• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特36条4項詳細な説明の記載不備 取り消して特許、登録 H04L
審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 取り消して特許、登録 H04L
審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1372004
審判番号 不服2019-6483  
総通号数 257 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-05-28 
種別 拒絶査定不服の審決 
審判請求日 2019-05-17 
確定日 2021-04-02 
事件の表示 特願2017-153354「ファイアウォール装置の制御装置及びプログラム」拒絶査定不服審判事件〔平成29年11月16日出願公開、特開2017-204890、請求項の数(9)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯
本願は、平成26年2月17日に出願した特願2014-27465号の一部を平成29年8月8日に新たな特許出願としたものであって、その手続の経緯は以下のとおりである。
平成30年 7月18日付け:拒絶理由通知書
平成30年 9月 4日 :意見書の提出
平成31年 2月28日付け:拒絶査定(以下、「原査定」という。)
令和 元年 5月17日 :審判請求書の提出
令和 2年 8月31日付け:拒絶理由(以下、「当審拒絶理由」という
。)通知書
令和 2年10月30日 :意見書、手続補正書の提出

第2 原査定の概要
原査定(平成31年 2月28日付け拒絶査定)の概要は、次のとおりである。
本願請求項1ないし9に係る発明は、以下の引用文献AないしCに基づいて、その発明の属する技術の分野における通常の知識を有する者(以下、「当業者」という。)が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができない。

引用文献等一覧
A.特開2008-160803号公報
B.特開2006-115059号公報
C.特開2009- 77030号公報

第3 当審拒絶理由の概要
令和 2年 8月31日付けの当審が通知した拒絶理由の理由は、概略、次のとおりのものである。

1.(進歩性)本願請求項1ないし9に係る発明は、以下の引用文献1ないし7に基づいて、当業者が容易に発明できたものであるから、特許法第29条第2項の規定により特許を受けることができない。

2.(明確性)本願は、特許請求の範囲の請求項1ないし9の記載が、特許法第36条第6項第2号に規定する要件を満たしていない。

3.(サポート要件)本願は、特許請求の範囲の請求項1ないし9の記載が、特許法第36条第6項第1号に規定する要件を満たしていない。

4.(委任省令要件)本願は、発明の詳細な説明の記載について、特許法第36条第4項第1号に規定する要件を満たしていない。

引用文献等一覧
1.特開平11-168511号公報
2.特開2008-160803号公報(原査定の引用文献A)
3.特開2010- 26547号公報
4.特表2012-517161号公報
5.特開2009- 77030号公報(原査定の引用文献C)
6.特開2011- 60249号公報
7.特開2000-174808号公報

第4 本願発明
本願請求項1ないし9に係る発明は、令和2年10月30日に提出された手続補正書の特許請求の範囲の請求項1ないし9に記載された事項により特定されるものであると認められるところ、請求項1ないし9に係る発明(以下、それぞれ「本願発明1」ないし「本願発明9」という。)は、以下のとおりの発明である(補正箇所に下線を付した)。

「 【請求項1】 複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられた、各ネットワークの管理者のアカウント情報と、を保持する保持手段と、
アカウント情報を使用してアクセスした管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段と、 一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段と、を備えている制御装置であって、
前記制御装置は、前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報と、前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、前記通信元の端末及び前記通信先の端末それぞれの最寄りの2つのファイアフォール装置、或いは、前記通信元の端末及び前記通信先の端末による通信が経由する複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段をさらに備えていることを特徴とする制御装置。
【請求項2】 アカウント情報を使用してアクセスした管理者に対して、該アカウント情報に関連付けられたネットワークの端末のアドレスを該管理者に編集させる第2編集手段をさらに備えていることを特徴とする請求項1に記載の制御装置。
【請求項3】 前記生成手段は、前記一人以上の管理者が編集したルールから、その通信元及び通信先の端末が設定対象のファイアウォール装置の配下の端末であるルールを取り出すことで、前記設定対象のファイアウォール装置に設定するルールを生成することを特徴とする請求項1又は2に記載の制御装置。
【請求項4】 前記一人以上の管理者が編集したルールを、所定の集約基準に従い集約する集約手段をさらに備えていることを特徴とする請求項1から3のいずれか1項に記載の制御装置。
【請求項5】 前記所定の集約基準は、通信プロトコルが同一で、かつ、送信元の端末が同一であるルールを1つのルールに集約することと、通信プロトコルが同一で、かつ、送信先の端末が同一であるルールを1つのルールに集約することと、送信元の端末が同一で、かつ、送信先の端末が同一であるルールを1つのルールに集約することの少なくとも1つを含むことを特徴とする請求項4に記載の制御装置。
【請求項6】 前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき前記一人以上の管理者が編集したルールのうち、ファイアウォール装置を経由しない通信を示すルールを削除する削除手段をさらに備えていることを特徴とする請求項1から5のいずれか1項に記載の制御装置。
【請求項7】 複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられた、各ネットワークの管理者のアカウント情報と、を保持する保持手段と、
アカウント情報を使用してアクセスした管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段と、
一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段と、
前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき前記一人以上の管理者が編集したルールのうち、ファイアウォール装置を経由しない通信のルールを削除する削除手段と、を備えていることを特徴とする制御装置。
【請求項8】 ファイアウォール装置に設定したルールに適合したパケットの数を示す情報を当該ファイアウォール装置から取得し、前記取得したパケットの数を示す情報に基づきルールの適用順序を決定する決定手段をさらに備えていることを特徴とする請求項1から7のいずれか1項に記載の制御装置。
【請求項9】 請求項1から8のいずれか1項に記載の制御装置としてコンピュータを機能させることを特徴とするプログラム。」

第5 引用文献、引用発明等
1.引用発明1、引用文献1-4
(1)引用文献1記載事項
ア 段落【0013】-段落【0024】
「【0013】
【発明の実施の形態】ファイアウォールにおいて、例えば、別個のローカルエリアネットワーク(LAN)間あるいはLANのサブネット間でのデータの流れを制御する好ましい技術が実現される。以下で、本発明の実施例は、プロセスに関して説明する。このようなプロセスの効率的なプロトタイプは、汎用PCハードウェア上に実装するためにプログラミング言語Cを用いて、コンピュータシステムソフトウェアとして実現されている。専用のファームウェアあるいはハードウェアのコンピュータシステム実装により、さらに効率を向上させることも可能である。
【0014】1.複数のセキュリティドメインのサポート複数のセキュリティドメインをサポートする能力により、単一のファイアウォールが、それぞれ別々のセキュリティポリシーを有する複数のユーザをサポートすることが可能となる。また、相異なるセキュリティポリシーをサブサイト間の通信に適用することができるため、このような能力は、サイト内でも使用可能である。それぞれの構成を図1および図2に例示する。
【0015】図1に、インターネット105への接続にファイアウォールを有する4つのユーザサイト101?104(例として、会社A?D)を示す。このような保護は、ファイアウォール設備によって提供される。ファイアウォール設備は、ここではLAN110の形態であり、ファイアウォールプロセッサ111、113および114、アドミニストレータプロセッサ115、ルータ116ならびにウェブサーバ117を有する。ファイアウォールプロセッサ113および114はそれぞれ単一のサイト(すなわち、それぞれサイト103および104)専用である。ファイアウォールプロセッサ111は、2つのサイト101および102にサービスするように設定される。ファイアウォールプロセッサ111は、2つのサイトそれぞれとインターネット105との間、および、2つのサイト間の通信に、別々のファイアウォールポリシーを実装する。ファイアウォールプロセッサ111の好ましい動作のためのプロセスについて、複数のファイアウォールポリシーのうちからの適切な選択を含めて、図5および図6を参照して後述する。
【0016】図2に、ファイアウォールプロセッサ211を通じてインターネット105に接続されたユーザサイト201を示す。アドミニストレータプロセッサ215およびルータ216は、ファイアウォールプロセッサ211に接続される。ルータ216は、ユーザサイト201の内部にある別のファイアウォールプロセッサ212および213に接続される。ファイアウォールプロセッサ212は、単一のサブサイト223(例として人事(HR))を保護する。ファイアウォール213は、2つのサブサイト(例として、給与(P)および支払(D))を、サイト201の残りの部分に対して、および、サブサイト221と222の間の通信に関して、保護するように設定される。これは、ファイアウォールプロセッサ213において、図5および図6で例示されるプロセスを用いることによって達成される。
【0017】セキュリティポリシーは、アクセスルールのセットによって表現される。アクセスルールのセットは、表(テーブル)形式で表され、ファイアウォールアドミニストレータによってファイアウォールにロードされる。図3に示すように、このようなテーブルは、ルール番号、ソースおよびデスティネーションのホストの名称、パケットで要求されることが可能な特殊サービスの名称、および、パケットに対してなされるアクションの指定を含むカテゴリに対して与えられる。特殊サービスには、例えば、プロキシサービス、ネットワークアドレス翻訳、および、暗号化が含まれる。図3では、「ソースホスト」、「デスティネーションホスト」および「サービス」というカテゴリは、パケットに対して指定されたアクションがなされるために、そのパケットに含まれるデータが満たさなければならない条件を課している。他の条件を含めることも可能であり、そのような条件は、必ずしも、パケットに含まれるデータに関係する必要はない。例えば、ルールの適用は、日時に関して条件づけられることも可能である。
【0018】あるルールにおいて、ルールテーブルに与えられたカテゴリが無関係である場合、対応するテーブルエントリは「ワイルドカード」とマークされる。これは、任意のカテゴリあるいはカテゴリの組合せに適用可能である。図3などでは、ワイルドカードエントリにアステリスク(*)を用いている。「FTP」はファイル転送プロトコル(file transfer protocol)を表す。
【0019】パケットに対するルール処理において、パケットによって満たされるルールが見つかるまで(または、ルールテーブルの最後まで。その場合、そのパケットは廃棄される。)、ルールは順に適用される。ルールを満たすパケットに対して、そのルールに含まれる各条件が満たされなければならない。例えば、図3において、ソースホストAからデスティネーションホストDへの、メールを表すパケットは、ルール20により廃棄される。以下は、本発明による例示的なルールセットカテゴリのさらに詳細なリストである。最初の5個のカテゴリ名は、図3のカテゴリに対応する。
【0020】カテゴリ名:ルール番号説明:ドメイン内のルールの番号。ルール番号は、一意的である必要はないが、一般に、単一のサービス(例えばFTP)を表すべきである。
【0021】カテゴリ名:ソースホスト説明:ソースホストグループの識別子またはIPアドレス。
【0022】カテゴリ名:デスティネーションホスト説明:デスティネーションホストグループの識別子またはIPアドレス。
【0023】カテゴリ名:サービス説明:サービスのグループまたはプロトコル/デスティネーションポート/ソースポート。
【0024】カテゴリ名:アクション説明:ルールアクション、例えば、「通過」、「廃棄」または「プロキシ」。」

イ 段落【0066】
「【0066】各ネットワークインタフェースからドメインへの簡便なリンクのために、ドメインテーブルが用いられる。インタフェースが複数のドメインによって共有されている場合、アドレスレンジが含められる。これは図7に例示されている。図7には、重複のないアドレスレンジが示されている。」

ウ 段落【0082】-段落【0083】
「【0082】4.動的ルール動的ルールは、例えばルール処理エンジンによって、アクセスルールとともに処理するために、必要が生ずるのに応じてアクセスルールとともに含められるルールである。動的ルールは、例えば、特定のソースおよびデスティネーションのポート番号のような、固有の現在の情報を含むことが可能である。動的ルールは、信頼されたパーティ、例えば、信頼されたアプリケーション、リモートプロキシあるいはファイアウォールアドミニストレータによって、特定のネットワークセッションに権限を与えるためにいつでもロードされることが可能である。動的ルールは、単一セッション用に設定されることも可能であり、あるいは、その使用は期限付きとすることも可能である。動的ルールによれば、ルールセット全体をリロードすることを要求することなく、与えられたルールセットを、ネットワークで起こるイベントに基づいて修正することが可能となる。
【0083】動的ルールの例としては、単一のセッションに対してのみ用いられる「ワンタイム」ルール、指定された期間に対してのみ用いられる時限ルール、および、ある条件が満たされたときにのみ用いられるしきい値ルールがある。他のタイプの動的ルールとしては、ホストグループを定義するルールがある。この動的ルールによれば、アクセスルールセットの他の事項を変更せずに、ホストを追加あるいは削除するようにホストグループを変更することができる。他の動的ルールとしては、ある特定のタイプの処理アプリケーションにおけるルールセットアップを容易にするために用いられるものがある。例えば、FTPプロキシアプリケーションは、動的ルールを用いて、データ要求に応じてFTPデータチャネルの確立の権限を与えることが可能である。この例における動的ルールは、一般に、FTP制御セッションを通じてデータ要求がなされるまではロードされず、また、1回の使用に限定され、制限された期間の間のみアクティブとされる。従って、ルールセットは、すべての要求とともに用いられる別個のデータチャネルルールを含む必要がない。その結果、ルール仕様およびルール処理が単純化されるとともに、セキュリティが改善される。」

エ 請求項16
「【請求項16】コンピュータネットワークにおけるファイアウォールを提供する方法において、該方法は、アクセスルールを複数のドメインに分割するステップと、与えられたドメインのアドミニストレータのみが該ドメインのセキュリティポリシーのルールを修正する権限を有するように前記アクセスルールを管理するステップとからなることを特徴とする、ファイアウォールを提供する方法。」

(2)引用発明1
上記(1)を参照すると、引用文献1には、次の発明(以下、「引用発明1」という。)が記載されていると認められる(なお、参考として、括弧内に、摘記箇所に対応する段落番号を示す。以下同様。)。

「 複数のセキュリティドメインをサポートする能力により、単一のファイアウォールが、それぞれ別々のセキュリティポリシーを有する複数のユーザをサポートすることが可能であり(段落【0014】)、
インターネット105への接続にファイアウォールを有する4つのユーザサイト101?104があり、ファイアウォール設備は、ここではLAN110の形態であり、ファイアウォールプロセッサ111、113および114、アドミニストレータプロセッサ115、ルータ116ならびにウェブサーバ117を有し、ファイアウォールプロセッサ113および114はそれぞれ単一のサイト専用であり、ファイアウォールプロセッサ111は、2つのサイト101および102にサービスするように設定され、ファイアウォールプロセッサ111は、2つのサイトそれぞれとインターネット105との間、および、2つのサイト間の通信に、別々のファイアウォールポリシーを実装し(段落【0015】)、
セキュリティポリシーは、アクセスルールのセットによって表現され、アクセスルールのセットは、表(テーブル)形式で表され、ファイアウォールアドミニストレータによってファイアウォールにロードされ、このようなテーブルは、ルール番号、ソースおよびデスティネーションのホストの名称、パケットに対してなされるアクションの指定を含むカテゴリに対して与えられ(段落【0017】)、
パケットに対するルール処理において、パケットによって満たされるルールが見つかるまで(または、ルールテーブルの最後まで。その場合、そのパケットは廃棄される。)、ルールは順に適用され(段落【0019】)、
ソースホストのカテゴリは、ソースホストグループの識別子またはIPアドレスが満たさなければならない条件を課しており(段落【0021】)、
デスティネーションホストのカテゴリは、デスティネーションホストグループの識別子またはIPアドレスが満たさなければならない条件を課しており(段落【0022】)、
アクションは、ルールアクション、例えば、「通過」、「廃棄」または「プロキシ」であり(段落【0024】)、
インタフェースが複数のドメインによって共有されている場合、アドレスレンジが含められ(段落【0066】)、
動的ルールは、例えば、特定のソースおよびデスティネーションのポート番号のような、固有の現在の情報を含むことが可能であり、動的ルールによれば、ルールセットを、ネットワークで起こるイベントに基づいて修正することが可能であり(段落【0082】)、
アクセスルールを複数のドメインに分割し、与えられたドメインのアドミニストレータのみが該ドメインのセキュリティポリシーのルールを修正する権限を有するように前記アクセスルールを管理する(請求項16)、
ファイアウォールプロセッサ。」

(3)引用文献2
引用文献2には、特に段落【0004】、【0038】を参照すると、ネットワークにおけるセキュリティを図るために、ネットワーク上のリソースへのアクセスを制御する際、管理者あるいはユーザ、あるいはその両方に対してフィルタリングポリシー(ルール)の編集・設定を許可することが記載されている。

(4)引用文献3
引用文献3には、特に段落【0013】-段落【0014】、段落【0021】-段落【0023】、図1を参照すると、負荷に応じた複数のファイアウォールを設け、高負荷ファイアウォールにより設定されたポリシー(ルールといえる)を、その他のファイアウォールに配付して、ポリシーを記憶する(同一のルールを設定しているといえる)ことが記載されている。

(5)引用文献4
引用文献4には、特に段落【0018】-段落【0023】,段落【0055】-【0063】、図1、6を参照すると、送信元と送信先にそれぞれファイアウォール(30A及び30B。複数のファイアウォールといえる)を用意し、送信元及び送信先に基づいて、ファイアウォールの設定を行うことが記載されている。

2 引用発明2、引用文献6
(1)引用文献6記載事項
ア 段落【0041】-【0046】
「【0041】 図1によれば、管理対象ネットワーク(イントラネット4)と、外部ネットワーク(インターネット5又は他企業のネットワーク6)との間に、ファイアウォール装置2及びルータ3が接続されている。ファイアウォール装置2は、管理対象ネットワークに対するポリシ情報に基づいたルール情報を保持する。尚、ファイアウォール装置2は、ファイアウォールとして独立した装置であってもよいし、アクセスコントロールリストに基づくパケット転送制御機能を有する汎用のルータであってもよい。また、ファイアウォール・ソフトウェアを搭載した汎用の計算機であってもよい。
【0042】 図1のような大規模ネットワークの場合、多数のファイアウォール装置2が配置される。このような場合、その膨大なルール情報を一元管理するファイアウォール管理装置1を配置することが好ましい。ファイアウォール管理装置1は、各ファイアウォール装置2に保持されるルール情報を設定管理する。ファイアウォール管理装置1は、複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定する。

・・・中略・・・

【0046】 図2によれば、オーダシートは、以下のオーダ要素を含む。 ・オーダID(IDentifier)(オーダに応じた一意な識別番号)
・送信元アドレス(SrcIP) 「ホスト・グループ」
・宛先アドレス(DstIP) 「ホスト・グループ」
・送信元ポート番号(SrcPort) 「サービス・グループ」
・宛先ポート番号(DstPort) 「サービス・グループ」
・プロトコル(Proto) 「サービス・グループ」
・アクション(Action) 転送許可(allow)又は転送禁止(deny)」

イ 段落【0049】-段落【0064】
「【0049】 (S21)ファイアウォール管理装置1は、最初に、ポリシ情報記憶部に対して、オーダシートO(k)のポリシ要素P(k)を、適切な評価順序に挿入する。ネットワーク管理者によって配置されるポリシ要素の評価順序によって、干渉関係が変化する。(S22)ファイアウォール管理装置1は、ポリシ情報記憶部から、ポリシ要素P(k)と干渉関係(conflict)にあるポリシ要素P(i)を検出する。「干渉関係(conflict)」とは、オーダシートO(j)とポリシ要素P(i)とが、プロトコル、IPアドレス及びポート番号が、互いに共通部分を持つ、即ち互いに素でない関係をいう。(S23)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシID(識別子)と、その干渉関係タイプとを表示する。(S24)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。ルール情報RL(j)は、複数のルール要素を照合順に並べたものである。(S25)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
【0050】 図3は、ポリシ要素間の干渉関係タイプを表す説明図である。
【0051】 図3によれば、7つの干渉関係タイプが表されている。「干渉関係(conflict)」とは、2つのポリシ要素におけるIPアドレス、ポート番号及びプロトコルが、互いに共通部分を持つ、即ち互いに素(disjoint)でない関係をいう。具体的には、2つのポリシ要素が、以下の全ての条件を満たす関係にあることをいう。
・送信元アドレス(SrcIP)が、共通部分を持つ。
宛先アドレス(DstIP)が、共通部分を持つ。
・送信元ポート番号(SrcPort)が、共通部分を持つ。
・宛先ポート番号(DstPort)が、共通部分を持つ。
・プロトコル(Proto)が、同一である。
【0052】 図3(a)は、第1のタイプ(redundancy)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する。この場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となる。
【0053】 図3(b)は、第2のタイプ(shadowing1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲から見て、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲から見て、上位ポリシ要素fの範囲でdenyとなる。
【0054】 図3(c)は、第3のタイプ(shadowing2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
【0055】 図3(d)は、第4のタイプ(generalization1)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素g:deny
下位ポリシ要素f:allow
※下位ポリシ要素fの範囲から見て、上位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素g:allow
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素と判定される。
【0056】 図3(e)は、第5のタイプ(generalization2)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素fのアクションが、上位ポリシ要素gのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素g:allow
下位ポリシ要素f:allow
※上位ポリシ要素fは、下位ポリシ要素gによって実現され、不要ポリシ要素と判定される。上位ポリシ要素fの実現IDは、下位ポリシ要素gを指示する。
(2)上位ポリシ要素g:deny
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素と判定される。上位ポリシ要素gの実現IDは、下位ポリシ要素fを指示する。
【0057】 例えば、[generalization2]の場合、下位ポリシ要素gでヒットすべきパケットが、上位ポリシ要素fにおけるヒットに見える恐れがある。下位ポリシ要素gのログカウントが0になっているからといって、ネットワーク管理者が、下位ポリシ要素gを削除することは、誤判断となる可能性がある。
【0058】 図3(f)は、第6のタイプ(correlation1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲の一部が、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲の一部が、上位ポリシ要素fの範囲でdenyとなる。
【0059】 図3(g)は、第7のタイプ(correlation2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、allowとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、denyとなる。
【0060】 図4は、本発明における第1のポリシ情報の表示イメージである。
【0061】 図4によれば、ポリシ情報の各ポリシ要素が、順列に並べて表示されている。ここで、ポリシ要素P(4)とポリシ要素P(5)について注目する。
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
ポリシ要素P(4)の送信元アドレス1.2.3.0/24は、ポリシ要素P(5)の送信元アドレス1.2.3.0/24と共通する。また、ポリシ要素P(4)の宛先アドレス1.2.3.1/32は、ポリシ要素P(5)の宛先アドレス1.2.3.0/24に含まれる。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(4)と下位のポリシ要素P(5)とは、「generalization2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
【0062】 また、ポリシ要素毎に、「実現ポリシID」「ログカウント」「順序変更アイコン」が表示される。「実現ポリシID」は、当該ポリシ要素のアクションが、実際に実現されている他のポリシ要素のポリシIDである。図4によれば、上位のポリシ要素P(4)のアクションは、実際にそのポリシ要素P(4)によって実現される。また、下位のポリシ要素P(5)のアクションは、その一部がポリシ要素P(4)によって実現されるけれども、全体としては実際にそのポリシ要素P(5)によって実現される。
【0063】 「ログカウント」は、ファイアウォール装置から受信したルール要素毎の「アクセスログ」を集計したものである。ログカウントによって、そのポリシ要素によって照合されたパケット数を知ることができる。
【0064】 図4によれば、ポリシ要素P(5)のログカウントは、0となっている。しかしながら、ポリシ要素P(5)は、ポリシ要素P(4)と「generalization2」の干渉関係にあるために、ポリシ要素P(5)にヒットすべきアクセスログが、ポリシ要素P(4)のログカウントに加算されている可能性がある。この場合、ネットワーク管理者が、「ログカウントが0であるポリシ要素P(5)を、不要ポリシ要素として削除する」との判断は、誤っている可能性がある。」

ウ 段落【0078】-段落【0093】
「【0078】 図8は、本発明におけるファイアウォール管理装置の機能構成図である。
【0079】 図8によれば、ファイアウォール管理装置1は、ディスプレイ部101と、オペレータ操作部102と、オーダシート入力部103と、通信インタフェース部104とを有する。ファイアウォール管理装置1は、ファイアウォール装置2に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイ部101に、ポリシ情報を表示する。オペレータ操作部102は、ネットワーク管理者によって操作可能であって、ポリシ情報のポリシ要素の評価順序が変更される。オーダシート入力部103は、電子帳票としてのオーダシートを入力する。オーダシート入力部103は、光学スキャナによる読み取りであってもよいし、Webサーバを用いたフォームの入力であってもよいし、テキストファイルやCSV(Comma Separated Values)形式ファイルのアップロードであってもよい。通信インタフェース部104は、ファイアウォール装置2と、ネットワーク又はシリアルケーブルを介して通信する。
【0080】 また、図8によれば、ファイアウォール管理装置1は、ポリシ情報記憶部110と、干渉関係検出部111と、表示制御部112と、経路情報記憶部113と、ルール情報生成部114と、ルール情報記憶部115とを有する。これら機能構成部は、ファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
【0081】 ポリシ情報記憶部110は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。ポリシ情報記憶部110は、オーダシート入力部103からオーダシートを入力し、そのオーダシートをポリシ要素P(i)に対応付けて記憶する。
【0082】 干渉関係検出部111は、ポリシ情報記憶部110を用いて、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する。
【0083】 表示制御部112は、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシIDとを表示する。また、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシIDとを表示する。表示制御部112は、ポリシ要素のポリシIDを、オーダシートのオーダIDに対応付ける。
【0084】 また、表示制御部112は、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースを表示する。ネットワーク管理者は、その操作インタフェースを認識しながら、オペレータ操作部102を操作する。オペレータ操作部102を介したネットワーク管理者の操作に基づいて、干渉関係検出部111が実行される。具体的には、当該ポリシ要素の評価順序が変更された際に、干渉関係検出部111が実行される。
【0085】 更に、表示制御部112は、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシIDを表示する。具体的には、「実現ポリシID」として表示される。
【0086】 更に、表示制御部112は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示する。ネットワーク管理者は、アクセスログのカウント数が所定閾値以下となるポリシ要素について、不要ルールとして検討することができる。また、このようなポリシ要素を強調的に表示することによって、ネットワーク管理者の視覚に訴えることができる。
【0087】 尚、表示制御部112は、ルール要素毎に、当該ルール要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0088】 経路情報記憶部113は、ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する。尚、経路情報記憶部113は、ファイアウォール装置2及びルータ3から構成情報を収集し、これら構成情報から経路情報を自動的に推定するものであってもよい。
【0089】 ルール情報生成部114は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更する。ポリシ情報から、ファイアウォール装置毎のルール情報を生成する技術は、既存技術である。
【0090】 ルール情報記憶部115は、ファイアウォール装置j毎のルール情報RL(j)を記憶する。ルール情報記憶部115は、通信インタフェース部104を介して、各ファイアウォール装置jへルール情報RL(j)を送信する。又は、ファイアウォール管理装置における、ネットワーク管理者によって閲覧可能なディスプレイに、ルール情報RL(j)を表示させるものであってもよい。ネットワーク管理者は、ルール情報RL(j)を参照しながら、ファイアウォール装置の管理コンソールに直接的に手動で入力することもできる。
【0091】 以上、詳細に説明したように、本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。
【0092】 特に、本発明によれば、オーダシートとポリシ要素とが対応付けられると共に、ネットワーク管理者は、ポリシ情報のみの整理によって、複数のファイアウォール装置に保持されるルール情報を整理することができる。アクセスされていないポリシ要素について、オーダシートを依頼した管理者への確認・照会が容易となる。また、ファイアウォール装置の不要ルール要素の削除及び順序移動をする際に、不要ルール要素の誤判断を防止することができる。本発明によれば、ICT(Information Communication Technologies)ソリューション事業(例えばデータセンタ)におけるファイアウォール管理ソリューションに要する工数・コストを削減することができる。
【0093】 前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。」

(2)引用発明2
上記の(1)を参照すると、引用文献6には、次の発明(以下、「引用発明2」という。)が記載されていると認められる。

「 ルール情報を一元管理するファイアウォール管理装置1を配置し、
ファイアウォール管理装置1は、各ファイアウォール装置2に保持されるルール情報を設定管理し、ファイアウォール管理装置1は、複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定し(段落【0042】)、
オーダシートは、以下のオーダ要素を含み、送信元アドレス(SrcIP) 「ホスト・グループ」、宛先アドレス(DstIP) 「ホスト・グループ」、アクション(Action) 転送許可(allow)又は転送禁止(deny)(段落【0046】)、
下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となり(段落【0052】)、ファイアウォール管理装置1は、ポリシ情報記憶部110と、干渉関係検出部111と、表示制御部112と、経路情報記憶部113と、ルール情報生成部114と、ルール情報記憶部115とを有し、これら機能構成部は、プログラムを実行することによって実現され(段落【0080】)、
ポリシ情報記憶部110は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶し(段落【0081】)、干渉関係検出部111は、ポリシ情報記憶部110を用いて、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出し(段落【0082】)、
経路情報記憶部113は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶し(段落【0088】)、ルール情報生成部114は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更し、ポリシ情報から、ファイアウォール装置毎のルール情報を生成し(段落【0089】)、
オーダシートとポリシ要素とが対応付けられると共に、ネットワーク管理者は、ポリシ情報のみの整理によって、複数のファイアウォール装置に保持されるルール情報を整理することができる(段落【0092】)、
ファイアウォール管理装置」

第6 対比・判断
1 本願発明1について
(1)対比
本願請求項1に係る発明と引用発明1とを対比する。
ア 引用発明1は、「インターネット105への接続にファイアウォールを有する4つのユーザサイト101?104があり、ファイアウォール設備は、ここではLAN110の形態であり、ファイアウォールプロセッサ111、113および114、アドミニストレータプロセッサ115、ルータ116ならびにウェブサーバ117を有し、ファイアウォールプロセッサ113および114はそれぞれ単一のサイト専用であり、ファイアウォールプロセッサ111は、2つのサイト101および102にサービスするように設定され、ファイアウォールプロセッサ111は、2つのサイトそれぞれとインターネット105との間、および、2つのサイト間の通信に、別々のファイアウォールポリシーを実装し」ており、LANがローカルエリアネットワークであることは技術常識であるから、引用発明1の「ユーザサイト104-105」は、LAN(ローカルエリアネットワーク)を分割した複数のネットワークといえる。
また、引用発明1の「ソースおよびデスティネーションのホストの名称」に対応した「ソースホストグループのIPアドレス」「デスティネーションホストグループのIPアドレス」は、ネットワークのアドレスといえる。
そして、引用発明1の「ファイアウォール」は、「アクセスルールのセット」をロードし、当該アクセスルールのセットは、「ソースホストグループのIPアドレス」「デスティネーションホストグループのIPアドレス」を含んでおり、ロードする際には何らかの記憶媒体から読み出されていることから、複数のネットワークの各ネットワークのアドレスを保持されているといえる。
したがって、引用発明1の「ファイアウォール」と本願発明1の「複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられた、各ネットワークの管理者のアカウント情報と、を保持する保持手段」とは、「複数のネットワークの各ネットワークのアドレスを保持する保持手段」である点で共通している。

イ 引用発明1の「与えられたドメインのアドミニストレータのみ」が「該ドメインのセキュリティポリシーのルールを修正」する権限を有していることから、引用発明の「アドミニストレータ」は、本願発明1の「各ネットワークの管理者」に相当する。
また、引用発明1の「ファイアウォールプロセッサ」においては、「与えられたドメインのアドミニストレータのみが該ドメインのセキュリティポリシーのルールを修正する権限を有するように前記アクセスルールを管理」しており、「アクセスルール」は、「ソースホストグループのIPアドレス」、「デスティネーションホストグループのIPアドレス」を含み、「例えば、「通過」、「廃棄」または「プロキシ」であ」るから、アドミニストレータ(各ネットワークの管理者)が通信元又は通信先となって行う許可、不許可を示すアクセスルールを編集させる編集手段を備えているといえる。
よって、引用発明1の「ファイアウォールプロセッサ」は、本願発明1の「アカウント情報を使用してアクセスした管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段」と「管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段」を備えている点で共通している。

ウ 引用発明1の「ファイアウォールプロセッサ」において、「アクセスルールのセット」は、「ファイアウォールアドミニストレータによってファイアウォールにロードされ」ているから、編集したルールをファイアウォール装置に設定する設定手段を当然に備えているといえる。
よって、引用発明1「ファイアウォールプロセッサ」は、本願発明1の「一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段と、を備えている制御装置」と「一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段と、を備えている制御装置」である点で共通している。

エ 引用発明1の「ファイアウォールプロセッサ」において設定される、「アクセスルールのセット」には、「ソースホストグループのIPアドレス」、「デスティネーションホストグループのIPアドレス」を含んでおり、「与えられたドメインのアドミニストレータのみが該ドメインのセキュリティポリシーのルールを修正する権限を有するように前記アクセスルールを管理」しているから、編集したルールの通信元及び通信先に基づき、ルールを生成する生成手段を備えていると認められる。

よって、引用発明1の「ファイアウォールプロセッサ」は、本願発明1の「前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報と、前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、前記通信元の端末及び前記通信先の端末それぞれの最寄りの2つのファイアフォール装置、或いは、前記通信元の端末及び前記通信先の端末による通信が経由する複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段段をさらに備えている」「制御装置」と「前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、ルールを生成する手段をさらに備えている」「制御装置」である点で共通している。

(2)一致点・相違点
したがって、本願発明1と引用発明1の一致点及び相違点は、次のとおりである。

[一致点]
「 複数のネットワークの各ネットワークのアドレスを保持する保持手段と、
管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段と、
一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段と、を備えている制御装置であって、
前記制御装置は、前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、ルールを生成する手段をさらに備えている、
制御装置。」

[相違点1] 本願発明1の保持手段は、「前記各ネットワークのそれぞれに関連付けられた、各ネットワークの管理者のアカウント情報」を保持しているのに対して、引用発明1の保持手段には、そのような特定がされていない点。

[相違点2] 本願発明1の「管理者」は、「アカウント情報を使用してアクセスし」ているのに対して、引用発明1の「アドミニストレータ」は、そのような特定がされていない点。

[相違点3] 本願発明1は、「前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報と、前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、前記通信元の端末及び前記通信先の端末それぞれの最寄りの2つのファイアフォール装置、或いは、前記通信元の端末及び前記通信先の端末による通信が経由する複数のファイアウォール装置のそれぞれに設定するルールを生成」しているのに対して、引用発明1は、「前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、ルールを生成」している点。

(3)判断
事案に鑑みて、相違点3について、先に検討する。
引用文献1-7には、「前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報と、前記一人以上の管理者が編集したルールの通信元及び通信先に基づき、前記通信元の端末及び前記通信先の端末それぞれの最寄りの2つのファイアフォール装置、或いは、前記通信元の端末及び前記通信先の端末による通信が経由する複数のファイアウォール装置のそれぞれに設定するルールを生成」する構成は、記載されておらず、当該構成は、本願の出願日前において、周知技術であるともいえない。
したがって、他の相違点について判断するまでもなく、本願発明1は、当業者であっても引用発明1、引用文献2-7に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

2. 本願発明2-6について
本願発明2-6は、いずれも、請求項1を引用しており、本願発明2-6も、相違点3に係る本願発明1の構成と同一の構成を備えるものであるから、本願発明1と同じ理由により、当業者であっても、引用文献1-7に基いて容易に発明できたものとはいえない。

3.本願発明7について
(1)対比
本願請求項7に係る発明(以下、「本願発明7」という)と引用発明2とを対比する。

ア 引用発明2の「ファイアウォール管理装置」は、「複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定」する構成であり、「ポリシ記憶部110」を有しており、「ポリシ記憶部110」は、送信元/宛先アドレス範囲を記憶しているから、引用発明2の「ファイアウォール管理装置」は、複数のネットワークの各ネットワークアドレスを保持しているといえる。
よって、引用発明2の「ファイアウォール管理装置」の「ポリシ記憶部」は、本願発明7の「複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられた、各ネットワークの管理者のアカウント情報と、を保持する保持手段」と「複数のネットワークの各ネットワークのアドレスを保持する保持手段」である共通している。

イ 引用発明2の「ファイアウォール管理装置」は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報から、ファイアウォール装置毎のルール情報を生成しているから、ネットワークの端末が通信元又は通信先となって行うアクセスルールを編集させる第1編集手段を備えているといえる。
また、引用発明2の「アクション」には、「転送許可(allow)又は転送禁止(deny)」が含まれており、当該「アクション」を含む「ポリシー情報」に基づいて「ルール」を生成しているから、引用発明2の「ルール」は、「通信の許可又は不許可を示すルール」といえる。

よって、引用発明2の「ファイアウォール管理装置」は、本願発明7の「アカウント情報を使用してアクセスした管理者に対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段」と「ネットワークの端末が通信元又は通信先となって行う通信の許可又は不許可を示すルールを該管理者に編集させる第1編集手段」を備えている点で共通している。

ウ 引用発明2の「ファイアウォール管理装置」は、「各ファイアウォール装置2に保持されるルール情報を設定管理し」ており、「ネットワーク管理者」は、「複数のファイアウォール装置に保持されるルール情報を整理」いるから、ネットワーク管理者が編集したルールをファイアウォール装置に設定する設定手段を備えているといえる。
よって、引用発明2の「ファイアウォール管理装置」は、本願発明7の「一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段」と「一人以上の管理者が編集したルールをファイアウォール装置に設定する設定手段」を備えている点で一致している。

エ 引用発明2の「ファイアウォール管理装置」の「経路情報記憶部113」は、ネットワーク管理者から各ファイアウォール装置jの通過順番を表す経路情報Rを記憶しており、経路情報はトポロジ情報に相当するから、複数のネットワークのトポロジ情報を管理する者からトポロジ情報を取得しているといえる。
また、引用発明2の「ファイアウォール装置」の「ルール情報生成部114」は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更し、ポリシ情報から、ファイアウォール装置毎のルール情報を生成しており、経路情報(トポロジ情報)に基づいて上位のファイアウォールからルールが生成されているといえる。
よって、引用発明2の「ルール情報生成部」は、本願発明7の「前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき前記一人以上の管理者が編集したルールのうち、ファイアウォール装置を経由しない通信のルールを削除する削除手段」と「複数のネットワークのトポロジ情報を管理するものから前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき、通信のルールを設定」している点で共通している。

オ 引用発明2の「ファイアウォール管理装置」は、「各ファイアウォール装置2に保持されるルール情報を設定管理し」ているから、本願発明の「制御装置」と「制御装置」である点で一致している。

(2)相違点・一致点
したがって、本願発明1と引用発明2の一致点及び相違点は、次のとおりである。

[一致点]
「 複数のネットワークの各ネットワークのアドレスと、を保持する保持手段と、
ネットワークの端末が通信元又は通信先となって行う通信のルールを編集させる第1編集手段と、
編集したルールをファイアウォール装置に設定する設定手段と、
前記複数のネットワークのトポロジ情報を管理するものから前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき通信のルールを設定する設定手段、
を備えている制御装置。」

[相違点4]
本願発明7の保持手段が、各ネットワークのアドレスのそれぞれに関連づけられた管理者のアカウント情報を保持し、管理者がアカウント情報を使用してアクセスしているのに対し、引用発明2においてはそのような点について特定されていない点。

[相違点5]
本願発明7の削除手段は、トポロジ情報を装置から取得し、前記一人以上の管理者が編集したルールのうち、ファイアウォール装置を経由しない通信のルールを削除する削除手段を備えているのに対し、引用発明2の削除手段は、管理者からトポロジ情報を取得し、ルールの削除については記載がない点。

(3)判断
事案に鑑みて、相違点5について、先に検討を行う。
引用発明2においては、「下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となり」、「経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更し、ポリシ情報から、ファイアウォール装置毎のルール情報を生成」している。
これは、上位のファイアウォール装置と下位のファイアウォール装置それぞれのルールについて、送信元/宛先アドレス範囲及びポート番号範囲が完全に一致する場合、上位のファイアウォールで阻止されたルール(下位のファイアウォールを経由しないルール)を下位のファイアウォール装置のルールとして削除することといえる。
しかしながら、当該ルールの削除が行われるのは上位のファイアウォール装置を経由した通信のルールであるから、本願発明7の「ファイアウォール装置を経由しない通信ルールを削除する」ものとは言えない。
そして、引用文献1-5、7のいずれにも当該相違点5に係る「トポロジ情報を装置から取得し、前記一人以上の管理者が編集したルールのうち、ファイアウォール装置を経由しない通信のルールを削除する削除手段」については記載されておらず、本願の出願日前において周知技術であるとも言えない。
したがって、他の相違点について判断するまでもなく、本願発明7は、当業者であっても引用発明2、引用文献1-5、7に記載された技術的事項に基づいて容易に発明できたものであるとはいえない。

4. 本願発明8-9について
本願発明8および9は、いずれも、請求項1あるいは請求項7を引用しており、本願発明8-9も、上記相違点3に係る本願発明1の構成、又は、上記相違点5に係る本願発明7の構成のいずれかと同一の構成を備えるものであるから、本願発明1、又は、本願発明7のいずれかと同じ理由により、当業者であっても、引用文献1-7に基いて容易に発明できたものとはいえない。

第7 当審拒絶理由の理由2(明確性要件)、理由3(サポート要件)、理由4(委任省令要件)について
1 理由2(明確性要件違反)について
(1)補正前の請求項1-9に記載の「ユーザ」がいかなるものであるのか不明である旨の拒絶理由は、前記「ユーザ」が、明細書の【0022】の記載に基づいて、補正後の請求項1-9において、「管理者」に補正されたことにより、解消した。

2 理由3(サポート要件違反)、理由4(委任省令要件)について
(1)明細書の段落【0004】-【0005】、段落【0011】-段落【0012】、段落【0022】-段落【0023】を参照すると、本願発明は、「ネットワーク構成の全体を管理しているネットワーク管理者でなくとも安全にファイアウォール装置にルールの設定を行える、ファイアウォール装置の制御装置を提供する」という課題を解決するために、(ネットワーク全体の構成を通常知らない)サブネットワークの管理者がルールを設定・編集することが記載されている。そして、サブネットワークの管理者は管理者であり、ユーザではないため、明細書には、本願発明1の「アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信のルールを該ユーザに編集させる第1編集手段」に関して、ユーザがルールを編集することが記載されておらず、このような構成の技術的意義が不明であるという拒絶理由に対し、請求項1-9に記載の「ユーザ」を、明細書の【0022】の記載に基づいて、補正後の請求項1-9において「管理者」に補正されることにより、解消した。

(2)明細書の段落【0024】を参照すると、ネットワーク全体の構成を知らなくとも(サブネットワークの管理者であっても)、セキュリティの設定を行うことができる発明であるが、補正前の請求項1-6,8-9の「前記制御装置は、前記一人以上のユーザが編集したルールの通信元及び通信先に基づき、複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段をさらに備えていること」に関して、当該複数のファイアウォール装置の位置について何ら言及がないため、本願発明の課題を解決できないものを超えたものを含む構成となっており、このような構成の技術的意義が不明であるという拒絶理由通知に対して、補正前の請求項1に記載の「複数のファイアウォール装置」を明細書の段落【0022】に基づいて、補正後の請求項1-6,8-9の「前記通信元の端末及び前記通信先の端末それぞれの最寄りの2つのファイアフォール装置、或いは、前記通信元の端末及び前記通信先の端末による通信が経由する複数のファイアウォール装置」に補正されることにより、解消した。

第8 原査定について
本願発明1-9は、いずれも、請求項1あるいは請求項7を少なくとも引用しており、上記相違点3に係る本願発明1の構成、又は、上記相違点5に係る本願発明7の少なくとも1つを備えるものとなり、上記引用文献A-Cには、上記相違点3に係る本願発明1の構成、又は、上記相違点5に係る本願発明7の構成のいずれも記載されておらず、本願の出願日前において周知技術であるともいえないから、上記引用文献A-Cに基づいて、当業者が容易に発明することができたものではない。
したがって、原査定を維持することはできない。

第9 むすび
以上のとおり、原査定の理由によって、本願を拒絶することはできない。
他に本願を拒絶すべき理由を発見しない。
よって、結論のとおり審決する。

 
審決日 2021-03-16 
出願番号 特願2017-153354(P2017-153354)
審決分類 P 1 8・ 537- WY (H04L)
P 1 8・ 536- WY (H04L)
P 1 8・ 121- WY (H04L)
最終処分 成立  
前審関与審査官 野元 久道  
特許庁審判長 稲葉 和生
特許庁審判官 野崎 大進
太田 龍一
発明の名称 ファイアウォール装置の制御装置及びプログラム  
代理人 高柳 司郎  
代理人 大塚 康徳  
代理人 木村 秀二  
代理人 永川 行光  
代理人 特許業務法人大塚国際特許事務所  
代理人 下山 治  
代理人 前田 浩次  
代理人 大塚 康弘  
代理人 坂本 隆志  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ