ポートフォリオ機能
| ポートフォリオを新規に作成して保存 |
|
|
| 既存のポートフォリオに追加保存 |
|
PDFをダウンロード
|
| 審決分類 |
審判 査定不服 4号2号請求項の限定的減縮 特許、登録しない。 G06F 審判 査定不服 2項進歩性 特許、登録しない。 G06F 審判 査定不服 5項独立特許用件 特許、登録しない。 G06F |
|---|---|
| 管理番号 | 1333107 |
| 審判番号 | 不服2016-10691 |
| 総通号数 | 215 |
| 発行国 | 日本国特許庁(JP) |
| 公報種別 | 特許審決公報 |
| 発行日 | 2017-11-24 |
| 種別 | 拒絶査定不服の審決 |
| 審判請求日 | 2016-07-14 |
| 確定日 | 2017-10-05 |
| 事件の表示 | 特願2015-161981「情報分析システム,情報分析方法およびプログラム」拒絶査定不服審判事件〔平成28年 1月 7日出願公開,特開2016- 1493〕について,次のとおり審決する。 |
| 結論 | 本件審判の請求は,成り立たない。 |
| 理由 |
第1 手続の経緯 本願は,平成26年3月31日に出願した特願2014-74606号の一部を,特許法第44条第1項の規定により,平成26年10月27日に新たな特許出願(特願2014-217997号)とし,さらに特願2014-217997号の一部を,特許法第44条第1項の規定により,平成27年8月19日に新たな特許出願としたものであって, 平成27年8月19日付けで審査請求がなされ,平成27年11月25日付けで審査官により拒絶理由が通知され,これに対して平成28年1月22日付けで意見書及び手続補正書が提出され,平成28年4月14日付けで審査官により拒絶査定がなされ,これに対して平成28年7月14日付けで審判請求がなされると共に手続補正がなされ,平成28年9月20日付けで審査官により特許法第164条第3項の規定に基づく報告がなされたものである。 第2 平成28年7月14日付け手続補正における補正の却下の決定 [補正の却下の決定の結論] 平成28年7月14日付け手続補正書による手続補正を却下する。 [理由] 1.補正の内容 平成28年7月14日付け手続補正(以下,「本件手続補正」という。)により,平成28年1月22日付け手続補正により補正された特許請求の範囲, 「 【請求項1】 分析対象情報を発生させる事象により発生した分析対象情報を取得する取得ユニットと, 前記取得ユニットにより取得された前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断し,判断結果を出力する処理ユニットと, を備えることを特徴とする,情報分析システム。 【請求項2】 コンピュータにより分析対象情報を分析する方法であって, 前記コンピュータが,分析対象情報を発生させる事象により発生した分析対象情報を取得するステップと, 前記コンピュータが,前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得るステップと, 前記コンピュータが,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断するステップと, を含むことを特徴とする,情報分析方法。 【請求項3】 コンピュータを制御して分析対象情報を分析させるプログラムであって, 前記コンピュータに, 分析対象情報を発生させる事象により発生した分析対象情報を取得する処理と, 前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得る処理と, 当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する処理と, を実行させることを特徴とする,プログラム。」(以下,上記引用の請求項各項を「補正前の請求項」という。)は, 「 【請求項1】 分析対象情報を発生させる事象により発生した分析対象情報を取得する取得ユニットと, 前記取得ユニットにより取得された前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断し,判断結果を出力する処理ユニットと, を備えることを特徴とする,情報分析システム。 【請求項2】 コンピュータにより分析対象情報を分析する方法であって, 前記コンピュータが,分析対象情報を発生させる事象により発生した分析対象情報を取得するステップと, 前記コンピュータが,前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得るステップと, 前記コンピュータが,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断するステップと, を含むことを特徴とする,情報分析方法。 【請求項3】 コンピュータを制御して分析対象情報を分析させるプログラムであって, 前記コンピュータに, 分析対象情報を発生させる事象により発生した分析対象情報を取得する処理と, 前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得る処理と, 当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断する処理と, を実行させることを特徴とする,プログラム。」(以下,上記引用の請求項各項を「補正後の請求項」という。)(下線は補正箇所を明らかにするため当審にて付した。)に補正された。 2.補正の適否 (1)新規事項について 本件手続補正が,特許法第17条の2第3項の規定を満たすものであるか否か,即ち,本件手続補正が,願書に最初に添付された明細書,特許請求の範囲,及び,図面(以下,これを「当初明細書等」という。)に記載した事項の範囲内でなされたものであるかについて,以下に検討する。 ア.当審の判断 補正後の請求項1乃至3に, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断」との記載が存在する。 しかしながら,当初明細書等には,上記引用の記載と同一の記載,或いは,同様の記載は存在しない。 そこで,上記に引用した,補正後の請求項1乃至3の記載内容が,当初明細書等の記載から読みとれるかについて,以下に検討すると,当初明細書には次の記載がある。 「【0060】 相関分析処理部230cは,攻撃パターン組み合わせ判定と,件数閾値超過判定とを行うことにより,複数のイベントの組み合わせである検出事象候補が問題のある通信か否かを判断する。 【0061】 攻撃パターン組み合わせ判定では,相関分析処理部230cは,検出事象候補に含まれる通信ログにおける通信方向,送信元・宛先IPアドレス(レンジ),送信元・宛先ポート,ルール・アクション,送信元・宛先国コード,セッション・データ等の情報に基づいて特定される通信の種類と,攻撃パターン情報(オリジナル・シグネチャID)の組み合わせとに基づき,問題のある通信か否かを判断する。すなわち,検出事象候補により特定される通信の内容が,攻撃パターン情報により特定される攻撃パターンに該当するか否かが判断される。なお,ここでは,この通信により,実際に攻撃(情報の搾取,消失など)が行われた可能性が高いか否かが判断される。 【0062】 件数閾値超過判定では,相関分析処理部230cは,検出事象候補に含まれる通信ログにおける通信方向,送信元・宛先IPアドレス(レンジ),送信元・宛先ポート,ルール・アクション,送信元・宛先国コードと件数などの情報に基づき,問題のある通信か否かを判断する。ここでは,検出事象候補により特定される通信の回数が普段と比較して大幅に増加しているか否かが判断される。 【0063】 図7は,相関分析の概念を示す図である。 分析ユニット230のイベント集積処理部230bにより,検出ユニット220から取得したイベントのうち,集積処理の対象となったイベントが集積されてイベント列が生成され,さらに検出事象候補が生成される。そして,検出事象候補ごとに,各検出事象候補に含まれるイベント列やイベントの間の相関関係に基づき,上記の攻撃パターン組み合わせ判定および件数閾値超過判定が行われる。」(下線は,当審にて付した。) 上記引用の段落【0060】-【0063】の「相関分析処理部230cは,攻撃パターン組み合わせ判定と,件数閾値超過判定とを行うことにより,・・・検出事象候補が問題のある通信か否かを判断する」,「攻撃パターン組み合わせ判定では,相関分析処理部230cは,検出事象候補に含まれる通信ログにおける通信方向,送信元・宛先IPアドレス(レンジ),・・・セッション・データ等の情報に基づいて特定される通信の種類と,攻撃パターン情報(オリジナル・シグネチャID)の組み合わせとに基づき,問題のある通信か否かを判断する」,「件数閾値超過判定では,相関分析処理部230cは,検出事象候補に含まれる通信ログにおける通信方向,送信元・宛先IPアドレス(レンジ),・・・件数などの情報に基づき,問題のある通信か否かを判断する」という記載から,「攻撃パターン組み合わせ判定」及び「件数閾値超過判定」が,上記引用の補正後の請求項の記載中の「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則」に相当するものであり,上記引用の段落中の「検出事象候補」,「検出事象候補に含まれる通信ログにおける」「情報に基づき,問題のある通信か否かを判断する」が,それぞれ,上記引用の補正後の請求項の記載中の「検出対象の事象の候補」,「検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断」することに相当するものである。 さらに,後述するように(「第2 2.(3)独立特許要件について」を参照),「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて」が,「当該検出対象の事象の候補を判断対象として」を修飾するのか否かが不明ではあるものの,上記引用の段落【0062】,【0063】に,「攻撃パターン組み合わせ判定」と「件数閾値超過判定」のどちらの判定方法を用いるかに基づいて,判定の際に考慮される,検出事象候補に含まれる通信ログの情報が一部異なること(「攻撃パターン組み合わせ判定」では,通信ログのセッション・データの情報が判定の際に考慮され,「件数閾値超過判定」では,通信ログの件数に関する情報が判定の際に考慮されること)が記載されていることから,「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて」,検出事象候補に含まれる通信ログの情報のうち,所定の情報を判断対象とする,ことを読み取ることは可能である。 そうすると,補正後の請求項1乃至請求項3に記載された, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断」を当初明細書等から読みとることは可能である。 イ.新規事項むすび 本件補正によって付加された記載事項は,一応,平成27年8月19日付けで提出された当初明細書等の範囲内のものであるから,本件手続補正は,特許法第17条の2第3項の規定を満たすものである。 (2)目的要件について ア.当審の判断 本件手続補正は,補正前の請求項1の, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断し」という記載を, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断し」と補正し, 補正前の請求項2の, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断するステップ」という記載を, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断するステップ」と補正し, 補正前の請求項3の, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する処理」という記載を, 「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断する処理」, と補正するものであるところ, 請求人は,平成28年7月14日付け審判請求書において「今回の補正により,判断対象が「分析対象情報」が集積された「検出対象の事象の候補」自体であること,個々の「分析対象情報」を発生させた各々の「事象」ではなく「検出対象の事象の候補」により特定される「事象」について特定の性質を有するか否かの判断を行うことを明確にし,上記のような解釈の余地をなくすことにより,特許請求の範囲を減縮するものである」と主張している(下線は,当審にて付した。)。 そこで,本件手続補正が特許請求の範囲を減縮するものであるかについて,以下に検討する。 本件手続補正は,「・・・別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断」に,「当該検出対象の事象の候補を判断対象として」という発明特定事項を追加するとともに,上記「分析対象情報を発生させた前記事象」を,「当該検出対象の事象の候補により特定される前記事象」へと変更する補正である。 そして,「分析対象情報を発生させた前記事象」を,「当該検出対象の事象の候補により特定される前記事象」へと変更することは,「特定の性質を有する事象」か否かの判断に用いられる「事象」が,「分析対象情報」のうち,「同じ特徴を有する分析対象情報を集め」て構成された「検出対象の事象の候補」から把握されるものであると限定する変更であると認められる(下線は,当審にて付した。)。 一方,「当該検出対象の事象の候補を判断対象として」という発明特定事項を追加する補正は,補正前の請求項の記載にはない「判断対象」という概念を新たに追加するものである。 すなわち,補正前後の請求項のいずれにも,「特定の性質を有する事象か否かの判断」がなされる対象は,「検出対象の事象の候補により特定される」「事象」であると記載されていることから,当該「検出対象の事象の候補により特定される」「事象」が,いわば「特定の性質を有する事象か否か」の判断の対象と解されるところ,本件手続補正の「判断対象」の「判断」が,上記「特定の性質を有する事象か否か」の判断と同じであるとすると,当該判断の対象として,検出対象の事象の候補により特定される事象とは別に,「検出対象の事象の候補」そのもの,あるいは「検出対象の事象の候補」に含まれる情報をも含むこととなり,新たな判断対象を追加するものと認められる。また,本件手続補正の「判断対象」の「判断」が,上記「特定の性質を有する事象か否か」の判断と異なるとすると,この「特定の性質を有する事象か否か」の判断と異なる判断は,新たな判断といえ,よって当該判断の判断対象を追加する補正は,「判断対象」という新たな概念を追加するものといえる。 そうすると,本件手続補正が,特許請求の範囲の減縮を目的としたものとは認められない。 また,原審の拒絶理由において,本願の特許請求の範囲の記載が明瞭でない旨の指摘はなされておらず,本件手続補正は,明瞭でない記載の釈明を目的としたものでもない。 さらに,誤記の訂正及び請求項の削除を目的としたものでないことも明らかである。 以上より,本件手続補正は,特許法第17条の2第5項に規定する請求項の削除,特許請求の範囲の減縮,誤記の訂正又は請求項の削除の何れかを目的としたものとは認められない。 イ.目的要件むすび したがって,本件手続補正は,特許法第17条の2第5項の規定に違反してなされたものであるから,特許法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。 (3)独立特許要件について 本件手続補正は,上記(2)で検討したとおり却下すべきものであるが,仮に本件手続補正が目的要件を満たすものとして,本件手続補正が特許法第17条の2第6項において準用する特許法第126条第7項の規定を満たすものか否か,以下に検討する。 ア.補正後の請求項1について 補正後の請求項1に記載の発明は, 「分析対象情報を発生させる事象により発生した分析対象情報を取得する取得ユニットと, 前記取得ユニットにより取得された前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断し,判断結果を出力する処理ユニットと, を備えることを特徴とする,情報分析システム。」である。 ここで,本件手続補正によって補正された「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象として,当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断し」とは,「別に予め設定された規則に基づいて,当該検出対象の事象の候補を判断対象」とするのか,すなわち,「別に予め設定された規則」に基づいて「検出対象の事象の候補」を処理することによって「判断対象」を生成することを示すのか,「別に予め設定された規則に基づいて」,「前記事象が特定の性質を有する事象か否かを判断」することを示すのか,あるいは,この両方を示すのか,「別に予め設定された規則に基づいて」が,「判別対象として」と「判断し」の両方,あるいはどちらを修飾するのかを明確に把握することができない。 よって,補正後の請求項1に記載の発明を明確に特定することができない。 また,補正後の請求項1と発明カテゴリの異なる補正後の請求項2,3についても,同様の理由により,発明特定事項を明確に把握することができない。 以上より,補正後の請求項1-3に記載の発明は,発明特定事項を明確に把握することができないため,特許法第36条第6項第2号の規定により特許出願の際,独立して特許を受けることができない。 イ.独立特許要件むすび したがって,本件手続補正は,特許法第17条の2第6項において準用する特許法第126条第7項の規定に違反してなされたものであるから,特許法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。 3.本件手続補正についてのむすび 以上のとおり,本件手続補正は,上記「(2)目的要件について」において検討したとおり,特許法第17条の2第5項の規定に違反してなされたものであるから,特許法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものであり,また,本件手続補正は,上記「(3)独立特許要件について」において検討したとおり,特許法第17条の2第6項において準用する特許法第126条第7項の規定に違反してなされたものであるから,特許法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。 よって,上記補正の却下の決定の結論のとおり決定する。 第3 本願発明 平成28年7月14日付け手続補正書による補正は,上記のとおり却下されたので,本願の請求項に係る発明は,平成28年1月22日付け手続補正書の特許請求の範囲の請求項1乃至請求項3に記載された事項により特定されるものであるところ,その請求項1に係る発明(以下,「本願発明」という。)は,上記「第2[理由]1.補正の内容」にて補正前の請求項1として記載したとおりのものであって,再掲すると次のとおりである。 「【請求項1】 分析対象情報を発生させる事象により発生した分析対象情報を取得する取得ユニットと, 前記取得ユニットにより取得された前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得,当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断し,判断結果を出力する処理ユニットと, を備えることを特徴とする,情報分析システム。」 第4 刊行物 1.引用刊行物に記載の事項 原審における平成27年11月25日付け拒絶理由通知において引用された,本願の原出願の出願前に公知である,特開2005-202664号公報(平成17年7月28日公開,以下「引用刊行物」という。)には,関連する図面と共に次の事項が記載されている(下線は,当審にて付した。)。 A 「【0007】 従って「不正アクセス」と断定するには,IDSからの検知情報だけでなく,各種サーバログから具体的侵入や改竄の履歴等を抽出する作業が必要で,これは管理者等の人的な作業であるため,そのノウハウ依存性,即応性において問題があり,現実的には数百MB/日?数GB/日の大量のログ分析を行う必要があり,数十時間以上のオーダーを要する場合がほとんどであり,大規模ネットワークになるほど事実上対応不可能になるという問題点がある。」 B 「【0015】 以下この発明を各実施の形態に従って説明する。 実施の形態1. 図1はこの発明の実施の形態1による不正アクセス統合対応システムの特に1つのサイトの構成例を示すブロック図,図2はこの発明のシステムにおける各センサの汎用ログ形式の一例を示す図,図3はこの発明のシステムにおける各センサログの統合検知の機能ブロック図である。また図9にはこの発明による不正アクセス対応システムの各サイトの機能をまとめた機能ブロック図を示す。 【0016】 図1はサイトの一構成例を示しており,広域コンピュータネットワーク(広域ネットワーク)W1にルーターR1,ファイアウォールF1を介して接続された情報公開ゾーンネットワークZ1,Z2,さらにルーターR2を介して接続された内部ゾーンネットワークN2,そして検知ログ等転送用の管理ネットワークK1を備える。情報公開ゾーンネットワークZ1,Z2にはWebサーバV1,メールサーバV2,PROXYサーバV3,DNSサーバV4が接続され,内部ゾーンネットワークN2には端末装置T1,T2が接続されている。管理ネットワークK1にはログ集約装置J1と統合検知装置J2が接続されている。侵入検知装置(IDS)D1,D2は広域ネットワークW1との接続点ネットワークN1と,情報公開ゾーンネットワークZ2にそれぞれ接続されている。 【0017】 サイト内の各センサのログである,侵入検知装置D1,D2の検知アラート情報,ルーターR1,R2の通信通過/遮断情報,ファイアウォールF1の通信通過/遮断情報,WebサーバV1,メールサーバV2,PROXYサーバV3,DNSサーバV4のサーバサービスログ,オペレーティングシステムログ(図3参照)は各センサから管理ネットワークK1を介してログ集約装置J1へ伝送される。 【0018】 なお図示されていないがサイト内におけるセンサ及び構成機器としてサーバサービスアプリケーション,サーバオペレーティングシステム,改竄検出アプリケーション,ウィルス検知アプリケーション等も含まれ,これらの各種ログ情報もログ集約装置J1へ伝送される。」 C 「【0019】 ログ集約装置J1では,各センサのログを図2に示すログ形式(日付,時刻,ファシリティ,優先度,サービス,プロトコル,発信元IPアドレス,宛先元ホスト,宛先IPアドレス,アクセスメッセージ等を含む)へ変換し,全てのセンサのログを汎用化させる(図3のログ形式変換手段J1-1,汎用化ログJ1-2に相当)。汎用化されたログは,図3に示すように,時系列上で特定ログフィルタLF1?LFnにより,条件合致分配され,各フィルタの合致条件にあったログだけが各々特定要注意ログFL1?FLnとして抽出され,条件合致しないログは除外される。 【0020】 各ログフィルタは特定の送信元IPアドレスや宛先IPアドレス,プロトコル種類,宛先TCPポート番号(IPアドレス)の他,サーバログ中のメッセージ文字列(例:Webサーバの“/scripts/..%5c/..%5cwinnt/system32/cmd.exe”やエラーコード“404 Mozilla/4.0”)やIDSの検知アラートIDやメッセージ文字列(例:“WEB-IIS cmd.exe access”)等の各種条件をAND,ORで連結した条件として設定でき,特定の注目するイベント,アドレス等に関連するログを要注意イベントログ群として自動でふるい分け抽出することが可能となる。これにより,多量に発生するサイトのログから着目するイベントに限定したログへログ量を大幅削減することが可能となり,以降の分析を容易にすることが可能となる。 【0021】 次に統合検知装置J2において,各特定要注意ログFL1?FLnに対して,更に特定イベントの組合せ検知テーブルSKT1?SKTnにより特定統合検知を行う(図3の特定統合検知手段J2-1に相当)。これにより,アクセス経路上の各センサのログ情報を関連付けた空間的統合検知や特定のイベント群が時間間隔をおいて発生するログ情報を関連付けた時間的統合検知が可能となる。これらにより,IDS回避不正アクセスやIDS性能限界による検知見逃しが発生した場合においても,その後の経路上の他のセンサログ(ファイアウォールログ,サービスログ等)から確実にこれを検知することが可能となる。また,意図的に長時間間隔を空けてポートスキャンやバナー取得等の情報収集をしてくる不正アクセスに対しても時間的統合検知により,確実にこれを検知することが可能となる。 【0022】 上述の特定ログフィルタLF1?LFn及び特定イベント組合せ検知テーブルSKT1?SKTnは管理者により管理端末装置KM1から手動設定することも可能であるが,自動で設定することが可能である。」 2.引用刊行物に記載の発明 (1)上記「第4 1.B」には,「サイト内の各センサのログである,侵入検知装置D1,D2の検知アラート情報,ルーターR1,R2の通信通過/遮断情報,ファイアウォールF1の通信通過/遮断情報,WebサーバV1,メールサーバV2,PROXYサーバV3,DNSサーバV4のサーバサービスログ,オペレーティングシステムログ」及び「サイト内におけるセンサ及び構成機器としてサーバサービスアプリケーション,サーバオペレーティングシステム,改竄検出アプリケーション,ウィルス検知アプリケーション等も含まれ,これらの各種ログ情報」と記載されているところ,「侵入検知装置D1,D2の検知アラート情報,ルーターR1,R2の通信通過/遮断情報,ファイアウォールF1の通信通過/遮断情報」などである上記「ログ」は,侵入検知装置D1,D2の検知,ルーターR1,R2の通信通過/遮断,ファイアウォールF1の通信通過/遮断などに関する「情報」であると言える。 また,侵入検知装置D1,D2の検知,ルーターR1,R2の通信通過/遮断,ファイアウォールF1の通信通過/遮断などに関する情報は,サイト内における各センサや構成装置の「通信」に関する情報であると解されるところ,上記「ログ」は,各センサ及び構成装置の通信に関する情報であるといえる。 そして,上記「ログ」が各センサ及び構成装置の通信に関する情報であることは,当該「ログ」は,各センサや構成装置が通信することにより発生した情報であると言い換えることができる。 (2)上記「第4 1.B」において「サイト内の各センサのログ」及び「各種ログ情報」は「ログ集約装置J1へ伝送される」と記載されていることから,「ログ集約装置J1」は各センサや構成機器のログを取得するといえ,また「ログ集約装置J1」へ伝送された各センサや構成機器のログは,「ログ集約装置J1」により取得された各センサや構成機器のログといえる。 (3)上記「第4 1.C」に,「ログ集約装置J1」において,各センサや構成機器のログが汎用化され,汎用化されたログのうち,特定ログフィルタLF1?LFnの各フィルタの条件にあったログだけが各々特定要注意ログFL1?FLnとして抽出されると記載されているところ,「ログ集約装置J1」は,取得した各センサや構成機器のログについて,特定ログフィルタLF1?LFnの各フィルタの条件にあったログだけを,各々特定要注意ログFL1?FLnとしてふるい分けて集約しているといえる。 そして,上記「第4 1.C」に,各ログフィルタは特定の送信元IPアドレス等の各種条件をAND,ORで連結した条件として設定でき,特定の注目するイベント,アドレス等に関連するログを要注意イベントログ群として自動でふるい分け抽出することが可能となると記載されていることから,どのようなログを特定要注意ログFL1?FLnとして集約するかは,特定ログフィルタLF1?LFnの条件によって決定され,当該決定された当該ログフィルタの条件は,特定要注意ログFL1?FLnを集約する前に予め設定されているといえる。また,集約された各特定要注意ログFL1?FLnは,特定の注目するイベント,アドレス等に関連することから,集約された各特定要注意ログFL1?FLnは,“特定の注目するイベント,アドレス等に関連する”という同じ特徴を有するログを集めたものといえる。 そうすると,「ログ集約装置J1」は,「ログ集約装置J1」により取得された各センサや構成機器のログを,特定ログフィルタLF1?LFnの予め設定されたフィルタの条件に基づいて,各々特定要注意ログFL1?FLnにふるい分け集約し,同じ特徴を有するログを集めた特定要注意ログを得ているといえる。 (4)上記「第4 1.C」には,「ログ集約装置J1」によって各特定要注意ログFL1?FLnを抽出した後,次に「統合検知装置J2」が,各特定要注意ログFL1?FLnに対して,特定イベントの組合せ検知テーブルSKT1?SKTnにより特定統合検知を行い,この特定統合検知によって,ログ情報を空間的,時間的に関連付けた空間的統合検知や時間的統合検知が可能となり,その結果,IDS(侵入検知装置)回避不正アクセスやIDS性能限界による検知見逃しが発生した場合でも侵入を検知でき,また意図的に長時間間隔を空けた不正アクセスを確実に検知できることが記載されている。 ここで,特定統合検知によって,各特定要注意ログFL1?FLnのログ情報から不正アクセスか否かを検知することができることから,当該特定統合検知で用いられる「特定イベントの組合せ検知テーブルSKT1?SKTn」は,不正アクセスか否かを検知するための検知テーブルであるといえる。 そして,特定統合検知で用いられる「特定イベントの組合せ検知テーブルSKT1?SKTn」は,当然,特定統合検知を行う前までに設定されているものであるから,不正アクセスか否かを検知するための予め設定された検知テーブルといえる。 そうすると,「統合検知装置J2」は,不正アクセスか否かを検知するための予め設定された検知テーブルにより,各特定要注意ログFL1?FLnに対して特定統合検知を行って,不正アクセスを検知するといえる。 (5)上記(1)乃至(4)より,引用刊行物には以下の発明(以下,「引用発明」という。)が記載されている。 「各センサや構成装置が通信することにより発生した情報であるログを取得し,当該取得したログを,特定ログフィルタLF1?LFnの予め設定されたフィルタの条件に基づいて,各々特定要注意ログFL1?FLnにふるい分け集約し,同じ特徴を有するログを集めた特定要注意ログを得るログ集約装置J1と, 不正アクセスか否かを検知するための予め設定された検知テーブルに基づいて各前記特定要注意ログFL1?FLnに対して特定統合検知を行い,不正アクセスを検知する統合検知装置J2と, を備えることを特徴とする,不正アクセス統合対応システム。」 第5 対比・判断 (1)引用発明の「各センサや構成装置が通信することにより発生した情報であるログ」は,ログ集約装置J1によって特定要注意ログFL1?FLnへふるい分け集約される対象であり,かつ統合検知装置J2によって特定統合検知がなされる対象となるから,「分析対象」「情報」と言える。 また,分析対象情報たる「ログ」は,「各センサや構成装置が通信すること」により発生することから,「各センサや構成装置が通信すること」は,「分析対象情報を発生させる事象」であると言える。 そうすると,引用発明の「各センサや構成装置が通信することにより発生した情報であるログ」は,本願発明の「分析対象情報を発生させる事象により発生した分析対象情報」に相当する。 (2)引用発明の「各センサや構成装置が通信することにより発生した情報であるログを取得」する「ログ集約装置J1」は,分析の対象となる,「各センサや構成装置が通信することにより発生した情報であるログ」を取得するものであるから,引用発明の「ログ集約装置J1」は,本願発明の「分析対象情報を取得する取得ユニット」に対応し,両者は,ログを取得する点で共通する。 (3)引用発明の「特定ログフィルタLF1?LFnの予め設定されたフィルタの条件に基づいて,各々特定要注意ログFL1?FLnにふるい分け集約」することは,所定のフィルタの条件に合致したログが,同じ特徴を有するログを集めた特定要注意ログとして一つに集められる,すなわち集積されることとなるため,上記「フィルタの条件」は,同じ特徴を有するログを集める,集積する機能を有するものと認められる。 よって,引用発明の「特定ログフィルタLF1?LFnの予め設定されたフィルタの条件」は,当該条件に基づいて同じ特徴を有するログを特定要注意ログとして集積するための条件といえる。 そうすると,引用発明の「特定ログフィルタLF1?LFnの予め設定されたフィルタの条件に基づいて,各々特定要注意ログFL1?FLnにふるい分け集約」することは,本願発明の「予め設定された規則に基づいて集積すること」に相当し,引用発明の「同じ特徴を有するログを集めた特定要注意ログ」は,同じ特徴を有するログを集めたものである点で,本願発明の「同じ特徴を有する分析対象情報を集めた検出対象の事象の候補」と共通する。 (4)引用発明の「特定ログフィルタLF1?LFnの予め設定されたフィルタの条件」は,ログ集約装置J1が「同じ特徴を有するログを集めた特定要注意ログを得る」ためのものであって,「不正アクセスか否かを検知するための予め設定された検知テーブル」は,ログ集約装置J1が前記フィルタによって集めて得た「特定要注意ログ」に対して,更に,統合検知装置J2が特定統合検知を行うために用いるものである。 そして,前記フィルタと前記検知テーブルは,別々の装置が,互いに異なる処理をするために用いるものであるから,引用発明には,前記フィルタと前記検知テーブルとが,各装置に対して,それぞれ設定される態様が含まれていると認められる。 そうすると,上記「第4(3),(4)」で述べたように,フィルタの条件,検知テーブルは,それぞれ特定要注意ログFL1?FLnの集約を行う前,特別統合検知を行う前に予め設定されているものであるから,引用発明の「不正アクセスか否かを検知するための予め設定された検知テーブル」は,本願発明の「分析対象情報の集積に用いられた規則とは別に予め設置された規則」に相当すると言える。 (5)引用発明の「統合検知装置J2」は,「特定イベントの組合せ検知テーブル」により特定統合検知を行って,不正アクセスを検知するところ,「分析対象情報の集積に用いられた規則とは別に予め設置された規則」に基づいて,「検出対象の事象の候補」から把握,特定される現象,事象が特定の性質を有するアクセスか否かを検知するといえるから,引用発明の「統合検知装置J2」は,本願発明の「処理ユニット」に対応し,両者は,「分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する」点で共通するといえる。 (6)引用発明の「ログ集約装置J1」と「統合検知装置J2」とを備える「不正アクセス統合対応システム」は,各センサや構成機器のログから不正アクセスを検知するシステムであることから,本願発明の「情報分析システム」に対応する。 (7)そうすると,本願発明と引用発明とは以下の点で一致し,また以下の点で相違する。 <一致点> 「分析対象情報を発生させる事象により発生した分析対象情報を取得する取得ユニットと, 前記取得ユニットにより取得された前記分析対象情報を,予め設定された規則に基づいて集積することにより,同じ特徴を有する分析対象情報を集めた検出対象の事象の候補を得, 当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する処理ユニットと, を備えることを特徴とする,情報分析システム。」 <相違点1> 本願発明では,「処理ユニット」が「判断結果を出力する」のに対して,引用発明では,「統合検知装置J2」が検知結果を出力する点について言及されていない点。 <相違点2> 本願発明では,「処理ユニット」が「検出対象の事象の候補」を得るとともに,「検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する」のに対して,引用発明では,「ログ集約装置J1」が「検出対象の事象の候補」を得て,「統合検知装置J2」が「検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する」点。 (8)以下,相違点1,2について検討する。 <相違点1について> 引用発明では,上記「第4 1.C」で引用したように,「管理者」の存在を想定していることから,「統合検知装置J2」が不正アクセスを検知した場合に,管理者等にその旨を報知するため,統合検知装置J2が検知結果を出力するように構成することは,当該技術分野において必要に応じて適宜なし得る設計的事項である。 そうすると,引用発明において,「処理ユニット」が「判断結果を出力する」するよう構成することは,当業者が容易に想到し得たことである。 <相違点2について> 「検出対象の事象の候補」を得る工程と,「検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する」工程について,異なるユニット,装置に,それぞれの工程を分けて行わせるか,一つのユニット,装置内で,それぞれの工程を分けて行わせるかは,装置構成などを考慮して,適宜なし得る設計的事項である。 そうすると,引用発明において,「検出対象の事象の候補」を得ることと,「検出対象の事象の候補により特定される前記分析対象情報を発生させた前記事象が特定の性質を有する事象か否かを判断する」ことを,別々のユニットで行わせるのではなく,どちらか一方,例えば「取得ユニット」に行わせるよう構成することは,当業者が容易に想到し得たことである。 <小括> 上記で検討したごとく,相違点1,2に係る構成は,当業者が容易に想到し得たものであり,本願発明の奏する作用効果は,上記引用刊行物に記載の発明の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。 第6 むすび 以上のとおり,本願発明は特許法第29条第2項の規定により特許を受けることができないから,他の請求項について検討するまでもなく,本願は拒絶されるべきものである。 よって,結論のとおり審決する。 [備考] なお,本願発明の「当該分析対象情報の集積に用いられた規則とは別に予め設定された規則に基づいて当該検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断」することが,仮に,「検出対象の事象の候補」に含まれる個々の情報ではなく,「検出対象の事象の候補」全体に対して,前記「予め設定された規則」を適用することによって「検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断」すると解釈した場合,引用発明では,各要注意イベントログ群に対して,特定イベントの組合せ検知テーブルを適用して特定統合検知を行い,不正アクセスを検知するところ,各要注意イベントログ群に含まれる個々のイベントログに対して特定イベントの組合せ検知テーブルを適用するのか,各要注意イベントログ群全体に対して特定イベントの組合せ検知テーブルを適用するのか明確に記載されていない点で,相違すると考えられる。 しかしながら,収集したイベントログを正規化した後,イベントログをデータベースで集約することによって類似,重複するイベントログを削除し,集約されたイベントデータを生成し,当該集積されたイベントデータそのものを分析対象として,当該集積されたイベントデータの攻撃および攻撃タイプが所定の攻撃と似通ったパターンかをチェックし,相関分析結果を表示することは,例えば,「新美 竹男 Takeo Niimi,部分から全体へ,セキュリティ対策をいかに効率化するか SIMセキュリティ情報の集中管理に挑む!,N+I NETWORK 第5巻 第2号,日本,2005.02.01発行,第5巻,p.26-p.31」(特に,第30頁を参照)に記載されるように,本願の原出願の出願前には当該技術分野における周知技術であった。 そうすると,引用発明において上記周知技術を適用し,検出対象の事象の候補全体に対して,予め設定された規則を適用して,検出対象の事象の候補により特定される前記事象が特定の性質を有する事象か否かを判断することは,当業者が容易に想到し得たことであり,予め設定された規則を,検出対象の事象の候補全体に適用することに,格別な創意工夫はみられない。 |
| 審理終結日 | 2017-07-26 |
| 結審通知日 | 2017-08-01 |
| 審決日 | 2017-08-18 |
| 出願番号 | 特願2015-161981(P2015-161981) |
| 審決分類 |
P
1
8・
575-
Z
(G06F)
P 1 8・ 572- Z (G06F) P 1 8・ 121- Z (G06F) |
| 最終処分 | 不成立 |
| 前審関与審査官 | 宮司 卓佳 |
| 特許庁審判長 |
石井 茂和 |
| 特許庁審判官 |
佐久 聖子 山崎 慎一 |
| 発明の名称 | 情報分析システム、情報分析方法およびプログラム |
| 代理人 | 久保 洋之 |
| 代理人 | 古部 次郎 |