• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 全部申し立て 2項進歩性  G05B
管理番号 1104497
異議申立番号 異議2003-73508  
総通号数 59 
発行国 日本国特許庁(JP) 
公報種別 特許決定公報 
発行日 2002-06-26 
種別 異議の決定 
異議申立日 2003-12-25 
確定日 2004-09-21 
異議申立件数
事件の表示 特許第3446891号「監視システム」の請求項1ないし7に係る特許に対する特許異議の申立てについて、次のとおり決定する。 
結論 特許第3446891号の請求項1ないし7に係る特許を維持する。 
理由
1.手続の経緯
出願日 平成12年12月14日
特許権設定登録 平成15年 7月 4日
特許公報発行 平成15年 9月16日
特許異議申立て 平成15年12月25日(申立人 株式会社山武)


2.異議申立てについての判断

2-1 本件発明

本件特許の発明は、願書に添付した明細書(以下、「特許明細書」という。)の特許請求の範囲の請求項1ないし7に記載された事項により特定される次のとおりのものである。(以下、「本件発明1」ないし「本件発明7」という。)

【請求項1】
監視対象への不正アクセスを監視する監視システムにおいて、
監視対象を管理する情報系システムとインターネットの間に介在し、インターネットを経由した情報系システムへのアクセスを制限するファイアウォールの機能を果たす第1のファイアウォール用コンピュータと、
前記情報系システムと監視対象を制御する制御系システムとの間に介在し、前記情報系システムから制御系システムへのアクセスを制限するファイアウォールの機能を果たす第2のファイアウォール用コンピュータと、
この第2のファイアウォール用コンピュータに結合されたバス上に接続されたコンピュータと、
前記バス上の通信を監視する監視装置と、
を有し、前記第2のファイアウォール用コンピュータを通過したアクセスは前記バス上に送られ、前記監視装置は、第2のファイアウォール用コンピュータを通過したアクセスが前記コンピュータへのアクセスであるときは正当なアクセスとし、このアクセスが前記コンピュータへのアクセスでないときは不正なアクセスとすることを特徴とする監視システム。

【請求項2】
プラントへの不正アクセスを監視する監視システムにおいて、
プラントの生産管理を行う情報系システムとインターネットの間に介在し、インターネットを経由した情報系システムへのアクセスを制限するファイアウォールの機能を果たす第1のファイアウォール用コンピュータと、
前記情報系システムとプラントを制御運転する制御系システムとの間に介在し、前記情報系システムから制御系システムへのアクセスを制限するファイアウォールの機能を果たす第2のファイアウォール用コンピュータと、
この第2のファイアウォール用コンピュータに結合されたバス上に接続されたコンピュータと、
前記バス上の通信を監視する監視装置と、
を有し、前記第2のファイアウォール用コンピュータを通過したアクセスは前記 バス上に送られ、前記監視装置は、第2のファイアウォール用コンピュータを通過したアクセスが前記コンピュータへのアクセスであるときは正当なアクセスとし、このアクセスが前記コンピュータへのアクセスでないときは不正なアクセスとすることを特徴とする監視システム。

【請求項3】
前記コンピュータは、情報系システムから生産指令を受け付け、受け付けた指令に応じてプラントの生産管理を行う生産管理コンピュータであることを特徴とする請求項2記載の監視システム。

【請求項4】
前記コンピュータは、情報系システムからの要求に応じて制御系システムの情報を情報系システムに送るWebサーバであることを特徴とする請求項2記載の監視システム。

【請求項5】
前記監視装置は、前記バス上で行われる通信のログをとり、このログをもとに不正アクセスを摘出することを特徴とする請求項2記載の監視システム。

【請求項6】
前記監視装置は、不正アクセスを検出したときは、前記第2のファイアウォール用コンピュータに対してアクセスの通過を阻止する指令を与えることを特徴とする請求項2記載の監視システム。

【請求項7】
前記監視装置は、不正アクセスを検出したときは、不正アクセスの検出を通知することを特徴とする請求項2記載の監視システム。


2-2 申立の理由の概要

特許異議申立人株式会社山武は、下記の甲第1〜甲第3号証を提示して、本件の請求項1ないし7に係る発明の特許は、特許法第29条第2項の規定に違反してなされたものであるから特許法第113条第2項に該当するので取り消されるべきものである旨主張している。


2-3 甲各号証

(1)甲第1号証:特開2000-267957号公報

(2)甲第2号証:斉藤国博,”攻撃・侵入検知システム アクセスを水際で監視 限界を知って運用すべき”,日経インターネット・テクノロジー,日経BP社,1999年5月号,1999年4月22日発行,102頁-109頁

(3)甲第3号証:白橋明弘,”特集リセットセミナー 「ファイアウォール」”,コンピュータサイエンス誌 bit 5月号,共立出版株式会社,2000年5月1日発行,Vol.32 No.5,10頁-13頁


2-4 甲各号証に記載の事項

(1)甲第1号証
ア.次の事項が記載されている。
(ア)「【0033】(11)情報系プロセスにおいて、受信したデータを復号化したとき、送信元、ユーザ名、アクセス時刻、内容、処理状況のログをとる。定期、または、不定期に、このアクセスログを分析すし、分析によってアクセス状況を認識し、重大、または、注意に値する状況になっている場合には、警報システムへ状況を報告する。」

(イ)「【0034】【発明の実施の形態】 図2は、制御系用ファイアウォールを介して情報系ネットワークと制御系ネットワークを接続するシステム構成例を示したものである。 【0035】制御系用ファイアウォール(プラントファイアウォール)1は、制御系ネットワーク(制御系LAN)1000と、情報系ネットワーク(イントラネット)2000との間に接続される。制御系LAN1000には、監視制御コンピュータ1001が接続され、監視制御コンピュータ1001は、制御機器1002の制御を行ったり、計測機器1003の計測データを取り込んだりしている。監視制御卓1004は制御コマンドの送信やデータの監視を行う。イントラネット2000には、情報サーバ2003、データベースサーバ2004、情報端末3001などが接続され、さらに、ファイアウォール2002を介してインターネット2001に接続している。・・」

(ウ)「【0101】本発明によれば、正当、不正を含めてアクセスの状況が内容レベルまでログをとり、さらに、重大な不正があった場合には、即座に警報システムに報告がでる。」

イ.以上の記載及び図2の記載から、甲第1号証には、次の発明が記載されているものと認められる。
「監視対象への不正アクセスを監視する監視システムにおいて、
監視対象を管理する情報系ネットワーク(イントラネット2000)とインターネットの間に介在し、インターネットを経由した情報系ネットワーク(イントラネット2000)へのアクセスを制限するファイアウォールの機能を果たすファイアウォール2002と、前記情報系ネットワーク(イントラネット2000)と監視対象を制御する制御系ネットワーク(制御系LAN1000)との間に介在し、前記情報系ネットワーク(イントラネット2000)から制御系ネットワーク(制御系LAN1000)のアクセスを制限するファイアウォールの機能を果たすプラントファイアウォール1と、を有し、制御系ネットワーク(制御系LAN1000)には、監視制御コンピュータ1001、監視制御卓1004が接続される、監視システム。」


(2)甲第2号証
ア.次の事項が記載されている。
(ア)「企業がインターネットに接続する際、ファイアモールの設置はもはや常識である。単にインターネットと社内LANとを分けるだけではなく、第3のセグメントいわゆるDMZ(DeMilitarized Zone:非武装地帯)を設ける方法が主流になっている・・。インターネットから直接アクセスできるようにする必要のあるWWWサーバや,社内メール・サーバにメール中継を行うサーバをこのDMZに置き,アクセスに必要なプロトコルだけを転送することで,攻撃の対象となったり侵入の踏み台にされる危険性を軽減できる(図1)」(103頁左欄「ファイアウォールは完璧ではない」の欄)

(イ)「IDSはアクセス状況をリアルタイムで監視することで、怪しいユーザがアクセスしてきていないかどうかを見つけだすシステムである。」(103頁中央欄下段)
(ウ)「現在製品化されているIDSの動作形態は大別して2種類ある。1つは接続されたセグメントを流れるIP(Internet Protocol)パケットを拾い上げて、疑わしいアクセスを見つけだすネットワーク監視型。もう1つはホストごとにシステムやアプリケーションのログを監視して疑わしいアクセスを見つけだすホスト監視型である(図2,3)。」(103頁右欄下段)
(エ)「図2 ネットワーク監視型の検知ツール」には「パケットのヘッダーやデータを監視して疑わしいアクセスを見つけだす。」と説明が付され、図2中には、「不正なヘッダーを持つパケットが通過した」,「疑わしい文字列(”passwd”など)がパケットに含まれている」,「ポート・スキャンが行われている疑いがある」,「きわめて多数の接続要求が送られている」等の観点から「ネットワーク上のパケットを監視する」ことが記載されている(104頁図2)。

(3)甲第3号証
ア.次の事項が記載されている。
(ア)「しばしば見られる構成は,ファイアウォールに内側・外側以外にインタフェースをもう1枚持たせ,その第3セグメントをDMZとして利用する方法である(図3右)。」(13頁左欄)
(イ)ファイアウォールのその他の機能として「ログ機能」「警告機能」が挙げられている(11頁右欄〜12頁左欄)。


2-5 対比・判断

(1)本件発明1について
本件発明1と甲第1ないし3号証に記載された発明とを対比すると、後者のいずれにも、
「第2のファイアウォール用コンピュータに結合されたバス上に接続されたコンピュータと、前記バス上の通信を監視する監視装置と」を有する監視システムにおいて、『前記監視装置は、第2のファイアウォール用コンピュータを通過したアクセスが前記コンピュータへのアクセスであるときは正当なアクセスとし、このアクセスが前記コンピュータへのアクセスでないときは不正なアクセスとする』点については記載がされておらず、示唆もされていない。
そして、本件発明1は、上記構成を備えることにより、特許明細書に記載された「監視装置が第2のファイアウォール用コンピュータを通過した後のアクセス経路を監視している」という効果を奏すると認められる。
したがって、本件発明1は、甲第1ないし3号証に記載された発明に基いて当業者が容易に発明をすることができたものとすることはできない。


(2)本件発明2について
本件発明2と甲第1ないし3号証に記載された発明とを対比すると、後者のいずれにも、
「第2のファイアウォール用コンピュータに結合されたバス上に接続されたコンピュータと、前記バス上の通信を監視する監視装置と」を有する監視システムにおいて、『前記監視装置は、第2のファイアウォール用コンピュータを通過したアクセスが前記コンピュータへのアクセスであるときは正当なアクセスとし、このアクセスが前記コンピュータへのアクセスでないときは不正なアクセスとする』点については記載がされておらず、示唆もされていない。
そして、本件発明2は、上記構成を備えることにより、特許明細書に記載された「監視装置が第2のファイアウォール用コンピュータを通過した後のアクセス経路を監視している」という効果を奏すると認められる。
したがって、本件発明2は、甲第1ないし3号証に記載された発明に基いて当業者が容易に発明をすることができたものとすることはできない。


(3)本件発明3ないし7について
本件発明3ないし7は、本件発明2を更に限定するものであるから、上記(2)と同様に甲第1ないし3号証に記載された発明に基いて当業者が容易に発明をすることができたものとすることはできない。


4.結論
したがって、特許異議申立ての理由及び証拠によっては、本件発明1ないし7に係る特許を取り消すことはできない。
また、他に本件発明1ないし7に係る特許を取り消すべき理由を発見しない。
よって、結論のとおり決定する。
 
異議決定日 2004-09-02 
出願番号 特願2000-379920(P2000-379920)
審決分類 P 1 651・ 121- Y (G05B)
最終処分 維持  
前審関与審査官 森林 克郎  
特許庁審判長 城戸 博兒
特許庁審判官 村上 哲
安池 一貴
登録日 2003-07-04 
登録番号 特許第3446891号(P3446891)
権利者 横河電機株式会社
発明の名称 監視システム  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ