ポートフォリオを新規に作成して保存 |
|
|
既存のポートフォリオに追加保存 |
|
PDFをダウンロード |
審決分類 |
審判 査定不服 2項進歩性 特許、登録しない。 G06Q |
---|---|
管理番号 | 1292027 |
審判番号 | 不服2013-17593 |
総通号数 | 179 |
発行国 | 日本国特許庁(JP) |
公報種別 | 特許審決公報 |
発行日 | 2014-11-28 |
種別 | 拒絶査定不服の審決 |
審判請求日 | 2013-09-11 |
確定日 | 2014-09-18 |
事件の表示 | 特願2009- 15658「監査システム,外部監査装置,外部監査方法および外部監査プログラム」拒絶査定不服審判事件〔平成21年11月 5日出願公開,特開2009-259214〕について,次のとおり審決する。 |
結論 | 本件審判の請求は,成り立たない。 |
理由 |
1.手続の経緯 本願は平成21年1月27日を出願日(国内優先権主張日:平成20年3月19日)とする出願であって,平成25年2月7日付けの拒絶理由の通知に対し,平成25年4月22日付けで意見書が提出されるとともに手続補正がなされたが,平成25年6月5日付けで拒絶査定がされ,これに対し,平成25年9月11日付けで拒絶査定不服審判の請求がなされたものである。 2.本願発明 本願の請求項9に係る発明(以下「本願発明」という。)は,平成25年4月22日付けの手続補正書によって補正された明細書,特許請求の範囲及び図面の記載からみて,特許請求の範囲の請求項9に記載された事項により特定される,次のとおりのものである。 「ユーザが入力を行う少なくとも1つの通信端末から,当該入力があったことを示す入力有データを通信ネットワークを介して受信する外部監査装置であって, 前記通信ネットワークを介して前記通信端末から前記入力有データを受信し,当該入力有データを履歴情報として記録するログ収集手段と, 予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と, 前記履歴情報に基づいて,前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに,その分析結果を用いて監査レポートを生成し,当該生成された監査レポートを監査データベースに登録する監査処理手段と, を備える外部監査装置。」 3.引用例について (3-1)原査定の拒絶の理由に引用された,本願出願前の平成19年9月13日に頒布された,特開2007-233661号公報(以下,「引用例1」という。)には,図面とともに,次の事項が記載されている。(なお,下線は当審において付与したものである。) (a)「【0010】 本発明は,このような課題に対応するためになされたものであり,企業等の組織内において,物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し,主として内部統制に有益な情報を提供することが可能な,ログ統合管理システム及びログ統合管理方法を提供することを目的とするものである。」 (b)「【0044】 本発明にかかるログ統合管理システム10は,企業内のネットワークに接続されたコンピュータであって,CPU,RAM,ROM,HDDが少なくとも備えられている。HDDには,統合ログ作成や異常判定などを行うためのアプリケーションプログラム等が記憶されていて,これらのアプリケーションプログラムによって所定の処理を実行するには,ROMに記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し,RAMをアプリケーションプログラムのワークエリアとして機能させながら,CPUにより演算処理が行われる。 【0045】 本発明にかかるログ統合管理システム10は,社内LAN等の企業内のネットワークを通じて,セキュリティ・ゲート管理サーバ30,セキュリティ・キャビネット管理サーバ40,認証システム50,メールサーバ60,ネットワーク監視サーバ70,PBXシステム90等の企業内の複数のシステムと接続されている。これらのシステムで収集されたログデータを入力ログフォーマット情報記憶部11に指定されたフォーマットに合わせてログ受付部14において受け付け,出力ログフォーマット情報記憶部12に指定されたフォーマットに従って統合ログ作成部15において社員毎の統合ログを作成し,統合ログ格納部16の社員毎に設けられたテーブルに格納する。各々のシステムで収集されるログデータについて,以下に順を追って説明する。」 (c)「【0050】 次に,社員が業務に使用する業務用端末80,81を用いて行った操作に関するログについて説明する。社員が使用する業務用端末80,81は,使用権限の無い者による不正使用を防止するために,認証システム50と接続されている。社員が業務用端末80,81を使用する際には,認証システム50からユーザIDとパスワードの入力や,生体認証のための生体情報の読み取り等によるユーザの本人認証を要求される。 【0051】 このようにして行われたユーザ認証の記録は,図6のログデータの例に示したように,本人認証に用いられた装置を識別する認証機器ID,社員コード,本人認証が行われた日付や時間等が記録される。かかる認証システム50は,図2の例に示したように業務用端末80,81から社内LAN等のネットワークを通じてアクセスするものであってもよいし,業務用端末80,81の内部に備えられていてもよい。特に後者の場合には,本人認証についてのログデータは,業務用端末80,81に記憶されることになる。 【0052】 また,業務用端末80,81において行われた操作に関するログ,例えばコンピュータへのログオンやログオフ,ファイルの更新,プリンタや外部ディスクへの出力などについて,業務用端末80,81に記憶されているログデータについても,ログ統合管理システム10において社員コード毎に収集することが好ましい。これらのログデータとして,業務用端末80,81のOSが管理するシステムログを用いることとしてもよい。」 (d)「【0059】 以上のように,セキュリティ・ゲート管理サーバ30,セキュリティ・キャビネット管理サーバ40,認証システム50,メールサーバ60,ネットワーク監視サーバ70,業務用端末80,81,PBXシステム90等の企業内の複数のシステムにおいて収集されたログデータが,例えば1時間に1回,1日に1回といった,ユーザが任意に設定することが可能な所定のタイミングで,ログ統合管理システム10のログ受付部14において受け付けられる。 【0060】 このように収集されるログデータは,ログ受付部14において入力ログフォーマット情報記憶部11の指定に従ってフォーマットが統一され,統合ログ作成部15において,社員毎にとりまとめた統合ログが作成される。統合ログ作成部15においては,収集したログデータを統合するためのアプリケーションプログラム等が起動されて,出力ログフォーマット情報記憶部12及びログ紐付情報記憶部13を参照して,統合ログを作成する。」 (e)「【0067】 このように時系列に沿って整理された統合ログに対して,一般に不正が発生しやすい行動パターン等をルール化してルール記憶部18に記憶させておくと,統合ログがルール記憶部18に記憶されたルールに該当する場合には,何らかの不正行為が行われた可能性があると判定することが可能である。不正のルールは,一のログ毎に対比するためのルールであってもよいし,一連の行動を示す複数のログをまとめて対比するためのルールであってもよい。また,社員毎の通常の行動パターンをユーザプロファイル記憶部19に記憶させておくと,統合ログがユーザプロファイル記憶部19に記憶されたプロファイルと乖離している場合には,何らかの不正行為が行われた可能性があると判定することも可能である。判定に用いるプロファイルは,一のログ毎の判定に用いてもよいし,一連の行動を示す複数のログをまとめて判定することに用いてもよい。 【0068】 ログ統合管理システム10の異常判定部17においては,ルール記憶部18とユーザプロファイル記憶部19の一方又は双方を参照し,上記のように時系列に沿って整理された統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって,統合ログから不正の可能性のある異常行為を検出することとしている。異常行為が検出された場合には,例えば,管理者端末20に警告を表示することとしてもよいし,異常行為である可能性を判定した判定結果を,対象となったログデータのレコードに記録し,統合ログ格納部16に格納することとしてもよい。判定結果の形式については,異常行為である可能性をスコアとして算出し,算出されたスコアを記録することとしてもよいし,文字や記号によって異常行為の可能性をランク分けし,各々のログデータに対応するランクを記録することとしてもよく,特に限定されるものではない。」 以上の(a)乃至(e)によると,引用例1には以下の発明(以下,「引用発明」という。)が記載されているものと認められる。 「企業等の組織内において,物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し,主として内部統制に有益な情報を提供することが可能なログ統合管理システムであって, ログ統合管理システム10は, 社内LAN等の企業内のネットワークに接続されたコンピュータであって,社内LAN等の企業内のネットワークを通じて,収集されたログデータをログ受付部14において受け付け,統合ログ作成部15において社員毎の統合ログを作成し,統合ログ格納部16の社員毎に設けられたテーブルに格納するものであり, 社員が使用する業務用端末80,81は, 社内LAN等の企業内のネットワークに接続され,ユーザIDとパスワードの入力や,生体認証のための生体情報の読み取り等によるユーザの本人認証を要求され,このようにして行われたユーザ認証の記録は,本人認証に用いられた装置を識別する認証機器ID,社員コード,本人認証が行われた日付や時間等が記録され,本人認証についてのログデータは,業務用端末80,81に記憶され,また,業務用端末80,81において行われた操作に関するログ,例えばコンピュータへのログオンやログオフ,ファイルの更新,プリンタや外部ディスクへの出力などが,業務用端末80,81に記憶されるものであり, ログ統合管理システム10では, 業務用端末80,81において収集されたログデータを,例えば1時間に1回,1日に1回といった,ユーザが任意に設定することが可能な所定のタイミングで,ログ受付部14において受け付け,統合ログ作成部15において,社員毎にとりまとめた統合ログを作成し,統合ログ格納部16の社員毎に設けられたテーブルに格納するものであり, 統合ログに対して,一般に不正が発生しやすい行動パターン等をルール化してルール記憶部18に記憶させており, 異常判定部17は,ルール記憶部18を参照し,統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって,統合ログから不正の可能性のある異常行為を検出するものであり, 異常行為が検出された場合には,管理者端末20に警告を表示することとしてもよいし,異常行為である可能性を判定した判定結果を,対象となったログデータのレコードに記録し,統合ログ格納部16に格納する, ログ統合管理システム10。」 (3-2)原査定の拒絶の理由に周知文献として引用された,本願出願前の平成19年11月22日に頒布された,特許第4041846号公報(以下,「周知文献1」という。)には,図面とともに,次の事項が記載されている。(なお,下線は当審において付与したものである。) (f)「【0075】 比較手段23は,環境情報受信手段22によって受信・収集された各利用者端末10における環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより,そのポリシ定義に違反している利用者端末10およびそのポリシ違反の内容を特定するものである。ここで,ポリシ定義は,企業毎に定義・設定され,管理サーバ20の上記記憶部等に予め登録されている。そのポリシ定義の内容としては,例えば下記項目(1)?(5)のものが挙げられるが,本発明は,これらの項目(1)?(5)に限定されるものではない。いずれのポリシ定義の内容も,利用者端末10においてそのポリシ定義が守られていない場合,セキュリティ上,若干の問題があるものとみなされる事項である。 【0076】 (1)各利用者端末10において保有や使用を禁止するアプリケーションの情報。例えば仮想VPNソフトウエア,P2Pソフトウエア,スパイウエア,ファイル交換ソフトウエア(Winny等)などが挙げられる。 【0077】 (2)各利用者端末10において保有されるべきアプリケーションの情報。例えばセキュリティパッチ更新ソフトウエア,各種セキュリティソフトウエア,個人情報探査プログラムなどが挙げられる。 【0078】 (3)各利用者端末10において設定されるべきセキュリティ設定状況。例えば,各種セキュリティソフトウエアがオン設定になっていることや,スクリーンセーバ・パスワードロックのタイムアウト時間が所定時間(例えば10分)以内に設定することなどが挙げられる。 【0079】 (4)各利用者端末10において個人情報探査プログラムによる個人情報ファイルの定期探査を行なっていること。 (5)プリンタの使用量が所定枚数(例えば1日100枚)以内であること(使用量が多い利用者端末10は,情報漏洩の可能性が高いものとみなす)。」 4.対比 (1)本願発明と引用発明を対比する。 (ア)引用発明における「社員が使用する業務用端末80,81」は,社内LAN等の企業内のネットワークに接続され,ユーザIDとパスワードの入力や,該端末から業務として,コンピュータへのログオンやログオフ,ファイルの更新,プリンタや外部ディスクへの出力などの各種操作が行われるものであるから,引用発明の「社員が使用する業務用端末80,81」は,本願発明の「ユーザが入力を行う少なくとも1つの通信端末」に相当するものである。 (イ)引用発明における「ログ統合管理システム10」は,社内LAN等の企業内のネットワークを介して,「業務用端末80,81」において収集されたログデータを「ログ受付部14」で受け付けるものであり,このログデータは上記(ア)で示したような「業務用端末80,81」への入力があったことを示すデータであり,また,上記「ログ受付部14」での受け付けは,ネットワークからの受信を意味することは明らかである。 そうすると,本願発明と引用発明は,後記する点で相違するものの, 「ユーザが入力を行う少なくとも1つの通信端末から,当該入力があったことを示す入力有データを通信ネットワークを介して受信する装置」 である点で共通する。 (ウ)引用発明における「ログ統合管理システム10」では,「ログ受付部14」で受け付けたログデータから,「統合ログ作成部15」において,社員毎にとりまとめた統合ログを作成し,「統合ログ格納部16」に格納することが行われており,該統合ログは上記「業務用端末80,81」において行われた操作の履歴情報であることは明らかである。 そうすると,本願発明と引用発明は,後記する点で相違するものの, 「前記通信ネットワークを介して前記通信端末から前記入力有データを受信し,当該入力有データを履歴情報として記録するログ収集手段」 を備える点で共通する。 (エ)引用発明における「ログ統合管理システム10」では,統合ログに対して,一般に不正が発生しやすい行動パターン等をルール化して「ルール記憶部18」に記憶させており,「異常判定部17」では,該「ルール記憶部18」を参照し,統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって,統合ログから不正の可能性のある異常行為を検出する処理が行われることから,上記一般に不正が発生しやすい行動パターン等をルール化したものは,統合ログから不正の可能性のある異常行為を検出するための基準情報であるといえる。 そうすると,本願発明と引用発明は,後記する点で相違するものの, 「基準情報が記録されている基準情報格納手段」 を備える点で共通する。 (オ)引用発明の「ログ統合管理システム10」における「異常判定部17」では,ルール記憶部18を参照し,統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって,統合ログから不正の可能性のある異常行為を検出すること,すなわち「ルール記憶部18」に格納された基準情報に適合するか否かを分析することが行われているといえる。 そうすると,本願発明と引用発明は,後記する点で相違するものの, 「前記履歴情報に基づいて,前記通信端末から送信された前記入力有データが前記基準情報に適合するか否かを分析する処理手段」 を備える点で共通する。 (カ)引用発明は,「企業等の組織内において,物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し,主として内部統制に有益な情報を提供することが可能なログ統合管理システム」であって,上記(ア)乃至(オ)で示したように,「業務用端末80,81」において行われた操作に不正の可能性があるか否かを判定するものであることから,引用発明も内部統制を目的とした監査を行うものである。 そうすると,引用発明の「ログ統合管理システム10」も「監査装置」であるといえ,また,「基準情報」及び「基準情報格納手段」も「監査基準情報」及び「監査基準情報格納手段」であり,「処理手段」も「監査処理手段」であるといえる。 (2)以上のことから,本願発明と引用発明との一致点及び相違点は,次のとおりである。 (一致点) ユーザが入力を行う少なくとも1つの通信端末から,当該入力があったことを示す入力有データを通信ネットワークを介して受信する監査装置であって, 前記通信ネットワークを介して前記通信端末から前記入力有データを受信し,当該入力有データを履歴情報として記録するログ収集手段と, 監査基準情報が記録されている監査基準情報格納手段と, 前記履歴情報に基づいて,前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析する監査処理手段と, を備える監査装置。 (相違点) [相違点1] 本願発明は「外部」「監査装置」であるのに対し,引用発明の「ログ統合管理システム10」ではそのような記載がない点。 [相違点2] 本願発明の「監査基準情報」は,「予め規定された業務プロセスに対応した」ものであるのに対し,引用発明では「一般に不正が発生しやすい行動パターン等をルール化」したものである点。 [相違点3] 本願発明の「監査処理手段」では,「その分析結果を用いて監査レポートを生成し,当該生成された監査レポートを監査データベースに登録する」処理が行われるのに対し,引用発明では「異常行為が検出された場合には,管理者端末20に警告を表示することとしてもよいし,異常行為である可能性を判定した判定結果を,対象となったログデータのレコードに記録し,統合ログ格納部16に格納する」処理が行われる点。 5.当審の判断 (1)[相違点1]について 本願発明の「外部監査装置」は,「通信端末」と「通信ネットワーク」を介して接続されるものであり,引用発明の「ログ統合管理システム10」も「業務用端末」と「社内LAN等の企業内のネットワーク」を介して接続されており,上記一致点でも示したように物理的なネットワーク構成として相違するものではない。 また,仮にこの「外部」が,監査対象とする企業とは異なる組織が運営するものであり,また,企業のネットワークの外に設置され,間接的に企業のネットワークに接続されることを意味するものであるとしても,それは企業の業務とは独立して行う監査業務の性質等を考慮して,当業者が適宜なし得る業務形態であることから,引用発明の「ログ統合管理システム10」を外部監査装置としての業務形態とすることに,格別の技術的進歩性があるものではない。 (2)[相違点2]について ア.相違点2に係る事項は,比較する「監査基準情報」が,本願発明では「予め規定された業務プロセスに対応した」もの,すなわち正しい業務プロセスを規定したのに対し,引用発明ではその逆に不正と判断する行動パターンを規定した点で相違するものである。 イ.一般に正否を判断するのに,正のパターン又は否のパターンのどちらを規定するかは,判断する対象の性質や,規定しなければならないパターンの数等を考慮して当業者が適宜決定しうるものであることが知られている。例えば,上記周知文献1の記載(f)で示すように監査業務において正しい行為を比較基準として規定することが知られている。 ウ.そうすると,引用発明に上記周知技術を適用し,「監査基準情報」として正しい行動パターンを規定するようにして上記相違点2に係る構成とすることは,当業者であれば容易に想到し得たことである。 (3)[相違点3]について ア.引用発明では「異常行為が検出された場合には,管理者端末20に警告を表示することとしてもよいし,異常行為である可能性を判定した判定結果を,対象となったログデータのレコードに記録し,統合ログ格納部16に格納する」処理が行われる。 イ.この「異常行為である可能性を判定した判定結果を,対象となったログデータのレコードに記録し,統合ログ格納部16に格納する」処理がなされた統合ログは,上記「管理者端末20」での閲覧を前提とするものであるのは技術常識からして自明である。 ウ.そうすると,この異常行為である可能性を判定した判定結果が付加された統合ログも,異常行為か否かを分析した分析結果を用いた監査レポートに相当するものである。 エ.ここで内部統制を目的とする監査において,ユーザが端末から行った操作をログとして記録し,正しい操作か否かを分析した結果を用いてレポートを作成すること自体は,例えば,「久保良太 外1名,データベースに対する管理者やユーザーの不正アクセスをシャットアウト,DB Magazine,株式会社翔泳社,2007年1月1日,第16巻,第10号,p.182-186(特に,p.185,186の「●各機能の設定について ・・・例えば,あるコマンドルールを“失敗時に監査”に設定すると,それに違反して失敗した処理を監査ログとして記録できる。また,その監査結果をレポート形式で表示したものが,画面3である。ここには,違反した時刻と実行ユーザー,コマンドルール名,SQL文などの情報が含まれている。・・・」等の記載を参照。)」,「須田堅一,アラート活用でよりセキュアになるログの監視&分析実践マニュアル,DB Magazine,株式会社翔泳社,2006年11月1日,第16巻,第7号,p.69-79(特に,p.76の「定期的に監視レポートを作成し監視ルールや監視運用の改善を図る 定期的に監視状況(アラート)の統計を取り,結果レポート(図5)を作成することで,ログ監視ルールやログ監視運用の見直しなどの改善を図る。・・・」等の記載を参照。)」,「松永豊 外1名,PCAOB監査基準第5号により必要となるデータベース統制の要件と適用技術,情報処理学会研究報告,社団法人情報処理学会,2008年1月31日,第2008巻,第10号,p.93-99(特に,p.97,98の「4.7.測定と報告 全ての統制項目を実証するためには各項目について,明確なレポートを作成できるようにする必要がある。評価で明らかになったリスク項目に基づいて,関連する変更記録や違反の検知および防止履歴などの情報を集約し一覧性のある形でレポートすることによって,正規の,あるいは疑わしい操作の状況を提示できる。・・・」等の記載を参照。)」等に記載されているようにそもそも周知の技術である。 オ.また,作成したレポートを閲覧に供するために記憶手段に登録することも当然の処理である。 してみれば,上記ア?オのことから引用発明に上記周知技術を適用し,異常行為である可能性を分析した結果を用いた監査レポートを生成し,適宜の記憶手段に登録することにより,上記相違点3に係る構成とすることは,当業者であれば容易に想到し得たことである。 (4)まとめ 以上のとおりであるから,本願発明は,引用発明及び周知技術に基づいて当業者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができないものである。 そして,本願発明の作用効果も,引用発明及び周知技術から当業者が予測できる範囲のものである。 6.むすび 以上のとおり,本願の請求項9に係る発明は,引用発明及び周知技術に基づいて,当業者が容易に発明をすることができたものであり,特許法第29条第2項の規定により特許を受けることができないから,本願は,他の請求項について検討するまでもなく,拒絶すべきものである。 よって,結論のとおり審決する。 |
審理終結日 | 2014-07-16 |
結審通知日 | 2014-07-22 |
審決日 | 2014-08-06 |
出願番号 | 特願2009-15658(P2009-15658) |
審決分類 |
P
1
8・
121-
Z
(G06Q)
|
最終処分 | 不成立 |
前審関与審査官 | 岡北 有平 |
特許庁審判長 |
清田 健一 |
特許庁審判官 |
金子 幸一 須田 勝巳 |
発明の名称 | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
代理人 | 速水 進治 |