを記憶し、
ポリシ制御部72は、通信ポリシ記憶部71に記憶されている通信ポリシおよびリソース情報と、仮想マシン管理装置400から通知される認証情報とに基づいて、ユーザ端末50が作成する仮想マシン320のアクセス可否に関するアクセスルールを作成し、
アクセスルールには、送信元、宛先ごとにアクセス権限(allow,deny)が設定されており、
ポリシ制御部72は、作成したアクセスルールを、制御装置10に通知し、
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求め、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知し、
転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する、
通信システム。」

第6 対比・判断
1.本願発明1について
(1)対比
本願発明1と引用発明とを対比すると、次のことがいえる。

引用発明における「通信システム」は、図12のように仮想マシンやユーザ端末の間を接続するネットワークを有するものであるから、本願発明1における「プロバイダネットワーク」に相当する。
また、引用発明における「通信ポリシ管理装置70」は、「通信ポリシ記憶部71と、ポリシ制御部72とを備えて構成され」るものであり、「通信ポリシ記憶部71は、通信ポリシと、リソース情報とを記憶」するものであるからポリシの管理を行っており、「ポリシ制御部72は、通信ポリシ記憶部71に記憶されている通信ポリシおよびリソース情報と、仮想マシン管理装置400から通知される認証情報とに基づいて、ユーザ端末50が作成する仮想マシン320のアクセス可否に関するアクセスルールを作成」することによりポリシを評価してアクセス制御サービスを実施しているから、本願発明1における「プロバイダネットワークにおいてポリシを管理及び評価するように構成されたアクセス制御サービスを実施する一つ以上のコンピューティングデバイス」に相当する。
さらに、引用発明において「通信ポリシ管理装置70は、ユーザ端末50が作成する仮想マシン320による他の仮想マシンへのアクセスの可否を示すアクセスルールを決定するものであって、ここで、仮想リソース300の中に仮想転送ノード310があり、その配下に仮想マシン320が配置されている」ことは、仮想マシン320から他の仮想リソースにある仮想マシンへアクセスすることを意味しており、ここで、引用発明の「仮想マシン320」、「仮想リソース300」はそれぞれ本願発明1の「リソースインスタンス」、「ホストデバイス」に相当するから、本願発明1において「一つ以上のリソースインスタンスをその各々が実装する複数のホストデバイスと、を備え」るとともに、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得」することに相当する。
また、引用発明において「ポリシ制御部72は、通信ポリシ記憶部71に記憶されている通信ポリシおよびリソース情報と、仮想マシン管理装置400から通知される認証情報とに基づいて、ユーザ端末50が作成する仮想マシン320のアクセス可否に関するアクセスルールを作成」することは、本願発明1において「前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定」することに相当する。
さらに、引用発明において
「ポリシ制御部72は、作成したアクセスルールを、制御装置10に通知し、
制御装置10は、通信ポリシ管理装置70からアクセスルールの通知を受けると、アクセスルールに基づいてパケットの転送経路を計算し、計算した転送経路を実現するための処理規則を求め、求めた処理規則を、転送ノード20と、仮想転送ノード310に通知し、
転送ノード20および仮想転送ノード310は、制御装置10によって設定された処理規則にしたがってパケットを転送する」ことは、アクセルルールに基づいたアクセス制御を仮想転送ノードにて行うものであり、ここで、「アクセスルールには、送信元、宛先ごとにアクセス権限(allow,deny)が設定されて」おり、アクセスが許可される(allow)場合には、宛先(本願発明1における「ターゲット」に相当する)にパケットを送信し、アクセスが許可されない(deny)場合にはパケットを廃棄するものであるから、本願発明1において、
「前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可された場合には、一つ以上のネットワークパケットを、前記リソースインスタンスから、前記ターゲットに送信し、
前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可されなかった場合には、前記ネットワークパケットを前記ターゲットに送信することなく、前記ネットワークパケットを廃棄するように構成」
することに相当する。

したがって、本願発明1と引用発明との間には、次の一致点、相違点があるといえる。

(一致点)
プロバイダネットワークにおいてポリシを管理及び評価するように構成されたアクセス制御サービスを実施する一つ以上のコンピューティングデバイスと、
一つ以上のリソースインスタンスをその各々が実装する複数のホストデバイスと、を備えており、
前記ホストデバイスの一つ以上が、各々、
前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し、
前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し、
前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可された場合には、一つ以上のネットワークパケットを、前記リソースインスタンスから前記ターゲットに送信し、
前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可されなかった場合には、前記ネットワークパケットを前記ターゲットに送信することなく、前記ネットワークパケットを廃棄するように構成された、プロバイダネットワーク。

(相違点)
(相違点1)本願発明1は、「前記ポリシに従い前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを前記リソースインスタンスが許可された場合には、一つ以上のネットワークパケットを、前記リソースインスタンスから、前記ネットワーク基板にわたるオーバーレイネットワークパスを通じて前記ターゲットに送信」するものであるのに対し、引用発明は、そのような特定はされていない点。

(相違点2)本願発明1は、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定」するものであるのに対し、引用発明は、ポリシ制御部72において、「前記リソースインスタンスに関連するポリシを決定」するものであるとはいえるものの、その決定が、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して」するものではない点。

(2)相違点についての判断
事案に鑑み、まず、相違点2について検討する。相違点2に係る本願発明1の、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定」することについて、引用発明においても、通信ポリシ管理装置70のポリシ制御部72が、通信ポリシとして保存されているロールIDごとのアクセス権限を認識(決定)した後に、アクセスルールを作成しているから、「前記リソースインスタンスに関連するポリシを決定」はしているものと認められる。
しかしながら、引用発明は、ユーザ端末からのアクセスルールの変更の指示を受け付けた場合に、すべての通信ポリシを参照してアクセスルールの変更を行い、各転送ノード、仮想転送ノードに当該アクセスルールを実現するための処理規則を事前に配信しておくものであり、引用発明において、通信ポリシ監視装置70がポリシを決定してアクセスルールを作成するのは、ユーザ端末からアクセスルールの変更を指示されたときのみであるから、本願発明1のように「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定」するものではないし、また、引用発明をそのように変更しようとする動機付けも存在しない。
これに対し、本願発明1は、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定」し、当該決定されたポリシをアクセス制御サービスが評価する、という構成を有しており、このような構成とすることによって、すべての処理規則を事前に配信しておかなくとも、ソース、ターゲット両方に関連するポリシが存在する場合に、両方のポリシを評価した上で接続の可否を決定することができるという効果を奏するものであるから、このような構成とすることが単なる設計的事項であるとはいえない。
したがって、上記相違点1について判断するまでもなく、本願発明1は、当業者であっても、引用発明に基づいて容易に発明できたものであるとはいえない。

2.本願発明2-8について
本願発明2-8も、本願発明1と同様に、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定」するという構成を有するものであるから、本願発明1と同じ理由により、当業者であっても、引用発明に基づいて容易に発明できたものとはいえない。

3.本願発明9-15について
本願発明9-15も、本願発明1の相違点2に実質的に対応する、「プロバイダネットワーク内のホストデバイスに実装されたカプセル化層プロセスによって、前記ホストデバイスに実装された一つ以上のリソースインスタンスのうちの一つから、ターゲットエンドポイントに導かれるネットワークパケットを取得」し、「前記プロバイダネットワークにおけるアイデンティティ及びアクセス管理環境に従い、前記リソースインスタンスをプリンシパルとして識別することを決定することと、前記プリンシパルに関連するポリシを決定」するという構成を有するものであるから、本願発明1と同じ理由により、当業者であっても、引用発明に基づいて容易に発明できたものとはいえない。

第7 原査定について
1.理由1(特許法第29条第1項第3号)について
審判請求時の補正により、本願発明1-6,8は、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定し、前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し」という事項を有するものとなっているため、引用文献1に記載された発明であるとはいえない。したがって、原査定の理由を維持することはできない。

2.理由2(特許法第29条第2項)について
審判請求時の補正により、本願発明1-8は、「前記ホストデバイスの一つ以上が、各々、前記それぞれのホストデバイスにおいてリソースインスタンスからネットワークパケットを取得し」た後に、「前記アクセス制御サービスと通信して、前記リソースインスタンスに関連するポリシを決定し、前記アクセス制御サービスによって実行される前記リソースインスタンスに関連する前記ポリシの評価に従い、前記リソースインスタンスについての、前記ネットワークパケットによって示されるターゲットへの接続をオープンにすることを許可するか否かを決定し」という事項を有するものとなっており、本願発明9-15は、「プロバイダネットワーク内のホストデバイスに実装されたカプセル化層プロセスによって、前記ホストデバイスに実装された一つ以上のリソースインスタンスのうちの一つから、ターゲットエンドポイントに導かれるネットワークパケットを取得」し、「前記プロバイダネットワークにおけるアイデンティティ及びアクセス管理環境に従い、前記リソースインスタンスをプリンシパルとして識別することを決定することと、前記プリンシパルに関連するポリシを決定」するという事項を有するものとなっているため、本願発明1-15は、当業者であっても、拒絶査定において引用された引用文献1に基づいて、容易に発明できたものとはいえない。したがって、原査定の理由を維持することはできない。

第8 むすび
以上のとおり、原査定の理由によっては、本願を拒絶することはできない。
また、他に本願を拒絶すべき理由を発見しない。
よって、結論のとおり審決する。
 
審決日 2018-12-17 
出願番号 特願2016-538551(P2016-538551)
審決分類 P 1 8・ 121- WY (H04L)
P 1 8・ 561- WY (H04L)
最終処分 成立  
前審関与審査官 玉木 宏治速水 雄太  
特許庁審判長 千葉 輝久
特許庁審判官 菊地 陽一
稲葉 和生
発明の名称 仮想ネットワークにおけるアイデンティティ及びアクセス管理ベースのアクセス制御  
代理人 山川 政樹  
代理人 山川 茂樹  
代理人 小池 勇三  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ