Comments
Description
Transcript
仕様書 - 量子科学技術研究開発機構
仕様書 1.件名 被ばく関連情報管理システムのインフラ基盤環境最適化 2.数量 一式 3.目的 国立研究開発法人量子科学技術研究開発機構放射線医学総合研究所(以下「放医研」と いう。)では、昨年度までに被ばく関連情報管理システムを構築し運用を開始している。 本仕様書は、被ばく関連情報管理システムが稼働するインフラ基盤環境整備において、 現状の使用状況から最適な機器構成への見直しを行う要件を定めるものである。 4.仕様概要 1)概要 請負者は被ばく関連情報管理システムの機器構成を本仕様書に基づき見直し履行するこ と。また、本仕様書を満足するための体制などを明確にすること。 2)納入期限 平成29年2月24日(金) 3)納入場所 作業場所① 所在地:〒263-8555 千葉県千葉市稲毛区穴川4丁目9−1 名 称:量子科学技術研究開発機構 放射線医学総合研究所 5.仕様詳細 1)全体 (1)詳細仕様、実現すべき機能については、添付書類 A「被ばく関連情報管理システムの インフラ基盤環境最適化 詳細仕様書」を参照のこと。仕様については本仕様書と詳細仕 様書は相補関係にあるので、両方の仕様要件を満たすこと。 図1 既存インフラ環境全体構成図 (2)既存システム(図1参照、富士通社及びネットワンシステムズ社担当)を本仕様書 及び詳細仕様書に従って再構築するために必要な調整などは、本件契約者が既存契約者と 行うこと。なお、これにかかる費用は本調達に含めること。また、必要に応じて放医研の 担当者を同席させること。 (3)既存の他契約者との間でシステム試験調整等に費用を要する場合などを含め、本調 達に含めること。ただし、当研究所の施設内における電力料金及びやむを得ず利用する回 線使用料金についてはこの限りではない。 (4)本調達における基盤インフラ改修にかかる費用、追加で調達するハードウェア、設 置、設定、試験にかかる費用はすべて本調達に含むこと。 (5)並行して調達される「被ばく関連情報管理システムのインフラ基盤環境最適化に伴 うサービス基盤移行」との調整が必要な場合、本件契約者が既存契約者および該当案件の 請負者と調整が必要な場合、これにかかる費用は本調達に含むこと。 (6)本件にて改修予定となるシステムの、現在の構成品一覧は以下のとおりとなる。 ■放射線医学総合研究所 ネットワークサーバ室 ①サーバスイッチ ②仮想基盤 (Cisco Nexus5548UP) (Cisco UCS 5108) ③仮想化管理用 OS 及び仮想化ソフトウェア (VMware vSphere) ④仮想デスクトップ環境(VMware Horizon View) ⑤仮想基盤ストレージ ⑥WAN ルータ (EMC VNX5300) (Cisco ISR2911) ⑦管理用スイッチ (Cisco Catalyst2960S-24T) (Cisco Catalyst6504E) ⑧コアスイッチ ⑨VPN 装置(Cisco ASA5540) ⑩内部 Firewall(Cisco ASA5540) ⑪WEB セキュリティ監視装置(Cisco IronPort S170) ⑫LDAP 認証サーバ(NetAttest EPS-ST04A) ⑬VPN 用アクセス回線 ⑭仮想サーバ搭載データベース(Oracle ライセンス) ⑮バックアップストレージ (EMC Data Domain 2200) ⑯バックアップソフトウェア(NetVault Backup) ⑰ファイル転送ソフトウェア(Trend Micro SafeSync for Enterprise) ⑱無停電電源装置 ⑲その他必要な周辺機器 ■さくらインターネット石狩データセンター ①バックアップストレージ (EMC DataDomain 2200) ②データセンターハウジング及び VPN ルータ 2)調達物品 本件にて調達予定の構成品一覧は以下の通りとなる。 なお、詳細仕様、実現すべき機能については、添付書類 A を参照すること。 1.WAN ルータ 1式 ・インターネット接続用のルータを整備すること。 2.VPN 終端装置兼 Firewall 2式 ・IPSec-VPN / SSL-VPN の終端装置を整備すること。 ・冗長化構成を組むこと。 3.管理用スイッチ 1式 ・停電時にネットワーク経由でシャットダウン連携をとるため、無停電電源装置と各 機器をつなぐよう管理用スイッチを整備すること。 4.コアスイッチ 2式 ・ネットワークの中枢となるスイッチを導入すること。 ・快適な動作、可能な限りの無停止運用を担保すること。 5.サーバスイッチ 2式 ・物理サーバ及び共有ストレージを接続する為のサーバスイッチを導入すること。 6.物理サーバ 2式 ・仮想化ソフトウェアを動作させる物理サーバを導入すること。 1式 7.仮想化ソフトウェア ・サーバ仮想化システムを実現する為に、ハイパーバイザー型の仮想化ソフトウェア を導入すること。 8.共有ストレージ 1式 ・ハイパーバイザーや仮想サーバを保存するブロックアクセス領域、さらにファイル を保存するファイルアクセス領域が必要となる為、SAN と NAS を統合した共有スト レージとすること。 9.仮想デスクトップ 3 ユーザ分 ・VDI 方式の仮想デスクトップソリューションを導入すること。 ・フルクローン方式で 3 台展開すること。 ・OS は Windows 10 64bit とすること。 10.バックアップストレージ 1式 ・既存システムは、放医研側に EMC Data Domain DD620(以下 DD620)、北海道の データセンターに EMC Data Domain DD2200(以下 DD2200)を設置しており、放医 研側の DD620 のデータを北海道側の DD2200 へ遠隔レプリケーションしている。北 海道側の DD2200 は一昨年度導入した機器の為、本調達のリプレース対象外となる。 その為、北海道側の DD2200 とレプリケーションが可能な同等機種もしくは上位機種 を、本件にて放医研所内に導入すること。 11.バックアップソフトウェア 1式 ・本調達で導入する仮想サーバ(仮想デスクトップも含む)のイメージバックアップ及 び、ファイル領域のバックアップを行うこと。 12.ファイル転送ソフトウェア 190 ユーザ分 ・放医研内部および外部の研究者との情報交換を促進する為、ユーザ PC のローカル フォルダをサーバにアップロード(同期)可能なシステムを仮想基盤上に構築すること。 13.LDAP 認証サーバ 2式 ・フォローアップシステムを利用するシステム管理者、対象者(復旧作業員等) 、研 究者、行政担当者等の認証およびアカウント管理を実現すること。 14.無停電電源装置 1 式 ・本調達の導入機器が、停電時に安全にシャットダウンできるよう無停電電源装置 (UPS)を導入すること。 15.仮想サーバ搭載データベース(Oracle ライセンス) 4 式 仮想サーバ上にデータベースライセンスを整備すること。 16.サーバ証明書 2式 必要なサーバ証明書を調達すること。 17.ウイルス対策ソフト 仮想サーバのウイルス対策ソフトを導入すること。 18.ワンタイムパスワードトークン(VASCO 社製) 30 式(内訳:ハードウェアトー クン 20 式、ソフトウェアトークン 10 式) 19.ソフトウェア ・以下のライセンスを調達すること。 Microsoft Windows Server 2016 Datacenter license(Goverment ライセンス)2 式 Microsoft Windows Server CAL 日本語版 ユーザ CAL ライセンス&ソフトウェア アシュアランスパッケージ【Open Business License】50 式 ・OS のインストール作業は本調達にて実施すること。 20.その他必要な周辺機器 上記の機器を構成する際に必要な部材、ケーブル類はすべて本調達に含むこと。 21.全体要件 ・ラック搭載に必要な入出力装置などの機材、部材、作業費用、及び付帯設備工事が 必要な場合は本調達の費用に含めること。 3)設置作業 (1)ハードウェアについては、納品した場所にて梱包作業を行い、放医研が指定する場 所に機器の搬送を行うこと。搬送後は、開梱作業を行い放医研が指定する 19 インチラック に対し、本件契約者がラックマウント作業を行うこと。さらにネットワーク構成の観点か ら既存の 19 インチラックや機器等の配置替えや 19 インチラック間での機器の移設、ネッ トワークの変更等の必要性が生じた際は、これに応じ作業を実施すること。 (2)設置調整および導入体制 ①ネットワーク接続を始め、調達機器への基本ソフトウェアの導入を実施すること。ま た、機器のハードウェア機能に起因する独自機能や固有機能に関連して、ファームウ ェアや基本ソフトェアの事前および事後の調整が必要な場合は実施する前に、放医研 担当者と協議の上、作業内容を決定し実施すること。 ②本作業に必要となるデータの移行を実施すること。作業にかかる費用は本調達に含め ること。また本件契約者は、導入にあたって既存システムの契約者(富士通社及びネ ットワンシステムズ社担当)と連絡体制を有し、応札時に導入体制を開示すること。 体制構築にかかる費用は本調達に含めること。 ③既存システム基盤上には、放医研及び関連団体が使用しているシステム(富士通株式 会社担当)が構築されている。システムにログインする際の認証に、ソリトンシステ ムズ社の NetAttest EPS(LDAP 認証サーバ)及び VASCO 社のハードウェアトーク ン・ソフトウェアトークンを使用しており、システムリプレース後も継続利用が必要 なものと、本件にてリプレースが必要なものがある。 ・ソリトンシステムズ社の NetAttest EPS(LDAP 認証サーバ) ⇒本調達のリプレース対象 ・VASCO 社のハードウェアトークン・ソフトウェアトークン(放医研にて利用) ⇒継続利用(数量は5.2)18 を参照) ・VASCO 社のハードウェアトークン(関連団体にて利用) ⇒継続利用(ハードウェアトークン 450 個) 上記のうち、リプレース対象となる NetAttest EPS(LDAP 認証サーバ)を調達し、 設定及びデータの移行作業を本調達に含めること。継続利用を予定している VASCO 社 のハードウェアトークン・ソフトウェアトークンについて保守移管が必要な場合は、 既存業者から保守契約の移管が可能か確認し、可能な場合は保守契約移管を実施する こと。保守契約の移管が不可である場合は、上記の個数を本調達にて新規に調達し、 構築すること。 またユーザ側の混乱を防ぐため、本件で導入するワンタイムパスワード及び LDAP 認 証サーバは既存システムと同メーカーの製品にて構成すること。 ④本件にてインフラシステムを更改する際、これまで使用していた認証方法の変更を含 む。認証方法の変更にかかる作業も本件にて実施し、それにかかる費用は本調達に含 めること。 ⑤既存システムのディザスタリカバリ対策として、北海道のデータセンターにて放医研 内のバックアップストレージから遠隔バックアップを行っている。データセンター側 の機器、ハウジングサービス及び接続回線については、本調達のリプレース対象外と なるため既存環境を継続利用する予定である。 この遠隔バックアップにて必要となる既存機器の保守、データセンターのハウジング サービスおよび通信回線契約について契約移管が必要となる場合は、既存業者から契 約の移行が可能かも確認し、可能な場合は契約を移行すること。契約の移行が不可で ある場合はデータセンターのハウジングサービス及び通信回線を新規に調達し、構築 すること。 ⑥納入機器の搬入、開梱、設置、廃材引取を本調達に含むこと。また、据付に必要な部 材、ケーブル類もすべて本調達に含むこと。 4)ハードウェアの保証について (1)導入後1年間保証すること。 (2)障害発生時の保守受付は24時間365日メール及び電話での受付が可能であるこ と。 (3)年末年始休暇(12/29~1/3)を除く、平日9時から17時30分の間で、納品したシ ステムの障害発生時における障害発生原因調査及びバグ修正作業を行うこと。なお、オン サイトでのハードウェア交換などの作業が必要な場合には、現地に作業員を派遣すること。 また、障害内容などについては放医研の担当者に報告・確認をすること。 (4)リモートメンテナンスを行う場合には、放医研の運用手順書に準じ、放医研の担当 者と打ち合わせの上、回線を接続すること。 (5)障害や災害の発生に備えて、障害発生から復旧までデータの損失が発生しないよう、 関連業者との連携を図ること。 (6)障害時の切り分け作業や導入前の事前検証の為、本件にて導入した製品と同等機器 の検証環境を有していること。 (7)障害時の切り分け作業の為、納品したハードウェア、ソフトウェアの設計・設定を 担当したエンジニアが設定内容に対する質疑応答に対応し、障害切り分けの支援を行うこ と。応札時に体制図を提出すること。 5)守秘義務 本契約の履行にあたって知り得た関連システム内のすべてのデータ並びに放医研ネット ワークシステムに関する情報を許可なく外部に漏らしてはならない。 6)事業者資格 (1)本システムでは個人情報など機密性の高い情報を扱うため、セキュリティなどに十 分配慮する必要がある。このため、本件を担当する部署もしくは法人は、以下の資格及び 認証を全て取得していること。 ・ISO/IEC14001(EMS) ・ISO/IEC 27001(ISMS) ・プライバシーマーク 入札の際、上記資格を証明できるものを提出すること。 (2)本調達には5.3)に記載の通り既存システムからのデータ移行作業の実施も含む ため、本件契約者は既設システムである、Cisco Systems 社の UCS B シリーズ、VMWare 社の vSphere、EMC 社の VNX5300・Data Domain DD2200 の正規販売代理店資格及び構 築経験を有し、本件契約者内部でこれらの機器仕様を十分理解したエンジニアが導入にあ たること。入札の際、これらを証明できるものを提出すること。 6.成果物 1)システム関連 ①基本設計書 ②詳細設計書 ③操作説明書 ④システム運用・保守マニュアル 2)その他納入成果物 ①実施計画書 ②納入物品一覧表 ③動作確認試験成績書 ④復旧手順書 ⑤障害発生時の関連業者との連携体制図 3)納入媒体、数量 文書類の納入物については、以下の媒体、数量を納入すること。なお、媒体の詳細につい ては、実施計画書作成時に確定する。 ・紙媒体 正1式(計1式) ・CD 媒体 正1式、副2式(計3式) 納入したドキュメント類に修正等があった場合には、紙については更新履歴と修正ページ、 CD 媒体については、修正後の全編を速やかに提出すること。 納入する CD 媒体に格納す るファイル形式は一般的な文書管理ソフト等を用いて放医研で読み取り可能であること。 ・納入場所は、量子科学技術研究開発機構 放射線医学総合研究所 重粒子治療推進棟 2F 医療情報室とする。 7. 検査 作業完了後、放医研職員立ち会いのもとに所定の検査を行い、これに合格したことを以て 検査合格とする。 ①セットアップ完了後本調達の要件を満たしていることを確認するための動作確認試験が 完了していること。 ②本システムをインフラ基盤にインストール設定した後のインフラ基盤において、正常稼 働要件を満たしていることが確認できていること。 ③システム環境のバックアップデータの取得は、動作確認試験の完了後、最新のシステム 環境のバックアップデータが取得されていること。 8. 著作権 本システムのために制作した成果物については、受注者の著作権を侵害しないことを条件 に、取扱説明書および詳細設計書を納入すること。納入資料の詳細は放医研担当者と調整 の上決定すること。 また、放医研が別に作成した範囲の本システムに関する著作権は、放 医研にあること。 9. その他 納入完了後 1 年以内に生じた不具合に対しては、無償で速やかに修理対応を行うものとす る。 部課名 放射線医学総合研究所 臨床研究クラスタ病院 使用者 奥田 保男 医療情報室 技術審査基準 本資料は、機構が調達する「被ばく関連情報管理システムのインフラ基盤環境最適化」につ いて、仕様書に記載する性能、機能及び技術等の要求要件の審査に関する基準を示したもので ある。 1.技術審査の目的 入札参加者が提出した技術審査資料について、仕様書の技術的要件を満たしているか否かの 判定を行う。 2.技術審査委員会 (1)技術審査は、技術審査委員会を組織して行う。 (2)技術審査委員会は、研究所の職員4名で構成する。 (3)技術審査項目の評価は、技術審査委員会の判定により行う。 (4)技術審査委員会は非公開で行う。 3.技術審査項目 (1)プログラム開発、システム導入作業に関する品質管理体制を元に、本調達内容を実現するた めの品質管理体制が整備されているかの審査 (2)プログラム開発に関する品質管理基準を元に、本調達を実現するために十分な品質管理基 準を有しているかの審査 (3)本調達に対して予定している開発体制を元に、本調達を実現するために十分な開発体制を 有しているかの審査 (4)組織としてのセキュリティ管理体制を元に、本調達を遂行するにあたり十分なセキュリティ管理 体制が整備されているかの審査 (5)導入予定スケジュールを元に、本調達が滞りなく実現可能であるかに関する審査 (6) 障害時の支援体制を元に、本調達を遂行するにあたり十分な障害時の支援体制が整備され ているかの審査 (7) 仕様書 5.6)に示す事業者資格の証明を元に、本調達を遂行するにあたり十分な事業者資 格を有しているかの審査 4.技術審査の手順 (1)技術審査項目を満足しているか否かを審査する。 (2)入札参加者に対し、技術審査資料に関し補足説明を求める場合がある。 (3)入札参加者に対し、技術審査資料に関し追加資料を求める場合がある。 (4)技術審査項目を全て満足している場合は合格とし、満足していない項目が一つでもある場合 は不合格の判定を行う。 技術審査に必要な提出書類 技術審査のために、以下の資料を5部ずつ提出すること。 1.プログラム開発、システム導入作業に関する品質管理体制 2.プログラム開発に関する品質管理基準 3.本調達に対して予定している開発体制 4.組織としてのセキュリティ管理体制 5.導入予定スケジュール 6.障害時の支援体制 7.仕様書 5.6)に示す事業者資格を証明できるもの 上記技術審査のために提出された資料は、以下の基準で審査を行う。 1) プログラム開発、システム導入作業に関する品質管理体制を元に、本調達内容を実現する ための品質管理体制が整備されているかを観点に技術審査を行う。整備されていると判断される 場合には適合と審査する。 2) プログラム開発に関する品質管理基準を元に、本調達を実現するために十分な品質管理基 準と判断される場合には適合と審査する。 3) 本調達に対して予定している開発体制を元に、本調達を実現するために十分な開発体制と 判断される場合には適合と審査する。 4) 組織としてのセキュリティ管理体制を元に、本調達を遂行するにあたり十分なセキュリティ管 理体制が整備されている、と判断される場合には適合と審査する。 5) 導入予定スケジュールを元に、本調達が滞りなく実現可能であるかを観点に審査を行い、問 題ないと判断される場合には適合とする。 6)障害時の支援体制を元に、本調達を遂行するにあたり十分な障害時の支援体制が整備され ている、と判断される場合には適合と審査する。 7)仕様書 5.6)に示す事業者資格の証明を元に、本調達を遂行するにあたり十分な事業者資 格を有している、と判断される場合には適合と審査する。 以上 実績要件・資格要件の要求理由書 1.件名 被ばく関連情報管理システムのインフラ基盤環境最適化 2.実績要件・資格要件を求める合理的理由 本システムでは個人情報等機密性の高い情報を扱うため、セキュリティ等に十分配 慮した品質に高い開発を行う必要がある。当該能力を有している客観的な判断指標 として、また、システム開発分野において、総合的な情報セキュリティの確保及び 継続的な品質の維持・確保の指標として一般的な標準になりつつある以下の資格及 び認証を要求することで情報セキュリティの確保及び、品質の維持の確保を担保し たい。 【必要資格及び認証】 ・ISO/IEC14001(EMS) ・ISO/IEC 27001(ISMS) ・プライバシーマーク また、本調達には既存システムから被ばく関連情報など貴重なのデータ移行作業の 実施も含むため、作業中のデータ損失なく慎重かつ確実に作業を行う必要があり、 構築に関する十分な経験は必須である。さらに、インフラ基盤の調達時あるいは障 害時の対応においても、これらを構成する製品の正規代理店資格を有していない場 合は、直接かつ迅速に正規の製品情報や構成部品等を得ることは非常に困難である。 そのため、本件契約者は既設システムである、Cisco Systems 社の UCS B シリーズ、 VMWare 社の vSphere、EMC 社の VNX5300・Data Domain DD2200 の正規販売 代理店資格及び構築経験を有し、本件契約者内部でこれらの機器仕様を十分理解し たエンジニアを有することを要求する。 部課名 放射線医学総合研究所 臨床研究クラスタ病院 使用者 奥田 保男 医療情報室 添付書類A「被ばく関連情報管理システムのインフラ基盤環境最適化 詳細仕様書」 項番 項⽬ 機能 全体 インターネット接続⽤のルータを整備すること。 1.WANルータ 1-1 WAN回線⽤に10/100/1000Base-Tのインタフェースを1つ以上有すること。 1-2 1-3 インタフェース LAN回線⽤に10/100/1000Base-Tのインタフェースを1つ以上有すること。 外部USBフラッシュメモリ⽤スロットを2つ以上有すること。 USBコンソールポートを1つ以上有すること。 1-4 IPv4のルーティングテーブルを複数有し、それぞれを独⽴して動作させる機能に対応すること。管 1-5 理可能なルーティングテーブル数を45まで保証すること。 IP L3ルーティングプロトコルとして,RIPv1/v2, OSPF, EIGRP, BGP4に対応していること。 1-6 IPv4 において、複数の経路・キャリアをその提供する帯域等に応じて転送経路を分散させる、不等 1-7 L3ルーティング 1-8 コスト負荷分散に対応した動的なルーティング機能を有すること。 宛先IPアドレス及びアプリケーションに基づく定義ポリシーを設定し、ルーティング制御を⾏う機 能に対応していること。 複数のルーティングプロトコルに対する、ミリ秒単位での⾼速な障害検知機能に対応しているこ 1-9 と。 1-10 デフォルトゲートウェイを冗⻑化するために、VRRP、HSRPが対応していること。 1-11 1-12 IEEE802.1pのCOS,DSCPに基づきトラフィックの優先制御に対応していること。 物理機器の追加なしにファイアウォール機能を有すること。 1-13 オンデマンドなフルメッシュVPNを構築する機能を有すること。 1-14 機能 1-15 Voice/Analog/BRIの機能が利⽤できるよう拡張可能なこと。 トラフィック モニタリングを⾏い,IP サービスのレベルを分析し,ネットワークパフォーマンス を測定する機能を有すること。 1-16 NTPクライアントとして,⼀貫したタイムスタンプを刻む機能を有すること。 1-17 DNSを参照しIPアドレスの代わりにホスト名を使⽤できる機能を有すること。 1-18 1-19 GUIを使⽤して設定を⾏える機能を有すること。 シリアル接続によるコンソールポートを1つ以上有すること。 1-20 Telnet、SSHによるリモート・コンソール機能を有すること。 1-21 SSHはv1/v2に対応すること。 1-22 Syslogサーバにメッセージを送信する機能を有すること。 1-23 SNMPv1/v2c/v3に対応すること。 RMON,NetFlow,TR-069を⽤いた管理機能を有すること。 1-24 管理 1-25 ログインユーザに応じた権限付与に対応していること。また、各権限において使⽤できるコマンド を柔軟に定義可能であること。 1-26 ソフトウェア及び設定情報をTFTPにてアップロード及びダウンロードする機能を有すること。 1-27 設定変更のアーカイブを複数世代格納する機能に対応すること。 運⽤性の向上,障害時の障害回避⼿段の確保に利⽤できるよう,システムに関する様々なイベント や障害に対するコマンドの実⾏及び管理者へのメール通知等が⾃動で⾏われるような機能を有する 1-28 こと。 1-29 サイズ 機器は1U以内で、19インチラックマウント可能であること。 2.VPN終端装置兼Firewall 2-1 2-2 全体 2-5 冗⻑化構成を組むこと。 10/100/1000BASE-T×8ポート以上のインターフェースと、10/100/1000BASE-T×1ポート以上の 2-3 2-4 IPSec-VPN / SSL-VPNの終端装置を整備すること。 管理⽤インタフェースをもつこと。 性能 2台以上の筐体で冗⻑化し、アクティブスタンバイの構成とすること。 8GB以上のメモリを搭載すること。 2-6 8GB以上のシステムフラッシュを搭載すること。 2-7 200以上のVLANに対応すること。 2-8 ファイアウォール スループットが650 Mbps以上あること。 1/12 ネットワークおよびアプリケーション・レイヤのアタック、DoSアタック、ワーム、ネットワーク 2-9 ウィルス、トロイの⽊⾺、スパイウェアなどのマルウェアに対してハイ・パフォーマンスに防御す る機能を有すること。 アクセス制御の機能として、予め定義されたアプリケーション、サービス、プロトコルのアクセス 2-10 制御が⾏えること。 Fierwalllの外部⼜は内部のInterfaceにタイムベース、ユーザ⼜は、グループ単位のポリシーの適⽤ 2-11 によりネットワーク⼜はアプリケーションの使⽤量の制御ができること。 ユーザ認証を⾏い、そのユーザに合わせたアクセス・コントロール・リストをダウンロードし適⽤ 2-12 する機能を有すること。 2-13 Firewall ダイナミックNAT、スタティックNAT、ポリシーベースNATおよびPATに対応すること。 レイヤ2ブリッジにおけるFirerwall機能を有し、既存のIPアドレスを変更せずにFirewallを導⼊で 2-14 きること。 2-15 レイヤ2のEtherタイプによりアクセス制御が可能なこと。 機器内部で複数のイベントの相関分析機能を実装することで、ワームなどの急速に広まる攻撃を識 2-16 別する機能をサポートすること。 2-17 同時接続数が500,000以上に対応すること。 NAT⼜はPATを使⽤している環境においてもVPNを使⽤できるよう、IETF 標準ドラフトでサポート 2-18 されるUDPベースのNAT traversal 機能及び、TCPでのNAT Traversal機能を有すること。 2-19 標準で2つ以上のセキュリティコンテキスト(仮想ファイアーウォール)が利⽤可能なこと。 2-20 SAML対応していること。 2-21 3DES/AES VPNスループットが300 Mbps以上あること。 2-22 VPNピア数が750以上に対応すること。 2-23 AES(128, 192, 256ビット)、DES(56ビット)、3DES(168ビット)に対応すること。 2-24 PFSグループ1(768ビット), 2(1024ビット), 5(1536ビット)に対応すること。 2-25 Hashアルゴリズムに関して、MD5およびSHA-1に対応すること。 Simple Certificate Enrollment Protocol (SCEP)⼜は⼿動によるX509証明書の登録が出来る機能を 2-26 VPN 2-27 有すること。 SSL VPNとIPSec VPNの両⽅に対応応可能なこと。 2-28 同時に最⼤750セッション以上のSSL VPN接続が可能なこと。 2-29 サイト間のVPNトンネル間のreverse-route injection が⾏えること。 VPNユーザの認証⽅式として、 RADIUS、Microsoft Active Directory, Kerberos, LDAP及び RSA 2-30 SecurID の選択が可能なこと。 2-31 SSLVPN接続⽤のサーバ証明書も本調達に含めること。 本システムは、研究者、対象者、管理者など複数種類のユーザからインターネット経由でアクセス されることが前提となる。アクセス対象のデータは⾼度なセキュリティを担保した上で利⽤者に公 2-32 開されなくてはならない。これを実現するために、VPN構成時にVPNクライアントを利⽤するアク セス⽅法が提供されることが必要である。VPNクライアントソフトを提供すること。VPNクライア 2-33 VPNクライアント 1つのクライアントソフトで、IP Sec-VPN、SSL-VPN どちらでも接続可能なこと。 VPNクライアントは Windows 8、8.1、7(32/64bits)、10、MacOS X10.8以降、Linux (intel) にて 2-34 使⽤することが可能であること。 VPNクライアントに対して、予め作成したVPN接続ポリシーをFirewallからVPN接続時に配布する 2-35 機能を有すること。 2-36 IPS使⽤ 2-37 2-38 ントソフト利⽤者は最⼤100ユーザを予定する。 ハードウェアモジュールの追加無しにIPS機能が拡張できること。 ⾳声データなどの遅延による品質の劣化を防ぐためにLLQをサポートしていること。 QoS、マルチメディア仕様 マルチメディアを扱う上で必要となるマルチキャストトラフィックで必要なマルチキャストルー 2-39 ティングプロトコルとして PIM-Sparse Mode v2 及び Bidirectional-PIMの機能を持つこと。 サイズ 機器は1U以内で、19インチラックマウント可能であること。 3.管理⽤スイッチ 3-1 3-2 全体 停電時にネットワーク経由でシャットダウン連携をとるため、無停電電源装置と各機器をつなぐよ う管理⽤スイッチを整備すること。 24ポート以上の10/100/1000BASE-Tを実装していること。 2/12 3-3 1000BASE-SX、-LH、-T SFPポートを 2ポート以上実装可能なこと。 3-4 最⼤50Gbps以上の転送帯域幅を実装する固定型のL2スイッチ製品であること。 3-5 9,216byte以上のジャンボフレームに対応していること。 ネットワーク拡張時のインターフェース追加及び故障時の良品への交換において、サービス停⽌を 最⼩限に抑えられるよう、インターフェース上のSFP等のトランシーバモジュールはシステム稼働 3-6 中に追加及び交換可能であること。 3-7 性能 機能を有すること。 UTPケーブル障害時に、障害原因、断線部分までの距離等の状況を検知し、管理コンソール上で情 3-8 報を確認できる機能を有すること。 スパニングツリープロトコル使⽤することなく、L2リンクの冗⻑性を確保できる機能を有するこ 3-9 と。加えて、切り替わりの際には100ms以内で切り替わりが可能なこと。 ポートにてリンクフラップ等の障害を検知した際,ポートを⼀時的に使⽤不可能な状態にし,さら 3-10 に⼀定時間経過後,⾃動的に再度利⽤可能にする機能を有すること。 64個以上のVLANに対応していること。尚、VLAN IDは、4096以上を利⽤可能であること。 3-11 3-12 すべてのスイッチ・ポートで半⼆重、全⼆重伝送モードが⾃動的に選択され、帯域幅を最適化する IEEE802.1Qに準拠したタギングによるイーサネットリンク上でのVLAN多重化機能を有すること。 VLAN VLAN情報を設定したドメイン内の他のスイッチに伝播させたり、伝播されたVLAN情報を設定する 3-13 機能を有すること。 3-14 IEEE802.1D Sapnning Tree Protocolをサポートすること。 3-15 IEEE 802.1w Rapid Reconfiguration of Spanning Tree をサポートすること。 3-16 STP IEEE 802.1w Rapid Reconfiguration of Spanning Tree において、VLAN 毎に独⽴したレイヤ2ネッ トワークトポロジーを形成できること。また、IEEE 802.1Q VLAN多重化と併⽤できること。 IEEE 802.1s Multiple Spanning Trees をサポートすること。 3-17 複数のイーサネットリンクを IEEE 802.3adに準拠したリンクアグリケーションを構成する機能を有 すること。リンクアグリゲーション設定においては静的な設定による構成、LACPによる動的な構 3-18 成が選択できること。リンクアグリゲーションはひとつの仮想的なインターフェースとして、IEEE Link Aggrigation 802.1Q VLANトランキングを⾏う設定が可能であること。 複数のイーサネットリンクでリンクアグリケーションを構成する機能を有すること。リンクアグリ ゲーション設定においては静的な設定による構成、PAgPによる動的な構成が選択できること。リ 3-19 ンクアグリゲーションはひとつの仮想的なインターフェースとして、IEEE 802.1Q VLANトランキ ングを⾏う設定が可能であること。 3-20 IEEE802.1pのCoSによる優先制御機能を有すること。 3-21 QoS、マルチメディア仕様 1ポートあたり4つの出⼒キューに対応していること。 Shaped Round Robinスケジューリング機能を有すること。 3-22 ポートで学習するMACアドレス,またはMACアドレス数等を制限し、そのポートに不正な機器が 3-23 接続されることを防⽌できること。 マルチキャスト、ブロードキャストのストーム発⽣を抑制できること。 3-24 3-25 フィルター 能を有すること。 IPアドレスのなりすましを防⽌するため、DHCPで割りあてたものとは異なるIPアドレスからのト 3-26 ラフィックを破棄する機能を有すること。 ポート上で検出されたデバイスタイプに基づき、QoS、セキュリティ等の適切な設定を、動的に 3-27 ポートへ適⽤する機能を有すること。 アクセスポートにおいてIP電話の⾳声⽤のVLANと、IP電話に接続したデバイス⽤のVLANを分けて 3-28 3-29 3-30 3-31 3-32 悪意のあるユーザがDHCPサーバをスプーフィングし、偽装したアドレスを送信することを防ぐ機 利⽤することが可能なこと。 デバイスがスイッチ ポートに接続されるとMAC認証情報や802.1X認証情報やCDP情報をもとに所 ⾃動設定 定のポート設定を動的に設定可能なこと。 機器導⼊時の作業を簡素化するため、動的にOSの⼊れ替え、設定の適⽤を⾏う機能を有すること。 デバイスの消費電⼒を測定し、所定のルールに基づいてアクションを実⾏し、消費電⼒の調整機能 を有すること。 ポートごとの最⼤消費電⼒をコマンドで指定できること。 3/12 起動時、稼動中、トラブルシューティングなど、機器動作の信頼性を維持するための総合的な⾃⼰ 3-33 診断機能を有すること。⾃⼰診断機能は稼働中にも任意のタイミングで実⾏できること。 OSバージョン管理を容易にし、メンテナンス性を向上させるため、数世代のバージョンのOSイ 3-34 メージを内部ストレージに保持し、設定によってOSを指定して起動できること。 3-35 転送パケットをコピーし他のポートから送信できること。 転送パケットをコピーし、IEEE 802.1q タグを付して、VLANを通じて遠隔の装置に送信できるこ と。また、遠隔の装置から受信した転送パケットのコピーを、任意のインターフェースから出⼒で 3-36 運⽤・管理 きること。 3-37 SNMPv1/v2c/v3による管理機能を有すること。 3-38 Syslogサーバにメッセージを送信する機能を有すること。 管理⽤のRADIUSユーザ認証機能を有し、管理者以外が設定情報を参照、変更できないような機能 3-39 を有すること。 3-40 シリアル接続のためのポートとして、USBポートかRJ45ポートが利⽤可能なこと。 3-41 管理・設定コンソールをシリアル接続よるコマンドラインで提供できること。 3-42 管理・設定コンソールを SSH version 2 によるコマンドラインで提供できること。 4.コアスイッチ 4-1 4-2 全体 4-3 4-4 ネットワークの中枢となるスイッチを導⼊すること。 快適な動作、可能な限りの無停⽌運⽤を担保すること。 19インチラックに搭載可能な1RU以内の製品であり、2台以上で冗⻑構成されていること。 サイズ・電源 電源、冷却ファンは、ホットスワップ対応であること。 4-5 電源モジュールは冗⻑化⽤を含め2台搭載していること。 4-6 130.95 Mpps以上のパケット処理能⼒を有すること。 4-7 4-8 性能 4-9 MACアドレス登録数32,000以上であること。 4-10 4-11 176 Gbps以上のスイッチング容量を有すること。 4GBのDRAMを搭載可能であること。 10/100/1000 イーサネットポートを48ポート以上実装していること。 インターフェース ネットワークモジュールにより 1ギガビット イーサネット ポート X 4、10 ギガビット イーサネッ ト ポート X 2、または 10 ギガビット イーサネット ポート X 4 の 3 つのいずれかを追加可能なこ と。 4-12 ポートVLAN機能を有すること。 4-13 4-14 4,000以上のVLAN設定が可能であること。 VLAN 4-15 IEEE802.1Qに準拠したVLANタギング機能を有すること。 複数のLANスイッチ間で、VLAN情報を⼀元管理するためのプロトコルを実装していること。 ルーティングプロトコルとして、Static、RIPv1/v2、RIPng、EIGRP stubに対応していること。 4-16 ルーティングプロトコルとして、OSPF、EIGRP、BGPv4、IS-ISv4に対応していること。 4-17 IPv4のルーティングテーブルを複数有し、それぞれを独⽴して動作させる機能に対応すること。 4-18 ルーティング 4-19 IPv6ルーティングプロトコルとして、OSPFv3をサポートすること。 4-20 マルチキャストルーティングプロトコルとして、PIM-SM、PIM-DM、IGMPをサポートすること。 4-21 IPv4 IGMPに対応したスヌーピング機能を有すること。 ポート単位のブロードキャスト、マルチキャスト、及びユニキャストのストーム制御機能を有する 4-22 こと。 4-23 ジャンボフレームに対応していること。 4-24 QoS機能を有すること。 4-25 4-26 4-27 パケット制御 ポートミラーリング機能を有すること。 IEEE802.1D、IEEE802.1w、IEEE802.1sに準拠したスパニング機能を有すること、またVLAN単位 にスパニングツリー機能が動作すること。 ループ防⽌機能としてスパニングツリープロトコル以外でFlexLink機能を有し、切り替わりの際に は100ms以内で切り替わりが可能なこと。 4/12 専⽤のスタックポートを有し、9台以上のスイッチングハブを論理的に1台とするスタック接続機 4-28 能を有すること。 4-29 スタック帯域幅は 480 Gbps以上であること。 4-30 スタックした機器の電源をすべてのスイッチ間で共通のリソースとして共有できること。 4-31 IEEE802.3adに準拠したリンクアグリゲーション機能を有すること。 4-32 HSRPプロトコルを⽤いたデフォルトゲートウェイの冗⻑化機能を有すること。 信頼性 4-33 複数のスイッチをスタックした構成で、異なるスタックスイッチ間でリンクアグリゲーション構成 可能なこと。 機器が稼働中に動作可能な⾃⼰診断機能を有し、障害兆候の検知または異常の診断が可能であるこ 4-34 と。 4-35 ポートに対しての⾃動障害検知機能、及び⾃動復旧機能を有すること。 4-36 IEEE802.3ah/UDLDにより、接続機器との間で⽚⽅向リンクを検出することが可能であること。 4-37 スタック上のステートフル スイッチオーバー(SSO)をサポートすること。 4-38 アクセスリストによるフィルタリングが可能であること。 4-39 IEEE802.1aeに準拠したMACsec機能を有すること。 ポートに対してMACアドレスに基づいた制限 (静的または動的に登録されたMACアドレスや通過 4-40 セキュリティ機能 MACアドレスの上限など) を⾏えること。また、不正があった場合の動作を選択 (破棄のみ、破棄+ ログ出⼒、破棄+ログ出⼒+ポートdown) できること。 4-41 DHCPサーバ詐称防⽌機能を有すること。 4-42 IPアドレスとMACアドレスの組合せが不正 (詐称) なARPパケットを破棄する機能を有すること。 4-43 電源装置 電源の冗⻑性が確保されていて、システムを停⽌せずに交換が可能であること。 ネットワーク管理機能として、SNMP、RMON、Telnet、SSH、CDP(Cisco Discovery Protocol)を 4-44 サポートしていること。 管理機能 4-45 Webブラウザによる管理機能を有すること。 シスログ出⼒などの対象となるイベントが発⽣した際に、そのイベントと関連づけたアクションを 4-46 起こすことが可能であること。 5.サーバスイッチ 5-1 全体 物理サーバ及び共有ストレージを接続する為のサーバスイッチを導⼊すること。管理対象機器や ケーブル数を削減し、構成を簡素化する為に、1台でLANおよびSAN、FCoEを統合すること。 コアスイッチと1Gbps以上で接続すること。また、ファブリック・インターコネクトとFibre 5-2 Channel over Ethernet (FCoE) で、ストレージ基盤とNFS/CIFSで接続できるよう10GbEインター フェースで接続すること。 5-3 2台以上の筐体でで冗⻑化すること。 1/10ギガビット イーサネット、FCoEまたは 1/2/4/8 Gbps ネイティブ ファイバ チャネルとして、 5-4 5-5 ハードウェア 選択可能な固定ポートが16以上あること。 32ポート以上の10G SFP+ ポートおよび、6ポート以上の40G QSFP+ポートを有すること。 40 ギガビット イーサネット ポートは、QSFP+ ブレークアウトケーブルを介して 10 ギガビット 5-6 イーサネット インターフェイスに変換できること。 5-7 1 Rack Unit 以下であること。 5-8 筐体のサイズは1台当たり4.4 x 43.9 x 76.2 cm 以下であること。 5-9 最⼤電⼒が450W以下であること。 5-10 レイヤ 2 ハードウェア フォワーディング速度は 1.44Tbps 以上の転送帯域を有すること。 5-11 MAC アドレスと ARP の統合エントリを最⼤ 256,000 以上サポートすること。 5-12 4000以上のVLAN をサポートすること。 5-13 最⼤ 32,000 個以上の IPv4 および 8000 個以上の IPv6 ホスト プレフィクスをサポートすること。 5-14 5-15 5-16 最⼤ 9216 Byte のジャンボフレームをサポートすること。 性能 IPルーティング・プロトコルとして、スタティック、RIPv2、EIGRP、OSPFv2、および BGPをサ ポートできること。 Virtual Port Channel(vPC) 機能をサポートすること。 5/12 当該スイッチは、下位装置として接続するスイッチを同じシャーシ内のラインカードと同様に扱う 5-17 ことが可能なアーキテクチャであること。 5-18 サービスを⽌めることなく ソフトウェアのアップデートが可能な機能を有すること。 5-19 NAS, iSCSI, FC, FCoE に対応のこと。 5-20 IEEE 802.1Qbb、IEEE 802.1Qazに対応していること。 機器が稼働中に動作可能な⾃⼰診断機能を有し、障害兆候の検知または異常の診断が可能であるこ 5-21 と。 5-22 5-23 転送パケットをコピーし他のポートから送信できること。 管理機能 転送パケットをコピーし、IEEE 802.1q タグを付して、VLANを通じて遠隔の装置に送信できるこ と。また、遠隔の装置から受信した転送パケットのコピーを、任意のインターフェースから出⼒で きること。 シスログ出⼒などの対象となるイベントが発⽣した際に、そのイベントと関連づけたアクションを 5-24 起こすことが可能であること。 6.物理サーバ 6-1 6-2 仮想化ソフトウェアを動作させる物理サーバを導⼊すること。 全体 当該物理サーバとサーバスイッチ間は、10G FCoE接続とするが、コスト削減の観点から、使⽤す るモジュールはSFP+ Copper(Twinax)ケーブルとすること。また、相互運⽤性の観点から、サーバ スイッチ、物理サーバ、SFP+ Copperケーブルは、全て同じメーカーであること。 6-3 ⼀台で1RU以内でラックマウント可能な筐体であること。 6-4 ⼀台で、IPMI Ver. 2.0相当以上に準拠した専⽤監視ポートを1ポート以上有すること。 6-5 ⼀台で、デュアル冗⻑ファンとホットスワップ可能な冗⻑電源を有すること。 6-6 6-7 ⼀台で、PCIe Gen3.0に対応したスロットを2個以上有すること。 ハードウェア ⼀台で、KVMコンソールコネクタを1以上有すること。 6-8 ⼀台で、USB3.0ポートを2以上有すること。 6-9 ⼀台で、VGAビデオポートを1以上有すること。 6-10 ⼀台で、RJ45シリアルポートを1以上有すること。 6-11 ⼊⼒電圧 100〜240 VAC、50-60 Hz にて動作すること。 6-12 ⼀台で、Intel社XeonプロセッサE5-2600 v4相当以上のCPUを2基以上搭載すること。 6-13 性能 6-14 ⼀台で、DDR4対応のメモリを192GB以上搭載すること。 ⼀台で、10GbEポートを2ポート以上有すること。 オペレーティングシステム、またはハイパーバイザーが停⽌している状態でも専⽤監視ポートを介 6-15 してIPMIを利⽤したネットワーク経由での操作が可能なこと。 IPMI専⽤ポートは、Webアクセスによる仮想KVM機能をサポートするとともに、SSH等のCLIによ 6-16 る外部コマンドにより設定可能であること。最⼤4ユーザ同時アクセス可能であること。なお、仮 想KVM機能は、特別なライセンスやアクティベーションが不要なこと。 6-17 管理・運⽤ IPMI 専⽤ポートは、XML APIを使⽤した管理を提供すること。 管理ポートを経由しIP通信で管理端末のCD・DVDメディアやドライブ、ISOイメージマウントが可 6-18 能であること。 6-19 Webでの管理機能でサーバの電源等の稼動状態 を判断する情報が参照できること。 6-20 Webでの管理機能でBIOS設定の参照と変更が実BIOS画⾯にログインせずに可能であること。 7.仮想化ソフトウェア 7-1 全体 サーバ仮想化システムを実現する為に、ハイパーバイザー型の仮想化ソフトウェアを導⼊するこ と。 セキュリティと安定性の観点から仮想基盤は汎⽤OSを利⽤せずに仮想化ハイパーバイザのみで構成 7-2 され、管理⽤OSなどのコンソール機能を⼀切含まない実績のある商⽤製品を利⽤すること。また、 ハイパーバイザーがCPUコアを占有しない、リソース効率に優れた仮想基盤であること。 7-3 7-4 7-5 Windows、Linux、Solaris(x86)等3種類以上のOSを仮想マシンとしてサポートしていること。 仮想マシンのOSがWindows系OSとLinux系OSとで実現可能な設定や設定に必要な要件(専⽤ドライ バのインストール有無など)に差異がないこと。 1仮想マシンあたり最⼤128vCPU、4TB vRAMが割り当て可能であること。 6/12 物理メモリの実容量よりも多くのメモリを仮想マシンに割当可能な機能として、仮想マシン間で同 ⼀の静的メモリページを共有しメモリ容量を節約する機能、仮想マシンが未使⽤のメモリ領域を開 7-6 放する機能、メモリデータを圧縮する機能、メモリデータをディスクにスワップする機能を有する こと。また、上記の機能を個別仮想マシン毎に設定することなく利⽤可能なこと。その際、専⽤ド ライバのインストール等が不要なこと。 機能 仮想サーバを停⽌することなく、仮想マシンへのリソース割当量を拡張可能なこと。設定リソース 単位は、CPUについてはGHz/MHz、メモリについてはGB/MBで設定できること。設定⽅法は、特 7-7 定仮想マシンへのリソース割当(予約)、特定仮想マシンへのリソース割当の上限値設定(制限)、複 数仮想マシン間での相対値設定(シェア値)の設定が可能なこと。 仮想マシンの作成時に、仮想マシンへ割り当てたストレージ容量を事前に割り当てる⽅式(シック 7-8 プロビジョニング)と実際に使⽤する際に割り当てる⽅式(シンプロビジョニング)を選択可能なこ 7-9 論理的なネットワーク機能(L2スイッチ)を有すること。 と。 他社製ウイルス対策ソフトと連携し、仮想マシン内にウイルス対策ソフトのエージェントをインス 7-10 トールせずにウイルスチェック等の機能が提供可能なこと。 他社製バックアップソフトと連携し、仮想マシン内にバックアップソフトのエージェントをインス 7-11 トールせずに仮想マシンのバックアップが可能なこと。 仮想基盤を構成する複数の物理ホスト、およびそれらの上で稼働する仮想マシン群を⼀元管理可能 7-12 な管理サーバを備えること。 7-13 仮想基盤を構成する複数の物理サーバ群へのパッチ適⽤、アップグレードを⾃動化できること。 ユーザやユーザグループ対してのアクセス権、作業権限、ロール設定によって管理の階層化が可能 7-14 であること。 仮想マシンは、仮想マシンを停⽌することなく仮想基盤を構成する異なる物理サーバや仮想スイッ 7-15 7-16 チに移⾏可能なこと。 管理・運⽤ 仮想マシンが稼働する物理サーバに障害が発⽣した際に、異なる物理サーバ上で仮想マシンが再起 動されることで仮想マシンのダウンタイムを最⼩化すること。 機構内にある既存仮想基盤で稼働する仮想マシンの⼀部を、本仮想基盤に移⾏可能であること。そ 7-17 の際、仮想マシンに対する変更なく(仮想マシンの形式変更等)、移⾏可能であること。(仮想マシン に導⼊必須な仮想ドライバの再インストールや、それに伴う仮想マシンの再起動は除く。) 7-18 7-19 仮想マシンを異なる仮想基盤に定期的にレプリケーションする機能を有すること。 保守 同⼀バージョンのサポート期間が7年間以上であること。 8.共有ストレージ ハイパーバイザーや仮想サーバを保存するブロックアクセス領域、さらにファイルを保存するファ 8-1 イルアクセス領域が必要となる為、SANとNASを統合した共有ストレージとすること。 以下の実効容量を確保すること。 8-2 容量 (ア)仮想サーバ領域(ブロックアクセス) 10500GB以上 (イ)ファイルサーバ領域(ファイルアクセス) 8500GB以上 将来の拡張を考慮し、以下の物理容量を搭載可能なストレージを選択すること。 8-3 拡張性 8-4 8-5 8-6 8-7 将来の拡張を考慮し、以下のディスク本数を搭載可能なストレージを選択すること。 125本以上 信頼性 性能 ストレージシステムは,ストレージコントローラを2台以上搭載した冗⻑構成になっていること。 ブロックアクセス⽤として、8GbpsFCポートを4ポート以上有すること。 ファイルアクセス⽤として、10GbEポートを4ポート以上有すること。 ストレージシステムは、RAID構成の選択が可能なこと。そのRAID構成は、可⽤性とパフォーマン 8-8 スを考慮し、RAID1、RAID10、RAID5およびRAID6から選択が可能なこと。 8-9 NFS v2,v3,v4,v4.1、CIFS/SMB v1,v2, v3のプロトコルに対応していること。 機能 8-10 500TB以上 異なるディスクタイプ(フラッシュドライブ、SASドライブ、NL-SASドライブ)を混在して⼀つの プール領域を構成することが可能であること。 7/12 8-11 プール領域は三階層(3タイプのドライブ)で構成でき、⾃動階層化機能を有すること。 8-12 保守 8-13 8-14 管理・運⽤ サポートベンダへの障害⾃動通知,リモート保守が可能なこと。 保守効率化の観点から、バックアップストレージと同⼀メーカーの製品とすること。 管理効率化の観点から,Webベースの管理ツールを提供すること。 9.仮想デスクトップ 9-1 VDI⽅式の仮想デスクトップソリューションを導⼊すること。 9-2 フルクローン⽅式で3台展開すること。 9-3 OSはWindows 10 64bitとすること。 仮想デスクトップのマスターイメージの作成については、以下を対象とし、アプリケーションのイ 9-4 9-5 ンストールや設定は対象外とする。 全体 1)仮想マシン作成 9-6 2)OSインストール 9-7 3)OS基本設定(ネットワーク、Windows Firewall、WindowsUpdateなど) 9-8 4)仮想化基盤との連携ツール インストール 9-9 5)ウイルス対策ソリューションとの連携ツール インストール 9-10 6)バックアップ設定(バックアップサーバ側で実施) 仮想基盤上に構築された仮想マシン(仮想デスクトップ)の画⾯を転送し、リモートから利⽤する 9-11 VDI⽅式を実現可能であること。 仮想デスクトップのOSは、Windows7、8.1、10およびWindows Server 2008 R2、2012 R2いずれ 9-12 の利⽤も可能であり、将来的に新しくOSがリリースされた場合や上記OSのサポート終了に伴う移 ⾏においては⼤きな設計変更や追加を⾏わずに対応可能であること。 画⾯転送に⽤いるプロトコルとして、RDPとPCoIPに対応していること。また、通信帯域消費が少 9-13 なく、バッテリ消費を抑制できるH.264の映像圧縮⽅式に対応したプロトコルも利⽤でき、利⽤す る⽤途/環境やデバイス機器に応じてH.264対応可否のプロトコルを⾃由に選択できること。 接続元端末として、Windows(シンクライアント含む)、Mac OS、iOS(iPhone/iPad)、Android端末 9-14 からの利⽤が可能なこと。 マスターイメージを簡素化するために、アプリケーションをOSからの分離し、exeもしくはmsi 9-15 機能 ファイルにパッケージ化でき、そのパッケージ化したアプリケーションはWindows PCの Administrator権限を持たないユーザーでも利⽤できる機能を有すること。 仮想デスクトップの展開処理を⾼速化させるため、プロビジョニング処理をストレージコントロー 9-16 ラへオフロードできる機能を有すること。 仮想デスクトップ環境の管理を効率化するため、仮想デスクトップの展開⽅式として、⼤規模環境 での導⼊実績のあるフルクローン⽅式およびリンククローン⽅式をサポートしていること。また、 9-17 単⼀障害点を極⼒削減するため、仮想デスクトップのネットブート⽅式での展開は認めないことと する。 仮想デスクトップへのログイン時等に発⽣するストレージへの負荷を軽減できるように、ストレー 9-18 ジと連携し、共通のイメージブロックを仮想基盤でキャッシュする機能を有すること。 ハイパーバイザーと連携し、仮想デスクトップ毎のストレージ領域のうち(仮想デスクトップ内で 9-19 ファイルを削除する、などで)使⽤しなくなった領域を回収し再利⽤することで、ストレージ容量を 節約する機能を有すること。 9-20 接続サーバを経由せずに直接仮想デスクトップにアクセスできる仕組みを有すること。 9-21 9-22 同⼀バージョンのサポート期間が7年間以上であること。 保守 障害発⽣時の切り分けをスムーズに⾏うために、仮想基盤を構成するハイパーバイザーと同⼀メー カーが提供する商⽤製品であること。 10.バックアップストレージ 既存システムは、放医研側にEMC Data Domain DD620(以下DD620)、北海道のデータセンターに EMC Data Domain DD2200(以下DD2200)を設置しており、放医研側のDD620のデータを北海道側 のDD2200へ遠隔レプリケーションしている。北海道側のDD2200は⼀昨年度導⼊した機器の為、本 10-1 全体 調達のリプレース対象外となる。その為、北海道側のDD2200とレプリケーションが可能な同等機 種もしくは上位機種を、本件にて放医研所内に導⼊すること。 8/12 バックアップデータの重複排除を⾏うこと。これにより、少ないディスク容量で複数世代のバック 10-2 アップデータを保持できるようにし、ディスク数の削減と消費電⼒の削減を⾏うこと。 リモートサイトに設置してある「EMC Data Domain DD2200」と遠隔レプリケーションを実現する 10-3 規模要件 10-4 為、同型のモデルもしくはレプリケーション可能な上位のモデルを1台導⼊すること。装置仕様は 下記に指定した内容を満たすこと。 ディスクの実効容量は6TB以上とすること。 10-5 NICは1000/100/10 Copper Ethernetを4Port以上有すること。 重複排除に関しては、より効率的なバックアップを⾏うため、可変⻑の重複排除機能を有し、シス 10-6 テム全体で重複排除できること。 必要となるディスクのスピンドル数を減らすため、CPUとメモリで重複排除判定を⾏う機能を有す 10-7 ること。 10-8 バックアップ・プロセス実⾏時にデータをインラインで重複排除できること。 10-9 レプリケーションを⾏う際、転送帯域(帯域制御、QoS)機能を有すること。 レプリケーション構成で、下記のトポロジーをサポートしていること。 10-10 機能要件 10-11 1対1、N対1、1対N、カスケード、双⽅向 別サイトへのデータ転送の安全性を確保する為、レプリケーションデータを業界標準の256ビット AESで暗号化できる機能を有すること。 バックアップデータの信頼性向上の為、書き込み/読み取り時にデータの整合性をチェックし、問題 10-12 発⽣時には⾃動的にリカバリすること。 バックアップウィンドウ短縮の為、重複排除処理をバックアップサーバ、アプリケーションクライ 10-13 アント等に分散し、全体的なデータ、スループット量を削減できること。 10-14 RAID6を採⽤していること。 10-15 管理効率性の観点から、Webベースの管理ツール(GUI)を備えていること。 10-16 サポートベンダへの障害⾃動通知,リモート保守が可能なこと。 11.バックアップソフトウェア 本調達で導⼊する仮想サーバ(仮想デスクトップも含む)のイメージバックアップ及び、ファイル領 11-1 域のバックアップを⾏うこと。 DBサーバのバックアップについては、整合性の取れた状態をバックアップする必要がある為、静⽌ 11-2 全体 点確保が必須となる。仮想サーバのイメージバックアップに加え、データベースのダンプファイル を共有ストレージ上のNAS領域へ保存し、その領域もバックアップすること。 週1回フルバックアップを取得し、フルバックアップ間は増分バックアップを取得すること。保存 11-3 世代数は、5世代以上とすること。 11-4 バックアップ専⽤のソフトウェアであること。 11-5 フルバックアップ、増分/差分バックアップが可能であること。 11-6 バックアップサーバで重複排除機能が動作すること。 11-7 重複排除ストレージ機器と連携動作する機能を有すること。 11-8 VMwareと連携して仮想マシンのイメージバックアップが可能なこと。 11-9 VMwareと連携して仮想マシンのイメージ増分/差分バックアップが可能なこと。 11-10 バックアップサーバのOSがWindowsに対応していること。 11-11 機能要件 バックアップ対象のOSがWindows、Linux、VMware、Hyper-vに対応していること。 11-12 NDMPに対応可能なこと。 11-13 管理画⾯のGUIが⽇本語表⽰に対応していること。 バックアップソフトウェア⾃⾝のデータベースをバックアップするための専⽤のバックアップジョ 11-14 ブを設定できること。 バックアップソフトウェア⾃⾝のデータベースをリストアするためのGUIインターフェースを備え 11-15 11-16 ていること。 その他 11-17 バックアップ対象の容量単位もしくはサーバ単位でのライセンス課⾦を選択できること。 マニュアルが⽇本語に対応していること。 12.ファイル転送ソフトウェア 12-1 放医研内部および外部の研究者との情報交換を促進する為、ユーザPCのローカルフォルダをサーバ にアップロード(同期)可能なシステムを仮想基盤上に構築すること。 9/12 全体 12-2 フォルダのアップロードについては、送信者側でZIP等で圧縮してアップロードし、受け取り側で解 凍するといったことは利⽤者の負担となる為、不可とする。フォルダをZIP等で圧縮することな く、フォルダツリーのままサーバへアップロード(同期)が可能なこと。 システムへのアカウント登録は、Active Directoryとの同期によりアカウントを作成することができ 12-3 る、もしくは、個別にシステムを利⽤できるアカウントを⼿動で追加することができること。 12-4 アカウントの認証にはActive Directoryの認証基盤を利⽤できること。 管理コンソール上で、ウイルスなどの脅威の検出状況やユーザーの利⽤状況、システムの稼働状況 12-5 を管理/把握できること。 アップロード時およびファイルへのURLリンク作成時にファイルに対するウイルスチェックを⾏う 12-6 仕組みを有すること。 12-7 アップロードできるファイルのサイズやファイルの種類を任意に指定できること。 12-8 アカウントごとにシステムの利⽤可能容量制限(クォータ)を設定できること。 12-9 アカウントごとファイルのアップロード/ダウンロードの速度を設定できること。 12-10 アカウントごとにファイルのバックアップを最⼤20世代まで設定できること。 12-11 アカウントの利⽤条件はグループ単位でまとめて設定を⾏うことができること。 ログ情報をWeb管理コンソール上で確認できること。またCSV形式での出⼒やSyslogサーバーに転 12-12 送できる機能を有すること。 ウイルスなどの脅威の検出状況やアカウントが実⾏したイベント、管理者が⾏ったイベントなどを 12-13 ログとして出⼒できること。 システムへ登録されている個々のアカウントは、それぞれ⾃⾝だけがアクセスできる特定の領域を 12-14 利⽤してファイルの閲覧/アップロード/ダウンロードができること。 アップロードしたファイルやフォルダのURLリンクを作成することができること。URLリンクを受 12-15 機能要件 12-16 け取った任意のユーザーは、指定されたフォルダやファイルのみアクセスしてダウンロードするこ とができること。 URLリンク作成時には、パスワード・有効期限の設定をすることができること。 システムに登録されている複数のアカウントを指定して、共有できるフォルダを作成できること。 12-17 またアクセスできるアカウントに対してアクセス権を設定できること。 12-18 特定のフォルダやファイルを指定して暗号化することができること。 Webブラウザを利⽤して個⼈のフォルダへアクセスし、ファイルを閲覧/アップロードやダウンロー 12-19 ドできること。 Android/iOSについては専⽤のクライアントアプリケーションをインストールすることにより、シ 12-20 ステム上にあるアクセス可能なフォルダの閲覧やアップロード、共有ができること。 Windows/Mac OSについては専⽤のクライアントソフトウェアをインストールすることにより、 12-21 ローカルの複数のフォルダおよびファイルをシステム上と同期させることができること。 Outlookのプラグインソフトウェアをインストールすることで、メールへの添付ファイルを⾃動的に 12-22 システムへファイルアップロードすると共に、URLリンクへ差し替えて送信することができるこ と。 12-23 VMware vSphere ESXi上にインストールできること。 12-24 利⽤状況に応じてデータの格納領域を拡張できること。 12-25 システム環境の冗⻑構成を取ることができること。 12-26 ワイルドカード対応のサーバ証明書も調達に含めること。 12-27 SSLを使った通信の暗号化ができること。 13.LDAP認証サーバ 被ばく関連情報管理システムを利⽤するシステム管理者、対象者(復旧作業員等)、研究者、⾏政 13-1 全体 13-2 13-3 13-4 13-5 担当者等の認証およびアカウント管理を実現すること。 将来的にIdPサーバを構築した際のユーザデータベースとして挙動できるスペックを備えておくこ と。 ソフトウェア・ハードウェアが⼀体となったアプライアンス型の製品であること。 管理画⾯はWebブラウザのアクセスにより利⽤でき、その⾔語は⽇本語、及び英語から選択できる こと。 認証ネットワーク機器と連携し、ネットワークアクセス制御を実現する認証サーバーであること。 10/12 認証⽅式として、EAP-MD5、EAP-PEAP、EAP-TLS、及びPAP、CHAP、MS-CHAP、MS- 13-6 CHAPv2に対応すること。 13-7 認証に⽤いるアカウントは2,000以上登録できること。 13-8 連携する認証ネットワーク機器は500以上登録できること。 13-9 登録アカウントの管理は個別のほか、CSVファイルからの⼀括登録・変更・削除ができること。 ネットワーク認証サーバーへの通信に対し、機器インターフェース、プロトコル、送信先・送信元 13-10 ネットワーク情報(IPアドレス、サブネットマスク、ポート番号)の組合せにより、許可・拒否など 機能要件 13-11 の制御ができること。 2台以上の機器による冗⻑構成に対応すること。 Web管理画⾯からの平易な操作により設定の保存(バックアップ)と復元(リストア)が可能であるこ 13-12 と。設定の保存は⼿動のほか、外部サーバーへの⾃動保存が指定できること。 認証アカウント毎に最終認証成功⽇時を記録できること。記録した⽇時の情報は検索条件として利 13-13 ⽤でき、またその結果はCSVファイルとしてエクスポートできること。 NTPクライアント、SNMPクライアント、外部Syslogサーバーへのログ出⼒など、システムの運⽤ 13-14 に有⽤な機能を有すること。 13-15 EIA19インチラック2RU以下で固定できること。 13-16 ハードディスクドライブを搭載せず、フラッシュメモリから起動すること。 機器前⾯に液晶表⽰器を有し、ホスト名、IPアドレス、及びシステムの稼働状況が確認できるこ 13-17 と。 ネットワークインターフェースとして、10BASE-T/100BASE-TX/1000BASE-Tポートを4つ以上有 13-18 し、サービス提供⽤インターフェース、管理アクセス⽤インターフェース、冗⻑化時のデータ同期 ⽤インターフェースに利⽤⽤途を区別できること。 14.無停電電源装置 本調達の導⼊機器が、停電時に安全にシャットダウンできるよう無停電電源装置(UPS)を導⼊す 14-1 全体 14-2 14-3 ること。 停電、復電時に仮想サーバを順序付けて停⽌・起動することが可能なシステムを導⼊すること。 ハードウェア 本件で調達する物理機器及び仮想サーバが、停電発⽣時に安全に停⽌できるだけのバッテリを搭載 すること。 ソフトウェアをインストールする必要が無く、Telnet、SSH、SOAPプロトコルの機能を有し、いず 14-4 れかを使⽤して⾃動的にサーバ及び共有ストレージをシャットダウンする機能を有すること。 無停電電源装置からの指⽰を受け、サーバ及び共有ストレージに対し、順序付けてシャットダウン 14-5 が可能な機能を有すること。 無停電電源装置と連携する機能を有する製品は、VMware社製 vSphere のHA構成に対応し、 14-6 機能 14-7 14-8 14-9 シャットダウン時にメンテナンスモードへ移⾏してシャットダウンを⾏い、サーバ起動時にメンテ ナンスモードを解除する機能を有すること。 仮想OSに対し、任意の順序でシャットダウンが可能なこと。また起動時にも仮想OSに対し、順序 付けが可能なこと。 共有ストレージに対し、仮想サーバのシャットダウン後、順序⽴ててシャットダウンが可能である こと。 別途物理サーバ、仮想サーバなどを構築することなく、シャットダウン等の制御が出来るアプライ アンス製品であること。 15.仮想サーバ搭載データベース(Oracleライセンス) 15-1 仮想サーバ上にデータベースライセンスを整備すること。 16.サーバ証明書 16-1 必要なサーバ証明書を2式調達すること。詳細は「2.VPN終端装置兼Firewall」「12.ファイル転送 ソフトウェア」のそれぞれの要件を確認し、適合する製品を選定すること。 17.ウイルス対策ソフト Windows OSウイルス対策 17-1 仮想化基盤上のWindows OSに対して、エージェントレスでウイルス対策が可能なこと。 17-2 ハイパーバイザーと連携可能な仮想アプライアンス製品であること。 11/12 機能 17-3 ウイルスチェックについては、仮想マシンごとではなく、仮想アプライアンス側で⼀元的に実⾏す ることによって、アンチウイルスストームを回避することができ、仮想サーバのパフォーマンスに 影響がないこと。 Linux OSウイルス対策 17-4 機能 OS上にエージェントを導⼊するエージェント型のウイルス対策ソフトウェアとすること。 18.ワンタイムパスワードトークン(VASCO社製) VASCO社製のワンタイムパスワードを以下数量にて提供すること。 18-1 ハードウェアトークン:20式 ソフトウェアトークン:10式 19.ソフトウェア 以下のライセンスを調達すること。 19-1 ライセンス 19-2 導⼊ Microsoft Windows Server 2016 Datacenter license(Govermentライセンス)2式 Microsoft Windows Server CAL ⽇本語版 ユーザーCAL ライセンス&ソフトウェアアシュアランス パッケージ【Open Business License】50式 OSのインストール作業は本調達にて実施すること。 20.その他必要な周辺機器 20-1 上記の機器を構成する際に必要な部材、ケーブル類はすべて本調達に含むこと。 21.全体要件 21-1 21-2 21-3 21-4 ラック搭載に必要な⼊出⼒装置などの機材、部材、作業費⽤、及び付帯設備⼯事が必要な場合は本 調達の費⽤に含めること。 機器は特別な記載がない限り19インチラックマウント可能であること。 全体またはそれぞれの機器にUPSを⽤意すること。供給時間はそれぞれの機器で記載されている時 間を保証すること。 必要に応じてSyslog、NTPサーバを⽤意すること。 12/12