ポートフォリオ機能
| ポートフォリオを新規に作成して保存 |
|
|
| 既存のポートフォリオに追加保存 |
|
PDFをダウンロード
|
| 審決分類 |
審判 査定不服 2項進歩性 取り消して特許、登録 H04L |
|---|---|
| 管理番号 | 1352731 |
| 審判番号 | 不服2018-9733 |
| 総通号数 | 236 |
| 発行国 | 日本国特許庁(JP) |
| 公報種別 | 特許審決公報 |
| 発行日 | 2019-08-30 |
| 種別 | 拒絶査定不服の審決 |
| 審判請求日 | 2018-07-13 |
| 確定日 | 2019-07-09 |
| 事件の表示 | 特願2014- 99110「表示方法、表示装置および表示プログラム」拒絶査定不服審判事件〔平成27年12月 3日出願公開、特開2015-216549、請求項の数(12)〕について、次のとおり審決する。 |
| 結論 | 原査定を取り消す。 本願の発明は、特許すべきものとする。 |
| 理由 |
第1 手続の経緯 本願は、平成26年5月12日の出願であって、平成29年12月22日付けで拒絶理由通知がされ、平成30年3月12日付けで手続補正がされ、平成30年4月5日付けで拒絶査定がされ、これに対して、平成30年7月13日に拒絶査定不服審判の請求がされると同時に手続補正がされたものである。 第2 原査定の概要 原査定(平成30年4月5日付け拒絶査定)の概要は次のとおりである。 本願請求項1-12に係る発明は、以下の引用文献1-4に基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明をすることができたものであるから、特許法第29条第2項の規定により特許を受けることができない。 引用文献等一覧 1.国立研究開発法人 情報通信研究機構、“攻撃パターンからマルウェアをリアルタイムに特定する相関分析技術を世界で初めて実現”、2010年6月1日、<URL:https://www.nict.go.jp/press/2010/06/01-1.html> 2.Kaspersky Lab、"Real Threats in Real Time: Kaspersky Lab Launches Worldwide Interactive Cyberthreat Map"、2014年4月4日、<URL:https://www.kaspersky.com/about/press-releases/2014_real-threats-in-real-time-kaspersky-lab-launches-worldwide-interactive-cyberthreat-map> 3.森 博志、外2名、“長期間のマルウェア動的解析を支援する通信可視化手法とユーザインタフェースの提案”、情報処理学会研究報告、2012年7月20日 4.井上 大介、“対サイバー攻撃アラートシステムDAEDALUSとその社会展開”、NICT NEWS、2014年3月、<URL:https://www.nict.go.jp/publication/NICT-News/1403/page/NICT_1403_01-2p.pdf> 第3 本願発明 本願請求項1-12に係る発明(以下、それぞれ「本願発明1」-「本願発明12」という。)は、平成30年7月13日付けの手続補正で補正された特許請求の範囲の請求項1-12に記載された事項により特定される発明であり、本願発明1は以下のとおりの発明である。 「【請求項1】 装置に関して検知されたサイバー攻撃の情報を取得し、 地球全体を示す画像を配置するとともに、該地球全体を示す画像から離れた前記地球の外側の周囲に複数の装置を示す画像をそれぞれ離間して配置し、前記複数の装置のうち、取得した該サイバー攻撃の情報によりサイバー攻撃の攻撃先装置として示される装置について、前記地球上の異なる複数の位置の攻撃元からの攻撃を示す、前記攻撃先装置の配置位置と、前記地球上の異なる複数の位置との関連性を示す情報、および前記地球全体を示す画像と前記複数の装置を示す画像との間に前記サイバー攻撃の脅威レベルを識別可能な情報を含む画像情報を生成し、 生成された該画像情報を出力する 処理をコンピュータが実行することを特徴とする表示方法。」 また、本願発明2-12の概要は以下のとおりである。 本願発明2-10は、本願発明1を減縮した発明である。 本願発明11は、本願発明1に対応する、カテゴリ表現が異なる「表示装置」の発明である。 本願発明12は、本願発明1に対応する、カテゴリ表現が異なる「表示プログラム」の発明である。 第4 引用文献、引用発明等 1.引用文献1について 原査定の拒絶の理由に引用された引用文献1には、図面とともに、以下の記載がある(下線は、特に着目した箇所を示す。以下同様。)。 (1) 「背景」の項目 「現在、ウイルスやワーム、ボットといったマルウェアに起因するセキュリティインシデントが重大な社会問題となっています。このようなインシデントへの根本的な対策を行うためには、攻撃の迅速な検知及びその原因となったマルウェアの特定が必要不可欠ですが、インシデントを誘発する攻撃とマルウェアとを結びつけるための実時間・自動分析技術は世界的にも実現されていませんでした。」 (2) 「補足資料」の項目の「マクロ-ミクロ相関分析結果の可視化の様子(概観)」の図の説明 「世界中から飛来する攻撃トラフィックをアニメーション表示するとともに、攻撃元コンピュータに感染したマルウェア名を動的に表示」 (3) 「補足資料」の項目の「マクロ-ミクロ相関分析結果の可視化の様子(詳細)」の図の説明 「個々のトラフィック(パケット)に関する感染マルウェア名だけでなく、IPアドレス、攻撃元国などの詳細な情報を表示」 (4) 「補足資料」の項目の「マクロ-ミクロ相関分析結果の可視化の様子(詳細)」の図 当該図から、表示されるIPアドレス(「Src IPaddr」)が攻撃元のコンピュータのIPアドレスであること、及び、互いに異なる位置にある複数のコンピュータ間の攻撃トラフィックが表示されていることが見てとれる。 (5) 「補足資料」の項目の「マクロ-ミクロ相関分析結果の可視化の様子(地球儀バージョン)」の図 当該図から、地球の画像上に、どの攻撃元のコンピュータからどの攻撃先のコンピュータへ攻撃が行われているかが表示されていることが見てとれる。 よって、上記各記載事項を関連図面に照らし、下線部に着目すれば、引用文献1には、次の発明(以下、「引用発明」という。)が記載されているといえる。 「マルウェアに起因するセキュリティインシデントへの対策を行うために、攻撃の検知をし、 飛来する攻撃トラフィックをアニメーション表示するとともに、IPアドレス、攻撃元国などの詳細な情報を表示し、ここで、表示されるIPアドレスが攻撃元のコンピュータのIPアドレスであり、 互いに異なる位置にある複数のコンピュータ間の攻撃トラフィックが表示され、 地球の画像上に、どの攻撃元のコンピュータからどの攻撃先のコンピュータへ攻撃が行われているかが表示される、 方法。」 2.引用文献2について 原査定の拒絶の理由に引用された引用文献2には、第3段落に、以下の記載がある。 「Users can rotate the globe and zoom in to any part of the world to get a closer look at the local threat landscape. Different types of threats detected in real time are marked with different colors. The user can bring a description of each threat up on the screen or disable the display of threat types. In addition to share buttons for users of social networking sites, there are buttons to switch: the background color, the language interface and the display mode (flat map or rotating globe). There is also handy link to check if a computer is infected with malicious software.」 (当審訳:ユーザは地球を回転させて、部分的な脅威の状況をよく見るために、世界のどの部分も拡大することができる。リアルタイムで検出された脅威の異なる種類は、異なる色で印を付けられる。ユーザは各脅威の説明を画面上に出したり、脅威の種類を表示しないようにしたりすることができる。ソーシャルネットワークのサイトのユーザのための共有のボタンに加えて、背景の色、言語インタフェースや表示モード(平らな地図又は回転する地球)を切り替えるボタンがある。コンピュータが悪意のあるソフトウェアに感染しているかを検査する便利なリンクもある。) 3.引用文献3について 原査定の拒絶の理由に引用された引用文献3には、図面とともに、第3頁の「3.2.2 世界地図ビュー」の項目の第1段落に、以下の記載がある。 「世界地図ビューでは観測した通信データと、MaxMind社のGeoIPと呼ばれるGroupデータベース(IPアドレスとそれに対応するホストの位置情報のデータベース)を元に、犠牲ホストとその通信先ホストのシンボルを世界地図上に描画する。ローカルネットワークのホストは犠牲ホストのシンボルの上空に表示する。また3.1節で述べたとおり、マルウェア動的解析環境では、マルウェアが動作している犠牲ホストと実際のインターネット上の実ホストとの通信を許可する場合と、実ホストとの通信を許可せず、ダミーサーバへ通信を転送する場合があるが、これを視覚的に区別するためインターネット上の実ホストへの通信は世界地図上の地表付近に色つきのホストシンボルを表示し、一方、ダミーサーバとの通信の場合は、当該地点の上空に黒塗りのホストシンボルを表示することとした(図6)。」 4.引用文献4について 原査定の拒絶の理由に引用された引用文献4には、図面とともに、第2頁の「DAEDALUSの可視化エンジン」の項目の第1段落に、以下の記載がある。 「図2はDAEDALUSのアラート発報状況を俯瞰的に把握するための可視化エンジンDAEDALUS-VIZの表示画面です。中央の球体がインターネット、その周りを周回している各リングが、ダークネット観測用センサを設置している組織のネットワークを表しています。球体とリングの間を飛び交う流星状のオブジェクトはダークネットへの通信を表しています。リングの水色部分がライブネット(使用中IPアドレスブロック)、濃紺部分がダークネットであり、リングの外周の「警」のマークは組織内でアラートの原因となった送信元IPアドレスを指し示しています。DAEDALUS-VIZ上でアラートが表示されるとほぼ同時に、該当組織には電子メールでアラートが自動送信されます。」 第5 対比・判断 1.本願発明1について (1) 対比 本願発明1と引用発明とを対比すると、次のことがいえる。 ア 引用発明は、攻撃先のコンピュータへの「攻撃の検知をし、」「攻撃元のコンピュータの」「IPアドレス、攻撃元国などの詳細な情報を表示」するものであり、引用発明において、「攻撃元のコンピュータの」「IPアドレス、攻撃元国などの詳細な情報を表示」するために、そのような「詳細な情報」を取得することは明らかであるから、引用発明の攻撃先のコンピュータへの「攻撃の検知をし、」「攻撃元のコンピュータの」「IPアドレス、攻撃元国などの詳細な情報」を取得することは、本願発明1の「装置に関して検知されたサイバー攻撃の情報を取得」することに相当する。 イ 引用発明は、「互いに異なる位置にある複数のコンピュータ間の攻撃トラフィック」を「表示」するものであって、「地球の画像上に、どの攻撃元のコンピュータからどの攻撃先のコンピュータへ攻撃が行われているか」を「表示」するものであるから、本願発明1の「地球全体を示す画像を配置するとともに、該地球全体を示す画像から離れた前記地球の外側の周囲に複数の装置を示す画像をそれぞれ離間して配置し、前記複数の装置のうち、取得した該サイバー攻撃の情報によりサイバー攻撃の攻撃先装置として示される装置について、前記地球上の異なる複数の位置の攻撃元からの攻撃を示す、前記攻撃先装置の配置位置と、前記地球上の異なる複数の位置との関連性を示す情報、および前記地球全体を示す画像と前記複数の装置を示す画像との間に前記サイバー攻撃の脅威レベルを識別可能な情報を含む画像情報を生成し、生成された該画像情報を出力する」ことと、「地球全体を示す画像を配置するとともに、」「複数の装置を示す画像をそれぞれ離間して配置し、前記複数の装置のうち、取得した該サイバー攻撃の情報によりサイバー攻撃の攻撃先装置として示される装置について、前記地球上の異なる複数の位置の攻撃元からの攻撃を示す、前記攻撃先装置の配置位置と、前記地球上の異なる複数の位置との関連性を示す情報」「を含む画像情報を生成し、生成された該画像情報を出力する」点で共通する。 ウ 引用発明において、各処理をコンピュータが実行することは明らかであり、引用発明は、各処理を実行することにより、「複数のコンピュータ間の」「攻撃」についての「表示」をする「方法」の発明であるから、引用発明の各処理をコンピュータが実行すること、及び、「複数のコンピュータ間の」「攻撃」についての「表示」をする「方法」は、それぞれ、本願発明の「処理をコンピュータが実行する」こと、及び、「表示方法」に相当する。 よって、本願発明1と引用発明との一致点・相違点は、次のとおりであるといえる。 [一致点] 「装置に関して検知されたサイバー攻撃の情報を取得し、 地球全体を示す画像を配置するとともに、複数の装置を示す画像をそれぞれ離間して配置し、前記複数の装置のうち、取得した該サイバー攻撃の情報によりサイバー攻撃の攻撃先装置として示される装置について、前記地球上の異なる複数の位置の攻撃元からの攻撃を示す、前記攻撃先装置の配置位置と、前記地球上の異なる複数の位置との関連性を示す情報を含む画像情報を生成し、 生成された該画像情報を出力する 処理をコンピュータが実行することを特徴とする表示方法。」 [相違点1] 複数の装置を示す画像の配置に関して、本願発明1では、「該地球全体を示す画像から離れた前記地球の外側の周囲に」配置するのに対して、引用発明では、「地球の画像上に」配置する点。 [相違点2] 画像情報に関して、本願発明1では、「前記地球全体を示す画像と前記複数の装置を示す画像との間に前記サイバー攻撃の脅威レベルを識別可能な情報」を生成・出力するのに対して、引用発明では、そのような情報を生成・出力しない点。 (2)相違点についての判断 事案に鑑みて、複数の装置を示す画像の表示に関連する、上記相違点1-2についてまとめて検討する。 引用文献3には、マルウェアが動作する犠牲ホストからの通信の転送先であるダミーサーバを、世界地図の上空に黒塗りのシンボルで表示することが記載されている。 また、引用文献4には、インターネットを表す中央の球体と、各々が組織のネットワークを表す複数のリングであって、球体を周回する複数のリングと、組織のネットワーク内のダークネットへの通信を表す、球体と各リングとの間を飛び交う流星状のオブジェクトとを表示することが記載されている。 しかし、本願発明1の上記相違点1-2に係る、「該地球全体を示す画像から離れた前記地球の外側の周囲に」複数の装置を示す画像を配置し、「前記地球全体を示す画像と前記複数の装置を示す画像との間に前記サイバー攻撃の脅威レベルを識別可能な情報」を画像情報として生成・出力すること(以下、「本願発明1の上記相違点1-2に係る構成」という。)は、上記引用文献1-4のいずれにも記載も示唆もされておらず、また、周知技術であるともいえない。 そして、本願発明1は、本願発明1の上記相違点1-2に係る構成によって、本願明細書の段落【0034】に記載されるように、「マルウェアまたは不正な通信が視覚化され、脅威を分り易く表示することができる。]との効果を有するものである。 したがって、本願発明1は、当業者であっても、引用発明、引用文献1-4に記載された技術に基づいて、容易に発明できたものとはいえない。 2.本願発明2-12について 上記「第3」のとおり、本願発明2-10は、本願発明1を減縮した発明であり、本願発明11は、本願発明1に対応する、カテゴリ表現が異なる「表示装置」の発明であり、本願発明12は、本願発明1に対応する、カテゴリ表現が異なる「表示プログラム」の発明であって、本願発明1の上記相違点1-2に係る構成と実質的に同一の構成を備えるものである。 よって、本願発明1と同じ理由により、本願発明2-12も、当業者であっても、引用発明、引用文献1-4に記載された技術に基づいて、容易に発明できたものとはいえない。 第6 原査定についての判断 平成30年7月13日付けの手続補正で補正された請求項1-12は、上記「第5」のとおり、本願発明1の上記相違点1-2に係る構成を備えるものであり、当業者であっても、拒絶査定において引用された引用文献1-4に基づいて、容易に発明できたものとはいえない。したがって、原査定の理由を維持することはできない。 第7 むすび 以上のとおり、原査定の理由によっては、本願を拒絶することはできない。 また、他に本願を拒絶すべき理由を発見しない。 よって、結論のとおり審決する。 |
| 審決日 | 2019-06-24 |
| 出願番号 | 特願2014-99110(P2014-99110) |
| 審決分類 |
P
1
8・
121-
WY
(H04L)
|
| 最終処分 | 成立 |
| 前審関与審査官 | 菊地 陽一、上田 翔太 |
| 特許庁審判長 |
▲吉▼田 耕一 |
| 特許庁審判官 |
白井 亮 稲葉 和生 |
| 発明の名称 | 表示方法、表示装置および表示プログラム |
| 代理人 | 特許業務法人酒井国際特許事務所 |