• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 5項独立特許用件 特許、登録しない。 G06F
審判 査定不服 (159条1項、163条1項、174条1項で準用) 特許、登録しない。 G06F
審判 査定不服 特17 条の2 、4 項補正目的 特許、登録しない。 G06F
審判 査定不服 2項進歩性 特許、登録しない。 G06F
管理番号 1369642
審判番号 不服2019-13219  
総通号数 254 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-02-26 
種別 拒絶査定不服の審決 
審判請求日 2019-10-03 
確定日 2020-12-23 
事件の表示 特願2017-126050「Webページの異常要素を検出するためのシステム及び方法」拒絶査定不服審判事件〔平成30年 3月15日出願公開,特開2018- 41442〕について,次のとおり審決する。 
結論 本件審判の請求は,成り立たない。 
理由 第1 手続の経緯

本願は,平成29年6月28日(パリ条約による優先権主張外国庁受理2016年9月8日(以下,「優先日」という。),ロシア連邦,2017年2月21日,アメリカ合衆国)を出願日とする外国語書面出願であって,平成29年8月10日付けで外国語書面の翻訳文が提出され,平成30年9月4日付けで拒絶理由が通知され,その指定期間内である同年12月3日に意見書及び誤訳訂正書が提出されたが,令和1年5月27日付けで拒絶査定(以下,「原査定」という。)がなされ,これに対し,同年10月3日に拒絶査定不服審判が請求されるとともに手続補正書が提出されたものである。


第2 令和1年10月3日にされた手続補正についての補正の却下の決定

[補正の却下の決定の結論]
令和1年10月3日にされた手続補正(以下,「本件補正」という。)を却下する。

[理由]
1 本件補正について
本件補正の内容は,次のとおりである。(下線部は,補正箇所を示す。)

(1)補正事項1(特許請求の範囲に係る補正)
平成30年12月3日にされた誤訳訂正書の提出により補正された特許請求の範囲に,

「 【請求項1】
Webページの異常要素を検出するためのコンピュータ実装方法であって、
Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得するステップと、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行するステップと、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定するステップと、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成するステップと、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成するステップと、
前記統計モデルを用いて前記Webページの異常要素を検出するステップと、
を備える、コンピュータ実装方法。
【請求項2】
前記少なくとも1つのN次元ベクトルを格納するステップと、
前記少なくとも1つのクラスタを作成する前に、少なくとも1つのN次元ベクトルに関する追加のデータを収集するため他のクライアントコンピューティングによりWebページを取得して実行するステップと、を備える、請求項1に記載のコンピュータ実装方法。
【請求項3】
前記Webサーバは、前記Webページを要求するクライアントコンピューティングデバイスからの要求を受信したことに応じて、前記Webページに少なくとも1つのスクリプトを追加するよう構成される、請求項1に記載のコンピュータ実装方法。
【請求項4】
前記クライアントコンピューティングデバイスによって前記Webページを実行するステップは、前記少なくとも1つのスクリプトを実行して前記Webページの前記少なくとも1つの要素に関するデータを収集するステップを有する、請求項3に記載のコンピュータ実装方法。
【請求項5】
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較するステップと、
前記Webページの前記少なくとも1つの要素を、下記(1)?(3)のうち少なくとも1つを検出することにより異常であると判定し識別するステップと、
を備える、請求項1に記載のコンピュータ実装方法。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項6】
前記少なくとも1つの要素が異常でないことを検出すると、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルを前記Webページの統計モデルに追加するステップをさらに備える、請求項5に記載のコンピュータ実装方法。
【請求項7】
前記Webサーバは、
Webページの少なくとも1つの要素の異常の検出に応答して前記クライアントコンピューティングデバイスとの接続を無効にし、
前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行し、
前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される、請求項5に記載のコンピュータ実装方法。
【請求項8】
前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルに用いられるWebページの総数との比率を決定するステップをさらに備える、請求項7に記載のコンピュータ実装方法。
【請求項9】
前記少なくとも1つの要素に関連するWebページの数には、前記少なくとも1つの要素又はそのN次元空間におけるN次元ベクトル間の距離が選択された閾値未満である近傍の要素を含むWebページの数が含まれる、請求項8に記載のコンピュータ実装方法。
【請求項10】
Webページの異常要素を検出するためのシステムであって、少なくとも1つのクライアントコンピューティングデバイスのプロセッサを備え、
当該プロセッサは、
Webサーバを介してWebサイトに紐づいた前記Webページを要求することで前記Webサイトへのアクセスを取得し、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行し、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定し、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成し、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成し、
前記統計モデルを用いて前記Webページの異常要素を検出するよう構成される、システム。
【請求項11】
前記プロセッサはさらに、
前記少なくとも1つのN次元ベクトルを格納し、
前記少なくとも1つのクラスタを作成する前に、少なくとも1つのN次元ベクトルに関する追加のデータを収集するためWebページを取得して実行するよう構成される、請求項10に記載のシステム。
【請求項12】
前記Webサーバは、前記Webページを要求するクライアントコンピューティングデバイスからの要求を受信したことに応じて、前記Webページに少なくとも1つのスクリプトを追加するよう構成される、請求項10に記載のシステム。
【請求項13】
前記クライアントコンピューティングデバイスによって前記Webページを実行するため、前記少なくとも1つのプロセッサは、前記少なくとも1つのスクリプトを実行して前記Webページの前記少なくとも1つの要素に関するデータを収集するよう構成される、請求項12に記載のシステム。
【請求項14】
前記少なくとも1つのプロセッサはさらに、
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較し、
前記Webページの前記少なくとも1つの要素を、下記(1)?(3)のうち少なくとも1つを検出することにより異常であると判定し識別するよう構成される、請求項10に記載
のシステム。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項15】
前記少なくとも1つのプロセッサはさらに、前記少なくとも1つの要素が異常でないことを検出すると、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルを前記Webページの統計モデルに追加するよう構成される、請求項14に記載のシステム。
【請求項16】
前記Webサーバは、
Webページの少なくとも1つの要素の異常の検出に応答して前記クライアントコンピューティングデバイスとの接続を無効にし、
前記少なくとも1つの要素の統計的有意性を閾値に関して決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行し、
前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される、請求項14に記載のシステム。
【請求項17】
前記少なくとも1つのプロセッサは、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルに用いられるWebページの総数との比率を決定するよう構成され、
前記少なくとも1つの要素に関連するWebページの数には、前記少なくとも1つの要素又はそのN次元空間におけるN次元ベクトル間の距離が選択された閾値未満である近傍の要素を含むWebページの数が含まれる、請求項16に記載のシステム。
【請求項18】
Webページの異常要素を検出するためのコンピュータ実行可能命令が格納された非一時的コンピュータ可読媒体であって、
Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得させる命令と、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行させる命令と、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定させる命令と、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成させる命令と、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成させる命令と、
前記統計モデルを用いてWebページの異常要素を検出させる命令と、
を備える、非一時的コンピュータ可読媒体。
【請求項19】
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較させる命令と、
前記Webページの前記少なくとも1つの要素を、下記(1)?(3)のうち少なくとも1つを検出することにより異常であると判定し識別させる命令と、
を備える、請求項18に記載の非一時的コンピュータ可読媒体。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項20】
前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルで用いられるWebページの総数との比率を決定させる命令をさらに備える、請求項19に記載の非一時的コンピュータ可読媒体。」
(以下,これらの請求項を「補正前の請求項」という。)

と記載されているのを,

「 【請求項1】
Webページの異常要素を検出するためのコンピュータ実装方法であって、
Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得するステップと、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行するステップと、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定するステップと、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成するステップと、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成するステップと、
前記統計モデルを用いて前記Webページの異常要素を検出して前記Webページの少なくとも1つの要素を異常であると判定し識別するステップと、を備え、
前記Webサーバは、
前記Webページの少なくとも1つの要素の異常の検出に応答して前記クライアントコンピューティングデバイスとの接続を無効にし、
前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行し、
前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される、コンピュータ実装方法。
【請求項2】
前記少なくとも1つのN次元ベクトルを格納するステップと、
前記少なくとも1つのクラスタを作成する前に、少なくとも1つのN次元ベクトルに関する追加のデータを収集するため他のクライアントコンピューティングによりWebページを取得して実行するステップと、を備える、請求項1に記載のコンピュータ実装方法。
【請求項3】
前記Webサーバはさらに、前記Webページを要求するクライアントコンピューティングデバイスからの要求を受信したことに応じて、前記Webページに少なくとも1つのスクリプトを追加するよう構成される、請求項1に記載のコンピュータ実装方法。
【請求項4】
前記クライアントコンピューティングデバイスによって前記Webページを実行するステップは、前記少なくとも1つのスクリプトを実行して前記Webページの前記少なくとも1つの要素に関するデータを収集するステップを有する、請求項3に記載のコンピュータ実装方法。
【請求項5】
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較するステップをさらに備え、
前記Webページの前記少なくとも1つの要素を異常であると判定し識別するステップは、下記(1)?(3)のうち少なくとも1つを検出する、請求項1に記載のコンピュータ実装方法。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項6】
前記少なくとも1つの要素が異常でないことを検出すると、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルを前記Webページの統計モデルに追加するステップをさらに備える、請求項5に記載のコンピュータ実装方法。
【請求項7】
前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルに用いられるWebページの総数との比率を決定するステップをさらに備える、請求項1に記載のコンピュータ実装方法。
【請求項8】
前記少なくとも1つの要素に関連するWebページの数には、前記少なくとも1つの要素又はそのN次元空間におけるN次元ベクトル間の距離が選択された閾値未満である近傍の要素を含むWebページの数が含まれる、請求項1に記載のコンピュータ実装方法。
【請求項9】
Webページの異常要素を検出するためのシステムであって、少なくとも1つのクライアントコンピューティングデバイスのプロセッサを備え、
当該プロセッサは、
Webサーバを介してWebサイトに紐づいた前記Webページを要求することで前記Webサイトへのアクセスを取得し、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行し、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定し、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成し、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成し、
前記統計モデルを用いて前記Webページの異常要素を検出して前記Webページの少なくとも1つの要素を異常であると判定し識別するよう構成され、
前記Webサーバは、
前記Webページの少なくとも1つの要素の異常の検出に応答して前記クライアントコンピューティングデバイスとの接続を無効にし、
前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行し、
前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される、システム。
【請求項10】
前記プロセッサはさらに、
前記少なくとも1つのN次元ベクトルを格納し、
前記少なくとも1つのクラスタを作成する前に、少なくとも1つのN次元ベクトルに関する追加のデータを収集するためWebページを取得して実行するよう構成される、請求項9に記載のシステム。
【請求項11】
前記Webサーバはさらに、前記Webページを要求するクライアントコンピューティングデバイスからの要求を受信したことに応じて、前記Webページに少なくとも1つのスクリプトを追加するよう構成される、請求項9に記載のシステム。
【請求項12】
前記クライアントコンピューティングデバイスによって前記Webページを実行するため、前記少なくとも1つのプロセッサは、前記少なくとも1つのスクリプトを実行して前記Webページの前記少なくとも1つの要素に関するデータを収集するよう構成される、請求項11に記載のシステム。
【請求項13】
前記少なくとも1つのプロセッサはさらに、
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較するよう構成され、
前記Webページの前記少なくとも1つの要素を異常であると判定し識別することは、下記(1)?(3)のうち少なくとも1つを検出することを含む、請求項9に記載のシステム。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項14】
前記少なくとも1つのプロセッサはさらに、前記少なくとも1つの要素が異常でないことを検出すると、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルを前記Webページの統計モデルに追加するよう構成される、請求項13に記載のシステム。
【請求項15】
前記少なくとも1つのプロセッサは、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルに用いられるWebページの総数との比率を決定するよう構成され、
前記少なくとも1つの要素に関連するWebページの数には、前記少なくとも1つの要素又はそのN次元空間におけるN次元ベクトル間の距離が選択された閾値未満である近傍の要素を含むWebページの数が含まれる、請求項10に記載のシステム。
【請求項16】
Webページの異常要素を検出するためのコンピュータ実行可能命令が格納された非一時的コンピュータ可読媒体であって、
Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得させる命令と、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行させる命令と、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定させる命令と、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成させる命令と、
前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成させる命令と、
前記統計モデルを用いてWebページの異常要素を検出させて前記Webページの少なくとも1つの要素を異常であると判定し識別させる命令と、を備え、
前記Webサーバは、
前記Webページの少なくとも1つの要素の異常の検出に応答して前記クライアントコンピューティングデバイスとの接続を無効にし、
前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行し、
前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される、非一時的コンピュータ可読媒体。
【請求項17】
前記Webページのクラスタの前記少なくとも1つのN次元ベクトルと、先に構築された少なくとも1つの前記Webページの統計モデルのN次元ベクトルとを比較させる命令をさらに備え、
前記Webページの前記少なくとも1つの要素を以上であると判定し識別させる命令は、下記(1)?(3)のうち少なくとも1つを検出する、請求項16に記載の非一時的コンピュータ可読媒体。
(1)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルクラスタの中心との距離が、前記クラスタの半径よりも大きい。
(2)N次元空間における、前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタの中心との間の近接度が、第1の選択された閾値よりも大きい。
(3)N次元空間における、前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルと、前記Webページの統計モデルのクラスタのN次元ベクトルのうちクラスタ中心から最も離れたベクトルとの間の近接度が、第2の選択された閾値よりも大きい。
【請求項18】
前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルで用いられるWebページの総数との比率を決定させる命令をさらに備える、請求項17に記載の非一時的コンピュータ可読媒体。」
(以下,これらの請求項を「補正後の請求項」という。)

に補正する。

2 補正の適否
(1)補正後の請求項1に係る補正
補正事項1における,補正後の請求項1に係る補正は,補正前の請求項1に記載された発明を特定するために必要な事項である「Webサーバ」の動作について,上記1(1)の補正後の請求項1に記載したとおり限定を付加するものであって,補正前の請求項1に記載された発明と補正後の請求項1に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるから,特許法第17条の2第5項第2号の特許請求の範囲の減縮を目的とするものに該当する。
そこで,補正後の請求項1に記載される発明(以下,「本件補正発明」という。)が同条第6項において準用する同法第126条第7項の規定に適合するか(特許出願の際独立して特許を受けることができるものであるか)について,以下,検討する。

ア 本件補正発明
本件補正発明は,上記1(1)の補正後の請求項1に記載したとおりのものである。

イ 記載要件
(ア)本願の明細書の記載
本願の明細書には,次のとおりの記載がある。(下線は,参考のため当審で付与した。)

A 「 【0042】
要素の統計的有意性は、モデル構築のために取得したWebページの総数又は所定のセクション(評価セクション)においてモデルの構築のために取得したWebページの数に対する、評価対象の要素がWebページのコンテンツ内で見つかった回数の比とする。ここで、セクションの範囲は、例えば要素の観測の開始時間のような特定の時間以降に、モデルの構築のため得られたWebページの数によって決定される。例えば、100ページを取得し、評価対象の要素が30回見つかった場合、統計的有意性は30%である。」

B 「 【0061】
別の例では、Webサーバ130は、Webページ100の異常要素を検出すると、Webクライアント110及びユーザのデバイス120との接続を無効にするか、又は、その接続は維持するもののWebサーバ130がクライアント110の要求に対する応答を停止する(接続によるデータ送信を停止する)よう構成される。データ送信が停止している間、検出されたWebページの異常要素は、悪意のある機能(危険性)の存在を理由に、コントロールサーバ150のアンチウィルス手段(図示せず)によりスキャンされるか、又は監視される。閾値を超える統計的有意性を有するクラスタが検出した要素の周囲に形成される場合には、検出された異常要素は安全であると識別され、接続が再確立され、セッションが継続される。」

(イ)明確性
本件補正発明の「要素の統計的有意性」との発明特定事項について,「統計的優位性」との文言は,当該技術分野における一般的な技術用語ではなく,特許請求の範囲の記載からもその意味するところが明らかでなく,その特定しようとする事項を明確に把握することができない。
この点に関し,明細書における上記(ア)Aの記載事項からは,「要素の統計的有意性」は,「モデル構築のために取得したWebページの総数又は所定のセクション(評価セクション)においてモデルの構築のために取得したWebページの数に対する、評価対象の要素がWebページのコンテンツ内で見つかった回数の比」であることが理解されるところであるが,本件補正発明における「要素の統計的有意性」も,同記載におけるのと同じものを表すものであるかが不明確である。
よって,本件補正発明は,明確でない。

(ウ)サポート要件
A 本件補正発明は,「前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために前記Webページの前記少なくとも1つの要素に対してアンチウィルススキャンを実行」するものである。
これに対応するものとして,本願明細書の発明の詳細な説明には,上記(ア)Bの記載事項にあるように,「データ送信が停止している間、検出されたWebページの異常要素は、悪意のある機能(危険性)の存在を理由に、コントロールサーバ150のアンチウィルス手段(図示せず)によりスキャンされる」ことが記載されており,当該記載における,「アンチウィルス手段によるスキャン」が,本件補正発明の「アンチウィルススキャン」に対応するものと認められる。しかしながら,本願明細書の発明の詳細な説明には,上記(ア)Bの記載事項にあるように,要素に対する上記「アンチウィルス手段によるスキャン」を,「データ送信が停止している間」に「悪意のある機能(危険性)の存在を理由に」行うことについては記載されているが,本件補正発明のように「前記少なくとも1つの要素の統計的有意性を閾値に関して少なくとも決定するために」行うことについてまでは記載されていない。

B 本件補正発明は,「前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答して、前記少なくとも1つの要素が安全であると識別し前記クライアントコンピューティングデバイスとの接続を再確立するよう構成される」ものである。
これに対応するものとして,本願明細書の発明の詳細な説明には,上記(ア)Bの記載事項にあるように,「閾値を超える統計的有意性を有するクラスタが検出した要素の周囲に形成される場合には、検出された異常要素は安全であると識別され、接続が再確立され、セッションが継続される」ことが記載されており,当該記載における,「検出された異常要素は安全であると識別され」ることが,本件補正発明の「前記少なくとも1つの要素が安全であると識別」することに対応するものと認められる。しかしながら,本願明細書の発明の詳細な説明には,上記(ア)Bの記載事項にあるように,検出された異常要素は安全であると識別されるのは,「閾値を超える統計的有意性を有するクラスタが検出した要素の周囲に形成される場合」であることについては記載されているが,本件補正発明のように,「前記少なくとも1つの要素の統計的有意性が閾値よりも大きいことの検出に応答し」たものであることについては記載されていない。

C 上記A及びBでの検討から,本件補正発明は,発明の詳細な説明に記載された発明で,発明の詳細な説明の記載により当業者が当該発明の課題を解決できると認識できる範囲のものでなく,また,当業者が出願時の技術常識に照らし当該発明の課題を解決できると認識できる範囲のものでないことが明らかであるから,発明の詳細な説明に記載したものでない。

(エ)以上のとおり,本願は,特許請求の範囲の記載が本件補正発明について不備のため,特許法第36条第6項第2号及び同項第1号に規定する要件を満たしていない。

ウ したがって,本願は,本件補正発明について,特許法第36条第6項第2号及び同項第1号に規定する要件を満たしておらず,特許出願の際独立して特許を受けることができないものであるから,補正事項1を含む本件補正は,特許法第17条の2第6項において準用する同法第126条第7項の規定に違反する。

(2)補正後の請求項8に係る補正
ア 特許請求の範囲の減縮
補正事項1における,補正後の請求項1に係る補正は,上記(1)で検討したとおり,補正前の請求項1を限定的に減縮するものである。
また,補正後の請求項2-7と補正前の請求項2-6,8とは,その記載内容及び請求項の引用関係が実質的に同じであることから,補正前の請求項2-6,8のそれぞれに対し,補正前の請求項1と同様に限定的に減縮する補正を行ったものが,補正後の請求項2-7であると認められるから,補正事項1における,補正後の請求項2-7に係る補正は,補正前の請求項2-6,8を限定的に減縮するものである。

他方,補正後の請求項8は補正後の請求項1を引用しているのに対し,補正前の請求項9は補正前の請求項8を引用している。このため,補正前の請求項8に記載され,補正前の請求項8を引用することで補正前の請求項9にも記載されていた「前記Webページの前記少なくとも1つの要素の前記少なくとも1つのN次元ベクトルが前記Webページの統計モデルに対応していないことの検出に応答して、前記少なくとも1つの要素に関連するWebページの数と、前記Webページの統計モデルに用いられるWebページの総数との比率を決定するステップをさらに備える、」との発明特定事項(補正後の請求項7に記載された発明特定事項に対応)は,補正後の請求項8からは削除されている。すなわち,補正事項1における,補正後の請求項8に係る補正は,補正前の請求項9に対し,上記の発明特定事項を削除する補正を行うものであるから,補正前の請求項9を限定的に減縮したものではない。
そして,補正前の特許請求の範囲に記載された発明のうち,方法の発明が記載されるのは補正前の請求項1-9であり,このうち,補正前の請求項1-6,8を限定的に減縮する補正を行ったものがそれぞれ補正後の請求項1-7であるから,補正後の請求項8は,補正前の請求項1-6,8を限定的に減縮したものでもない。
さらに,補正後の請求項8の「前記少なくとも1つの要素に関連するWebページの数には、前記少なくとも1つの要素又はそのN次元空間におけるN次元ベクトル間の距離が選択された閾値未満である近傍の要素を含むWebページの数が含まれる、」との記載事項は,「前記少なくとも1つの要素に関連するWebページの数」を限定的に減縮するものといえるが,補正前の請求項7には,当該「少なくとも1つの要素に関連するWebページの数」は記載されていないから,補正後の請求項8は,補正前の請求項7を限定的に減縮したものとすることもできない。

したがって,補正事項1における,補正後の請求項8に係る補正は,特許請求の範囲の減縮を目的とするものではない。

イ 請求項の削除,誤記の訂正,明りょうでない記載の釈明
また,補正事項1における,補正後の請求項8に係る補正は,請求項の削除,誤記の訂正,明りょうでない記載の釈明のいずれを目的とするものではないことも明らかである。

ウ 小括
したがって,補正事項1における,補正後の請求項8に係る補正は,特許法第17条の2第5項第1号ないし第4号に掲げる事項を目的とするものではないから,補正事項1を含む本件補正は,特許法第17条の2第5項の規定に違反する。

3 本件補正についてのむすび
以上のとおり,補正事項1を含む本件補正は,特許法第17条の2第6項において準用する同法第126条第7項の規定,及び,特許法第17条の2第5項の規定に違反するから,同法第159条第1項の規定において読み替えて準用する同法第53条第1項の規定により却下すべきものである。
よって,上記補正の却下の決定の結論のとおり決定する。


第3 本願発明について

1 本願発明
令和1年10月3日にされた手続補正は,上記第2のとおり却下されたので,本願の請求項に係る発明は,平成30年12月3日になされた誤訳訂正書の提出により補正された特許請求の範囲の請求項1ないし20に記載された事項により特定されるものであるところ,その請求項1に係る発明(以下,「本願発明」という。)は,上記第2[理由]1(1)の補正前の請求項1に記載したとおりのものである。

2 原査定の拒絶の理由
原査定の拒絶の理由は,この出願の請求項1ないし20に係る発明は,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった下記の引用文献1に記載された発明に基づいて,その優先日前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができない,というものである。

引用文献1.米国特許出願公開第2014/0283067号明細書

3 引用文献の記載及び引用発明
(1)引用文献1
ア 本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった引用文献であって,原審の拒絶の査定の理由である上記平成30年9月4日付けの拒絶理由通知において引用文献1として引用された米国特許出願公開第2014/0283067号明細書(以下,「引用文献1」という。)には,図面とともに次の記載がある。(当審注:下線は,参考のために当審で付与したものである。)

「[0035] The system 100 may include one or more sets of web servers 102 for providing content, a security subsystem 104 for each set of web servers 102, a load balancer 120 for each set of web servers 102, a central security system 105, and client computing devices 110 that are connected to a network 108 and that may communicate with the web servers 102 through the network 108. Each set of web servers 102 may serve a domain for a particular website. FIG. 1A depicts an example embodiment of multiple sets of web servers 102 that serve a plurality of web domains, and FIG. 1B depicts an example embodiment of one such set of web servers 102 that serves a domain for a particular website.
[0036] The web servers 102 can respond to requests from the client devices 110 with a resource, such as a web page, an e-mail, a PDF, or other media file.」
(当審訳:[0035]システム100は,コンテンツを提供するためのウェブサーバ102の一つ以上のセット,ウェブサーバ102の各セットのためのセキュリティサブシステム104,ウェブサーバ102の各セットのためのロードバランサ120,セントラルセキュリティシステム105,及び,ネットワーク108に接続され,ネットワーク108を通じてウェブサーバ102と通信するクライアントコンピューティングデバイス110を含んでよい。ウェブサーバ102の各セットは,特定のウェブサイトのドメインを提供してよい。図1Aに記載されるのは,複数のウェブドメインを提供するウェブサーバの複数のセットの実施例の例であり,図1Bに記載されるのは,特定のウェブサイトのドメインを提供するウェブサーバ102の一つのそうしたセットの実施例の例である。
[0036]ウェブサーバ102は,クライアントデバイス110からの要求に対し,ウェブページ,電子メール,PDF,又は,その他のメディアファイルといったリソースで応答することができる。)

「[0069] The reduction processes may include a hash function that is performed on portions of the DOM. Representations of differences in the DOM that occur over time while a web page executes or before and after an event such as a user selection occurs can also be collected and reported by the instrumentation code 115. The instrumentation code 115 may also be configured to identify portions of the DOM that are likely to be most relevant to determining information about possible alien content. For instance, the instrumentation code 115 may target portions of the DOM that are most likely to be affected by abnormal behavior and/or alien content such as elements that load content or introduce content such as images or scripts, that direct the user to another location (e.g., a link), that collect information from a user such as form fields, AJAX calls, or elements that can be used to modify the DOM.」
(当審訳:[0069]削減プロセスは,DOMの部分に対して行われるハッシュ機能を含んでよい。ウェブページが実行される間,または,ユーザによる選択といったイベントが起こる前及び後,時間の経過とともに生じたDOMにおける表現の差異もまた,計装コード115によって収集され,報告されることができる。計装コード115はまた,あり得べきエイリアンコンテンツに関する情報を決定することに最も関連がありそうなDOMの部分を識別するように構成されてよい。例えば,計装コード115は,画像やスクリプトといったコンテンツをロードしまたは導入する要素,ユーザを他の場所へ指示する要素(例えば,リンク),フォームのフィールド,AJAXコールといった,ユーザから情報を収集する要素,又は,DOMを修正するために用いることができる要素といった,異常な動作,及び/又は,エイリアンコンテンツによる影響を最も受けそうなDOMの部分を対象としてよい。)

「[0103] FIG. 3 is a flow chart of an example process for serving instrumented code and monitoring client devices to identify alien content. The operations in the flow chart depicted in FIG. 3 can be performed in some implementations by system 100 and/or system 200 as described herein for greater clarity, or may be implemented by other systems.
[0104] At 304, the process begins by instrumenting an electronic resource requested by one or more client devices 110 with code that can collect information about the execution of the resource at the client device 110. Such instrumentation code 115 may execute in coordination with the electronic resource and can generate reports about information that it has collected to send to a security system for analysis. In some implementations, the security system may be an intermediary system such as the security subsystem 104 in system 100 that may process, modify, instrument, and/or analyze traffic between a set of web servers 102 and client devices 110. In other implementations, the security system that receives and analyzes reports from instrumentation code 115 may be a central security system 105 that can collect reports from code that was instrumented by multiple security subsystems 104 that may each serve different sets of web servers 102. Instrumentation reports from the instrumentation code 115 may be generated and reported periodically during execution of the resource on the client device 115, upon request, upon detection of one or more defined events, and/or in coordination with user interaction with the resource, for example. The resource may be any content provided to a client device 110 upon request, including a web page.」
(当審訳:[0103]図3は,計装コードの提供,及び,エイリアンコンテンツを識別するためのクライアントデバイスの監視のための例示的プロセスのフローチャートである。図3に記載されるフローチャートにおける操作は,さらなる明確性のためにここに記載されるように,いくつかの実装においては,システム100及び/又はシステム200によって行われることができ,また,他のシステムによって実装されてもよい。
[0104]304において,そのプロセスは,一つ以上のクライアントデバイス110によって要求される電子的リソースを,クライアントデバイス110におけるリソースの実行に関する情報を収集することができるコードで計装することにより,開始する。そのような計装コード115は,電子的リソースと協調して実行され,分析のためにセキュリティシステムに送信するために集めた情報に関するレポートを生成することができる。いくつかの実装においては,セキュリティシステムは,ウェブサーバ102のセットとクライアントデバイス110の間のトラフィックを処理し,修正し,計装し,及び/又は,分析してよいシステム100におけるセキュリティサブシステム104といった中間システムであってよい。他の実装においては,計装コード115からレポートを受信し分析するセキュリティシステムは,それぞれが異なるセットのウェブサーバ102を提供する複数のセキュリティサブシステム104により計装されたコードからのレポートを収集することができるセントラルセキュリティシステム105であってよい。計装コード115からの計装レポートは,例えば,リクエスト時に,一つ以上の定義されたイベントの検知時に,及び/又は,リソースとのユーザインタラクションと協調して,クライアントデバイス115におけるリソースの実行の間に,定期的に生成され報告されてよい。リソースは,リクエスト時にクライアントデバイス110に提供される,ウェブページを含むコンテンツであってよい。)(当審注:上記「クライアントデバイス115」は,「クライアントデバイス110」の誤記であると思われる。)

「[0107] At 306, the security system receives data from the client devices 110 that characterizes subsets of particular DOMS for web pages that executed on the client devices 110. The data that characterizes subsets of the particular DOMS can include compact representations of the DOM that were generated by the instrumented code 115 that the security system provided to the client devices 110 in association with a requested resource, or any other information collected by the instrumented code 115.」
(当審訳:[0107]306で,セキュリティシステムは,クライアントデバイス110から,クライアントデバイス110で実行されるウェブページの特定のDOMのサブセットを特徴付けるデータを受信する。特定のDOMのサブセットを特徴付けるデータは,要求されたリソースに関連してセキュリティシステムがクライアントデバイス110に提供した計装コード115により生成されたコンパクトなDOM表現,または,計装コード115により収集された他の情報を含むことができる。)

「[0110] At 310, the process identifies data clusters among the large amounts of data that has been received regarding the DOM, context, and activity information of web pages that executed on particular client devices 110. Identifying clusters can be accomplished using any of the techniques described herein, such as those respect to FIG. 1. For example, data that characterizes information about the DOM of particular web pages across multiple page loads at various client devices 110 can be plotted in a hyperplane 106. The security system may plot and analyze the hyperplane 106 to identify data clusters. Nodes that each have particular locations in the hyperplane 106 may each represent an instance of data for one representation of a DOM. Absolute and relative locations of the nodes in the hyperplane 106 can indicate clusters, which may be identified based on, for example, a density of nodes in a given area of the hyperplane 106.
[0111] At 312, the process identifies alien content using the identified clusters. Alien content may include any content corresponding to a particular web page at a client device that is not the result of content that was served to execute the page. For example, a web server 102 may provide HTML, JavaScript, and CSS files to a client device 110, which a browser at the client 110 can use to build a DOM for the web page and display the page to a user who may interact with the web page. If a browser plug-in (benign) or a man-in-the-browser (malicious) surreptitiously interacts with the DOM in a way that would not be expected given the provided HTML, JavaScript, and CSS that were delivered for the web page, such interaction can constitute abnormal or anomalous computing behavior resulting from alien content.」
(当審訳:[0110]310において,プロセスは,特定のクライアントデバイス110で実行されるウェブページのDOM,コンテキスト,及び,アクティビティ情報に関して受信された大量のデータの中からデータクラスタを識別する。クラスタを識別することは,図1に関するもののような,ここに記載されるいずれの技巧を用いて完遂されることができる。例えば,様々なクライアントデバイス110における複数のページロードにまたがる特定のウェブページのDOMに関する情報を特徴付けるデータは,ハイパープレーン106にプロットされることができる。セキュリティシステムは,データクラスタを識別するために,ハイパープレーン106をプロットし分析してよい。それぞれがハイパープレーン106において特定の位置を有するノードのそれぞれは,一つのDOM表現のためのデータのインスタンスを表してよい。ハイパープレーン106におけるノードの絶対的及び相対的位置は,例えば,ハイパープレーン106のある領域におけるノードの密度に基づいて識別されてよいクラスタを示すことができる。
[0111]312において,プロセスは,識別されたクラスタを用いてエイリアンコンテンツを識別する。エイリアンコンテンツは, クライアントデバイスにおけるある特定のウェブページであって,ページを実行するために提供されたコンテンツの結果ではないウェブページに対応するいずれのコンテンツを含んでよい。例えば,ウェブサーバ102は,クライアント110におけるブラウザが,そのウェブページのDOMを構築し,そのウェブページと相互作用するユーザにそのページを表示するために使用することができるHTML,JavaScript,及び,CSSファイルをクライアントデバイス110に提供してよい。ブラウザプラグイン(安全である),または,マン・イン・ザ・ブラウザ(悪意ある)が,そのウェブページのために配信された提供されるHTML,JavaScript,及び,CSSからは期待されない態様で密かにDOMと相互作用する場合,そのような相互作用は,エイリアンコンテンツに起因する異常な,又は,普通でないコンピューティング動作を構成し得る。)

「[0114] In some implementations, the hyperplane 106 may be defined by dimensions that correspond to particular features of the web pages that have been identified as being relevant to determining whether the actions are benign or malicious. For example, the hyperplane 106 may have dimensions that correspond to objects that a user selects on the web page.」
(当審訳:[0114]いくつかの実装においては,ハイパープレーン106は,アクティビティが安全である又は悪意があるかを決定するために関連があると識別された,ウェブページの特定の特徴に対応する次元によって定義されてよい。例えば,ハイパープレーン106は,ユーザアがウェブページ上で選択したオブジェクトに対応する次元を有してよい。)

イ 上記アの記載について検討すると,次のとおりである。
(ア)上記アの記載における,「クライアントコンピューティングデバイス110」と「クライアントデバイス110」とは,付加されている番号が同じであること,及び,引用文献1の記載全体に鑑み,同じ対象を表していると認められる。
また,[0104]の記載における「クライアントデバイス115」は,「クライアントデバイス110」の誤記であると思われる。

(イ)[0103]の記載について,上記(ア)での検討も踏まえると,図3のフローチャートには,「エイリアンコンテンツを識別するためのクライアントコンピューティングデバイスの監視のためのプロセス」が記載されているといえる。
また,「図3に記載されるフローチャートにおける操作」とは,上記「プロセス」における操作であることが明らかである。

ウ 上記アの記載,及び,上記イでの検討を踏まえると,引用文献1には,以下の発明(以下,「引用発明」という。)が記載されているものと認められる。

「 エイリアンコンテンツを識別するためのクライアントコンピューティングデバイスの監視のためのプロセスであって, 当該プロセスにおける操作は,システム100によって行われることができ,
システム100は,コンテンツを提供するためのウェブサーバ102の一つ以上のセット,ウェブサーバ102の各セットのためのセキュリティサブシステム104,ウェブサーバ102の各セットのためのロードバランサ120,セントラルセキュリティシステム105,及び,ネットワーク108に接続され,ネットワーク108を通じてウェブサーバ102と通信するクライアントコンピューティングデバイス110を含んでよく,
ウェブサーバ102は,クライアントコンピューティングデバイス110からの要求に対し,ウェブページといったリソースで応答することができ,

そのプロセスは,一つ以上のクライアントコンピューティングデバイス110によって要求される電子的リソースを,クライアントコンピューティングデバイス110におけるリソースの実行に関する情報を収集することができるコードで計装することにより,開始し,そのような計装コード115は,電子的リソースと協調して実行され,分析のためにセキュリティシステムに送信するために集めた情報に関するレポートを生成することができ,計装コード115からの計装レポートは,クライアントコンピューティングデバイス110におけるリソースの実行の間に,定期的に生成され報告されてよく,リソースは,リクエスト時にクライアントコンピューティングデバイス110に提供される,ウェブページを含むコンテンツであってよく,
計装コード115は,要素といった,異常な動作,及び/又は,エイリアンコンテンツによる影響を最も受けそうなDOMの部分を対象としてよく,
セキュリティシステムは,クライアントコンピューティングデバイス110から,クライアントコンピューティングデバイス110で実行されるウェブページの特定のDOMのサブセットを特徴付けるデータを受信し,

プロセスは,特定のクライアントコンピューティングデバイス110で実行されるウェブページのDOMに関して受信された大量のデータの中からデータクラスタを識別し,
セキュリティシステムは,データクラスタを識別するために,ハイパープレーン106をプロットし分析してよく,それぞれがハイパープレーン106において特定の位置を有するノードのそれぞれは,一つのDOM表現のためのデータのインスタンスを表してよく,
ハイパープレーン106におけるノードの絶対的及び相対的位置は,例えば,ハイパープレーン106のある領域におけるノードの密度に基づいて識別されてよいクラスタを示すことができ,

プロセスは,識別されたクラスタを用いてエイリアンコンテンツを識別し,

ブラウザプラグイン(安全である),または,マン・イン・ザ・ブラウザ(悪意ある)が,そのウェブページのために配信された提供されるHTML,JavaScript,及び,CSSからは期待されない態様で密かにDOMと相互作用する場合,そのような相互作用は,エイリアンコンテンツに起因する異常な,又は,普通でないコンピューティング動作を構成し得,

ハイパープレーン106は,アクティビティが安全である又は悪意があるかを決定するために関連があると識別された,ウェブページの特定の特徴に対応する次元によって定義されてよい

プロセス。」

4 対比
本願発明と引用発明とを対比する。

(1)引用発明は,「ブラウザプラグイン(安全である),または,マン・イン・ザ・ブラウザ(悪意ある)が, そのウェブページのために配信された提供されるHTML,JavaScript,及び,CSSからは期待されない態様で密かにDOMと相互作用する場合,そのような相互作用は,エイリアンコンテンツに起因する異常な,又は,普通でないコンピューティング動作を構成し得」るものであるところ,引用発明の「エイリアンコンテンツ」は,ウェブページに対して異常をもたらす要素であるといえるから,本願発明の「Webページの異常要素」に相当する。

(2)引用発明は,「エイリアンコンテンツを識別するためのクライアントコンピューティングデバイスの監視のためのプロセス」であるところ,引用発明の「プロセス」は,エイリアンコンテンツを識別するための方法であるといえる。
また,引用発明は,「当該プロセスにおける操作は,システム100によって行われることができ」るものであり,引用発明の「システム100」は,「コンテンツを提供するためのウェブサーバ102の一つ以上のセット,ウェブサーバ102の各セットのためのセキュリティサブシステム104,ウェブサーバ102の各セットのためのロードバランサ120,セントラルセキュリティシステム105,及び,ネットワーク108に接続され,ネットワーク108を通じてウェブサーバ102と通信するクライアントコンピューティングデバイス110を含んでよ」いものであるところ,コンピュータにより構成されていることが明らかであるから,引用発明の「プロセス」は,コンピュータにより実装される方法であるといえる。
してみると,引用発明の「プロセス」は,エイリアンコンテンツを識別するためのコンピュータにより実装される方法であるといえるから,上記(1)での検討も踏まえると,本願発明と引用発明とは,後記する点で相違するものの,「Webページの異常要素を検出するためのコンピュータ実装方法」である点において共通する。

(3)ウェブサイトはウェブページの集合体として構成されるものであることが,本願の優先日前の技術常識であるところ,当該技術常識に照らせば,引用発明の「ウェブページ」は, ウェブサイトに紐付いたものであるといえる。
また,引用発明は,「ウェブサーバ102は,クライアントコンピューティングデバイス110からの要求に対し,ウェブページといったリソースで応答することができ」るものであるところ,引用発明においては,クライアントコンピューティングデバイス110が,ウェブサーバ102に対してウェブページを要求していることが明らかである。そして,当該ウェブページを要求することは,上記技術常識に照らせば,当該ウェブページが紐付いたウェブサイトへアクセスを行うことと同義であることが理解される。
してみれば,引用発明は,クライアントコンピューティングデバイス110が,ウェブサーバ102に対してウェブサイトに紐付いたウェブページを要求し,そのことによって,クライアントコンピューティングデバイス110によってウェブサイト102へアクセスを行うステップを備えるものであるといえるから,本願発明と引用発明とは,「Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得するステップ」を備えるものである点において共通する。

(4)引用発明は,「そのプロセスは,一つ以上のクライアントコンピューティングデバイス110によって要求される電子的リソースを,クライアントコンピューティングデバイス110におけるリソースの実行に関する情報を収集することができるコードで計装することにより,開始し,そのような計装コード115は,電子的リソースと協調して実行され,分析のためにセキュリティシステムに送信するために集めた情報に関するレポートを生成することができ,計装コード115からの計装レポートは,クライアントコンピューティングデバイス110におけるリソースの実行の間に,定期的に生成され報告されてよく,リソースは,リクエスト時にクライアントコンピューティングデバイス110に提供される,ウェブページを含むコンテンツであってよ」いものである。すなわち,引用発明は,クライアントコンピューティングデバイス110において,計装コード115と電子的リソースであるウェブページが協調して実行されることにより,当該ウェブページの実行に関する情報を収集するものであるところ,クライアントコンピューティングデバイス110によって,ウェブページに関するデータを収集するために当該ウェブページを実行するステップを備えるといえるから,本願発明と引用発明とは,「前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行するステップ」を備えるものである点において共通する。

(5)引用発明は,「セキュリティシステムは,クライアントコンピューティングデバイス110から,クライアントコンピューティングデバイス110で実行されるウェブページの特定のDOMのサブセットを特徴付けるデータを受信」するものであり,また,「セキュリティシステムは,データクラスタを識別するために,ハイパープレーン106をプロットし分析してよく,それぞれがハイパープレーン106において特定の位置を有するノードのそれぞれは,一つのDOM表現のためのデータのインスタンスを表してよ」いものであるところ,ハイパープレーン106にプロットされるノードは,クライアントコンピューティングデバイス110から受信した,クライアントコンピューティングデバイス110で実行されるウェブページの特定のDOMのサブセットを特徴付けるデータに基づいてプロットされたものであるといえる。ここで,当該「クライアントコンピューティングデバイス110から受信した,クライアントコンピューティングデバイス110で実行されるウェブページの特定のDOMのサブセットを特徴付けるデータ」は,「収集したクライアントコンピューティングデバイスで実行されるウェブページに関する情報」と言い換えることができ,また,上記ノードのプロットに際し,当該ノードについて決定を行っていることは明らかであるから,引用発明は,当該収集したクライアントコンピューティングデバイスで実行されるウェブページに関する情報に基づいて当該ノードを決定するものであるといえる。
また,引用発明は,「ハイパープレーン106は,アクティビティが安全である又は悪意があるかを決定するために関連があると識別された,ウェブページの特定の特徴に対応する次元によって定義されてよい」ものであるところ,上記の収集したクライアントコンピューティングデバイスで実行されるウェブページに関する情報に基づいてハイパープレーン106にプロットされるノードは,当該ウェブページの特定の特徴に対応する次元を有しているものと認められ,当該次元が複数次元であることは,引用文献1の英語原文の記載「dimensions that correspond to particular features of the web pages」から明らかである。よって,引用発明の「ノード」は,本願発明の「N次元ベクトル」に相当する。
したがって,引用発明は,収集したクライアントコンピューティングデバイスで実行されるウェブページに関する情報に基づいて,ノードを決定するステップを備えるものであるといえるから,本願発明と引用発明とは,「少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定するステップ」を備えるものである点において共通する。

(6)引用発明の「プロセス」は,「特定のクライアントコンピューティングデバイス110で実行されるウェブページのDOMに関して受信された大量のデータの中からデータクラスタを識別」するものであり,また,「ハイパープレーン106におけるノードの絶対的及び相対的位置は,例えば,ハイパープレーン106のある領域におけるノードの密度に基づいて識別されてよいクラスタを示すことができ」るものであるところ,引用発明は,ハイパープレーン106におけるノードに基づいてデータクラスタを識別しているといえる。
ここで,引用発明における「ノード」は,上記(5)での検討から,本願発明の「N次元ベクトル」に相当するものであるところ,N個のスカラー値の組を含むものと認められ,当該N個のスカラー値の組は,N次元空間内のベクトルの座標の値の組であるといえる。そして,引用発明において,上記識別されるデータクラスタ内に,少なくとも1つのノードが含まれることが明らかであるから,上記識別されるデータクラスタは,「N次元空間内のベクトルの座標の値の組」を含むといえる。

また,引用発明は,「計装コード115は,要素といった,異常な動作,及び/又は,エイリアンコンテンツによる影響を最も受けそうなDOMの部分を対象としてよ」いものであるところ,計装コード115が収集するDOMに関する情報は,DOMの部分である要素に関する情報とすることができるものであり,この場合,引用発明の「ノード」は,上記(5)で検討したとおり,「一つのDOM表現のためのデータのインスタンスを表してよ」いものであるから,DOMの部分である要素に対応するものであるといえる。そして,引用発明の当該「DOMの部分である要素」が,本願発明の「要素」に相当するものであることは,技術常識に照らし明らかである。

してみれば,引用発明は,ハイパープレーンにおけるノードに基づいて,DOMの部分である要素に対応するノードに対応するN次元空間内のベクトルの座標の値の組を含むデータクラスタを識別するステップを備えるものであるといえるから,本願発明と引用発明とは,上記(5)での検討も踏まえると,「前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成するステップ」を備えるものである点において共通する。

(7)引用発明の「プロセス」は,「識別されたクラスタを用いてエイリアンコンテンツを識別」するものであるから,エイリアンコンテンツを識別するステップを備えているといえる。
これに対し,本願発明は,「前記少なくとも1つのクラスタに基づいて、前記Webページの統計モデルを作成するステップ」と,「前記統計モデルを用いて前記Webページの異常要素を検出するステップ」とを備えるものである。
よって,本願発明と引用発明とは,後記する点で相違するものの,「前記Webページの異常要素を検出するステップ」を備えるものである点において共通する。

(8)以上から,本願発明と引用発明とは,以下の点で一致し,また,相違する。

(一致点)
「Webページの異常要素を検出するためのコンピュータ実装方法であって、
Webサーバを介してWebサイトに紐づいた前記Webページを要求し、クライアントコンピューティングデバイスによって前記Webサイトへのアクセスを取得するステップと、
前記クライアントコンピューティングデバイスによって、前記Webページに関するデータを収集するために前記Webページを実行するステップと、
少なくとも前記収集したデータに基づいて、少なくとも1つのN次元ベクトルを決定するステップと、
前記少なくとも1つのN次元ベクトルに基づいて、N次元空間内の前記Webページの少なくとも1つの要素についてのベクトルの座標の値の組を含む少なくとも1つのクラスタを作成するステップと、
前記Webページの異常要素を検出するステップと、
を備える、コンピュータ実装方法。」

(相違点1)
本願発明は,少なくとも1つのクラスタに基づいて、Webページの統計モデルを作成するのに対し,引用発明は,そのような特定がなされていない点。

(相違点2)
本願発明は,統計モデルを用いてWebページの異常要素を検出するのに対し,引用発明は,識別されたデータクラスタを用いてエイリアンコンテンツを識別するものである点。

5 判断
以下,相違点について,検討する。

(1)相違点1
本願発明の「Webページの統計モデル」について,当該文言は必ずしも一般的な技術用語ではなく,その内容は,本願の優先日時点における技術常識を参酌しても必ずしも明らかではないところ,本願の明細書を参酌すると,本願の明細書には,次の記載がある(下線は,参考のため当審が付与した。)。

「 【0040】
Webページの統計モデル(Webページのモデル)は、Webページの全ての種類の要素及び/又は要素グループ(異なる種類の要素を備えた要素グループを含む)のクラスタの集合を含む。例えば、認証ページの統計モデルである。言い換えると、Webページの統計モデル230は、Webページの要素のモデル220の集合を含む。同様に、Webサイトの統計モデルは、Webサイトの全種類の要素及び/又は要素グループのクラスタの集合を含む。つまり、Webサイトの統計モデル(図示せず)は、Webページのモデル230の集合を含むことになる。」

上記記載を参酌すると,本願発明の「Webページの統計モデル」は,「Webページの全ての種類の要素及び/又は要素グループ(異なる種類の要素を備えた要素グループを含む)のクラスタの集合を含む」モデルであると認められる。

これに対し,引用発明は,「受信された大量のデータの中からデータクラスタを識別」するものであり,当該識別されるデータクラスタが複数のデータクラスタであることは,これに対応する引用文献1の英語原文の記載「the process identifies data clusters among the large amounts of data that has been received」(下線は,当審で付与した。)から明らかであるから,引用発明においては,複数のデータクラスタ,すなわち,データクラスタの集合が識別されているといえる。そして,当該データクラスタの集合の識別は,少なくとも1つのデータクラスタに基づいて行われていることが明らかであり,また,データクラスタの集合を識別することは,当該データクラスタの集合を含むモデルを作成することであるといえるから,引用発明も,少なくとも1つのデータクラスタに基づいて,データクラスタの集合を含むモデルを作成しているといえる。

また,引用発明において,上記識別されるデータクラスタの集合内のデータクラスタには,上記4(6)で検討したとおり,少なくとも1つのノードが含まれ,当該ノードは,DOMの部分である要素に対応するものであるといえるところ,当該データクラスタは,DOMの部分である要素に対応するものであるといえるが,当該識別されるデータクラスタの集合が,DOMの部分である要素の全ての種類に対応するデータクラスタを含むことは,特定されていない。すなわち,引用発明は,上記4(6)で検討したとおり,「ハイパープレーンにおけるノードに基づいて,DOMの部分である要素に対応するノードに対応するN次元空間内のベクトルの座標の値の組を含むデータクラスタを識別するステップを備えるものであるといえる」ものの,DOMの部分である要素の全ての種類について対応するノードをプロットすることについては,特段特定されていない。
しかしながら,引用発明は,「ブラウザプラグイン(安全である),または,マン・イン・ザ・ブラウザ(悪意ある)が,そのウェブページのために配信された提供されるHTML,JavaScript,及び,CSSからは期待されない態様で密かにDOMと相互作用する場合,そのような相互作用は,エイリアンコンテンツに起因する異常な,又は,普通でないコンピューティング動作を構成し得」るものであり,かかる異常な,又は,普通でないコンピューティング動作の発生を把握するためにかようなエイリアンコンテンツを識別しようとするものであるところ,こうした引用発明の目的に照らせば,DOMの部分である要素の全ての種類について,エイリアンコンテンツを識別しようとすることは,引用文献1に接した当業者であれば当然に行い得るものである。
よって,引用発明において,ハイパープレーンにおけるノードを,DOMの部分である要素の全ての種類についてプロットするように構成することにより,上記識別されるデータクラスタの集合が,DOMの部分である要素の全ての種類に対応するデータクラスタを含むものとすることは,当業者が通常の創作能力を発揮することにより適宜なし得たことである。

(2)相違点2
引用発明は,「識別されたデータクラスタを用いてエイリアンコンテンツを識別」するものであるが,上記(1)で検討したとおり,当該「識別されたデータクラスタ」は,識別されたデータクラスタの集合であり,すなわち,作成されたデータクラスタの集合を含むモデルであるといえるから,引用発明は,作成されたデータクラスタの集合を含むモデルを用いてエイリアンコンテンツを識別するものであるといえる
よって,相違点2は,実質的な相違点ではない。

(3)小括
したがって,本願発明は,引用発明に基づいて当業者が容易に発明をすることができたものである。


第4 むすび

以上のとおり,本願発明は,特許法第29条第2項の規定により特許を受けることができないから,他の請求項に係る発明について検討するまでもなく,本願は拒絶されるべきものである。

よって,結論のとおり審決する。

 
別掲
 
審理終結日 2020-07-15 
結審通知日 2020-07-21 
審決日 2020-08-05 
出願番号 特願2017-126050(P2017-126050)
審決分類 P 1 8・ 121- Z (G06F)
P 1 8・ 57- Z (G06F)
P 1 8・ 575- Z (G06F)
P 1 8・ 56- Z (G06F)
最終処分 不成立  
前審関与審査官 平井 誠  
特許庁審判長 田中 秀人
特許庁審判官 山崎 慎一
▲はま▼中 信行
発明の名称 Webページの異常要素を検出するためのシステム及び方法  
代理人 SK特許業務法人  
代理人 伊藤 寛之  
代理人 奥野 彰彦  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ