• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 取り消して特許、登録 G06F
審判 査定不服 2項進歩性 取り消して特許、登録 G06F
管理番号 1351971
審判番号 不服2018-7271  
総通号数 235 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2019-07-26 
種別 拒絶査定不服の審決 
審判請求日 2018-05-29 
確定日 2019-06-11 
事件の表示 特願2016-524325「仮想マシンをホスティングする暗号的に保証されたリソース」拒絶査定不服審判事件〔平成27年 1月 8日国際公開、WO2015/002992、平成28年 9月 5日国内公表、特表2016-526734、請求項の数(9)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯
本願は,2014年(平成26年)7月1日(パリ条約による優先権主張外国庁受理2013年7月1日,米国)を国際出願日とする出願であって,平成29年4月25日付けで拒絶理由通知がされ,平成29年8月1日付けで意見書が提出されるとともに手続補正がされ,平成30年1月25日付けで拒絶査定(原査定)がされ,これに対し,平成30年5月29日に拒絶査定不服審判の請求がされると同時に手続補正がされ,平成30年8月20日付けで前置報告がされ,平成30年11月8日付けで上申書が提出され,平成31年1月23日付けで当審より拒絶理由通知がされ,平成31年3月25日付けで意見書が提出されるとともに手続補正がされたものである。

第2 本願発明
本願請求項1-9に係る発明(以下,それぞれ「本願発明1」-「本願発明9」という。)は,平成31年3月25日付けの手続補正で補正された特許請求の範囲の請求項1-9に記載された事項により特定される発明であり,本願発明1は以下のとおりの発明である。

「 【請求項1】
コンピュータ実施方法であって,
ユーザの仮想マシンをプロビジョニングする要求を受信すること,
前記要求の受信に応答して,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること,
前記選択されたホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの暗号測定を得ること,ここにおいて,前記暗号測定は,前記ホスト・コンピューティング・デバイス上のソフトウエア及び/またはハードウェアのリソースのハッシュ測定を含み,
前記ユーザから前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成の選択を受信すること,
前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの前記特別な構成に関連する既知の承認された暗号測定を決定すること,
前記暗号測定が,前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認すること,及び
前記ユーザに,前記一致することの確認に基づいて,前記ホスト・コンピューティング・デバイス上の前記仮想マシンへのアクセスを提供すること,
を含む,コンピュータ実施方法。」

本願発明2-6は,本願発明1を減縮した発明である。
本願発明7は,本願発明1に対応するコンピューティング・システムの発明であり,本願発明1とカテゴリ表現が異なるだけの発明である。
本願発明8-9は,本願発明7を減縮した発明である。

第3 引用文献,引用発明等
1.引用文献1について
原査定の拒絶の理由に引用された引用文献1(特開2012-190441号公報)には,図面とともに次の事項が記載されている。(下線は当審で付与した。以下,同様。)

A 「【0014】
まずは,図1を参照されたい。クラウドコンピューティングシステムに係る一実施形態が参照番号20として本明細書に表されている。該システムは,クラウド(22)を備えており,該クラウドは,複数のサーバー(24)を備えており,各サーバーは,上記以外の装置のうち以下を備えている:プロセッサー(26),入出力装置(28,30),ランダムアクセスメモリ(RAM)(32),リードオンリメモリ(ROM)(34),及び磁気ディスク又は他の長期ストレージ(36)。サーバー(24)は,クラウドコントローラー(38)を介して,外部のネットワーク又は他の通信媒体(40)と接続されている。
【0015】
また,外部ネットワーク(40)には,エンタープライズ(enterprise,46)のエンタープライスエージェント(enterprise agent,42)及びエンタープライスキーマネージャー(44)が接続されている。前記エンタープライスエージェント(42)自身は,サーバー(24)と一般的に構造が類似したコンピュータであってもよいが,入出力装置(28,30)を備えるコンソール(48)を介して人間の管理者による直接のコントロールの下に置かれる。キーマネージャー(44)自身は,サーバー(24)と一般的に構造が類似したコンピュータであってもよいが,コンソール(48)での人間の管理者による直接又は間接のコントロールの下に置かれる。典型的なクラウド(22)は数多くの独立したエンタープライスエージェント(42)と接続することができる。そして,該エージェントのうちの幾つか又は全ては自身のキーマネージャー(44)を所有することができる。しかし,簡明にする目的で,本明細書では,単一のエンタープライスエージェント(42)及びキーマネージャー(44)について詳細に記載・図示する。
【0016】
クラウド(22)の動作において,クラウドコントローラー(38)はクラウド(22)内の利用可能なリソースを追跡する。そして,エージェント(42)を介したエンタープライズ(46)からの要求を満たすためにリソースを割り当てる。また,クラウドコントローラー(38)は,エンタープライス(46)に既に割り当てられたリソースを追跡する。そして,エンタープライスエージェント(42)が,透過的に利用可能にした前記リソースを要求したときに,確認したうえで,特定の割り当てられたリソースにアクセスする資格を特定のエンタープライスエージェント(42)に与えることを保証する。また,エンタープライスエージェント(42)が属しているエンタープライス(46)のクラウド動作が,第三者にサービスや情報を提供することを含む場合には,クラウドコントローラー(38)は,前記第三者とエンタープライスエージェント(42)に割り当てられたリソースとの間での通信も管理することができる。クラウドコントローラー(38)自身は,1以上のサーバー(24)又は構造的に類似したコンピュータデバイスであってもよい。クラウド(22)用の様々な構造及びそれらの操作方法が周知となっている。簡略化を目的としてこれ以上の説明は割愛する。
【0017】
次に図2を参照されたい。クラウドコンピューティングの方法の一例において,ステップ(102)では,クラウド(22)が構築され,組織化され,そして,稼動する。これらは複雑な手続ではあるが,当業者に知られた態様で実行することができる。そこで,簡略化を目的としてこれ以上の詳細な説明は割愛する。
【0018】
ステップ(104)では,エンタープライス(46)は,エンタープライスエージェント(42)を介して,クラウド(22)からの仮想マシン(VM,50)用のリソースを要求する。クラウド(22)は,クラウドコントローラー(38)の動作を介して,以下の操作を行う:使用していないときに仮想マシンをディスクイメージとして保存することができるストレージ(36)を割り当てること;使用しているときに仮想マシンを実行するためのプロセッサー容量(26)及びRAM(32)の割り当てを許可すること。ステップ(106)では,エンタープライスエージェント(42)の管理者が仮想マシン(50)のディスクイメージ(52)をクラウドストレージ(36)にアップロードする。ディスクイメージ(52)は,小さなプリブート環境(PBE,54)を除いて強力な暗号化が行われる。周知ではあるが,暗号化の強度は状況に応じて選択することができる。一般的に,暗号化の強度は,典型的なパスワード(典型的には数十ビット以下)と比べて,少なくともかなり強力であるべきである。また,暗号化の強度は,攻撃者にとっての価値を上回る,又は復号化に成功することにより生じるエンタープライス(46)への被害を上回るリソースを消費することなくブルートフォースアタックを実行することがコンピューター的に不可能であるようにするのに少なくとも充分であってもよい。書込みの際に,128ビットの対称暗号化又はその均等物は,多くの目的に適する可能性がある。しかし,ブルートフォースアタックに利用可能なコンピュータ処理能力は時代と共に増加することが予想される。そこで,暗号化の強度を挙げて補強することができる。ディスクイメージ(52)は,たとえ暗号化された形態や難読化された形態であっても復号鍵(キー)を含まない。また,エンタープライスエージェント(42)の管理者は,証明キー(例えば,ディスクイメージ(52)用のチェックサム,ハッシュ,又は他の認証データ)をクラウドコントローラー(38)にアップロードする。
【0019】
(途中省略)
【0020】
ステップ(108)では,エンタープライスエージェント(42)の管理者は,仮想マシン(50)を稼動させることを望んでいる。エンタープライスエージェント(42)は,クラウドコントローラー(38)との安全な接続を確立する。典型的には,本発明の方法及びシステムとは独立して既に確立されたプライベートチャンネルシステムを用いる。こうしたチャンネルでは,セキュアソケットレイヤー(SSL)又はIPSec等の一般的に利用可能な通信保護プロトコルを用いることができる。或いは,エンタープライスエージェント(42)の管理者とクラウドコントローラー(38)との間で事前に合意された別の保護形態を用いることができる。現在商業用に稼動している,あるクラウドコンピューティングシステムでは,クラウドコントローラーによって発行された(又は証明された)証明書を用いたHTTPS及び/又はSSHを利用している。このようにして,エンタープライスエージェント(42)とクラウドコントローラー(38)とが該チャンネルを用いて互いに通信することができる。エンタープライスエージェント(42)は,クラウドコントローラー(38)に命令(コマンド)を送り,仮想マシン(50)を起動するようクラウドコントローラー(38)を変更する。前記命令には,エンタープライスエージェント(42)の証明書を認証することも含まれる。前記命令には,前記通信上でのレコードアンドリプレイ攻撃(record-and-replay attacks)を防ぐために,ノンス(nonce,number used once),又は他のセッション識別子を含めることができる。ノンスのほかに,エンタープライスエージェント(42)は,一度だけ使用可能なSSLクライアント証明書(及び秘密鍵)を提供することができる。そして,キーマネージャー(44)は,前記証明書が以降のステップ(116)において提示されることを予想し,一度だけ使用することを許可する。クラウドコントローラー(38)が完全には信頼されていない場合の予防策として,これらの最初の認証データを暗号化形態で提供することができる。そして,復号鍵は,非暗号化形態で(任意では難読化形態でもよいが),仮想マシン(50)のプリブート環境内に存在しなければならない。
【0021】
その後,VM(50)は,第二のプライベートチャンネルをセットアップし,該チャンネルはエンタープライスエージェント(42)と直接につながっており,例えクラウドコントローラー(38)であっても該コントローラーから保護されている。該実施形態において,エンタープライスエージェント(42)とゲストVM(50)とのチャンネルはHTTPSリンクである。SSLのクライアント側がゲストVM(50)から開始されると仮定して,クライアント証明は,静的に(ゲストごとに)割り当てられたキーペアか,上述したような一度限りのキーペアの何れかであってよい。
【0022】
SSL認証に加えて,ゲストVM(50)は,該マシンが稼動している環境の「測定値」(measurement)を収集する。該測定値は,マシン環境のサイン証明として提示される。まず,測定値として,仮想化環境に関するメタデータが含まれ,例えばVMのIPアドレス,クラウドインフラ名称,場所,及びVMインスタンスIDが挙げられる。これらは,全て,仮想化メタデータインターフェースを介して集められる。
【0023】
前記メタデータを介して提供された測定値は,どこでゲストVM(50)が起動中であるかについての証明となる。即ち,ゲストVMの下で稼動しているハードウェアプラットホーム,BIOSコード,及びハイパーバイザを測定している。このことにより,予想外のものがインフラの一部として稼動していないこと,そして,インフラの単一かつ特定のバージョンが稼動していることを暗号的に保証している。サインされた証明をキーマネージャーが受け取ると,最初に,該キーマネージャーは,署名を確認して,該署名が信頼できる筋(インフラの認証局)から来たことを確認する。次に,ホワイトリスト内にある一群の知られた良好なフィンガープリントと測定値(最終的にはハッシュフィンガープリント)とを比較する。前記測定値は,TPM測定と等しい(又は結果的に等しい)ものを意図する。そして,別の実施形態では,実際,環境の暗号的な測定値について,仮想化サーバーのTPMチップによってサインすることができる。
【0024】
こうして確認された測定値により,VM(50)がどこで稼動しているかに関するハードウェア・ルート・オブ・トラスト・バック(hardware-root-of-trust back)がエンタープライスエージェント(42)に正確に提供される。その後,レポートされた環境が,エンタープライスエージェントが予想した環境のあるべき状態と一致しない場合には,エンタープライスエージェント(42)は,VM(50)の起動をキャンセルし,または他の防衛手段を講じる。
【0025】
ステップ(110)において,クラウドコントローラー(38)は,ディスクイメージ(52)用の証明キーを確認し,適切なプロセッサ(26)及びRAM(32)リソースを割り当て,仮想マシン(50)を初期化し,並びにプリブート環境(54)を起動する。この段階では,プリブート環境(54)は別として,仮想マシン(50)は依然として暗号化されている。ディスクイメージ(52)の暗号化された部分は,クラウドコントローラー(38)によって仮想マシン(50)にマッピングされた関連ストレージを用いて,ディスクストレージ(36)上で物理的に維持することができる。また,クラウドコントローラー(38)は,ステップ(108)で受け取った命令の少なくとも一部をプリブート環境(54)に渡す。
【0026】
ステップ(112)では,エンタープライスエージェント(42)が,第二のプライベートチャンネルを用いて新たに起動された仮想マシン(50)を呼び出し,VM(50)のIPアドレス及び他の特定情報を手に入れる。一旦,第二のプライベートチャンネルが確立されると,通信は,たとえクラウドコントローラー(38)であっても該コントローラに対して保護される。
【0027】
ステップ(114)では,エンタープライスエージェント(42)によって提供された証明書をプリブート環境(54)が確認して,適切に起動されたことを保証する。プリブート環境(54)は,その後,キーマネージャー(44)と接続して,自分自身の身元証明書と,ノンスを含むエンタープライスエージェント(42)から受け取った起動命令の少なくとも一部とを提示する。また,プリブート環境(54)は,前記メッセージに自分自身のノンスを追加することもできる。
【0028】
(途中省略)
【0029】
ステップ(116)において,キーマネージャー(44)は,プリブート環境(54)によって提示された証明書を確認する。キーマネージャー(44)は,ノンスのコピー又は更なるワンタイムパスワードのコピーをエンタープライスエージェント(42)から直接受け取ったり,要求したりすることができる。或いは,前記ノンスが擬似乱数である場合には,キーマネージャー(44)は,確認目的で同一のノンスを生成することができる。また,キーマネージャー(44)は,仮想マシン(50)のインスタンスの起動を許可する旨の通知をエンタープライスエージェント(42)から受け取ったり,又は要求することができる。
【0030】
ステップ(118)では,キーマネージャー(44)がプリブート環境(54)に正しいディスクラッピングキーを提供する。そして,プリブート環境(54)がディスクイメージ(52)を復号化すること,及び仮想マシン(50)の稼動インスタンスを起動することを可能にする。ディスクイメージ(52)復号後すぐにディスクラッピングキーは削除される。
【0031】
ステップ(120)では,リモートコンソールとして作用するエンタープライスエージェント(42)とともに仮想マシン(50)が実行される段階に進む。一旦仮想マシン(50)が起動して実行されると,エンタープライスエージェント(42)から仮想マシン(50)への安全なプライベート接続を確立することができる。」

したがって,上記引用文献1には次の発明(以下,「引用発明」という。)が記載されていると認められる。

「クラウドコンピューティングシステムは,クラウド(22)を備えており,
該クラウドは,複数のサーバー(24)を備えており,
各サーバーは,プロセッサー(26),入出力装置(28,30),ランダムアクセスメモリ(RAM)(32),リードオンリメモリ(ROM)(34),及び磁気ディスク又は他の長期ストレージ(36)を備えており,
サーバー(24)は,クラウドコントローラー(38)を介して,外部のネットワーク(40)と接続されており,
外部ネットワーク(40)には,エンタープライズ(46)のエンタープライスエージェント(42)及びエンタープライスキーマネージャー(44)が接続されており,
クラウドコントローラー(38)は,クラウド(22)内の利用可能なリソースを追跡し,エージェント(42)を介したエンタープライズ(46)からの要求を満たすためにリソースを割り当て,エンタープライズ(46)に既に割り当てられたリソースを追跡し,エンタープライスエージェント(42)が,透過的に利用可能にした前記リソースを要求したときに,確認したうえで,特定の割り当てられたリソースにアクセスする資格を特定のエンタープライスエージェント(42)に与えることを保証し,
クラウドコントローラー(38)は,1以上のサーバー(24)又は構造的に類似したコンピュータデバイスであってもよく,
クラウドコンピューティングの方法において,
ステップ(102)では,クラウド(22)が構築され,組織化され,そして,稼動し,
ステップ(104)では,エンタープライズ(46)は,エンタープライスエージェント(42)を介して,クラウド(22)からの仮想マシン(VM,50)用のリソースを要求し,
クラウド(22)は,クラウドコントローラー(38)の動作を介して,使用していないときに仮想マシンをディスクイメージとして保存することができるストレージ(36)を割り当て,使用しているときに仮想マシンを実行するためのプロセッサー容量(26)及びRAM(32)の割り当てを許可し,
ステップ(106)では,エンタープライスエージェント(42)の管理者が仮想マシン(50)のディスクイメージ(52)をクラウドストレージ(36)にアップロードし,
ステップ(108)では,エンタープライスエージェント(42)の管理者は,仮想マシン(50)を稼動させることを望んでおり,
エンタープライスエージェント(42)は,クラウドコントローラー(38)との安全な接続を確立し,
エンタープライスエージェント(42)とクラウドコントローラー(38)とが該チャンネルを用いて互いに通信することができ,
エンタープライスエージェント(42)は,クラウドコントローラー(38)に命令(コマンド)を送り,仮想マシン(50)を起動するようクラウドコントローラー(38)を変更し,
VM(50)は,第二のプライベートチャンネルをセットアップし,該チャンネルはエンタープライスエージェント(42)と直接につながっており,
エンタープライスエージェント(42)とゲストVM(50)とのチャンネルはHTTPSリンクであり,
ゲストVM(50)は,該マシンが稼動している環境の「測定値」を収集し,
該測定値は,マシン環境のサイン証明として提示され,
測定値として,仮想化環境に関するメタデータ,例えばVMのIPアドレス,クラウドインフラ名称,場所,及びVMインスタンスIDが含まれ,
前記メタデータを介して提供された測定値は,どこでゲストVM(50)が起動中であるかについての証明となり,
ゲストVMの下で稼動しているハードウェアプラットホーム,BIOSコード,及びハイパーバイザを測定することにより,予想外のものがインフラの一部として稼動していないこと,そして,インフラの単一かつ特定のバージョンが稼動していることを暗号的に保証しており,
サインされた証明をキーマネージャーが受け取ると,該キーマネージャーは,ホワイトリスト内にある一群の知られた良好なフィンガープリントと測定値(最終的にはハッシュフィンガープリント)とを比較し,
前記測定値は,TPM測定と等しいものを意図し,
確認された測定値により,VM(50)がどこで稼動しているかに関するハードウェア・ルート・オブ・トラスト・バックがエンタープライスエージェント(42)に正確に提供され,
その後,レポートされた環境が,エンタープライスエージェントが予想した環境のあるべき状態と一致しない場合には,エンタープライスエージェント(42)は,VM(50)の起動をキャンセルし,
ステップ(110)において,クラウドコントローラー(38)は,適切なプロセッサ(26)及びRAM(32)リソースを割り当て,仮想マシン(50)を初期化し,
ステップ(112)では,エンタープライスエージェント(42)が,第二のプライベートチャンネルを用いて新たに起動された仮想マシン(50)を呼び出し,VM(50)のIPアドレス及び他の特定情報を手に入れ,
ステップ(114)では,エンタープライスエージェント(42)によって提供された証明書をプリブート環境(54)が確認して,適切に起動されたことを保証し,
ステップ(116)において,キーマネージャー(44)は,プリブート環境(54)によって提示された証明書を確認し,
ステップ(118)では,キーマネージャー(44)がプリブート環境(54)に正しいディスクラッピングキーを提供し,プリブート環境(54)が仮想マシン(50)の稼動インスタンスを起動することを可能にし,
ステップ(120)では,リモートコンソールとして作用するエンタープライスエージェント(42)とともに仮想マシン(50)が実行される段階に進む,
方法。」(当審注:「エンタープライス(46)」は「エンタープライズ(46)」として記載を統一した。)

2.引用文献2について
また,原査定の拒絶の理由に引用された引用文献2(米国特許出願公開第2008/0083039号明細書)には,図面とともに次の事項が記載されている。

B 「[0009] Referring to FIG. 2A and FIG. 3 , the integrity measurement module 111 creates a measurement value by measuring related component when a predetermined event is generated in the platform of the integrity attestation target system 110 at step S 110 . Herein, the predetermined event is any event that can influence the integrity of a platform, such as program execution, and update. The component denotes any elements that can influence the integrity of the computing platform. For example, the component may be an operating system, a configuration file, a program, a library, and etc. Particularly, the integrity measurement module 111 calculates the hash value of the even that can influence the integrity and the related component at step S 120 .」
(当審仮訳:[0009]図2Aおよび図3で,完全性測定モジュール111は,ステップS110において,完全性証明ターゲットシステム110のプラットフォームに所定のイベントが生成されたときに,関連するコンポーネントを測定することによって測定値を生成する。ここで,所定のイベントは,プログラム実行,更新など,プラットフォームの完全性に影響を与えることができる任意のイベントである。コンポーネントは,コンピューティングプラットフォームの完全性に影響を及ぼすことができる任意の要素を示す。例えば,コンポーネントは,オペレーティングシステム,構成ファイル,プログラム,ライブラリなどであってもよい。具体的には,完全性測定モジュール111は,ステップS120において,完全性と関連するコンポーネントに影響を及ぼす可能性のあるもののハッシュ値を計算する。)

C 「[0046] FIG. 5A and FIG. 5B are flowcharts illustrating a method for attesting the integrity of the computing platform according to an embodiment of the present invention. The method for attesting the integrity according to the present embodiment is embodied through the integrity attestation target system 210 and the verification server 220 . FIG. 5A shows an integrity attestation method in the integrity attestation target system 210 , and FIG. 5B shows an integrity attestation method in the verification server.
[0047] Referring to FIG. 5A , whenever an event influencing the integrity occurs in the computing platform, the integrity attestation target system 210 measures components related to an event and creates the measurement value at step S 310 . As described above, the measurement value may be created by performing a hash calculation on the related component. Furthermore, it is preferable to record the components having the identical hash value, which is created when the measurement value is created, once. The integrity measurement module 211 creates the measurement value.
[0048]
(途中省略)
[0053] When the data for verifying the integrity are prepared from the verification server 220 , the integrity attestation target system 210 transmits the prepared data to the verification server 220 for the verification server 220 to verify the integrity of itself at step S 370 . The data transferred to the verification server for attesting the integrity includes a measurement list, a PCR value, a sign for the PCR value, a certification including a key for confirming the sign, and an encryption value of a hidden parameter for confirming whether the hidden measurement value is created from the integrity verified components or not. As described above, the measurement list includes hidden measurement values and information for identifying each of the hidden measurement values. Whenever the hidden measurement value is created, the PCR value is updates with a value generated by performing a hash operation on the previous PCR value with the created hidden measurement value.
[0054] The verification server 220 attests the integrity of the target system 210 from information formed of hidden measurement value transferred from the integrity attestation target system 210 as shown in FIG. 5B .
[0055]
(途中省略)
[0059] If three verifications are all success, the verification server 220 determines that the integrity of the target system 210 is sustained at step S 490 . If at least one of the three verifications is failed, the verification server 220 determines that the integrity of the integrity attestation target system 210 is not sustained at step S 510 .
[0060] When the verification server 220 determines that the integrity of the target system 210 is sustained, the verification server 220 creates certification data for certifying that the integrity of the target system 210 is sustained so as to open this information to the other external system at step S 500 . The certification data may include information for identifying an integrity attestation target system and the certification thereof. Also, the certification data may include a certification for a PCR value embodied as the hidden measurement value. The certification data may be formed in various formats.」
(当審仮訳:[0046]図5Aおよび図5Bは,本発明の一実施形態によるコンピューティングプラットフォームの完全性を証明するための方法を示すフローチャートである。本実施形態による完全性を証明する方法は,完全性証明ターゲットシステム210及び検証サーバ220を介して具現化される。図5Aは,完全性証明ターゲットシステム210における完全性証明方法を示し,図5Bは検証サーバ内の完全性証明方法を示す。
[0047]図5Aで,完全性に影響するイベントがコンピューティングプラットフォーム内で発生する場合にはいつでも,完全性証明ターゲットシステム210は,イベントに関連するコンポーネントを測定し,ステップS310において測定値を生成する。上述したように,測定値は,関連するコンポーネントに対してハッシュ計算を実行することによって生成することができる。また,測定値を生成した際に生成されるハッシュ値が同一であるコンポーネントを一旦記録することが好ましい。完全性測定モジュール211は,測定値を生成する。
[0048]
(途中省略)
[0053]検証サーバ220から完全性検証用データが準備されると,完全性証明ターゲットシステム210は,ステップS370において,検証サーバ220が自身の完全性を検証するために,準備されたデータを検証サーバ220に送信する。完全性を証明するための検証サーバに転送されるデータは,測定リスト,PCR値,PCR値の符号,署名を確認するための鍵を含む証明書,隠された測定値が完全性検証されたコンポーネントから作成されたか否かを確認するための隠しパラメータの暗号化値を含む。上記のように,測定リストは,隠された測定値と隠された測定値の各々を識別するための情報とを含んでいる。隠された測定値が生成されるたびに,PCR値は,生成された隠された測定値を用いて前のPCR値にハッシュ演算を実行することによって生成された値を用いて更新される。
[0054]検証サーバ220は,図5Bに示すように,完全性証明ターゲットシステム210から転送された隠された測定値からなる情報から,ターゲットシステム210の完全性を検証する。
[0055]
(途中省略)
[0059]検証サーバ220は,3つの検証がすべて成功した場合,ステップS490において,対象システム210の完全性が維持されていると判定する。3つの検証のうち少なくとも一つが失敗した場合には,検証サーバ220は,ステップS510において完全性証明ターゲットシステム210の完全性が維持されていないと判定する。
[0060]検証サーバ220は,対象システム210の完全性が維持されていると判定した場合,ステップS500において,検証サーバ220は,対象システム210の完全性が維持されていることを証明するための証明データを作成し,他の外部システムに公開する。認証データは,完全性証明対象システムを識別する情報と,その証明とを含むことができる。また,証明データは,隠された測定値として具体化されたPCR値の証明を含むことができる。証明データは種々のフォーマットで形成することができる。)

3.引用文献3について
また,拒絶査定において周知技術を示す文献として引用された引用文献3(特開2012-198631号公報)には,図面とともに次の事項が記載されている。

D 「【0015】
以下,本発明の一実施形態について,図面を参照して説明する。
図1は,本実施形態による仮想マシン配置装置20を備えた仮想マシン提供システム1の構成を示すブロック図である。仮想マシン提供システム1は,仮想マシン配置装置20の他に,ユーザ端末10と,物理マシン30-1,物理マシン30-2,物理マシン30-3,・・・とのコンピュータ装置を備えており,これらのコンピュータ装置はネットワークを介して接続されている。複数の物理マシン30は同様の構成であり,特に区別しない場合には「-1」,「-2」等を省略して物理マシン30として説明する。
【0016】
仮想マシン提供システム1は,ユーザ端末10からの仮想マシンの起動要求に応じて,複数の物理マシン30によって構成される仮想環境に仮想マシンを起動させ,ユーザ端末10に利用させるリソース提供サービスを提供する。このようなサービスはクラウドサービスなどとも呼ばれるものである。
【0017】
ユーザ端末10は,仮想マシン提供システム1によって提供される仮想マシンを利用するユーザのコンピュータ装置である。ユーザ端末10は,ユーザからの入力に応じて,仮想マシンの起動要求を仮想マシン配置装置20に送信する。ユーザ端末10は,起動された仮想マシンにネットワークを介して接続し,利用することができる。図2は,本実施形態においてユーザ端末10からの起動要求によって起動される複数の仮想マシンの例を示す図である。ここでは,WEBサーバである仮想マシンAと,WEBサーバである仮想マシンBと,AP(Application)サーバである仮想マシンCと,APサーバである仮想マシンDと,DB(DataBase)サーバである仮想マシンEとの5台の仮想マシンが起動され,このような三層構造の仮想マシンが互いに協調して動作するウェブサービスを提供する。また,ここでは,1台のユーザ端末10を示して説明するが,仮想マシン提供システム1には複数のユーザの複数のユーザ端末10が接続されていて良い。
【0018】
仮想マシン配置装置20は,ユーザ端末10からの仮想マシンの起動要求に応じて,複数の物理マシン30のいずれかに仮想マシンを起動させるクラウド管理装置である。仮想マシン配置装置20は,通信部21と,処理特性記憶部22と,仮想マシン配置情報記憶部23と,仮想マシン配置部24と,処理特性計測部25とを備えている。
通信部21は,ネットワークを介して接続された他のコンピュータ装置と通信を行う。例えば,通信部21は,ユーザ端末10から送信される,起動したい仮想マシンを識別する仮想マシン識別情報(仮想マシンID)が含まれる起動要求や,その仮想マシンの処理特性等の情報を受信する。
【0019】
処理特性記憶部22には,物理マシン30において仮想マシンが動作する際の処理負荷が高いハードウェア処理の種別を示す処理特性が記憶されている。ハードウェア処理の種別には,CPU(Central Processing Unit)とディスクI/OとネットワークI/O(Input/Output)とのいずれかまたは複数が含まれる。ディスクI/Oは,ハードディスクの読み書き処理であり,ネットワークI/Oは,ネットワークを介した他のコンピュータ装置との通信処理である。
【0020】
図3は,処理特性記憶部22に記憶される処理特性のデータ例を示す図である。ここでは,処理特性記憶部22には,仮想マシンを識別する仮想マシンIDに対応付けて,役割と,処理特性とが記憶される。さらに,依存関係を示す情報が付加されていても良い。役割は,例えば,三層構造のウェブサービスにおけるその仮想マシンの役割を示す情報であり,WEBサーバ,APサーバ,DBサーバなどが存在する。あるいは,例えば,ファイアウォールなどの役割であっても良い。処理特性は,仮想マシンの役割に応じた処理負荷が高いことが予想されるハードウェア処理の種別を示す。ハードウェア処理には,例えば,CPU動作,ディスクI/O,ネットワークI/Oなどがある。例えば,WEBサーバであればCPUとネットワークI/Oの処理負荷が高く,APサーバであればCPUの処理負荷が高く,DBサーバであればディスクI/Oの処理負荷が高いことなどが考えられる。このように,仮想マシンIDには処理負荷の高い複数の処理特性が対応付けられても良い。特に処理負荷の高いハードウェア処理が存在しない場合は,処理特性は対応付けられないようにしても良い。
【0021】
ここで,同一の役割を持つ仮想マシンが同一の物理マシンに起動されると,特定の種別のハードウェア処理の処理負荷が過剰になり,仮想マシンの動作が,同一の物理マシンで動作する他の仮想マシンの動作に影響を与えることが考えられる。そこで,例えば,WEBサーバである仮想マシンAは,同様のハードウェア処理の処理負荷が高いWEBサーバである仮想マシンBとは異なる物理マシンに起動されることが望ましい。依存関係は,このような仮想マシン間の関係を示している。このような依存関係を参照すれば,システム構成,仮想マシン間の通信の有無や頻度等に応じた仮想マシンの配置を行うことができる。例えば,WEBサーバである仮想マシンAと仮想マシンBとは,冗長化や負荷分散等を考慮し,異なる物理マシン30上に配置されることが望ましい。また,通信を行う仮想マシンを同一の物理マシン30に配置すれば,ネットワークリソースを効率化することができるため,仮想マシンAと仮想マシンCまたは仮想マシンD,仮想マシンBと仮想マシンCまたは仮想マシンDは同一の物理マシン30上に配置されることが望ましい。また,処理特性がCPUまたはネットワークI/OであるWEBサーバまたはAPサーバは,処理特性がディスクI/OであるDサーバとは利用するコンピュータリソースが競合しないと思われるため,同一の物理マシン30上に配置することができる。
このような処理特性記憶部22に記憶されるデータは,ユーザによってユーザ端末10に入力されて送信されるようにしても良いし,仮想マシン配置装置20が役割に応じた処理特性を予め記憶しておき,ユーザ端末10からは仮想マシンの役割を示す情報を受信し,その役割に応じた処理特性を記憶させるようにしても良い。あるいは,処理特性計測部
25により,稼働中の物理マシン30から計測された処理負荷に基づいて処理特性が記憶されるようにしても良い。
【0022】
仮想マシン配置情報記憶部23には,複数の物理マシン30毎に,その物理マシン30において起動している仮想マシンを識別する仮想マシンIDが対応付けられた仮想マシン配置情報が記憶される。図4は,仮想マシン配置情報記憶部23に記憶される仮想マシン配置情報のデータ例を示す図である。例えば,物理マシンIDが「1」である物理マシン30上に,仮想マシンIDが「A」である仮想マシンと,仮想マシンIDが「C」である仮想マシンとが起動されていることが示されている。このような仮想マシン配置情報は,仮想マシン配置部24によって仮想マシンが起動された際,または移動された際に,仮想マシン配置部24によって書き込まれる。
【0023】
仮想マシン配置部24は,通信部21が,ユーザ端末10から送信された起動要求を受信すると,処理特性記憶部22から処理特性を読み出し,同一種別の処理負荷が高い複数の仮想マシンが同一の物理マシン30に起動しないように,複数の物理マシン30のうちいずれかの物理マシン30に,起動要求に応じた仮想マシンを起動させる。具体的には,仮想マシン配置部24は,通信部21が受信した起動要求に含まれる仮想マシンIDに対応する処理特性を処理特性記憶部22から読み出し,読み出した処理特性が示す種別と同一種別の処理負荷が高い他の仮想マシンが起動していない物理マシン30の物理マシンIDを,仮想マシン配置情報記憶部23に記憶された仮想マシン配置情報から抽出し,抽出した仮想マシンIDが示す物理マシン30に仮想マシンを起動させる。このようにすれば,同一のハードウェア処理の処理負荷が高い複数の仮想マシンが,同一の物理マシン30において起動されないようにすることができ,同一の物理マシン30に起動している仮想マシンに対する他の仮想マシンの影響を低減することができる。また,仮想マシン配置部24は,仮想マシン間の通信の有無の情報や通信の頻度に応じた仮想マシンの配置を行うこともできる。すなわち,通信を行う仮想マシンを同一の物理マシン30に配置すれば,ネットワークリソースを効率化することができる。」

4.引用文献4について
また,拒絶査定において周知技術を示す文献として引用された引用文献4(特開2012-208580号公報)には,図面とともに次の事項が記載されている。

E 「【0012】
以下,本発明の一実施形態について,図面を参照して説明する。
図1は,本実施形態による仮想マシン起動装置30を備えた仮想マシン提供システム1の構成を示すブロック図である。仮想マシン提供システム1は,仮想マシン起動装置30の他に,物理マシン10-1,物理マシン10-2,物理マシン10-3,・・・と,仮想マシン配置装置20とのコンピュータ装置を備えており,これらのコンピュータ装置はネットワークを介して接続されている。複数の物理マシン10は同様の構成であり,特に区別しない場合には「-1」,「-2」等を省略して物理マシン10として説明する。
【0013】
仮想マシン提供システム1は,仮想マシン起動装置30からの仮想マシンの起動要求に応じて,複数の物理マシン10によって構成される仮想環境に仮想マシンを起動させ,ネットワークを介して仮想マシンを利用させるリソース提供サービスを提供する。このようなサービスはクラウドサービスなどとも呼ばれるものである。
【0014】
物理マシン10は,自身のコンピュータリソースを仮想化し,複数の仮想マシンを起動させる仮想化機能を備えるコンピュータ装置である。物理マシン10は,仮想マシン配置装置20を介して送信される仮想マシン起動装置30からの起動要求に応じて,自身のコンピュータリソースに仮想マシンを起動する。ここで,物理マシン10は,予め定められた仮想マシンの性能に応じたサイズ単位に自身のコンピュータリソースを仮想化して複数区画に区切り,区切った区画毎に仮想マシンを起動させる。例えば,S,M,Lなどの仮想マシンのサイズを予め定め,CPU(Central Processing Unit)処理速度,メモリ容量,ディスク容量等の性能に基づいて,より性能の高い仮想マシンをL,Lの仮想マシンより性能の低い仮想マシンをM,Mの仮想マシンより性能の低い仮想マシンをSとする。物理マシン10は,起動する仮想マシンのサイズを指定した情報が含まれる起動要求を受信し,受信した起動要求に含まれるサイズに応じた仮想マシンを起動する。また,物理マシン10は,仮想マシン配置装置20からの仮想マシンの停止要求に応じて,自身のコンピュータリソース上に起動した仮想マシンを停止させる。このように,物理マシン10は予め定められたサイズに応じた性能の仮想マシンを起動するが,複数の物理マシン10の間では,ハードウェアメーカや規格等の相違,あるいは同一の物理マシン10上に起動している他の仮想マシンの稼働状況によって,実際に起動する仮想マシンの性能には多少のバラツキが発生することが考えられる。
【0015】
仮想マシン配置装置20は,仮想マシン起動装置30から送信される仮想マシンの起動要求に応じて,複数の物理マシン30のいずれかに仮想マシンを起動させるクラウド管理装置である。例えば,仮想マシン配置装置20は,複数の物理マシン10毎に,その物理マシン10に起動される仮想マシンのサイズ,起動可能な仮想マシンの台数等の情報を自身の記憶領域に記憶しておく。また,仮想マシン配置装置20は,どの物理マシン10に何台の仮想マシンが起動させたかを示す情報を自身の記憶領域に記憶しておく。仮想マシン配置装置20は,このような情報を参照して,仮想マシン起動装置30から送信される起動要求に含まれる仮想マシンのサイズに応じた空きのある物理マシン10を判定し,判定した物理マシン10に起動要求を送信して仮想マシンを起動させる。また,仮想マシン配置装置20は,起動させた仮想マシンの識別情報を,起動要求元の仮想マシン起動装置30に送信する。仮想マシンの識別情報は,例えばIP(Internet Protocol)アドレス等が適用できる。
【0016】
仮想マシン起動装置30は,ネットワークを介して仮想マシン配置装置20や複数の物理マシン10に接続されたコンピュータ装置である。仮想マシン起動装置30は,例えば物理マシン10に仮想マシンを起動させて利用したいユーザのユーザ端末であっても良いし,ユーザのローカル環境に設置されたコンピュータ装置であっても良い。あるいは,物理マシン10上に起動した仮想マシンを,仮想マシン起動装置30として機能させるようにしても良い。ユーザは,物理マシン10上に起動した仮想マシンを,PC(Personal Computer)等の自身のユーザ端末から接続して利用することができる。ここでは,1台の仮想マシン起動装置30を示して説明するが,仮想マシン提供システム1には複数のユーザの複数の仮想マシン起動装置30が接続されていて良い。仮想マシン起動装置30は,入力部31と,起動要求送信部32と,測定結果記憶部33と,測定部34と,仮想マシン選択部35とを備えている。」

第4 対比・判断
1.本願発明1について
(1)対比
本願発明1と引用発明とを対比すると,次のことがいえる。

(ア)引用発明の「クラウドコンピューティングの方法」は,複数のサーバー(24)を備えたクラウド(22)と,外部ネットワーク(40)を介して前記クラウド(22)と接続されたエンタープライズ(46)のエンタープライスエージェント(42)及びエンタープライスキーマネージャー(44)とからなる「クラウドコンピューティングシステム」において実施される「方法」であるから,本願発明1における「コンピュータ実施方法」に対応するものである。

(イ)引用発明の「仮想マシン(VM,50)」が本願発明1の「仮想マシン」に相当する。
引用発明では,ステップ(104)において「エンタープライズ(46)は,エンタープライスエージェント(42)を介して,クラウド(22)からの仮想マシン(VM,50)用のリソースを要求」しているところ,このことは,クラウドコントローラー(38)の側からみれば,当該要求を“受信すること”に相当し,引用発明では,前記要求が“受信される”と,「クラウド(22)は,クラウドコントローラー(38)の動作を介して,使用していないときに仮想マシンをディスクイメージとして保存することができるストレージ(36)を割り当て」ている,すなわち,リソースの割り当てを実行しているものである。
一方,本願明細書段落【0035】-【0036】の「オペレーション701では,ユーザに仮想マシンをプロビジョニングする要求が受信される。・・・要求の受信に応答して,・・・オペレータは,オペレーション702に示すように仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択することができる。・・・選択されたホスト・コンピューティング・デバイスは,仮想マシンを実行するソフトウェア及びハードウェアのリソースを含む。・・・これらのリソースは,デバイス上の複数の仮想マシンをホスティングするハイパーバイザ及びホスト・ドメイン(または,仮想マシン・モニタ)を含むことができる。」との記載によれば,「仮想マシンをプロビジョニングする要求」が受信されると,「仮想マシンを実行するソフトウェア及びハードウェアのリソース」を含む「ホスト・コンピューティング・デバイス」が選択されており,これは,仮想マシンを実行するためのリソースを割り当てることに他ならない。
してみると,引用発明において「リソース」の「要求」に応じて実行されることと,本願発明1において,「プロビジョニング」の「要求」に応じて実行されることとは,共に「リソースを割り当てること」である点で一致しているから,引用発明の「リソース」の「要求」が本願発明1の「仮想マシンをプロビジョニングする要求」に相当する。
したがって,引用発明における「エンタープライズ(46)は,エンタープライスエージェント(42)を介して,クラウド(22)からの仮想マシン(VM,50)用のリソースを要求」することが本願発明1における「ユーザの仮想マシンをプロビジョニングする要求を受信すること」に相当する。

(ウ)引用発明の「サーバー(24)」は,仮想マシン(50)を実行するためのリソースであるプロセッサー(26)やランダムアクセスメモリ(RAM)(32)を含んでいるから,本願発明1の「仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイス」に相当する。
そして,引用発明のクラウドは,複数のサーバー(24)を備えており,仮想マシン(50)を実行するためのリソースを割り当てる際に,当該複数のサーバー(24)の中から特定のサーバー(24)を「選択」しているといえるので,引用発明と本願発明1とは,「要求の受信に応答して,仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択する」点で一致する。

(エ)引用発明のゲストVM(50)は,「該マシンが稼動している環境の「測定値」を収集」しているところ,「ゲストVM(50)」が「稼動している環境」は,上記(ウ)の検討から,「選択されたホスト・コンピューティング・デバイス上の1つまたは複数のリソース」に相当し,また,前記「測定値」は,「ゲストVMの下で稼動しているハードウェアプラットホーム,BIOSコード,及びハイパーバイザを測定することにより,予想外のものがインフラの一部として稼動していないこと,そして,インフラの単一かつ特定のバージョンが稼動していることを暗号的に保証して」いることから,本願発明1の「暗号測定」に相当し,さらに,引用発明の「測定値」は,「最終的にはハッシュフィンガープリント」となるものであることから,本願発明1の「ハッシュ測定」に相当するといえるので,引用発明と本願発明1とは,「選択されたホスト・コンピューティング・デバイス上の1つまたは複数のリソースの暗号測定を得ること,ここにおいて,前記暗号測定は,前記ホスト・コンピューティング・デバイス上のソフトウエア及び/またはハードウェアのリソースのハッシュ測定を含」む点で一致する。

(オ)引用発明では「サインされた証明をキーマネージャーが受け取ると,該キーマネージャーは,ホワイトリスト内にある一群の知られた良好なフィンガープリントと測定値(最終的にはハッシュフィンガープリント)とを比較し」ているところ,引用発明の「ホワイトリスト内にある一群の知られた良好なフィンガープリント」は本願発明1の「ホスト・コンピューティング・デバイス上の1つまたは複数のリソースに関連する承認された暗号測定」に相当するといえるので,引用発明の「サインされた証明をキーマネージャーが受け取ると,該キーマネージャーは,ホワイトリスト内にある一群の知られた良好なフィンガープリントと測定値(最終的にはハッシュフィンガープリント)とを比較し」と本願発明1の「前記暗号測定が,前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認する」とは,後記する点で相違するものの,「暗号測定が,ホスト・コンピューティング・デバイス上の1つまたは複数のリソースに関連する承認された暗号測定と一致することを確認する」点で共通する。

(カ)引用発明では,「レポートされた環境が,エンタープライスエージェントが予想した環境のあるべき状態と一致しない場合には,エンタープライスエージェント(42)は,VM(50)の起動をキャンセルし」ていることから,ステップ(110)以降の処理が,「レポートされた環境が,エンタープライスエージェントが予想した環境のあるべき状態と一致した場合」に実行される処理であることは明らかである。
そして,引用発明では,ステップ(110)において,「仮想マシン(50)を初期化し」,ステップ(112)において,「エンタープライスエージェント(42)が,第二のプライベートチャンネルを用いて新たに起動された仮想マシン(50)を呼び出し,VM(50)のIPアドレス及び他の特定情報を手に入れ」る処理を行っているところ,上記ステップ(112)において実行される「エンタープライスエージェント(42)が,第二のプライベートチャンネルを用いて新たに起動された仮想マシン(50)を呼び出」す処理は,エンタープライスエージェント(42)を介して,“ユーザに仮想マシンへのアクセスを提供し”ているといえる。
してみれば,引用発明と本願発明1とは,「ユーザに,前記一致することの確認に基づいて,ホスト・コンピューティング・デバイス上の仮想マシンへのアクセスを提供する」点で一致する。

したがって,本願発明1と引用発明との間には,次の一致点,相違点があるといえる。

(一致点)
「コンピュータ実施方法であって,
ユーザの仮想マシンをプロビジョニングする要求を受信すること,
前記要求の受信に応答して,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること,
前記選択されたホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの暗号測定を得ること,ここにおいて,前記暗号測定は,前記ホスト・コンピューティング・デバイス上のソフトウエア及び/またはハードウェアのリソースのハッシュ測定を含み,
前記暗号測定が,前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースに関連する前記承認された暗号測定と一致することを確認すること,及び
前記ユーザに,前記一致することの確認に基づいて,前記ホスト・コンピューティング・デバイス上の前記仮想マシンへのアクセスを提供すること,
を含む,コンピュータ実施方法。」

(相違点)
(相違点1)本願発明1の方法が,「前記ユーザから前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成の選択を受信すること」を含んでいるのに対して,
引用発明の方法は,そのような構成が特定されていない点。

(相違点2)本願発明1の方法が,「前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの前記特別な構成に関連する既知の承認された暗号測定を決定すること」を含んでいるのに対して,
引用発明の方法は,そのような構成が特定されていない点。

(相違点3)本願発明1の方法が,「前記暗号測定が,前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認すること」を含んでいるのに対して,
引用発明の方法は,「前記暗号測定が,前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースに関連する前記承認された暗号測定と一致することを確認すること」を含んでいるものの,「前記承認された暗号測定」が,「前記1つまたは複数のリソースの前記特別な構成に関連する」ものであることは特定されていない点。

(2)相違点についての判断
事案に鑑みて,上記相違点1-3についてまとめて検討する。
本願発明1は,上記相違点1-3に係る「リソースの特別な構成の選択を受信」し,「リソースの前記特別な構成に関連する既知の承認された暗号測定を決定」し,「リソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認する」構成とすることにより,本願明細書の段落【0037】に「ユーザが,元の要求の一環として,ホスト・コンピューティング・デバイスの特別な構成を指定している実施形態では,承認された測定のいかなるリストも必要としなくてもよい。より正確に言えば,TPMによって得られた暗号測定を,ホストの構成が受け入れ可能かどうか判断するためにユーザが指定した特別な構成に対応する既知の承認された測定と単に比較することができる。」と記載されているような,「TPMによって得られた暗号測定を,ホストの構成が受け入れ可能かどうか判断するためにユーザが指定した特別な構成に対応する既知の承認された測定と単に比較することができる」という課題を解決することができるものであると認められる。
一方,引用発明は,「レポートされた環境」と「エンタープライスエージェントが予想した環境のあるべき状態」との一致を確認するものではあるものの,当該一致を確認する際に,「ホワイトリスト内にある一群の知られた良好なフィンガープリントと測定値(最終的にはハッシュフィンガープリント)とを比較」する処理を行うものであり,ユーザから「リソースの特別な構成の選択を受信」し,「リソースの前記特別な構成に関連する既知の承認された暗号測定を決定」し,「リソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認する」という処理を行うものではない。
また,ユーザから,ユーザの仮想マシンをホスティングするホスト・コンピューティング・デバイスの構成(リソースの特別な構成)の選択を受信することが,引用文献3,4(上記D及びEの記載を参照)に記載されているように周知技術であったとしても,当該“リソースの特別な構成の選択”を利用して,「リソースの前記特別な構成に関連する既知の承認された暗号測定を決定」することまでは引用文献1-4のいずれにも記載がなく,これを周知技術であったということはできない。
そうすると,引用発明において,「TPMによって得られた暗号測定を,ホストの構成が受け入れ可能かどうか判断するためにユーザが指定した特別な構成に対応する既知の承認された測定と単に比較する」ことができるようにするために,「リソースの特別な構成の選択を受信」し,「リソースの前記特別な構成に関連する既知の承認された暗号測定を決定」し,「リソースの前記特別な構成に関連する前記承認された暗号測定と一致することを確認する」こと,すなわち,相違点1-3に係る構成とすることを,当業者が容易に想到し得たとはいえない。

したがって,本願発明1は,当業者であっても引用発明,引用文献2記載の技術及び引用文献3,4に記載の周知技術に基づいて容易に発明できたものであるとはいえない。

2.本願発明2-6について
本願発明2-6は,本願発明1を減縮した発明であり,上記相違点1-3に係る構成と同一の構成を備えるものであるから,本願発明1と同様の理由により,当業者であっても,引用発明,引用文献2記載の技術及び引用文献3,4に記載の周知技術に基づいて容易に発明できたものとはいえない。

3.本願発明7について
本願発明7は,本願発明1に対応するコンピューティング・システムの発明であって,本願発明1とカテゴリ表現が異なるだけの発明であり,上記相違点1-3に係る構成と同様の構成を備えるものであるから,本願発明1と同様の理由により,当業者であっても,引用発明,引用文献2記載の技術及び引用文献3,4に記載の周知技術に基づいて容易に発明できたものとはいえない。

4.本願発明8-9について
本願発明8-9は,本願発明7を減縮した発明であり,上記相違点1-3に係る構成と同様の構成を備えるものであるから,本願発明1と同様の理由により,当業者であっても,引用発明,引用文献2記載の技術及び引用文献3,4に記載の周知技術に基づいて容易に発明できたものとはいえない。

第5 原査定の概要及び原査定についての判断
1.理由1(特許法第36条第6項第2号)について
審判請求時の補正により,「前記選択されたホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの暗号測定を得ること」という記載は「前記選択されたホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの暗号測定を得ること,ここにおいて,前記暗号測定は,前記ホスト・コンピューティング・デバイス上のソフトウエア及び/またはハードウエアのリソースのハッシュ測定を含み」に補正されており,原査定の理由1を維持することはできない。

2.理由4(特許法第29条第2項)について
原査定は,請求項1-13について上記引用文献1-4に基づいて,当業者が容易に発明できたものであるから,特許法第29条第2項の規定により特許を受けることができないというものである。しかしながら,平成31年3月25日付け手続補正により補正された請求項1は,上記相違点1-3に係る構成を有するものとなっており,上記のとおり,本願発明1-9は,引用発明,引用文献2記載の技術及び引用文献3,4に記載の周知技術に基づいて,当業者が容易に発明できたものではない。したがって,原査定を維持することはできない。

第6 当審拒絶理由について
<特許法第36条第6項第2号について>
(1)当審では,請求項1の「ユーザの仮想マシンをプロビジョニングする要求を受信すること,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」との記載は,「ユーザの仮想マシンをプロビジョニングする要求を受信すること」と,「前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」との関係が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,「ユーザの仮想マシンをプロビジョニングする要求を受信すること,前記要求の受信に応答して,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」と補正された結果,この拒絶の理由は解消した。

(2)当審では,請求項1の「ユーザの仮想マシンをプロビジョニングする要求を受信すること」と,「前記ユーザから前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成の選択を受信すること」とがそれぞれどのようなタイミングで受信されるものであるのかが不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの意見書において,
「(イ)「プロビジョニングする要求」と「リソースの特別な構成の選択」について
本願明細書の下記段落[0035]に記載されるように,ある実施態様では,「プロビジョニングする要求」を提出する一環として,「リソースの特別な構成の選択」が行われます。このように,ある実施態様では,「プロビジョニングする要求」と「リソースの特別な構成の選択」が「同時」に受信されてもよいといえます。
「[0035]
オペレーション701では,ユーザに仮想マシンをプロビジョニングする要求が受信される。先に説明したように,この要求は1つまたは複数のAPIにアクセスすることによってユーザが提出することができる。いくつかの実施形態では,ユーザは,要求を提出する一環として,ユーザの仮想マシンをホスティングするためにホスト・コンピューティング・デバイスが順守する必要がある特別な構成を指定することができる。要求の受信に応答して,マルチテナント環境のオペレータは,オペレーション702に示すように仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択することができる。様々な実施形態では,選択されたホスト・コンピューティング・デバイスは,仮想マシンを実行するソフトウェア及びハードウェアのリソースを含む。例えば,これらのリソースは,デバイス上の複数の仮想マシンをホスティングするハイパーバイザ及びホスト・ドメイン(または,仮想マシン・モニタ)を含むことができる。」
したがいまして,本願明細書の記載を参酌すれば,請求項1において,「プロビジョニングする要求」と「リソースの特別な構成の選択」が受信されるタイミングは十分に明確であると思料いたします。」
との釈明がなされた結果,この拒絶の理由は解消した。

(3)当審では,請求項1の「前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成」との記載は,具体的にどのようなものが想定されているのかが不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの意見書において,
「(ウ)リソースの特別な構成
本願明細書及び図面の記載を参酌すると,ホスト・コンピューティング・デバイス上のリソースの「特別な構成」とは,ユーザによって指定された仮想マシンがホスティングされるべき構成であって(段落[0020]参照),仮想マシンに関連する既知の承認された測定値を有した構成(段落[0019])であると理解できます。
具体的には,例えば,本願明細書の段落[0018]に記載されるように,「BIOS,ハイパーバイザ308,ホスト・ドメイン207,ゲスト仮想マシン308,起動オペレーティング・システム(OS),ハードウェア・コンフィギュレーション・レジスタ,周辺コンポーネント相互接続(PCI)カード,及び/または,ホスト・コンピューティング・デバイス204上の他のリソースが特別な構成にある」といえます。
したがいまして,本願明細書の記載を参酌すれば,請求項1における「リソースの特別な構成」は十分に明確であると思料いたします。」
との釈明がなされた結果,この拒絶の理由は解消した。

(4)当審では,請求項1を引用する請求項2の構成が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,請求項2を削除する補正がなされた結果,この拒絶の理由は解消した。

(5)当審では,請求項1を引用する請求項3の構成が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,請求項3を削除する補正がなされた結果,この拒絶の理由は解消した。

(6)当審では,請求項9の「ユーザの仮想マシンをプロビジョニングする要求を受信すること,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」との記載は,「ユーザの仮想マシンをプロビジョニングする要求を受信すること」と,「前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」との関係が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,「前記プロセッサによって実行されたときに前記コンピューティング・システムにユーザの仮想マシンをプロビジョニングする要求を受信すること,前記要求の受信に応答して,前記仮想マシンを実行する1つまたは複数のリソースを含む,前記仮想マシンをホスティングするホスト・コンピューティング・デバイスを選択すること」と補正された結果,この拒絶の理由は解消した。

(7)当審では,請求項9の「ユーザの仮想マシンをプロビジョニングする要求を受信すること」と,「前記ユーザから前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成の選択を受信すること」とがそれぞれどのようなタイミングで受信されるものであるのかが不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの意見書において,上記(2)と同様の釈明がなされた結果,この拒絶の理由は解消した。

(8)当審では,請求項9の「前記ホスト・コンピューティング・デバイス上の前記1つまたは複数のリソースの特別な構成」との記載は,具体的にどのようなものが想定されているのかが不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの意見書において,上記(3)と同様の釈明がなされた結果,この拒絶の理由は解消した。

(9)当審では,請求項9を引用する請求項10の構成が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,請求項10を削除する補正がなされた結果,この拒絶の理由は解消した。

(10)当審では,請求項9を引用する請求項11の構成が不明確であるとの拒絶の理由を通知しているが,平成31年3月25日付けの手続補正において,請求項11を削除する補正がなされた結果,この拒絶の理由は解消した。

第7 むすび
以上のとおり,原査定の理由によっては,本願を拒絶することはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。
 
審決日 2019-05-24 
出願番号 特願2016-524325(P2016-524325)
審決分類 P 1 8・ 537- WY (G06F)
P 1 8・ 121- WY (G06F)
最終処分 成立  
前審関与審査官 圓道 浩史  
特許庁審判長 辻本 泰隆
特許庁審判官 須田 勝巳
山崎 慎一
発明の名称 仮想マシンをホスティングする暗号的に保証されたリソース  
代理人 野河 信久  
代理人 蔵田 昌俊  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ