• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1364424
審判番号 不服2019-5383  
総通号数 249 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2020-09-25 
種別 拒絶査定不服の審決 
審判請求日 2019-04-23 
確定日 2020-08-11 
事件の表示 特願2017-523948「悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法」拒絶査定不服審判事件〔平成29年12月28日国際公開、WO2017/220139、平成30年 7月26日国内公表、特表2018-520524、請求項の数(14)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯
本願は、2016年(平成28年)6月22日を国際出願日とする出願であって、平成29年5月2日に手続補正がされ、平成30年6月27日付けで拒絶理由通知がされ、平成30年9月27日に手続補正がされ、平成30年10月5日付けで拒絶理由通知がされ、平成31年1月15日に手続補正がされ、平成31年1月22日付けで拒絶査定(原査定)がされ、これに対し、平成31年4月23日に拒絶査定不服審判の請求がされたものである。

第2 原査定の概要
原査定(平成31年1月22日付け拒絶査定)の概要は次のとおりである。
本願請求項1-14に係る発明は、以下の引用文献1-5に基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
1.特開2016-5138号公報
2.特開2010-268483号公報
3.特開2006-279930号公報
4.特開2015-50717号公報
5.国際公開第2013/150925号

第3 本願発明
本願請求項1-14に係る発明(以下、それぞれ「本願発明1」-「本願発明14」という。)は、平成31年1月15日付けの手続補正で補正された特許請求の範囲の請求項1-14に記載された事項により特定される発明であり、以下のとおりの発明である。

「【請求項1】
データフローのフローステートを記憶し、システムにわたって前記フローステートを共有および更新するように構成される少なくとも1つのデータストレージまたはメモリと、
前記データフローのフローステート、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローをブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素FEと、
複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成される少なくとも1つの検査要素IEと
を備える、SDN(Software Defined Network)において悪意があるデータフローの侵入を検知および防止するシステムであって、
前記IEは、分類結果に応じて前記データフローの前記フローステートを変化させるように構成され、
前記FEは、
前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、
前記データフローのフローステートが「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし、
前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される、システム。」

本願発明2-12は、請求項1を減縮した発明である。

本願発明13は、請求項1に対応する方法の発明であり、本願発明1とカテゴリ表現が異なるだけの発明である。

本願発明14は、請求項1に対応するプログラムの発明であり、本願発明1とカテゴリ表現が異なるだけの発明である。

第4 引用例
1.引用文献1について
(1)引用文献記載事項
原査定の拒絶の理由に引用された引用文献1には、段落【0016】、段落【0019】、段落【0023】、段落【0031】-段落【0036】、段落【0041】-段落【0042】に、次の事項が記載されている(なお、下線は、強調のために当審が付与した。)。

ア 段落【0016】
「【0016】以下、本発明の一実施形態による攻撃防御システム及び通信制御装置について図面を参照して説明する。
[第1の実施形態】
図1は、第1の実施形態による攻撃防御システム1の一例を示すブロック図である。
この図に示すように、攻撃防御システム1は、SDN(SoftwareDefined Networking)スイッチ30と、SDNコントローラ装置40と、IDS(Intrusion Detection System:侵入検知システム)50と、通信制御装置100とを備えている。攻撃防御システム1は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1を監視し、攻撃側コンピュータ装置10から監視対象コンピュータ装置20へのネットワークNW1上での攻撃を防御するシステムである。」

イ 段落【0019】
「【0019】SDNスイッチ(スイッチ装置の一例)30は、例えば、オープンフロースイッチなどであり、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1上に接続される。SDNスイッチ30は、後述するSDNコントローラ装置40によって設定された設定情報に基づいて、パケットの通過を制御可能なスイッチである。SDNスイッチ30は、例えば、監視対象のネットワークNW1における攻撃が検出されていない通常時に、監視対象のネットワークNW1を流れるパケットを、監視のためにIDS50に転送する。なお、本実施形態では、SDNスイッチ30は、通常時に、監視対象のネットワークNW1を流れる全てのパケットをIDS50に転送するものとする。」

ウ 段落【0023】
「【0023】記憶部60は、IDS50が利用する各種情報を記憶する。記憶部60は、例えば、攻撃側コンピュータ装置10からの攻撃を検知するための情報、及びSDNスイッチ30から転送されてきた監視対象のパケットなどを記憶する。また、記憶部60は、攻撃判定情報記憶部61を備えている。
攻撃判定情報記憶部61は、攻撃側コンピュータ装置10からの攻撃を検知するための情報を記憶する。攻撃判定情報記憶部61は、例えば、攻撃を検知するためのルール情報、攻撃パケットを検知するためにパターン情報などを記憶している。具体的に、攻撃判定情報記憶部61は、攻撃側コンピュータ装置10が予め判明している場合には、攻撃側コンピュータ装置10のIPアドレスをパターン情報として記憶してもよいし、SQL(エスキューエル)インジェクションなどのパケットを検知するパターン情報を記憶してもよい。また、攻撃判定情報記憶部61は、統計的手法に基づいて攻撃を検知するためのルール情報を記憶してもよい。」

エ 段落【0031】-段落【0036】
「【0031】次に、本実施形態による攻撃防御システム1の動作について、図面を参照して説明する。
図2は、本実施形態による攻撃防御システム1の動作の一例を示す図である。
図2において、まず、SDNスイッチ30は、監視対象のネットワークNW1のパケットをIDS50に転送する(ステップS101)。ここで、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送する。
【0032】次に、IDS50は、監視対象のネットワークNW1のパケットを監視する(ステップS102)。すなわち、IDS50は、SDNスイッチ30から転送された監視対象のネットワークNW1を流れるパケットを取得し、攻撃の兆候がないか監視する。IDS50は、監視した当該パケットと、攻撃判定情報記憶部61が記憶する情報とに基づいて、監視対象のネットワークNW1における攻撃(例えば、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃)を検知する。
なお、ステップS101及びステップS102の処理が、攻撃防御システム1における通常時の処理に対応し、通常時は、ステップS101及びステップS102の処理が、攻撃が検知されるまで繰り返される。
【0033】IDS50は、監視対象のネットワークNW1における攻撃を検知した場合に、検知した当該攻撃の種類を特定する(ステップS103)。
次に、IDS50は、検知アラートを生成し(ステップS104)、生成した検知アラートを通信制御装置100に送信する(ステップS105)。なお、検知アラートには、例えば、検知した攻撃の種類、攻撃パケットの内容等のログ情報などが含まれている。
【0034】通信制御装置100は、検知アラートに対する対応方法を決定する(ステップS106)。すなわち、通信制御装置100は、IDS50が送信した検知アラートを受信し、受信した検知アラートに含まれる情報に基づいて、攻撃に対する防御方法(対応方法)を決定する。
なお、ステップS103からステップS106までの処理が、攻撃防御システム1における攻撃検知時(不正通信検知時)の処理に対応する。
【0035】次に、通信制御装置100は、監視対象のネットワークNW1の設定変更依頼をSDNコントローラ装置40に送信する(ステップS107)。すなわち、通信制御装置100は、決定した防御方法(対応方法)に対応した監視対象のネットワークNW1の設定変更を依頼する設定変更依頼をSDNコントローラ装置40に送信する。
【0036】次に、SDNコントローラ装置40は、SDNスイッチ30の設定を変更する(ステップS108)。すなわち、SDNコントローラ装置40は、通信制御装置100から受信した設定変更依頼に対応したSDNスイッチ30の設定情報を生成し、生成した設定情報をSDNスイッチ30に送信する。
これにより、SDNスイッチ30が、監視対象のネットワークNW1を流れるパケットを制限して、IDS50が検知した攻撃に対する防御を行う。
なお、ステップS107及びステップS108の処理が、攻撃防御システム1における防御動作の処理に対応する。」

オ 段落【0041】-段落【0042】
「【0041】次に、図4を参照して、上述したステップS204における防御処理について説明する。
図4は、本実施形態による攻撃防御システム1の防御動作の一例を示す第1の図である。
この図に示す例では、IDS50が、上述したその他の不正パケットによる攻撃を検知した場合における、攻撃防御システム1の防御動作の一例を示している。この場合、通信制御装置100は、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)を破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行する。その結果、図4に示すように、攻撃側コンピュータ装置10が送信した攻撃パケットP1は、SDNスイッチ30によって破棄され、監視対象コンピュータ装置20に到達しない。すなわち、攻撃側コンピュータ装置10から監視対象コンピュータ装置20への攻撃が防御される。
【0042】一方、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットのうち、攻撃側コンピュータ装置10以外の他の機器が送信したパケット(正常パケットP2)を通過させる。すなわち、図4に示すように、攻撃側コンピュータ装置10以外の他の機器が送信した正常パケットP2は、SDNスイッチ30を介して監視対象コンピュータ装置20に転送され、正常に処理される。」

(2)引用発明
したがって、引用文献1には、次の発明(以下、「引用発明」という。)が記載されていると認められる。

「攻撃防御システム1は、SDN(Software Defined Networking)スイッチ30と、SDNコントローラ装置40と、IDS(Intrusion Detection System:侵入検知システム)50と、通信制御装置100とを備え、
攻撃防御システム1は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1を監視しており、
SDNスイッチ30は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1上に接続され、
SDNスイッチ30は、SDNコントローラ装置40によって設定された設定情報に基づいて、パケットの通過を制御可能なスイッチであり、
SDNスイッチ30は、監視対象のネットワークNW1における攻撃が検出されていない通常時に、監視対象のネットワークNW1を流れるパケットを、IDS50に転送し、
攻撃判定情報記憶部61は、攻撃パケットを検知するためにパターン情報などを記憶しており、
まず、SDNスイッチ30は、監視対象のネットワークNW1のパケットをIDS50に転送する(ステップS101)、
ここで、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送させており、
次に、IDS50は、監視対象のネットワークNW1のパケットを監視する(ステップS102)、
IDS50は、監視した当該パケットと、攻撃判定情報記憶部61が記憶する情報とに基づいて、監視対象のネットワークNW1における攻撃を検知し、
通常時は、ステップS101及びステップS102の処理が、攻撃が検知されるまで繰り返され、
攻撃を検知した場合に、検知した当該攻撃の種類を特定し、
IDS50は、生成した検知アラートを通信制御装置100に送信し、
検知アラートには、例えば、検知した攻撃の種類、攻撃パケットの内容等のログ情報などが含まれており、
通信制御装置100は検知アラートに含まれる情報に基づいて、攻撃に対する防御方法を決定し、
通信制御装置100は、決定した防御方法に対応した監視対象のネットワークNW1の設定変更を依頼する設定変更依頼をSDNコントローラ装置40に送信し、
SDNコントローラ装置40は、通信制御装置100から受信した設定変更依頼に対応したSDNスイッチ30の設定情報を生成し、SDNスイッチ30に送信し、
これにより、SDNスイッチ30が、監視対象のネットワークNW1を流れるパケットを制限して、IDS50が検知した攻撃に対する防御を行い、
IDS50が、上述したその他の不正パケットによる攻撃を検知した場合、通信制御装置100は、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)を破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行し、
SDNスイッチ30は、攻撃側コンピュータ装置10以外の他の機器が送信したパケット(正常パケットP2)を通過させ、
正常パケットP2は、SDNスイッチ30を介して監視対象コンピュータ装置20に転送される、
攻撃防御システム。」

2.引用文献2について
また、原査定の拒絶の理由に引用された上記引用文献2の段落【0025】-段落【0026】、段落【0035】、段落【0037】には、以下の記載がある。

(1)段落【0025】-段落【0026】
「【0025】
システム10により提供される第2のインライン機能は、深いレベルのパケット検査を容易にする、ある形式のステートフル・パターン・マッチングを実装するトリガー・フィルタ機能50を備える。トリガー・フィルタ50は、データ・フロー14の能動的監視と共同して2つのフィルタリング動作を実行する。第1に、パケットヘッダ・マッチング動作52が各パケットを観察し、そのヘッダフィールド値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、固定ヘッダフィールド(例えば宛先及びソースIPアドレス、宛先及びソース・ポートなど)を確認して、攻撃を示す情報の存在を調べることを含む。例えば、パケットはヘッダ情報に基づいて分類することができる。次いでこの分類を単独に用いてフィルタリングを行うことが可能であり、また次に論じる他のフィルタリング動作を行う時のコンテキストを提供するために用いることが可能である。第2に、パケットコンテンツ・マッチング動作54が各パケットを観察し、コンテンツ(文字)ストリング及び/又はその正規表現値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、パケット・ペイロード要素を、攻撃に関係するとして識別されたストリング及び表現にマッチングすることを含む。パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54は互いに関連して動作し、検出されたヘッダフィールド値とコンテンツ・ストリング/正規表現値との組み合わせに基づいて、疑わしいパケット・トラフィックを検出するという利点を持つことが認識されるであろう。脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
【0026】
上記の説明は、危険であるか又は疑わしいトラフィックを見つけ出す(そしてその後当該トラフィックをブロックする)トリガー動作に焦点を当てているが、幾つかの状況においては、「良性の」トラフィックの質及び特徴を見つけ出すようにトリガーを実装し、またフィルタを設計できるというような場合もあろう。この場合においては、「良性」基準を満たすとして識別されることに失敗したパケットが全てシステム10によりブロックされ、識別された良性トラフィックが通過を許されることになる。
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、トリガー・フィルタ機能はアプリケーション特化ハードウェア部品として実装されることが好ましい。より具体的には、並行処理アーキテクチャにおける複数のハードウェア実装パターン・マッチング・コンポーネントの使用を通じて、高速パス・パターン・マッチングのためのプロセスが実行される。この設定はシステムがライン速度で動作することを可能にし、更に将来的な拡張容易性を提供する。」

(2)段落【0035】
「【0035】
脅威検証機能100は、疑わしいトラフィックに対するより慎重な解析に応答して、3つの処理オプションから1つを選択する。第1には、そのパケット・トラフィックが良性であると確認された限りにおいて、それはデータ・フロー14に戻される102。第2には、明らかな脅威又は危険が確認された限りにおいて、そのパケット・トラフィックはブロックされ除去される114。第3には、(良性か脅威であるか)明確な判断が下せなかった限りにおいて、そのパケット・トラフィックはデータ・フローに戻される102が、そのトラフィックのコピーが渡されて116、その後更なる検討及び処理が行われ、警報が発せられる必要があるかどうかが判断される。」

(3)段落【0037】
「【0037】
脅威検証機能100によって渡された116(依然として疑わしい)パケット・トラフィックのコピーに対して、数多くの可能なアクションを取ることができる。例えば、警報120を発することができ、疑わしいパケット・トラフィックのコピーをネットワーク管理者に配信して更なる調査を受けさせることができる。或いは又、ライン外のリスク評価機能130により、疑わしいパケット・トラフィックを評価することも可能である。リスク評価機能130は、疑わしいパケット・トラフィックがネットワーク内に存在するマシン及びデバイスに対して識別可能で具体的な危険性を示すかどうかを評価するように動作する。この判断を補助するために、システム10により、保護されたネットワーク内に存在するマシン及びデバイスの各々、及びそれらの互いに対する相互接続及び動作上の関係に関する情報を格納した資産データベース132が維持される。例えば、資産データベース132は、ネットワーク中のマシン(ホスト)、ホストにより提供されるサービス、及びネットワーク構成の観点でこれらのマシン及びサービスに関係するコンピュータシステム並びにネットワークデバイスの潜在的な脆弱性を識別する、企業(即ち保護されたネットワーク)指定データを格納することが好ましい。このデータは、例えば従来の手法で保護されたネットワークを評価するように動作する、独立した、恐らくは従来技術の、脆弱性評価スキャナデバイスの使用を含む、数ある中のいずれか1つの周知の方法で収集することができる。次いでリスク評価機能は、疑いを引き起こした検出シグニチャ(より詳細には、シグニチャの中の脅威を受ける1つ又はそれ以上のネットワーク・コンポーネント(マシン・セット)情報)を、ネットワーク内の資産の観点から評価して、検出シグニチャの適用を通じて疑わしいと検出されたパケット・トラフィックにより、どのタイプのネットワーク資産が脅威を受けているかを判断する。データベース132に格納された情報により判断されたときに、保護されたネットワークがいかなる脅威を受けたマシン又はデバイスも持たない場合は、疑わしいトラフィックはネットワークにとって殆ど懸念材料とならないか又は全く懸念材料とならず、無視することが可能である。しかしながら、保護されたネットワークが疑わしいトラフィックにより脅威を受ける可能性がある資産を有する限りにおいては、損害のリスクを低減するか又は解消するために、トラフィックが以後ブロックされて除去されるか、又はそれに対して警報が出されて、ネットワーク/セキュリティ管理者に脅威の可能性があることが通知される。この状況においては、警報120を発して、疑わしいパケット・トラフィックをネットワーク管理者に配信して更なる調査を受けさせることができる。」

3.引用文献3について
また、原査定の拒絶の理由に引用された上記引用文献3の段落【0035】、段落【0050】-段落【0052】には、以下の記載がある。

(1)段落【0035】
「【0035】
フロー比較部28は、通知されたパケット長平均値、パケット長分散値、パケット到着時間間隔平均値、パケット到着時間間隔分散値、ポート番号、パケット長種類数、PUSHパケット出現率、バースト長平均値、バースト長分散値、バースト到着時間間隔平均値、バースト到着時間間隔分散値を、フロー特徴リスト格納部29に保持してある振る舞い期待値のリストと比較し、トラフィックの転送または廃棄の指示を送信部27に出す。後述するように、通知されてきた内容がリスト内の期待値の範囲内である場合には、正規のトラフィックと判断できるので、フロー比較部28は、トラフィックの転送を指示し、そうでないでない場合には、トラフィックの廃棄を指示する。この際、フロー比較部28は、指示内容を保守者へと通知する。」

(2)段落【0050】-段落【0052】
「【0050】
次に、本発明の第3の実施形態の不正アクセス遮断装置について説明する。図4に示す第3の実施形態の不正アクセス遮断装置50は、図1に示した不正アクセス遮断装置2と同様のものであるが、トラフィックの振る舞いを測定することによる不正トラフィック検出処理を実施する前に、個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性があるトラフィックを抽出するように構成されている。以下の説明では、不正トラフィックの可能性があるトラフィックのことを被疑トラフィックと呼ぶ。したがって、第3の実施形態の不正アクセス遮断装置50は、被疑トラフィックを不正トラフィック検出処理に転送する被疑トラフィック抽出部51と、被疑トラフィック条件を格納する被疑トラフィック条件格納部52を備えている点で、図1に示した不正アクセス遮断装置2と異なっている。被疑トラフィック条件とは、被疑トラフィック抽出部51において被疑トラフィックを抽出するために用いられる条件のことである。
【0051】
被疑トラフィック抽出部51は、被疑トラフィック条件格納部52に格納された被疑トラフィック条件に基づいて、受信したトラフィックの中から不正トラフィックの可能性がある被疑トラフィックのみを抽出して、抽出された被疑トラフィックのコピーを後段の各算出部21?24、30?35およびポート番号検出部25に転送する機能を有する。例えば、被疑トラフィック抽出部51は、受信部26から転送されたトラフィックに対して、個々のトラフィックの単位時間あたりの受信パケット数をカウントし、その単位時間あたりの受信パケット数が被疑トラフィック条件格納部52において保持される閾値を超えたトラフィックを被疑トラフィックとし、そのような被疑トラフィックを抽出する。ここでは、被疑トラフィック条件格納部52において保持される被疑トラフィック条件は、単位時間あたりの受信パケット数であるとしたが、その他の被疑トラフィック条件を設定してもよい。
【0052】
この不正アクセス遮断装置50において、被疑トラフィック抽出部51の以外の動作は第1の実施の形態の不正アクセス遮断装置2の動作と同じであるので、ここでは重複する説明は繰り返さない。第3の実施形態の不正アクセス遮断装置50では、受信した全てのトラフィックのうち、不正トラフィックの可能性がある被疑トラフィックに対してトラフィックの振る舞いを測定することによる不正トラフィック検出処理を実施することができるため、不正トラフィック検出処理を効率よく実施することができる。」

4.引用文献4について
また、原査定の拒絶の理由に引用された上記引用文献4の段落【0060】-段落【0065】には、以下の記載がある。

(1)段落【0060】-段落【0065】
「【0060】
本発明によるコンピュータシステム1では、OFC11によりOFS2による転送先を設定することで、例えば、図4に示すネットワークが構成される。図4は、WEBサーバ60がルータ40を経由してインターネット100へ接続する構成例を示す論理構成図である。図4を参照して、コンピュータシステム1は、ルータ40を介してインターネット100に接続されるオープンフロースイッチ群20(以下、OFS群20と称す)と、OFS群20に接続されるコントローラ10、侵入検知部30、負荷分散装置50、WEBサーバ60、ファイアウォール70を具備する。ここで、OFS群20は、少なくとも1つのOFS2を備える。又、ルータ40、負荷分散装置50、WEBサーバ60のそれぞれは、OFS2の転送先によってルータ装置4、負荷分散装置5、WEBサーバ6-1が仮想化されることで構成される仮想サーバである。又、コントローラ10は、OFC11、CC12、及び構成管理情報データベース13によって実現されるものとする。更に、侵入検知部30は、不正アクセス検知装置3の不正アクセス検知機能によって実現される。
【0061】
先ず、コントローラ10は、OFS群20のうち、いずれかのOFS2のフローテーブルを変更することで侵入検知部30をOFS群20に接続するように通信経路の構成を変更する。WEBサーバ60の利用開始前、図5に示すように、WEBサーバ60はOFS群20を介してルータ40に接続されている。WEBサーバ60がサービスを提供していない間、WEBサーバ60に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20に侵入検知部30が接続されないことが好ましい。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
【0062】
ここで、WEBサーバ60によるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更してWEBサーバ60に対する通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図6に示すように、ルータ40とWEBサーバ60との間の通信経路(OFS群20-1)に接続される。侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信の監視(WEBサーバ60への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
【0063】
図10は、本発明によるコンピュータシステム1におけるネットワーク構成変更動作の一例を示すシーケンス図である。図6、図7及び図10を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
【0064】
図6に示すネットワークにおいて侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2を介してOFC11に送信される(ステップS2)。
【0065】
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図7に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20を制御してルータ40とWEBサーバ60との間にファイアウォール70を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、ファイアウォール70を経由して、WEBサーバ60へ送信されることとなり、異常なパケットをファイアウォール70でブロックすることが可能となる。又、コントローラ10は、OFS群20を制御してファイアウォール70とWEBサーバ60の間の通信経路(OFS群20-2)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70からWEBサーバ60へのパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20を制御してルータ40とファイアウォール70との間の通信経路(OFS群20-1)に侵入検知部30を接続するようにネットワーク構成を変更してもよい。この場合、ファイアウォール70を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。尚、侵入検知部30は、少なくともファイアウォール70からWEBサーバ60へのパケット通信の監視を行えればよく、ルータ40からファイアウォール70への間の監視は、してもしなくてもよい。」

5.引用文献5について
また、原査定の拒絶の理由に引用された上記引用文献5の段落【0113】-【0178】(特に、段落【0117】、段落【0121】、段落【0123】、段落【0141】、段落【0149】)の記載からみて、
当該引用文献5には、
「オープンフローシステムにおいて、フローテーブル22において、デフォルトエントリ以外にマッチするフローエントリが存在しない未知のパケットについて、アクセス元ホストにアクセス可否を問い合わせ、当該アクセスの可否に応じてフローエントリの登録指示を行い、データパケットのパケットの転送や廃棄の制御を行うこと」
という技術的事項が記載されていると認められる。

第5 対比・判断
1.本願発明1について
(1)対比
ア 引用発明の「監視対象のネットワークNW1を流れるパケット」は、SDNスイッチ30により転送制御されるパケットであるから、本願発明の「データフロー」に相当する。
引用発明においては、「SDNスイッチ30は、監視対象のネットワークNW1における攻撃が検出されていない通常時に、監視対象のネットワークNW1を流れるパケットを、IDS50に転送し、まず、SDNスイッチ30は、監視対象のネットワークNW1のパケットをIDS50に転送する(ステップS101)、ここで、SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送させており、次に、IDS50は、監視対象のネットワークNW1のパケットを監視する(ステップS102)、IDS50は、監視した当該パケットと、攻撃判定情報記憶部61が記憶する情報とに基づいて、監視対象のネットワークNW1における攻撃を検知し、通常時は、ステップS101及びステップS102の処理が、攻撃が検知されるまで繰り返され、攻撃を検知した場合に、検知した当該攻撃の種類を特定し、IDS50は、生成した検知アラートを通信制御装置100に送信し、検知アラートには、例えば、検知した攻撃の種類、攻撃パケットの内容等のログ情報などが含まれており、通信制御装置100は検知アラートに含まれる情報に基づいて、攻撃に対する防御方法を決定し、通信制御装置100は、決定した防御方法に対応した監視対象のネットワークNW1の設定変更を依頼する設定変更依頼をSDNコントローラ装置40に送信し、SDNコントローラ装置40は、通信制御装置100から受信した設定変更依頼に対応したSDNスイッチ30の設定情報を生成し、SDNスイッチ30に送信し、これにより、SDNスイッチ30が、監視対象のネットワークNW1を流れるパケットを制限して、IDS50が検知した攻撃に対する防御を行」っている。
すなわち、「攻撃を検知した場合」に、引用発明は、「検知アラート」を通信制御装置100に送信し、通信制御装置100は検知アラートに含まれる情報に基づいて、攻撃に対する防御方法に対応した監視対象のネットワークNW1の設定変更を依頼する「設定変更依頼」をSDNコントローラ装置40に送信し、SDNコントローラ装置40は、設定変更依頼に対応した「SDNスイッチ30の設定情報」を生成し、SDNスイッチ30に送信し、SDNスイッチ30が、監視対象のネットワークNW1を流れるパケットを制限している。
ここで、IDS50により検知された「検知アラート」、ネットワーク制御装置100により送信されるネットワークNW1の「設定変更依頼」、「SDNスイッチ30の設定情報」というように、その情報の形態は変化しているものの、上記の情報を生成するための元となったパケット(データフロー)の攻撃が検出されている状態が、IDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30の全てにおいて、共有、更新されていると認められる。
また、「攻撃が検出されていない通常時」に、引用発明では、ステップS101(パケットをIDS50に転送)及びステップS102(パケットを監視)の処理が、攻撃が検知されるまで繰り返されており、ネットワーク制御装置100に検知アラートが送信されていない。これは、暗に検知アラートが送信されなかったパケット(データフロー)の攻撃を検知されていない状態が、IDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30の全てにおいて、共有、更新されていることであるといえる。
そして、引用発明は、IDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30からなる攻撃防御システムであるから、システムにわたって、パケット(データフロー)の攻撃が検知されていない状態、パケット(データフロー)の攻撃が検知されている状態が、共有、更新されているといえる。
上記のとおりであるから、引用発明は、システムにわたってデータフローの攻撃が検知されているか否かという状態を共有、更新している。
ここで、引用発明の「パケット(データフローの攻撃が検知されているか否かという状態」は、攻撃が検知されている否かというデータフローの状態を示す情報であるから、本願発明1の「データフローのフローステート」とは、データフローのフローの状態である点で共通している。
したがって、引用発明は、本願発明1のデータフローの「フローステート」を共有および更新するように構成されることと、「システムにわたってデータフローのフローの状態を共有、更新するように構成され」る点で共通している。

イ 引用発明では、「SDNスイッチ30は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1上に接続」されているから、SDNスイッチに入力される信号は、SDNスイッチに受信されているといえる。
引用発明では、通常時に「SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送」されており、これは自装置を通過(すなわち、監視対象コンピュータ20へ転送)させるとともに、パケットを複製し、IDSに転送する処理であることは自明であるから、引用発明の「SDNスイッチ30」は、通常時(データフローのフローの状態に応じて)、パケット(受信されたデータフロー)を転送及び複製を行っていると認められる。
また、引用発明は、「IDS50が、上述したその他の不正パケットによる攻撃を検知した場合、通信制御装置100は、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)を破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行し」ていることから、引用発明の「SDNスイッチ30」は、攻撃を検知した場合(データフローのフローの状態に応じて)、パケット(受信されたデータフロー)を破棄(ブロック)していると認められる。
そして、引用発明は、「監視した当該パケットと、攻撃判定情報記憶部61が記憶する情報とに基づいて、監視対象のネットワークNW1における攻撃を検知」し、「攻撃判定情報記憶部61は、攻撃パケットを検知するためにパターン情報を記憶」している。ここで、記憶されたパターン情報とパケットとに基づいて攻撃を検知する際に、その比較により行うことは自明であるから、少なくともデータフローと所定のパターンとの比較に基づいて、パケットの転送制御をしているといえる。
したがって、引用発明の「SDNスイッチ30」と本願発明1の「共有ステート転送要素FE」とは、「前記データフローのフローの状態、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローの通過制御を行」っている点で共通している。
よって、引用発明と本願発明1とは、「前記データフローのフローの状態、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローの通過制御を行う構成を少なくとも1つ有し」ている点で共通している。

ウ 引用発明では、「SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送させて」いるから、イ で検討したとおり、IDS50は、複製されたデータフローを受信しているといえる。
また、引用発明では、IDS50が攻撃を検知した場合、パケットを制限して検知した攻撃に対する防御を行い、監視対象のネットワークNW1における攻撃が検出されていない通常時に、自装置(SDNスイッチ30)を通過(すなわち、監視対象コンピュータ20へ転送)させている。
ここで、攻撃は悪意をもってなされるから、攻撃が検出されたデータフローは、ネットワークにおける悪意のあるデータフローである。そして、攻撃が検出されていない通常時は、受信されたパケットを転送しているから、SDNスイッチ30を通過させることを許可している状態といえる。
よって、引用発明の「IDS50」は、悪意があるかそれとも許可されているかを分類しているといえる
したがって、引用発明の「IDS50」は、本願発明の「検査要素IE」と「複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成されている」点で共通しているといえる。

エ 引用発明は、SDN(Software Defined Networking)スイッチ30を備えた攻撃防御システムであるから、当該攻撃防御システムはSDNシステムといい得るものである。
また、攻撃が検知されたデータフローである攻撃パケットは悪意のあるデータフローであり、攻撃パケットを破棄する処理は悪意があるデータフローの侵入を防止しているといえるから、引用発明のIDS(Intrusion Detection System:侵入検知システム)50を備えた攻撃防御システムは、「SDN(Software Defined Network)において悪意があるデータフローを侵入を検知および防止するシステム」である点において、本願発明1と共通する。

オ 引用発明では、アにおいて検討したとおり、データフローの攻撃が検知されているか否かという状態は、IDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30に当該状態を共有することによりその状態を変更させており、ウにおいて検討したとおり、IDS50においてデータフローを悪意があるか、許可されているかに分類している。
すなわち、引用発明のIDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30は、IDS50における分類結果に応じて前記データフローの前記フローの状態を変化させるように構成されているといえる。
したがって、引用発明の「IDS50、通信制御装置100、SDNコントローラ装置40、SDNスイッチ30」は、本願発明1の「検査要素IE」と「分類結果に応じて前記データフローの前記フローの状態を変化させるように構成され」ている点で共通している。

カ 引用発明では、「SDNスイッチ30は、攻撃側コンピュータ装置10以外の他の機器が送信したパケット(正常パケットP2)を通過させ」、「正常パケットP2は、SDNスイッチ30を介して監視対象コンピュータ装置20に転送され」、通常時に「SDNスイッチ30は、監視対象のネットワークNW1を流れるパケットを、自装置を通過させるとともに、IDS50に対して転送」しているから、当該正常パケットはIDS50における攻撃が検出されていない状態にあるものと解されるから、引用発明の「SDNスイッチ30」は本願発明1の「共有ステート転送要素FE」と「前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し」ている点で共通している。

キ 引用発明では、「IDS50が、上述したその他の不正パケットによる攻撃を検知した場合、通信制御装置100は、攻撃側コンピュータ装置10から送信されたパケット(攻撃パケット)を破棄させる設定を、SDNコントローラ装置40を介してSDNスイッチ30に対して実行し」ており、引用発明は、攻撃側コンピュータ装置10と監視対象コンピュータ装置20との間の監視対象のネットワークNW1を監視しており、攻撃側コンピュータから送信されたパケット(攻撃パケット)は監視対象コンピュータ20へと転送されるパケットが廃棄された状態、すなわち転送がブロックされた状態であるから、当該「破棄」は、本願発明1の「ブロック」に対応するといえる。
また、引用発明の攻撃を検知する処理に関して、イにおいて検討したとおり、データフローのフロー状態、データフローと所定のパターンとの比較に基づいている。
したがって、引用発明1の「SDNスイッチ30」と本願発明1の「共有ステート転送要素FE」とは、「前記データフローのフローの状態が「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックし」ている点で共通している。

したがって、本願発明1と引用発明の一致点及び相違点は、次のとおりである。

[一致点]
システムにわたってデータフローのフローの状態を共有、更新するように構成され、
前記データフローのフローの状態、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローの通過制御を行う構成を有し、
複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類するように構成される、
SDN(Software Defined Network)において悪意があるデータフローを侵入を検知および防止するシステムであって、
分類結果に応じて前記データフローの前記フローの状態を変化させるように構成され、
前記通過制御を行う構成は、
前記データフローのフローステートが「許可」である場合、および/または前記データフローが所定の許可されたトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを転送し、
前記データフローのフローの状態が「ブロック」である場合、および/または前記データフローが所定の悪意があるトラフィックのパターンと一致する場合には、受信されたデータフローのパケットをブロックする、システム。

[相違点1]
本願発明1は、「データフローのフローステートを記憶し、システムにわたって前記フローステートを共有及び更新するように構成される少なくとも1つのデータストレージまたはメモリ」を備えているのに対し、引用発明は「データフローのフローステートを記憶し」ている「少なくとも1つのデータストレージまたはメモリ」を備えることが特定されていない点。

[相違点2]
本願発明は、システムにわたって共有及び更新する、データフローのフローの状態として、「データフローのフローステート」を用いているのに対し、引用発明は、「データフローの攻撃が検知されているか否かという状態」を用いている点。

[相違点3]
「データフローのフローの状態、および/または前記データフローと所定のパターンとの比較に基づいて、受信されたデータフローの通過制御を行う構成」として、本願発明が、「ブロック、転送、または複製するように構成される少なくとも1つの共有ステート転送要素FE」を有しているのに対し、引用発明が、「受信されたデータフローをブロックまたは転送及び複製するように構成される少なくとも1つのSDNスイッチ300」を有している点。

[相違点4]
「複製されたデータフローを受信し、前記データフローが、悪意があるかそれとも許可されているかを分類」し、「分類結果に応じて前記データフローの前記フローステートを変化させるように構成され」る主体となる構成として、本願発明1は、少なくとも1つの検査要素(IE)を有しているのに対して、引用発明においては、IDS50、通信制御装置100、SDNコントローラ40により行っている点。

[相違点5]
本願発明1では、「前記FEは」、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」のに対して、引用発明には、そのような構成が記載されていない点

(2)判断
[相違点1]及び[相違点5]について
事案に鑑みて、相違点5について先に検討する。
検討にあたって、相違点5は「前記データフローのフローステート」に関する制御であるから、「データフローのフローステート」に基づく制御を行う点で互いに関連する相違点1とまとめて検討を行う。
上記引用文献1-5のうち、フローの状態、トラフィックのパターンが「許可」および「ブロック」である場合と区別される「疑わしい」場合についての制御に関し、記載や示唆があるのは、以下のとおり、引用文献2,3のみである。

ア 上記「第4」の「2.」を参照すると、引用文献2には、ネットワーク上に「インライン」配置される脅威検証機能100によって渡された(図1の矢印116参照。)、(依然として疑わしい)パケット・トラフィックのコピーに対して、更なる調査を受けさせることが記載されており、これは疑わしい場合に受信されたデータフローについて更なる調査をさせることに対応している。
また、引用文献2にはトラフィックのパターンマッチング(データフローが所定の疑わしいトラフィックパターンと一致するかどうかに対応)により、疑わしいパケットを検出することも記載されている。
さらに、引用文献2には、(疑わしいパケット・トラフィックについての評価の)判断を補助するために、保護されたネットワーク内に存在するマシン及びデバイスの各々、及びそれらの互いに対する相互接続及び動作上の関係に関する情報を格納した資産データベース132を有すること(トラフィックの評価のために、メモリに状態を記憶していることに対応)が記載されている。
しかしながら、本願発明1のように、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」点についての記載や示唆はない。

イ 上記「第4」の「3.」を参照すると、引用文献3には、個々のトラフィックにおける単位時間あたりの受信パケット数を測定し閾値を超えたトラフィックを不正トラフィックの可能性があるトラフィックであるとして、被疑トラフィックと判定し、当該被疑トラフィックのコピーをさらなる検査のために転送することが記載されている。
ここで、被疑トラフィックは不正トラフィックと疑わしいトラフィックであるから、疑わしい場合に検査のために複製して転送することは記載されていると認められる。
しかしながら、本願発明1のように、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」点についての記載や示唆はない。

ウ 上記「第4」の「4.」を参照すると、引用文献4には、記憶されている既定の異常パタンと比較し、異常なパケット通信を検出し、侵入検知情報をコントローラ10へ通知し、コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定し、特定したネットワーク構成となるように、OFS2のフローテーブルを変更することが記載されている。
ここで、パターンによりパケット(データフロー)の状態を検出している点で本願発明1と一致しているものの、「疑わしい」の場合についての記載はなく、引用文献4においても、パターン、フローステートの両方について記載されておらず、パターンとは別のパラメータであるフローステートに基づいて「疑わしい」状態を特定することは記載も示唆もされていない。
さらに、「システムにわたって共有および更新されるデータフローのフローテート」について、「データストレージまたはメモリ」に記憶されることも記載も示唆もされていない。

エ 本願発明6において、さらに引用されている引用文献5についても、念のため検討する。
上記「第4」の「5.」を参照すると、引用文献5は、オープンフローシステム(SDNシステムに相当)における制御を行っている点で一致しているものの、「疑わしい」の場合についての記載はなく、本願発明1のように、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」点についての記載や示唆はない。

オ アーエにおいて検討したとおり、引用文献2-5にはいずれも、「データストレージまたはメモリ」に記憶され「システムにわたって共有および更新されるデータフロー」について、「データフローのフローステートが「疑わしい」場合、及び、データフローが所定の疑わしいパターンである場合に、受信されたデータフローのパケットを前記IEに複製すること」点について記載も示唆もない。
そして、引用発明において、引用文献2-5をどのように組み合わせても、本願発明1の「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」との構成には至らないし、上記の引用文献2-5を引用発明に組み込ませるべき起因、動機付けも見出せない。

カ また、本願発明1のように、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」点が、周知技術であるとも認められない。

よって、当業者といえども、引用発明及び引用文献2-5に記載された技術的事項に基づいて、本願発明1のように、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」、という構成を容易に想到することはできない。

したがって、他の相違点について検討するまでもなく、本願発明1は、当業者であっても引用発明及び引用文献2-5に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

2.本願発明2-12について
本願発明2-12は、本願発明1を減縮した発明であって、本願発明2-12も、本願発明1の上記相違点1及び相違点5に係る「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」という構成と同一の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても、引用発明及び引用文献2-5に記載された技術的事項に基づいて容易に発明できたものとはいえない。

3.本願発明13-14について
本願発明13は、本願発明1に対応する方法の発明であり、本願発明1の上記相違点1及び相違点5に係る「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」という構成と同一の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても、引用発明及び引用文献2-5に記載された技術的事項に基づいて容易に発明できたものとはいえない。

第6 原査定について
原査定は、請求項1-14について上記引用文献1-5に基づいて、当業者が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができないというものである。
しかしながら、平成31年1月15日付け手続補正により補正された請求項1は、上記相違点1及び相違点5に係る、「データストレージまたはメモリ」に記憶され「システムにわたって共有及び更新されるデータフローのフローステート」について、「前記データフローのフローステートが「疑わしい」である場合、および前記データフローが所定の疑わしいトラフィックのパターンと一致する場合には、受信されたデータフローのパケットを前記IEへ複製するように構成される」という構成を有するものとなっており、上記のとおり、引用発明及び引用文献2-5に記載された技術的事項に基づいて、当業者が容易に発明できたものではない。
したがって、原査定を維持することはできない。

第7 むすび
したがって、原査定の理由によっては、本願を拒絶することはできない。
また、他に本願を拒絶すべき理由を発見しない。
よって、結論のとおり審決する。


 
審決日 2020-07-20 
出願番号 特願2017-523948(P2017-523948)
審決分類 P 1 8・ 121- WY (H04L)
最終処分 成立  
前審関与審査官 玉木 宏治  
特許庁審判長 稲葉 和生
特許庁審判官 太田 龍一
林 毅
発明の名称 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法  
代理人 実広 信哉  
代理人 木内 敬二  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ