...

振る舞い検知型ウィルス対策ソフト購入仕様書

by user

on
Category: Documents
40

views

Report

Comments

Transcript

振る舞い検知型ウィルス対策ソフト購入仕様書
振る舞い検知型ウィルス対策ソフト購入仕様書
1
目的
農 林 水 産 省 行 政 情 報 シ ス テ ム ( 以 下 「 本 省 LANシ ス テ ム 」 と い う 。) に つ
いては、情報セキュリティを一層強化するため、平成24年度に振る舞い検知
型のウイルス対策ソフトウェアを導入したところである。
本調達は、当該ソフトウェアライセンスの有効期間が平成27年7月1日で
終了するため、現行と同等以上の機能を有するソフトウェアを継続して利用
できるよう措置することを目的とする。
2
調達内容
本調達においては、現在、農林水産省が保有する株式会社FFRI製ソフトウ
ェ ア 、 FFR yarai( 以 下 「 現 行 ソ フ ト ウ ェ ア 」 と い う 。) と 同 等 以 上 の ソ フ
トウェアを導入するものとする。
なお、本調達で導入するソフトウェアライセンスの有効期間は、平成27年
7月2日から平成28年7月1日までとする。
(1)現行ソフトウェアを導入する場合
ア ライセンスの更新
以下のライセンスを納入すること。
① ライセンス名:「FFR yarai」
② 保
有
者:農林水産省
③ 数
量:5,500本
④ 有 効 期 間:平成27年7月2日から平成28年7月1日
イ 納品物
納品物は、特に定めのない限り、紙媒体1部と電子媒体2部を納品
することとし、電子媒体については、ウイルスチェックを行った上で、
ウイルスチェックに関する情報(ウイルス対策ソフト名、定義ファイ
ルのバージョン、チェック年月日等)を記載したラベルを貼付するこ
と。
(ア)ライセンス証書 1式
(イ)ライセンスファイル 1式(電子媒体1部)
(2)現行ソフトウェアと同等以上の機能を有する別のソフトウェアを導入
する場合
ア ソフトウェア導入
(ア)現行ソフトウェアと同等以上の機能を有するクライアント及びサ
ーバ に対応 し たソフ ト ウェ アを クラ イアント5,500式、サ ーバ 1式
それぞれ導入すること。
(イ)事前に作業計画書を作成の上、契約締結後5日(行政機関の休日
(行政機関の休日に関する法律(昭和63年法律第91号)第1条第1
項 各 号 に 掲 げ る 日 を い う 。 以 下 同 じ 。) を 含 ま な い 。) 以 内 に 農 林
水産 省大臣 官 房評価 改 善課 情報 室( 以下「担当 部署 」と いう 。)の
承認を得ること。
(ウ)現行ソフトウェアライセンスの契約期間満了に合わせ、ソフトウ
ェア管理用サーバ及びクライアントにインストールされている現行
ソフトウェアのアンイストール並びに導入するソフトウェアのイン
ストール及び必要な設定を行い、現行と同等の運用が可能となるよ
うにすること。
a LAN端末に関する仕様
現在、本省LANシステム上で動作するLAN端末に係る主な仕様に
ついては以下のとおり。
(a)ハードウェア
・ CPU: インテル® Core™i5-2520M プロセッサー(2.5GH
z)同等以上
・ メモリ:4GB以上
・ HDD:160GB以上
(b)ソフトウェア
・ O S:Windows 7 Professional SP1
・ ウイルス対策ソフト:Trend Micro ウイルスバスターコー
ポレートエディション
b 管理サーバ機能に関する仕様
管理サーバの機器構成等については、以下のとおり。
(a)ハードウェア
R Xeon E3-1240プロセッサー(3.3GHz)
・ CPU:インテル ○
相当
・ メモリ:4GB以上
・ 内蔵HDD:300GB、RAID1構成
・ 内蔵光学ドライブ:DVDスーパーマルチドライブ
(b)ソフトウェア
・ O S:Microsoft Windows Server 2008 standard (SP2)
(32bit)
・ ミドル:SQL Server 2008 Express
IIS
Microsoft.NET Framework 3.5 Service Pack1
MicrosoftChartControls for Microsoft.NET Fr
amework 3.5
WindowsPowerShell 1.0
・ウイルス対策ソフト:Server Protection for Windows
(エ)クライアントに対する現行ソフトウェアのアンインストール及び
イン ストー ル につい て は、 本省 LANシステ ムの 構成 管理 機能 等を 利
用して行うこととし、サイレントインストールにより実施すること。
(オ)導入に当たっては、現行ソフトウェアライセンスの契約期間満了
から導入するソフトウェアの適用開始までの空白時間を生じさせな
いものとする。
イ 納品物
納品物は、特に定めのない限り、紙媒体1部と電子媒体2部を納品
することとし、電子媒体については、ウイルスチェックを行った上で、
ウイルスチェックに関する情報(ウイルス対策ソフト名、定義ファイ
ルのバージョン、チェック年月日等)を記載したラベルを貼付するこ
と。
(ア)作業計画書
(イ)ソフトウェア及びインストールプログラム(管理サーバ、クライ
アント用)各1式(電子媒体2部を納品)
(ウ)インストールマニュアル(アンインストール手順を含む)
(エ)ライセンス証書 1式
3
問い合わせ対応
導 入し た製品 に 関する担当部署からの 問い合わせ(9:30~18:15 (行政
機 関 の 休 日 を 含 ま な い 。)) に つ い て は 、 問 い 合 わ せ 後 1 時 間 以 内 に 対 応 す
ること。
なお、それ以外については、連絡を受けられる体制を整えるとともに、緊
急時には、担当部署の求めに応じて対応すること。
4
納入期限
2の(1)及び(2)のいずれの場合であっても、平成27年7月1日(水)
までに作業を行い、それぞれに示す納品物を納入すること。
5
6
納入場所
農林水産本省大臣官房評価改善課情報室
成果物の権利帰属
この契約により作成される成果物の著作権等の取扱いは、次に定めるとこ
ろによる。
(1 )受 注者は 著 作権法(昭和45年法律第48号)第21条(複製権 )、第 26条の
3 ( 貸与権 )、第27条(翻訳 権・翻案権等) 及び第28条(二次的著作物の
利用に関する原著作者の権利)に規定する権利を、発注者に無償で譲渡す
る。
(2)発注者は、著作権法第20条(同一性保持権)第2項第3号又は第4号に
該当しない場合においても、その使用のために当該成果物を改変し、また、
任意の著作者名で任意に公表することができるものとする。
(3)受注者は発注者の書面による事前の同意を得なければ、著作権法第18条
(公表権)及び第19条(氏名表示権)を行使することができないものとす
る。
(4 ) 第 三者が 権 利を有する著作物(以下「 既存著作物」という 。)を使用し
て成果物を作成する場合は、発注者が特に使用を指示した場合を除いて、
受注者が必要な費用の負担及び使用許諾契約に係る一切の手続を行うこ
と。この場合、受注者はその手続きの内容について事前に発注者の承認を
得ることとし、発注者は既存著作物について当該許諾要件の範囲内で使用
するものとする。
なお、業務の実施に関し、第三者との間に著作権に係る権利侵害の紛争
が生じた場合は、その原因が専ら発注者の責めに帰す場合を除き、受注者
の責任及び負担において一切を処理すること。この場合、発注者は係る紛
争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛
を受注者に委ねる等の協力措置を講じるものとする。
(5)使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為
に十分配慮し、これを行わないこと。
7 情報セキュリティの確保
(1)本業務の遂行に当たっては、担当部署から「農林水産省における情報セ
キ ュ リティ の 確保に 関する規則」(平成 15年農林水 産省訓令第 11号 )等の
説明を受けるとともに、統一基準群及び別紙「情報セキュリティに係る遵
守事項」を参照し、定められている事項について遵守すること。
(2)本業務の遂行に当たっては、情報管理責任者を明確に定め、責任者の所
属、氏名等を記載した作業体制図を提出すること。なお、情報管理責任者
と個人情報取扱責任者が同一の場合には、その旨を記載すること。
(3)本業務の遂行により知り得た全ての事項については、契約期間中はもと
より、契約終了後においても外部に漏らさず、機密保持のために十分な体
制・設備により厳重に管理し、紛失や盗難等による情報漏えいを確実に防
止すること。
なお、情報の管理状況の検査に関する事項等を記載した書面を作業実施
計画書と併せて提出すること。
また、秘密保全に関することは、担当部署の指示に従うこと。
(4)本業務の遂行に当たっては、従事する全ての者と個別に退職後も有効な
守秘義務契約を締結すること。
(5)本業務において知り得た情報が紛失や盗難等による第三者への情報漏え
いの発生又はそのおそれがある場合は、担当部署に電話、口頭等による報
告を行うとともに、書面にて提出すること。
また、直ちに事実調査を行い、漏えいした情報の内容、原因、再発防止
策等について記載した書面を担当部署へ提出するとともに、事態の収拾及
び拡大防止の措置を迅速かつ適切に行うこと。
なお、受注者以外の者の作業も含め、対処に係る費用は全て受注者が負
担すること。
(6)受注者環境に本業務に必要な情報以外を保持することのないよう、不要
になった情報は適宜、担当部署に返却を行うこと。
(7)受注者は、本業務に関連した資料等(電子データ、電子データを記録し
た 記 録媒体 ・ 装置、 印刷物等の 紙媒体を含む 。)を持ち帰る必要が生じた
場合には、担当部署へ資料等の名称、使用目的、数量等を記載した書面を
提出し、事前に担当部署の承認を得ること。
また、本業務終了後、速やかに担当部署へ返却すること。
(8)受注者は、本業務に関連した資料等(電子データ、電子データを記録し
た 記 録媒体 ・ 装置、 印刷物等の 紙媒体を含む 。)を複製し、省外に持ち出
す必要が生じた場合には、担当部署へ資料等の名称、使用目的、複製方法、
数量及び使用後の廃棄方法を記載した書面を提出し、事前に担当部署の承
認を得た上で複製すること。
また、複製した資料等については、本業務終了後、速やかに復元又は判
読できない方法を用いて確実に廃棄すること。
(9)受注者は、本業務に関連して入手した資料と業務上知り得た個人情報を
含む全ての情報の取扱いに関しては、本業務に関わる再請負先を含む全て
の要員に法令、本調達仕様書に定める事項等を遵守させるとともに、その
指導及び監督を行わなければならない。
(10)使用するソフトウェアについては、既知のセキュリティホールに対する
セキュリティ対策を行うこと。
8 個人情報の扱い
(1)個人情報(生存する個人に関する情報であって、当該契約に含まれる氏
名、生年月日、その他の記述等により特定の個人を識別することができる
もの(他の情報と容易に照合することができ、それにより特定の個人を識
別 す る こ と が で き る こ と と な る も の を 含 む 。) を い う 。 以 下 同 じ 。) の 取
扱いに係る事項について、担当部署と協議の上決定し、書面にて提出する
こと。なお、以下の事項を記載すること。
ア 個人情報保護取扱責任者の所属・氏名等を記載した管理体制
イ 個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査
結果において問題があった場合の対応等)
(2)本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密
保持義務など個人情報の適正な取扱いに関する事項を明記し、担当部署の
承認を得た上で実施すること。また、作業実施前に教育を実施し、認識を
徹底させること。
(3)個人情報を複製する際には、事前に担当部署の許可を得ること。なお、
複製の実施は必要最小限とし、複製が不要となり次第、その内容が絶対に
復元できないように破棄・消去すること。
(4)受注者は、本業務を履行する上で個人情報の漏えい等安全確保の上で問
題となる事案を把握した場合には、直ちに被害の拡大防止等のため必要な
措置を講ずるとともに、担当部署に事案が発生した旨、被害状況、復旧等
の措置及び本人への対応等について直ちに報告すること。
(5)個人情報の取扱いにおいて、適正な取扱いが行われなかった場合は、本
業務の契約解除の措置を受けるものとする。
9
その他
本業務において、疑義が生じた場合は、速やかに担当部署と協議すること。
情報セキュリティに係る遵守事項
1
システムの管理
重要なシステムを追加、変更、廃棄等した場合は、その際の設定、構成等の履歴を記
録し、厳重に管理すること。
2
システムの開発・保守
システム開発・ 保守(解析を含む。)時の事故・不正行為対策のため、次の事項を必ず
定めることとする。
(1)
責任者、監督者を定めること。
(2)
作業者及び作業範囲を明確にすること。
(3)
システム開発、保守等の事故・不正行為に係るリスク分析を行うこと。
(4)
開発・保守するシステムは、可能な限り運用システムと切り離すこと。
(5)
開発・保守に際しては、可能な限りソースコードの提出をすること。
(6)
開発・保守に際しては、情報セキュリティ上問題となりうるおそれのあるソフトウ
ェアを使用しないこと。
(7)
開発・保守の際のアクセス制限を明確にすること。
(8)
機器の搬出入は、システム管理者の立ち会いを求め、その内容の確認を得ること。
(9)
開発・保守記録の提出をすること。
(10)
マニュアル等は、定められた場所に納入すること。
(11)
開発・保守を行った者のユーザID 、パスワードを当該開発・保守終了後速やかに
抹消すること。
3
システムの導入
(1)
新たにシステムを導入する場合は、原則として既に稼働しているシステムに接続す
る前に、十分な試験を行うこと。ただし、導入前に十分な試験を行うことが困難な場
合は、リスク分析を行い、システム管理者と協議の上、その結果を踏まえ対処方針を
決定すること。
(2)
試験に使用したデータ及びその結果は厳重に保管すること。
(3)
安全区域で作業を行う際は必要外の記録媒体を持ち込まないこと。
4
ソフトウェアの保守及び更新
(1)
ソフトウェア(独自開発ソフトウェア、汎用ソフトウェア)を更新又は一部修正プロ
グラムを組み込む場合は、不具合、他のシステムとの相性等の確認を行うこと。
(2)
情報セキュリティに重大な影響を及ぼす不具合に対処した修正プログラムについ
ては速やかに組み込むこと。また、更新することによって、従来に増して強固な情
報セキュリティ対策ができる場合は、早期にシステム管理者に情報を提供すること。
5
提供資料等の返還義務
業務上入手した情報のうち、発注者が指定した情報については、当該契約終了後又は
不要となった時点で直ちに発注者に返却、又は引き渡すこと。ただし、発注者が別途指
示した場合、その指示に従うこと。
(1)
発注者が指定する情報を返却又は廃棄する場合、返却・廃棄したことを証明する資
料を提出すること。
(2)
業務上作成又は入手した情報が記録された情報機器を廃棄する場合は、その内容が
絶対に復元できないようにすること。
6
他の情報システムとの接続
他の情報システムと接続する場合は、事前に十分な試験を行うこと。なお、試験を行
うことが困難な場合は、リスク分析を行い、システム管理者と対処方針を協議すること。
7
運用管理
開発・保守を行う要員の業務範囲及び責任範囲を明確にすること。
(1)
農林水産省大臣官房評価改善課情報室(以下「担当部署」という。)との連絡体制を確
立すること。
なお、開発・保守の対象時間外であっても緊急時には連絡の取れる体制とすること。
(2)
ネットワーク構成等の重要な情報は、公開しないこと。
(3)
ユーザの情報は、厳重に管理すること。
(4)
業務上知り得た情報は、外部に漏らさないこと。なお、当該業務が終了、又は解除
された後においても同様とする。
(5)
本遵守事項に基づく情報セキュリティ対策の履行状況について、発注者の求めに応
じて、報告すること。
8
業務上入手した情報の管理
受注者は、業務上入手した情報の管理に当たり、次に掲げる事項を実施すること。
(1)
業務上入手した情報は、原則として複製をしないこと。なお、業務上、複製が必要
なときは、発注者の承認を得ること。
(2)
業務上入手した情報は、原則として外部への持ち出しをしないこと。業務上、やむ
を得ず、持ち出しするときは、発注者の承認を得た上で、業務上入手した情報の持ち
出し管理簿に記録すること。
(3)
業務上入手した情報を含む印刷物及び業務上入手した情報を格納した記憶媒体は、
管理責任者及び従事者以外の者が利用できないよう、施錠管理すること。
(4)
業務上入手した情報を含む印刷物及び業務上入手した情報を格納した記憶媒体を廃
棄又は再利用するときは、発注者の指示する方法に従うこと。
(5)
業務上入手した情報を記憶媒体に格納し、保管するときは、管理責任者及び従事者
以外の者が業務上入手した情報にアクセスできないようアクセス管理を行うこと。
(6)
業務上入手した情報の保管に従事者等の私物のパソコン等の機器及び記憶媒体を用
いないこと。
(7)
業務上入手した情報をWinny、Share等のファイル交換ソフトがインストールされた
パソコン等の機器で処理しないこと。
(8)
業務上入手した情報を扱うパソコン等の機器は、ウイルス対策ソフトウェアの導入
及び最新のウイルスパターンファイルの更新を行うこと。
(9)
業務上入手した情報を扱うパソコン等の機器を構成するOS、ソフトウェア等は、必
要に応じて修正プログラムを適用すること。
9
事後対応
情報セキュリティに関する事案を把握したときは、直ちに担当部署に報告し、速やか
に被害の拡大等を防止する策を講じるとともに、原因の究明に努めること。
(1)
事案に係る関係機器のアクセス記録及び事案内容並びに経過について整理し、保存
すること。また、事案に係る再発防止の措置を検討し、速やかに対策を講じること。
(2)
当該事案の記録を書面にて提出すること。
注:
違反者への措置等
受注者は、遵守すべき事項に違反した場合、発生した事案の状況に応じて「農 林 水
産 省 に お け る 情 報 セ キ ュ リ テ ィ の 確 保 に 関 す る 規 則 (平 成 15年 6 月 26日 農 林 水
産 省 訓 令 第 11号 )」に基づき、開発・保守要員の交替等の措置を受けることがある。
Fly UP