• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1369236
審判番号 不服2019-15052  
総通号数 254 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-02-26 
種別 拒絶査定不服の審決 
審判請求日 2019-11-08 
確定日 2021-01-07 
事件の表示 特願2017-501377「通信ネットワークに接続された作業環境への攻撃を検出する方法」拒絶査定不服審判事件〔平成28年 1月14日国際公開、WO2016/005273、平成29年 8月17日国内公表、特表2017-523701、請求項の数(11)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1.手続きの経緯

本願は、2015年(平成27年)7月2日(パリ条約による優先権主張2014年7月11日(EP)欧州特許庁)を国際出願日とする出願であって、平成30年4月26日付けで拒絶理由通知がされ、同年8月8日に意見書が提出されるとともに手続補正がなされ、同年12月26日付けで拒絶理由通知がされ、平成31年4月9日に意見書が提出されるとともに手続補正がなされたが、令和元年7月3日付けで拒絶査定(原査定)がされ、これに対し、同年11月8日に拒絶査定不服審判の請求がなされたものである。

第2.原査定の概要

原査定(令和元年7月3日付け拒絶査定)の概要は次のとおりである。

本願の請求項1?11に係る発明は、以下の引用文献1?4に基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
1.特開2003-264595号公報
2.あきみち、ほか,「マスタリングTCP/IP OpenFlow編
」,オーム社,2013年7月25日,第1版
3.特開2009-296320号公報
(新たに引用された文献;周知技術を示す文献)
4.特表2008-519327号公報
(新たに引用された文献;周知技術を示す文献)
(当審注:原査定における引用文献2の出版社名に「Ohmsha」とあるのは、上記のとおり「オーム社」の誤記と認められる。)

第3 本願発明

本願の請求項1?11に係る発明(以下、それぞれ「本願発明1」?「本願発明11」という。)は、平成31年4月9日になされた手続補正で補正された特許請求の範囲の請求項1?11に記載された事項により特定される発明であり、以下のとおりの発明である。

「 【請求項1】
通信ネットワーク(115)に接続された作業環境(101)への攻撃を検出する方法(600)であって、ネットワーク接続要素(105)は前記作業環境(101)と前記通信ネットワーク(115)の間に介在し、ネットワーク監視要素(107)が前記ネットワーク接続要素(105)に接続され、前記方法は、
前記通信ネットワーク(115)に接続されたネットワークセキュリティ要素(103)によって前記作業環境(101)を電子的に模擬するステップ(601)、
前記ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を登録するステップ(602)、
登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較するステップ(603)、
前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするステップ(604)、
前記ネットワーク接続要素におけるネットワークトラフィックを前記ネットワーク監視要素に複製するステップ、
前記ネットワーク監視要素(107)によって前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録するステップ、
前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に第2の攻撃警告信号(112)をトリガするステップ、及び
第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成するステップを備える方法(600)。
【請求項2】
前記ネットワークトラフィック(202)を登録するステップ(602)が、前記ネットワークセキュリティ要素(103)へのアクセスレートを登録するステップを備え、
前記登録されたネットワークトラフィック(202)を前記所定のネットワークトラフィック(204)と比較するステップ(603)が、登録された前記アクセスレートを所定のアクセスレートと比較するステップを備える、請求項1に記載の方法(600)。
【請求項3】
前記作業環境(101)を電子的に模擬するステップ(601)が、前記作業環境(101)にインストールされたものと同じソフトウェアの少なくとも部分を備える保護されていない作業環境(101a)を模擬するステップを備える、請求項1又は請求項2に記載の方法(600)。
【請求項4】
前記異常(304)の前記識別が、前記登録されたネットワークトラフィック(302)における異常検索動作の検出に基づく、請求項1?3のいずれか1項に記載の方法(600)。
【請求項5】
前記異常(304)が識別された場合に前記ネットワーク接続要素(105)において登録されたネットワークトラフィック(302)をリアルタイムで記録するステップを備える請求項1?4のいずれか1項に記載の方法(600)。
【請求項6】
前記第1の攻撃警告信号(110)及び前記第2の攻撃警告信号(112)に基づいて警告アラート(114)を生成するステップを備える請求項1から5のいずれかに記載の方法(600)。
【請求項7】
前記警告アラート(114)を生成するステップが、前記通信ネットワーク(115)の更なる作業環境からの更なる攻撃警告信号にも基づく、請求項6に記載の方法(600)。
【請求項8】
前記第1の攻撃警告信号(110)がトリガされる場合に、ログサーバ(109)によって前記ネットワークセキュリティ要素(103)における前記登録されたネットワークトラフィック(202)のログを取るステップ、及び
前記第2の攻撃警告信号(112)がトリガされる場合に、ログサーバ(109)によって前記ネットワーク接続要素(105)における前記登録されたネットワークトラフィック(302)のログを取るステップ
をさらに備える請求項6又は請求項7のいずれかに記載の方法(600)。
【請求項9】
前記ネットワークセキュリティ要素(103)においてログ取りされた前記ネットワークトラフィック(202)及び前記ネットワーク接続要素(105)においてログ取りされた前記ネットワークトラフィック(302)に基づいて前記攻撃の特徴的特性(404)を検出するステップを備える請求項8に記載の方法(600)。
【請求項10】
ネットワークセキュリティシステム(100)であって、
通信ネットワーク(115)への接続を確立するように設計されたネットワーク接続要素(105)、及び
前記ネットワーク接続要素(105)に接続されたネットワークセキュリティ要素(103)
を備え、
少なくとも1つの作業環境(101)が、該少なくとも1つの作業環境(101)を前記通信ネットワーク(115)に接続するための前記ネットワーク接続要素(105)に接続されることができ、
前記ネットワークセキュリティ要素(103)が、前記少なくとも1つの作業環境(101)の模擬に基づいて前記少なくとも1つの作業環境(101)への攻撃を検出するように設計され、
前記ネットワークセキュリティ要素が、
前記少なくとも1つの作業環境(101)を電子的に模擬するように設計されたエミュレータ(201)、
前記ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を登録するように設計された登録部(203)、及び
登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較し、前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするように設計された攻撃警告部(205)、
を備え、
前記ネットワークセキュリティシステムが、
前記ネットワーク接続要素(105)に接続されたネットワーク監視要素(107)、及び
第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成するログサーバをさらに備え、
前記ネットワーク監視要素(107)が、前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録し、前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に第2の攻撃警告信号(112)をトリガするように設計された、ネットワークセキュリティシステム(100)。
【請求項11】
前記第1の攻撃警告信号(110)及び前記第2の攻撃警告信号(112)に基づいて警告アラート(114)を生成し、前記ネットワークセキュリティ要素(103)における前記登録されたネットワークトラフィック(202)のログを取るとともに前記ネットワーク接続要素(105)における前記登録されたネットワークトラフィック(302)のログを取り、前記ログ取りされたネットワークトラフィック(402)に基づいて前記攻撃の特徴的特性(404)を検出するように設計されたログサーバ(109)を備えた請求項10に記載のネットワークセキュリティシステム(100)。」

第4 引用文献、引用発明等

1.引用文献1の記載事項について
(1)原査定の拒絶の理由に引用された上記引用文献1には、図面とともに次の事項が記載されている(下線は、当審付与。以下同様。)。

「【0001】
【発明の属する技術分野】この発明は、パケット中継装置およびオトリ誘導システムに係り、更に詳しくは、侵入検知機能とネットワーク中継機能とを連携させるとともに、外部ネットワークからのパケットをオトリネットワークへ誘導することができるパケット中継装置、並びに、これを用いたパケット中継システムおよびオトリ誘導システムに関する。」

「【0030】
【発明の実施の形態】実施の形態1.図1は、本発明の実施の形態1によるオトリ誘導システムの一構成例を示したブロック図である。図中の1はオトリ誘導装置、2はパケット中継部、3はオトリ誘導部、4は侵入検知部、5はフィルタリング処理部、6はフィルタリングテーブル、7は内部バス、20は外部ネットワーク、21は外部端末装置、30は内部ネットワーク、31は内部端末装置、40はオトリネットワーク、41はオトリ端末装置である。
【0031】オトリ誘導装置1は、外部ネットワーク20および内部ネットワーク30に接続され、両ネットワーク間でパケット中継を行うパケット中継装置である。すなわち、外部端末装置21から内部端末装置31へのパケットを外部ネットワーク20から受信し、内部ネットワーク30へ送出する。また、内部端末装置31から外部端末装置21へのパケットを内部ネットワーク30から受信し、外部ネットワーク20へ送出する。」

「【0035】侵入検知部4は、外部ネットワーク20からのパケットのステルス監視を行って、DoS(Denial of Service)、スキャニングなどのネットワークレベルの攻撃(不正アクセス)を検出している。例えば、監視対象であるパケットデータを予め与えられた不正パケットパターンと比較して、不正アクセスパケットを検出する。このパターンマッチングは、パケット単位だけでなく、送信元又は送信先情報によって特定される一連のパケットに対して行うこともできる。
【0036】フィルタリング処理部5は、外部ネットワーク20から送信されたパケットに対し、内部ネットワーク30への中継、オトリネットワーク40への誘導、破棄のいずれかの処理(フィルタリング処理)を行っている。この処理は、フィルタリングテーブルに基づいて行われ、例えば、内部ネットワーク30に不正にアクセスしようとする不正アクセスパケットは破棄され、不正アクセスの疑いのある被疑パケットはオトリネットワーク40へ誘導され、その他の通常パケットは、内部ネットワーク30へ送出される。
【0037】フィルタリングテーブル6には、フィルタリング処理を規定するデータが記憶されており、パケットヘッダに含まれる送信元又は送信先に関する情報と、当該パケットに対するフィルタリング処理とが関連づけられている。たとえば、破棄すべきパケットおよびオトリ誘導すべきパケットとして、パケットの送信元又は送信先情報が記憶されており、送信元又は送信先情報がフィルタリングテーブル6と一致するパケットは、破棄され、あるいは、オトリ誘導される一方、その他のパケットはネットワーク中継される。このフィルタリングテーブル6は、侵入検知部4による検出結果に基づいて更新される。
【0038】オトリ誘導部3は、内部バス7を介して、フィルタリング処理部5から、オトリ誘導すべきパケットを受信し、オトリネットワーク40上のオトリ端末装置41へ送出する。」

「【0039】次に動作について説明する。外部端末装置21から内部端末装置31に対して送信されたパケットは、外部ネットワーク20を介してオトリ誘導装置1により受信される。この受信パケットは、パケット中継部2のフィルタリング処理部5へ入力されるとともに、侵入検知部4にも入力される。この侵入検知部4は、パケット中継部2の入り口でプロミスカスモードかつステルスモードで通信を傍受している。
【0040】パケットを受信したフィルタリング処理部5は、フィルタリングテーブル6に基づいて、送信元又は送信先情報、例えば、送信元IP(Internet Protocol)アドレス、送信先IPアドレス、送信元TCP(Transmission Control Protocol)ポート番号、送信先TCPポート番号、送信元UDP(User Datagram Protocol)ポート番号または送信先UDPポート番号をチェックする。
【0041】この結果、フィルタリングテーブル6において、破棄の指定がされているパケットは、フィルタリング処理部5によって破棄され、オトリ誘導の指定がされているパケットがオトリサイト(オトリネットワーク40のオトリ端末装置41)へ誘導され、ともに内部ネットワーク30には送出されない。一方、破棄および誘導等の指定がされていないパケットは内部ネットワーク30へ送出される。」

「【0042】図2は、図1のオトリ誘導システムにおけるパケットの流れの一例を示した図である。外部ネットワーク20から内部ネットワーク30に対して送信されたパケットは、フィルタリングテーブル6に基づいて、<1>破棄され、<2>オトリネットワーク40へオトリ誘導され、あるいは、<3>内部ネットワーク30へ中継される。
【0043】一方、パケットを傍受した侵入検知部4は、所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別する。不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、内部バス7を介してフィルタリング処理部5へ通知し、フィルタリングテーブル6が更新される。
【0044】例えば、不正アクセスが疑われるパケットが検出された場合には、当該パケットがオトリ誘導の対象に追加され、不正アクセスパケットであることが検出された場合には、破棄の対象に追加される。逆に、オトリ誘導又は破棄の対象が、正常アクセスパケットであることが検出された場合には、これらの対象から除外される。この様なポリシーは予め任意に決定され、侵入検知部4に対し与えられている。」
(当審注:【0042】中の<1>、<2>及び<3>は、丸数字の1、2及び3を表す。)

「【0046】また、外部ネットワーク20から内部ネットワーク30へのパケットのうち、不正アクセスの疑いのあるパケットをオトリ端末装置41に誘導することによって、内部ネットワーク30への不正アクセスを未然に防止することができる。」

したがって、上記引用文献1には次の発明(以下、「引用発明」という。)が記載されていると認められる。

「パケット中継装置およびオトリ誘導システムに係り、侵入検知機能とネットワーク中継機能とを連携させるとともに、外部ネットワークからのパケットをオトリネットワークへ誘導することができるパケット中継装置、並びに、これを用いたパケット中継システムおよびオトリ誘導システムに関し、(【0001】)
オトリ誘導装置1は、外部ネットワーク20および内部ネットワーク30に接続され、両ネットワーク間でパケット中継を行うパケット中継装置であり、(【0031】)
侵入検知部4は、外部ネットワーク20からのパケットのステルス監視を行って、DoS(Denial of Service)、スキャニングなどのネットワークレベルの攻撃(不正アクセス)を検出しており、監視対象であるパケットデータを予め与えられた不正パケットパターンと比較して、不正アクセスパケットを検出し、このパターンマッチングは、パケット単位だけでなく、送信元又は送信先情報によって特定される一連のパケットに対して行うこともでき、(【0035】)
フィルタリング処理部5は、外部ネットワーク20から送信されたパケットに対し、内部ネットワーク30への中継、オトリネットワーク40への誘導、破棄のいずれかの処理(フィルタリング処理)を行っており、この処理は、フィルタリングテーブルに基づいて行われ、例えば、内部ネットワーク30に不正にアクセスしようとする不正アクセスパケットは破棄され、不正アクセスの疑いのある被疑パケットはオトリネットワーク40へ誘導され、その他の通常パケットは、内部ネットワーク30へ送出され、(【0036】)
フィルタリングテーブル6には、フィルタリング処理を規定するデータが記憶されており、パケットヘッダに含まれる送信元又は送信先に関する情報と、当該パケットに対するフィルタリング処理とが関連づけられており、破棄すべきパケットおよびオトリ誘導すべきパケットとして、パケットの送信元又は送信先情報が記憶されており、送信元又は送信先情報がフィルタリングテーブル6と一致するパケットは、破棄され、あるいは、オトリ誘導される一方、その他のパケットはネットワーク中継され、このフィルタリングテーブル6は、侵入検知部4による検出結果に基づいて更新され、(【0037】)
オトリ誘導部3は、内部バス7を介して、フィルタリング処理部5から、オトリ誘導すべきパケットを受信し、オトリネットワーク40上のオトリ端末装置41へ送出し、(【0038】)
外部端末装置21から内部端末装置31に対して送信されたパケットは、外部ネットワーク20を介してオトリ誘導装置1により受信され、この受信パケットは、パケット中継部2のフィルタリング処理部5へ入力されるとともに、侵入検知部4にも入力され、この侵入検知部4は、パケット中継部2の入り口でプロミスカスモードかつステルスモードで通信を傍受しており、(【0039】)
パケットを受信したフィルタリング処理部5は、フィルタリングテーブル6に基づいて、送信元又は送信先情報、例えば、送信元IP(Internet Protocol)アドレス、送信先IPアドレス、送信元TCP(Transmission Control Protocol)ポート番号、送信先TCPポート番号、送信元UDP(User Datagram Protocol)ポート番号または送信先UDPポート番号をチェックし、(【0040】)
この結果、フィルタリングテーブル6において、破棄の指定がされているパケットは、フィルタリング処理部5によって破棄され、オトリ誘導の指定がされているパケットがオトリサイト(オトリネットワーク40のオトリ端末装置41)へ誘導され、ともに内部ネットワーク30には送出されず、一方、破棄および誘導等の指定がされていないパケットは内部ネットワーク30へ送出され、(【0041】)
オトリ誘導システムにおけるパケットの流れとして、外部ネットワーク20から内部ネットワーク30に対して送信されたパケットは、フィルタリングテーブル6に基づいて、<1>破棄され、<2>オトリネットワーク40へオトリ誘導され、あるいは、<3>内部ネットワーク30へ中継され、(【0042】)
一方、パケットを傍受した侵入検知部4は、所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別し、不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、フィルタリング処理部5へ通知し、フィルタリングテーブル6が更新され、(【0043】)
不正アクセスが疑われるパケットが検出された場合には、当該パケットがオトリ誘導の対象に追加され、不正アクセスパケットであることが検出された場合には、破棄の対象に追加され、逆に、オトリ誘導又は破棄の対象が、正常アクセスパケットであることが検出された場合には、これらの対象から除外され、この様なポリシーは予め任意に決定され、侵入検知部4に対し与えられており、(【0044】)
外部ネットワーク20から内部ネットワーク30へのパケットのうち、不正アクセスの疑いのあるパケットをオトリ端末装置41に誘導することによって、内部ネットワーク30への不正アクセスを未然に防止することができる、(【0046】)
パケット中継システムおよびオトリ誘導システム。」

(2)また、上記引用文献1には、上記引用発明以外に、従来の技術として、図面とともに次の事項が記載されている。

「【0002】
【従来の技術】図13は、従来の侵入検知システムの構成および動作を示した図である。図中の1はパケット中継装置、20は外部ネットワーク、21は外部端末装置、30は内部ネットワーク、31は内部端末装置、50は管理者端末、51は解析装置である。」

「【0007】解析装置51は、パケット中継装置1および内部ネットワーク30を監視し、通信データの記録等を行うことによって、外部ネットワーク20から内部ネットワーク30への不正アクセス検知の手掛かりとなる情報を収集する。収集された情報は、解析装置51において解析され、ネットワーク管理者の管理者端末装置50へ通知される。」

したがって、当該引用文献1には、「パケット中継装置1および内部ネットワーク30を監視し、通信データの記録等を行うことによって、外部ネットワーク20から内部ネットワーク30への不正アクセス検知の手掛かりとなる情報を収集し、収集された情報を解析し、ネットワーク管理者の管理者端末装置50へ通知する解析装置51を備える侵入検知システム」という技術的事項についても記載されていると認められる。

(3)また、上記引用文献1には、上記(1)及び(2)以外にも、他の実施の形態として、図面とともに次の事項が記載されている。

「【0087】実施の形態7.図11は、本発明の実施の形態7によるオトリ誘導システムの構成および動作の一例を示した図である。図中の1はパケット中継装置、20は外部ネットワーク、30は内部ネットワーク、41はオトリ端末装置、43はネットワーク監査装置である。
【0088】通常運用時、外部ネットワーク20からのパケットは内部ネットワーク30へ直接中継されると共に、すべての通信パケットはコピーされ、オトリ端末装置41へも送信される。パケットを受け取ったオトリ端末装置41では、受け取ったパケット情報を解析し、特定の閾値を超える数の通信が発生していた場合、その通信情報を特定の送信元IPアドレス、特定の送信先IPアドレス、特定の送信元TCPポート番号、特定の送信先TCPポート番号、特定の送信元UDPポート番号または特定の送信先UDPポート番号で指定し、内部ネットワーク30の監査に用いる。具体的には、ネットワーク監査装置43上の監査プログラムから同様のパケットを発生させ、内部ネットワーク30の抗堪性を測定する。」

したがって、当該引用文献1には、「外部ネットワーク20からのパケットは内部ネットワーク30へ直接中継されると共に、すべての通信パケットはコピーされ、オトリ端末装置41へも送信され、パケットを受け取ったオトリ端末装置41では、受け取ったパケット情報を解析し、特定の閾値を超える数の通信が発生していた場合、その通信情報を内部ネットワーク30の監査に用いるオトリ誘導システム」という技術的事項についても記載されていると認められる。

2.引用文献2の記載事項について
原査定の拒絶の理由に引用された上記引用文献2には、図面とともに次の事項が記載されている。

「6.4 選択的ポートミラーリング

OpenFlowを利用したポートミラーリングもできます。ここでは、単純にすべてをコピーする場合、選択したフローのみを取り出す場合、複数の機器からフローを集める場合の3種類を考えています。

6.4.1 単純なポートミラーリング
まず最初に、パケットの選別を行わない単純なポートミラーリングを考えます。ネットワーク構成は、図6.7のようになっています。
この例では、OpenFlowスイッチの物理ポート1からの入力パケットを、すべて物理ポート2と3へと送信しています。」(第130頁第9行?17行)


したがって、当該引用文献2には、「OpenFlowスイッチにおいて、物理ポート1からの入力パケットを、すべて物理ポート2及び3へ送信する、ポートミラーリング」という技術的事項が記載されていると認められる。

3.引用文献3の記載事項について
原査定の拒絶の理由に引用された上記引用文献3には、図面とともに次の事項が記載されている。

「【0020】
本発明のさらに他のアスペクト(側面)に係る監視制御方法は、監視対象とされる複数の伝送装置と監視制御装置との間に介在し、複数の伝送装置から発せられるそれぞれの障害に係るアラーム情報を集約して監視制御装置に通知する監視制御統合部を備える伝送監視制御システムにおける監視制御方法であって、監視制御統合部がアラーム情報を通知するに際し、アラーム情報のうち、波及障害となるアラーム情報をマスクするように制御するステップと、アラーム情報のうち、主要因となる障害に係るアラーム情報のみを監視制御装置に通知するステップと、を含む。」

したがって、上記引用文献3には、「複数の伝送装置から発せられるそれぞれの障害に係るアラーム情報を集約して、波及障害となるアラーム情報をマスクし、監視制御装置に通知する伝送監視制御システム」という技術的事項が記載されていると認められる。

4.引用文献4の記載事項について
原査定の拒絶の理由に引用された上記引用文献4には、図面とともに次の事項が記載されている。

「【0063】
イベント/アラーム関連エンジン
本実施例では、アプライアンスであるNetGain Enterprise Manager(600)は、装置、サービス、およびアプリケーションなどの様々な個別の資源(604)からの、統一されたアラーム管理(606)を提供する。アラームの失敗情報は、関連ルールのインテリジェントセットを介して、冗長な情報を削除し、問題の原因を孤立させ素速く特定し解決する。アラーム管理処理(1000)が、図10に示されている。
【0064】
アラーム関連ルールは、各アラームに適用され、ルールにより規定するように、他のアラーム情報に対して伝達される。サポートされる関連ルールは、アラーム根本原因ルール、アラーム閾値カウントルール、およびアラーム一時関連ルールである。
【0065】
アラーム根本原因ルールは、時間窓内で、オブジェクトのアラームの根本原因と従属的なオブジェクトのアラームとの関係を決定する。このようなルールは、ウェブサーバとウェブサイトのような、よく知られている従属関係として定義される。従属的なアラームの前に根本原因であるアラームが到着した場合(1002)、従属的なアラームは、根本原因が時間窓内で確定するまで送信されない。他のアラームの確認はまた、ステージ1004に示すように実行される。この動作は、根本原因を素早く特定するとももに、従属的なアラームから焦点をそらすことができる。以下は、このアラームの例である。ウェブサーバがダウンした場合、ウェブサイトもダウンする。したがって、根本原因のアラーム“ウェブサーバのダウン”が、“ウェブサイトのダウン”アラームが到着する前に妥当な時間内に存在する場合、“ウェブサイトのダウン”アラームは、送信されない。」

したがって、上記引用文献4には、「冗長な情報を削除し、問題の原因を孤立させ素速く特定し解決するアラーム管理処理であって、アラーム関連ルールとして、従属的なアラームの前に根本原因であるアラームが到着した場合、従属的なアラームは、根本原因が時間窓内で確定するまで送信されない、というアラーム根本原因ルールが適用されるアラーム管理処理」という技術的事項が記載されていると認められる。

第5 対比・判断

1.本願発明1について

(1)対比
上記本願発明1と上記引用発明とを対比すると、次のことがいえる。

ア.引用発明の「オトリ誘導システム」は、「外部ネットワーク20および内部ネットワーク30に接続され」た「オトリ誘導装置1」が「両ネットワーク間でパケット中継を行うパケット中継装置」として、「外部ネットワーク20」からの「攻撃(不正アクセス)」を「検出」するものであり、「例えば、内部ネットワーク30に不正にアクセスしようとする不正アクセスパケットは破棄され、不正アクセスの疑いのある被疑パケットはオトリネットワーク40へ誘導され、その他の通常パケットは、内部ネットワーク30へ送出され」るという一連の「方法」を実施するシステムといえる。また、前記「攻撃(不正アクセス)」は、前記「オトリ誘導装置1」である「パケット中継装置」を介して、「外部ネットワーク20」に接続された「内部ネットワーク30」の「内部端末装置31」に対して送信されたパケットから検出されるものであるから、
引用発明の「外部ネットワーク20」、「内部端末装置31」、「攻撃(不正アクセス)」及び「オトリ誘導装置1」である「パケット中継装置」は、それぞれ本願発明1の「通信ネットワーク(115)」、「作業環境(101)」、「攻撃」及び「ネットワーク接続要素(105)」に相当し、引用発明の上記「オトリ誘導システム」が実施する一連の「方法」は、後述する相違点を除き、本願発明1における「方法」に相当するといえる。
また、引用発明の「侵入検知部4」は、前記「オトリ誘導装置1」の1つの構成として「接続され」ているということができ、「パケット中継部2の入り口でプロミスカスモードかつステルスモードで通信を傍受して」いること、すなわち、「オトリ誘導装置1」の入り口で、プロミスカスモード(無差別形式)で受信パケットを傍受していることから、本願発明1の「前記ネットワーク接続要素(105)に接続され」た「ネットワーク監視要素(107)」に相当するといえる。
以上のことから、引用発明の「オトリ誘導システム」が実施する一連の方法と、本願発明1の「方法」とは、「通信ネットワーク(115)に接続された作業環境(101)への攻撃を検出する方法(600)であって、ネットワーク接続要素(105)は前記作業環境(101)と前記通信ネットワーク(115)の間に介在し、ネットワーク監視要素(107)が前記ネットワーク接続要素(105)に接続され」る点で共通しているといえる。

イ.引用発明の「オトリネットワーク40上のオトリ端末装置41」は、「オトリ誘導装置1」である「パケット中継装置」を介して「外部ネットワーク20」に接続されており、「外部ネットワーク20から内部ネットワーク30へのパケットのうち、不正アクセスの疑いのあるパケット」が「誘導」されることによって、「内部ネットワーク30への不正アクセスを未然に防止することができる」ものであるから、当該「オトリ端末装置41」は、「内部ネットワーク30」上の「内部端末装置31」の「オトリ」であり、当該「オトリ」であることは、本願発明1の「電子的に模擬する」ことに相当するといえる。よって、引用発明の「オトリ端末装置41」は、後述する相違点を除き、本願発明1における「前記作業環境(101)を電子的に模擬する」「ネットワークセキュリティ要素(103)」に相当するといえる。
したがって、引用発明は、本願発明1の「前記通信ネットワーク(115)に接続されたネットワークセキュリティ要素(103)によって前記作業環境(101)を電子的に模擬するステップ(601)」との構成を有するといえる。

ウ.引用発明の「外部ネットワーク20から内部ネットワーク30へのパケットのうち、不正アクセスの疑いのあるパケット」は、「オトリネットワーク40上のオトリ端末装置41」に「誘導」されることから、当該「誘導」されるパケットの流れは、本願発明1の「ネットワークトラフィック(202)」に相当する。
そして、引用発明の「フィルタリング処理部5」は、「外部ネットワーク20から送信されたパケットに対し、内部ネットワーク30への中継、オトリネットワーク40への誘導、破棄のいずれかの処理(フィルタリング処理)」を行っており、この処理は、「フィルタリングテーブル」に基づいて行われ、
当該「フィルタリングテーブル6」は、「フィルタリング処理を規定するデータが記憶されており、パケットヘッダに含まれる送信元又は送信先に関する情報と、当該パケットに対するフィルタリング処理とが関連づけられており、破棄すべきパケットおよびオトリ誘導すべきパケットとして、パケットの送信元又は送信先情報が記憶されて」いることから、引用発明の「フィルタリングテーブル6」は、「オトリネットワーク40上のオトリ端末装置41」に「誘導」されるパケットに関する情報を、「登録」しているといえる。
したがって、引用発明の「フィルタリングテーブル6」において「フィルタリング処理を規定するデータ」として「パケットの送信元又は送信先情報が記憶され」ることは、本願発明1の「前記ネットワークセキュリティ要素(103)においてネットワークトラフィック(202)を登録するステップ」とは、「ネットワークトラフィック(202)を登録するステップ(602)」の構成を有する点で共通している。

エ.引用発明の「侵入検知部4」は、「傍受したパケットが不正アクセスパケットかどうか」の「判別」を、「所定の不正アクセスパターンによりパターンマッチング」により行っていることから、「傍受したパケット」と、「所定の不正アクセスパターン」を比較しているといえる。よって、引用発明の「所定の不正アクセスパターン」は、本願発明1の「所定のネットワークトラフィック(204)」に相当するといえる。
したがって、引用発明は、本願発明1の「前記登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較するステップ(603)」との構成を有するといえる。

オ.引用発明の「侵入検知部4」は、「所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別し、不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、フィルタリング処理部5へ通知し、フィルタリングテーブル6が更新され」るという動作を行っていることから、前記「傍受したパケット」と、前記「所定の不正アクセスパターン」を比較した結果に応じて、「傍受したパケット」の「フィルタリング処理」を実施するために「フィルタリング処理部5」に「通知」を行っている。
したがって、引用発明の「侵入検知部4」の上記動作と、本願発明1に記載された「前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)の間に乖離がある場合に第1の攻撃警告信号(110)をトリガするステップ(604)」とは、「前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)とを比較した結果に応じて通知するステップ(604)」を有する点で共通している。

カ.引用発明において、「外部端末装置21から内部端末装置31に対して送信されたパケットは、外部ネットワーク20を介してオトリ誘導装置1により受信され」ることから、引用発明における当該「外部端末装置21から内部端末装置31に対して送信されたパケット」の流れは、本願発明1における「前記ネットワーク接続要素におけるネットワークトラフィック」に相当する。
そして、「この受信パケットは、パケット中継部2のフィルタリング処理部5へ入力されるとともに、侵入検知部4にも入力され」る(【0039】)ことから、「オトリ誘導装置1」により受信され、「フィルタリング処理部5」へ入力される「受信パケット」は、「侵入検知部4にも入力され」るように、「複製」されているといえる。
したがって、引用発明は、本願発明1の「前記ネットワーク接続要素におけるネットワークトラフィックを前記ネットワーク監視要素に複製するステップ」との構成を有するといえる。

キ.上記カ.で示したように、引用発明における「外部端末装置21から内部端末装置31に対して送信されたパケット」の流れは、本願発明1における「前記ネットワーク接続要素におけるネットワークトラフィック」に相当し、同じく本願発明1における「ネットワークトラフィック(302)」に相当するといえる。
そして、引用発明の「フィルタリングテーブル6」は、「フィルタリング処理を規定するデータが記憶されており、パケットヘッダに含まれる送信元又は送信先に関する情報と、当該パケットに対するフィルタリング処理とが関連づけられており、破棄すべきパケットおよびオトリ誘導すべきパケットとして、パケットの送信元又は送信先情報が記憶されており、」「送信元又は送信先情報がフィルタリングテーブル6と一致するパケットは、破棄され、あるいは、オトリ誘導される一方、その他のパケットはネットワーク中継され」るものであり、「このフィルタリングテーブル6」は、「侵入検知部4による検出結果に基づいて更新され」る(【0038】)こと、
また、上記ア.で示したように、引用発明の「侵入検知部4」は、「オトリ誘導装置1」の入り口で、プロミスカスモード(無差別形式)で受信パケットを傍受し、
上記オ.で示したように、引用発明の「侵入検知部4」は、「所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別し、不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、フィルタリング処理部5へ通知し、フィルタリングテーブル6が更新され、」
そして、「不正アクセスが疑われるパケットが検出された場合には、当該パケットがオトリ誘導の対象に追加され、不正アクセスパケットであることが検出された場合には、破棄の対象に追加され、逆に、オトリ誘導又は破棄の対象が、正常アクセスパケットであることが検出された場合には、これらの対象から除外され」る(【0044】)ことから、
まとめると、引用発明の「侵入検知部4」(上記ア.に示したように、本願発明1の「ネットワーク監視要素(107)」に相当。)は、「外部端末装置21から内部端末装置31に対して送信されたパケット」を、プロミスカスモード(無差別形式)で傍受し、「フィルタリングテーブル6」に対し、当該傍受したパケットを、「オトリ誘導の対象に追加」、「破棄の対象に追加」、或いは逆に、「対象から除外」するという「更新」、すなわち「登録」を行っているといえる。
したがって、引用発明は、本願発明1の「前記ネットワーク監視要素(107)によって前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録するステップ」との構成を有するといえる。

ク.引用発明の「侵入検知部4」は、「所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別」していることから、当該「侵入検知部4」によって、「不正アクセスパケット」であるとの「判別」がなされることは、本願発明1の「異常(304)が識別された場合」に相当する。
そして、上記オ.で示したように、引用発明の「侵入検知部4」は、「所定の不正アクセスパターンによりパターンマッチングを行って、傍受したパケットが不正アクセスパケットかどうかを判別し、不正アクセスパケットを受信した場合、あらかじめ定められたポリシー(不正アクセスの種類とそれに対する対策の関係)に従って、送信元又は送信先情報と、それに関連づけられるフィルタリング処理(破棄又は誘導)を決定し、フィルタリング処理部5へ通知し、フィルタリングテーブル6が更新され」るという動作を行っていることから、前記「傍受したパケット」が、前記「不正アクセスパケット」であるとの「判別」がなされた場合、すなわち、「不正アクセスパケットを受信した場合」、「傍受したパケット」の「フィルタリング処理」を実施するために「フィルタリング処理部5」に「通知」を行っている。
したがって、引用発明の「侵入検知部4」の上記動作と、本願発明1に記載された「前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に第2の攻撃警告信号(112)をトリガするステップ」とは、「前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に通知するステップ」を有する点で共通している。

したがって、本願発明1と引用発明との間には、次の一致点、相違点があるといえる。

<一致点>
「 通信ネットワーク(115)に接続された作業環境(101)への攻撃を検出する方法(600)であって、ネットワーク接続要素(105)は前記作業環境(101)と前記通信ネットワーク(115)の間に介在し、ネットワーク監視要素(107)が前記ネットワーク接続要素(105)に接続され、前記方法は、
前記通信ネットワーク(115)に接続されたネットワークセキュリティ要素(103)によって前記作業環境(101)を電子的に模擬するステップ(601)、
ネットワークトラフィック(202)を登録するステップ(602)、
登録された前記ネットワークトラフィック(202)を所定のネットワークトラフィック(204)と比較するステップ(603)、
前記登録されたネットワークトラフィック(202)と前記所定のネットワークトラフィック(204)とを比較した結果に応じて通知するステップ(604)、
前記ネットワーク接続要素におけるネットワークトラフィックを前記ネットワーク監視要素に複製するステップ、
前記ネットワーク監視要素(107)によって前記ネットワーク接続要素(105)においてネットワークトラフィック(302)を登録するステップ、
前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合に通知するステップ、
を備える方法(600)。」

<相違点>
(相違点1)「ネットワークトラフィック(202)を登録する」ことが、本願発明1では、「前記ネットワークセキュリティ要素(103)において」なされるのに対し、引用発明では、「オトリ誘導装置1」である「パケット中継装置」における「フィルタリングテーブル6」において、なされる点。

(相違点2)「登録されたネットワークトラフィック(202)」と「所定のネットワークトラフィック(204)」とを比較した結果に応じて通知がなされるのは、本願発明1では、両者の間に乖離がある場合であるのに対し、引用発明では、「傍受したパケット」が「不正アクセスパケット」かどうかの「判別」によってなされるため、本願発明1のように、両者の間に乖離がある場合ではない点。

(相違点3)「登録されたネットワークトラフィック(202)」と「所定のネットワークトラフィック(204)」とを比較した結果に応じてなされる通知は、本願発明1では、「第1の攻撃警告信号(110)をトリガ」するものであるのに対し、引用発明では、「侵入検知部4」から「フィルタリング処理部5」への通知であって、本願発明1のような特定がなされていない点。

(相違点4)「前記ネットワーク接続要素(105)において登録された前記ネットワークトラフィック(302)に異常(304)が識別された場合」になされる通知は、本願発明1では、「第2の攻撃警告信号(112)をトリガ」するものであるのに対し、引用発明では、「侵入検知部4」から「フィルタリング処理部5」への通知であって、本願発明1のような特定がなされていない点。

(相違点5)本願発明1では、「第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成するステップ」を備えるのに対し、引用発明では、そのような特定がなされていない点。

(2)相違点についての判断
事案に鑑み、「攻撃警告信号」に関して互いに関連する、相違点3?5について、先にまとめて検討する。
相違点3に係る本願発明1の通知である「第1の攻撃警告信号(110)」と、相違点4に係る本願発明1の通知である「第2の攻撃警告信号(112)」とは、それぞれ「第1の」及び「第2の」と区別して記載されている。
ここで、前者の「第1の攻撃警告信号(110)」は、「前記ネットワークセキュリティ要素(103)」において「登録」(相違点1参照)された、特定の「前記ネットワークトラフィック(202)」のみを攻撃に関する検出対象とするものである一方、
後者の「第2の攻撃警告信号(112)」は、「前記ネットワーク接続要素(105)において登録された」「前記ネットワークトラフィック(302)」のすべてを攻撃に関する検出対象とするものであることから、両者は検出対象が異なる別々の信号であって、前者が対象とする「前記ネットワークトラフィック(202)」よりも、後者が対象とする「前記ネットワークトラフィック(302)」は、「上位のネットワークトラフィック」を監視するものということができる。
そうすると、相違点5に係る本願発明1の「第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成する」という構成は、「警告アラート」を、下位・上位の関係である「ネットワークトラフィック(202)」及び「ネットワークトラフィック(302)」をそれぞれ攻撃に関する検出対象とする「第1の攻撃警告信号」及び「第2の攻撃警告信号」に基づいて生成することで、「攻撃がより高い信頼性で検出されるという効果を有する」(本願の明細書の段落【0039】を参照)ものであるといえる。

一方、引用発明における、上記相違点3及び相違点4に係る「通知」は、いずれも、すべてのパケットを傍受して監視する「侵入検知部4」から「フィルタリング処理部5」への「フィルタリング処理」を決定するための通知であることから、
相違点3及び相違点4に係る引用発明の「通知」は、同一の「傍受したパケット」に基づき決定されるものであり、本願発明1のように、下位・上位の関係である「ネットワークトラフィック」をそれぞれ攻撃に関する検出対象とするものではない。

ここで、複数のアラーム情報から、波及障害或いは冗長となるアラーム情報をマスク或いは削除してアラーム情報を集約して送信することは、上記「第4.3.」の引用文献3、及び上記「第4.4.」の引用文献4に記載されているとおり、本願優先日前において周知技術であったといえる。
しかしながら、引用発明における上記相違点3及び相違点4に係る、同一の「傍受したパケット」に基づき決定される「通知」に対し、当該周知技術を付加したとしても、下位・上位の関係である「ネットワークトラフィック」を検出対象とするものである本願発明1の上記相違点5に係る「第1の攻撃警告信号及び第2の攻撃警告信号に基づいて警告アラートを生成する」構成には至らない。

また、引用文献2には、上記「第4.2.」に示したように、「OpenFlowスイッチにおいて、物理ポート1からの入力パケットを、すべて物理ポート2及び3へ送信する、ポートミラーリング」という技術的事項が記載されているに過ぎず、上記相違点3?5に係る一連の構成は記載も示唆もされていない。

また、引用文献1には、従来の技術、及び、他の実施の形態として、上記「第4.1.(2)」及び「第4.1.(3)」に示した、上記引用発明以外のその他の技術的事項が特定されているが、いずれも、上記相違点3?5に係る一連の構成は記載も示唆もされていない。

さらに、上記相違点3?5に係る一連の構成が、周知技術であるとも認められない。

したがって、上記相違点1、2について判断するまでもなく、本願発明1は、当業者であっても引用発明、引用文献1に記載されたその他の技術的事項、及び引用文献2?4に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

2.本願発明10について

本願発明10は、本願発明1に対応するシステムの発明であり、本願発明1の上記相違点3?5に係る一連の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても引用発明、引用文献1に記載されたその他の技術的事項、及び引用文献2?4に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

3.本願発明2?9について

本願発明2?9も、本願発明1の上記相違点3?5に係る一連の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても引用発明、引用文献1に記載されたその他の技術的事項、及び引用文献2?4に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

4.本願発明11について

本願発明11も、本願発明10と同様に、上記相違点3?5に係る一連の構成を備えるものであるから、本願発明10と同じ理由により、当業者であっても引用発明、引用文献1に記載されたその他の技術的事項、及び引用文献2?4に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

第6 むすび

以上のとおり、本願発明1?11は、当業者が引用発明、引用文献1に記載されたその他の技術的事項、及び引用文献2?4に記載された技術的事項に基づいて容易に発明をすることができたものではない。したがって、原査定の理由によっては、本願を拒絶することはできない。
また、他に本願を拒絶すべき理由を発見しない。
よって、結論のとおり審決する。

 
審決日 2020-12-22 
出願番号 特願2017-501377(P2017-501377)
審決分類 P 1 8・ 121- WY (H04L)
最終処分 成立  
前審関与審査官 中川 幸洋玉木 宏治松崎 孝大  
特許庁審判長 稲葉 和生
特許庁審判官 角田 慎治
太田 龍一
発明の名称 通信ネットワークに接続された作業環境への攻撃を検出する方法  
代理人 吉澤 弘司  
代理人 岡部 讓  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ