• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1376521
審判番号 不服2020-10310  
総通号数 261 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-09-24 
種別 拒絶査定不服の審決 
審判請求日 2020-07-22 
確定日 2021-08-17 
事件の表示 特願2017- 18917「セキュリティ装置、攻撃検知方法及びプログラム」拒絶査定不服審判事件〔平成29年 5月18日出願公開、特開2017- 85663、請求項の数(11)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続きの経緯
本願は,2016年(平成28年)8月4日(パリ条約による優先権主張2015年10月9日,米国)を出願日とする出願である特願2016-153816号の一部を,平成29年2月3日に新たな特許出願としたものであって,その手続の経緯は以下のとおりである。

令和2年 3月11日付け 拒絶理由通知
令和2年 4月20日 意見書・手続補正書の提出
令和2年 5月22日付け 拒絶査定
令和2年 7月22日 審判請求書・手続補正書の提出

第2 原査定の概要

原査定(令和2年5月22日付け拒絶査定)の概要は次のとおりである。

本願請求項1-11に係る発明は,引用文献1に記載された発明および引用文献2および3に記載された技術に基づいて,その発明の属する技術の分野における通常の知識を有する者(以下,「当業者」という。)が容易に発明できたものであるから,特許法第29条第2項の規定により特許を受けることができない。

<引用文献等一覧>
1.特開2014-146868号公報
2.特開2012-204936号公報
3.特開2007-067812号公報

第3 本願発明

本願の請求項1ないし11に係る発明(以下,「本願第1発明」ないし「本願第11発明」という。)は,令和2年7月22日の手続補正書により補正された以下のとおりの特許請求の範囲の請求項1ないし請求項11に記載された事項により特定される発明である。

「【請求項1】
1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続されるセキュリティ装置であって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
1つの前記バスからフレームを受信する受信部と,
フレームについての検査内容として,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを保持する保持部と,
前記受信部により受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行うチェック部と,
前記チェック部において,前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記データ検査パラメータを更新する更新部と,
前記保持部が保持する前記データ検査パラメータに基づいて,前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査部とを備え,
前記更新部は,前記受信部により受信された第1フレームに関連し,前記チェック部において前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新し,
前記検査部は,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
セキュリティ装置。
【請求項2】
前記データ検査パラメータは,前記データフィールドに格納された前記データの変化の許容範囲の上限を示す閾値を含み,
前記更新部における,前記データ検査パラメータの更新は,前記閾値を,より小さい値にする更新であり,
前記検査部は,前記受信部により受信されたフレームに係る前記データフィールドに格納された前記データの変化が前記データ検査パラメータにおける前記閾値を超えた場合に当該フレームを攻撃フレームと判定する
請求項1記載のセキュリティ装置。
【請求項3】
1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続されるセキュリティ装置であって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
1つの前記バスからフレームを受信する受信部と,
フレームについての検査内容として,前記IDが同値の2つのフレームが送信される時間間隔である送信周期の検査に係る送信周期検査パラメータを保持する保持部と,
前記受信部により受信されたフレームに関し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えるか否かを判定するチェック部と,
前記チェック部において,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超える場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記送信周期検査パラメータを更新する更新部と,
前記保持部が保持する前記送信周期検査パラメータに基づいて,前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査部とを備え,
前記更新部は,前記受信部により受信された第1フレームに関連し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えると判定された場合に,前記送信周期検査パラメータを第1検査パラメータに更新し,
前記検査部は,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
セキュリティ装置。
【請求項4】
前記送信周期検査パラメータは,前記送信周期の許容範囲を示す閾値を含み,
前記更新部における,前記送信周期検査パラメータの更新は,前記閾値の更新である
請求項3記載のセキュリティ装置。
【請求項5】
前記保持部は更に,前記DLCの値の検査に係るDLC検査パラメータと,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータとを保持し,
前記送信周期検査パラメータは,前記送信周期の許容範囲を示す第1の閾値を含み,
前記DLC検査パラメータは,前記DLCの値の許容範囲を示す第2の閾値を含み,
前記データ検査パラメータは,前記データの値の許容範囲を示す第3の閾値を含み,
前記更新部は,前記受信部により受信されたフレームに関し,前記送信頻度が所定の許容範囲の上限を超える場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記送信周期検査パラメータにおける前記第1の閾値と,前記DLC検査パラメータにおける前記第2の閾値と,前記データ検査パラメータにおける前記第3の閾値とを更新する
請求項3記載のセキュリティ装置。
【請求項6】
前記セキュリティ装置は更に,1つ以上の前記電子制御ユニットに対する攻撃フレームの影響を抑制するように前記検査部による検査結果に応じた処理を行う処理部を備える
請求項2?5のいずれか一項に記載のセキュリティ装置。
【請求項7】
前記検査部は,前記受信部によりフレームの前記IDフィールドが受信された後であって前記データフィールドに後続する部分が受信される前に前記検査を行う
請求項2?6のいずれか一項に記載のセキュリティ装置。
【請求項8】
1つ又は複数のバスを介して複数の電子制御ユニットがCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う車載ネットワークシステムにおいて用いられる攻撃検知方法であって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
前記バスからフレームを受信する受信ステップと,
前記受信ステップで受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行うチェックステップと,
前記チェックステップにおいて,前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,フレームについての検査内容を規定する,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを,更新する更新ステップと,
前記更新ステップで更新された前記データ検査パラメータに基づいて,前記受信ステップで受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査ステップとを含み,
前記更新ステップは,前記受信ステップにより受信された第1フレームに関連し,前記チェックステップにおいて前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新し,
前記検査ステップは,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
攻撃検知方法。
【請求項9】
1つ又は複数のバスを介して複数の電子制御ユニットがCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う車載ネットワークシステムにおいて用いられる攻撃検知方法であって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
前記バスからフレームを受信する受信ステップと,
前記受信ステップで受信されたフレームに関し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えるか否かを判定するチェックステップと,
前記チェックステップにおいて,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超える場合に,フレームについての検査内容を規定する,前記IDが同値の2つのフレームが送信される時間間隔である送信周期の検査に係る送信周期検査パラメータを,更新する更新ステップと,
前記更新ステップで更新された前記送信周期検査パラメータに基づいて,前記受信ステップで受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査ステップとを含み,
前記更新ステップは,前記受信ステップにより受信された第1フレームに関連し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えると判定された場合に,前記送信周期検査パラメータを第1検査パラメータに更新し,
前記検査ステップは,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
攻撃検知方法。
【請求項10】
1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続される,マイクロプロセッサを含むセキュリティ装置に所定処理を実行させるためのプログラムであって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
前記所定処理は,
1つの前記バスからフレームを受信する受信ステップと,
前記受信ステップで受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行うチェックステップと,
前記チェックステップにおいて,前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,フレームについての検査内容を規定する,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを,更新する更新ステップと,
前記更新ステップで更新された前記データ検査パラメータに基づいて,前記受信ステップで受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査ステップとを含み,
前記更新ステップは,前記受信ステップにより受信された第1フレームに関連し,前記チェックステップにおいて前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新し,
前記検査ステップは,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
プログラム。
【請求項11】
1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続される,マイクロプロセッサを含むセキュリティ装置に所定処理を実行させるためのプログラムであって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
前記所定処理は,
1つの前記バスからフレームを受信する受信ステップと,
前記受信ステップで受信されたフレームに関し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えるか否かを判定するチェックステップと,
前記チェックステップにおいて,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超える場合に,フレームについての検査内容を規定する,前記IDが同値の2つのフレームが送信される時間間隔である送信周期の検査に係る送信周期検査パラメータを,更新する更新ステップと,
前記更新ステップで更新された前記送信周期検査パラメータに基づいて,前記受信ステップで受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査ステップとを含み,
前記更新ステップは,前記受信ステップにより受信された第1フレームに関連し,前記IDが同値の1つ以上のフレームが所定の単位時間内に送信される頻度である送信頻度が所定の許容範囲の上限を超えると判定された場合に,前記送信周期検査パラメータを第1検査パラメータに更新し,
前記検査ステップは,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う
プログラム。」

第4 引用文献および引用発明

1 引用文献1の記載事項

原査定の拒絶理由に引用された引用文献1には,図面とともに次の事項が記載されている(下線は,当審が付加した。以下同様。)。

ア 「【技術分野】
【0001】
本発明は,ネットワーク装置およびデータ送受信システムに関する
【背景技術】
【0002】
通信異常を検出して通信の中継を制御する技術として,特開2008-236408公報には,エラーフレームを送信しているECUが存在し通信異常となっているバスを検出すると共に,該バスに接続されたメッセージフレームの送信周期が異常であるECUを特定する情報処理装置を提供するため,多重通信用のバスを介して接続された複数のECUを中継接続ユニットを介して接続し,この中継接続ユニットでECUの通信を中継し,中継接続ユニットは通信異常の検出手段として,バスを介してECUから受信するメッセージフレームmの数を,各メッセージフレームに付されたID(識別子)毎にカウントするカウンタと,カウンタでのカウント数を予め設定した単位時間あたりの基準値と比較してメッセージフレームが通信異常であると判定するカウンタ値チェック手段とを備える中継装置が記載されている。
【0003】
また,特表2007-528621号公報に記載された中継装置は,不正アクセスを検出して通信経路を切断するとともに,他の通信経路を確保するため,受信したパケットの通信ヘッダをアクセスパターンDBに基づいて検証して,不正アクセスを検出したか否かを判定し,不正アクセスを検出したと判定した場合,パケットの送信元の車載通信装置を識別し,車載通信装置のコネクションを切断するための制御信号を送信する。また,制御信号を送信するとともに,経路制御テーブルを更新して他の車載通信装置を経由する通信経路を確保する。
(中略)
【発明が解決しようとする課題】
【0005】
ネットワークを介し,不正機器が不正なデータを送信して機器の異常動作を引き起こす不正攻撃(後述するなりすまし攻撃など)が問題になっている。
【0006】
このような不正攻撃による通信異常に,特許文献1の技術を適用した場合,メッセージフレームの送出周期を受信周期基準値の下限値と比較し,異常を判定するなどして,周期情報を正常値と比較することになる。また特許文献2の技術によれば,受信したデータのヘッダ情報に基づいて不正アクセスを検出することになる。
【0007】
しかし,特許文献1ではなりすまし攻撃についての対処方法については考慮されておらず,特許文献2の方法では,なりすまし攻撃はヘッダが偽装されているため,なりすまし攻撃を検知することができない。
【0008】
本発明は上記状況に鑑みて為されたものであり,なりすまし攻撃について検知および防御することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するために,なりすまし攻撃発生時には,同一の識別子を持つデータのデータ送出周期が設計周期より短周期となることから,ネットワーク装置においてデータの受信周期を判定し,設計周期より短い周期でデータを受信した場合に,不正な攻撃が発生していることを検知し,攻撃に対する防御動作(フェールセーフ,不正転送防止,データの破棄,状態の記録,ユーザーまたは他システムへの警告通知,等)を行う。
【発明の効果】
【0010】
本発明によれば,ネットワーク上で不正な攻撃(例えば後述するなりすまし攻撃)が発生した場合に防御動作を行い不正に対処することが可能となる。
【0011】
また不正検知時の誤検知低減,データ確認時の負荷低減,についても可能になる。」

イ 図3


ウ 「【0017】
図3は,ネットワークシステム2の内部構成を示している。このネットワークシステム上のネットワーク装置はネットワークバス301に接続されており,ネットワークバス301は例えばCANバスなどである。ネットワークバス301には,図示していないハードウェアに接続され,各ハードウェアの制御およびネットワークバスとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)302,およびネットワークバス間を接続してそれぞれのネットワークバスとデータの送受信を行うゲートウェイ(以下GW)303が接続されている。
【0018】
GW303はGW機能を有するECUであってもよく,またECU302はECUの機能を有するGWであってもよく,GW303とECU302はそれぞれが両方の機能を有する場合がある。
【0019】
また,GW303やECU302など,ネットワークバスで接続される装置のことをネットワーク装置と総称する。ネットワーク装置は,自身に接続されるハードウェアを制御している場合がある。例えば,ECU302には図示されていないアクチュエータが接続され,ECU302はこのアクチュエータを操作することで制御対象を制御する。また出力装置6はネットワークバスに接続され,ネットワーク装置は後述するようにネットワークバスを介して出力装置6を制御する。」

エ 図4


オ 「【0022】
図4は,本発明にかかるネットワーク装置であるGW303の内部構成を示した図である。GW303は,キャッシュやレジスタなどの記憶素子を持ち制御を実行するCPUなどのプロセッサ401,複数のネットワークバス301に対してデータの送受信を行う通信I/F402,図示しないクロックなどを使用して時間および時刻の管理を行うタイマ403,プログラムおよび不揮発性のデータを保存するROM(Read Only Memory)404,揮発性のデータを保存するRAM(Random Access Memory)405,ネットワーク装置内部での通信に用いられる内部バス406,を備えている。」

カ 図5


キ 「【0024】
次に,ネットワーク装置で動作するソフトウェアモジュールの構成を図5に示す。ネットワーク装置では,後述するフィルタテーブル504や,後述する受信時刻テーブル505がRAM405に格納されている。また,通信I/F402の動作および状態を管理して内部バス406を介し通信I/F402に指示を行う通信管理部502,タイマ403を管理して時間に関する情報取得や制御を行う時間管理部503,通信I/F402から取得したデータの解析やソフトウェアモジュール全体の制御を行う制御部501などの各モジュールがプロセッサ401によって実行される。また,後述する異常関連情報を記録しておく異常関連情報ログ506を有している。異常関連情報ログ506はRAM405に記録される。」

ク 図6(a)


ケ 「<ネットワークプロトコルの例>
図6に,ネットワークバス302で用いられる通信プロトコルによるデータ構造の例を示す。この図6ではCANの通信プロトコルにおけるフレームのデータ構造を示している。この図に示した数値は,フレームを構成する各フィールドのビット数を表している。
【0026】
CANでは同一バス上に接続されたネットワーク装置が,送信時にバス信号をドミナント(0)に設定し,送信時または受信時にバス信号のドミナント(0)またはリセッシブ(1)を検知することにより通信を行う。
【0027】
SOF(Start Of Frame)はフレームの開始位置を示しており,フレームの同期を取るためにも用いられている。
【0028】
識別子(ID)は,フレームで送信するデータのID(以下,データID)を示しており,データIDによりフレームで送信しているデータの種類を識別可能である。
【0029】
識別子(ID)とRTR(Remote Transmission Request)ビットからなる部分をアービトレーション・フィールドと呼び,このアービトレーション・フィールドの値によりバスのアービトレーション(調停)を行っている。
【0030】
コントロール・フィールドのRB1,RB0は予約ビットであり,図6(a)のフォーマットの例ではどちらもドミナントが設定される。また,データ長コードは,データ・フィールドのデータ長(バイト数)を表している。しかし,RB0の値にリセッシブが設定された場合には,アービトレーション・フィールドが図6(b)に示すような拡張フォーマットであることを表し,この拡張フォーマットでは識別子(ID)を29ビットで表現可能となる。拡張フォーマットのコントロール・フィールドに続くデータ・フィールド以降の構成は図6(a)と同様である。
【0031】
データ・フィールドは,送信するデータの内容を示しており,Nバイト分のデータが可変長で送信される。
【0032】
CRC・フィールドには,フレームのCRCが入力され,CRC境界はアクノリッジとの境界のために,常にリセッシブで送信される。
【0033】
受信ノード(本実施例における,ECU302やGW303)では,正しくデータを受信した場合に,応答のためにこのアクノリッジのビットをドミナントに設定することで送信データの応答を返す。
【0034】
EOF(End Of Frame)はフレームの終端を示し,7ビットのリセッシブとなっている。
【0035】
CANバスでは,以上のようなフォーマットでネットワーク装置同士がデータの送受信を行っている。」

コ 「【0038】
ここではCANを例に説明しているが,例えばFlexray(登録商標)などのプロトコルにおいても周期的なデータの送受信を行っている。またEthernetなどの例においても異なるフォーマットでデータの送受信を行っており,周期的に情報を送るなどの処理を行っており,本発明について同様に適用可能である。
<通信I/Fにおけるデータ送受信処理>
通信I/F402のデータ受信処理として,例えば設計時に定められた自ネットワーク装置で受信が必要なデータIDをプロセッサ401がフィルタテーブル504から読み出し,通信I/F402に指定する。受信が必要なデータIDの指定を受けた通信I/F402は,自ネットワーク装置が接続されているネットワークバス301で送信される信号を監視し,指定されたデータIDを有するデータ・フレームが,ネットワークバス301上で送信された場合に,このデータIDを持つデータ・フレームを受信して,データを受信したことをこのデータ・フレームのデータと共にプロセッサ401に通知する,といったデータ受信処理を行う。」

サ 「【0046】
本発明の第1の実施形態について以下に示す。ここでは図3におけるGW303に本発明を適用した例を示す。
【0047】
GW303が有するフィルタテーブル504のデータ構造について,図8を用いて説明する。フィルタテーブル504には,受信するデータ・フレームのデータID802と,各データIDごとのデータ送出周期803(以下,所定周期)が格納されている。また,GW303のように複数のネットワークバスに接続されている場合は,それぞれのデータIDを持つデータ・フレームを送出するネットワーク装置が接続されているネットワークバスのバスIDであるデータ発生バスID804を持つ場合もある。本発明では,これら情報を基になりすまし攻撃の有無の判定を行う。フィルタテーブル504に登録されているこれらの情報は,全てシステム設計時に決定され,システムの起動以前に登録されているものとする。
【0048】
GW303では,通信I/F402においてネットワークバス301からデータ・フレームを受信した場合,通信管理部502がその受信を検知する。そして通信管理部502は,データ・フレームの受信を検知したタイミングで,そのデータの受信時刻を時間管理部503から取得し,制御部501に対して,受信したデータの内容およびデータの受信時刻を通知する。
【0049】
通信管理部502からこの通知を受信した制御部501は,受信したデータの周期判定処理を行う。図1にこの周期判定処理のフローチャートを示す。周期判定処理ではまず,受信データのデータIDが,フィルタテーブル504に存在しているかを判定する(S101),受信データのデータIDがフィルタテーブル504に存在していない場合(S101:No),本来は送信されてくることのないデータIDを持ったデータ・フレームが送信されていることになるため,ID異常検出時処理を行う(S102)。
【0050】
ID異常検出時処理S102を行う状態では,想定していないデータIDを持つデータがネットワークバス上に送信されていることから,不正攻撃が発生している可能性が高いと判断し,このID異常検出時処理としては,IDに関する異常が発生したとみなして後述する異常検出時処理を行う。
【0051】
S101における受信データのデータIDがフィルタテーブル504に存在しているか否かの判定において,フィルタテーブル504にデータ発生バスIDが記載されている場合は,データを受信したネットワークバスのIDと,フィルタテーブル504のデータ発生バスが一致しているか否かについても確認する。これにより,データIDの一致だけでなくデータ発生バスの一致についても確認可能なため,本来送出されてくるネットワークバス以外からのデータ送信を把握することができるため,より周期異常を検知しやすくなる。
【0052】
ステップS101の処理において,受信データのデータIDがフィルタテーブル504に存在している場合(S101:Yes)は,次にステップS103の処理を行う。
【0053】
ステップS103の処理で,制御部501は,通信管理部502からの通知に含まれる受信時刻と,後述する終了時処理において制御部501が受信時刻テーブル505に記憶しておいた同一データIDの前回受信時刻を比較して,受信データのデータIDが示すデータ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行う。この周期判定の結果が異常と判定された場合(S103:No),短周期検出時処理を行う(S104)。短周期検出時処理については後述する。
【0054】
この周期判定で異常と判定される場合とは,前回受信時刻に基づき計算した受信周期が,フィルタテーブル504に格納されている該当データIDの周期より小さい場合を指す。ここで比較の際には,フィルタテーブル504の周期と直接比較する以外に,誤差に対するマージンを計算し,判定を行ってもよい。具体的にはフィルタテーブルに格納されている周期が10msであった場合に10%のマージンを取り,受信周期が9msより小さい場合に短周期と判定する。これにより,衝突などにより周期が乱れた場合でも,短周期と誤判定する可能性が少なくなる。
【0055】
計算した結果の周期をフィルタテーブル504と比較して異常でないと判定した場合(S103:Yes)は,終了時処理(S105)を実行する。ここでの終了時処理S105として,データIDを受信した受信時刻を,図13に示すような受信時刻テーブル505に記憶し,データIDが示すデータの前回受信時刻として使用する。受信時刻テーブル505には,データID(1301)毎に,データ・フレームの受信時刻を記録する構成となっており,終了時処理において,データIDに対応する前回受信時刻(1302)の欄に受信時刻を記録してゆく。
【0056】
このようにして制御部501ではデータ・フレームが予め決められていた周期よりも短周期で送信されている状態の検出を行う。」

シ 図9


ス 「<短周期検出時処理>
次に,周期判定でデータ・フレーム送信周期の短周期を検出した時に制御部501で実行される短周期検出時処理について,図9に示すフローチャートを元に説明する。この短周期検出時処理では,同一データIDを持つデータ・フレームを予め決められていた周期よりも短周期で受信したと判定された際の処理であり,更に次の同一データIDのデータ・フレームを,一定時間内に受信するか否かを判定する。
【0057】
そこで制御部501は,短周期を検出したデータIDを持つデータ・フレームのデータ受信を待つ。このため,通信管理部502から通知されるデータ・フレームのデータIDを監視し,短周期を検出したデータIDのデータ・フレームの受信が通知された場合(S901:Yes),後述する周期異常検出時処理を実行する(S902)。短周期を検出したデータIDのデータを受信していない場合(S901:No)には,受信が通知されてきたデータ・フレームについて図1の処理を並行して行うと共に,ステップS903の処理で待機時間を経過していないかの確認を行う。
【0058】
待機時間とは,短周期(想定している周期よりも短い周期でのデータ受信)を検出した場合に,基準とする前回受信時刻に対し想定している正常な周期でのデータ受信時刻までの時間を表し,図7(b)の周期T-時間Xの時間に相当する。具体的には下記のような計算式(式1)で求めることが可能となる。
【0059】
待機時間=フィルタテーブルの周期-(データ受信時刻-前回受信時刻) …(式1)
この待機時間についても周期判定の場合と同様,マージンを含む計算を行っても良い。例えば計算した結果の待機時間が2ms(例えば,10ms間隔での受信を想定している場合に,前回の受信から8ms後に同一データIDのデータを受信)の場合に,待機時間を計算で求めた2msでなく,衝突の発生などによる送信周期の乱れを考慮してフィルタテーブルに登録されている周期の時間の20%を待機時間のマージンとし,このマージンに相当する2msを加算した4msを待機時間としても良い。これにより,短周期を検出した後に正常な周期で送信されてくるデータ・フレームを受信するまでの時間を調整することが可能となり,異常データ受信後に衝突等で正常な周期で正常データを受信できなかった場合に,不正が無いと誤判定することを防ぐことが可能となる。
【0060】
制御部501は,現在の時間が待機時間を経過していない場合(S903:No),には所定時間処理の待機を行い,再度ステップS901を実行する。また待機時間が到来した場合(S903:Yes)には,タイムアウト処理(S904)を行う。
【0061】
タイムアウト処理S904では,タイムアウトが発生した場合(待機時間を経過した場合)には,短周期を検出したデータが実際はネットワークバス上の送出周期の乱れにより,周期が短くなっただけの正常なデータであり,なりすましのデータが受信されたものではない可能性が高いため,一旦は短周期と判定されたデータに対してこのデータを正常に受信したと判定された場合に実施する処理(例えばデータの転送処理)を実施する。
【0062】
このようにしてデータの短周期が検出されたデータIDを持つデータ・フレームについて周期性を確認し,不正なデータ送信が無いかを確認する。」

セ 「<周期異常検出時処理>
周期異常検出時処理としては,周期が異常であったという情報を基に,後述する異常検出時処理を実施する。
<異常検出時処理>
異常検出時処理としては,受信するIDが異常であった場合や,周期の異常を検出した場合に制御部501によって実行される。
【0066】
異常検出時処理の例としては,(1)受信したデータを処理せずに破棄,(2)異常が発生したことを検出した異常の種類(ID異常,周期異常)と異常発生回数(累積値)と共に異常ログ情報へ記録,(3)異常を通知するための異常通知処理の実施,などの処理を行う。」

2 引用発明

上記1の引用文献1の,特に下線を付加した記載に着目すると,引用文献1には,以下の発明(以下,「引用発明」という。)が記載されていると認められる。

「ネットワーク装置に関し,なりすまし攻撃について検知および防御することを目的とし,
なりすまし攻撃発生時には,同一の識別子を持つデータのデータ送出周期が設計周期より短周期となることから,ネットワーク装置においてデータの受信周期を判定し,設計周期より短い周期でデータを受信した場合に,不正な攻撃が発生していることを検知し,攻撃に対する防御動作(フェールセーフ,不正転送防止,データの破棄,状態の記録,ユーザーまたは他システムへの警告通知,等)を行うネットワーク装置であって,
ネットワークシステム上のネットワーク装置はネットワークバス301に接続されており,ネットワークバス301は例えばCANバスなどであり,
ネットワークバス301には,各ハードウェアの制御およびネットワークバスとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)302,およびネットワークバス間を接続してそれぞれのネットワークバスとデータの送受信を行うゲートウェイ(以下GW)303が接続されており,GW303やECU302など,ネットワークバスで接続される装置のことをネットワーク装置と総称しており,
ネットワーク装置であるGW303の内部構成では,キャッシュやレジスタなどの記憶素子を持ち制御を実行するCPUなどのプロセッサ401,複数のネットワークバス301に対してデータの送受信を行う通信I/F402,クロックなどを使用して時間および時刻の管理を行うタイマ403,プログラムおよび不揮発性のデータを保存するROM(Read Only Memory)404,揮発性のデータを保存するRAM(Random Access Memory)405,ネットワーク装置内部での通信に用いられる内部バス406,を備えており,
ネットワーク装置では,フィルタテーブル504や,受信時刻テーブル505がRAM405に格納されており,また,通信I/F402の動作および状態を管理して内部バス406を介し通信I/F402に指示を行う通信管理部502,タイマ403を管理して時間に関する情報取得や制御を行う時間管理部503,通信I/F402から取得したデータの解析やソフトウェアモジュール全体の制御を行う制御部501などの各モジュールがプロセッサ401によって実行されており,また,異常関連情報を記録しておく異常関連情報ログ506を有しており,異常関連情報ログ506はRAM405に記録されており,
ネットワークバス302で用いられる通信プロトコルであるCANの通信プロトコルにおけるフレームのデータ構造において,識別子(ID)は,フレームで送信するデータのID(以下,データID)を示しており,データ長コードは,データ・フィールドのデータ長(バイト数)を表しており,データ・フィールドは,送信するデータの内容を示しており,
通信I/F402は,自ネットワーク装置が接続されているネットワークバス301で送信される信号を監視し,指定されたデータIDを有するデータ・フレームが,ネットワークバス301上で送信された場合に,このデータIDを持つデータ・フレームを受信して,データを受信したことをこのデータ・フレームのデータと共にプロセッサ401に通知する,といったデータ受信処理を行っており,
GW303が有するフィルタテーブル504には,受信するデータ・フレームのデータID802と,各データIDごとのデータ送出周期803(以下,所定周期)が格納されており,
制御部501は,受信したデータの周期判定処理を行っており,受信データのデータIDがフィルタテーブル504に存在している場合に,受信時刻と,受信時刻テーブル505に記憶しておいた同一データIDの前回受信時刻を比較して,受信データのデータIDが示すデータ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行い,この周期判定の結果が異常と判定された場合,短周期検出時処理を行っており,この短周期検出時処理では,更に次の同一データIDのデータ・フレームを,一定時間内に受信するか否かを判定し,短周期を検出したデータIDのデータ・フレームの受信が通知された場合,周期異常検出時処理を実行し,短周期を検出したデータIDのデータを受信していない場合には,受信が通知されてきたデータ・フレームについて待機時間を経過していないかの確認を行い,衝突の発生などによる送信周期の乱れを考慮してフィルタテーブルに登録されている周期の時間の20%を待機時間のマージンとし,このマージンに相当する2msを加算した4msを待機時間とし,待機時間が到来した場合には,タイムアウト処理を行い,
タイムアウト処理では,タイムアウトが発生した場合(待機時間を経過した場合)には,短周期を検出したデータが実際はネットワークバス上の送出周期の乱れにより,周期が短くなっただけの正常なデータであり,なりすましのデータが受信されたものではない可能性が高いため,一旦は短周期と判定されたデータに対してこのデータを正常に受信したと判定された場合に実施する処理(例えばデータの転送処理)を実施し,
周期異常検出時処理としては,周期が異常であったという情報を基に,異常検出時処理を実施し,異常検出時処理の例としては,(1)受信したデータを処理せずに破棄,(2)異常が発生したことを検出した異常の種類(ID異常,周期異常)と異常発生回数(累積値)と共に異常ログ情報へ記録,(3)異常を通知するための異常通知処理の実施,などの処理を行う
ネットワーク装置。」

3 引用文献2の記載および記載技術

原査定の拒絶理由に引用された引用文献2には,図面とともに次の事項が記載されている。

ア 「【課題】送信エラーが発生した場合であっても,所定の通信周期において受信すべきデータを受信できない状態が発生することを防止するとともに,特別なデータの送信をできる限り行うこと。
【解決手段】再送制御部が,通信周期における1周期内に検出された送信エラーの検出回数または継続時間が送信停止判定閾値を超えた場合に,当該通信周期における再送処理を禁止する。そして,再送制御部が,送信エラーとなったデータがモータECUに対して送信の開始を指示するデータである場合には,他のデータの場合よりも再送処理の禁止を判断する送信停止判定閾値を高くするようにHV-ECUを構成する。」

イ 上記アの記載の,特に下線部に着目すると,引用文献2には,以下の技術(以下,「引用文献2記載技術」という。)が記載されていると認められる。

「送信エラーが発生した場合であっても,所定の通信周期において受信すべきデータを受信できない状態が発生することを防止するとともに,特別なデータの送信をできる限り行うために,
再送制御部が,通信周期における1周期内に検出された送信エラーの検出回数または継続時間が送信停止判定閾値を超えた場合に,当該通信周期における再送処理を禁止して,再送制御部が,送信エラーとなったデータがモータECUに対して送信の開始を指示するデータである場合には,他のデータの場合よりも再送処理の禁止を判断する送信停止判定閾値を高くするようにHV-ECUを構成した技術。」

4 引用文献3の記載および記載技術

原査定の拒絶理由に引用された引用文献3には,図面とともに次の事項が記載されている。

ア 「【技術分野】
【0001】
本発明はフレーム監視装置に関し,特にCANバス上のフレームを監視するフレーム監視装置に関する。
(中略)
【発明が解決しようとする課題】
【0007】
しかし,CANバスに接続されているノードの故障や,設計段階におけるデバック時等において,CANバス上に送出されるべきでない不適切なフレームがCANバス上に送出される場合があり,このようなCANバス上のフレームを検出できることが望まれていた。
【0008】
本発明はこのような点に鑑みてなされたものであり,CANバス上に送出される不適切なフレームを検出することができるフレーム監視装置を提供することを目的とする。」

イ 「【0022】
次に,図2のハードウェア構成例によって実現されるフレーム監視装置10の機能について説明する。
図3は,フレーム監視装置の機能ブロック図である。図に示すようにフレーム監視装置10は,フレーム受信部11,受信フレーム情報記憶部12,フレーム比較・判断部13,およびフレーム情報記憶部14を有している。
(中略)
【0029】
図3の説明に戻る。フレーム比較・判断部13は,受信フレーム情報記憶部12に記憶されている情報と,フレーム情報記憶部14に記憶されている情報とを比較し,CANバス31上に送出されているフレームが未定義IDのフレームであるか,未定義DLCのフレームであるか,通信周期異常のフレームであるか判断する。例えば,受信フレーム情報記憶部12に記憶されているID(受信されたフレームのID)が,フレーム情報記憶部14のIDの欄に記憶されていなければ,フレーム比較・判断部13は,未定義IDのフレームがCANバス31上に送出されていると判断する。受信されたフレームのDLCが,フレーム情報記憶部14のDLCの欄に記憶されていなければ,フレーム比較・判断部13は,未定義DLCのフレームがCANバス31上に送出されていると判断する。受信されたフレームの受信周期が,フレーム情報記憶部14の通信周期の欄に記憶されていなければ,フレーム比較・判断部13は,通信周期異常のフレームがCANバス31上に送出されていると判断する。」

ウ 上記アおよびイの記載の,特に下線部に着目すると,引用文献3には,以下の技術(以下,「引用文献3記載技術」という。)が記載されていると認められる。
「CANバス上のフレームを監視するフレーム監視装置に関し,
CANバス上に送出される不適切なフレームを検出することができるフレーム監視装置であって,
フレーム監視装置10は,フレーム受信部11,受信フレーム情報記憶部12,フレーム比較・判断部13,およびフレーム情報記憶部14を有しており,
フレーム比較・判断部13は,受信フレーム情報記憶部12に記憶されている情報と,フレーム情報記憶部14に記憶されている情報とを比較し,CANバス31上に送出されているフレームが未定義IDのフレームであるか,未定義DLCのフレームであるか,通信周期異常のフレームであるか判断しており,
受信フレーム情報記憶部12に記憶されているID(受信されたフレームのID)が,フレーム情報記憶部14のIDの欄に記憶されていなければ,フレーム比較・判断部13は,未定義IDのフレームがCANバス31上に送出されていると判断し,
受信されたフレームのDLCが,フレーム情報記憶部14のDLCの欄に記憶されていなければ,フレーム比較・判断部13は,未定義DLCのフレームがCANバス31上に送出されていると判断し,
受信されたフレームの受信周期が,フレーム情報記憶部14の通信周期の欄に記憶されていなければ,フレーム比較・判断部13は,通信周期異常のフレームがCANバス31上に送出されていると判断する
フレーム監視装置。」


第5 対比・判断

1 本願第1発明について

(1)対比

本願第1発明と引用発明とを対比すると,次のことが認められる。

ア 引用発明は,「ネットワーク装置に関し,なりすまし攻撃について検知および防御することを目的とし,なりすまし攻撃発生時には,同一の識別子を持つデータのデータ送出周期が設計周期より短周期となることから,ネットワーク装置においてデータの受信周期を判定し,設計周期より短い周期でデータを受信した場合に,不正な攻撃が発生していることを検知し,攻撃に対する防御動作(フェールセーフ,不正転送防止,データの破棄,状態の記録,ユーザーまたは他システムへの警告通知,等)を行うネットワーク装置であって,ネットワークシステム上のネットワーク装置はネットワークバス301に接続されており,ネットワークバス301は例えばCANバスなどであり,ネットワークバス301には,各ハードウェアの制御およびネットワークバスとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)302,およびネットワークバス間を接続してそれぞれのネットワークバスとデータの送受信を行うゲートウェイ(以下GW)303が接続されており,GW303やECU302など,ネットワークバスで接続される装置のことをネットワーク装置と総称して」いる。

ここで,引用発明の「ゲートウェイ(以下GW)」は,「ECU(Electronic Control Unit:電子制御ユニット)」に,「CANバス」を介して接続される「ネットワーク装置」であるといえ,引用発明の「ECU(Electronic Control Unit:電子制御ユニット)」は,本願第1発明の「電子制御ユニット」に相当し,引用発明の「ネットワーク装置と総称」される「GW」と本願第1発明の「セキュリティ装置」とは「装置」である点で共通しているから,引用発明も,本願第1発明同様,「1つ又は複数のバスを介して」「複数の電子制御ユニットと接続される」「装置」であるといえる。

また,引用発明において,「ネットワークバス302で用いられる通信プロトコルであるCANの通信プロトコルにおけるフレームのデータ構造」を用いていることから,引用発明も,本願第1発明同様,「電子制御ユニットと」の間で「CAN(Controller Area Network)プロトコルに従ってフレームの授受を行」っているといえる。

さらに,引用発明の「ゲートウェイ(以下GW)」は,「データの受信周期を判定し,設計周期より短い周期でデータを受信した場合に,不正な攻撃が発生していることを検知し,攻撃に対する防御動作(フェールセーフ,不正転送防止,データの破棄,状態の記録,ユーザーまたは他システムへの警告通知,等)を行」っており,一般に,不正な攻撃が発生していることを検知したり,攻撃に対する防御動作を行う装置を「セキュリティ装置」と呼ぶことから,引用発明の「ゲートウェイ(以下GW)」も,本願第1発明同様,「セキュリティ装置」であるといえる。

したがって,本願第1発明と引用発明とは,「1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続されるセキュリティ装置であ」る点で共通しているといえる。

イ 引用発明の「ネットワークバス302で用いられる通信プロトコルであるCANの通信プロトコルにおけるフレームのデータ構造において,識別子(ID)は,フレームで送信するデータのID(以下,データID)を示しており,データ長コードは,データ・フィールドのデータ長(バイト数)を表して」いるとされる。

ここで,引用発明の,「フレームのデータ構造に」おいて「データのID(以下,データID)を示」す「識別子(ID)」,「フレームのデータ構造に」おける「データ長コード」,「データ・フィールド」は,それぞれ,本願第1発明の「IDを格納するIDフィールド」,「DLC(Data Length Code)」,「データフィールド」に相当する。

したがって,本願第1発明と引用発明とは,「前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであ」る点で共通しているといえる。

ウ 引用発明の「GW303の内部構成では,」「複数のネットワークバス301に対してデータの送受信を行う通信I/F402」「を備えており,」「通信I/F402は,自ネットワーク装置が接続されているネットワークバス301で送信される信号を監視し,指定されたデータIDを有するデータ・フレームが,ネットワークバス301上で送信された場合に,このデータIDを持つデータ・フレームを受信して,データを受信したことをこのデータ・フレームのデータと共にプロセッサ401に通知する,といったデータ受信処理を行って」いるとされている。

ここで,引用発明の「通信I/F402」は,「データ・フレームが,ネットワークバス301上で送信された場合に,このデータIDを持つデータ・フレームを受信して」いるから,引用発明の「通信I/F402」は,本願第1発明の「1つの前記バスからフレームを受信する受信部」に相当するといえる。

したがって,本願第1発明と引用発明とは,「1つの前記バスからフレームを受信する受信部」「を備え」ている点で共通しているといえる。

エ 引用発明の「GW303が有するフィルタテーブル504には,受信するデータ・フレームのデータID802と,各データIDごとのデータ送出周期803(以下,所定周期)が格納されており,制御部501は,受信したデータの周期判定処理を行っており,受信データのデータIDがフィルタテーブル504に存在している場合に,受信時刻と,受信時刻テーブル505に記憶しておいた同一データIDの前回受信時刻を比較して,受信データのデータIDが示すデータ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行い,この周期判定の結果が異常と判定された場合,短周期検出時処理を行っており,この短周期検出時処理では,更に次の同一データIDのデータ・フレームを,一定時間内に受信するか否かを判定し,短周期を検出したデータIDのデータ・フレームの受信が通知された場合,周期異常検出時処理を実行し,」「周期異常検出時処理としては,周期が異常であったという情報を基に,異常検出時処理を実施し,異常検出時処理の例としては,(1)受信したデータを処理せずに破棄,(2)異常が発生したことを検出した異常の種類(ID異常,周期異常)と異常発生回数(累積値)と共に異常ログ情報へ記録,(3)異常を通知するための異常通知処理の実施,などの処理を行う」とされている。

ここで,引用発明の「GW303が有するフィルタテーブル504」に「格納された」「各データIDごとのデータ送出周期」に基づいて,「GW303」の「制御部501は,受信したデータの周期判定処理を行って」おり,引用発明の「受信したデータの周期判定」,「各データIDごとのデータ送出周期」,「フィルタテーブル504」は,それぞれ,本願第1発明の「フレームについての検査内容」,「データフィールドに格納されたデータの値の検査に係るデータ検査パラメータ」,「保持部」に対応するといえる。

したがって,本願第1発明と引用発明とは,「フレームについての検査内容として,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを保持する保持部」を「備え」ている点で共通しているといえる。

オ 引用発明の「GW303」の「制御部501は,受信したデータの周期判定処理を行っており,受信データのデータIDがフィルタテーブル504に存在している場合に,受信時刻と,受信時刻テーブル505に記憶しておいた同一データIDの前回受信時刻を比較して,受信データのデータIDが示すデータ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行」っている。

ここで,引用発明の「GW303」の「制御部501」は,「受信データ」と「同一データIDの前回受信」した「データ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行」っており,引用発明の「GW303」の「制御部501」,「同一データID」の「データ・フレーム」,「周期判定」は,それぞれ,本願第1発明の「チェック部」,「IDが同値の2つのフレーム」,「送信周期について判定」に対応するから,引用発明の「GW303」の「制御部501」は,本願第1発明の「チェック部」と同様に,「前記受信部により受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行」っているといえる。

したがって,本願第1発明と引用発明とは,「前記受信部により受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行うチェック部」を「備え」ている点で共通しているといえる。

カ 引用発明の「GW303が有するフィルタテーブル504には,受信するデータ・フレームのデータID802と,各データIDごとのデータ送出周期803(以下,所定周期)が格納されており,」「制御部501は,受信したデータの周期判定処理を行っており,受信データのデータIDがフィルタテーブル504に存在している場合に,受信時刻と,受信時刻テーブル505に記憶しておいた同一データIDの前回受信時刻を比較して,受信データのデータIDが示すデータ・フレームの受信周期を計算し,計算した結果の受信周期を,フィルタテーブル504の周期と比較する周期判定を行い,この周期判定の結果が異常と判定された場合,短周期検出時処理を行っており,この短周期検出時処理では,更に次の同一データIDのデータ・フレームを,一定時間内に受信するか否かを判定し,短周期を検出したデータIDのデータ・フレームの受信が通知された場合,周期異常検出時処理を実行し,」「周期異常検出時処理としては,周期が異常であったという情報を基に,異常検出時処理を実施し,異常検出時処理の例としては,(1)受信したデータを処理せずに破棄,(2)異常が発生したことを検出した異常の種類(ID異常,周期異常)と異常発生回数(累積値)と共に異常ログ情報へ記録,(3)異常を通知するための異常通知処理の実施,などの処理を行」っている。

ここで,引用発明の「短周期検出時処理」では,「更に次の同一データIDのデータ・フレームを,一定時間内に受信するか否かを判定し,短周期を検出したデータIDのデータ・フレームの受信が通知された場合,周期異常検出時処理を実行し」ており,「一定時間内に受信するか否か」の「判定」は,「フィルタテーブル504に」「格納され」た「各データIDごとのデータ送出周期803」に基づいて行うものであるから,引用発明の「GW303」の「制御部501」は,本願第1発明の「検査部」と同様に,「前記保持部が保持する前記データ検査パラメータに基づいて,前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行」っているといえる。

したがって,本願第1発明と引用発明とは,「前記保持部が保持する前記データ検査パラメータに基づいて,前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査部とを備え」ている点で共通しているといえる。

(2)一致点・相違点

本願第1発明と,引用発明とは,以下アの点で一致し,以下イの点で相違する。

ア 一致点

「1つ又は複数のバスを介してCAN(Controller Area Network)プロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続されるセキュリティ装置であって,
前記フレームは,IDを格納するIDフィールド,DLC(Data Length Code)及びデータフィールドを含むデータフレームであり,
1つの前記バスからフレームを受信する受信部と,
フレームについての検査内容として,前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを保持する保持部と,
前記受信部により受信されたフレームに関し,前記IDが同値の2つのフレームが送信される時間間隔である送信周期について判定を行うチェック部と,
前記保持部が保持する前記データ検査パラメータに基づいて,前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査部とを備えた
セキュリティ装置。」

イ 相違点


本願第1発明では,「前記チェック部において,前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記データ検査パラメータを更新する更新部」を備え,「前記更新部は,前記受信部により受信された第1フレームに関連し,前記チェック部において前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新し,」「前記検査部は,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う」のに対して,引用発明では,「前記チェック部において,前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記データ検査パラメータを更新する更新部」を備えておらず,「前記更新部は,前記受信部により受信された第1フレームに関連し,前記チェック部において前記IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新し」ておらず,「前記検査部は,更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行」っていない点。

(3)相違点についての判断

引用文献2および3には,いずれも,データフレームの「IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れる場合に,前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記データ検査パラメータを更新する」処理や,「IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れると判定された場合に,前記データ検査パラメータを第1検査パラメータに更新」する処理,および,「更新された前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う」処理について,いずれも,記載も示唆もされていない。

本願第1発明の上記相違点に係る構成より,「送信周期を乱すように作用する攻撃フレームが送信された場合等において,送信周期が異常であることに基づいて検査パラメータを攻撃フレームの検知に有用となるように更新することで,適切に攻撃フレームを検知でき」(本願明細書段落【0021】),「例えば,送信頻度の異常が検知されたことに基づいて送信周期検査パラメータでの送信周期の許容範囲を狭く変更すること等により,適切に攻撃フレームを検知できる」(本願明細書段落【0024】)という,引用文献1ないし3から,当業者といえど予測しえなかった効果を奏しているといえる。

したがって,引用発明に,引用文献2および3に記載の技術を適用しても,当業者は本願第1発明の上記相違点に係る構成を容易に想到することができない。

(4) 小括

したがって,本願第1発明は,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

2 本願第2発明ないし本願第11発明について

(1)本願第2発明

本願第2発明は,本願第1発明と同一の構成を備えるものであるから,本願第1発明と同じ理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(2)本願第3発明

本願第3発明の「更新部」が更新している対象は,本願第1発明では「データ検査パラメータ」であるところ,本願第3発明では,「送信周期検査パラメータ」に限定したものとなっており,本願第1発明における「更新部」に関する上記相違点と同様の構成を備えているといえるから,本願第1発明と同様の理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(3)本願第4発明およびし本願第5発明

本願第4発明および本願第5発明は,本願第3発明と同一の構成を備えるものであるから,本願第3発明と同じ理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(4)本願第6発明および本願第7発明

そして,本願第6発明および本願第7発明は,本願第1発明または本願第3発明と同一の構成を備えるものであるから,本願第1発明または本願第3発明と同じ理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(5)本願第8発明

本願第8発明は,本願第1発明の,発明のカテゴリを,単に,「セキュリティ装置」から「攻撃検知方法」へと変更したものであり,同様の構成を備えているから,本願第1発明と同様の理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(6)本願第9発明

本願第9発明は,本願第3発明の,発明のカテゴリを,単に,「セキュリティ装置」から「攻撃検知方法」へと変更したものであり,同様の構成を備えているから,本願第3発明と同様の理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(7)本願第10発明

本願第10発明は,本願第1発明の,発明のカテゴリを,単に,「セキュリティ装置」から「セキュリティ装置に所定処理を実行させるためのプログラム」へと変更したものであり,同様の構成を備えているから,本願第1発明と同様の理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

(8)本願第11発明

本願第10発明は,本願第3発明の,発明のカテゴリを,単に,「セキュリティ装置」から「セキュリティ装置に所定処理を実行させるためのプログラム」へと変更したものであり,同様の構成を備えているから,本願第3発明と同様の理由により,引用発明,引用文献2および3に記載の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

第6 原査定について

審判請求時の補正により,本願第1発明ないし本願第11発明は,「検査部」が,「前記第1検査パラメータに基づいて,前記第1フレームが攻撃フレームか否かの判定に係る前記検査を行う」際に,「前記第1検査パラメータ」が「更新された」ものであることが限定されたものとなっており,当業者であっても,拒絶査定において引用された引用文献1ないし引用文献3に基づいて,容易に発明できたものとはいえない。したがって,原査定の理由を維持することはできない。

第7 むすび

以上のとおり,原査定の理由によっては,本願を拒絶することはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。

 
審決日 2021-07-20 
出願番号 特願2017-18917(P2017-18917)
審決分類 P 1 8・ 121- WY (H04L)
最終処分 成立  
前審関与審査官 野元 久道  
特許庁審判長 稲葉 和生
特許庁審判官 富澤 哲生
野崎 大進
発明の名称 セキュリティ装置、攻撃検知方法及びプログラム  
代理人 新居 広守  
代理人 道坂 伸一  
代理人 寺谷 英作  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ