ポートフォリオ機能
| ポートフォリオを新規に作成して保存 |
|
|
| 既存のポートフォリオに追加保存 |
|
PDFをダウンロード
|
| 審決分類 |
審判 査定不服 1項3号刊行物記載 特許、登録しない。 H04L 審判 査定不服 2項進歩性 特許、登録しない。 H04L 審判 査定不服 5項独立特許用件 特許、登録しない。 H04L |
|---|---|
| 管理番号 | 1324614 |
| 審判番号 | 不服2015-13058 |
| 総通号数 | 207 |
| 発行国 | 日本国特許庁(JP) |
| 公報種別 | 特許審決公報 |
| 発行日 | 2017-03-31 |
| 種別 | 拒絶査定不服の審決 |
| 審判請求日 | 2015-07-09 |
| 確定日 | 2017-02-06 |
| 事件の表示 | 特願2012-530392「暗号オブジェクトの展開ライフサイクル管理を提供するための方法,システム,データ・ネットワーク,およびデータ・キャリア」拒絶査定不服審判事件〔平成23年 3月31日国際公開,WO2011/036616,平成25年 2月21日国内公表,特表2013-506335〕について,次のとおり審決する。 |
| 結論 | 本件審判の請求は,成り立たない。 |
| 理由 |
第1.手続の経緯 本願は,2010年9月17日(パリ条約による優先権主張外国庁受理2009年9月25日 欧州特許庁)を国際出願日とする出願であって, 平成24年1月20日付けで特許法第184条の4第1項の規定による明細書,請求の範囲,及び,図面(図面の中の説明に限る)の日本語による翻訳文が提出され,平成25年6月4日付けで審査請求がなされ,平成26年6月13日付けで審査官により拒絶理由が通知され,これに対して平成26年10月10日付けで意見書が提出されると共に手続補正がなされたが,平成27年3月20日付けで審査官により拒絶査定がなされ,これに対して平成27年7月9日付けで審判請求がなされると共に手続補正がなされ,平成27年9月1日付けで審査官により特許法第164条第3項の規定に基づく報告がなされたものである。 第2.平成27年7月9日付けの手続補正の却下の決定 [補正却下の決定の結論] 平成27年7月9日付け手続補正を却下する。 [理由] 1.補正の内容 平成27年7月9日付けの手続補正(以下,「本件手続補正」という)により,平成26年10月10日付けの手続補正により補正された特許請求の範囲, 「【請求項1】 暗号オブジェクト(CO)展開ライフサイクル管理のためのシステム(1)であって, 暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)と,データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)と,を非同期で動作させるための少なくとも1つの実行ユニット(2C)を含む,システム。 【請求項2】 1つ以上の暗号オブジェクト(CO)の1つ以上の鍵を使用するネットワークのノード(3)への展開を示す少なくとも1つの展開仕様(CODS)を受信するためにインタフェース(2A)が設けられている,請求項1に記載のシステム。 【請求項3】 前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含む,請求項2に記載のシステム。 【請求項4】 前記展開仕様(CODS)が,鍵管理システム(4)によって提供されるか,または展開ライフサイクル管理のためにユーザによって前記システム(1)に入力される,請求項1から3のいずれか1項に記載のシステム。 【請求項5】 前記実行ユニット(2C)上で動作する前記展開プロセス(P1)は,所定のセキュリティ・ポリシーに対する前記受信した展開仕様(CODS)の認証を含む,請求項1から4のいずれか1項に記載のシステム。 【請求項6】 前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は,前記永久データ記憶装置(2D)に記録されている認証された各展開仕様(CODS)の実行を含み,この実行が, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること, によって行われる,請求項2に記載のシステム。 【請求項7】 前記データ記憶装置は永久データ記憶装置(2D)であり, 前記展開プロセス(P1)と前記配信プロセス(P2)との間でメッセージ情報データを交換するためのデータ・フィールドを含み, 前記各展開仕様(CODS)が必要とする特定のアクションを表すために配信アクション・データ・フィールドが設けられ,前記各展開仕様(CODS)の実行ステータスを示すために配信ステータス・データ・フィールドが設けられる,請求項1から6のいずれか1項に記載のシステム。 【請求項8】 前記永久データ記憶装置(2D)の前記配信アクション・データ・フィールドがアクション・タイプを示し,このアクション・タイプが, 前記展開仕様(CODS)の準備が整っていないために前記各展開をスキップすることを前記配信プロセス(P2)に通知する保持アクションと, 展開の準備を整えるための要件を示す展開アクションと, 前記展開仕様(CODS)が変更されていることを示し,対応する展開関連動作を再 実行することによって前記展開をリフレッシュすることを前記配信プロセス(P2)に命令する更新アクションと, 既存の展開を前記配信プロセス(P2)によって回収することを示す回収アクションと, を含む,請求項7に記載のシステム。 【請求項9】 前記永久データ記憶装置(2D)の前記配信ステータス・データ・フィールドが実行ステータスを示し,この実行ステータスが, 前記各展開仕様(CODS)が前記配信プロセス(P2)によって実行されるのを待っていることを示す初期ステータスと, 前記各展開仕様(CODS)が前記配信プロセス(P2)によって現在実行されていることを示す動作中ステータスと, 前記展開が前記対応する展開仕様(CODS)に従って前記配信プロセス(P2)によって実行され成功に終わったことを示す完了ステータスと, 前記展開の実行が前記配信プロセス(P2)によって少なくとも一度試行されたが成功に終わらなかったことを示す再試行ステータスと, を含む,請求項7または8に記載のシステム。 【請求項10】 前記暗号オブジェクト(CO)が, 秘密鍵,公開鍵,対称秘密鍵および鍵対を含む暗号鍵(K)と, 認証局(CA)の鍵によって署名された暗号証明書と, ユーザ資格証明書と,を含む,請求項1から9のいずれか1項に記載のシステム。 【請求項11】 暗号オブジェクト(CO)のための前記展開仕様が展開仕様を含み,この展開仕様が, 少なくとも1つのCO展開源すなわち1つ以上のCOと, 少なくとも1つのCO展開先すなわち1つ以上の鍵使用エンティティ(3)と, 暗号オブジェクト(CO)の配信をその源から先まで規定する少なくとも1つの展開パターンと,を含み,前記展開仕様が更に, 前記暗号オブジェクト(CO)の1つ以上のオブジェクト属性を含み,当該オブジェクト属性はタイミング属性を含む,請求項1から10のいずれか1項に記載のシステム。 【請求項12】 前記ノード(3)が暗号オブジェクトを消費し, 前記ノードが前記ノード上で動作するアプリケーションを含む,請求項2から11のいずれか1項に記載のシステム。 【請求項13】 実行ユニット(2)によって配信される暗号オブジェクト(CO)を消費するネットワークのノードであって,前記実行ユニットが,展開プロセス (P1)において前記実行ユニット(2)によってデータ記憶装置に記憶された展開仕様(CODS)に応じて,配信プロセス(P2)において展開関連動作を実行して前記暗号オブジェクト(CO)を前記ノードに配信する,ネットワークのノードを含み, 前記配信プロセス(P2)および前記展開プロセス(P1)が独立して実行される,データ・ネットワーク。 【請求項14】 実行ユニット(2)によって暗号オブジェクト(CO)の展開ライフサイクル管理をする方法であって, 展開プロセス(P1)において暗号オブジェクト(CO)のための少なくとも1つの展開仕様(CODS)を当該暗号オブジェクト(CO)に提供するステップと, 配信プロセス(P2)において前記提供された展開仕様(CODS)に応じて展開関連動作を実行するステップと, を含み,前記展開プロセス(P1)および前記配信プロセス(P2)が非同期で独立して実行される,方法。 【請求項15】 請求項14に記載された方法の各ステップを前記実行ユニット(2)に実行させるためのコンピュータプログラム。」(以下,上記引用の請求項各項を,「補正前の請求項」という)は, 「 【請求項1】 暗号オブジェクト(CO)展開ライフサイクル管理のためのシステム(1)であって, 暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)と,データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)と,を非同期で動作させるための少なくとも1つの実行ユニット(2C)を含み, 前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含み, 前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む,システム。 【請求項2】 1つ以上の暗号オブジェクト(CO)の1つ以上の鍵を使用するネットワークのノード(3)への展開を示す少なくとも1つの展開仕様(CODS)を受信するためにインタフェース(2A)が設けられている,請求項1に記載のシステム。 【請求項3】 前記データ記憶装置は永久データ記憶装置(2D)であり, 前記展開プロセス(P1)と前記配信プロセス(P2)との間でメッセージ情報データを交換するためのデータ・フィールドを含み, 前記各展開仕様(CODS)が必要とする特定のアクションを表すために配信アクション・データ・フィールドが設けられ,前記各展開仕様(CODS)の実行ステータスを示すために配信ステータス・データ・フィールドが設けられる,請求項1または2に記載のシステム。 【請求項4】 前記永久データ記憶装置(2D)の前記配信アクション・データ・フィールドがアクション・タイプを示し,このアクション・タイプが, 前記展開仕様(CODS)の準備が整っていないために前記各展開をスキップすることを前記配信プロセス(P2)に通知する保持アクションと, 展開の準備を整えるための要件を示す展開アクションと, 前記展開仕様(CODS)が変更されていることを示し,対応する展開関連動作を再び実行することによって前記展開をリフレッシュすることを前記配信プロセス(P2)に命令する更新アクションと, 既存の展開を前記配信プロセス(P2)によって回収することを示す回収アクションと,を含む,請求項3に記載のシステム。 【請求項5】 前記永久データ記憶装置(2D)の前記配信ステータス・データ・フィールドが実行ステータスを示し,この実行ステータスが, 前記各展開仕様(CODS)が前記配信プロセス(P2)によって実行されるのを待っていることを示す初期ステータスと, 前記各展開仕様(CODS)が前記配信プロセス(P2)によって現在実行されていることを示す動作中ステータスと, 前記展開が前記対応する展開仕様(CODS)に従って前記配信プロセス(P2)によって実行され成功に終わったことを示す完了ステータスと, 前記展開の実行が前記配信プロセス(P2)によって少なくとも一度試行されたが成功に終わらなかったことを示す再試行ステータスと, を含む,請求項3または4に記載のシステム。 【請求項6】 実行ユニット(2)によって配信される暗号オブジェクト(CO)を消費するネットワークのノードであって,前記実行ユニットが,展開プロセス (P1)において前記実行ユニット(2)によってデータ記憶装置に記憶された展開仕様(CODS)に応じて,配信プロセス(P2)において展開関連動作を実行して前記暗号オブジェクト(CO)を前記ノードに配信する,ネットワークのノードを含み, 前記配信プロセス(P2)および前記展開プロセス(P1)が独立して実行され, 前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含み, 前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む,データ・ネットワーク。 【請求項7】 実行ユニット(2)によって暗号オブジェクト(CO)の展開ライフサイクル管理をする方法であって, 展開プロセス(P1)において暗号オブジェクト(CO)のための少なくとも1つの展開仕様(CODS)を当該暗号オブジェクト(CO)に提供するステップと, 配信プロセス(P2)において前記提供された展開仕様(CODS)に応じて展開関連動作を実行するステップと, を含み,前記展開プロセス(P1)および前記配信プロセス(P2)が非同期で独立して実行され, 前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含み,前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む,方法。 【請求項8】 請求項7に記載された方法の各ステップを前記実行ユニット(2)に実行させるためのコンピュータプログラム。」(以下,上記引用の請求項各項を,「補正後の請求項」という)に補正された。 2.補正の適否 本件手続補正は,補正前の請求項1を補正前の請求3,及び,同請求項6に記載の内容を用いて,減縮して補正後の請求項1とし,独立請求項である,補正前の請求項13,及び,同請求項14を,前述の補正前の請求項1と同等の補正を行って,補正後の請求項7,及び,同請求項8とし,補正前の請求項3,同請求項6,同請求項10?同請求項12を削除し,項番号の整理を行ったものであるから,本件手続補正は,平成24年1月20日付けで提出された明細書,請求の範囲の日本語による翻訳文,及び,国際出願の願書に添付した図面(以下,これを「当初明細書等」という)に記載した事項の範囲内でなされたものであり,特許請求の範囲の減縮,及び,請求項の削除を目的としたものである。 そこで,本件手続補正が,特許法第17条の2第6項において準用する同法第126条第7項の規定を満たすものであるか否か,即ち,補正後の請求項に記載されている事項により特定される発明が特許出願の際独立して特許を受けることができるものであるか否か,以下に検討する。 (1)補正後の請求項に係る発明 補正後の請求項1に係る発明(以下,これを「本件補正発明」という)は,上記「1.補正の内容」において,補正後の請求項1として引用した,次のとおりのものである。 「暗号オブジェクト(CO)展開ライフサイクル管理のためのシステム(1)であって, 暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)と,データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)と,を非同期で動作させるための少なくとも1つの実行ユニット(2C)を含み, 前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含み, 前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む,システム。」 (2)引用例に記載の事項 原審が,平成26年6月13日付けの拒絶理由(以下,これを「原審拒絶理由」という)において引用した,本願の第1国出願前に既に公知である,「M. Bjoerkqvist et al.,“Design and Implementation of a Key-Lifecycle Management System”, Research Report,RZ 3739.IBM,2009年6月 P1?16」(以下,これを「引用例」という)には,関連する図面と共に,次の事項が記載されている。 A.「In this paper, we describe the design and implementation of a prototype Key-Lifecycle Management System (KLMS). ・・・・・(中略)・・・・ Automated deployment. Often multiple related keys must be administered by the management system. To simplify this task, several keys can be grouped and deployed together to one or more endpoints. Such deployments can be structured according to certain patterns. In the example of a TLS-protected web server connected to the Internet, which is clustered for high availability, the same private key and certificate should be deployed to all nodes in the cluster. On the other hand, for a communication setup where multiple servers identify each other using their client-certificates through TLS-connections, every server should receive its own private key plus the public keys of all servers. For supporting such scenarios, KLMS provides a novel pattern-based method for automated key and certificate deployment. A flexible deployment manager (DM) automates deployment and shields the system administrator from the lower-level key creation and distribution tasks. Once a suitable pattern and the supporting policies for a particular application are defined, KLMS automatically generates, distributes, and maintains as many keys or key pairs as necessary, and responds dynamically to changes of the topology, when new endpoints are added to the application. KLMS also takes care of automatically managing the lifecycle of keys. It may create keys ahead of time and only maintain them internally, provisioned for a certain application. At the time of activation of a key, KLMS automatically deploys it to endpoints for the duration of its active life-time, and withdraws the key again from all endpoints when it expires. The key-lifecycling logic is tightly coupled with the deployment manager.」(2頁7行?8行,20行?37行) (この論文において,鍵ライフサイクル管理システム(KLMS)のプロトタイプの設計と実装について述べる。 ・・・・・(中略)・・・・ 自動化された展開. 多くの場合,関係のある鍵は,管理システムによって,管理されなければならない。この仕事を単純化するために,複数の鍵を,グループにして,1以上のエンドポイントに,一緒に展開することができる。このような展開は,ある様式に従って構築することができる。高い可用性のために,クラスター化されている,インターネットに接続され,TLS-保護された,ウェブ・サーバの例において,同じ,個人鍵と,証明書が,クラスター内の,すべてのノードに展開されるであろう。他方,通信設定のために,複数のサーバが,TLS-接続を通じて,それらのクライアント-証明書を用いることで,相互認証する場合には,全てのサーバは,それ自身の個別鍵に加えて,全てのサーバの公開鍵を受け取るであろう。 このシナリオをサポートするために,KLMSは,自動化された鍵と,証明書の展開のための,今までにない様式を基礎とした方法を備えている。柔軟な展開マネージャ(DM)は,展開を自動化し,低いレベルの鍵生成と,分配タスクから,システム管理者を保護する。特定のアプリケーションのための,適切な様式と,サポートのポリシーが,一度,定義されると,必要なだけの鍵,或いは,鍵の組を,自動的に,生成し,分配し,維持する。そして,アプリケーションに,新しいエンドポイントが加えられると,トポロジーを変えるために,動的に,反応する。 KLMSは,また,自動的に,鍵のライフサイクルを管理することに対処する。それは,あるアプリケーションのために設定される,鍵を,前もって生成し,それらを,内部に保持することのみできる。鍵の有効であるときに,KLMSは,それの有効な存続期間の継続のために,それを,自動的に,エンドポイントに展開し,そして,それが満了したときに,全てのエンドポイントから,再び,鍵を回収する。鍵のライフサイクリング論理は,展開マネージャと,堅く組み合わせられている。<当審にて訳出。以下,同じ。>) B.「Manager Layer. KLMS contains three components that provide low-level functionalities: an Object Manager (OM), a Deployment Manager (DM), and an Endpoint Manager (EPM). First, OM provides a simple interface to manipulate the cryptographic objects supported by KLMS. OM can add new objects, get, modify, search, and delete them in the DB, and maintains an in-memory object cache that is used to speed up read operations. Second, DM takes care of administering deployments and deployment bundles. A deployment is an association between an object and an endpoint in the sense that KLMS provisions the object for use in cryptographic operations by the endpoint. The deployment policy realized by the DM dictates when and under which condition a deployed object finally becomes available to an endpoint through an interface; the deployment policy is described in Section 3. A deployment bundle is a set of deployments, which are grouped to support a given application. Finally, EM controls the endpoints in the interface layer of the server, registering them in KLMS, potentially creating new file-backed JKS endpoints, and listening to protocol ports to which KMIP clients connect. EM unifies the different types of endpoints towards the rest of the server.」(4頁17行?5頁6行) (管理層. KLMSは,低いレベルの機能を提供する3つのコンポーネント:オブジェクト・マネージャ(OM),展開マネージャ(DM),及び,エンドポイント・マネージャ,を含む。 第1,OMは,KLMSによってサポートされる,暗号オブジェクトを扱うための,簡単なインタフェースを提供する。OMは,新しいオブジェクトを加えること,データベースにおいて,それらを得ること,修正すること,探すこと,及び,削除することができる。そして,読み出し処理を高速化するために用いられる,イン-メモリ・オブジェクト・キャッシュを維持する。 第2,DMは,展開と,展開の束の管理を担当する。展開は,KLMSが,エンドポイントでの,暗号処理における使用のため,オブジェクトをセットアップするという意識において,オブジェクトと,エンドポイントとの関連性である。DMによって実現される展開ポリシーは,何時,及び,どのような条件下で,展開されたオブジェクトが,インタフェースを介して,最終的に,エンドポイントにおいて利用可能となるかを決定する。;展開ポリシーは,セクション3において説明される。展開の束は,与えられたアプリケーションをサポートするためにグループ化された,展開の組である。 最終,EMは,サーバのインタフェース層において,エンドポイントをKLMSに登録すること,潜在的に,新しいファイル-バックドJKSエンドポイントを生成すること,及び,KMIPクライアントが接続する,プロトコル・ポートを監視することといった,エンドポイントの制御を行う。EMは,残りのサーバに関して,エンドポイントの異なるタイプを,一元管理する。) C.「2.2 Data Model and Operations KLMS manages symmetric keys, public keys, private keys, and certificates, which we summarily call cryptographic objects or simply objects.」(6頁1行?2行) (2.2 データ・モデル,及び,処理 KLMSは,我々が,略式で,暗号オブジェクト,或いは,単に,オブジェクトと呼んでいる,対称鍵,公開鍵,個人鍵,及び,証明書を管理する。) D.「3 Automated Deployment This section describes the pattern-based automated deployment in KLMS and the interaction between key-lifecycle management and key deployment. Recall that a deployment is an association between an object and an endpoint and that a deployment bundle is a set of deployments. 3.1 Deployment Patterns A deployment pattern is a rule for generating deployment bundles with a defined structure. A deployment pattern is described in terms of an object list, an ordered set of keys and/or certificates to be deployed, and an endpoint list, an ordered set of endpoints, to which the objects are to be deployed. The pattern defines how the objects relate to the endpoints. Given an object list and an endpoint list, a deployment pattern yields a unique deployment bundle that complies with the pattern. Deployment patterns enable an administrator to focus on the requirements of an application, without having to worry about deploying individual keys and certificates.」(7頁20行?31行) (3 自動化された展開 この節は,KLMSにおける,様式に基づく自動化された展開と,鍵ライフサイクル管理と,鍵展開との間の相互作用について述べる。展開が,オブジェクトと,エンドポイントとの間の関連性であること,及び,展開の束が,展開の組であることを思い出されたい。 3.1 展開様式 展開様式は,定義された構造において,展開の束を生成するための規則である。展開様式は,オブジェクト・リスト,展開されるところの,要求された鍵,及び/又は,証明書の組,そして,エンドポイント・リスト,そこにオブジェクトが展開されるところの,要求されたエンドポイントの組の観点から,説明される。様式は,オブジェクトが,どのように,エンドポイントと関係するかを定義する。オブジェクト・リストと,エンドポイントを前提として,展開様式は,様式によって集めるところの,固有の展開の束を得る。展開様式は,管理者が,個別の鍵,及び,証明書を展開することについて心配することなく,アプリケーションの要求に集中できるようにする。) E.「3.2 Administering Deployments Recall that deployments are specified by an administrator using the Admin Service. Information on all objects deployed to endpoints is kept in a deployment table. Every deployment has a state that is either OnHold or Active. When a deployment is in state OnHold, the deployment information is present in the deployment table, but the deployment should not yet or no longer take effect. Only during the time when a deployment is in Active state should the object be distributed to the endpoint and available to clients at the endpoint. The administrator schedules the transition of a deployment from OnHold to Active state and vice versa by invoking the activate and withdraw operations of the Admin Service, respectively. After such a state change has been registered in the deployment table, it is the responsibility of a distribution process in DM to move or remove objects to or from the affected endpoints. Because its operations take time and may fail because of network failures, the distribution process operates asynchronously in the background. This design shields the administrator from the different semantics of the endpoints. When DM distributes deployed objects to endpoints, it respects a deployment policy that affects its operation as described in Section 3.3. In order to fully realize the power of automated deployment, the Admin Service allows to dynamically modify all pattern-based deployment bundles also after they have been created and activated. It is possible to add and to delete objects and endpoints to and from an existing deployment bundle. For example, when a deployment bundle d has been created by instantiating a pattern p, then an endpoint e can be added to it, and this will specify and activate a new deployment in d that affects e according to p. Likewise, when an endpoint e is deleted from d, this will withdraw and remove all deployments from d that contain e. Hence, the operator can manipulate deployments in a convenient way. Note that a deployment of an object o to an endpoint e may be created through multiple ways, through individual deployments, deployment bundles, and pattern-based deployments. In this case, DM regards the deployment (o; e) to be in Active state whenever at least one of the sources is in Active state.」(8頁35行?9頁15行) (3.2 展開を管理すること 展開が,アドミン・サービスを利用する管理者によって特定されることを,思い出されたい。エンドポイントに展開された,全てのオブジェクトの情報は,展開テーブルに保持される。全ての展開は,保留か,活動かの,何れかの状態を有する。 展開が,保留状態にあるとき,展開情報は,展開テーブル上に存在するが,未だに,或いは,最早,効力は生じていないだろう。展開が,活動状態にある時の期間のみ,オブジェクトをエンドポイントに配布することができ,エンドポイントのクライアントによって利用することができるであろう。 管理者は,保留状態から,活性状態への推移,及び,その逆を,アドミン・サービスの処理の活性化,及び,取りやめを,個々に引き起こすことによって,スケジュールする。この状態変化が,展開テーブルに登録された後,それは,影響されたエンドポイントから,或いは,該エンドポイントへ,オブジェクトを移動する,或いは,取り去るための,DMにおける,分配過程の義務である。その処理が,時間を要し,ネットワーク障害を理由に,失敗するかもれないので,分配過程は,バックグランドにおいて,非同期に処理される。この設計は,管理者を,エンドポイントの異なるセマンティックから,保護する。DMが,エンドポイントへ,展開されたオブジェクトを分配するとき,それは,セクション3.3において説明される,その処理に影響を与えるところの展開ポリシーを順守する。 自動化された展開の能力を,十分に実現するために,アドミン・サービスは,全ての様式に基づく展開の束を,それらが,生成され,有効にされた後においても,動的に修正することを,許可する。それは,オブジェクト,及び,エンドポイントを,存在している展開の束へ,加えること,及び,当該束から,削除することを可能にする。例えば,様式pをインスタンス化することによって,展開の束dが生成されたとき,次に,エンドポイントeが,それに加えられることができ,そして,これは,pにしたがって,eに影響を与えるところの,dにおける,新しい展開を,規定し,有効にすることになるであろう。同様に,エンドポイントeが,dから削除されるとき,これは,eを含むところのdから,全ての展開を,引き抜き,取り去ることになるであろう。したがって,オペレータは,使い易い方法で,展開を操作することができる。 エンドポイントeへのオブジェクトoの展開が,多数の方法を通じて,個々の展開,展開の束,及び,様式を基礎とした展開を通じて,生成され得ることに注目されたい。この場合,DMは,少なくとも1つの資源が,活性状態であるときはいつでも,展開(o,e)が,活性状態であると見なす。) F.「The operations of KLMS fall in two categories: those that manipulate objects, provided by KLS, and those that affect deployments, provided by Admin Service. The most important operations on objects are: (1) create, which generates a new key or certificate and stores it, with attributes supplied by the client; (2) store, which stores a key or certificate and uses the cryptographic material supplied by the client in cleartext; (3) import, which stores a key and uses the cryptographic material supplied by the client in wrapped form (i.e., encrypted with with another key); (4) derive, which creates a new symmetric key from an existing symmetric key; (5) read, which returns the key or certificate with a given identifier to the client, including attributes and cryptographic material in cleartext; (6) export, which returns the key with a given identifier to the client, including attributes and cryptographic material in wrapped form; (7) read attributes, which is the same as read, except that it omits the cryptographic material; (8) set attributes, which modifies the attributes of an object; (9) search, which locates all objects matching a given search condition and returns their identifiers; (10) destroy, which deletes the cryptographic material of an object, but leaves its attributes intact; (11) delete, which deletes the entire object; (12) archive, for writing some objects to off-line storage; and (13) recover, for reading objects back from off-line storage. The relevant operations of Admin Service on deployments are: (1) specify, which creates a deployment or a deployment bundle; (2) activate, which executes a deployment or a deployment bundle and distributes all objects to the specified endpoints; (3) withdraw, which reverses the effects of activate on a deployment or on a deployment bundle; and (4) remove, which removes a deployment or a deployment bundle from the system.」(6頁24行?7頁19行) (KLMSの処理は,2つのカテゴリに収まる:それは,KLSによって提供されるオブジェクトを操作することと,アドミン・サービスによって提供される,展開に作用することである。 オブジェクトにおける最も重要な処理は:(1)生成,それは,新しい鍵,或いは,証明書を作り出し,それを,クライアントによって提供される属性と共に,保存する;(2)保存,それは,鍵,或いは,証明書を保存し,平文において,クライアントによって提供される,暗号材料を使用する;(3)取込,それは,鍵を保存し,包まれた(即ち,他の鍵を用いて暗号化された)形で,クライアントによって提供される,暗号材料を使用する;(4)導出,それは,既存の対称鍵から,新しい対称鍵を生成する;(5)読出,平文で,属性と,暗号材料が含まれている,与えられたクライアントの識別子によって,鍵,或いは,証明書を返す;(6)書出,それは,包まれた形で,属性と暗号材料が含まれている,与えられたクライアントの識別子によって,鍵を戻す;(7)属性読出,それは,暗号材料を除けば,読出と同じである;(8)属性設定,それは,オブジェクトの属性を修正する;(9)検索,それは,検索条件に一致する,全てのオブジェクトを探し,それらの識別子を返す;(10)破壊,それは,オブジェクトの暗号材料を削除するが,その属性は,完全のまま,残す;(11)削除,それは,完全なオブジェクトを削除する;(12)いくつかのオブジェクトを,オフライン・ストレージの書き込むための,アーカイブ;及び,(13)オフライン・ストレージから,オブジェクトを,読み戻す目的の,回復。 展開についての,アドミン・サービスの関連する処理は,(1)仕様書に含めること,それは,展開,或いは,展開の束を生成する;(2)起動,それは,展開,或いは,展開の束を実行し,特定のエンドポイントに,全てのオブジェクトを配布する;(3)回収,それは,展開,或いは,展開の束における,起動の効果を,反転する;及び,(4)除去,それは,システムから,展開,或いは,展開の束を除去する。) (3)引用例に記載の発明 ア.上記Aの「we describe the design and implementation of a prototype Key-Lifecycle Management System (KLMS)(鍵ライフサイクル管理システム(KLMS)のプロトタイプの設計と実装について述べる)」という記載から,引用例には,「鍵ライフサイクル管理システム」が記載されていることが読み取れる。 イ.上記Aの「For supporting such scenarios, KLMS provides a novel pattern-based method for automated key and certificate deployment.(このシナリオをサポートするために,KLMSは,自動化された鍵と,証明書の展開のための,今までにない様式を基礎とした方法を備えている)」という記載から,引用例における「KLMS」は,「鍵の展開のための様式を基礎とした方法を備えている」ことが読み取れ,このことと,上記ア.において検討した事項から,引用例には,“鍵展開ライフサイクル管理システム”が記載されていることが読み取れる。 ウ.上記Cの「KLMS manages symmetric keys, public keys, private keys, and certificates, which we summarily call cryptographic objects or simply objects(KLMSは,我々が,略式で,暗号オブジェクト,或いは,単に,オブジェクトと呼んでいる,対称鍵,公開鍵,個人鍵,及び,証明書を管理する)」という記載から,引用例においては,「鍵」が,「暗号オブジェクト」であることが読み取れるので,上記イ.において検討した事項と併せると,引用例は,“暗号オブジェクト展開ライフサイクル管理システム”に関するものであるとことが読み取れる。 エ.上記Dの「A deployment pattern is a rule for generating deployment bundles with a defined structure(展開様式は,定義された構造において,展開の束を生成するための規則である)」という記載,同じく,上記Dの「The pattern defines how the objects relate to the endpoints(様式は,オブジェクトが,どのように,エンドポイントと関係するかを定義する)」という記載と,上記ウ.において引用した,上記Cの記載内容から,引用例においては, “展開様式が,暗号オブジェクトと,エンドポイントとの関係を定義する”ものであることが読み取れる。 オ.上記Bの「 A deployment is an association between an object and an endpoint in the sense that KLMS provisions the object for use in cryptographic operations by the endpoin(展開は,KLMSが,エンドポイントでの,暗号処理における使用のため,オブジェクトをセットアップするという意識において,オブジェクトと,エンドポイントとの関連性である)」という記載,及び,上記Dの「a deployment is an association between an object and an endpoint (展開が,オブジェクトと,エンドポイントとの間の関連性であること)」という記載と,上記エ.において検討した事項から,引用例においては,“展開様式によって定義された,暗号オブジェクトと,エンドポイントとの関係性である展開”が存在していることが読み取れ,当該「展開」が,「暗号オブジェクト」のためのものであることは,明らかである。 カ.上記Eの「the Admin Service allows to dynamically modify all pattern-based deployment bundles also after they have been created and activated. It is possible to add and to delete objects and endpoints to and from an existing deployment bundle(アドミン・サービスは,全ての様式に基づく展開の束を,それらが,生成され,有効にされた後においても,動的に修正することを,許可する。それは,オブジェクト,及び,エンドポイントを,存在している展開の束へ,加えること,及び,当該束から,削除することを可能にする)」という記載,及び,同じく上記Eの「Note that a deployment of an object o to an endpoint e may be created through multiple ways, through individual deployments, deployment bundles, and pattern-based deployments(エンドポイントeへのオブジェクトoの展開が,多数の方法を通じて,個々の展開,展開の束,及び,様式を基礎とした展開を通じて,生成され得ることに注目されたい)」という記載と,上記オ.において検討した事項から,引用例において,“暗号オブジェクトのための展開が生成される”ことが読み取れる。 キ.上記Eの「Information on all objects deployed to endpoints is kept in a deployment table(エンドポイントに展開された,全てのオブジェクトの情報は,展開テーブルに保持される)」という記載,及び,同じく,上記Eの「the deployment information is present in the deployment table(展開情報は,展開テーブル上に存在する)」という記載から,引用例においては,“展開が,展開テーブルに保持される”ものであることが読み取れるので,上記カ.において検討した事項と併せると,引用例においては,“暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される”ものであることが読み取れる。 ク.上記Eの「a deployment is in Active state should the object be distributed to the endpoint(展開が,活動状態にある時の期間のみ,オブジェクトをエンドポイントに配布することができ)」という記載,及び,同じく,上記Eの「to move or remove objects to or from the affected endpoints(影響されたエンドポイントから,或いは,該エンドポイントへ,オブジェクトを移動する,或いは,取り去るための)」という記載と,上記エ.において検討した事項から,引用例においては,“展開に基づいて,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う”ことが読み取れるので,上記キ.において検討した事項と併せると,引用例においては,“展開テーブルに保持された展開に基づいて,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う”ことが読み取れる。 ケ.上記Eの「Because its operations take time and may fail because of network failures, the distribution process operates asynchronously in the background(その処理が,時間を要し,ネットワーク障害を理由に,失敗するかもれないので,分配過程は,バックグランドにおいて,非同期に処理される)」という記載と,上記ク.において検討した事項から,引用例において,“展開テーブルに保持された展開に基づいた,暗号オブジェクトの配布,及び,削除という処理は,バックグラウンドにおいて,非同期に処理される”ことが読み取れる。これは,“他の処理とは非同期に処理される”ことに他ならないので,上記カ.において検討した事項と併せると,引用例においては,“暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理と,前記展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除という処理とは,非同期に行われる”ものであることが読み取れる。 コ.上記ク.において検討した事項から,引用例における「展開」,或いは,「展開情報」には,“エンドポイントへの暗号オブジェクトを配布する,或いは,エンドポイントから暗号オブジェクトを削除するための指示情報”が含まれるものであることが読み取れ,上記ク.において検討した事項と併せると,引用例においては,“展開に含まれる指示情報にしたがって,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う”ものであることが読み取れる。 サ.以上,上記ア.?コ.において検討した事項から,引用例には,次の発明(以下,これを「引用発明」という)が,記載されているものと認める。 「暗号オブジェクト展開ライフサイクル管理システムであって, 前記暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理と,前記展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理とは,非同期に行われ, 前記展開には,エンドポイントへの暗号オブジェクトを配布,或いは,エンドポイントからの暗号オブジェクトを削除するための指示情報が含まれるものであり, 前記展開に含まれる指示情報にしたがって,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う, 管理システム。」 (4)本件補正発明と引用発明との対比 ア.引用発明における「暗号オブジェクト展開ライフサイクル管理システム」が, 本件補正発明における「暗号オブジェクト(CO)展開ライフサイクル管理のためのシステム(1)」に相当する。 イ.引用発明において,「暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理」は,「暗号オブジェクト」に対して,「展開」を生成し,提供することに他ならない。そして,引用発明における「展開」は,「指示情報」を含むものであるから,本件補正発明における「展開仕様」に相当する。 そして,引用発明における上記「処理」が,“プロセス”によって実行されることは明らかであるから, 引用発明における「暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理」が, 本件補正発明における「暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)」に相当する。 ウ.引用発明において「展開が,展開テーブル保持される」ことは,該「展開」が,「記憶装置」に記憶されることに他ならない。 そして,引用発明における「エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理」が,「暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理」とは異なる“プロセス”によって処理されることは明らかであり,本件補正発明における「配信関連動作」に相当するものであるから, 引用発明における「展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理」が, 本件補正発明における「データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)」に相当する。 エ.引用発明において,「暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理」と,「展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理」とは,非同期に行われるものであって,引用発明においても,明文の記載はないものの,これらの処理を実行するための,“実行手段”を有することは明らかであり,引用発明における,該“実行手段”が,本件補正発明における「実行ユニット」に相当するので,上記イ.,及び,ウ.において検討した事項と併せると, 引用発明における「暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理と,前記展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理とは,非同期に行われ」ることが, 本件補正発明における「暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)と,データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)と,を非同期で動作させるための少なくとも1つの実行ユニット(2C)を含み」に相当する。 オ.引用発明において,「展開には,エンドポイントへの暗号オブジェクトを配布,或いは,エンドポイントからの暗号オブジェクトを削除するための指示情報が含まれる」ものであり,引用発明における「エンドポイント」が,本件補正発明における「ノード」に相当し,引用発明における「エンドポイントへの暗号オブジェクトを配布」と,本件補正発明における「ノード(3)に暗号オブジェクト(CO)を追加する」こととは,“ノードに暗号オブジェクトを送る”ことである点で共通するので, 引用発明における「展開には,エンドポイントへの暗号オブジェクトを配布,或いは,エンドポイントからの暗号オブジェクトを削除するための指示情報が含まれるものであ」ることと, 本件補正発明における「前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含」むこととは, “展開仕様が,ノードに暗号オブジェクトを送るため,または前記ノードから暗号オブジェクトを削除するための指示を含む”ものである点で共通する。 カ.引用発明において,「展開に含まれる指示情報」とは,上記オ.において検討した通りのものであって,上記ウ.において検討したとおり,引用発明において,「展開に含まれる指示情報にしたがって,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う」処理は,“実行手段”上で動作する“プロセス”によって実行されるものであり,引用発明において,「エンドポイントからの暗号オブジェクトの削除を行う」ことは,“エンドポイントからの暗号オブジェクトの回収を行う”ことに他ならないから, 引用発明における「展開に含まれる指示情報にしたがって,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う」ことと, 本件補正発明における「実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む」こととは, “実行ユニット上で動作する配信プロセスは,展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること,前記展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む”点で共通する。 キ.以上,ア.?カ.において検討した事項から,本件補正発明と,引用発明との,一致点,及び,相違点は,次のとおりである。 [一致点] 暗号オブジェクト展開ライフサイクル管理のためのシステムであって, 暗号オブジェクトのための展開仕様を当該暗号オブジェクトに提供する展開プロセスと,データ記憶装置に記録された展開仕様に応じて配信関連動作を実行する配信プロセスと,を非同期で動作させるための少なくとも1つの実行ユニットを含み, 前記展開仕様が,ノードに暗号オブジェクトを送るため,または前記ノードから暗号オブジェクトを削除するための指示を含み, 前記実行ユニット上で動作する配信プロセスは, 前記展開仕様に従って前記ノードに暗号オブジェクトを配信すること,前記展開仕様に従って前記ノードから暗号オブジェクトを回収すること,を含む,システム。 [相違点1] “展開仕様が,ノードに暗号オブジェクトを送るため,または前記ノードから暗号オブジェクトを削除するための指示を含”むことに関して, 本件補正発明においては,「展開仕様」が含むものは, “ノード(3)に暗号オブジェクト(CO)を追加するための指示”, “アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示”,及び, “ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示”, であるのに対して, 引用発明においては,「展開」に,“エンドポイントへの暗号オブジェクトの追加”, “アプリケーションの要件に応じた,エンドポイントへの暗号オブジェクトの送信”, 及び, “エンドポイントによって用いられる既存の暗号オブジェクトの更新,又は,前記暗号オブジェクトの属性の1つの更新”, については,明確な言及がない点。 [相違点2] “実行ユニット上で動作する配信プロセス”について, 本件補正発明においては,「各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること」を含むものであるのに対して, 引用発明においては,「展開」に基づく「更新」を実行する点について,特に言及されていない点。 (5)相違点についての当審の判断 ア.[相違点1]について 引用例の上記Fに引用した「(8) set attributes, which modifies the attributes of an object; ((8)属性設定,それは,オブジェクトの属性を修正する;)」という記載内容にあるとおり,引用例においても,「暗号オブジェクト」に対する処理として,「KLMS(鍵ライフサイクル管理システム)」が,「オブジェクト」の「属性」の「修正」を行う点が示されている。また,引用例の上記Aに引用した「 Once a suitable pattern and the supporting policies for a particular application are defined, KLMS automatically generates, distributes, and maintains as many keys or key pairs as necessary(特定のアプリケーションのための,適切な様式と,サポートのポリシーが,一度,定義されると,必要なだけの鍵,或いは,鍵の組を,自動的に,生成し,分配し,維持する)」という記載内容から,引用例においても,「アプリケーション」に対応して,種々の処理を行っていることが示されている。 そして,「属性」の「修正」は,「属性」の「更新」を含むものであり,「特定のアプリケーション」のために「鍵」,即ち,「暗号オブジェクト」を「分配」することは,「アプリケーション」の「要件」に応じて,「暗号オブジェクト」を「送信」する態様を含むものである。 引用例に上記指摘の,“属性の修正”,及び,“アプリケーションに対応した,暗号オブジェクトの分配”に関する記述がある以上,これらの情報を,「展開」に,「指示情報」として含ませるよう構成することは,当業者が適宜なし得る事項である。 また,暗号の技術分野において,暗号鍵の更新といった処理は,通常行われる事項であるから,引用発明においても,暗号鍵,即ち,「暗号オブジェクト」の更新を行うのであれば,そのための情報を,「指示情報」に含ませることは,当業者が適宜なし得る事項である。 そして,引用発明において,引用例の上記Aに引用した「several keys can be grouped and deployed together to one or more endpoints(複数の鍵を,グループにして,1以上のエンドポイントに,一緒に展開することができる)」という記載から,引用発明における「エンドポイント」には,「複数の鍵」,即ち,複数の「暗号オブジェクト」を「配布」することが可能であることは,明らかであるから,引用発明において,「エンドポイント」に,既に,一つ以上の「暗号オブジェクト」が,「配布」されているとき,以上の「配布」が,「追加」処理となることは,明らかである。 よって,[相違点1]は,格別のものではない。 イ.[相違点2]について 上記ア.において検討したように,引用発明における「展開」においても,「指示情報」として,「暗号オブジェクト」の「更新」の情報を含ませ得るものであるから,引用発明においても,当該「指示情報」にしたがって,「エンドポイント」への“暗号オブジェクトの配信”,“暗号オブジェクトの更新”,及び,“暗号オブジェクトの回収”を行うよう構成することは,当業者が適宜なし得る事項である。 よって,[相違点2]は,格別のものではない。 ウ.以上,ア.,及び,イ.において検討したとおり,[相違点1],及び,[相違点2]は,格別のものではく,そして,本件補正発明の構成によってもたらされる効果も,当業者であれば容易に予測できる程度のものであって,格別なものとは認められない。 (6)独立特許要件むすび よって,本件補正発明は,引用発明,及び,当該技術分野における技術常識に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許出願の際,独立して特許を受けることができない。 3.補正却下むすび したがって,本件手続補正は,特許法第17条の2第6項において準用する同法第126条第7項の規定に違反するので,同法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。 よって,補正却下の決定の結論のとおり決定する。 第3.本願発明について 平成27年7月9日付けの手続補正は,上記のとおり却下されたので,本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成26年10月10日付けの手続補正により補正された,上記「第2.平成27年7月9日付けの手続補正の却下の決定」の「1.補正の内容」において,補正前の請求項1として引用した,次のとおりのものである。 「暗号オブジェクト(CO)展開ライフサイクル管理のためのシステム(1)であって, 暗号オブジェクト(CO)のための展開仕様(CODS)を当該暗号オブジェクト(CO)に提供する展開プロセス(P1)と,データ記憶装置(2D)に記録された展開仕様 (CODS)に応じて配信関連動作を実行する配信プロセス(P2)と,を非同期で動作させるための少なくとも1つの実行ユニット(2C)を含む,システム。」 第4.引用刊行物に記載の発明 原審拒絶理由に引用され,上記「第2.平成27年7月9日付けの手続補正の却下の決定」の「2.補正の適否」における「(2)引用例に記載の事項」において,引用例として引用された,「M. Bjoerkqvist et al.,“Design and Implementation of a Key-Lifecycle Management System”, Research Report,RZ 3739.IBM,2009年6月 P1?16」には,上記「第2.平成27年7月9日付けの手続補正の却下の決定」の「2.補正の適否」における「(3)引用例に記載の発明」において認定した,以下の発明が記載されている。 「暗号オブジェクト展開ライフサイクル管理システムであって, 前記暗号オブジェクトのための展開が生成され,前記展開が,展開テーブルに保持される処理と,前記展開テーブルに保持された展開に基づいた,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの削除という処理とは,非同期に行われ, 前記展開には,エンドポイントへの暗号オブジェクトを配布,或いは,エンドポイントからの暗号オブジェクトを削除するための指示情報が含まれるものであり, 前記展開に含まれる指示情報にしたがって,エンドポイントへの暗号オブジェクトの配布,或いは,エンドポイントからの暗号オブジェクトの削除を行う, 管理システム。」 第5.本願発明と引用発明との対比および判断 本願発明は,本件補正発明から, 「前記展開仕様(CODS)が, 前記ノード(3)に暗号オブジェクト(CO)を追加するため,または前記ノード(3)から暗号オブジェクト(CO)を削除するための指示と, アプリケーションの要件に応じて前記ノード(3)に暗号オブジェクト(CO)を送信するための指示と, 前記ノード(3)によって用いられる既存の暗号オブジェクト(CO)を更新するため,または前記暗号オブジェクト(CO)の属性の1つを更新するための指示と,を含み, 前記実行ユニット(2C)上で動作する前記配信プロセス(P2)は, 前記各展開仕様(CODS)に従って前記ノード(3)に暗号オブジェクト(CO)を配信すること, 前記各展開仕様(CODS)に従って前記ノード(3)が用いる既存の暗号オブジェクト(CO)を更新すること,または, 前記各展開仕様(CODS)に従って前記ノード(3)から暗号オブジェクト(CO)を回収すること,を含む」, という構成を取り除いたものであるから,本願発明と,引用発明とは, 暗号オブジェクト展開ライフサイクル管理のためのシステムであって, 暗号オブジェクトのための展開仕様を当該暗号オブジェクトに提供する展開プロセスと,データ記憶装置に記録された展開仕様に応じて配信関連動作を実行する配信プロセスと,を非同期で動作させるための少なくとも1つの実行ユニットを含む,システム。 である点で一致し,引用発明と,本願発明との間に,文言上の相違は存在するものの,格別の相違点は見出せない。 第6.むすび よって,本願発明は,引用例に記載された発明であるから,特許法第29条1項3号の規定により特許を受けることができない。 そして,本願発明は,引用発明に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許を受けることができない。 よって,結論のとおり審決する。 |
| 審理終結日 | 2016-09-08 |
| 結審通知日 | 2016-09-16 |
| 審決日 | 2016-09-27 |
| 出願番号 | 特願2012-530392(P2012-530392) |
| 審決分類 |
P
1
8・
575-
Z
(H04L)
P 1 8・ 121- Z (H04L) P 1 8・ 113- Z (H04L) |
| 最終処分 | 不成立 |
| 前審関与審査官 | 金沢 史明 |
| 特許庁審判長 |
高木 進 |
| 特許庁審判官 |
石井 茂和 須田 勝巳 |
| 発明の名称 | 暗号オブジェクトの展開ライフサイクル管理を提供するための方法、システム、データ・ネットワーク、およびデータ・キャリア |
| 代理人 | 上野 剛史 |
| 復代理人 | 小池 文雄 |
| 代理人 | 太佐 種一 |