ポートフォリオを新規に作成して保存 |
|
|
既存のポートフォリオに追加保存 |
|
PDFをダウンロード |
審決分類 |
審判 査定不服 2項進歩性 特許、登録しない。 G06F |
---|---|
管理番号 | 1348393 |
審判番号 | 不服2018-5349 |
総通号数 | 231 |
発行国 | 日本国特許庁(JP) |
公報種別 | 特許審決公報 |
発行日 | 2019-03-29 |
種別 | 拒絶査定不服の審決 |
審判請求日 | 2018-04-18 |
確定日 | 2019-01-30 |
事件の表示 | 特願2016-521681「ネットワーク管理セキュリティ認証方法、装置、システム及びコンピュータ記憶媒体」拒絶査定不服審判事件〔平成26年11月13日国際公開、WO2014/180431、平成28年11月24日国内公表、特表2016-536678〕について、次のとおり審決する。 |
結論 | 本件審判の請求は、成り立たない。 |
理由 |
第1 手続の経緯 本件審判請求に係る出願(以下,「本願」という。)は,2014年(平成26年)6月9日(パリ条約による優先権主張外国庁受理2013年10月10日(以下,「優先日」という。),中国)を国際出願日とする出願であって,その手続の経緯は以下のとおりである。 平成28年4月 7日 :国内書面の提出 平成28年4月 8日 :翻訳文の提出 平成29年3月31日付け :拒絶理由通知書 平成29年7月10日 :意見書,手続補正書の提出 平成29年12月11日付け :拒絶査定 平成30年4月18日 :審判請求書,手続補正書の提出 第2 本願発明 本願の請求項に係る発明は,上記平成30年4月18日付け手続補正により補正された特許請求の範囲の請求項1乃至10に記載されたとおりのものであると認められるところ,その請求項1に係る発明(以下,「本願発明」という。)は,以下のとおりのものである。 「 【請求項1】 ユーザ名とトークンコードが担持された認証要求メッセージをネットワーク管理クライアント端末から受信して、前記認証要求メッセージを認証サーバに送信するステップと、 前記認証サーバが送信した認証結果に基づき、前記ネットワーク管理クライアント端末のユーザにリソースと操作権限を割り当てるか否かを決定するステップと、 前記認証結果を前記ネットワーク管理クライアント端末に送信するステップと、を含み、 前記認証要求メッセージ及び前記認証結果を暗号化カプセル化してからネットワーク伝送を行い、宛先に到達した後、対応して復号化することにより前記認証要求メッセージ及び前記認証結果における具体的な情報を取得し、 前記認証サーバが送信した認証結果に基づき、前記ネットワーク管理クライアント端末のユーザにリソースと操作権限を割り当てるか否かを決定するステップは、 前記認証結果が認証成功であると、前記ネットワーク管理クライアント端末のユーザにリソースと操作権限を割り当てるように決定するステップを含む ネットワーク管理セキュリティ認証方法。」 第3 原査定の拒絶の理由 原査定の拒絶の理由は,この出願の請求項1乃至19に係る発明は,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった下記の引用文献1に記載された発明及び引用文献2に記載された事項に基づいて,その出願前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから,特許法29条2項の規定により特許を受けることができない,というものである。 引用文献1.特開2008-262299号公報 引用文献2.特開2000-315997号公報 第4 引用例 1 引用例1に記載されている技術的事項および引用発明 (1)本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能となり,原審の拒絶査定の理由である平成29年3月31日付けの拒絶理由通知において引用された,特開2008-262299号公報(平成20年10月30日出願公開,以下,「引用例1」という。)には,以下の技術的事項が記載されている。 (当審注:下線は,参考のために当審で付与したものである。) A 「【0001】 この発明は、ワンタイムパスワードにより認証を行う認証装置、認証プログラム、および認証システム、並びに、ワンタイムパスワードを生成するパスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムに関するものである。 【背景技術】 【0002】 近年、パスワードの通信傍受などによるシステムへの不正アクセスを回避してセキュリティを強化するために、1回のみ有効なOTP(ワンタイムパスワード)を用いた認証システムが広く普及している。OTPを生成する方法としては、カウンタ同期方式、時刻同期方式、チャレンジアンドレスポンス方式などが知られている。」 B 「【0005】 OTPを利用した認証システムでは、毎回パスワードが変更されるため、仮にパスワードを通信傍受してもそのパスワードを再利用することができない。このため、通常のパスワードを用いた認証方法と比較して安全性が向上する。」 C 「【0023】 以下では、インターネットバンキングアプリケーションを提供するWEBサーバに対する認証処理で、OTP認証を行う認証システムを例に説明する。なお、適用できるシステムはこのようなインターネットアプリケーションに限られるものではなく、カウンタ同期方式のOTPを用いた認証システムであれば、あらゆるシステムに適用しうる。」 D 「【0024】 図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。図1に示すように、本実施の形態の認証システムは、端末装置10と、WEBサーバ20と、認証装置としての認証サーバ200とが、インターネットによるネットワーク30を介して接続され、さらにパスワード生成装置としてのトークン100を備えた構成となっている。」 E 「【0030】 次に、WEBサーバ20について説明する。WEBサーバ20は、インターネットバンキングアプリケーションを提供するサーバ装置である。なお、WEBサーバ20は、インターネットバンキングアプリケーション以外のWEBアプリケーションを提供するように構成してもよい。また、WEBサーバ20のようにインターネットを用いたアプリケーションである必要はなく、その他のあらゆる形態のアプリケーションを提供するサーバ装置をWEBサーバ20の代わりに備えるように構成することができる。」 F 「【0053】 次に、ユーザは、OTP生成処理で生成され、トークン100の表示部123に表示されたOTPを確認し、ユーザIDと生成されたOTPとを端末装置10に表示されたOTP入力画面に入力する(ステップS409)。 【0054】 端末装置10のアプリケーション部13は、OTP入力画面の送信ボタンのクリックを検知し、入力されたユーザIDおよびOTPをWEBサーバ20に送信する(ステップS410)。 【0055】 次に、WEBサーバ20は、OTPによる認証を行うため、受信したユーザIDおよびOTPを認証サーバ200に送信する(ステップS411)。次に、認証サーバ200は、WEBサーバ20から送信されたユーザIDおよびOTPを用いたOTP認証処理を実行する(ステップS412)。OTP認証処理の詳細については後述する。 【0056】 OTP認証処理の後、認証サーバ200の認証部205は、OTP認証処理の結果を、送受信部201を介してWEBサーバ20に送信する(ステップS413)。なお、OTP認証処理で認証が失敗したことを表す情報(NGなど)が認証結果として設定された場合も、その認証結果をWEBサーバ20に送信する。次に、WEBサーバ20は、受信した認証結果を端末装置10に送信する(ステップS414)。 【0057】 認証が成功した場合は、端末装置10のアプリケーション部13は、振込み手続きをWEBサーバ20に対して指示する(ステップS415)。WEBサーバ20は、その指示を受け、振込み手続き処理を実行する(ステップS416)。WEBサーバ20は、処理結果を端末装置10へ送信する(ステップS417)。」 (2)ここで,引用例1に記載されている事項を検討する。 ア 上記Dの「認証システムは、端末装置10と、WEBサーバ20と、認証装置としての認証サーバ200とが、インターネットによるネットワーク30を介して接続され」との記載からすると,引用例1には, “端末装置とWEBサーバと認証サーバとが,ネットワークを介して接続された認証システム” が記載されていると解される。 イ 上記Fの段落【0053】の「ユーザは、OTP生成処理で生成され、トークン100の表示部123に表示されたOTPを確認し、ユーザIDと生成されたOTPとを端末装置10に表示されたOTP入力画面に入力する」との記載,段落【0054】の「端末装置10のアプリケーション部13は、…(中略)… ユーザIDおよびOTPをWEBサーバ20に送信する(ステップS410)。」との記載,段落【0055】の「WEBサーバ20は、OTPによる認証を行うため、受信したユーザIDおよびOTPを認証サーバ200に送信する(ステップS411)。」との記載,段落【0056】の「認証サーバ200の認証部205は、OTP認証処理の結果を、送受信部201を介してWEBサーバ20に送信する(ステップS413)。なお、OTP認証処理で認証が失敗したことを表す情報(NGなど)が認証結果として設定された場合も、その認証結果をWEBサーバ20に送信する。次に、WEBサーバ20は、受信した認証結果を端末装置10に送信する(ステップS414)。」との記載からすると,ユーザを認証するための“認証方法”におけるデータ送受信の仲介を「WEBサーバ」が行うことが読み取れるから,引用例1には, “WEBサーバが,ユーザID及びトークンで生成されたOTPを端末装置から受信するステップと, WEBサーバが,ユーザID及びトークンで生成されたOTPを認証サーバに送信するステップと, WEBサーバが,前記認証サーバから受信した認証結果を前記端末装置に送信するステップと,を含む認証方法” が記載されていると解される。 ウ 上記Fの段落【0056】の「認証サーバ200の認証部205は、OTP認証処理の結果を、送受信部201を介してWEBサーバ20に送信する(ステップS413)。なお、OTP認証処理で認証が失敗したことを表す情報(NGなど)が認証結果として設定された場合も、その認証結果をWEBサーバ20に送信する。」との記載と,段落【0057】の「認証が成功した場合は、端末装置10のアプリケーション部13は、振込み手続きをWEBサーバ20に対して指示する(ステップS415)。WEBサーバ20は、その指示を受け、振込み手続き処理を実行する(ステップS416)。」との記載からすると,引用例1には, “WEBサーバが,認証サーバから受信した認証結果が成功であると,端末装置のユーザが指示した振込み手続き処理を実行できるようにするステップを含む” 認証方法が記載されていると解される。 (3)以上,ア乃至ウの検討によれば,引用例1には次の発明(以下,「引用発明」という。)が記載されているものと認める。 「端末装置とWEBサーバと認証サーバとが,ネットワークを介して接続された認証システムにおける認証方法であって, WEBサーバが,ユーザID及びトークンで生成されたOTPを端末装置から受信するステップと, WEBサーバが,ユーザID及びトークンで生成されたOTPを認証サーバに送信するステップと, WEBサーバが,前記認証サーバから受信した認証結果を前記端末装置に送信するステップと,を含み, さらに,認証サーバから受信した認証結果が成功であると,端末装置のユーザが指示した振込み手続き処理を実行できるようにするステップを含む 認証方法。」 2 引用例2に記載されている技術的事項 (1)本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能となり,原審の平成29年12月11日付けの拒絶査定において引用された,特開2000-315997号公報(平成12年11月14日出願公開,以下,「引用例2」という。)には,以下の技術的事項が記載されている。 (当審注:下線は,参考のために当審で付与したものである。) G 「【0075】図1において、ノードE1をトンネルの入口とし、ノードE2をトンネルの出口とするIPsecトンネルが存在するものとする。すなわち、ノードE1は、Site2に属するホスト宛のパケットは、必要であればIPsecで暗号化して“宛先アドレス=E2”としてIPパケットにカプセル化して送信する。また、ノードE2は、IPsecトンネルを介してノードE1から転送されてきた“宛先アドレス=E2”とする暗号化カプセル化パケットを受信し、必要であれば復号化(およびデカプセル化)を行う。」 (2)上記Gの記載から,引用例2には,次の技術が記載されていると認められる。 「送信元のノードがパケットを暗号化してカプセル化して送信し,受信先のノードが暗号化カプセルパケットを受信し,復号化する技術。」 3 参考文献1に記載されている技術的事項 (1)本願の優先日前に頒布又は電気通信回線を通じて公衆に利用可能となった,スミス リチャード・E Richard E. Smith,認証技術 パスワードから公開鍵まで 第1版 Authentication:From Passwords to Public Keys,株式会社オーム社 OHMSHA LTD. 佐藤 政次,2003年 4月25日,第1版,p.278-279(以下,「参考文献1」という。)には,以下の技術的事項が記載されている。 (当審注:下線は,参考のために当審で付与したものである。) H 「ワンタイムパスワード製品の購入者は、こうした認証サーバプログラムを1つのコンピュータ(信頼性を高めようとするなら複数のコンピュータ)にインストールします。ほかのサーバ、ファイアウォール、NASといった装置は、認証要求をこの認証サーバに送ります。ワンタイムパスワードの検証に必要なデータと手続きはすべて認証サーバ上に置かれます。RADIUSの最新バージョンをサポートしているNASとファイアウォールならば、通常はどんなワンタイムパスワードシステムでもうまく働きます。ほかのサーバ上には、特別な認証エージェントソフトウェアをインストールする必要があります。このエージェントはサーバの従来のログオン手続きに代わって、認証データを認証サーバに転送するという処理を行います(図11.1を参照)。 図11.1 間接認証ソフトウェア。クライアントがサーバにログオンしようとすると、そのサーバ上の認証エージェントが認証データを認証サーバに転送する。認証サーバはユーザの身元を検証し、その結果をエージェントに送り返す。最後にエージェントがクライアントに結果を通知する」 (2)上記Hの記載から,参考文献1には,次の技術が記載されていると認められる。 「クライアントからの認証データを認証サーバに転送し,認証サーバがユーザを認証することによりログオンできるリソースサーバ又はNAS。」 第5 対比 1 本願発明と引用発明とを対比する。 (1)引用発明の「ユーザID」及び「トークンで生成されたOTP」は,本願発明の「ユーザ名」及び「トークンコード」に相当する。引用発明の「ユーザID」と「OTP」とを合わせたものは,本願発明の「ユーザ名とトークンコードが担持された認証要求メッセージ」に相当する。 (2)引用発明では,「WEBサーバが,前記認証サーバから受信した認証結果を前記端末装置に送信する」ところ,引用発明の「認証サーバ」は本願発明の「認証サーバ」に相当し,引用発明の「端末装置」と本願発明の「ネットワーク管理クライアント端末」とは,上位概念では,“クライアント端末”とみることができる。 そうすると,引用発明の「WEBサーバが,ユーザID及びトークンで生成されたOTPを端末装置から受信するステップ」と「WEBサーバが,ユーザID及びトークンで生成されたOTPを認証サーバに送信するステップ」とを合わせたステップと, 本願発明の「ユーザ名とトークンコードが担持された認証要求メッセージをネットワーク管理クライアント端末から受信して、前記認証要求メッセージを認証サーバに送信するステップ」とは, “ユーザ名とトークンコードが担持された認証要求メッセージをクライアント端末から受信して,前記認証要求メッセージを認証サーバに送信するステップ”である点で共通するといえる。 (3)上記(2)での検討より,引用発明の「認証サーバ」は本願発明の「認証サーバ」に相当し,引用発明の「端末装置」と本願発明の「ネットワーク管理クライアント端末」とは,“クライアント端末”とみることができるから,引用発明の「WEBサーバが,前記認証サーバから受信した認証結果を前記端末装置に送信するステップ」と, 本願発明の「前記認証結果を前記ネットワーク管理クライアント端末に送信するステップ」とは, “前記認証サーバが送信した認証結果を前記クライアント端末に送信するステップ”である点で共通するといえる。 (4)引用発明の「認証サーバから受信した認証結果が成功であると,端末装置のユーザが指示した振込み手続き処理を実行できるようにするステップ」において,認証に失敗したユーザには振込手続きを許可しないことは自明である。そうすると,引用発明においては,「WEBサーバ」が,「認証サーバ」が受信した「認証結果」に基づき,「端末装置」のユーザが指示した「振込み手続き処理を実行」できるようにするか否かを決定するステップを実質的に実行しており,そのステップのなかにおいて,「認証結果」が「成功」であると,「端末装置」のユーザが指示した「振込み手続き処理を実行」できるように決定しているといえる。 ここで,引用発明の「ユーザが指示した振込み手続き処理を実行できるようにする」ことは,認証されたユーザに認められる権限であるところの,振込み手続きをWEBサーバに実行させる権限を認めるということであり,また,計算機資源などの資源を利用した処理を認めることであるといえるから,引用発明の「ユーザが指示した振込み手続き処理を実行できるようにする」ことと,本願発明の「ユーザにリソースと操作権限を割り当てる」こととは,後記する点で相違するものの,少なくとも“ユーザに所定の権限と資源の利用とを認める”点で共通するといえる。 そうすると,引用発明の「認証サーバから受信した認証結果が成功であると,端末装置のユーザが指示した振込み手続き処理を実行できるようにするステップ」と, 本願発明の「前記認証サーバが送信した認証結果に基づき、前記ネットワーク管理クライアント端末のユーザにリソースと操作権限を割り当てるか否かを決定するステップ」であって,「前記認証結果が認証成功であると、前記ネットワーク管理クライアント端末のユーザにリソースと操作権限を割り当てるように決定するステップを含む」ステップとは, “前記認証サーバが送信した認証結果に基づき,前記クライアント端末のユーザに所定の権限と資源の利用とを認めるか否かを決定するステップが, 前記認証結果が認証成功であると,前記クライアント端末のユーザに所定の権限と資源の利用とを認めるように決定するステップを含む”点で共通するといえる。 (5)上記(1)乃至(4)より,本願発明と引用発明とは,「セキュリティ認証方法」である点で共通するといえる。 2 以上から,本願発明と引用発明とは,以下の点で一致し,また,以下の点で相違する。 <一致点> 「 ユーザ名とトークンコードが担持された認証要求メッセージをクライアント端末から受信して,前記認証要求メッセージを認証サーバに送信するステップと, 前記認証サーバが送信した認証結果に基づき,前記クライアント端末のユーザに所定の権限と資源の利用とを認めるか否かを決定するステップと, 前記認証サーバが送信した認証結果を前記クライアント端末に送信するステップと,を含み, 前記認証サーバが送信した認証結果に基づき,前記クライアント端末のユーザに所定の権限と資源の利用とを認めるか否かを決定するステップが, 前記認証結果が認証成功であると,前記クライアント端末のユーザに所定の権限と資源の利用とを認めるように決定するステップを含む セキュリティ認証方法。」 <相違点1> 認証要求メッセージの受信及び送信並びに認証結果の送信に関し,本願発明は,認証要求メッセージ及び認証結果を暗号化カプセル化してからネットワーク伝送を行い,宛先に到達した後,対応して復号化することにより前記認証要求メッセージ及び前記認証結果における具体的な情報を取得するのに対して, 引用発明は,その点が特定されていない点。 <相違点2> 認証結果に基づいて所定の権限と資源の利用とを認めることに関し,本願発明は,「リソースと操作権限を割り当てる」か否かを決定するステップを含み,このステップが,「認証結果が成功であると,」「リソースと操作権限を割り当てる」ように決定するステップを含むのに対して, 引用発明は,振込み手続きについての権限と資源の利用とを認めるものである点。 <相違点3> クライアント端末に関し,本願発明は,「ネットワーク管理クライアント端末」の「認証サーバ」による「ネットワーク管理セキュリティ認証方法」であるのに対して, 引用発明は,「端末装置」の「認証サーバ」による「認証方法」であるものの,「端末装置」がネットワーク管理のためのものであるか不明な点。 第6 当審の判断 上記相違点1乃至3について検討する。 1 相違点1について 情報を安全にネットワークを介して伝送する場合に,通信する情報を暗号化カプセル化してからネットワーク伝送を行い,宛先に到着した後,対応して復号化することにより具体的な情報を取得することは,例えば,引用例2に記載されるように,本願の優先日前には当該技術分野における周知技術であった。 ここで,コンピュータシステムの安全を確保することは,コンピュータ技術の分野における一般的課題であり,特に通信においては,通信のセキュリティを確保することが広く行われている。引用発明においても,クライアント端末との間や認証サーバとの間における通信のセキュリティを確保することは,引用発明を所与の具体的なネットワーク環境において実現するにあたり自明な課題である。すなわち,引用発明は,引用例1の上記A及びBのとおり,第三者による通信傍受の可能性があるネットワーク環境において実現されることを想定したものであり,そのようなネットワーク環境においてユーザIDや認証結果等の通信の内容を第三者から秘匿することは,当業者にとって自明な課題である。よって,引用発明において,通信のセキュリティを確保するべく,「ユーザID及びトークンで生成されたOTP」と「認証結果」とを通信する際に暗号化カプセル化(し対応して復号化)することは適宜なし得たことである。 そうすると,上記「第5 対比」の1,(1)での検討から,引用発明の「ユーザID及びトークンで生成されたOTP」は本願発明の「認証要求メッセージ」に相当するといえるから,引用発明において,認証要求メッセージ及び認証結果を暗号化カプセル化してからネットワーク伝送を行い,宛先に到着した後,対応して復号化することにより具体的な情報を取得すること,すなわち,相違点1に係る構成とすることは,当業者が容易に想到し得たことである。 2 相違点2及び3について 認証したユーザにファイル等のリソースにアクセスする権限を与える,すなわち,ユーザにリソースと操作権限を割り当てるようなリソースサーバ・NASは,例えば,参考文献1に記載されるように,本願の優先日前には当該技術分野における周知技術であった。ここでのクライアントはネットワーク接続可能なリソースを利用可能であることから,“ネットワーク管理クライアント端末”であるといえる。 引用発明のWEBサーバと周知技術のリソースサーバ・NASとは,どちらも,認証したユーザに対してサーバの提供するサービスを利用させるもの,すなわち,リソースを提供するものであり,機能,作用が共通する。また,その認証手順についても,WEBサーバの認証手順とリソースサーバ・NASの認証手順とのどちらにおいても,クライアント端末から認証のための情報を受け付け,認証結果が成功であると,サービスが利用できるようになるという点で,機能,作用が共通する。さらに,引用例1には,上記C及びEに記載されるように,引用発明のWEBサーバをインターネットバンキング以外のアプリケーションを提供するサーバ装置にすることが示唆されていることも踏まえれば,引用発明において,WEBサーバをリソースサーバ・NASに置き換えることは適宜なし得たことである。 そうすると,引用発明において,上記周知技術を適用し,クライアント端末をネットワーク管理クライアント端末として,ログインしたユーザにリソースサーバ・NASのリソースを利用させるために,認証結果に基づいて,ユーザにリソースと操作権限を割り当てるか否かを決定するステップを含むようにし,認証結果が成功である場合にリソースと操作権限を割り当てるようにすること,すなわち,相違点2及び3に係る構成とすることは,当業者が容易に想到し得たことである。 3 小括 上記で検討したごとく,相違点1乃至3に係る構成は当業者が容易に想到し得たものであり,そして,これらの相違点を総合的に勘案しても,本願発明の奏する作用効果は,引用発明,引用例2に記載の当該技術分野の周知技術,及び,参考文献1に記載の当該技術分野の周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。 第7 むすび 以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。 よって,結論のとおり審決する。 |
別掲 |
|
審理終結日 | 2018-08-23 |
結審通知日 | 2018-08-28 |
審決日 | 2018-09-14 |
出願番号 | 特願2016-521681(P2016-521681) |
審決分類 |
P
1
8・
121-
Z
(G06F)
|
最終処分 | 不成立 |
前審関与審査官 | 平井 誠 |
特許庁審判長 |
仲間 晃 |
特許庁審判官 |
辻本 泰隆 須田 勝巳 |
発明の名称 | ネットワーク管理セキュリティ認証方法、装置、システム及びコンピュータ記憶媒体 |
代理人 | 大井 一郎 |
代理人 | 梶並 順 |
代理人 | 曾我 道治 |
代理人 | 金山 明日香 |