• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない(前置又は当審拒絶理由) G06F
管理番号 1226294
審判番号 不服2005-19066  
総通号数 132 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2010-12-24 
種別 拒絶査定不服の審決 
審判請求日 2005-10-03 
確定日 2010-11-02 
事件の表示 特願2001-348967「ファイアウォールサービス提供方法」拒絶査定不服審判事件〔平成14年 8月 2日出願公開、特開2002-215478〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 1.手続の経緯
本願は,平成10年9月7日(パリ条約による優先権主張1997年9月12日,米国)に出願した特願平10-252828号の一部を平成13年11月14日に新たな特許出願としたものであって,平成17年6月30日付けで拒絶査定がなされ,これに対し,同年10月3日に拒絶査定に対する審判請求がなされ,当審において平成21年3月18日付けで拒絶理由通知がなされ,同年9月17日付けで手続補正がなされ,同年10月29日付けで最後の拒絶理由通知がなされたものである。

2.本願発明
本願の請求項1?25に係る発明は,平成21年9月17日付け手続補正書の特許請求の範囲の請求項1?25に記載された事項により特定されるとおりのものであるところ,その請求項1に係る発明(以下,「本願発明1」という。)は次のとおりのものである。
「【請求項1】 コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
前記ファイアウォールが前記要求を許可するには、リモートサーバが実行可能なサービスが必要であるかどうかを確認する確認ステップと、
前記ファイアウォールが前記要求を許可するにはリモートサーバが実行可能なサービスが必要である場合、前記リモートサーバへ前記要求に関連するパケットをリダイレクトして、前記所与のセッションが前記リモートサーバに対してリダイレクトされるようにするステップとからなることを特徴とするファイアウォールサービス提供方法。」

3.引用例
これに対し,当審における平成21年10月29日付けの最後の拒絶理由通知において引用された,本願の優先日前に頒布された刊行物である「庄司健一,セキュリティ構築におけるファイアウォールの活用,日経コンピュータ,日経BP社,1997年6月9日,第419号,p.218?222(以下,「引用例1」という。)には,図面とともに次の技術事項が記載されている。
(イ)「ファイアウォールの設置とDMZの活用
一般的に,パケットフィルタリング,アプリケーションゲートウェイの二つの方式に分類出来る。
パケットフィルタリングは,IPパケットの通過を送信元,送信先のアドレスとポート番号で見て,アクセス制御を行う。新しいアプリケーションにも柔軟に対応でき,更にパフォーマンスが良いという利点があるが,セキュリティの強度は,アプリケーションゲートウェイほど高くはないといえよう。
アプリケーションゲートウェイは,Telnet,ftp,http等のアプリケーションごとに中継サービスを行う。上位層まで見て処理をするため,セキュリティの強度は高度だが,パフォーマンスが良いかどうかの判断が難しい方式である。」(第218頁左欄第1?19行),
(ロ)「また最近では,出張先にノートパソコンを持って行き,出張先から自社内に対しデータを送る,あるいは自社ネットワークに入り込み,データを持ってくるといったMobile Clientからの通信も多くなってきている。そのため,Mobile Client と,自社で構築しているファイアウォールとの間での暗号化通信もファイアウォールの機能として追加されてきている。
例えば,Firewall-1は,1996年8月よりこの「Mobile Client-ファイアウォール」間での暗号化をサポートしており,Firewall-l Gateway (Firewall-1を構築するサーバー)にEncryption Moduleという暗号化のモジュールを入れ,Mobile ClientにはSecuRemoteという機能を入れるだけで暗号化通信を行う事が可能となっている。」(第220頁中欄第15行?同頁右欄第15行),
(ハ)「Javaアプレット,Active X,ウィルスへの対応
ファイアウォールを構築し,外部からの不正アクセスから内部ネットワークを守ることはできるが,ファイアウォールではJavaアプレットの検査,Active Xコントロールの検査,ウィルスチェックを行う機能までは持っていないのが現状である。そこで,ファイアウォールと連携して,Javaアプレット,ActiveXの検査を行うサーバーやウィルスチェックを行うサーバーを用いる方法が登場してきた。
これは,ファイアウォールがあるセグメントまたはファイアウォールがルーティングできるセグメントにJavaアプレット,ActiveX検査用のサーバーを置き,外部からファイアウォールに飛んで来たアプレットを検査用サーバーに投げてチェックさせ,危険あるいは有害なアプレットを破棄する。
ウィルスに関しても同様に,飛んで来たファイルをウィルスチェックサーバーで検査し,ウィルスの除去,破棄等を行う。
現在,数あるファイアウォール製品の中で,Javaセキュリティ,ActiveXセキュリティ,ウィルスチェック機能を持ったものはごくわずかであり,Javaに関しては,アプレットを通す,通さない程度のセキュリティ機能しか持っていないのが現実ではあるが,ファイアウォールのサーバーと,他のセキュリティ機能を持ったサーバーを分割させてウィルス等からLANを守るという事が考えられている。
Firewall-1では,ウイルス検査用機能で連携,制御し,インターネット側から入るファイルをウィルスチェック用サーバーに送る事ができる。ウィルスチェック用サーバーは,ウィルスの除去や,ウィルス感染したファイルそのものの破棄を行う。」(第220頁右欄第16?29行,第222頁左欄第1行?同頁中欄第13行),
また,引用例1第222頁の「図4 DMZにウィルス,Java,ActiveX等の検査サーバーを置いた場合」には,Internetとファイアウォールとがルーターを介して接続されていること,及びDMZに置かれた「検査サーバー」が「ウィルスチェック・Java等のスキャニングサーバー」であることが記載されている。
そして,引用例1に記載された「Javaアプレット,ActiveX検査用のサーバー」や「ウィルスチェック用サーバー」が「セキュリティ機能を持ったサーバー」の一形態であることは明らかである。

上記記載事項及び図面を総合勘案すると,引用例1には,次の発明(以下、「引用例1記載発明」という。)が記載されていると認められる。
「ファイアウォールと連携して,ウィルスチェック等のセキュリティ機能を持ったサーバーを用いる方法であって,ファイアウォールは,暗号化通信もファイアウォールの機能として追加されてきており,IPパケットの通過を送信元,送信先のアドレスとポート番号で見てアクセス制御を行うパケットフィルタリング方式に分類されるものを含み,ファイアウォールは,インターネットとルーターを介して接続され,ファイアウォールがあるセグメントまたはファイアウォールがルーティングできるセグメントにウィルスチェック等のセキュリティ機能を持ったサーバーを置き,外部からファイアウォールに飛んで来たファイルを,ウィルスチェック等のセキュリティ機能を行うサーバーに投げて検査し,ウィルスの除去,破棄等を行ない,ファイアウォールのサーバーと,ウィルスチェック等のセキュリティ機能を持ったサーバーを分割させてウィルス等からLANを守り,ファイアウォール製品であるFirewall-1では,ウイルス検査用機能で連携,制御し,インターネット側から入るファイルをウィルスチェック用サーバーに送る事ができ,ウィルスチェック用サーバーは,ウィルスの除去や,ウィルス感染したファイルそのものの破棄を行う方法。」

4.対比
本願発明1と引用例1記載発明とを比較する。
引用例1記載発明の「インターネット」や「LAN」が,本願発明1の「コンピュータネットワーク」に相当する。
次に,引用例1記載発明の「ウイルス検査用機能」といった「ウィルスチェック等のセキュリティ機能」,及び「暗号化」「の機能」は,本願明細書第0005段落及び第0017段落にそれぞれ「このような複雑なプロトコルに対して,ユーザの代わりにファイアウォールプロセッサ上で並行して走る別個の「プロキシ」プロセスが開発されている。プロキシプロセスは,別の特殊目的アプリケーション,例えば,認証,メール処理,およびウィルススキャンのようなサービスを実行するためにも,開発されている。」,及び「特殊サービスには,例えば,プロキシサービス,ネットワークアドレス翻訳,および,暗号化が含まれる。」と記載されていることからみて,本願発明1の「ファイアウォールサービス」に含まれるサービスといえる。
次に,引用例1記載発明の「ファイアウォール」は,「IPパケットの通過を送信元,送信先のアドレスとポート番号で見て,アクセス制御を行うパケットフィルタリング方式に分類されるものを含」んでいるから,「ファイアウォール」としてかかる「パケットフィルタリング方式に分類される」「ファイアウォール」を用いる場合に,引用例1記載発明の「ルーターを介して」「外部からファイアウォールに飛んで来たファイル」すなわち「インターネット側から入るファイル」が,「インターネット」上の「送信元」(本願発明1でいう「ソース」に相当する。)から「LAN」内の「送信先」(本願発明1でいう「デスティネーション」に相当する。)までのセッションを用いて伝送されることは明らかである。
よって,引用例1記載発明において,かかる「ファイル」を伝送するための「送信元」から「送信先」までのセッションと,本願発明1の「ソースからデスティネーションまでの所与のセッション」とは,「ソースからデスティネーションまでのセッション」である点で一致する。
次に,引用例1記載発明において,「ルーターを介して」「外部から」「パケットフィルタリング方式に分類される」「ファイアウォールに飛び込んで来たファイル」,すなわち「インターネット側から入るファイル」は,「送信元,送信先のアドレスとポート番号」を有する「パケット」によって伝送され,「LAN」内に「通過」することが要求されている「ファイル」であるから,引用例1記載発明において,「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」が「パケットフィルタリング方式に分類される」「ファイアウォール」に「ルーターを介して」「外部から」「飛び込んで来」ること,すなわち「インターネット側から入る」ことと,本願発明1の「ファイアウォールにおいて,ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信する」こととは,「ファイアウォールにおいて,ソースからデスティネーションまでのセッションと関連づけられた要求を受信する」点で一致する。
次に,引用例1記載発明において,「パケットフィルタリング方式に分類される」「ファイアウォール」が,「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」を「LAN」内に「通過」させる制御を行うことと,本願発明1の「ファイアウォールが」「ソースからデスティネーションまでの所与のセッションと関連づけられた」「要求を許可する」こととは,「ファイアウォール」が「ソースからデスティネーションまでのセッションと関連づけられた要求」を「許可」する点で一致する。
次に,引用例1記載発明において,「ルーターを介して」「外部から」「パケットフィルタリング方式に分類される」「ファイアウォールに飛び込んで来たファイル」,すなわち「インターネット側から入るファイル」を伝送する「パケット」は,「送信元,送信先のアドレスとポート番号」を有し,該「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」に関連する「パケット」であるから,引用例1記載発明のかかる「パケット」と本願発明1の「ソースからデスティネーションまでの所与のセッションと関連づけられた要求」「に関連するパケット」とは,「ソースからデスティネーションまでのセッションと関連づけられた要求」「に関連するパケット」の点で一致する。
次に,引用例1記載発明の「ウィルスチェック等のセキュリティ機能を持ったサーバー」は,「ファイアウォール」とは「分割」され,「ファイアウォールがあるセグメントまたはファイアウォールがルーティングできるセグメント」に「置かれ」,「ウィルスチェック等のセキュリティ機能を行う」のために「ファイアウォール」と「連携」するサーバーであるから,本願発明1の「リモートサーバ」に相当するといえる。
そして,引用例1記載発明における「ウィルスチェック等のセキュリティ機能」は,「ウィルスチェック等のセキュリティ機能を持ったサーバー」にて実行されているから,本願発明1の「リモートサーバが実行可能なサービス」に含まれるサービスといえる。
次に,引用例1記載発明において,「ルーターを介して」「外部から」「パケットフィルタリング方式に分類される」「ファイアウォールに飛んで来た」,すなわち「インターネット側から入る」,「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」を,「LAN」内の「送信先」の代わりに「ウィルスチェック等のセキュリティ機能を持ったサーバー」に「投げる」,或いは「送る」ことは,「ファイル」を伝送するためのセッションを「ウィルスチェック等のセキュリティ機能を持ったサーバー」にそらすことを意味するから,本願発明1の「セッションが前記リモートサーバに対してリダイレクトされる」ことに相当するといえる。
次に,引用例1記載発明において,「ウィルスチェック等のセキュリティ機能」の実行が,少なくとも「必要である場合」に行われることはいうまでもないことである。

すると,本願発明1と引用例1記載発明とは,次の点で一致する。
(一致点)
「コンピュータネットワークでファイアウォールサービスを提供する方法において,該方法は,
ファイアウォールにおいて,ソースからデスティネーションまでのセッションと関連づけられた要求を受信するステップと,
前記ファイアウォールが前記要求を許可するにはリモートサーバが実行可能なサービスが必要である場合,前記セッションが前記リモートサーバに対してリダイレクトされるようにするステップとからなることを特徴とするファイアウォールサービス提供方法。」

一方で,両者は,次の点で相違する。
<相違点1>
本願発明1では,「ファイアウォールが」「ソースからデスティネーションまでのセッションと関連づけられた」「要求を許可するには,リモートサーバが実行可能なサービスが必要であるかどうかを確認する確認ステップ」を備えているのに対し,引用例1記載発明では,かかる「ファイアウォールが」「ソースからデスティネーションまでのセッションと関連づけられた」「要求を許可するには,リモートサーバが実行可能なサービスが必要であるかどうかを確認する確認ステップ」が記載されていない点。

<相違点2>
本願発明1では「セッション」が「所与のセッション」であるのに対し,引用例1記載発明では「ファイル」を伝送するためのセッションが「所与のセッション」であるとは記載されていない点。

<相違点3>
本願発明1では,「リモートサーバへ」「ソースからデスティネーションまでの」「セッションと関連づけられた」「要求に関連するパケットをリダイレクトして,」「ソースからデスティネーションまでの」「セッション」が「前記リモートサーバに対してリダイレクトされるようにするステップ」を備えているのに対し,引用例1記載発明では,「ソースからデスティネーションまでの」「セッション」が「リモートサーバに対してリダイレクトされ」ていることは明らかであるものの,その手段として,前記リモートサーバへ,ソースからデスティネーションまでのセッションと関連づけられた要求に関連するパケットをリダイレクトするステップを備えることは,記載されていない点。

5.判断
そこで,上記相違点について検討すると,
<相違点1>について:
引用例1記載発明の「ファイアウォール」製品である「Firewall-1」は,「パケットフィルタリング方式に分類され」るファイアウォールである(例えば,「エドワード・アモロソ,ロナルド・シャープ著,株式会社テクニカルコア訳,ファイアウォールを知る,株式会社プレンティスホール出版,1996年12月1日,初版第1刷,第44頁第12行?第46頁第7行の「パケットフィルタ」欄に記載された「Firewall-1」の説明参照。)から,パケットの通過を,「送信元,送信先のアドレスとポート番号で見て」制御するものである。
そして,該「Firewall-1」では,パケットをそのまま通過させることはもちろん,「暗号化のモジュールを入れ」て「暗号化通信を行う事」(引用例1摘記事項(ロ)参照。),すなわち「Firewall-1」に入れられたモジュールで処理を行う事も,「ウイルス検査用機能で連携,制御し,インターネット側から入るファイルをウィルスチェック用サーバーに送る事」もできるのであるから,引用例1記載発明の「パケットフィルタリング方式に分類される」「ファイアウォール」に上記周知技術を適用し,「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」を「LAN」内に「通過」させる制御を行う(ソースからデスティネーションまでのセッションと関連づけられた要求を許可する)には,「ウィルスチェック等のセキュリティ機能を持ったサーバー」に「投げる」,或いは「送る」必要があるかを確認するステップ(リモートサーバが実行可能なサービスが必要であるかどうかを確認する確認ステップ)を備えるようにすることは,当業者が容易になし得たことである。

<相違点2>について:
「所与のセッション」に関して,請求人は,平成21年9月17日付け意見書に「所与のセッション(例えば,進行中のセッション又は既に設定された新たなセッション)」と記載し,同意見書及び平成22年4月30日付け意見書に「請求項1に記載された「要求」とは,セッションもしくは接続を設定するためのものではなく」と記載している。
以上の記載より,本願発明1の「所与のセッション」とは,「既に設定されたセッション」を含み,「これから設定しようとしているセッション」を含まない意味と理解される。
そこで,この点を踏まえて検討すると,ファイルの伝送を行うためのセッションを,ファイルのデータを転送する前に確立すること,すなわち,ファイルの伝送を,請求人のいう「所与のセッション」にて行うことは周知技術である(必要であれば,特開平8-305643号公報第0011段落の「図7において,ファイル転送要求コマンドが入力されると(ステップS71),FTPプロトコルはデータ転送用に1本のTCPセッションをTCPプロトコルに確立させ(ステップS72),ファイルのデータを転送する(ステップS73)。」なる記載及び図7の「従来のファイル転送アルゴリズム」参照。)。
よって,引用例1記載発明において,「ファイル」を伝送するための「送信元」から「送信先」までのセッションを,「所与のセッション」とすることは当業者が容易になし得たことである。

<相違点3>について:
宛先のホストに代えて代行或いは代替ホストにデータを送る際,該データに関連するパケットを,宛先のホストの代わりに代行或いは代替ホストにそらす,或いは転送すること,すなわち,パケットを代行或いは代替ホストにリダイレクトすることは,例えば,特開平9-224053号公報(「プライベート・ネットワークなどの保護するネットワークと公衆ネットワークなどの他のネットワークとの間で伝送されるデータ・パケットをスクリーニングするシステムを提供する。」(第1頁,「要約」「課題」欄),「図10のボックス820に進んで,パケットはエンジン610に渡され,エンジン610は前述の事前定義された適切な操作を実行する。一般に,ファイヤウォール/スクリーン340の場合,これにはパケットの遮断または通過が伴い,通過させる場合にはパケットは代行ネットワーク430内の代行ホストによって操作されるようにそらすことができる。」(第0071段落)),特開平5-22346号公報(「着信局PS40は,コンピュータH1へのデータ送信処理が行なえない場合,このコンピュータH1の端末データを参照し,パケット交換機PS30に収容されている代替ホストコンピュータH2に端末PT1から受信したパケットの転送処理を行なう。」(第0003段落))に記載されているように,周知技術である。
よって,引用例1記載発明においても,上記周知技術を用い,「ルーターを介して」「外部から」「パケットフィルタリング方式に分類される」「ファイアウォールに飛んで来た」,すなわち「インターネット側から入る」,「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」を,「LAN」内の「送信先」の代わりに「ウィルスチェック等のセキュリティ機能を持ったサーバー」に「投げる」,或いは「送る」(セッションがリモートサーバに対してリダイレクトされる)際,その手段として,該「ファイアウォール」が,「送信元,送信先のアドレスとポート番号」を有し,該「送信元,送信先のアドレスとポート番号」に関連づけられた「ファイル」に関連する「パケット」を,「ウィルスチェック等のセキュリティ機能を持ったサーバー」にそらす,或いは転送する(前記リモートサーバへ,ソースからデスティネーションまでのセッションと関連づけられた要求に関連するパケットをリダイレクトする)ステップを備えるようにすることは,当業者が容易になし得たことである。

また,本願発明1の作用効果も,引用例1記載発明及び周知技術より,当業者が予測しうるものである。

よって,本願発明1は,引用例1記載発明及び周知技術に基づいて当業者が容易に発明をすることができたものである。

6.結び
以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることのできないものである。
したがって,その余の請求項について論及するまでもなく,本願は,拒絶すべきものである。
よって,結論のとおり審決する。
 
審理終結日 2010-06-03 
結審通知日 2010-06-07 
審決日 2010-06-21 
出願番号 特願2001-348967(P2001-348967)
審決分類 P 1 8・ 121- WZ (G06F)
最終処分 不成立  
前審関与審査官 須藤 竜也  
特許庁審判長 江口 能弘
特許庁審判官 清水 稔
篠塚 隆
発明の名称 ファイアウォールサービス提供方法  
代理人 加藤 伸晃  
代理人 岡部 讓  
代理人 越智 隆夫  
代理人 朝日 伸光  
代理人 本宮 照久  
代理人 岡部 正夫  
代理人 臼井 伸一  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ