• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G06F
審判 査定不服 特17条の2、3項新規事項追加の補正 特許、登録しない。 G06F
管理番号 1373755
審判番号 不服2020-23  
総通号数 258 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-06-25 
種別 拒絶査定不服の審決 
審判請求日 2020-01-06 
確定日 2021-05-06 
事件の表示 特願2018- 20880「ネットワーク接続自動化」拒絶査定不服審判事件〔平成30年 7月26日出願公開、特開2018-116708〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1 手続の経緯
本願は,2014年(平成26年)9月16日(パリ条約による優先権主張外国庁受理2013年9月17日(以下,「優先日」という。),米国)を国際出願日とする特願2016-542872号の一部を平成30年2月8日に新たな特許出願としたものであって,その手続の経緯は以下のとおりである。
平成31年 1月28日付け:拒絶理由通知書
平成31年 4月25日 :意見書,手続補正書,上申書の提出
令和 1年 8月27日付け:拒絶査定
令和 2年 1月 6日 :審判請求書,手続補正書の提出

第2 令和2年1月6日にされた手続補正についての補正の却下の決定

[補正の却下の決定の結論]
令和2年1月6日にされた手続補正(以下「本件補正」という。)を却下する。

[理由]
1 補正の内容
(1)本件補正後の特許請求の範囲の記載
本件補正により,特許請求の範囲の請求項1の記載は,次のとおり補正された。(下線は,補正箇所を示すために請求人が付したものである。)

「 【請求項1】
コンピュータ実装方法であって,
コンピューティングリソースサービスプロバイダネットワークに接続されているコンピューティングリソースサービスプロバイダのネットワークデバイスで,前記コンピューティングリソースサービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された専用の物理ネットワーク接続を通じて,暗号認証情報を受信することと,
認証情報を検証するために運用される認証サービスから,前記カスタマネットワークデバイスに関連するカスタマのキーに基づき,受信した前記暗号認証情報が本物であることを証明する認証を入手することと,
前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと,
前記ネットワークデバイスと前記カスタマネットワークデバイスとを接続する前記専用の物理ネットワーク接続が切断されたことを検知することと,
前記カスタマネットワークに以前接続されていた,前記ネットワークデバイスと第2のカスタマネットワークデバイスとの間で,第2の専用の物理ネットワーク接続が確立されたことを判断することと,
前記暗号認証情報に基づき,前記ネットワークデバイスに,前記第2の専用の物理ネットワーク接続を通じて前記第2のカスタマネットワークデバイスから受信した前記暗号認証情報を,前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと,
を備えるコンピュータ実装方法。」

(2)本件補正前の特許請求の範囲
本件補正前の,平成31年4月25日にされた手続補正により補正された特許請求の範囲の請求項1の記載は次のとおりである。

「 【請求項1】
コンピュータ実装方法であって,
コンピューティングリソースサービスプロバイダネットワークに接続されているコンピューティングリソースサービスプロバイダのネットワークデバイスで,前記コンピューティングリソースサービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された専用の物理ネットワーク接続を通じて,暗号認証情報を受信することと,
認証情報を検証するために運用される認証サービスから,前記カスタマネットワークデバイスに関連するカスタマのキーに基づき,受信した前記暗号認証情報が本物であることを証明する認証を入手することと,
前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィックを,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと,
を含む,コンピュータ実装方法。」

(3)補正事項
本件補正は以下の補正事項を含むものである。

ア 補正事項1
本件補正前の請求項1の
「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィックを,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと」
を,本件補正後の請求項1の
「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと」
とする補正。

イ 補正事項2
本件補正前の請求項1の「コンピュータ実装方法」に対して,
「前記ネットワークデバイスと前記カスタマネットワークデバイスとを接続する前記専用の物理ネットワーク接続が切断されたことを検知すること」と,
「前記カスタマネットワークに以前接続されていた,前記ネットワークデバイスと第2のカスタマネットワークデバイスとの間で,第2の専用の物理ネットワーク接続が確立されたことを判断すること」と,
「前記暗号認証情報に基づき,前記ネットワークデバイスに,前記第2の専用の物理ネットワーク接続を通じて前記第2のカスタマネットワークデバイスから受信した前記暗号認証情報を,前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」
とを追加的に備えるようにする補正。

2 補正の適否
(1)新規事項について
ア 上記補正事項1では,前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記カスタマネットワークデバイスから受信した「前記暗号認証情報」を,「前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービス」に送らせることが特定されているところ,暗号認証情報を検証する動作に関連して,本願の願書に最初に添付した明細書,特許請求の範囲又は図面(以下,「当初明細書等」という。)には,以下の(ア)?(シ)のような記載がある。(下線は関連する箇所を示すために当審で付したものである。)

(ア)「【0010】
多様な実施形態では,コンピューティングリソースサービスプロバイダは,カスタマとコンピューティングリソースサービスプロバイダとの間のネットワーク接続性を開始するために,接続時にカスタマルータに1つ又は複数の信号を送信してよい。これらの1つ又は複数の信号は,接続が正しく確立されたこと,及びカスタマがコンピューティングリソースサービスプロバイダに接続する権限を与えられた正しいエンティティであることを検証するために認証要求をさらに含んでよい。カスタマは,カスタマがコンピューティングリソースサービスプロバイダのコンピュータシステムにアクセスする権限を与えられていることを検証するために,コンピューティングリソースサービスプロバイダに応えて1つ又は複数の信号を送信してもよい。これらの1つ又は複数の信号は,1つ又は複数のカスタマコンピュータシステムを起源とする秘密暗号キー等の1つ又は複数の認証用クレデンシャルを使用して生成されるデジタル署名を含んでよい。この署名は,対称暗号アルゴリズム及び/又は非対称暗号アルゴリズムを使用して生成されてよい。コンピューティングリソースサービスプロバイダは,カスタマから受信された署名が本物であり,このカスタマに一致するかどうかを判断するために,カスタマ信号(又はカスタマ信号に少なくとも部分的に基づいた情報)を認証サービスに送信してよい。カスタマ信号が認証されない場合,コンピューティングリソースサービスプロバイダは多様なサービスへのアクセスを拒否してよい。それ以外の場合,カスタマはカスタマが使用することを選択した1つ又は複数のサービスへのアクセスを許可されてよい。」

(イ)「【0018】
認証要求に応えて,カスタマ104は,コンピューティングリソースサービスプロバイダルータ106に送信される1つ又は複数の信号を通して,追加のデータ(例えば,カスタマ識別番号,ポート番号等)とともにデジタル署名を含んだ1つ又は複数のデータパケットをコンピューティングリソースサービスプロバイダ102に提供してもよい。したがって,ルータ106は検証のために認証サービス108にこれらのデータパケットを送信してよい。認証サービス108は,予想カスタマデジタル署名を作成するために暗号キーとともにカスタマ104から受信された追加のデータをハッシュするように構成されてもよい。デジタル署名が一致する場合,認証サービス108は,カスタマがコンピューティングリソースサービスプロバイダ102によって提供される1つ又は複数の他のサービス110にアクセスできるようにするようにコンピューティングリソースサービスプロバイダルータ106を再構成してよい。これらの他のサービス110は,多様なデータストレージサービス(オブジェクト単位のデータストレージサービス,アーカイブデータストレージサービス,データサービス等),プログラム実行サービス等を含んでよい。ただし,カスタマ104から受信されたデジタル署名が予想デジタル署名に一致しない場合,認証サービス108は他のサービス110へのアクセスを拒否してよい。」

(ウ)「【0031】
認証サービス312は,上述されたように,コンピューティングリソースサービスプロバイダ302とカスタマとの間の接続を認証し,検証するのに役立ててもよい。例えば,カスタマとコンピューティングリソースサービスプロバイダ302との間に(例えば,図2に示されるようにコロケーションに設置されたルータを使用することで)直接的な接続が確立された後,認証サービス312は,カスタマがコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスする許可を有していることを保証するために,カスタマに認証要求を送信してよい。したがって,認証サービス312は,カスタマから認証証拠を受け取り,提供された認証証拠が本物であるかを判断するために1つ又は複数の動作を実行するように構成されてもよい。例えば,認証サービス312はアカウントサービス310と対話して,提供された認証証拠(例えば,1つ又は複数の暗号キー,パスワード,カスタマ識別番号等)を検証するために必要なカスタマ情報を入手してもよい。認証証拠が適切ではない場合,認証サービス312は,カスタマが適切な認証証拠を提供できるまで1つ又は複数のサービスへのカスタマアクセスを制限するためにコンピューティングリソースサービスプロバイダ302のルータに1つ又は複数の実行可能なコマンドを送信してよい。認証サービス312は,カスタマとコンピューティングリソースサービスプロバイダ302との間の接続が不正接続されないことを保証するために,異なる時間にこの認証プロセスを実行するように構成されてもよい。」

(エ)「【0038】
コンピューティングリソースサービスプロバイダ408によって提供される認証サービスはいったんカスタマゲートウェイデバイス402からデータパケットを受信すると,受信された認証クレデンシャルは,予想カスタマデジタル署名を生成するために,カスタマと関連付けられた暗号キーとともに,受信されたデータをハッシュするためにハッシュ関数を活用してよい。その結果,コンピューティングリソースサービスプロバイダ408は,これらの署名が一致するかどうかを判断するためにカスタマゲートウェイデバイス402から受信されたデジタル署名とこの予想カスタマデジタル署名を比較してよい。一致する場合,コンピューティングリソースサービスプロバイダ408は,カスタマが,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数の他のサービスにアクセスするのを許可するように独自のゲートウェイデバイスを再構成してよい。しかし,デジタル署名が一致しない場合,1つ又は複数の他のサービスに送信されるいずれのデータパケットも拒否されてよい。さらに,カスタマはコンピューティングリソースサービスプロバイダ408に認証要求を送信するためにカスタマゲートウェイデバイス402を使用してよい。したがって,コンピューティングリソースサービスプロバイダ408は,カスタマコンピューティングシステムのIPアドレス,及びセキュリティプロトコルに従う認証クレデンシャル(例えば,デジタル署名,パスワード等)を含んだデータパケットを送信してよい。受信された認証クレデンシャルが不適切である場合,カスタマはコンピューティングリソースサービスプロバイダ408への安全な接続406を制限または終了するためにカスタマゲートウェイデバイス402に1つ又は複数の実行可能なコマンドを送信してよい。」

(オ)「【0042】
コンピューティングリソースサービスプロバイダ506は,検証のために認証サービス508に受信されたカスタマデータパケットを送信してよい。従って,認証サービス508は,データパケットから認証証拠を抽出するように構成されてもよい。認証証拠は,受信されたデータのハッシュ,及びコンピューティングリソースサービスプロバイダによって保持され,カスタマに特有の暗号キーを使用して検証されることを必要とするであろうデジタル署名を含んでよい。このようにして,認証サービス508は,関連するカスタマ情報を入手するためにコンピューティングリソースサービスプロバイダ504によって管理されるアカウントサービス510と対話するように構成されてもよい。例えば,アカウントサービス510は,上述されたように,コンピューティングリソースサービスプロバイダ504のカスタマごとのカスタマアカウント情報を含んでよい。例えば,カスタマアカウントは,受信されたデジタル署名が本物であることを検証し,ひいては,コンピューティングリソースサービスプロバイダ504に直接的に接続されるカスタマコンピュータシステムのアイデンティティを検証するために予想カスタマデジタル署名を作成するために使用されてもよい1つ又は複数の暗号キーを含んでよい。したがって,アカウントサービス510は認証サービス508にこれらのキーを送信するように構成されてもよい。
【0043】
認証サービス508は,予想カスタマデジタル署名を作成し,この署名をカスタマ認証証拠と一致させることを試みるために,カスタマから受信されるデータとともにアカウントサービス510からの暗号キーを使用してよい。デジタル署名間で結果的に一致する場合,認証サービス508は,カスタマがコンピューティングリソースサービスプロバイダ504によって提供される他のサービス512にアクセスできるようにするために,コンピューティングリソースサービスプロバイダルータ506に1つ又は複数の実行可能なコマンドを送信してよい。しかし,一致を確立できない場合,認証サービス508は,他のサービス512へのアクセスが拒否された理由を含んだカスタマへの情報メッセージを送信してよい。」

(カ)「【0044】
別の実施形態では,いったんカスタマルータ502とコンピューティングリソースサービスプロバイダルータ506との間で物理接続が確立されると,カスタマはカスタマ情報及びデジタル署名を含んだ1つ又は複数のデータパケットを,カスタマのアイデンティティを検証するために使用されてもよい,サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,生成してよい。これらのデータパケットは,認証プロトコルを使用した物理接続上でコンピューティングリソースサービスプロバイダルータ506に送信されてもよい。このルータ506は,さらなる処理のために認証サービス508にこれらのデータパケットを伝送するように構成されてもよい。
【0045】
認証サービス508は,予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス510と対話するように構成されてもよい。したがって,認証サービス508は,この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と受信されたカスタマデジタル署名とを比較して,一致しているかどうかを判断してもよい。一致している場合,カスタマ送信は本物と見なされ,カスタマがコンピューティングリソースサービスプロバイダ504によって提供される1つ又は複数の他のサービス512にアクセスできるようにするために,認証サービス508からプロバイダルータ506に1つ又は複数の実行可能命令を送信させてもよい。例えば,カスタマ送信が本物であると見なされる場合,コンピューティングリソースサービスプロバイダ504は,カスタマがこれらの他のサービス512にアクセスするために1つ又は複数のバーチャルインタフェースを設定できるようにしてよい。」

(キ)「【0049】
コンピューティングリソースサービスプロバイダルータ606は,この認証証拠を受信し,それに応じて検証のために認証サービス608に証拠を配信してよい。図5に示されるように,認証サービス608は,受信された認証証拠を評価するために必要な関連するカスタマ情報(例えば,暗号キー,カスタマアカウント用クレデンシャル等)を入手するためにアカウントサービス610と対話するように構成されてもよい。カスタマによって提供される認証証拠が本物であると確認されると,認証サービス608はカスタマによる他のサービス612への継続アクセスを可能にしてよい。ただし,提供された認証証拠がアカウントサービス610から入手される関連するカスタマ情報と適合しない場合,認証サービス608は,コンピューティングリソースサービスプロバイダ604によって提供される他のサービス612へのカスタマアクセスを制限するためにコンピューティングリソースサービスプロバイダルータ606に1つ又は複数の実行可能命令を送信してよい。例えば,コンピューティングリソースサービスプロバイダルータ606は,カスタマが利用できる接続帯域幅を削減する,又は接続もしくはバーチャルインタフェースを完全に終了するように構成されてもよい。代わりに,認証サービス608は,認証チャレンジが失敗した場合に講じられてよい1つ又は複数のアクションを識別するためにアカウントサービス610と再び対話するように構成されてもよい。例えば,カスタマは,コンピューティングリソースサービスプロバイダ604が,他のサービス612にアクセスしているカスタマであると主張しているユーザに関係するすべての活動を監視し,記録することを指定してよい。」

(ク)「【0050】
代わりに,カスタマとコンピューティングリソースサービスプロバイダ604とその関連付けられた他のサービス612との間の対話中の任意の時点で,カスタマによって運用されるコンピュータシステムは,接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。いったん要求がコンピューティングリソースサービスプロバイダルータ606によって受信されると,要求は処理のために認証サーバ608に送信されてもよい。認証サービス608は,カスタマ認証要求を満たす認証証拠を作成するために必要な1つ又は複数の暗号キーを含むが,これに限定されるものではない関連するカスタマ情報を入手するために,アカウントサービス610と対話するように構成されてもよい。例えば,認証サービス608は,デジタル署名を作成するためにデータ及び暗号キーをハッシュするハッシュ関数を使用するように構成されてもよい。したがって,認証サービス608は,コンピューティングリソースサービスプロバイダ606とカスタマルータ602との間の物理接続を介してカスタマコンピュータシステムに送信することのできる他のデータとともに認証証拠(例えば,デジタル署名)を含んでよい1つ又は複数のデータパケットを生成してよい。」

(ケ)「【0052】
別の実施形態では,カスタマは,カスタマのアイデンティティを検証するために使用することのできる,サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,暗号認証情報を含んだ追加のデータパケットを生成してよい。上述されたように,これらのデータパケットはコンピューティングリソースサービスプロバイダルータ606へ認証プロトコルを使用した物理接続を通して送信されてもよい。このルータ606は,さらなる処理のために認証サービス608にこれらのデータパケットを伝送するように構成されてもよい。
【0053】
上述されたように,認証サービス608は,予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス610と対話するように構成されてもよい。したがって,認証サービス608は,この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と,受信されたカスタマデジタル署名とが比較され,一致するかどうかを判定してもよい。一致する場合,カスタマ送信は本物と見なされ,これにより認証サービス608は,コンピューティングリソースサービスプロバイダ604によって提供される1つ又は複数のサービス612への継続的なアクセスを可能とさせてよい。ただし,一致しない場合,認証サービス608は,上記に示されるように,既存の接続を制限するか,または終了さえするために1つ又は複数のアクションを実行してよい。」

(コ)「【0063】
カスタマ認証証拠を含んだデータパケットは,カスタマルータを使用して物理接続を通してコンピューティングリソースサービスプロバイダに送信されてもよい。したがって,コンピューティングリソースサービスプロバイダは,カスタマルータからカスタマデータパケットを含んだ信号を受信してよい710。カスタマルータを起源とする信号は,カスタマからの信号を分解し,1つ又は複数のデータパケットを抽出するように構成してよいコンピューティングリソースサービスプロバイダルータによって受信されてもよい。認証サービスにアドレス指定可能なデータパケットは,処理のために認証サービスに送信されてもよい。
【0064】
上述されたように,認証サービスはカスタマのアイデンティティを検証するために受信されたデータパケットからカスタマ認証証拠(例えば,デジタル署名)を抽出するように構成されてもよい。したがって,認証サービスは物理接続を通して受信されるデジタル署名を認証する712ことを試みてよい。上述されたように,認証サービスは関連するカスタマ情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば,認証サービスは,認証証拠を検証するためにアカウントサービスから1つ又は複数のカスタマ暗号キー(例えば,楕円曲線暗号法等の1つ又は複数の暗号方法を使用して生成されるカスタマキー)を入手してよい。例えば,認証サービスは,予想カスタマデジタル署名を作成するために,暗号キーとともに,受信されたカスタマデータをハッシュするように構成されてもよい。この予想カスタマデジタル署名がカスタマからの受信されたデジタル署名に一致する場合,信号は本物であり,カスタマアイデンティティは検証される。
【0065】
カスタマによって提供される認証証拠が適切である(例えば,デジタル署名の一致が生じる)場合,認証サービスは,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへのカスタマのアクセスを可能とする714ようにしてもよい。1つ又は複数のサービスに対するカスタマアクセスを可能にするために,認証サービスは,1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信して,カスタマが1つ又は複数のサービスにアクセスするために1つ又は複数の信号を送信できるようにルータを再構成するように構成されてもよい。例えば,コンピューティングリソースサービスプロバイダルータは,1つ又は複数のサービスの受取人IPアドレスを含んだいずれのデータパケットも1つ又は複数のサービスに配信できるように構成されてもよい。さらに,認証は,これらのサービスにアクセスするために使用されてよいバーチャルインタフェースをカスタマが設定できるようにするために,コンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信するように構成されてもよい。このようにして,カスタマは,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスできるようにしてよい。」

(サ)「【0068】
カスタマは,コロケーションセンタのコンピューティングリソースサービスプロバイダに物理的に接続可能なカスタマルータを通してこれらのデータパケットを受信してよい。したがって,データパケットは処理のために1つ又は複数のカスタマコンピュータシステムに送信されてもよく,これによって1つ又は複数のコンピュータシステムは,カスタマがコンピューティングリソースサービスプロバイダによって提供されるサービスにアクセスする権限を有することを検証するために必要な認証証拠を含んだ要求に応えて1つ又は複数のデータパケットを生成してよい。認証サービスを使用して生成されるデータパケットの場合と同様に,1つ又は複数のカスタマコンピュータシステムは他の標準的なプロトコルに加えてセキュリティプロトコルに従って構成される1つ又は複数のデータパケットを生成するように構成されてもよい。したがって,これらのデータパケットは処理のためにカスタマルータからコンピューティングリソースサービスプロバイダに送信されてもよい。コンピューティングリソースサービスプロバイダは,カスタマから受信された1つ又は複数のデータパケットを認証サービスに送信してよい。
【0069】
したがって,認証サービスは,カスタマから認証証拠を受信する804ように構成されてもよい。要求された認証証拠のタイプに基づいて,認証サービスは認証証拠を検証するために必要なカスタマアカウント情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば,認証サービスは,カスタマから受信されたデジタル署名が本物であるかどうかを判断するために使用されてもよい予想カスタマデジタル署名を生成するために,カスタマアカウントと関連付けられた暗号キーを入手してよい。
【0070】
したがって,認証サービスは,暗号キーを使用して予想カスタマデジタル署名を作成し,これとカスタマから受信されたデジタル署名とを比較することで,これらが一致するかどうかを判断するように構成されてもよい。したがって,認証サービスは,カスタマ認証証拠が本物であるかどうかを判断する806ように構成されてもよい。カスタマから受信された認証証拠が認証サービスによって作成される予想カスタマデジタル署名に一致する場合,認証サービスはコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへの接続を確立してよい808。例えば,認証サービスは,コンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信して,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアドレス指定されるカスタマから受信されたいずれのデータパケットも当該1つ又は複数のサービスに当該ルータにより送信されるように構成されてもよい。したがって,カスタマはそのビジネスをサポートするためにこれらのサービスにアクセスすることができるようになる。」

(シ)「【0074】
コンピューティングリソースサービスプロバイダルータは,このようにして認証証拠を含んだデータパケットを受信し904,コンピューティングリソースサービスプロバイダによって運用される認証サービスにこれらのデータパケットを送信するように構成されてもよい。したがって,認証サービスは,認証証拠を検証するために必要な情報を入手するためにコンピューティングリソースサービスプロバイダによって運用されるアカウントサービスと対話するように構成されてもよい。これによって,認証サービスが,カスタマ認証証拠が本物であるかどうかを判断する906ことができるようにしてもよい。例えば,認証サービスはカスタマから受信されたデジタル署名を検証するために使用されてよい予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手してよい。
【0075】
認証証拠が認証要求を満たす(例えば,提供されたカスタマデジタル署名が認証サービスによって作成された予想カスタマデジタル署名に適合する)場合,認証サービスは,カスタマが現在,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしているかどうかをさらに判断してよい908。コンピューティングリソースサービスプロバイダがカスタマとこれらのサービスとの間ですでに接続を確立している場合,認証サービスは,カスタマがこれらのサービスにアクセスできることが継続するように構成されてもよい。したがって,認証サービスは,接続が不正接続されていないことを保証するために別の認証要求をカスタマに送信する902ように構成されてもよい。これらの以後の要求は,認証サービスの構成に少なくとも部分的に基づいて後に行われてよい。」
【0076】
ただし,カスタマが現在コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしていない場合,認証サービスはカスタマとこれらのサービスとの間に接続を確立してよい910。例えば,認証サービスは,1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信し,カスタマコンピュータシステムを起源とするいずれのデータパケットも1つ又は複数のサービスに送信することを当該ルータに許可させるように構成されてもよい。これにより,カスタマは直ちに自らのビジネスを促進するためにこれらのサービスにアクセスすることができる。再び,いったん接続が確立されると,認証サービスは,接続が不正接続されていないことを保証するためにカスタマに認証要求を送信し続けてよい902。これらの以後の要求は,認証サービスの構成に応じて日次,週次,月次,又はさまざまな時間間隔で行われてよい。」

イ 上記(ア)の「コンピューティングリソースサービスプロバイダは,カスタマから受信された署名が本物であり,このカスタマに一致するかどうかを判断するために,カスタマ信号(又はカスタマ信号に少なくとも部分的に基づいた情報)を認証サービスに送信してよい。」との記載,
上記(イ)の「認証要求に応えて,カスタマ104は,コンピューティングリソースサービスプロバイダルータ106に送信される1つ又は複数の信号を通して,追加のデータ(例えば,カスタマ識別番号,ポート番号等)とともにデジタル署名を含んだ1つ又は複数のデータパケットをコンピューティングリソースサービスプロバイダ102に提供してもよい。したがって,ルータ106は検証のために認証サービス108にこれらのデータパケットを送信してよい。認証サービス108は,予想カスタマデジタル署名を作成するために暗号キーとともにカスタマ104から受信された追加のデータをハッシュするように構成されてもよい。」との記載,
上記(ウ)の「認証サービス312は,カスタマがコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスする許可を有していることを保証するために,カスタマに認証要求を送信してよい。したがって,認証サービス312は,カスタマから認証証拠を受け取り,提供された認証証拠が本物であるかを判断するために1つ又は複数の動作を実行するように構成されてもよい。例えば,認証サービス312はアカウントサービス310と対話して,提供された認証証拠(例えば,1つ又は複数の暗号キー,パスワード,カスタマ識別番号等)を検証するために必要なカスタマ情報を入手してもよい。」との記載,
上記(エ)の「コンピューティングリソースサービスプロバイダ408によって提供される認証サービスはいったんカスタマゲートウェイデバイス402からデータパケットを受信すると,受信された認証クレデンシャルは,予想カスタマデジタル署名を生成するために,カスタマと関連付けられた暗号キーとともに,受信されたデータをハッシュするためにハッシュ関数を活用してよい。その結果,コンピューティングリソースサービスプロバイダ408は,これらの署名が一致するかどうかを判断するためにカスタマゲートウェイデバイス402から受信されたデジタル署名とこの予想カスタマデジタル署名を比較してよい。」との記載,
上記(オ)の「コンピューティングリソースサービスプロバイダ506は,検証のために認証サービス508に受信されたカスタマデータパケットを送信してよい。従って,認証サービス508は,データパケットから認証証拠を抽出するように構成されてもよい。認証証拠は,受信されたデータのハッシュ,及びコンピューティングリソースサービスプロバイダによって保持され,カスタマに特有の暗号キーを使用して検証されることを必要とするであろうデジタル署名を含んでよい。このようにして,認証サービス508は,関連するカスタマ情報を入手するためにコンピューティングリソースサービスプロバイダ504によって管理されるアカウントサービス510と対話するように構成されてもよい。例えば,アカウントサービス510は,上述されたように,コンピューティングリソースサービスプロバイダ504のカスタマごとのカスタマアカウント情報を含んでよい。例えば,カスタマアカウントは,受信されたデジタル署名が本物であることを検証し,ひいては,コンピューティングリソースサービスプロバイダ504に直接的に接続されるカスタマコンピュータシステムのアイデンティティを検証するために予想カスタマデジタル署名を作成するために使用されてもよい1つ又は複数の暗号キーを含んでよい。したがって,アカウントサービス510は認証サービス508にこれらのキーを送信するように構成されてもよい。」及び「認証サービス508は,予想カスタマデジタル署名を作成し,この署名をカスタマ認証証拠と一致させることを試みるために,カスタマから受信されるデータとともにアカウントサービス510からの暗号キーを使用してよい。」との記載,
上記(カ)の「別の実施形態では,いったんカスタマルータ502とコンピューティングリソースサービスプロバイダルータ506との間で物理接続が確立されると,カスタマはカスタマ情報及びデジタル署名を含んだ1つ又は複数のデータパケットを,カスタマのアイデンティティを検証するために使用されてもよい,サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,生成してよい。これらのデータパケットは,認証プロトコルを使用した物理接続上でコンピューティングリソースサービスプロバイダルータ506に送信されてもよい。このルータ506は,さらなる処理のために認証サービス508にこれらのデータパケットを伝送するように構成されてもよい。」及び「認証サービス508は,予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス510と対話するように構成されてもよい。したがって,認証サービス508は,この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と受信されたカスタマデジタル署名とを比較して,一致しているかどうかを判断してもよい。」との記載,
上記(キ)の「コンピューティングリソースサービスプロバイダルータ606は,この認証証拠を受信し,それに応じて検証のために認証サービス608に証拠を配信してよい。図5に示されるように,認証サービス608は,受信された認証証拠を評価するために必要な関連するカスタマ情報(例えば,暗号キー,カスタマアカウント用クレデンシャル等)を入手するためにアカウントサービス610と対話するように構成されてもよい。」との記載,
上記(ケ)の「カスタマは,カスタマのアイデンティティを検証するために使用することのできる,サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,暗号認証情報を含んだ追加のデータパケットを生成してよい。上述されたように,これらのデータパケットはコンピューティングリソースサービスプロバイダルータ606へ認証プロトコルを使用した物理接続を通して送信されてもよい。このルータ606は,さらなる処理のために認証サービス608にこれらのデータパケットを伝送するように構成されてもよい。」及び「認証サービス608は,予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス610と対話するように構成されてもよい。したがって,認証サービス608は,この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と,受信されたカスタマデジタル署名とが比較され,一致するかどうかを判定してもよい。」との記載,
上記(コ)の「カスタマ認証証拠を含んだデータパケットは,カスタマルータを使用して物理接続を通してコンピューティングリソースサービスプロバイダに送信されてもよい。したがって,コンピューティングリソースサービスプロバイダは,カスタマルータからカスタマデータパケットを含んだ信号を受信してよい710。カスタマルータを起源とする信号は,カスタマからの信号を分解し,1つ又は複数のデータパケットを抽出するように構成してよいコンピューティングリソースサービスプロバイダルータによって受信されてもよい。認証サービスにアドレス指定可能なデータパケットは,処理のために認証サービスに送信されてもよい。」及び「認証サービスはカスタマのアイデンティティを検証するために受信されたデータパケットからカスタマ認証証拠(例えば,デジタル署名)を抽出するように構成されてもよい。したがって,認証サービスは物理接続を通して受信されるデジタル署名を認証する712ことを試みてよい。上述されたように,認証サービスは関連するカスタマ情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば,認証サービスは,認証証拠を検証するためにアカウントサービスから1つ又は複数のカスタマ暗号キー(例えば,楕円曲線暗号法等の1つ又は複数の暗号方法を使用して生成されるカスタマキー)を入手してよい。例えば,認証サービスは,予想カスタマデジタル署名を作成するために,暗号キーとともに,受信されたカスタマデータをハッシュするように構成されてもよい。この予想カスタマデジタル署名がカスタマからの受信されたデジタル署名に一致する場合,信号は本物であり,カスタマアイデンティティは検証される。」との記載,
上記(サ)の「認証サービスを使用して生成されるデータパケットの場合と同様に,1つ又は複数のカスタマコンピュータシステムは他の標準的なプロトコルに加えてセキュリティプロトコルに従って構成される1つ又は複数のデータパケットを生成するように構成されてもよい。したがって,これらのデータパケットは処理のためにカスタマルータからコンピューティングリソースサービスプロバイダに送信されてもよい。コンピューティングリソースサービスプロバイダは,カスタマから受信された1つ又は複数のデータパケットを認証サービスに送信してよい。」,「認証サービスは,カスタマから認証証拠を受信する804ように構成されてもよい。要求された認証証拠のタイプに基づいて,認証サービスは認証証拠を検証するために必要なカスタマアカウント情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば,認証サービスは,カスタマから受信されたデジタル署名が本物であるかどうかを判断するために使用されてもよい予想カスタマデジタル署名を生成するために,カスタマアカウントと関連付けられた暗号キーを入手してよい。」及び「認証サービスは,暗号キーを使用して予想カスタマデジタル署名を作成し,これとカスタマから受信されたデジタル署名とを比較することで,これらが一致するかどうかを判断するように構成されてもよい。したがって,認証サービスは,カスタマ認証証拠が本物であるかどうかを判断する806ように構成されてもよい。」との記載,
上記(シ)の「コンピューティングリソースサービスプロバイダルータは,このようにして認証証拠を含んだデータパケットを受信し904,コンピューティングリソースサービスプロバイダによって運用される認証サービスにこれらのデータパケットを送信するように構成されてもよい。したがって,認証サービスは,認証証拠を検証するために必要な情報を入手するためにコンピューティングリソースサービスプロバイダによって運用されるアカウントサービスと対話するように構成されてもよい。これによって,認証サービスが,カスタマ認証証拠が本物であるかどうかを判断する906ことができるようにしてもよい。例えば,認証サービスはカスタマから受信されたデジタル署名を検証するために使用されてよい予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手してよい。」との記載からすると,当初明細書等には,「プロバイダルータがカスタマルータからカスタマの認証証拠(暗号認証情報)を受信すると,プロバイダルータは,受信した認証証拠を認証サービスに送信し,認証サービスが認証証拠の検証を実行すること」が記載されているといえる。

また,上記(ア)の「カスタマ信号が認証されない場合,コンピューティングリソースサービスプロバイダは多様なサービスへのアクセスを拒否してよい。それ以外の場合,カスタマはカスタマが使用することを選択した1つ又は複数のサービスへのアクセスを許可されてよい。」との記載,
上記(イ)の「デジタル署名が一致する場合,認証サービス108は,カスタマがコンピューティングリソースサービスプロバイダ102によって提供される1つ又は複数の他のサービス110にアクセスできるようにするようにコンピューティングリソースサービスプロバイダルータ106を再構成してよい。」との記載,
上記(エ)の「一致する場合,コンピューティングリソースサービスプロバイダ408は,カスタマが,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数の他のサービスにアクセスするのを許可するように独自のゲートウェイデバイスを再構成してよい。」との記載,
上記(オ)の「デジタル署名間で結果的に一致する場合,認証サービス508は,カスタマがコンピューティングリソースサービスプロバイダ504によって提供される他のサービス512にアクセスできるようにするために,コンピューティングリソースサービスプロバイダルータ506に1つ又は複数の実行可能なコマンドを送信してよい。」との記載,
上記(カ)の「一致している場合,カスタマ送信は本物と見なされ,カスタマがコンピューティングリソースサービスプロバイダ504によって提供される1つ又は複数の他のサービス512にアクセスできるようにするために,認証サービス508からプロバイダルータ506に1つ又は複数の実行可能命令を送信させてもよい。例えば,カスタマ送信が本物であると見なされる場合,コンピューティングリソースサービスプロバイダ504は,カスタマがこれらの他のサービス512にアクセスするために1つ又は複数のバーチャルインタフェースを設定できるようにしてよい。」との記載,
上記(キ)の「カスタマによって提供される認証証拠が本物であると確認されると,認証サービス608はカスタマによる他のサービス612への継続アクセスを可能にしてよい。」との記載,
上記(ケ)の「一致する場合,カスタマ送信は本物と見なされ,これにより認証サービス608は,コンピューティングリソースサービスプロバイダ604によって提供される1つ又は複数のサービス612への継続的なアクセスを可能とさせてよい。」との記載,
上記(コ)の「カスタマによって提供される認証証拠が適切である(例えば,デジタル署名の一致が生じる)場合,認証サービスは,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへのカスタマのアクセスを可能とする714ようにしてもよい。1つ又は複数のサービスに対するカスタマアクセスを可能にするために,認証サービスは,1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信して,カスタマが1つ又は複数のサービスにアクセスするために1つ又は複数の信号を送信できるようにルータを再構成するように構成されてもよい。例えば,コンピューティングリソースサービスプロバイダルータは,1つ又は複数のサービスの受取人IPアドレスを含んだいずれのデータパケットも1つ又は複数のサービスに配信できるように構成されてもよい。」との記載,
上記(サ)の「カスタマから受信された認証証拠が認証サービスによって作成される予想カスタマデジタル署名に一致する場合,認証サービスはコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへの接続を確立してよい808。例えば,認証サービスは,コンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信して,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアドレス指定されるカスタマから受信されたいずれのデータパケットも当該1つ又は複数のサービスに当該ルータにより送信されるように構成されてもよい。したがって,カスタマはそのビジネスをサポートするためにこれらのサービスにアクセスすることができるようになる。」との記載,
上記(シ)の「認証証拠が認証要求を満たす(例えば,提供されたカスタマデジタル署名が認証サービスによって作成された予想カスタマデジタル署名に適合する)場合,認証サービスは,カスタマが現在,コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしているかどうかをさらに判断してよい908。コンピューティングリソースサービスプロバイダがカスタマとこれらのサービスとの間ですでに接続を確立している場合,認証サービスは,カスタマがこれらのサービスにアクセスできることが継続するように構成されてもよい。」及び「カスタマが現在コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしていない場合,認証サービスはカスタマとこれらのサービスとの間に接続を確立してよい910。例えば,認証サービスは,1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信し,カスタマコンピュータシステムを起源とするいずれのデータパケットも1つ又は複数のサービスに送信することを当該ルータに許可させるように構成されてもよい。これにより,カスタマは直ちに自らのビジネスを促進するためにこれらのサービスにアクセスすることができる。」との記載
からすると,当初明細書等には,「認証サービスが検証に成功すると,認証サービスはプロバイダルータに命令を送信して,カスタマルータからのデータパケットが「認証サービス以外の1つ又は複数の他のサービス」に送信されるようにプロバイダルータを再構成すること」が記載されているといえる。

ウ 以上のことから,当初明細書等には,カスタマから受信した「認証証拠」を「認証サービス」に送信し,「認証サービス」が検証に成功すると,カスタマから受信した「データパケット」を,「前記認証サービスとは異なる1つ又は複数のサービス」に送らせることは記載されているものの,「認証サービス」が検証に成功すると,カスタマから受信した「認証証拠(暗号認証情報)」を,「前記認証サービスとは異なる1つ又は複数のサービス」に送らせること,すなわち,「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」が記載されているとはいえない。
また,当初明細書等のその他の記載をみても,「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」については記載も示唆もされていない。
してみれば,請求項1を「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」と補正する補正事項1は,当初明細書等のすべての記載を総合することにより導かれる技術的事項との関係において,新たな技術的事項を導入するものであって,当初明細書等に記載した事項の範囲内においてしたものとはいえない。

エ なお,この点に関して,審判請求人は審判請求書において,以下のとおり主張している。
『(b)補正の根拠の明示
b-1.請求項1に記載されていた「ネットワークトラフィック」を「暗号認証情報」にと補正しました。段落[0050]及び[0052]の開示に基づきます。段落[0050]には「コンピュータシステムは,接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。」との記載があり,段落[0052]には,「サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,暗号認証情報を含んだ追加のデータパケットを生成してよい。」との記載があります。』

しかしながら,上記主張で補正の根拠とされている段落0050の「コンピュータシステムは,接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。」との記載は,上記(ク)で引用したように,「代わりに,カスタマとコンピューティングリソースサービスプロバイダ604とその関連付けられた他のサービス612との間の対話中の任意の時点で,カスタマによって運用されるコンピュータシステムは,接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。」という記載の一部であり,この記載は,「カスタマとコンピューティングリソースサービスプロバイダ604とその関連付けられた他のサービス612との間の対話中の任意の時点」において,「カスタマによって運用されるコンピュータシステム」が,接続が不正接続されていないことを保証するために「コンピューティングリソースサービスプロバイダ」に「1つ又は複数の認証要求」を送信することを記載したものであって,「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」を記載したものではない。
また,上記主張で補正の根拠とされている段落0052の「サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,暗号認証情報を含んだ追加のデータパケットを生成してよい。」との記載は,上記(ケ)で引用したように,「カスタマは,カスタマのアイデンティティを検証するために使用することのできる,サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して,暗号認証情報を含んだ追加のデータパケットを生成してよい。上述されたように,これらのデータパケットはコンピューティングリソースサービスプロバイダルータ606へ認証プロトコルを使用した物理接続を通して送信されてもよい。このルータ606は,さらなる処理のために認証サービス608にこれらのデータパケットを伝送するように構成されてもよい。」という記載の一部であり,ここでは,「カスタマ」が生成する「暗号認証情報を含んだ追加のデータパケット」は,「コンピューティングリソースサービスプロバイダルータ606」へ「送信され」,「ルータ606」は,「認証サービス608」にこれらの「データパケット」を伝送することが記載されているのであって,上記段落0052の記載も,「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」を記載したものではない。
そうすると,審判請求人が補正の根拠として主張している記載は,いずれも,「前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信した前記暗号認証情報を,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせること」を記載したものではないから,審判請求人の審判請求書における主張は採用することができない。

オ 上記ア?エのとおり,上記補正事項1は,当初明細書等に記載した事項の範囲内においてされたものではないから,上記補正事項1を含む本件補正は,特許法第17条の2第3項に規定する要件を満たしていない。

3 補正却下の決定についてのむすび
上記2のとおり,本件補正は,特許法第17条の2第3項に規定する要件を満たしていないから,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

第3 本願発明について
1 本願発明
令和2年1月6日にされた手続補正は,上記のとおり却下されたので,本願の請求項に係る発明は,平成31年4月25日にされた手続補正により補正された特許請求の範囲の請求項1ないし20に記載された事項により特定されるものであるところ,その請求項1に係る発明(以下「本願発明」という。)は,以下のとおりのものである。
「 コンピュータ実装方法であって,
コンピューティングリソースサービスプロバイダネットワークに接続されているコンピューティングリソースサービスプロバイダのネットワークデバイスで,前記コンピューティングリソースサービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された専用の物理ネットワーク接続を通じて,暗号認証情報を受信することと,
認証情報を検証するために運用される認証サービスから,前記カスタマネットワークデバイスに関連するカスタマのキーに基づき,受信した前記暗号認証情報が本物であることを証明する認証を入手することと,
前記認証サービスが前記暗号認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィックを,前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービスに送らせることと,
を含む,コンピュータ実装方法。」

2 原査定の拒絶の理由
原査定の拒絶の理由は,この出願の請求項1に係る発明は,その出願前に頒布された又は電気通信回線を通じて公衆に利用可能となった下記の引用文献1に記載された発明及び引用文献2?7に記載された技術に基づいて,その出願前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから,特許法第29条第2項の規定により特許を受けることができないというものである。

引用文献1:米国特許出願公開第2005/0063400号明細書
引用文献2:特開2002-108818号公報
引用文献3:国際公開第2013/081962号
引用文献4:米国特許出願公開第2007/0234054号明細書(周知技術を示す文献)
引用文献5:特開2005-333350号公報(周知技術を示す文献)
引用文献6:特開2004-318582号公報(周知技術を示す文献)
引用文献7:特開2013-134530号公報(周知技術を示す文献)

3 引用文献及び引用発明
(1)引用文献1の記載事項
原査定の拒絶の理由で引用された本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった引用文献である,米国特許出願公開第2005/0063400号明細書(2005年3月24日公開。以下「引用文献1」という。)には,図面とともに,次の記載がある。なお,下線部は当審で付与した。

ア 「[0029] FIG. 2 is a block diagram of a Protected Network 200, according to various embodiments of the invention. Protected Network 200 is either physically or logically divided into a Restricted Subset 205 and a Less-Restricted Subset 210. Access to Protected Network 200 is possible through an Access Point 215 (a communication device) and an optional Router 220. As is described further herein this access is under the control of a GateKeeper 225. GateKeeper 225 is configured to enforce a security policy against one or more Access Device 230 requesting access to Less-Restricted Subset 210. Typically, Less-Restricted Subset 210 and Restricted Subset 205 are characterized by VLAN settings within Access Point 215. Access Device 230 and Access Point 215 are connected by a communication channel such as a cable, the Internet, a telephone network, other computing network, and/or the like. In some embodiments, a network access server (not shown) is included between Access Device 230 and Access Point 215.
[0030] In various embodiments, Protected Network 200 includes a corporate network, telephone network, private network, local area network, wide area network, wireless network, communication network, government network, university network, and/or the like. Restricted Subset 205 is a subset of Protected Network 200 including at least GateKeeper 225.・・・For example, in one embodiment, Restricted Subset 205 includes a server configured to function as DHCP 260 and a server configured to function as GateKeeper 225. In one embodiment, Restricted Subset 205 includes a single computing device configured to function as both Update Module 255 and GateKeeper 225.」
(当審訳:[0029] 図2は,本発明の様々な実施形態に従った保護ネットワーク200のブロック図である。保護ネットワーク200は,物理的にまたは論理的に,制限されたサブセット205と制限のより少ないサブセット210に分割されている。保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能である。本書で更に説明するように,このアクセスは,ゲートキーパ225の制御下にある。ゲートキーパ225は,制限のより少ないサブセット210へのアクセスを要求する1つ又は複数のアクセス装置230に対してセキュリティポリシーを実施するように構成されている。典型的には,制限のより少ないサブセット210と制限されたサブセット205は,アクセスポイント215内のVLANの設定によって特徴づけられる。アクセス装置230とアクセスポイント215は,ケーブル,インターネット,電話回線網,コンピュータネットワーク等のような通信チャネルによって接続されている。いくつかの実施形態では,アクセス装置230とアクセスポイント215の間にネットワーク・アクセス・サーバ(図示せず)が含まれる。
[0030] 様々な実施形態において,保護ネットワーク200は,企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含む。制限されたサブセット205は,少なくともゲートキーパ225を含む保護ネットワーク200のサブセットである。・・・例えば,一実施形態では,制限されたサブセット205は,DHCP260として機能するように構成されたサーバ,及びゲートキーパ225として機能するように構成されたサーバを含む。一実施形態では,制限されたサブセット205は,更新モジュール255及びゲートキーパ225の両方として機能するように構成された単一のコンピューティングデバイスを含む。)

イ 「FIG.2



ウ 「[0035] Access Device 230 is a computing device configured to operate as an end point (EP) in a communication channel including Access Point 215 and Access Device 230. In various embodiments, Access Device 230 is a personal computer, a personal digital assistant, a telephone, a wireless device, a communication device such as a router, Ethernet card, wireless card, another access point, a network device, or the like.・・・」
(当審訳:[0035] アクセス装置230は,アクセスポイント215とアクセスデバイス230を含む通信チャネルのエンドポイント(EP)として動作するように構成されたコンピューティングデバイスである。様々な実施形態において,アクセス装置230は,パーソナルコンピュータ,パーソナルデジタルアシスタント,電話,無線通信装置,ルータのような通信デバイス,イーサネットカード,無線カード,他のアクセスポイント,ネットワーク装置等である。・・・)

エ 「[0048] Access Control 320 is responsive to a Policy Auditor 325 included in GateKeeper 225.・・・」
(当審訳:[0048] アクセス制御320は,ゲートキーパ225に含まれるポリシー監査部325に応答する。・・・)

オ 「[0051] FIG. 4 is a flowchart illustrating a method of granting access to Less-Restricted Subset 210 (FIG. 2), according to various embodiments of the invention. In these embodiments, an Update Port Log Step 410 and a Restrict Port Step 420, are used to prepare an open (unused) communication port on Access Point 215 for receiving a request for access to Less-Restricted Subset 210. This request is received from Access Device 230 in a Receive Access Request Step 430. In response, GateKeeper 225 authenticates a user, obtains audit data, and applies a security policy in an Authenticate User Step 440, an Obtain Audit Data Step 450 and an Apply Security Policy Step 460, respectfully. If the security policy is satisfied, then in a Reconfigure Port Step 470 GateKeeper 225 reconfigures the communication port of Access Point 215, to which Access Device 230 has connected. Finally, the reconfigured communication port is used to pass communication between Access Device 230 and one or more element of Less-Restricted Network 205(当審注:「205」は「210」の誤記である。) in a Communicate Step 480. Further details of these steps are discussed herein.
・・・
[0055] In optional Authenticate User Step 440, Policy Auditor 325 authenticates the identity of Access Device 230 and/or a user of Access Device 230. This authentication may be required by a member of Security Policies 330A-330B. In various embodiments, the authentication may include receipt of a user name and password, receipt of a MAC address, reading of data stored on Access Device 230, communication with an agent executing on Access Device 230, or the like.」
(当審訳:[0051] 図4は,本発明の様々な実施形態による,制限のより少ないサブセット210(図2)へのアクセスを許可する方法を示すフローチャートである。これらの実施形態では,アップデートポートログステップ410と制限ポートステップ420は,制限のより少ないサブセット210へのアクセス要求を受け付けるためのアクセス・ポイント215の開放(未使用の)通信ポートを準備するために使用される。この要求は,アクセス要求受信ステップ430において,アクセス装置230から受信される。これに応答して,ゲートキーパ225は,ユーザ認証ステップ440でユーザを認証し,監査データ取得ステップ450で監査データを取得し,セキュリティポリシー適用ステップ460でセキュリティポリシーを適用する。セキュリティポリシーが満たされている場合,ポート再構成ステップ470でゲートキーパ225はアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成する。最後に,再構成された通信ポートは,通信ステップ480において,アクセス装置230と制限のより少ないネットワーク205(当審注:「205」は「210」の誤記である。)の1つ以上の要素との間の通信を通過させるために使用される。これらのステップのさらなる詳細は,本明細書で説明されている。
・・・
[0055] オプションのユーザ認証ステップ440で,ポリシー監査部325は,アクセス装置230のアイデンティティの認証,および/またはアクセス装置230のユーザの認証を行う。この認証は,セキュリティポリシー330A-330Bのメンバーによって要求され得る。様々な実施形態では,認証は,ユーザ名及びパスワードの受信,MACアドレスの受信,アクセス装置230上に記憶されたデータの読み出し,アクセス装置230上で動作するエージェントとの通信,等を含むことができる。)

カ 「[0066] In Communicate Step 480, communication occurs between Access Device 230 and elements of Less-Restricted Subset 210 via the communication port reconfigured in Reconfigure Port Step 470. However, in some embodiments, ACL 340A is configured to allow access to GateKeeper 225 as well as Less-Restricted Subset 210. Thus, general network traffic does not need to pass through GateKeeper 225, while communication regarding security of Protected Network 200 is optionally received by GateKeeper 225.・・・」
(当審訳:[0066] 通信ステップ480で,通信は,ポート再構成ステップ470で再構成された通信ポートを介して,アクセス装置230と制限のより少ないサブセット210のとの間で生じる。しかしながら,いくつかの実施形態では,ACL340aは,制限のより少ないサブセット210だけでなく,ゲートキーパ225へのアクセスも許可するように構成されている。このように,一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がなく,他方で,保護ネットワーク200のセキュリティに関する通信は,必要に応じて,ゲートキーパ225によって受信される。・・・)

(2)引用発明
引用文献1に記載されている事項について検討する。

ア 上記(1)アの「保護ネットワーク200は,物理的にまたは論理的に,制限されたサブセット205と制限のより少ないサブセット210に分割されている」との記載から,引用文献1には,
“物理的にまたは論理的に,制限されたサブセット205と制限のより少ないサブセット210に分割されている保護ネットワーク200”が記載されている。
上記(1)オの「制限のより少ないサブセット210(図2)へのアクセスを許可する方法」との記載から,引用文献1には,
“制限のより少ないサブセット210へのアクセスを許可する方法”が記載されている。
以上から,引用文献1には,
“物理的にまたは論理的に,制限されたサブセット205と制限のより少ないサブセット210に分割されている保護ネットワーク200における制限のより少ないサブセット210へのアクセスを許可する方法”が記載されていると認められる。

イ 上記(1)アの「保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能である」,「このアクセスは,ゲートキーパ225の制御下にある」,「ゲートキーパ225は,制限のより少ないサブセット210へのアクセスを要求する1つ又は複数のアクセス装置230に対してセキュリティポリシーを実施するように構成されている」,「アクセス装置230とアクセスポイント215は,ケーブル・・・のような通信チャネルによって接続されている」との記載から,引用文献1には,
“保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能であり,
このアクセスは,ゲートキーパ225の制御下にあり,
ゲートキーパ225は,制限のより少ないサブセット210へのアクセスを要求する1つ又は複数のアクセス装置230に対してセキュリティポリシーを実施するように構成されており,
アクセス装置230とアクセスポイント215は,ケーブルのような通信チャネルによって接続されて”いることが記載されていると認められる。

ウ 上記(1)アの「保護ネットワーク200は,企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含む」,「制限されたサブセット205は,少なくともゲートキーパ225を含む保護ネットワーク200のサブセットである」,「制限されたサブセット205は,・・・ゲートキーパ225として機能するように構成されたサーバを含む」との記載から,引用文献1には,
“保護ネットワーク200は,企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含むものであり,
制限されたサブセット205は,少なくともゲートキーパ225を含む保護ネットワーク200のサブセットであり,
制限されたサブセット205は,ゲートキーパ225として機能するように構成されたサーバを含”むことが記載されていると認められる。

エ 上記(1)ウの「アクセス装置230は,パーソナルコンピュータ,パーソナルデジタルアシスタント,電話,無線通信装置,ルータのような通信デバイス,イーサネットカード,無線カード,他のアクセスポイント,ネットワーク装置等である」との記載から,引用文献1には,
“アクセス装置230は,ルータのような通信デバイスであ”ることが記載されていると認められる。

オ 上記(1)オの「アップデートポートログステップ410と制限ポートステップ420は,制限のより少ないサブセット210へのアクセス要求を受け付けるためのアクセス・ポイント215の開放(未使用の)通信ポートを準備するために使用される」,「この要求は,アクセス要求受信ステップ430において,アクセス装置230から受信される」,「これに応答して,ゲートキーパ225は,ユーザ認証ステップ440でユーザを認証し,監査データ取得ステップ450で監査データを取得し,セキュリティポリシー適用ステップ460でセキュリティポリシーを適用する。セキュリティポリシーが満たされている場合,ポート再構成ステップ470でゲートキーパ225はアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成する」,「再構成された通信ポートは,通信ステップ480において,アクセス装置230と制限のより少ないネットワーク205(当審注:「205」は「210」の誤記である。)の1つ以上の要素との間の通信を通過させるために使用される」との記載から,引用文献1には,
“アップデートポートログステップ410と制限ポートステップ420は,制限のより少ないサブセット210へのアクセス要求を受け付けるためのアクセス・ポイント215の開放(未使用の)通信ポートを準備するために使用され,
この要求は,アクセス要求受信ステップ430において,アクセス装置230から受信され,
これに応答して,ゲートキーパ225は,ユーザ認証ステップ440でユーザを認証し,監査データ取得ステップ450で監査データを取得し,セキュリティポリシー適用ステップ460でセキュリティポリシーを適用し,
セキュリティポリシーが満たされている場合,ポート再構成ステップ470でゲートキーパ225はアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成し,
再構成された通信ポートは,通信ステップ480において,アクセス装置230と制限のより少ないネットワーク210の1つ以上の要素との間の通信を通過させるために使用され”ることが記載されていると認められる。

カ 上記(1)オの「ユーザ認証ステップ440で,ポリシー監査部325は,アクセス装置230のアイデンティティの認証,および/またはアクセス装置230のユーザの認証を行う」,「この・・・認証は,ユーザ名及びパスワードの受信・・・を含むことができる。」との記載,及び上記(1)エの「ゲートキーパ225に含まれるポリシー監査部325」との記載から,引用文献1には,
“ユーザ認証ステップ440で,ゲートキーパ225に含まれるポリシー監査部325は,アクセス装置230のアイデンティティの認証,および/またはアクセス装置230のユーザの認証を行い,この認証は,ユーザ名及びパスワードの受信を含むことができ”ることが記載されていると認められる。

キ 上記(1)カの「通信ステップ480で,通信は,ポート再構成ステップ470で再構成された通信ポートを介して,アクセス装置230と制限のより少ないサブセット210のとの間で生じる」,「一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がなく」との記載から,引用文献1には,
“通信ステップ480で,通信は,ポート再構成ステップ470で再構成された通信ポートを介して,アクセス装置230と制限のより少ないサブセット210との間で生じ,
一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がない”ことが記載されていると認められる。

ク まとめ
上記ア?キの検討から,引用文献1には,次の発明(以下,「引用発明」という。)が記載されていると認められる。
なお,引用発明の各構成を,それぞれに付した符号(a)?(a-8),及び(b)?(b-8)により,以下,構成a?構成a-8,及び構成b?構成b-8と称する。

(引用発明)
(a)物理的にまたは論理的に,制限されたサブセット205と制限のより少ないサブセット210に分割されている保護ネットワーク200における制限のより少ないサブセット210へのアクセスを許可する方法であって,
(b)(b-1)保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能であり,
(b-2)このアクセスは,ゲートキーパ225の制御下にあり,
(b-3)ゲートキーパ225は,制限のより少ないサブセット210へのアクセスを要求する1つ又は複数のアクセス装置230に対してセキュリティポリシーを実施するように構成されており,
(b-4)アクセス装置230とアクセスポイント215は,ケーブルのような通信チャネルによって接続されており,
(b-5)保護ネットワーク200は,企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含むものであり,
(b-6)制限されたサブセット205は,少なくともゲートキーパ225を含む保護ネットワーク200のサブセットであり,
(b-7)制限されたサブセット205は,ゲートキーパ225として機能するように構成されたサーバを含み,
(b-8)アクセス装置230は,ルータのような通信デバイスであり,
(a-1)アップデートポートログステップ410と制限ポートステップ420は,制限のより少ないサブセット210へのアクセス要求を受け付けるためのアクセス・ポイント215の開放(未使用の)通信ポートを準備するために使用され,
(a-2)この要求は,アクセス要求受信ステップ430において,アクセス装置230から受信され,
(a-3)これに応答して,ゲートキーパ225は,ユーザ認証ステップ440でユーザを認証し,監査データ取得ステップ450で監査データを取得し,セキュリティポリシー適用ステップ460でセキュリティポリシーを適用し,
(a-4)セキュリティポリシーが満たされている場合,ポート再構成ステップ470でゲートキーパ225はアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成し,
(a-5)再構成された通信ポートは,通信ステップ480において,アクセス装置230と制限のより少ないネットワーク210の1つ以上の要素との間の通信を通過させるために使用され,
(a-6)ユーザ認証ステップ440で,ゲートキーパ225に含まれるポリシー監査部325は,アクセス装置230のアイデンティティの認証,および/またはアクセス装置230のユーザの認証を行い,この認証は,ユーザ名及びパスワードの受信を含むことができ,
(a-7)通信ステップ480で,通信は,ポート再構成ステップ470で再構成された通信ポートを介して,アクセス装置230と制限のより少ないサブセット210との間で生じ,
(a-8)一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がない,
方法。

(3)引用文献2の記載事項
ア 同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった特開2002-108818号公報(2002年4月12日公開。以下「引用文献2」という。)には,次の記載がある。

「【0001】
【発明の属する技術分野】本発明は,データセンター,セキュリティポリシー作成方法及びセキュリティシステムに係り,特に,ユーザのデータ等を集中的に管理するデータセンター,セキュリティポリシー作成方法及びセキュリティシステムに関する。」

「【0031】図1に本発明のシステム構成図の例を示す。図1のシステムは,ユーザシステム201?20N,データセンター100から構成されている。ユーザシステム201?20Nは,ファイアウォール211?21N及び専用線131?12Nを介して,データセンター100と接続されている。」

「【0033】データセンター100は,ユーザのインターネットサーバ111?11N,ファイアウォール1011?1012,ルータ1021?1022,認証サーバ103,管理・制御装置104,LAN(Local Area Network)105,セキュリティポリシー作成支援装置106及びデータベース107から構成されている。」


イ 上記記載から,引用文献2には,次の技術が記載されていると認められる。
「ユーザのインターネットサーバ111?11N,ファイアウォール1011?1012,ルータ1021?1022,認証サーバ103,セキュリティポリシー作成支援装置106等から構成されるデータセンターに,ユーザシステム201?20Nを,専用線131?12Nを介して接続する技術。」


(4)引用文献3の記載事項
ア 同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった国際公開第2013/081962号(2013年6月6日公開。以下「引用文献3」という。)には,次の記載がある。

「[0030] Figure 1 illustrates an example system environment, according to at least some embodiments. The system 100 may include a provider network 105 with one or more data centers 110 maintained to provide services to clients, such as cloud computing services or cloud storage services.・・・」
(当審訳:[0030] 図1は,少なくともいくつかの実施形態による,例示的なシステム環境を図示する。システム100は,クラウドコンピューティングサービスまたはクラウドストレージサービス等のサービスをクライアントに提供するように維持される1つ以上のデータセンター110を有する,プロバイダネットワーク105を含み得る。・・・)

「[0033] The connectivity service provided by connectivity coordinator 114 may include a number of techniques implemented to help clients of the provider network establish and manage dedicated network paths from the client networks 162 to the resource collections 120 in various embodiments. For example, a cross-network connection 191 including a physical link or cable between client-side router 142B and endpoint router 132B may have been established with the help of some of the features of the connectivity service provided by connectivity coordinator 114. The term cross-network connection, as used herein, refers to a physical network connection set up between two autonomous networks. For example, within the Internet, an autonomous network may be identified by a unique Autonomous System (AS) identifier - a collection of connected Internet Protocol (IP) routing prefixes under the control of one or more network operators that presents a common, clearly defined routing policy to the Internet.・・・」
(当審訳:[0033] 接続性コーディネータ114によって提供される接続性サービスは,種々の実施形態において,プロバイダネットワークのクライアントが,クライアントネットワーク162からリソースコレクション120への専用のネットワーク経路を確立し,管理するのを補助するために実現される,いくつかの手法を含み得る。例えば,クライアント側ルータ142Bとエンドポイントルータ132Bとの間の物理リンクまたはケーブルを含む,クロスネットワーク接続191が,接続性コーディネータ114によって提供される接続性サービスの特徴のいくつかの補助を用いて確立されている場合がある。本明細書で使用されるクロスネットワーク接続という用語は,2つの自律ネットワーク間に設定される,物理ネットワーク接続を指す。例えば,インターネット内で,自律ネットワークは,一意の自律システム(AS)識別子,すなわち,共通の明確に定義されたルーティングポリシーをインターネットに示す,1つ以上のネットワーク運用者の制御下にある,一群の接続されたインターネットプロトコル(IP)のルーティングプレフィックスによって,識別され得る。・・・)

イ 上記記載から,引用文献3には,次の技術が記載されていると認められる。

「クラウドコンピューティングサービスまたはクラウドストレージサービス等のサービスをクライアントに提供するように維持される1つ以上のデータセンター110。」

「プロバイダネットワークのクライアントが,クライアントネットワーク162からリソースコレクション120への専用のネットワーク経路を確立し,管理するのを補助するためにクライアント側ルータ142Bとエンドポイントルータ132Bとの間の物理リンクまたはケーブルを含む,クロスネットワーク接続191を確立する技術。」

(5)引用文献4の記載事項
同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった米国特許出願公開第2007/0234054号明細書(2007年10月4日公開。以下「引用文献4」という。)には,次の記載がある。

「[0021] In some embodiments of the invention the access authentication request comprises an access signature generated with use of an access private key of the access entity, in which the network element is adapted to authenticate the access with use of the access signature.
[0022] In some embodiments of the invention the network element is adapted to determine a validity of the access signature with use of the access public key and wherein the network element is adapted to accept the access authentication request if the return message indicates the access is valid and if the network element determines the access signature is valid.」」
(当審訳:[0021] 本発明のいくつかの実施形態では,アクセス認証要求は,アクセスエンティティのアクセス秘密鍵を用いて生成されたアクセス署名を含み,その場合,ネットワーク要素は,アクセス署名を使用してアクセスを認証するように適合される。
[0022] 本発明のいくつかの実施形態では,ネットワーク要素は,アクセス者公開鍵の使用により,アクセス署名の正当性を判断するようになっており,ここで,戻りメッセージがアクセスが有効であることを示す場合,そして,ネットワーク要素がアクセス署名が有効であると判定した場合,ネットワーク要素は,アクセス認証要求を受け入れるように適合されている。)

(6)引用文献5の記載事項
同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった特開2005-333350号公報(2005年12月2日公開。以下「引用文献5」という。)には,次の記載がある。

「【0022】
ステップS401において,利用者Bの端末104が利用者Aの家のネットワーク利用端末101へ,回線102を介した通信の要求を送信する。すると,ステップS402において,ネットワーク利用端末101が認証サーバへ認証開始を要求する情報を送信し,ステップS403において,認証サーバは乱数などを生成して,チャレンジとしてそれをネットワーク利用端末101へ送信する。ステップS404において,ネットワーク利用端末101は,端末104へチャレンジを送信する。端末104は,利用者Bの秘密鍵によるチャレンジへの署名(これをsBとする。)を行ない,ステップS405にネットワーク利用端末101へ送信する。sBを受信したネットワーク利用端末101は,利用者Aの秘密鍵によるチャレンジへの署名(これをsAとする。)を行ない,ステップS406において,sAとsBとを認証サーバ105へ送信する。認証サーバ105は,ステップS407において,ディレクトリサーバに対して利用者Aと利用者Bとの公開鍵を要求し,ステップS408において,利用者Aと利用者Bとの返信を受ける。そして,ステップS409において,sAとsBとの検証,すなわち,公開鍵でsAとsBを復号化し,ステップS403で送信したチャレンジが得られるかを検証する。ステップS410において,検証の結果をネットワーク利用端末101へ送信する。」

(7)引用文献6の記載事項
同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった特開2004-318582号公報(2004年11月11日公開。以下「引用文献6」という。)には,次の記載がある。

「【0022】
通信端末20は,例えば,パーソナルコンピュータ(以下,「PC」)20-1,冷蔵庫20-2,オーディオ20-3や,PDA(Personal Digital Assistants:情報携帯端末),携帯電話,各種家電製品などであり,可搬でありうる。通信端末20は,TCP/IPを実装し,10BASE-T/100BASE-Tや無線LAN(Local Area Network)などによりハブやLANスイッチ,ルータなどのSW30と接続される。そして,エッジルータ40から広告されたネットワーク(回線)を識別するための上位64ビット(プレフィクス)と,自身の備えるLANカードなどに割り当てられたMACアドレスから生成した下位64ビット(インタフェースID)とから128ビットのIPv6アドレス(以下,単に「IPアドレス」と記載)を生成する機能を有する。また,自身に装着したHWキー10が備えるメモリ内のデジタル証明書及び秘密鍵を用いて,通信開始時及び通信中定期的に認証サーバ51との間でPKI認証を行う機能を有する。さらに,自身が内部に記憶するホストID(HOST-ID)及び生成したIPアドレスを認証サーバ51へ通知し,認証および接続を要求する機能を有する。ここでは,IPアドレスを生成する機能,PKI認証を行う機能,ならびに,認証および接続を要求する機能は,認証用ソフトウェアにより実行されるとする。 なお,通信端末20は,HWキー10を装着する代わりに,ユーザのデジタル証明書及び秘密鍵を書き換えができないように記憶しているメモリを備えたイン・キー(InKey)11を予め内部に具備することでもよい。」

(8)引用文献7の記載事項
同じく原査定に引用され,本願の優先日前に頒布された又は電気通信回線を通じて公衆に利用可能となった特開2013-134530号公報(2013年7月8日公開。以下「引用文献7」という。)には,次の記載がある。

「【0054】
図2は,本実施形態に係る認証方法を示すシーケンス図である。
ステップS1において,ユーザ端末10は,認証要求を認証サーバ20へ送信する。
【0055】
ステップS2において,認証サーバ20は,ステップS1で認証要求を受信したことに応じて,チャレンジ用の乱数(R)を生成する。
【0056】
ステップS3において,認証サーバ20は,ステップS2で生成された乱数(R)を,ユーザ端末10へ送信する。
【0057】
ステップS4において,ユーザ端末10は,ステップS3で受信した乱数(R)と第1の認証コード(W1)とを用いて,一方向性ハッシュ関数演算によりレスポンス値(Res)を生成する。
【0058】
ステップS5において,ユーザ端末10は,ステップS4で生成されたレスポンス値(Res)を,第2の認証コード(W2,W3,・・・)により暗号化し,暗号化レスポンス値(ER)を生成する。
【0059】
ステップS6において,ユーザ端末10は,ステップS5で生成された暗号化レスポンス値(ER)と,ユーザ識別情報(ID)とを,認証サーバ20へ送信する。
【0060】
ステップS7において,認証サーバ20は,ステップS6で受信したユーザ識別情報(ID)に関連付けられている第1の認証コード(W1)及び第2の認証コード(W2,W3,・・・)を,ユーザ情報テーブル221から抽出する。
【0061】
ステップS8において,認証サーバ20は,ステップS6で受信された暗号化レスポンス値(ER)を,ステップS7で抽出された第2の認証コード(W2,W3,・・・)を逆順に用いて復号し,第1の検証用レスポンス値(C)を生成する。
【0062】
ステップS9において,認証サーバ20は,ステップS2で生成された乱数(R)と,ステップS7で抽出された第1の認証コード(W1)とを用いて,一方向性ハッシュ関数演算により第2の検証用レスポンス値(Res’)を生成する。
【0063】
ステップS10において,認証サーバ20は,ステップS8で生成された第1の検証用レスポンス値(C)と,ステップS9で生成された第2の検証用レスポンス値(Res’)とを比較する。そして,認証サーバ20は,両者が同一であれば正規ユーザと判断してAckを出力し,相違すれば不正ユーザと判断してNakを出力する。
【0064】
ステップS11において,認証サーバ20は,ステップS10で出力された認証結果(Ack又はNak)を,ユーザ端末10へ送信する。」

4 対比・判断
本願発明と引用発明とを対比する。

(1)構成aによれば,引用発明の「制限のより少ないサブセット210へのアクセスを許可する方法」は,「ゲートキーパ225」によって実行される方法であるところ,構成b-7によれば,引用発明の「ゲートキーパ225」の機能は「サーバ」で実行される機能であるから,上記「方法」は,「コンピュータ」で実行される「方法」であるといえる。そうすると,引用発明の「ゲートキーパ225」によって実行される「方法」は,本願発明の「コンピュータ実装方法」に相当する。

(2)
(2-1)構成b-5によれば,引用発明の「保護ネットワーク200」は,「企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含むもの」であるところ,引用発明の「企業内ネットワーク」の“サービス”を提供する「企業」,「電話ネットワーク」の“サービス”を提供する「電話会社」,「政府ネットワーク」の“サービス”を提供する「政府」,「大学ネットワーク」の“サービス”を提供する「大学」は,「保護ネットワーク200」を通じてそれぞれの“サービス”を提供する“サービスプロバイダ”であるといえるから,引用発明の「保護ネットワーク200」を通じて“サービス”を提供する“サービスプロバイダ”と本願発明の「コンピューティングリソースサービスプロバイダ」とは,“サービスプロバイダ”である点で共通する。
そうすると,引用発明の「保護ネットワーク200」と,本願発明の「コンピューティングリソースサービスプロバイダネットワーク」とは,“サービスプロバイダネットワーク”である点で共通する。
また,構成b-1によれば,引用発明の「アクセスポイント215(通信装置)及び任意のルータ220」は,“ネットワークデバイス”であるということができ,構成b-1によれば,「保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能であ」ることから,引用発明における「アクセスポイント215(通信装置)及び任意のルータ220」は,「保護ネットワーク200」に“接続されている”といえる。
してみれば,引用発明の「保護ネットワーク200」に“接続されている”「アクセスポイント215(通信装置)及び任意のルータ220」と,本願発明の「コンピューティングリソースサービスプロバイダネットワークに接続されているコンピューティングリソースサービスプロバイダのネットワークデバイス」とは,“サービスプロバイダネットワークに接続されているサービスプロバイダのネットワークデバイス”である点で共通する。
(2-2)構成b-8によれば,引用発明の「アクセス装置230」は,「ルータのような通信デバイス」であるから,“ネットワークデバイス”であるといえ,「企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなど」の「保護ネットワーク200」を利用する“カスタマ”の“ネットワーク”に接続されるものであるから,本願発明の「カスタマネットワークデバイス」に相当する。
また,当該“カスタマ”の“ネットワーク”は,「保護ネットワーク200」とは“別個”のネットワークであることは明らかである。
そうすると,引用発明の「アクセス装置230」と,本願発明の「前記コンピューティングリソースサービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイス」とは,“前記サービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイス”の点で共通する。
(2-3)構成b-4によれば,引用発明の「ケーブルのような通信チャネル」は,“物理ネットワーク”にほかならないから,引用発明の「アクセス装置230とアクセスポイント215」とを「接続」する「ケーブルのような通信チャネル」と,本願発明の「カスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された専用の物理ネットワーク接続」とは,“カスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された物理ネットワーク接続”である点で共通する。
(2-4)構成b-1によれば,引用発明の「保護ネットワーク200へのアクセスは,アクセスポイント215(通信装置)及び任意のルータ220を介して可能であり」,また構成a-6によれば,引用発明の「ユーザ認証ステップ440で,ゲートキーパ225に含まれるポリシー監査部325」は,「アクセス装置230のユーザの認証を行い,この認証は,ユーザ名及びパスワードの受信を含むことができ」ることから,「ユーザ認証ステップ440」で,「ポリシー監査部325」は,「アクセス装置230」から「ユーザ名及びパスワード」を受信して,「アクセス装置230のユーザの認証を行」うものと認められる。
ここで,「ポリシー監査部325」が受信する「ユーザ名及びパスワード」を「アクセスポイント215(通信装置)」が受信する際に,「アクセス装置230とアクセスポイント215」とを「接続する」「ケーブルのような通信チャネル」を“通じて”受信することは明らかである。
また,構成a-6によれば,引用発明の「ユーザ名及びパスワード」は,ユーザの認証を行うための“認証情報”といえるものであるから,本願発明の「暗号認証情報」とは,共に“認証情報”である点で共通する。
そうすると,引用発明の「アクセス装置230とアクセスポイント215」とを「接続する」「ケーブルのような通信チャネル」を“通じて” 「ユーザ名及びパスワード」を受信することと,本願発明の「カスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された専用の物理ネットワーク接続を通じて,暗号認証情報を受信すること」とは,“カスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された物理ネットワーク接続を通じて,認証情報を受信すること”である点で共通する。
(2-5)上記(2-1)?(2-4)より,引用発明と本願発明とは,“サービスプロバイダネットワークに接続されているサービスプロバイダのネットワークデバイスで,前記サービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された物理ネットワーク接続を通じて,認証情報を受信すること”を含む点で共通する。

(3)上記a-3によれば,引用発明の「ゲートキーパ225」は,「ユーザ認証ステップ440でユーザを認証」するものであり,また,上記a-6によれば,引用発明の「ユーザ認証ステップ440」で,「ゲートキーパ225に含まれるポリシー監査部325」は,「アクセス装置230」から「ユーザ名及びパスワード」を「受信」することで,「アクセス装置230のユーザ」の「認証」を行うものであるから,引用発明の「ゲートキーパ225」は,本願発明の「認証情報を検証するために運用される認証サービス」に相当する。
そして,前記「アクセス装置230」から「ユーザ名及びパスワード」を「受信」することで,「アクセス装置230のユーザ」の「認証」を行うことは,「受信」した「ユーザ名及びパスワード」が“本物であることを証明する認証を入手すること”であるといえる。
そうすると,引用発明の,「ユーザ認証ステップ440」で,「ゲートキーパ225に含まれるポリシー監査部325」が,「アクセス装置230」から「ユーザ名及びパスワード」を「受信」することで,「アクセス装置230のユーザ」の「認証」を行うことと,本願発明の「認証情報を検証するために運用される認証サービスから,前記カスタマネットワークデバイスに関連するカスタマのキーに基づき,受信した前記暗号認証情報が本物であることを証明する認証を入手すること」とは,“認証情報を検証するために運用される認証サービスから,受信した前記認証情報が本物であることを証明する認証を入手すること”である点で共通する。

(4)
(4-1)引用発明における構成a-4の「セキュリティポリシーが満たされている場合」とは,構成a-3において,「ゲートキーパ225」が,「ユーザ認証ステップ440でユーザを認証し,監査データ取得ステップ450で監査データを取得し,セキュリティポリシー適用ステップ460でセキュリティポリシーを適用し」て,最終的に「セキュリティポリシーが満たされている場合」のことであり,この場合,「ユーザ認証ステップ440」で「ユーザ」が「認証」されていることから,引用発明の「ユーザ認証ステップ440」で「ユーザ」が「認証」されている場合と,本願発明の「前記認証サービスが前記暗号認証情報を無事に検証した」場合とは,“前記認証サービスが前記認証情報を無事に検証した”場合である点で共通する。
(4-2)構成a-4,構成a-5によれば,引用発明では,「セキュリティポリシーが満たされている場合」に,「ゲートキーパ225は,ポート再構成ステップ470でアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成し」,「再構成された通信ポートは,通信ステップ480において,アクセス装置230と制限のより少ないネットワーク210の1つ以上の要素との間の通信を通過させるために使用され」るものである。
また,構成a-7,a-8によれば,引用発明では,「通信ステップ480で,通信は,ポート再構成ステップ470で再構成された通信ポートを介して,アクセス装置230と制限のより少ないサブセット210との間で生じ」,「一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がない」ものである。
ここで,引用発明の「一般的なネットワークトラフィック」は,「アクセス装置230と制限のより少ないサブセット210との間で生じ」る「通信」のトラフィックであるから,本願発明の「前記専用の物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィック」とは,“前記物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィック”である点で共通する。
(4-3)また,構成(a-7),(a-8)によれば,引用発明では,「通信ステップ480で,通信は,」「アクセス装置230と制限のより少ないサブセット210との間で生じ」,「一般的なネットワークトラフィックは,ゲートキーパ225を通過する必要がない」ものであるところ,「制限のより少ないサブセット210」は,「企業内ネットワーク,電話ネットワーク,私設ネットワーク,ローカルエリアネットワーク,ワイドエリアネットワーク,無線ネットワーク,通信ネットワーク,政府ネットワーク,大学ネットワークなどを含む」「保護ネットワーク200」を分割したサブセットのうち,“認証サービス”を提供する「ゲートキーパ225」が含まれる「制限されたサブセット205」とは“異なる”“企業内ネットワークサービス”や“電話ネットワークサービス”等を提供するものとみることができるから,引用発明の「制限のより少ないサブセット210」と本願発明の「前記認証サービスとは異なる前記コンピューティングリソースサービスプロバイダの1つ又は複数のサービス」とは,“前記認証サービスとは異なる前記サービスプロバイダの1つ又は複数のサービス”である点で共通する。
(4-4)上記(4-1)の検討を踏まえると,引用発明において,「ユーザ認証ステップ440」で「ユーザ」が「認証」されると,その“結果”として,「ゲートキーパ225」は,「ポート再構成ステップ470でアクセスデバイス230が接続されるアクセスポイント215の通信ポートを再構成し」,これによって,「ゲートキーパ225」は,「アクセスポイント215」(本願発明の「ネットワークデバイス」)に,「ネットワークトラフィック」を“前記認証サービスとは異なる前記サービスプロバイダの1つ又は複数のサービス”に“送らせ”ているとみることができる。
(4-5)上記(4-1)?(4-4)より,引用発明と本願発明とは,“前記認証サービスが前記認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィックを,前記認証サービスとは異なる前記サービスプロバイダの1つ又は複数のサービスに送らせること”を含む点で共通する。

(5)一致点・相違点
したがって,本願発明と引用発明とは,次の一致点及び相違点を有する。

[一致点]
コンピュータ実装方法であって,
サービスプロバイダネットワークに接続されているサービスプロバイダのネットワークデバイスで,前記サービスプロバイダネットワークとは別個のカスタマネットワークに接続されたカスタマネットワークデバイスと,前記ネットワークデバイスとの間で確立された物理ネットワーク接続を通じて,認証情報を受信することと,
認証情報を検証するために運用される認証サービスから,受信した前記認証情報が本物であることを証明する認証を入手することと,
前記認証サービスが前記認証情報を無事に検証した結果として,前記ネットワークデバイスに,前記物理ネットワーク接続を通じて前記カスタマネットワークデバイスから受信したネットワークトラフィックを,前記認証サービスとは異なる前記サービスプロバイダの1つ又は複数のサービスに送らせることと,
を含む,コンピュータ実装方法。

[相違点1]
本願発明では,サービスを提供する「サービスプロバイダ」が,「コンピューティングリソースサービスプロバイダ」であり,また,「サービスプロバイダ」のネットワークが,「コンピューティングリソースサービスプロバイダネットワーク」であるのに対して,引用発明では,「サービスプロバイダ」が,「コンピューティングリソースサービスプロバイダ」ではなく,また,「サービスプロバイダ」のネットワークが,「コンピューティングリソースサービスプロバイダネットワーク」ではない点。

[相違点2]
サービスプロバイダのネットワークデバイスとカスタマネットワークデバイスとを接続する「物理ネットワーク接続」が,本願発明では,「専用の物理ネットワーク接続」であるのに対して,引用発明の物理ネットワーク接続は,「専用の」ものであるとは特定されていない点。

[相違点3]
ユーザを認証するための「認証情報」が,本願発明では,「暗号認証情報」であり,受信した「前記暗号認証情報」が本物であることを証明する際に,「前記カスタマネットワークデバイスに関連するカスタマのキーに基づ」いて証明するのに対して,引用発明の「認証情報」は,「ユーザ名及びパスワード」である点。

(6)当審の判断
ア 相違点1について
引用文献2(上記3(3)の記載を参照)に「ユーザのインターネットサーバ111?11N,ファイアウォール1011?1012,ルータ1021?1022,認証サーバ103,セキュリティポリシー作成支援装置106等から構成されるデータセンター」が記載され,また,引用文献3(上記3(4)の記載を参照)に「クラウドコンピューティングサービスまたはクラウドストレージサービス等のサービスをクライアントに提供するように維持される1つ以上のデータセンター110」が記載されているように,ユーザに「コンピューティングリソース」を提供するデータセンター(コンピューティングリソースサービスプロバイダ)は,本願優先日前に当該技術分野における周知技術であったものと認められる。
そして,引用発明の「保護ネットワーク200」と引用文献2,3に記載される「データセンター」のネットワークとは,いずれも,不正なアクセスを防止する必要があるネットワークであるという点で共通しており,また,本願発明の構成が,「コンピューティングリソースサービスプロバイダネットワーク」に特有の構成であるとも認められない。
してみれば,引用発明に上記周知技術を適用して,引用発明の「保護ネットワーク200」を「データセンター」のネットワーク(コンピューティングリソースサービスプロバイダネットワーク)とし,また,「保護ネットワーク200」のサービスプロバイダを「コンピューティングリソースサービスプロバイダ」とすることは,当業者が容易に想到し得たことである。

イ 相違点2について
引用文献2(上記3(3)の記載を参照)には,「データセンターに,ユーザシステム201?20Nを,専用線131?12Nを介して接続する技術」が記載され,引用文献3(上記3(4)の記載を参照)には,「プロバイダネットワークのクライアントが,クライアントネットワーク162からリソースコレクション120への専用のネットワーク経路を確立し,管理するのを補助するためにクライアント側ルータ142Bとエンドポイントルータ132Bとの間の物理リンクまたはケーブルを含む,クロスネットワーク接続191を確立する技術」が記載されているように,データセンターとクライアントとの接続を「専用線」とすることは,本願優先日前に当該技術分野における周知技術であったものと認められる。
そして,引用発明の「保護ネットワーク200」と引用文献2,3に記載される「データセンター」のネットワークとは,いずれも,不正なアクセスを防止する必要があるネットワークであるという点で共通していることから,引用発明のアクセス装置230とアクセスポイント215とを接続する「ケーブルのような通信チャネル」を「専用」の「ネットワーク」とすることで,上記相違点2に係る構成とすることは,当業者が容易に想到し得たことである。

ウ 相違点3について
ユーザの秘密鍵を用いて生成した署名(本願発明の「暗号認証情報」に相当)を当該ユーザの公開鍵(本願発明の「前記カスタマネットワークデバイスに関連するカスタマのキー」に相当)を用いて検証する署名認証技術は,例えば,引用文献4(上記3(5)の記載を参照),引用文献5(上記3(6)の記載を参照),引用文献6(上記3(7)の記載を参照),引用文献7(上記3(8)の記載を参照)に記載されているように,本願優先日前に当該技術分野における周知技術であったものと認められる。
そして,ユーザを認証するために,ユーザ名とパスワードを用いるか,ユーザのキーによる署名認証技術を用いるかは,当業者が必要に応じて適宜選択しうる設計的事項である。
してみれば,引用発明において,ユーザ名とパスワードによる認証に代えて,上記周知の署名認証技術を採用し,ユーザを認証するための「認証情報」を「暗号認証情報」とし,受信した「前記暗号認証情報」を「前記カスタマネットワークデバイスに関連するカスタマのキー」に基づいて証明するように構成することは,当業者が容易に想到し得たことである。

エ そして,これらの相違点を総合的に勘案しても,本願発明の奏する作用効果は,引用発明及び引用文献2?7に記載された技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。

第4 むすび
以上のとおり,本願発明は,引用文献1に記載された発明及び引用文献2?7に記載された技術に基づいて,当業者が容易に発明をすることができたものであるから,特許法第29条2項の規定により特許を受けることができない。
したがって,他の請求項に係る発明について検討するまでもなく,本願は拒絶されるべきものである。

よって,結論のとおり審決する。
 
別掲
 
審理終結日 2020-11-18 
結審通知日 2020-11-26 
審決日 2020-12-09 
出願番号 特願2018-20880(P2018-20880)
審決分類 P 1 8・ 561- Z (G06F)
P 1 8・ 121- Z (G06F)
最終処分 不成立  
前審関与審査官 平井 誠  
特許庁審判長 田中 秀人
特許庁審判官 須田 勝巳
月野 洋一郎
発明の名称 ネットワーク接続自動化  
代理人 伊藤 信和  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ