• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 4項(134条6項)独立特許用件 取り消して特許、登録 G06F
審判 査定不服 2項進歩性 取り消して特許、登録 G06F
審判 査定不服 ただし書き1号特許請求の範囲の減縮 取り消して特許、登録 G06F
管理番号 1295462
審判番号 不服2013-9611  
総通号数 182 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2015-02-27 
種別 拒絶査定不服の審決 
審判請求日 2013-05-24 
確定日 2015-01-13 
事件の表示 特願2008-115178「異なる複数のログ情報から抽出されたイベントデータの表示方法」拒絶査定不服審判事件〔平成21年11月12日出願公開、特開2009-265965、請求項の数(2)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,
平成20年4月25日を出願日とする出願であって,
平成23年4月1日付けで審査請求がなされた後に,
平成24年4月11日付けで手続補正書が提出され,
平成24年8月9日付けで拒絶理由通知(同年8月21日発送)がなされ,
平成25年2月14日付けで拒絶査定(同年2月26日謄本送達)がなされたものである。
なお,平成24年9月7日には,刊行物等提出書(同年9月10日受付)が提出されている。

これに対して,「原査定を取り消す,本願は特許をすべきものであるとの審決を求める」ことを請求の趣旨として,平成25年5月24日付けで本件審判請求がなされ,同日付けで手続補正書が提出され,
平成25年7月8日付けで審査官により特許法第164条第3項に定める報告(前置報告)がなされ,同年11月5日付けで当審により特許法第134条第4項の規定に基づく審尋(同年11月12日発送)がなされ,
平成25年12月16日付けで回答書の提出がなされた。


第2 平成25年5月24日付けの手続補正(以下,「本件補正」という。)の適否

1.補正の内容

本件補正は,特許請求の範囲の請求項1に,
「前記変換するステップは,前記複数の異なるログ情報のうちの最初のログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示するための表示データに変換し,複数の異なるログ情報にイベントが同時に発生している場合,それらのイベントを対応するイベント発生時刻に対して横に並べて表示するようにし,前記最初のログ情報についての表示データの変換処理が終了した後,次のログ情報を取り出し,これら2つのログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて,前記表示装置の表示画面上に表示する前記表示形式の表示データに変換し,」
との事項を追加する補正(以下,「補正事項1」という。)
及び
「前記ログ情報の全てのイベントデータについて前記表示形式への変換の処理が終了することにより,前記表示データを前記一時記憶手段に格納し,
前記抽出された複数のイベントデータについて,前記一時記憶手段に格納された前記表示データに基づいて前記表示形式で前記表示装置に表示するようにした」
との事項を追加する補正(以下,「補正事項2」という。)
とを含んでいる。


2.補正の適否

本件補正の補正事項1は,請求項1に記載した発明を特定するために必要な事項である「変換するステップ」について,補正前の請求項3?5に記載された「前記複数の異なるログ情報のうちの最初のログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示するための表示データに変換し(以上,補正前の請求項4の発明特定事項),複数の異なるログ情報にイベントが同時に発生している場合,それらのイベントを対応するイベント発生時刻に対して横に並べて表示するようにし(以上,補正前の請求項3の発明特定事項),前記最初のログ情報についての表示データの変換処理が終了した後,次のログ情報を取り出し,これら2つのログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて,前記表示装置の表示画面上に表示する前記表示形式の表示データに変換し(以上,補正前の請求項5の発明特定事項)」との限定を付加するものである。
本件補正の補正事項2は,請求項1に記載した発明を特定するために必要な事項である「変換するステップ」で変換処理をした後に,「前記ログ情報の全てのイベントデータについて前記表示形式への変換の処理が終了することにより,前記表示データを前記一時記憶手段に格納し,前記抽出された複数のイベントデータについて,前記一時記憶手段に格納された前記表示データに基づいて前記表示形式で前記表示装置に表示するようにした」との限定を付加するものである。
ここで,補正前の請求項5に記載された発明と補正後の請求項1に記載された発明の産業上の利用分野及び解決しようとする課題が同一であるから,本件補正は特許法第17条の2第5項第2号の特許請求の範囲の減縮を目的とするものに該当する。
また,本件補正に特許法第17条の2第3項,第4項の規定に違反するところはない。
そこで,本件補正後の前記請求項1に記載された発明(以下,「補正発明」という。)が特許法第17条の2第6項において準用する同法第126条第7項の規定に適合するか(特許出願の際独立して特許を受けることができるものであるか)について以下に検討する。

(1)引用文献及び先行技術文献の記載事項

(1-1)引用文献1の記載事項及び引用発明

本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となり,原審の拒絶の査定の理由である上記平成24年8月9日付けの拒絶理由通知において引用された文献である,特開2006-302170号公報(平成18年11月2日出願公開。以下,「引用文献1」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

A.「【技術分野】
【0001】
本発明は,ログ管理方法および装置に係り,特に多数の計算機の構成要素(ソフトウェア,ハードウェアを含む)の出力するログから特定の利用者や利用者行為に関係するログを正しく抽出することが可能なログ検索方法およびログ管理装置,ログ管理を行うシステムに関する。」

B.「【発明を実施するための最良の形態】
【0016】
以下,図面を参照して本発明の実施形態について説明する。
図1は,一実施例に係るログ管理システムの全体構成を示す。
計算機101は,サービス計算機やネットワーク計算機など,ユーザに対してネットワークサービスを提供するための複数の計算機であり,ログ管理装置102がログ検索の対象とする計算機構成要素(ソフトウェアやハードウェア等)により構成された管理対象計算機である。なお,管理対象計算機101にはインターネット106との接続を行う計算機も含まれる。
【0017】
更に,設定対象計算機のログを統合して管理するログ管理装置102と,管理作業を行う管理者104が使用する管理者用計算機103を有し,これらは,管理対象計算機101と同様にネットワーク105に接続している。例えば,ログ管理装置102はサーバであり,管理者用計算機103はPC又は端末装置である。
管理者104は,管理者用計算機104を使用して,ネットワーク106を介してログ管理装置102にアクセスすることで,ログの検索を行う。
【0018】
図2は,計算機とソフトウェアプログラムの構成を示す。
図2において,管理対象計算機101では,エージェントプログラム201が実行される。ログ管理装置102では,マネージャプログラム202が実行され,管理者用計算機103では,ユーザインターフェースプログラムであるWebブラウザ103が実行される。
【0019】
エージェントプログラム201は,マネージャプログラム202の指示に従い,管理対象計算機101のデータ収集と設定変更を行う。マネージャプログラム202は,収集したログデータを管理すると共に,Webユーザインターフェースによってログ検索機能を管理者104に提供する。
【0020】
図3は,管理対象計算機101の内部構成を示す。
管理対象計算機101は,メモリ301と,固定ディスク302と,バス303と,プロセッサ304と,I/Oハードウェア305と,通信ハードウェア306とを有して構成される。
プロセッサ304は,プログラムを実行して種々のデータ処理を行う。固定ディスク302はHDD(ハードディスクドライブ)のような記憶装置であり,プログラムやデータを格納する。メモリ301は,実行するプログラムを格納したり,処理用のデータを一時的に格納する。I/Oハードウェア305はモニタへの出力やキーボードからの入力を制御する装置である。通信ハードウェア306は,他の計算機との間のネットワーク回線を制御する装置である。
【0021】
固定ディスク302には,本実施例によるログ検索を実現するためのプログラム及び各種処理データが格納される。プログラムとしては,OS(オペレーティングシステム)プログラム3021,エージェントプログラム201(図5に詳述),管理対象計算機101で動作する管理対象プログラム3022を格納する。管理対象プログラム3022で管理対象とするものとしては,ソフトウェア及びハードウェアを問わないログを出力する計算機構の構成要素全てを対象とすることができる。例えば,オペレーティングシステムプログラム,メールサービスプログラム,Webサービスプログラム,認証サービスプログラム,ファイル共有プログラム,プロキシサービスプログラム,ファイアウォールプログラム,通信制御プログラム,アプリケーションプログラム,ルータハードウェア,通信スイッチハードウェア等を管理対象の構成要素として含む。
【0022】
固定ディスク302に格納されるデータとしては,管理対象プログラムを使用可能な最新のユーザアカウント一覧を保持するユーザアカウント一覧データ3023(図13に詳述),管理対象プログラムのユーザアカウントの変更履歴を保持するユーザアカウント変更ログデータ3024(図15に詳述),管理対象プログラムが出力する管理対象プログラムログデータ3025を格納する。ユーザアカウント一覧データ3023及びユーザアカウント変更ログデータ3024は,管理対象プログラム毎に用意される。
【0023】
メモリ301には,固定ディスク302内のOSプログラム3021が,OSプログラム用領域3011にロードされ,実行される。OSプログラム3011は,I/Oハードウェア305や通信ハードウェア306の制御,固定ディスク302からのデータのロードなどを行う。また,OSプログラム3011は,固定ディスク502からエージェントプログラム201をメモリ領域3012にロードし,実行する。
【0024】
図4は,ログ管理装置102の内部構成を示す。
ログ管理装置102は,管理対象計算機101と実質的に同様の構成を成し,メモリ401と,固定ディスク402と,バス403と,プロセッサ404と,I/Oハードウェア405と,通信ハードウェア406とを有して構成される。
【0025】
固定ディスク402には,本実施例によるログ管理を実現するためのプログラム及ぶ各種データが格納される。
プログラムとしては,OSプログラム4021,Webサーバプログラム4022,マネージャプログラム202(図6に詳述)を格納する。また,データとしては,管理対象計算機の一覧情報を保持する管理対象一覧データ4023(図7に詳述),ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データ4024(図8?10に詳述),行為に関連する管理対象プログラムを保持する行為定義データ4025(図11に詳述),ログ出力設定の設定値を保持するログ設定定義データ4026(図12に詳述),管理対象計算機から収集したログデータを保存する前管理対象プログラムログデータ4027を格納する。ログ解析定義データ4024及びログ設定定義データ4026は,管理対象プログラムの種別・バージョン毎に用意する。
【0026】
メモリ401には,固定ディスク402内のOSプログラム4021が,OSプログラム用領域4011にロードされ,実行される。OSプログラム4011は,I/Oハードウェア405や通信ハードウェア406の制御,固定ディスク402からのデータのロードなどを行う。また,OSプログラム4011は,固定ディスク402から,マネージャプログラム202をメモリ領域4013にロードし,実行する。また,OSプログラム4011は,固定ディスク402から,Webサーバプログラム4021をメモリ領域4013にロードし,実行する。
【0027】
マネージャプログラム4013は,管理者に対してログ検索を行うためのユーザインターフェースを作成し,Webサーバプログラム4012,Webブラウザ203を経由して,管理者へ提供する。」

C.「【0042】
また,管理対象プログラム3013は,自身の動作履歴(例えばユーザログイン,通信許可,データ転送など)を,ログとして適宜管理対象プログラムログデータ3025の領域に出力する。また,ユーザアカウント一覧データ3023が変更されたらその変更履歴をユーザアカウント変更ログデータ3024の領域に出力する。なお,管理対象プログラムによるログ出力は,ログ出力設定変更とは同期していても非同期に動作していてもよい。
【0043】
さらに,ログ管理装置102は,定期的に管理対象プログラム3013が出力したログデータ3025の内容を収集し,全管理対象プログラムログデータ4027に格納する。まず,マネージャプログラム202は,管理対象定義データ4023のエージェントIPアドレス・ポートフィールド704に記載された情報を使用しエージェント間と通信を行い,エージェントプログラム201にログ収集を指令する。その後,エージェントプログラム201は,管理対象定義データ4023の内容をログ設定定義ファイルに記載された内容をマネージャプログラム202に転送する。マネージャプログラム202は,転送されたログデータを全管理対象プログラムログデータ4027に格納する。」

D.「【0045】
さて次に,上記の通りログ収集したログ管理装置102を使って,管理者104がログ検索を行う際の動作について説明する。説明上ここでは,社員番号4351,検索対象期間2004年12月1日?15日,検索対象行為全てで検索する際の動作を説明する。
まず,管理者は,管理者用計算機103のWebブラウザ203を使用して,ログ管理装置102が提供するログ検索画面にアクセスする。
【0046】
図19は,ログ管理装置102のマネージャプログラム202のユーザインターフェース部604が提供する検索タップ画面の構成を示す。
管理者は,この画面を使用してログ検索を行う。検索トップ画面1901は,タイトル表示エリア1902,検索対象入力エリア1903,検索対象入力後に検索実行を開始させる検索実行ボタン1904から構成される。検索対象入力エリア1903には,検索対象利用者を入力するための入力エリア,検索対象期間を入力するためのエリア,検索対象行為を選択するための入力エリアが表示される。検索対象利用者としては,社員番号を入力する。複数指定可とする。入力が空白の場合には,全利用者が検索対象となる。検索対象期間は,年月日時刻で指定した期間で入力する。入力が空白の場合には,期間を限定せずに検索対象とする。検索対象行為としては,行為定義データ4025で記述された行為を選択可能(複数選択可)とすると共に,検索対象行為を限定しない入力(全て)を選択可能とする。
管理者は,検索したい内容について各入力エリアに入力する。その後,検索実行ボタン1904を押すと,検索結果画面に切り替わる。
【0047】
図20は,検索結果を表示するための検索結果画面の構成を示す。
検索結果画面2001は,タイトル表示エリア2002,検索結果表示エリア2003,再検索を行うために検索トップ画面1901に戻るための,戻るボタン2004から構成される。検索結果表示エリア2003には,検索トップ画面1901で入力した検索対象の情報と,検索の結果得られたログが時系列で表示される。表示されるログの内容は,管理対象プログラム名,時刻,ログの内容である。
【0048】
以上,図19?図20を参照して説明したものが,管理者によるログ検索手順とユーザインターフェースの構成である。ここで,検索におけるマネージャプログラム202とエージェントプログラム201の動作の流れを,図22?図23を用いて説明する。
【0049】
図22は,ログ検索を行う際のマネージャプログラム202の動作フローである。
まず,管理者からのアクセスに応じて,検索トップ画面を表示し(S2202),管理者からの検索要求を受け付ける(S2203)。
次に,ログ検索を実行すると,管理対象一覧データ4023を読み込む(S2204)。そして,記載されている管理対象プログラムそれぞれに対して,S2205?S2207の処理を行う。
【0050】
まず,検索対象期間として指定された時期に有効だった管理対象プログラムのユーザアカウント一覧を復元する(S2205)。ステップS2205の処理を行うマネージャプログラム202の動作フローの詳細を,図23に示す。
図23において,エージェントプログラム201経由で管理対象プログラムのユーザアカウント一覧データ3023及びユーザアカウント変更ログデータ3024を取得する(S2302)。そして,ユーザアカウント変更ログデータ3024の内容を新しいものから順にユーザアカウント一覧データ3023に逆適用し,検索指定期間内で検索指定利用者(社員番号)に対して有効だったアカウント一覧を復元する(S2303)。
【0051】
図13において示した管理対象プログラムAのユーザアカウント一覧データ3023に対して,図15で示した管理対象プログラムAのユーザアカウント変更ログデータ3024を適用した結果得られる復元後の管理対象プログラムAのユーザアカウント一覧データを,図17に示す。また,図14において示した管理対象プログラムBのユーザアカウント一覧データ3023に対して,図16で示した管理対象プログラムBのユーザアカウント変更ログデータ3024を適用した結果得られる復元後の管理対象プログラムBのユーザアカウント一覧データを,図18に示す。
【0052】
それから,復元したアカウント一覧から検索対象利用者(社員番号)が同じアカウント名(複数可)を抽出し,解析定義データ4024の内容に従いログ解析を行い,抽出したアカウント名が記載されているログをログデータから全て抽出する(S2206)。
【0053】
さらに,S2206で抽出したログデータに対して解析定義データ4024の内容に従いログ解析を行い,ログデータから利用者使用物特定情報(IPアドレスなど。複数可)を抽出する。その後,記載されている管理対象プログラムそれぞれに対して,S2207で抽出された利用者使用物特定情報を含むログを,再度全管理プログラムのログデータから抽出する(S2209)。
【0054】
次に,検索指定行為として指定された行為(複数指定可)に当てはまる管理対象プログラムを行為定義データ4025から求める(S2211)。そして,S2206及びS2209で抽出したログデータから,S2211で求められた管理対象プログラム(複数指定可)以外の管理対象プログラムが出力したログを削除する(S2212)。
最後に,S2212で残ったログデータを時刻でソートし,検索結果画面2001を表示する。
【0055】
図24?図27は,検索元の管理対象プログラムのログデータと検索結果ログデータの例示である。
図24は,管理対象プログラムAのログデータであり,管理対象一覧データ4023の管理対象ID001の示す通り,プログラム種別・バージョンはAuth Server V2.0であり,ログ解析には,図8に示したログ解析データを使用する。
【0056】
図25は,管理対象プログラムBのログデータであり,管理対象一覧データ4023の管理対象ID002の示す通り,プログラム種別・バージョンはWeb Proxy V1.1であり,ログ解析には,図9に示したログ解析データを使用する。
図26は,管理対象プログラムCのログデータであり,管理対象一覧データ4023の管理対象ID003の示す通り,プログラム種別・バージョンはWeb Server V1.0であり,ログ解析には,図10に示したログ解析データを使用する。
【0057】
図24?図26に示す検索元ログデータに対して,図17?図18に示した復元後のユーザアカウント一覧データを適用してログ抽出を行う。その後,管理対象プログラムAのログデータの一つ『20041201103930 suzuki login-succeed from 192.168.20.10』に含まれるIPアドレス『192.168.20.10』をログ解析データの内容に従い抽出する。
【0058】
さらに,図24?図26に示した検索元ログデータに対して,IPアドレスが『192.168.20.10』のものを抽出し,最終的に抽出したログ検索結果(検索対象行為は『(全て)』であるので行為に関する限定は行われない)を示したものが,図27である。」

(ア)上記Bの「ログ管理システム」,「ログ管理装置102はサーバであり,管理者用計算機103はPC又は端末装置である。」及び「設定対象計算機のログを統合して管理するログ管理装置102と,管理作業を行う管理者104が使用する管理者用計算機103を有し,これらは,管理対象計算機101と同様にネットワーク105に接続している。」との記載等から,「管理対象計算機,ログ管理装置,及び管理者用計算機を有するログ管理システム」が読み取れる。
上記Cの「ログ管理装置102は,定期的に管理対象プログラム3013が出力したログデータ3025の内容を収集し,全管理対象プログラムログデータ4027に格納する。」との記載,上記Bの「ログ管理装置102は,管理対象計算機101と実質的に同様の構成を成し,メモリ401と,固定ディスク402と,バス403と,プロセッサ404と,I/Oハードウェア405と,通信ハードウェア406とを有して構成される。」,「固定ディスク402には,(中略)各種データが格納される。」及び「データとしては,(中略)管理対象計算機から収集したログデータを保存する前管理対象プログラムログデータ4027を格納する。」との記載等から,「ログ管理装置は,メモリ及び固定ディスクを備え,固定ディスクに管理対象計算機の管理対象プログラムが出力したログデータの内容を収集し,全管理対象プログラムログデータに格納する」旨が読み取れる。
さらに,上記Cから,「管理対象プログラムは,自身の動作履歴(例えばユーザログイン,通信許可,データ転送など)を,ログとして適宜管理対象プログラムログデータの領域に出力」することが読み取れる。

(イ)上記Dの「管理者用計算機103のWebブラウザ203を使用して,ログ管理装置102が提供するログ検索画面にアクセスする。」,「管理者は,この画面を使用してログ検索を行う。」,「検索したい内容について各入力エリアに入力する。その後,検索実行ボタン1904を押すと,検索結果画面に切り替わる。」及び「管理者からのアクセスに応じて,検索トップ画面を表示し(S2202),管理者からの検索要求を受け付ける」という記載等から,「管理者用計算機の画面に,ログ検索の結果を表示する」ことが読み取れる。
また,上記Dの「検索結果表示エリア2003には,検索トップ画面1901で入力した検索対象の情報と,検索の結果得られたログが時系列で表示される。表示されるログの内容は,管理対象プログラム名,時刻,ログの内容である。」及び「ログデータを時刻でソートし,検索結果画面2001を表示する」との記載等から,「ログデータに時刻のデータが含まれる」ことが読み取れる。

(ウ)上記Dの「図22は,ログ検索を行う際のマネージャプログラム202の動作フローである。」,「ログ検索を実行すると,管理対象一覧データ4023を読み込む」,「復元したアカウント一覧から検索対象利用者(社員番号)が同じアカウント名(複数可)を抽出し,解析定義データ4024の内容に従いログ解析を行い,抽出したアカウント名が記載されているログをログデータから全て抽出する(S2206)。」,「S2206で抽出したログデータに対して解析定義データ4024の内容に従いログ解析を行い,ログデータから利用者使用物特定情報(IPアドレスなど。複数可)を抽出する。その後,記載されている管理対象プログラムそれぞれに対して,S2207で抽出された利用者使用物特定情報を含むログを,再度全管理プログラムのログデータから抽出する(S2209)。」,「S2206及びS2209で抽出したログデータから,S2211で求められた管理対象プログラム(複数指定可)以外の管理対象プログラムが出力したログを削除する(S2212)。」及び「S2212で残ったログデータを時刻でソートし,検索結果画面2001を表示する。」という記載等から,「ログ管理装置のマネージャプログラムは,管理対象一覧データを読み込み,検索対象利用者(社員番号)が同じアカウント名を抽出して,抽出したアカウント名が記載されているログをログデータから全て抽出し,その後,利用者使用物特定情報を含むログを,全管理プログラムのログデータから抽出して,不要なログデータは削除した上で,時刻でソートして検索結果画面に表示する」旨が読み取れる。

(エ)さらに,上記Dの「表示されるログの内容は,管理対象プログラム名,時刻,ログの内容である」及び「図24?図27は,検索元の管理対象プログラムのログデータと検索結果ログデータの例示である。」という記載等から,「管理対象プログラム名,時刻,ログの内容等を,ログデータとして各行毎に一覧表示して」いることが読み取れる。

(オ)そうすると,引用文献1には,以下の発明(以下,「引用発明」という。)が記載されている。

「管理対象計算機,ログ管理装置,及び管理者用計算機を有するログ管理システムにおいて用いられるログ管理方法であって,
前記ログ管理装置は,メモリ及び固定ディスクを備え,該固定ディスクに前記管理対象計算機の管理対象プログラムが出力したログデータの内容を収集し,全管理対象プログラムログデータに格納するものであり,
前記管理対象プログラムは,自身の動作履歴(例えばユーザログイン,通信許可,データ転送など)を,ログとして適宜前記管理対象プログラムログデータの領域に出力し,前記管理者用計算機の画面に,時刻データを含むログ検索の結果を表示するものであり,
前記ログ管理装置のマネージャプログラムは,管理対象一覧データを読み込み,検索対象利用者(社員番号)が同じアカウント名を抽出して,抽出したアカウント名が記載されているログをログデータから全て抽出し,その後,利用者使用物特定情報を含むログを,全管理プログラムのログデータから抽出して,不要なログデータは削除した上で,管理対象プログラム名,時刻,ログの内容等を,ログデータとして各行毎に一覧表示して,時刻でソートして検索結果画面に表示するようにした
ことを特徴とするログ管理方法。」


(1-2)引用文献2の記載事項

本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となり,上記平成25年11月5日付けの審尋で援用した上記平成25年7月8日付けの前置報告書において引用された文献である,国際公開第01/20456号(2001年3月22日公開。以下,「引用文献2」という。)には,関連する図面とともに,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

E.「技術分野
本発明は,複数のオペレーティングシステムの情報を管理するシステムに関する。特に,複数のオペレーティングシステム(以下OSと略す) のトレースログ情報を管理し編集・表示を行うシステムに関する。」(明細書第1頁第3行目?第6行目)

F.「制御プログラム201は,複数OSの動作状態を管理するものであり,本実施例ではOS1とOS2の2つのOSを交互に切り替えて各々時分割で動作させているものとする。OS1は,OS1が管理している時刻情報312を持ち,更にこの時刻管理312に基づいたOS1の動作履歴を表す動作トレース情報311を持つ。同様にOS2もOS2の時刻情報322と動作トレ一ス情報321とを持つ。ここで注目すべき点は,OS1の管理時刻312とOS2の管理時刻322の値は必ずしも一致していないことである。本実施例では,各OSが収集した動作トレース情報を編集し表示するためのトレースログ編集・表示プログラム401がOS1上で動作する。トレ一スログ編集・表示プログラム401はOS2上で実行することも可能である。
制御プログラム201は,OS1の動作卜レース情報311とOS2の動作トレース情報321にチェックポイントトレースを各OSに格納させる(801,802)。このチェックポイントトレ一スとしては,OS間の同時刻の基準に用いるため,OS1とOS2で共通して発生する動作情報である各OS間で互いに関係付けられるィベン卜のトレースを用いる。従って,記録されたチェックポイント卜レースは,各OS間で少なくとも対応関係が確定できれば良く,各OSが全く同じイベントをログに残しているとは限らない。トレ一スログ編集・表示プログラム401は,OS1で記録された動作トレース情報311とOS2で記録された動作トレース情報321を読み出す(803,804)。トレースログ編集・表示プログラム401は,2つの動作トレース情報311,321からチェックポイントトレースをサーチし,チェックポイントトレースが見つかった場合は,各OSの動作トレース情報間で対応関係を求める。そして,それぞれ対応するチェックポイントトレースが,OSによって記録された時刻が異なる場合でも,実際には同時に発生したとして2つの動作トレース情報内のトレースを編集し(805),その結果をディスプレイ装置102に表示する(806)。
第2図は,本発明を用いたトレースログ編集・表示システムを実現するための,計算機システムのハードウェア構成を示した図である。計算機101では,演算装置104がアドレス変換装置107を経由してシステムバス110に接続されている。システムバス101には,主記憶装置103,割込装置108,タイマ109, ビデオアダプタ111が接続され,ビデオアダプタはディスプレイ装置102が接続されている主記憶装置103は,各OSで共有され,複数のOSが共通に使用する共通領域103-1と,OS1のための領域103-2,およびOS2のための領域103-3の3つに大きく分割されている。共通領域103-1には制御プログラム201が格納されている。OS1用の領域103-2は,OS1が動作するために用いる記憶領域で,OS1のプログラム310自身と,OS1が管理している時刻情報であるOS1管理時刻312,及びOS1の動作トレース情報311が格納されている。同様にしてOS2用の領域103-3には,OS2のプログラム320,OS2管理時刻322,及びOS2の動作トレース情報321が格納されている。主記憶上に設けられた各領域のアドレスを記憶するために,2つのアドレスレジスタ(105,106)を備えている。アドレスレジスタ105は,共通領域103-1を指し示すためのものであり,アドレスレジスタ106は現在制御プログラム201によって選択され,動作中のOSの領域を指し示すためのものである。第2図では,アドレスレジスタ106がOS1用の領域103-2を指している。これは制御プログラム201によって,現在OS1が動作中であることを意味している。
第3図は,本発明を用いたトレースログ編集・表示システムの動作を概略フローで示したものである。チェックポイントトレ一スを,予めOS1の動作トレース情報及びOS2の動作トレース情報に格納させておく(801,802)。OS1とOS2の動作トレース情報をトレース発生順に表示するために,トレースログ編集・表示プログラムがOS1の動作トレース情報とOS2の動作トレース情報を読み出す(803,804)。OS1の動作トレース情報とOS2の動作トレース情報をサーチし,各動作トレース情報に含まれるトレースから両OSで同時に発生したとみなすことができるチェックポイントトレースを求める。このトレース情報を,両OSで同一時刻の基準とし,OS1とOS2のトレース情報をトレース発生順にマージ編集する(805)。マージ編集したOS1とOS2のトレース情報をディスプレイ装置などに表示する(806)。
次に,チェックポイントトレースとして制御プログラム201によるOS切り替えのトレースを用いた場合の例を,第4図,第5図を用いて詳細に説明する。第4図は,一連の発生したトレースのモデルケースを示している。本図は上から下へ時間軸をとっている。左側にOS1が実際に動作した状況を,右側にOS2の状況を記述している。」(明細書第4頁第6行目?第6頁第24行目)

G.「まずOS1の管理時刻10時00分00秒にA1(501-1)が発生しトレースが採られた。さらに,10時00分01秒にA2(501-2),10時00分03秒にA3(501-3)のトレースが採られた。その後,OS1の管理時刻10時00分05秒に制御プログラム201からの指令に基づきOS切り替え(503-1)が発生し,OS1のトレースにSW1(501-4)が採られ,動作するOSがOS2に切り替わった。その時点でOS2の管理時刻は10時00分35秒であった。これはOS1の管理時刻と OS2の管理時刻が30秒ずれていたことを意味する。OS2は制御プログラム201からの実行再開の指令に基づき,SW1(502-1)をトレースとして記録した。OS2が動作を開始し,OS2の時刻で10時00分36秒にB1(502-2),10時00分37秒にB2のトレースを記録した。そして,OSでの管理時刻が10時00分40秒の時点で再びOS切り替え(503-2)が発生し,OS1に切り替わった。その時点でOS1の管理時刻は10時00分10秒であった。この時点で先と同様にOS1とOS2では,それぞれSW2のトレース(502-4,501-5)を記録した。以下同様に,A4(501-6),SW3(501-7,502-5),B3(502-6),B4(502-7)の各イベントが発生し,トレースが記録された。
OS1とOS2の動作トレース情報(311,321)には,トレース結果がOSによる管理時刻順に格納されている。ここで,各トレースにはトレース名称が対応付けられて格納されるものとする。なお,トレース名称は,OSまたは制御プログラム201により管理されるトレースコードであっても良い。従って,OS1のトレースとしてA1?A4,SW1?SW3(501-5?501-7)がOS1内で発生した順にOS1の管理時刻とともに格納されている。OS2の動作トレース情報321にも同様に,B1?B4,SW1?SW3(502-1?502-7)がOS2内で発生した順にOS2の管理時刻とともに格納されている。
トレースログ編集・表示プログラムでは,OS1,OS2の動作トレース情報(311,321)からチェックポイントトレースとして用いるSWz(z=1?3)をサーチする。そして,SWzとSWz+1の間に少なくとも1つのトレースがある場合には,SWzとSWz+1が記録された間の時間は,その動作トレース情報を持つOSが動作していたと判断する。SWzとSWz+1の間に1つもトレースが存在しない場合には,他のOSが動作していたか,または自OSが動作していたがトレースが1つも記録されなかったと判断する。本実施例では,SW1とSW2の間はOS2の動作トレース情報にB1,B2のトレースが存在するためOS2が動作していたことになる。SW2とSW3の間はA4のトレースが存在するためOS1が動作していたことになる。OS切り替えはOS1とOS2が順番に切り替わることを考慮すると,SW1以前はOS1が,SW3以降はOS2が動作していたことになる。
なおチェックポイントトレースの対応をとる場合,チェックポイントトレースは両OSに共通して生じるため,各OSが管理する時刻の値にかかわらず,同じ時間間隔の動作トレース情報の中には,どちらのOSでも同じ数のチェックポイントトレースが含まれることになる。そこで各動作トレース情報に格納されているイベント名称またはコードの一致を見るとともに,チェックボイントとなる共通イベントのトレースを動作トレース情報の先頭から順に追うことによって,一致を図ることができる。
第5図は,第4図に示されたOS1の動作トレ一ス情報311とOS2の動作トレース情報312を元に実際に発生したトレース順にトレースログ編集・表示プログラムが編集・表示した結果である。第5図では,チェックポイントトレースであるOS切り替えのトレースSWz(z=1?3)を,同時発生であることを示すために,各OSのトレースSW1,SW2,SW3を並べた上で太枠で囲って表示している。他の手段として,OS切り替えのトレースを色分けして表示することも可能である。例えば,SWzは赤色で表示し,他のトレースは黒色で表示することが考えられる。」(明細書第7頁第8行目?第9頁第16行目)

H.「この結果を,縦軸の上から下へ時間軸を取り,左列にOS1のトレースを,右列にOS2のトレースを表示する。トレースの発生順は,上記相対時間の計算結果の小さい順に上から1行に1卜レースの形式で表示する。そして同期卜レース(504-3,505-1)は,OS1とOS2で同時に発生しているので同一行に表示する。また,同一行に並べて表示される 同期トレースは,太枠で囲って表示したリ色分けして表示する。この結果,各OSのトレースは実際の発生した順に上から下に並んで表示される。」(明細書第11頁第18行目?第12頁第1行目)

(1-3) 先行技術文献1の記載事項
本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となった文献である,特開2007-233661号公報(平成19年9月13日出願公開。以下,「先行技術文献1」という。) には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

I.「【0065】
例えば,図10に示した例であれば,ログ紐付情報記憶部13に記憶されている紐付情報から,仮想ID「a0001」によって紐付けられている社員コード「001」,ユーザ名「tanaka」,メールアドレス「xxx@yyy.com」,電話番号「03-1111-0123」を含むログデータを同一の社員にかかるものであると特定する。その結果,図4に示したセキュリティ・ゲート管理サーバ30におけるログNo.「1」のレコード,図5に示したセキュリティ・キャビネット管理サーバ40におけるログNo.「1」のレコード,図6に示した認証システム50におけるログNo.「1」のレコード,図7に示したメールサーバ60におけるログNo.「1」のレコード,図8に示した情報漏洩ツールにおけるログNo.「1」のレコード,図9に示したPBXシステムにおけるログNo.「1」及び「3」のレコードが特定され,これらのレコードの情報を仮想ID「a0001」について設けられたテーブルに統合ログとして記録し,統合ログ格納部16に格納する。
【0066】
このようにして作成された統合ログを,時間をキーにソートすると,社員毎の行動履歴やコンピュータの操作履歴を,時系列に沿って把握することが可能になる。例えば,図10の例であれば,仮想ID「a0001」によって特定される社員が,
1.「2005年1月19日」「08時50分30秒」に「ゲート01」を通過し,
2.「2005年1月19日」「09時15分48秒」に「キャビネット1001」を開けて,
3.「2005年1月19日」「09時24分45秒」に「認証システム」により認証され,
4.「2005年1月19日」「10時12分46秒」に「情報漏洩防止ツール」が管理するシステムに「ログイン」し,
5.「2005年1月19日」「10時45分23秒」に「xxx@yyy.com」から「ccc@yyy.com」宛にメールを「送信」し,
6.「2005年1月19日」「13時32分02秒」に「03-1111-0123」から「03-1234-5678」に電話を「発呼」し,・・・
といった,出社から退社までの行動や操作を把握することが可能になる。このような情報は,組織内における内部統制の他,セキュリティ検診,ビジネス・コンプライアンス,フォレンジック,証跡管理などにおいて,有益な情報として活用することができるので,これらのデータをレポート形式で定期的に出力することとしてもよい。
【0067】
このように時系列に沿って整理された統合ログに対して,一般に不正が発生しやすい行動パターン等をルール化してルール記憶部18に記憶させておくと,統合ログがルール記憶部18に記憶されたルールに該当する場合には,何らかの不正行為が行われた可能性があると判定することが可能である。不正のルールは,一のログ毎に対比するためのルールであってもよいし,一連の行動を示す複数のログをまとめて対比するためのルールであってもよい。また,社員毎の通常の行動パターンをユーザプロファイル記憶部19に記憶させておくと,統合ログがユーザプロファイル記憶部19に記憶されたプロファイルと乖離している場合には,何らかの不正行為が行われた可能性があると判定することも可能である。判定に用いるプロファイルは,一のログ毎の判定に用いてもよいし,一連の行動を示す複数のログをまとめて判定することに用いてもよい。」

(1-4)先行技術文献2の記載事項
本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となった文献である,特開2002-318734号公報(平成14年10月31日出願公開。以下,「先行技術文献2」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

J.「【0047】以下,この手順を図6のフローチャートに基づいて説明する。
【0048】まず,前記フォーマット変換処理部26が,前記分析条件で設定した分析対象通信ログを取り出し,所定のフォーマットに変換処理し,変換処理後の通信ログを前記統一ログ格納部21に格納する(ステップS7-1)。このフォーマット変換は,例えば,表示位置,表示順序,タイムスタンプの位置等,対象ファシリティやログ記録プログラムによって異なるフォーマットを統一フォーマットに揃えるものである。
【0049】例えば,ftpの動作を記録した第1のログ(syslog)が図7(a)に示すものであり,ftpにおけるファイルの移動を記録した第2のログ(xferlog)が図7(b)に示すものであるとする。ここで,第1のログは,{月,日,時間,サーバ,デーモン,[PID]動作(接続IP,アカウントを含む)}という書式であるのに対して,第2のログは,{曜日,月,日,時間,年,接続IP,ファイルサイズ,ファイル名,転送モード,入出力,アカウント,プロトコル}という書式になっている。このままでは,後で説明する統合処理を行ったとしても,図8のようになりその分析が困難であるため,この実施形態では,前記フォーマット変換処理部26が,これらを,図9に示すような書式に揃える。この書式では,図7(a)と図7(b)の書式のタイムスタンプの書式を合わせ,接続IPの表示位置とアカウントの表示位置が揃えられている。
【0050】ついで,前記整合性判別部27が,前記統一ログ格納部21に格納された同一イベントについてのログ間の整合性を判別する(ステップS7-2)。
【0051】例えば,同一イベントとして,ftpの動作に関して記録された全ログ(/var/log/all.log)が図10(a)に示すものであり,認証に関するログ(/var/log/auth.log)が図10(b)に示すものであるとする。ここで,図10(a)の書式は,{月,日,時間,サーバ,デーモン(若しくはサービス),[PID]動作(接続IP,アカウントを含む)}となっており,説明の便宜上前記フォーマット統一を行う前のものである。この場合,図10(b)のログをそれぞれ図10(a)のログの記述に当てはめると,9,16,17行目になる。
【0052】前記整合性判別部27は,前記全ログを,前記ログ記録プログラム4の種類に応じて最も適切な方法で切り出してファシリティ毎のログと比較する。この例では,「デーモン名」をキーとして前記図10(a)の全ログを切り出して,前記図10(b)と比較する。この結果,両者が一致しない場合には,どちらかのログが改竄されたものと判断することができる。なお,ここで,デーモン名で全ログを切り出すのは,前記デーモン名(若しくはサービス名)は,ファシリティ毎に固定されているからである。一方PID(プロセスID)は,ファシリティ別の記録では同一PIDの記述が複数のログに分散されることになり好ましくない。
【0053】このような最適な切り出し方法は,ログの書式によって異なるものであるから,この実施形態では,実際にはこの工程(ステップS7-2)を,前記書式統一工程(ステップS7-1)後に行うようにする。このことで,一定の方法で前記比較整合を行うことが可能になる。
【0054】次に,前記ログ統合処理部28が,前記所定のフォーマットに変換された複数の分析対象ログを統合する(ステップS7-3)。ここで,統合するのは,個々のログファイルからでは不正アタックの有無が分からない場合があるからである。
【0055】例えば,同一イベントについてのシステムログ(syslog)のうち,第1のログ(/var/log/info.log)が図11(a)に示すものであり,第2のログ(/var/log/auth.log)が図11(b)に示すものである場合について考える。この場合,セッションPID[2425]のftpセッションは不正アクセスの疑いがある。しかし,第1のログを見る限りでは,その痕跡はPID[2421]の3回入力にわずかに残る程度で,それさえもPID[2425]とのはっきりとした関連は分からない。逆に第2のログには,PID[2421]の失敗の記録が残っていて,p51-dn09.***.ne.jpがブルートフォース(BruteForse)を仕掛けているのがはっきりと分かる。しかし,このログからではこのアタックが成功したかの判別はできない。また,このログにはPID[2421]の表示はない。
【0056】しかしながら,これらの動きは図12に示す全ログ(/var/log/all.log)を見るとはっきりと現れている。すなわち,この一連のアタックは,2/16 15:09:04から始まっていて,手口はTelnetを利用したftpへのブルートフォースアタックであることが判る。
【0057】このような分析は,図11(a),図11(b)の個々のログからは得ることができない。従って,この2つのログを結合して分析する必要があるのである。
【0058】以下,この実施形態のログ結合方法について説明する。
【0059】このログ統合処理部28は,前述したフォーマット統一工程で各ログのフォーマットを統一した後,これらを結合し,図9のような結合済みのログを得る。すなわち,前述したように,例えば,ftpについては,それ自体の動作とファイルの移動とが別々のログファイル(図8(a)と図8(b))に記録される。これら2つのログはフォーマットが異なるものであるから,単純に結合したのではその分析を行うことが困難である。このため,2つのログの書式を前述した方法で統一してからこれらを結合するのである。
【0060】しかし,このような例において,問題になるのは,図8(b)のログにftpの動作を特定する記述がないことである。図8及び図9の例では,ftpが一つしかないためその特定は容易であるが,例えば,同一時刻範囲に複数のftpセッションがある場合にはその特定ができないために,有効な分析が行えないことになる。
【0061】このため,この実施形態では,上記ログ統合処理部28で,ログファイルの各行がどのセッションに属するかを判別し,属するセッションが不明な行を適切なセッションに振分ける処理を行う。
【0062】図13(a)は同時刻範囲に複数のセッションがある場合の第1のログ(syslog)の例,図13(b)は第2のログ(xferlog)の例である。この2つのログを前記ログフォーマット変換処理部26で上記と同様にフォーマットを統一した後,このログ統合処理部28で統合しタイムスタンプ順に並べたのものが図14である。
【0063】この図14の統合済みログでは,同一時刻に重複しているセッションがあったり,同一IPからのセッションがあったりするため解析するのはかなり困難である。
【0064】このため,このログ統合処理部28では,まず,セッションの属性を判別する(ステップS7-4)。この場合,前記図13(a)のログをPID毎に分け,同一セッションであると判断できる行を分類すると,図15(a)?(c)に示すように,3つのセッションが存在することがわかる。従って,この結果から,各セッションの,PID,IP及び接続時間は図16に示すようであると判別する(ステップS7-5)。
【0065】このデータを利用することで,前記図13(b)のログは,図17(a)?(c)に示すようにいずれかのセッションに分類できる。
【0066】前記ログ統合処理部28は,前記図15及び図17をセッション毎タイムスタンプ順に並べて,図18(a)?(c)の結果を得る(ステップS7-6)。このような統合済みログは前記統合済み分析対象ログ格納部22内に格納される。
【0067】ついで,前記区分振分け部29が,前記統合されたログを,ファシリティ毎に区分する(ステップS7-7)。この実施形態では,前記統合済み分析対象ログ格納部に格納されたログを取り出し,ログ中の各行を,デーモン名(サービス名)に注目して振分けを行う。」

(1-5)先行技術文献3の記載事項
本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となった文献である,特開2008-97236号公報(平成20年4月24日出願公開。以下,「先行技術文献3」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

K.「【発明を実施するための最良の形態】
【0016】
以下,本発明の実施の形態を図面を参照して説明する。
図1は,発明の概要を示す図である。本発明に係るグループ作業解析装置は,個人作業ログ記憶手段1,共同作業判定手段2,共同作業ログ生成手段3,共同作業ログ記憶手段4,およびグループ作業履歴生成手段5で構成される。
【0017】
個人作業ログ記憶手段1は,複数の作業者それぞれが行った作業に対応付けて作成され,作業者,作業時間帯,および他の作業情報を含む個人作業ログを記憶する。他の作業情報としては,たとえば,作業の場所,作業概要,共同作業者の名前などが含まれる。
【0018】
共同作業判定手段2は,解析対象となるグループに所属する作業者を指定した共同作業解析要求を受け取ると,個人作業ログ記憶手段1に記憶された個人作業ログのうち個別の2人の作業者の個人作業ログ同士を比較する。さらに,共同作業判定手段2は,作業時間帯に重複があり,かつ他の作業情報のうちの少なくとも一部が一致する場合,比較した個人作業ログで示される作業が互いに共同作業であると判定する。たとえば,作業時間帯に重複があり,作業の場所が同一であれば,共同作業と判定される。また,共同作業判定手段2は,個人作業ログ記憶手段1内の個人作業ログのうち,共同作業と判定されなかった個人作業ログに対して個人作業であることを示すフラグを設定する。
【0019】
共同作業ログ生成手段3は,共同作業と判定された個人作業ログに基づいて共同作業ログを生成し,共同作業ログ記憶手段4に格納する。
グループ作業履歴生成手段5は,共同作業ログ記憶手段4内の共同作業ログに基づいて共同作業を時系列で並べ,個人作業ログ記憶手段1内の個人作業フラグが設定された個人作業ログに基づいて,個人作業を作業者毎に時系列で並べることで,グループ作業履歴6を生成する。
【0020】
このような構成により,解析対象となるグループに所属する作業者を指定した共同作業解析要求が入力されると,個別の2人の作業者の個人作業ログ同士が比較され,作業時間帯に重複があり,かつ他の作業情報のうちの少なくとも一部が一致する場合,比較した個人作業ログで示される作業が互いに共同作業であると判定される。次に,共同作業と判定された個人作業ログに基づいて共同作業ログが生成され,共同作業ログ記憶手段4に格納される。そして,共同作業と各作業者の個人作業とが個別に時系列に並べられたグループ作業履歴6が生成される。
・・・(中略)・・・
【0059】
作業ログ収集部120は,収集した作業ログを,個人作業ログ記憶部130に格納する。
図8は,個人作業ログ記憶部のデータ構造例を示す図である。個人作業ログ記憶部130には,名前,年月日,番号(No.),開始時刻,終了時刻,作業時間,作業概要,場所,共同作業者,共同作業フラグ,および共同作業番号の欄が設けられている。
【0060】
名前の欄には,作業者の名前が設定される。年月日の欄には,個人作業が行われた期日が設定される。番号の欄には,個人作業ログ記憶部130内での識別番号が設定される。開始時刻の欄には,作業の開始時刻が設定される。終了時刻の欄には,作業終了時刻が設定される。作業時間の欄には,作業時間が分単位で設定される。作業概要の欄には,作業概要が設定される。場所の欄には,作業を行った場所が設定される。共同作業者の欄には,共同作業者の名前が設定される。
【0061】
共同作業フラグと共同作業番号との欄は,共同作業と判定された場合に使用される。共同作業フラグの欄は,共同作業か否かを示すフラグが設定される。本実施の形態では,個人作業ログで示される作業が共同作業の場合,共同作業であることを示す共同作業フラグとして「1」が設定される。また,個人作業ログで示される作業が個人作業の場合,個人作業であることを示す個人作業フラグとして「0」が設定される。」

L.「【0110】
図14は,共同作業ログ記憶部のデータ構造例を示す図である。共同作業ログ記憶部150には,番号(No.),年月日,開始時刻,終了時刻,作業時間,作業概要,場所,共同作業参加者,メイン作業者,および作業パターンの欄が設けられている。各欄の横方向に並べられた情報同士が互いに関連付けられ,1つの共同作業ログを構成している。
【0111】
識別番号の欄には,共同作業ログを一意に識別するための番号(共同作業番号)が設定される。開始時刻の欄には,共同作業の開始時刻が設定される。終了時刻の欄には,共同作業の終了時刻が設定される。作業概要の欄には,共同作業の概要が設定される。場所の欄には,共同作業が行われた場所が設定される。共同作業参加者の欄には,共同作業に参加した作業者の名前が設定される。メイン作業者の欄には,作業時間帯を通じて共同作業に加わっていた作業者の名前が設定される。
【0112】
図14には,既に識別番号「1」?「3」の共同作業ログが登録されている状況で,個人作業ログ記憶部130内の番号「10」の個人作業ログと番号「11」の個人作業ログとに基づいて新たに追加された共同作業ログを示している。
【0113】
新たに追加された共同作業ログには,共同作業番号「4」が付与されている。「年月日」,「開始時刻」,「終了時刻」,「作業時間」,「作業概要」,「場所」の欄には,個人作業ログ記憶部130内の番号「10」の個人作業ログの対応する情報が設定されている。共同作業参加者の欄には,作業者Aと作業者Bとの名前が設定されている。
【0114】
また,番号「10」の個人作業ログと番号「11」の個人作業ログとの間の作業時間帯の重複関係は第1のパターンである。そのため,メイン作業者の欄には,作業者Aと作業者Bとの名前が設定されている。そして,作業パターンの欄には,第1のパターンを示す識別番号「1」が設定されている。」


(2)対比

(2-1)引用発明の「管理対象計算機の管理対象プログラムが出力したログデータ」は,引用文献1の図11に記載されているような行為定義データで定義されたデータをログの内容として含むものであり,本願のイベントデータも操作ログ等を含んでいることから,補正発明の「複数のログ情報中のイベントデータ」に相当し,引用発明のログデータの「時刻」は,補正発明の「イベント発生時刻のデータ」に相当する。
引用発明の「前記管理対象プログラムは,自身の動作履歴(例えばユーザログイン,通信許可,データ転送など)を,ログとして適宜前記管理対象プログラムログデータの領域に出力し,前記管理者用計算機の画面に,時刻データを含むログ検索の結果を表示するもの」という事項から,引用発明では,ログ管理システム内のログデータを検索して検索結果を検索結果画面に表示することができ,さらに,引用発明も表示装置を備えたものであるので,引用発明と補正発明とは,「記憶装置に格納されている異なる複数のログ情報中の複数のイベントデータを表示装置上に表示するための方法」である点で一致するといえる。
また,引用発明の「時刻データを含むログ検索の結果を表示する」という事項及び「固定ディスクに管理対象計算機の管理対象プログラムが出力したログデータの内容を収集し,全管理対象プログラムログデータに格納するもの」という事項から,引用発明でも,ログに時刻に関するデータを含み,検索のための何らかのデータベースを構築しているものとみられ,引用発明と補正発明とは,「何れかの記憶装置からイベント発生時刻のデータを含むログ情報を取り込んでログ情報のデータベースを構築するステップ」を有する点で一致するといえる。

(2-2)引用発明の「検索対象利用者(社員番号)が同じアカウント名を抽出して,抽出したアカウント名が記載されているログをログデータから全て抽出」することは,補正発明の「指定された検索条件に一致する複数のイベントデータを前期データベースから抽出」することに相当する。
また,引用発明には,固定ディスク以外にもメモリが備えられており,このようなメモリを一時保存に用いることは技術常識であることから,引用文献1には明記されていないものの,引用発明においても,「抽出したログデータ」を「メモリ等に一時的に格納させ」ていることは明らかである。
したがって,引用発明と補正発明とは,「指定された検索条件に一致する複数のイベントデータを前記データベースから抽出して一時記憶手段に格納するステップ」を有する点で一致するといえる。

(2-3)引用発明の「管理対象プログラム名,時刻,ログの内容等を,ログデータとして各行毎に一覧表示して,時刻でソートして検索結果画面に表示する」ことは,補正発明の「複数のイベントデータを,抽出された複数のイベントデータの各イベント発生時刻を前記表示装置の表示画面上の一方の表示軸に沿って昇順又は降順に表示し,前記一方の表示軸に沿って表示された各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示する」ことに相当する。
したがって,引用発明と補正発明とは,「複数のイベントデータを,抽出された複数のイベントデータの各イベント発生時刻を前記表示装置の表示画面上の一方の表示軸に沿って昇順又は降順に表示し,前記一方の表示軸に沿って表示された各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示する表示形式の表示データに変換するステップ」を有する点で一致するといえる。

(2-4)引用発明では,「管理対象一覧データを読み込み,検索対象利用者(社員番号)が同じアカウント名を抽出して,抽出したアカウント名が記載されているログをログデータから全て抽出し,その後,利用者使用物特定情報を含むログを,全管理プログラムのログデータから抽出して,不要なログデータは削除した上で,管理対象プログラム名,時刻,ログの内容等を,ログデータとして各行毎に一覧表示して,時刻でソートして検索結果画面に表示する」点や,引用発明においても,「管理者用計算機に検索結果を表示している」こと,「時刻でソートして」いることが記載されており,さらに表示するデータはログデータを加工したものであることから,引用発明も補正発明と同様に「前記変換するステップは,前記複数の異なるログ情報のうちの最初のログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示するための表示データに変換し」及び「前記抽出された複数のイベントデータについて,前記表示データに基づいて前記表示形式で前記表示装置に表示する」ものであるといえる。

(2-5)よって,補正発明は,下記一致点で引用発明と一致し,下記相違点で引用発明と相違する。

(一致点)
「記憶装置に格納されている異なる複数のログ情報中の複数のイベントデータを表示装置上に表示するための方法であって,
何れかの記憶装置からイベント発生時刻のデータを含むログ情報を取り込んでログ情報のデータベースを構築するステップと,
指定された検索条件に一致する複数のイベントデータを前記データベースから抽出して一時記憶手段に格納するステップと,
該一時記憶手段に格納された複数のイベントデータを,抽出された複数のイベントデータの各イベント発生時刻を前記表示装置の表示画面上の一方の表示軸に沿って昇順又は降順に表示し,前記一方の表示軸に沿って表示された各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示する表示形式の表示データに変換するステップとを有し,
前記変換するステップは,前記複数の異なるログ情報のうちの最初のログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示するための表示データに変換し,
前記抽出された複数のイベントデータについて,前記表示データに基づいて前記表示形式で前記表示装置に表示するようにしたことを特徴とする
異なる複数のログ情報から抽出されたイベントデータの表示方法。

(相違点1)
補正発明は,「前記変換するステップは,前記複数の異なるログ情報のうちの最初のログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて前記表示装置の表示画面上に表示するための表示データに変換し,複数の異なるログ情報にイベントが同時に発生している場合,それらのイベントを対応するイベント発生時刻に対して横に並べて表示するようにし,前記最初のログ情報についての表示データの変換処理が終了した後,次のログ情報を取り出し,これら2つのログ情報について,各イベント発生時刻に対応するイベント内容を対応するイベント発生時刻と同ライン上に並べて,前記表示装置の表示画面上に表示する前記表示形式の表示データに変換し」ているのに対して,引用発明ではそのようには変換されていないこと。

(相違点2)
補正発明では,「前記ログ情報の全てのイベントデータについて前記表示形式への変換の処理が終了することにより,前記表示データを前記一時記憶手段に格納し」と記載されているが,引用発明では,一時記憶手段に格納するということまでは言及されていないこと。


(3)判断

上記相違点1及び相違点2について検討する。

(3-1)相違点1について

引用文献2には,「トレースログ情報を管理し編集・表示を行うシステム」について記載されており,上記Fには,「OS1は,OS1が管理している時刻情報312を持ち,更にこの時刻管理312に基づいたOS1の動作履歴を表す動作トレース情報311を持つ。同様にOS2もOS2の時刻情報322と動作トレ一ス情報321とを持つ。」及び「このトレース情報を,両OSで同一時刻の基準とし,OS1とOS2のトレース情報をトレース発生順にマージ編集する(805)。マージ編集したOS1とOS2のトレース情報をディスプレイ装置などに表示する(806)。」と記載されている。また,上記Gには,「縦軸の上から下へ時間軸を取り,左列にOS1のトレースを,右列にOS2のトレースを表示する。トレースの発生順は,上記相対時間の計算結果の小さい順に上から1行に1卜レースの形式で表示する。そして同期卜レース(504-3,505-1)は,OS1とOS2で同時に発生しているので同一行に表示する。」と記載されている。
ここで,引用文献2の「マージ編集」は,補正発明の「変換処理」に相当するものと認められる。しかしながら,引用文献2では,「マージ編集」して,「同一行に表示する」点が開示されているものの,引用文献2の第5図に示されるように,それぞれのトレース情報(ログ)に対して,管理時刻の欄が設けられており,引用文献2の「マージ編集」に係る技術思想を引用発明に組み合わせたとしても,補正発明のように,「複数の異なるログ情報にイベントが同時に発生している場合に,それらのイベントに対応するイベント発生時刻に対して横に並べて表示する」ようにはならないものである。

先行技術文献1にも,同じ時刻のログを横に並べるという点が開示されていない。
また,先行技術文献2には,上記Jの【0060】等に記載されているように,統合されたログにおいて,同一時刻に重複しているセッションがあった場合に関する記述があるが,プロセスID毎に分けて,同一のセッションであるものを纏める技術であるものの,同一時刻の関連するセッションを横に並べて表示する点については,開示されていない。
次に,先行技術文献3には,上記Kで記載のように収集した個人作業ログを元に,上記Lに記載の共同作業ログ記憶部の情報として再構成しているが,共同作業番号に基づいて共同作業ログが作成されており,共同作業者として同一欄に複数の作業者が記載されているものの,異なるイベントを横に並べて表示するようにはなっていない。
先行技術文献1?3においても,異なるイベントの同じ時刻のログを表示する際に,補正発明のように表示する手法は開示されていない。

したがって,相違点1について,当業者が容易に想到するとはいえない。

(3-2)相違点2について

引用発明では,上記Bに記載されているように「メモリ」又は「固定ディスク」を有しており,引用発明においても,「メモリに一次記憶する」旨の記載はないものの,検索結果表示エリアに表示する前に,当該メモリを用いて,検索結果を一時保存しているものと認められる。したがって,相違点2については,当業者が適宜なし得る程度のことに過ぎず,その効果も格別なものでもない。

(3-3)小括

以上の理由により,補正発明は,相違点2については容易に想到するといえるものの,相違点1については,引用発明のみならずこれまでに調査した公知技術と同等とは扱えないものであり,当業者が容易に発明をすることができたとはいえない。
よって,本件補正の補正事項1及び補正事項2は,特許法第17条の2第6項において準用する同法第126条第7項の規定に適合する。

なお,その他の補正事項は,明細書の全文を対象とした補正であり,具体的には,段落【0003】,【0005】,【0006】,【0007】,【0010】,【0011】,【0015】及び【0039】において,用語の統一等を施したもので,誤記の訂正と認められる。
よって,その他の補正事項についても,特許法第17条の2第6項において準用する同法第126条第7項の規定に適合する。


3.むすび

本件補正は,特許法第17条の2第3項?第6項の規定に適合する。


第3 本願発明
本件補正は上記のとおり,特許法第17条の2第3項?第6項の規定に適合するから,本願の請求項1?2に係る発明は,本件補正により補正された特許請求の範囲の請求項1?2に記載された事項により特定されるとおりのものである。
そして,本願については,原査定の拒絶理由を検討してもその理由によって拒絶すべきものとすることはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。
 
審決日 2014-12-26 
出願番号 特願2008-115178(P2008-115178)
審決分類 P 1 8・ 851- WY (G06F)
P 1 8・ 856- WY (G06F)
P 1 8・ 121- WY (G06F)
最終処分 成立  
前審関与審査官 大塚 俊範  
特許庁審判長 西村 泰英
特許庁審判官 木村 貴俊
田中 秀人
発明の名称 異なる複数のログ情報から抽出されたイベントデータの表示方法  
代理人 廣澤 勲  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ