Comments
Description
Transcript
意見招請を実施する案件 【意見招請番号:3】 案件名 標的型メール訓練
意見招請を実施する案件 【意見招請番号:3】 案件名 標的型メール訓練サービス 直近の調達内容 契約件名 標的型メール訓練サービス 調達方式 一般競争入札(最低価格落札方式) 入札公告日 平成 26 年 12 月 18 日(木) 競争参加資格 本件の一般競争入札に参加できる者は、以下の条件を全て満たしている者とする。 (1) 予算決算及び会計令(昭和 22 年4月 30 日勅令第 165 号)第 70 条の規定に該当し ない者であること。なお、未成年者、被保佐人、被補助人であって、契約締結のた めに必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (2) 予算決算及び会計令第 71 条の規定に該当しない者であること。 (3) 本機構理事長から取引停止を受けている期間中でないこと。 (4) 「暴力団員による不当な行為の防止等に関する法律」 (平成3年法律第 77 号)に 規定するところの暴力団員及びその構成員、準構成員又はその関係者でないこと。 (5) 平成 25・26・27 年度文部科学省競争参加資格(全省庁統一資格)において、 「役 務の提供等」の、 「関東・甲信越地域」の競争参加資格を有する者であること。 (6) 経済産業省が作成した「平成 26 年度情報セキュリティ監査企業台帳」に記載があ ること。 (7) 情報セキュリティ監査サービスの外部監査を提供して、10 年以上が経過している こと。 (8) 600 名以上を対象とした、大規模な標的型メール訓練のプロジェクト実績を 3 件以 上有していること。 (9) ウィルス及びマルウェア解析の業務実績を有すること。 (10) ISMS(Information Security Management System)の認証を受けていること。 (11) 以下の認証資格のいずれかを有する者を3名以上含む、統括責任者、実施責任者、 実施者からなる、実施体制を編成することができること ・公認情報システム監査人(CISA) ・公認情報セキュリティマネージャ(CISM) ・公認情報システムセキュリティ専門家(CISSP) ・情報セキュリティスペシャリスト (12) 情報セキュリティ対策などに関する役務提供を専門とする組織を有しているこ と。 (13) 受託者が独自に開発したメール訓練システムを有すること。 事前提出書類 (1) 資格審査結果通知書(全省庁統一資格)の写 1 部 及び提出期限 (2) 競争参加資格(6)を証明する「平成 26 年度情報セキュリティ監査企業台帳」の該 当部分の写し 1部 (3) 実績証明書(本機構所定様式) 1部 競争参加資格(7)、(8)及び(9)を満たしていることの証明として作成し、そ の裏づけとなる契約書・仕様書等の写しを添付すること。なお、保管期間を経過し た等の理由により、裏づけとなる書類が調えられない場合は、確約書(本機構所定 様式)を作成の上実績証明書に添付すること。 (4) 競争参加資格(10)を満たしていることの証明として、ISMS(Information Security Management System)認定証の写 1部 (5) 競争参加資格(11)を満たしていることが分かる資格証明書の写し 3 名分以上各1部 (6) 競争参加資格(11)、(12)及び(13)を満たしていることを証明する、 「競争参加資格 を満たしていることの証明書」 (本機構所定様式) 1部 平成 27 年1月 21 日(水) 入札・開札日 平成 27 年1月 26 日(月) 業務履行期間 平成 27 年2月2日(月) ~ 平成 27 年3月 31 日(火) 標的型メール訓練サービス実施一式 調達仕様書 平成 26 年 12 月 独立行政法人日本学生支援機構 Ⅰ.総則 1.概要及び目的 独立行政法人日本学生支援機構(以下「機構」という。)においては、情報セキュリティの安定 的維持を目的とし、ファイアウォールやウィルス対策ソフトの導入や脆弱性診断など継続的に対策 を講じている。 しかし、近年被害が頻発している標的型メール攻撃については、ユーザが意図しないうちにウィ ルスを実行してしまうなど、ファイアウォールやウィルス対策ソフトでも対応しきれないケースが ある。この標的型メール攻撃に最も有効な対策はユーザが高いセキュリティ意識を持ち、業務の中 で不審なメールや送付された発信元不明の添付ファイルは開かないなどの対策を取ることである。 このため、今回機構役職員を対象にした標的型メール攻撃に特化した訓練を行い、個々のセキュ リティ意識を高めることを目的とし、本調達を実施するものである。 2.調達範囲 本調達の範囲は、以下のとおりとする。 (1)訓練メールの送信(計2回) (2) 訓練メールの結果報告書作成等 一式 一式 (3) 上記(1)・(2)の業務に付随する作業 一式 3.実施期間 平成 27 年 2 月 2 日 ~ 平成 27 年 3 月 31 日 4.提出物 (1) 提出期限 平成 27 年 3 月 31 日(火) (2) 提出物 結果報告書 一式 (3) 提出場所(結果報告書) 機構市谷事務所 ※詳細については、機構担当者が別途指示する。 1 Ⅱ.詳細 本調達に伴う役務については、下記のとおり実施すること。 1. 訓練メールの送信(計2回)一式 以下の各要件を満たすこと。 (1)メール送信 機構役職員(約 600 名を予定)に対して、メールサーバ等への負荷を考慮しながら 3 時間以内に 訓練メールを送信することが可能なこと。また、同一アドレスに対し機構が指示する日に併せて 2 回送信すること。 (2)教育コンテンツの提供 訓練メールを開いた者に対しては、セキュリティ意識の向上を目的としたコンテンツを表示す るなど、Web 上の教育コンテンツを提供すること。また、教育コンテンツについては、予め受託 者側で用意し、機構の指示に基づき適当なカスタマイズを行うこと。 (3)訓練方式 訓練方式は添付ファイルを開いた時にウィルス感染することを前提とした訓練とすること。 (4)情報収集 機構が提供したデータを元に、添付ファイルを開封したユーザが特定でき、またそれを部署別 に集計することが可能な形式でデータを収集できること。 (5)メールのカスタマイズ 訓練メールの標題・本文・添付ファイルおよび発信元について、カスタマイズが可能なこと。 (6)送信時期 訓練メールの送信時期は契約締結後役務期限の間に 2 回送信が可能なこと。 (7)アンケート 受託者は訓練メールの添付ファイルを開封したユーザを対象にアンケートを実施すること。 (10 問程度の設問と選択式の回答を想定)アンケートは受託者側がアンケート用の Web サイトを 設置準備して実施するものとし、対象者へのアンケートへの回答依頼は機構側が実施するものと する。尚、アンケートは匿名で回答を依頼するものとし、回答者の特定は実施しない。 (8)その他 訓練メールの送信には機構側と事前に十分な打ち合わせを行い調整したうえで行うこと。不明 な部分等があれば事前に確認し機構の確認を取ること。また、訓練メールの送信・教育コンテン ツの表示・データ収集・アンケートの実施に必要なサーバ類については、すべて機構外部のイン ターネット上に受託者が設置準備するものとする。 2. 訓練メールの結果報告書作成及び説明会等 一式 以下の要件を満たすこと。 (1)報告書の内容については、以下の内容を記述すること。 ・訓練メールを開いたユーザ情報(各回別) ・部署別集計(提供するデータに部署情報を搭載する) ・開封率等統計情報 2 ・アンケート実施結果 ・その他(受託者側でデフォルトとして提供できる情報等) (2)報告書については、紙媒体として 2 部及び電子ファイルとして CD-ROM 等で納品すること。 (3)訓練メールの結果については、今後の統計情報等に利用できる形式(csv ファイル等)で納品 すること(上記 CD-ROM 等の媒体に含めて納品すること) (4)報告書を納品する際には、併せて市谷事務所内において口頭(会議形式)での報告を行うこと。 3. 上記 1、2 の業務に付随する作業 上記 1、2 の業務に付随する作業については、受託者側の責任において作業を行うこと。 また、作業については訓練ではあるが、実際の標的型メール攻撃に擬したものであるため、機構側 に十分な配慮をもって行うこと。 4. 受託者の実施体制及び個人情報保護体制の整備 (1)経済産業省が作成した「平成 26 年度情報セキュリティ監査企業台帳」に記載があること。また 情報セキュリティ監査サービスの外部監査を提供して、10 年以上が経過していること。 (2)情報セキュリティを確保する観点から、一般財団法人日本情報経済社会推進協会または海外の 認定機関により認定された審査機関による情報セキュリティマネジメントシステム(ISMS)の認証 を受けていること。 (3)統括責任者(業務全体を統括する責任者)、実施責任者(業務完了まで継続して事業の実施を行 える者であって、業務の実施にあたっての責任者) 、実施者(実施責任者の配下に属する者であっ て、個々の業務を行う者)からなる、実施体制を整備すること。実施体制については、予め機構側 に連絡し、機構側の承認を得ること。 本業務の実施体制として、以下の認証資格のいずれかを有する者を 3 名以上含むこととし、資格証 明書の写しを提出すること。 ・公認情報システム監査人(CISA) ・公認情報セキュリティマネージャ(CISM) ・公認情報システムセキュリティ専門家(CISSP) ・情報セキュリティスペシャリスト また、本業務の開始後、適切な業務が実施できないと機構が判断した場合には、受託者は作業体制 を変更すること。なお作業体制を変更する際は、業務の遂行に影響がでないようにするとともに、 変更に要した費用については、受託者自らが負担すること。 (4)情報セキュリティ対策等に関する役務提供を専門とする組織を有していること。 (5)ウィルス及びマルウェア解析の業務実績を有すること。 (6)受託者が独自に開発したメール訓練システムであること。 (7)600 名以上を対象とした、大規模な標的型メール訓練のプロジェクト実績を 3 件以上有してい ること。 (8)取扱情報が機構役職員の個人情報およびセキュリティに関する情報となるため、下記のセキュ リティ対策を講じること。 3 ・受託者が実際に作業を行う執務室では個人毎の主体認証(IC カード等)を伴う入退室管理が行 われていること。 ・取り扱う電子情報について、機構に提示した実施体制のメンバー以外がアクセスできないよう に適切なアクセス制限が実施されていること。 ・機構が提供する電子情報(CD-ROM 等の媒体で提供する)については、厳重に管理しデータ の複写などは最低限に抑えること。また役務終了後、速やかに媒体の返却及び複写したデータの 物理削除を行うこと。 Ⅲ.付帯事項 1.守秘義務 受託者は、本調達の作業等の実施により知りえた情報(個人情報を含む)を、契約履行期間中か 否かに関わらず、機構の承諾なしに無断で第三者に提供・開示又は漏洩してはならない。但し、既 に公開されている情報及び公知となった情報についてはこの限りではない。 2.本業務に係る検査職員、監督職員 ①検査職員 情報部 情報管理課 課長 ②監督職員 情報部 情報管理課 計画係長 以上 4