...

青森県自治体情報セキュリティクラウド整備業務 調達仕様書

by user

on
Category: Documents
11

views

Report

Comments

Transcript

青森県自治体情報セキュリティクラウド整備業務 調達仕様書
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
青森県自治体情報セキュリティクラウド整備業務
調達仕様書
平成 28 年 7 月
青森県
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
目次
1. 概要 ............................................................................................................................... 1
1.1
調達件名 ........................................................................................................................................... 1
1.2
本業務の背景と目的.......................................................................................................................... 1
1.3
本調達の方針 .................................................................................................................................... 2
1.4
本業務の概要及びセキュリティクラウドが提供するサービスの範囲 ................................................ 2
1.5
本調達における調達範囲................................................................................................................... 3
1.6
スケジュール .................................................................................................................................... 4
1.7
成果物 .............................................................................................................................................. 5
2. 情報システム要件 .......................................................................................................... 7
2.1
機能要件 ........................................................................................................................................... 7
2.1.1
リバースプロキシ ........................................................................................................................... 9
2.1.2
メールリレー .................................................................................................................................. 9
2.1.3
インターネット閲覧用プロキシ ..................................................................................................... 9
2.1.4
外部 DNS ........................................................................................................................................ 9
2.1.5
ファイアウォール ......................................................................................................................... 10
2.1.6
侵入検知/侵入防止(IDS/IPS) ................................................................................................... 10
2.1.7
ふるまい検知 ................................................................................................................................ 10
2.1.8
マルウェア検知............................................................................................................................. 10
2.1.9
スパム対策 .................................................................................................................................... 10
2.1.10
URL フィルタ............................................................................................................................... 10
2.1.11
ログ収集・分析.............................................................................................................................. 11
2.1.12
コンテンツ改ざん検知 ................................................................................................................... 11
2.1.13
WAF ............................................................................................................................................... 11
2.1.14
メール及びファイル無害化 ........................................................................................................... 11
2.1.15
時刻同期 ....................................................................................................................................... 12
2.1.16
WSUS ........................................................................................................................................... 12
2.2
規模要件 ......................................................................................................................................... 12
2.2.1
利用者 ........................................................................................................................................... 12
-i-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
2.2.2
想定アクセス数............................................................................................................................. 12
2.2.3
利用時間帯 .................................................................................................................................... 13
2.3
性能要件 ......................................................................................................................................... 13
2.4
信頼性要件 ..................................................................................................................................... 13
2.5
拡張性要件 ..................................................................................................................................... 13
3. 稼働環境要件 ............................................................................................................... 14
3.1
全体構成 ......................................................................................................................................... 14
3.2
機器設置場所に関する要件 ............................................................................................................. 14
3.3
ネットワーク要件 ........................................................................................................................... 15
3.4
回線要件 ......................................................................................................................................... 15
4. 設計作業要件 ............................................................................................................... 16
4.1
基本設計 ......................................................................................................................................... 16
4.2
詳細設計 ......................................................................................................................................... 16
5. 構築作業要件 ............................................................................................................... 17
5.1
構築作業 ......................................................................................................................................... 17
5.2
本県及び県内市町村の庁舎内における構築作業 .............................................................................. 17
6. テスト作業要件 ........................................................................................................... 18
6.1
テスト作業 ..................................................................................................................................... 18
6.2
テスト実施計画策定........................................................................................................................ 18
7. 教育要件 ...................................................................................................................... 19
7.1
教育の実施 ..................................................................................................................................... 19
7.2
本県担当者(事務局)の教育.......................................................................................................... 19
7.3
本県及び県内市町村の情報セキュリティ担当者の教育 ................................................................... 19
-ii-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
8. 移行支援作業要件 ........................................................................................................ 20
8.1
移行支援作業 .................................................................................................................................. 20
8.2
移行計画策定 .................................................................................................................................. 20
9. 運用・保守役務要件 .................................................................................................... 21
9.1
ヘルプデスク要件 ........................................................................................................................... 21
9.1.1
9.2
問合せ対応 .................................................................................................................................... 21
システム運用・保守要件................................................................................................................. 21
9.2.1
障害管理 ....................................................................................................................................... 21
9.2.2
維持管理 ....................................................................................................................................... 22
9.2.3
構成管理 ....................................................................................................................................... 22
9.2.4
バックアップ管理 ......................................................................................................................... 22
9.2.5
月次報告 ....................................................................................................................................... 22
9.2.6
ハードウェア保守 ......................................................................................................................... 23
9.2.7
ソフトウェア保守 ......................................................................................................................... 23
9.3
セキュリティ運用 ........................................................................................................................... 23
9.3.1
セキュリティ監視・分析 .............................................................................................................. 23
9.3.2
セキュリティインシデント発生時の役割分担 ............................................................................. 25
9.3.3
月次報告 ....................................................................................................................................... 26
10. SLA(サービスレベル合意) ...................................................................................... 27
11. プロジェクト管理 ........................................................................................................ 28
11.1
作業体制 ......................................................................................................................................... 28
11.2
工程管理 ......................................................................................................................................... 29
12. 契約条件等 .................................................................................................................. 30
12.1
業務の再委託 .................................................................................................................................. 30
12.2
知的財産権の帰属等........................................................................................................................ 30
12.3
機密保持 ......................................................................................................................................... 30
12.4
情報セキュリティに関する受託者の責任 ........................................................................................ 31
-iii-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
12.5
瑕疵担保責任 .................................................................................................................................. 32
12.6
法令の順守 ..................................................................................................................................... 32
-iv-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
1. 概要
1.1
調達件名
青森県自治体情報セキュリティクラウド整備業務(以下、
「本業務」という。
)
1.2
本業務の背景と目的
日本年金機構の事案やマイナンバー制度の施行を受け、地方公共団体には情報セキュリティに係る抜
本的な対策が求められている。本業務は、国が示す地方公共団体のセキュリティ対策方針を踏まえ、本
県及び県内市町村のインターネット接続環境を集約するとともに、併せてセキュリティ対策を強化する
ものである。
青森県自治体情報セキュリティクラウド(以下、「セキュリティクラウド」という。)のサービス提供
により、本県及び県内市町村のセキュリティ水準の向上、コストの低減及び職員の負担軽減を実現する
ことを目的として本業務を実施する。
なお、セキュリティクラウドの概念図を「図 1 セキュリティクラウド概念図」に示す。
図 1 セキュリティクラウド概念図
-1-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
1.3
本調達の方針
「1.2 本業務の背景と目的」に基づき、本業務の実施に当たっては、次の方針を掲げるものとする。
インターネットからの脅威に対応し、攻撃を受けることを前提として、攻撃を受けた際に
被害を最小化する高度な仕組みとなること。
本県及び県内市町村のセキュリティレベルの向上を図るとともに、その一定の水準を確保
するため各自治体が自団体のセキュリティ対策の改善に資する仕組みとなること。
セキュリティクラウドのもとで行われるセキュリティ運用に際しては、各自治体職員の負
荷抑制に努めること。
1.4
本業務の概要及びセキュリティクラウドが提供するサービスの範囲
本業務にて構築するシステム及び提供されるサービス全体を「青森県自治体情報セキュリティクラウ
ド」と称する。
セキュリティクラウドでは、本県及び県内市町村に対し以下のサービスを提供する。
・ インターネットから本県及び県内市町村の内部ネットワークに対する攻撃(DoS 攻撃、DDoS 攻
撃、標的型攻撃等)の検知及び遮断
・ 本県及び県内市町村の内部ネットワークからインターネットへの不正通信(C&C 通信、情報等)
の検知及び遮断
・ 本県及び県内市町村が公開する Web サーバに対する攻撃(SQL インジェクションやクロスサイ
トスクリプティングなどの攻撃やホームページの改ざんなど)の検知及び防御
・ セキュリティインシデント発生時の報告及び対策への助言
・ 本県及び県内市町村に対するヘルプデスク
・ 各システムの運用及び保守
・ 本県及び県内市町村からセキュリティクラウドまでの接続回線
・ セキュリティクラウドからインターネットへの接続回線
・ Web 閲覧及びメール送受信を実現するための付帯サービス(名前解決、時刻同期、WSUS など)
なお、セキュリティクラウドは平成 29 年 4 月から運用を開始する。平成 28 年度においてはハードウ
ェア及びソフトウェアの調達並びにシステムの構築を実施する。
-2-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
1.5
本調達における調達範囲
本業務における調達範囲は「表 1 調達範囲」のとおりとする。なお、本調達における提案の対象範囲
は、次年度以降の調達範囲を含め「表 1 調達範囲」に掲げる全ての調達項目とする。
表 1 調達範囲
項番
本調達
の範囲
調達項目
1
セキュリティクラウドに係るシステム及び運用の設計
◯
2
セキュリティクラウド関連機器一式及びその設置並びに設定
◯
3
セキュリティ運用サービスの調達
4
インターネット回線及び本県及び県内市町村からセキュリティク
ラウドへのアクセス回線
◯
5
当該機器を設置するデータセンター
◯
6
セキュリティクラウド提供に係るヘルプデスク、運用・保守業務
7
本県及び県内市町村のインターネット接続環境移行に当たっての
設計支援
◯
8
本県及び県内市町村に対するセキュリティクラウド及び情報セキ
ュリティに関する教育
◯
9
セキュリティクラウドサービス提供に必要とされる付随サービス
◯
次年度以降
の調達範囲
◯
-3-
◯
○
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
1.6
スケジュール
本業務の履行期間は、契約締結日から平成 29 年 3 月 31 日までとする。
また、本業務において構築するシステムの利用期間は、平成 29 年 4 月 1 日から平成 34 年 3 月 31 日ま
でとする。本業務の実施スケジュールは、「表 2 本業務の実施スケジュール」のとおりとする。
なお、セキュリティクラウドへの移行開始(平成 29 年 2 月)から本番運用(平成 29 年 3 月)までの
期間においても、本県及び県内市町村の業務に支障をきたさないよう必要な運用・保守を実施すること。
表 2 本業務の実施スケジュール
実施項目
実施期間
1
契約
平成 28 年 9 月
2
設計
平成 28 年 9 月
基本設計
平成 28 年
7
~平成 28 年 10 月
詳細設計
3
構築
平成 28 年 9 月
~平成 28 年 11 月
4
テスト
平成 28 年 10 月
テスト計画
~平成 29 年 1 月
単体テスト
結合テスト
総合テスト
受入テスト 等
5
移行
平成 28 年 9 月
移行計画
~平成 29 年 3 月
移行作業説明
移行設計支援
移行作業
6
等
教育
システムの教育
平成 28 年 11 月
~平成 29 年 1 月
セキュリティの教育
7
運用・保守
平成 29 年 4 月
~平成 34 年 3 月 31 日
-4-
8
9
10
平成 29 年
11
12
1
2
3
4
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
1.7
成果物
本業務における成果物は「表 3 成果物一覧」のとおりとする。
なお、各成果物は納入期限までに県の承認を受けるとともに、本業務完了時に紙媒体にて正本及び副
本各 1 部、電子ファイル(CD 又は DVD)1 部を提出すること。
表 3 成果物一覧
項番
1
工程
概要
納入期限
実施計画書
構築の範囲やスケジュール、体制、ドキ 契約締結後
ュメント、会議体等について記載した資 速やかに
料。
2
議事録
会議における決定事項、決定理由、課題 会議後 5 開庁
等について、参加者で合意の上、記録と 日以内
して残した資料。
3
完了届
本調達完了時に本調達が完了したことを 平成 29 年 3 月
届け出る資料。
末
基本設計書
導入するシステムについて技術的な実装 平成 28 年 9 月
方式・方法を記載した資料。
中旬
5
運用設計書
運用業務を実現するために必要となる方 平成 28 年 9 月
針や体制、条件について記載した資料。 下旬
6
詳細設計書
(Config 含む)
基本設計を基に各機器の詳細な設定内容 平成 28 年 10
等を記載した資料。
月中旬
7
ラック搭載図
ラックの搭載位置等を記載した資料。
8
ネットワーク論理構成 データのフローやシステムの多重構成を 平成 28 年 9 月
図
明示するために、VLAN レベルの構成や
中旬
IP アドレスを記載した資料。
9
ネットワーク物理配線 ハードウェア間等、ポート単位で物理配 平成 28 年 10
図
線の構成を記載した資料。
月中旬
10
構築手順書
作業品質を保つために、作業内容、作業 平成 28 年 9 月
手順を記載した資料。
下旬
テスト計画書
テストの目的や方針、スケジュールや体 平成 28 年 10
制、テスト環境等を記載した資料。
月下旬
テスト結果報告書
テスト計画書に基づいて実施したテスト テスト完了後
の結果を記載した資料。
速やかに
4
11
12
プロジェ
クト管理
成果物名
設計
テスト
-5-
平成 28 年 10
月中旬
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
項番
13
工程
移行
成果物名
移行計画書
概要
納入期限
移行の際に必要となる作業や条件、スケ 平成 28 年 10
ジュール等を記載した資料。
月下旬
14
本県及び県内市町村向 本県及び県内市町村の職員向けに移行の 平成 28 年 9 月
け移行作業説明資料
際に必要となる作業や条件の概要を記載 下旬
(概要版)
した資料。
15
本県及び県内市町村向 本県及び県内市町村の職員向けに移行の 平成 28 年 10
け移行作業説明資料
際に必要となる具体的な作業内容や詳細 月中旬
(詳細版)
な設定情報(パラメータ等)を記載した
資料。
16
移行作業報告書
移行作業結果の報告内容を記載した資
料。
教育計画書
教育の際に必要となる作業や条件、スケ 平成 28 年 10
ジュール等を記載した資料。
月中旬
17
教育
平成 29 年 3 月
下旬
18
本県(事務局)向け研 本県(事務局)向け研修として、セキュ 平成 28 年 10
修資料
リティクラウドのサービス及び運用に関 月下旬
する内容を記載した資料。
19
本県及び県内市町村向 本県及び県内市町村向け研修として、セ 平成 28 年 10
け研修資料
キュリティクラウドのサービス及び一般 月下旬
的なセキュリティに関する内容を記載し
た資料。
20
運用・保
守
運用・保守要領
各種申請様式
設定変更時や障害発生時等の際に必要と 平成 28 年 10
なる各種申請の方法や申請様式を記載し 月下旬
た資料。
21
サービスカタログ・利 機器の仕様や利用方法を記載した資料。 平成 28 年 10
用手引
月下旬
22
月次運用・保守報告書 システム運用・保守に関する実績報告、 月次
SLA 達成状況、課題管理状況、ヘルプデ
スク業務の対応履歴等を記載した資料。
23
月次監視報告書
セキュリティ運用(SOC)にて確認した 月次
不正アクセス件数推移、危険度別件数や
危険度の高い不正アクセスに関する検知
内容、推奨対処方法を記載した資料。
-6-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
2. 情報システム要件
2.1
機能要件
「図 2 セキュリティクラウド構成イメージ」に、セキュリティクラウドの構成イメージを示す。セ
キュリティクラウドに実装するべき機能は、
「表 4 機能一覧」の項番 1 から 16 のとおりとする。なお、
項番 14 に記載する機能については、希望する団体に対してのみ提供する。なお、本システムで必要と
なるハードウェア及びソフトウェアの提供については、総務省が求めているセキュリティ対策を実施で
きるものであること。
図 2 セキュリティクラウド構成イメージ
-7-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
表 4 機能一覧
項番
1
機能名
リバースプロキシ
機能概要
本県及び県内市町村の Web サーバとインターネットとのデータ送受
信を代理・中継する機能。
2
メールリレー
本県及び県内市町村の庁内からインターネット上に送信及びインタ
ーネットから庁内にメールを受信する際に中継する機能。
3
4
インターネット閲覧用プ
本県及び県内市町村の庁内にある端末からインターネット上の外
ロキシ
部サーバへの HTTP 及び HTTPS アクセスを代理する機能。
外部 DNS
本県及び県内市町村のインターネットドメインに関する DNS の問合
せに対して、インターネット上の DNS サーバに問い合わせて名前解
決を行う機能。
5
ファイアウォール
インターネットとの通信において、通信内容を検査し、本県及び県内
市町村のポリシーに従った通信制御を行う機能。
6
7
侵入検知/侵入防止
インターネットとの通信において、通信内容を検査し、パターンファ
(IDS/IPS)
イルとのマッチングにより、不正な通信を検知及び遮断する機能。
ふるまい検知
インターネットとの通信に含まれるファイルを隔離した疑似環境で
動作させ、マルウェアのような異常な動作をするプログラムを検知
する機能。
8
マルウェア検知
HTTP 及び SMTP における通信を監視し、ベンダーが提供するパターン
ファイルに基づき、マルウェア等の不正プログラムの検知及び隔離
処理を行う機能。
9
スパム対策
インターネットメールの受信時に、パターンファイルや事前に設定
したルールを基に検査することで、迷惑メール及びスパムメールの
拒絶を行う機能。
10
URL フィルタ
ベンダーが提供するブラックリストにより不正な IP アドレス及び
URL への接続を拒絶する機能。
11
ログ収集・分析
各機器のログを収集し、ベンダーが提供するパターンファイル及び
独自に設定したルールを基に検査することで、不正な事象又は不正
を疑われる事象を検知する機能。
12
コンテンツ改ざん検知
本県及び県内市町村の Web サーバ上のコンテンツが第三者によって
不正に書き換えられた場合、それを検知又は自動修復する機能。
13
WAF
本県及び県内市町村の Web サーバの通信において、SQL インジェクシ
ョンのような、コンテンツの脆弱性を狙った不正な通信を検知・防御
する機能。
14
15
メール及びファイル無害
インターネットからダウンロードしたファイルについて検疫を行い
化
無害化する機能。
時刻同期
セキュリティクラウドを構成する設備並びに本県及び県内市町村の
設備に係る時刻同期のための機能。
-8-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
16
WSUS
セキュリティクラウドの各サーバ及び本県及び県内市町村の WSUS(2
次配信)に対して Windows Update を配信する機能。
(1 次配信)
2.1.1 リバースプロキシ
本県及び県内市町村の Web サーバとインターネットとのデータ送受信を代理・中継するこ
とができること。
本県及び県内市町村の Web サーバ上のログに送信元 IP アドレスを表示するための設定が
できること。
アクセス制御等、リバースプロキシサーバに対するセキュリティ対策を行うこと。
2.1.2 メールリレー
SMTP(STD10、RFC2821、RFC2822 準拠)を使用した、インターネット経由の電子メールの送
受信ができること。
インターネットから受信するメールの宛先のドメインに応じて、該当する参加団体のメー
ルサーバに振り分けができること。
受信できるメール1通当たりの大きさの上限値は標準で 20MB とし、本県及び県内市町村ご
とに設定できること。
マルチドメインに対応すること。
第三者不正中継防止機能を有すること。
2.1.3 インターネット閲覧用プロキシ
本県及び県内市町村に対し、HTTP 及び HTTPS 通信に対するプロキシ接続機能が利用できる
こと。
プロキシモード、透過モードによる中継ができること。
本県及び県内市町村の端末は、パソコン、画面転送(SBC、VDI)に対応できること。
プロキシの多段構成への対応ができること。
2.1.4 外部 DNS
DNS プロトコル(STD13、RFC1034、RFC1035 準拠)を使用した DNS 機能が利用できること。
本県及び県内市町村からのインターネットドメインに関する DNS の問合せに対して、イン
ターネット上の DNS サーバに問い合わせて名前解決を行うこと。
改ざん防止対策等のセキュリティ対策を行うこと。
外部 DNS サーバ(プライマリ)から外部 DNS サーバ(セカンダリ)に対してゾーン転送で
きること。
TTL の間隔調整ができること。
本県及び県内市町村のプライマリ外部 DNS 環境の移行ができること。
外部 DNS サーバ(セカンダリ)は、セキュリティクラウド内に設置せず、ISP(インターネ
-9-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
ットサービスプロバイダ)サービスにて提供すること。
2.1.5 ファイアウォール
IP アドレスやポート番号について許可、拒否のルール設定し、通信制御ができること。
本県及び県内市町村ごとに独立した通信を可能とし、相互に干渉することのないよう、適
切な通信制御ができるように設定すること。
利用帯域に応じた処理性能を有すること。
設定は全団体共通の設定を原則とする。
2.1.6 侵入検知/侵入防止(IDS/IPS)
パケットを監視し、シグネチャや異常検出により不正通信を検知及び遮断できること。
ワーム、トロイの木馬、ウイルス、DDoS 攻撃等の脅威から、サーバ、端末及びネットワー
ク機器を防御することができること。
シグネチャの更新時に継続してセンサーが稼動し、非監視時間が発生しない(基本的に、
リブートやサービスの再起動が行われない)こと。
設定は全団体共通の設定を原則とする。
2.1.7 ふるまい検知
インターネットからのファイル等を仮想環境で動作させて挙動を監視し、マルウェア等の
不正プログラムを検知できること。監視対象は、Web 及びメール通信(本文、添付ファイル)
とする。
コールバックする通信について、検知及び停止ができること。
新種のマルウェアに対して、シグネチャの生成及び適用ができること。
メールの本文に記載される URL リンクを仮想環境にて検査できること。
2.1.8 マルウェア検知
HTTP 及び SMTP における通信を監視し、ベンダーが提供するパターンファイルに基づき、
マルウェア等の不正プログラムの検知及び隔離処理ができること。
パターンファイルは、自動更新により常に最新のものを保持すること。
2.1.9 スパム対策
インターネットからのメールについて、スパムメールの判別を行い、レベルに応じた隔離
処理ができること。
2.1.10
URL フィルタ
ベンダーが提供するブラックリストにより不正な IP アドレス及び URL への接続を拒絶で
きること。
全自治体が共通して接続を制限するべき URL 等の設定ができること、かつ本県及び県内市
-10-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
町村ごとに設定も可能であること。また、本県及び県内市町村が定義したリストによるア
クセス制限ができること。
ブラックリスト方式、ホワイトリスト方式に対応していること。
カテゴリごとにアクセスの制限ができること。
規制カテゴリは自動メンテナンスされ、新サイトにも自動的に対応できること。
特定の Web サイト(掲示板等)に対して、書き込み制限ができること。
C&C サーバや悪意のある Web サイトへのアクセスを制限するため、当該通信に対する専用
のデータベースを有していること。
2.1.11
ログ収集・分析
セキュリティクラウド上の全ての機器が出力するログ及び本県及び県内市町村の LGWAN フ
ァイアウォールのログを収集すること。なお、本県及び県内市町村の LGWAN ファイアウォ
ールのログ容量(年間)は、約 300GB(41 団体の合計値)を想定している。
各ログは、1 年間分を保存すること。さらに、5 年間分をアーカイブする機能を持たせるこ
と。(検索できること)
相関分析が可能な SIEM(Security Information and Event Management)システムを導入
すること。
必要なルールを個別に作成可能なこと。
ログ収集の対象となる機器との間に動作実績があること。
収集されたデータを効率的に保存及び圧縮できるものであること。
要求する運用に対応可能な機器、機能を提供すること。
2.1.12
コンテンツ改ざん検知
本県及び県内市町村の Web サーバ上のコンテンツが第三者によって不正に書き換えられた
場合、それを検知できること。
2.1.13
WAF
本県及び県内市町村の Web サーバとインターネットとの通信について、セキュリティベン
ダーが提供するパターンによるマッチング等により、Web アプリケーションの脆弱性を狙
った不正な通信等(例えば SQL インジェクションやクロスサイトスクリプティング等)の
検知・防御ができること。
本県及び県内市町村の Web サーバに合わせて必要なチューニング等を行うこと。
2.1.14
メール及びファイル無害化
インターネットからダウンロードしたファイルについて検疫を行い、無害化できること。
メールの添付ファイルを無害化できること。
メール本文の URL を含むリンクを無効化できること。
HTML メール及びリッチテキストメールの本文テキスト化を実施したメールと無害化処理を
-11-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
行わないメールを別々のネットワークへ配送することができること。
2.1.15
時刻同期
NTP を使用した時刻補正機能が利用できること。
インターネット経由で日本国内の公開 1 次 NTP サーバから標準時刻の取得を行う等の方法
により、セキュリティクラウド内の全てのサーバ、ネットワーク機器の時刻同期を定期的
に行うこと。
利用団体のインターネット接続系機器に時刻同期ができること。
必要に応じて、利用団体の事務系、LGWAN 接続系及び管理系セグメントを含めた全体に対す
る NTP 機能の提供することができること。
2.1.16
WSUS
セキュリティクラウド内のサーバ機器へ Windows Update の配信を行うことができること。
インターネット接続系セグメントに設置された本県及び県内市町村の Windows Update2 次
サーバへ配信を行うことができること。また、配信方法は、ネットワークを経由した配信
及び外部記憶媒体を利用した配信の 2 パターンを想定している。本県及び県内市町村の構
成によって団体ごとに配信方法が異なる可能性があるため、留意すること。
なお、WSUS 機能を提供する上で必要なライセンス及び構成については、必ず下記マイク
ロソフト社の担当へ連絡の上、詳細を確認すること。
日本マイクロソフト株式会社
コーポレート営業統括本部
ライセンスソリューション部 入札問い合わせ窓口
Mail:[email protected]
2.2
規模要件
2.2.1 利用者
利用者は、青森県及び県内 40 市町村の計 41 団体の職員(約 23,000 人)
。
2.2.2 想定アクセス数
想定するアクセス数は、
「表 5 想定アクセス数」のとおりである。
表 5 想定アクセス数
項目
数値
備考
クライアントパソコン数
約 13,000 台
メールアカウント数
約 22,000 アカウント
メール送受信数
約 100,000 通/日
-12-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
2.2.3 利用時間帯
セキュリティクラウドの利用時間帯は、
「表 6 セキュリティクラウドの利用時間帯」のとおりで
ある。
表 6 セキュリティクラウドの利用時間帯
2.3
項目
数値
備考
システム利用
24 時間 365 日
利用者対応
開庁日の 8:30~17:15
性能要件
セキュリティクラウドは、
「2.2 規模要件」、
「3.3 ネットワーク要件」を参考に、5 年間の利用に耐えう
る性能を有すること。
2.4
信頼性要件
セキュリティクラウドは以下の信頼性要件を満たすこと。また、必要に応じて要件に記載されている
以外の信頼性向上施策を提示すること。
耐障害性や可用性を重視して、信頼性の高い構成とすること。
十分に実績のある機器を選定すること。
サーバ、セキュリティ機器、ネットワーク機器ともに原則として二重化して信頼性を高め、
片方の機器に障害が発生しても他の機器で通常通り業務が継続できること。
各種保存データや設定ファイル等の情報は正確に記録・保存されること。
「10.SLA(サービスレベル合意)」の要件を満たす構成とすること。
2.5
拡張性要件
セキュリティクラウドは以下の拡張性を考慮すること。
ハード、ソフトともに 5 年間(60 か月)の利用を見越した最適な拡張性を保持すること。
以下の事項について、追加要件が発生しても柔軟に対応できる設計とすること。
なお、ストレージのディスク増設時は既存ファイルを待避させることなくディスクの増
設が行えること。また、ディスク増設時は、筐体を増設することなくモジュールやブレー
ド等の追加によって拡張可能なこと。
・ サーバの CPU、メモリ、ディスク及びポート等
・ ネットワーク機器のポート数
・ ストレージのディスク
・ 回線の帯域
-13-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
3. 稼働環境要件
3.1
全体構成
セキュリティクラウドを構築するために必要な機器は、日本国内のデータセンターに設置すること。
また、今後システムを拡張した際にも柔軟に対応できるように構成すること。
3.2
機器設置場所に関する要件
設置場所は、受託者の提案するデータセンターとし、要件は以下のとおりとする。
地震、風水害、津波及び落雷等の自然災害の少ない場所に立地していること。
活断層直近の立地でないこと。
過去に液状化の被害がない地域であること。
震度 6 の直下型地震に耐える基礎耐震若しくは基礎免震構造であること。
消防法に基づいた消火設備及び火災感知設備を有すること。
消火設備は、ガス系消火設備か窒素消火設備とすること等、機器にダメージを与えない方
式を採用すること。
避難経路を複数確保する観点で建物への出入口が 2 箇所以上設けられていること。
キャリアダイバーシティに対応しており、経路の異なった 2 系統以上の回線引込みができ
ること。
不具合や障害発生時、点検実施に影響なく 24 時間連続運転ができること。
マシンルーム内は無窓等、外部から内部を見せない構造とすること。
マシンルームは防火区画されていること。
無停電電源装置等による電源障害対策が施されていること。
停電時に非常用自家発電機で電源供給されるまでバッテリー供給等で対応できること。
二重化等の信頼性を確保した空調設備であること。
侵入検知センサー、監視カメラ、入退室管理システム等による機械警備システムが導入
されていることにより、高水準なセキュリティが保たれていること。
建物への入退館は 24 時間 365 日可能であり、入退館の際には有人又は機械警備システム
による監視、記録がなされていること。
ISMS(ISO27001)を取得していること。
「12.4 情報セキュリティに関する受託者の責任 (6)」に係る作業において、本県が監査
を目的とし建物内へ入退室ができること。
-14-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
3.3
ネットワーク要件
セキュリティクラウドの利用に必要となるネットワーク及び関連機器を準備し設定すること。ネット
ワークの準備に当たり発生する作業は、本調達の範囲に含めること。
3.4
回線要件
複数の回線及びキャリアによる接続ができること。
150 個以上の IPv4 グローバルアドレスを提供すること。必要に応じて IPv4 グローバルア
ドレスの追加に対応できること。
セキュリティクラウドからインターネットへの出口回線として、1Gbps 帯域確保以上の回
線を準備すること。
各団体からセキュリティクラウドまでのアクセス回線として、IP-VPN(データ送受信最大
概ね 1Gbps)による回線を準備すること。
(各団体へのルータ等の必要な機器設置まで行う
こと。
)なお、団体ごとのアクセス回線の帯域確保に必要な帯域幅は、概ね以下のとおりで
ある。
・ 100Mbps
4 団体
・ 50Mbps
7 団体
・ 20Mbps
30 団体
平成 29 年度以降の運用費の見積りには、回線利用料金を含めること。
運用開始後は 24 時間 365 日保守対応が可能なこと。
-15-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
4. 設計作業要件
4.1
基本設計
基本設計では、セキュリティクラウドに係る要件を最終確認後、サーバ、ネットワーク、セキュリテ
ィ等の設計内容を記述するとともに、運用・保守における設計も行うこと。
以下に、基本設計で必要と考える事項を示す。なお、サービスを提供する上で、その他に必要な事項が
ある場合は、追加すること。
・ 設備設計(データセンター)
・ IP アドレス設計
・ ルーティング設計
・ 物理構成設計
・ 論理構成設計(ネットワークトポロジ等)
・ 回線構成設計(インターネット回線、アクセス回線)
・ 情報セキュリティポリシー設計
・ 運用設計(運用・保守・監視 等)
・ 機能・サービス設計
・ サーバ設計
・ その他(セキュリティクラウド運用事業者と本県及び県内市町村等の責任分界点 等)
4.2
詳細設計
詳細設計では、基本設計を基にセキュリティクラウドで運用される各機器等の主要な設定項目につい
て設定内容の方針や理由を記述すること。
以下に、詳細設計で必要と考える事項を示す。なお、サービスを提供する上で、その他に必要な事項が
ある場合は、追加すること。
・ 回線のパラメータ設計
・ ネットワーク機器のパラメータ設計
・ セキュリティ機器のパラメータ設計
・ サーバのパラメータ設計
・ 運用・保守に関わる機器のパラメータ設計
・ その他(機器構成図、ラック実装図、電源・空調等の設置環境 等)
-16-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
5. 構築作業要件
5.1
構築作業
構築作業は、以下の要件を満たすこと。
基本設計及び詳細設計の内容に基づき、調達した機器及び回線の構築を行うこと。
本県と協議の上、構築手順書を作成し、承諾を得ること。
調達した機器をネットワークに接続するための LAN ケーブル等の敷設を実施すること。調
達した機器は、本県と合意したネットワーク接続以外の接続を行わないこと。
5.2
本県及び県内市町村の庁舎内における構築作業
本県及び県内市町村の庁舎内にて構築作業を行う際には、以下の要件を満たすこと。
本県及び県内市町村の指示する場所に搬入・設置を行い、梱包箱・残ケーブル等当該機器
の利用に不要なものは撤去すること。なお、運用開始日以前に当該機器の設置場所の変更
が生じた場合は、本県及び県内市町村の指示に従って移設等を行うこと。
調達した機器を本県及び県内市町村のネットワークに接続するための LAN ケーブル等の
敷設を実施すること。調達した機器は、本県及び県内市町村と合意したネットワーク接続
以外の接続を行わないこと。
本県及び県内市町村のネットワークの安定した稼働及び業務の継続に影響を与えることが
ないよう、作業を実施するに当たっては、事前に作業内容を説明の上、作業日程等を調整
すること。
本作業により、稼働中の本県及び県内市町村のネットワーク等に影響を与えた場合は、受
託者の責任と負担において対処すること。
-17-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
6. テスト作業要件
6.1
テスト作業
テスト作業は、以下の要件を満たすこと。
テスト作業は、機能、性能、運用、セキュリティ等の評価を行い、セキュリティクラウドの
設計内容の妥当性を確認することを目的とし、具体的な評価項目については、本県に承認
を得ること。
テスト環境での事前評価と本番環境での受入れテストを想定すること。
テスト内容には正常時の動作確認、単一障害時の動作確認、既存設備との総合接続試験を
含むこと。
テストは以下の事項に留意して実施すること。
・ 障害を想定する試験については影響範囲を見極め、本県と実施の検討を行うこと。
・ 既存設備の構成変更作業が必要な場合には、本県及び既存システムの事業者に対して、
提案と説明を行うこと。
・ テスト結果は本県に対して報告を行い、承認を得ること。
その他、上記以外にも必要と判断されるテストを実施すること。
6.2
テスト実施計画策定
テストに当たっては、以下のとおりテスト計画を策定すること。
受託者による動作確認テスト、本県による受入れテストの各々について、各テスト実施前
にテスト実施計画書を提出し、本県の承認を得ること。
テストを実施する日程及び時間帯については、本県と別途協議すること。
-18-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
7. 教育要件
7.1
教育の実施
セキュリティクラウドの効率的な運用を目的として、本県(事務局)の担当者に対し教育を実施する
こと。また、セキュリティクラウドが提供するサービスの理解と情報セキュリティリテラシの向上を目
的として、本県及び県内市町村の情報セキュリティ担当者に対して教育を行うこと。教育の実施に当た
っては、「教育計画書」を作成し、本県の承認を得た上で作業を進めること。
・ 教育目的と対象
・ 教育実施体制と役割
・ 教育作業内容
・ 教育スケジュール
・ 教育環境
・ 教育内容(教育用教材)
7.2
本県担当者(事務局)の教育
事務局を運営する本県担当者に対する教育は、以下の要件を満たすこと。
セキュリティクラウドが提供するサービス及び運用方法等に関する内容を扱い、セキュリ
ティクラウドの効率的な運用に資する研修とすること。
教育対象者は、本県担当者(事務局)とする。なお、場合によって、本県のシステムに関係
する事業者が参加することがあるため、留意すること。
教育を実施するに当たり、
「教育計画書」を作成し、担当職員の承認を得ること。
教育は、移行開始前及び次年度以降は年 1 回以上実施すること。
教育実施後は「教育報告書」を提出し、担当職員の承認を得ること。
7.3
本県及び県内市町村の情報セキュリティ担当者の教育
本県及び県内市町村の情報セキュリティ担当者に対する教育は、以下の要件を満たすこと。
セキュリティクラウドが提供するサービスの内容及び情報セキュリティに関する一般的な
内容を扱い、セキュリティクラウドに対する理解促進とセキュリティリテラシ向上に資す
る研修とすること。
教育対象者は、本県及び県内市町村の情報セキュリティ担当者とする。なお、本県及び県
内市町村のシステムに関係する事業者が参加することがあるため、留意すること。
教育を実施するに当たり、
「教育計画書」を作成し、担当職員の承認を得ること。
教育は、移行開始前及び次年度以降は年 1 回以上実施すること。
教育実施後は「教育報告書」を提出し、担当職員の承認を得ること。
-19-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
8. 移行支援作業要件
8.1
移行支援作業
移行支援作業は、以下の要件を満たすこと。
移行作業は、機器設置・設定のみではなく、各種配線の切替え作業を含むこと。
本県及び県内市町村に設置するセキュリティクラウド接続用のルータまでを責任分界点と
して含むこと。
移行日程については、本県及び市町村と協議のうえ決定するものとする。
移行期間中は、本県及び県内市町村からの問合せに対して、受託者のうち本業務の設計・
構築に係った者が対応するよう体制を整備すること。また、移行作業の実施時間帯は、事
前に協議の上、開庁日の 8 時 30 分から 17 時 15 分以外の時間帯においても問合せに対応で
きるよう体制を整備すること。
8.2
移行計画策定
本県及び県内市町村がセキュリティクラウドへの接続を効率的に実施できるよう、以下の要件で支援
すること。
安全で最適な移行を実現するために、基本設計、詳細設計の内容に従って、移行に関わる
作業を「移行計画書」としてまとめ、本県の承認を得ること。また、移行期間中は運用中の
システムになるべく影響が出ないように考慮し、計画を立てること。
移行計画書には、移行の際に本県及び県内市町村で必要となる作業や条件について、具体
的に記述すること。
移行計画の策定にあたっては、移行作業の流れ、ネットワークの停止時間、移行によるネ
ットワークへの影響範囲を明確に示し、本県及び県内市町村に示すこと。
本県及び県内市町村が導入した(本調達外の)機器についても移行支援の対象とすること。
-20-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
9. 運用・保守役務要件
9.1
ヘルプデスク要件
9.1.1 問合せ対応
本県及び県内市町村の情報システム担当者からの問合せ窓口として、ヘルプデスクを設置
すること。
電話、FAX、電子メール等を用意し、本調達で導入する機器及びサービスに関する問合せに
対応すること。
ヘルプデスクへの問合せに対しては、可能な限りヘルプデスクから回答できる工夫をし、
その場で回答できない場合には、運用部門等への照会を行うこと。
ヘルプデスクは日本国内に設置し、日本語で対応可能であること。
電話対応は、開庁日の 8 時 30 分から 17 時 15 分 まで受付し、応対すること。
電子メール、FAX 等は 24 時間受付を行い、受付時間外に受信した問合せへの回答は、翌開
庁日に対応すること。
問合せ者やその内容等の漏えい・紛失を防ぐ対策を行うこと。
運用責任者を設置し、問題への対応、指示などを適切に行える体制を整えること。
応対者については必要な人数の確保、及び教育を実施し、運用に支障を生じさせないこと。
9.2
システム運用・保守要件
9.2.1 障害管理
24 時間 365 日、機器障害等のアラート発生の通報に対応できる体制を整備すること。
機器障害等のアラート発生の通報を受けたときは、機器の稼働状況やアラートの発生原因
を早急に確認すること。なお、監視内容及び障害判定条件は「表 7 監視要件」のとおり
とする。
重大な機器障害発生時(アラート発生時において、運用への影響がある場合)は、定期報
告によらず、遅滞なく本県に報告するとともに、回復措置を実施すること。回復後、早急
に対応記録、再発防止策を報告すること。
表 7 監視要件
監視メニュー
監視内容
障害判定基準(例)
Ping 監視
監視対象機器への Ping による状態監視
連続 3 回応答がないとき
Syslog 監視
監視対象機器の Syslog ファイルを監視
予め登録したメッセージが出
力されたとき
リソース監視
サーバ機器の CPU 使用率、ディスク使用率な
使用率が警告閾値を超えたと
どを監視
き
プロセス監視
プロセスの稼働状況を監視
プロセス障害を検知したとき
パフォーマンス
ネットワーク機器の破棄パケット率及びエ
予め設定した閾値を超えたと
監視
ラーパケット率を監視
き
-21-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
9.2.2 維持管理
本調達で導入する機器及びサービスについて、運用期間中の OS やサービスに必要なアプリ
ケーションのパッチ修正適用作業を行うこと。
本県が必要と認める設定変更等の作業を実施すること。ただし、大幅な仕様の改訂につい
ては別途協議とする。
本項目の維持管理の範囲は、Web サーバ等、本県及び県内市町村が個別に調達した機器を含
まないものとする。ただし、Web サーバ更改協議等、セキュリティクラウドの利用に関し
て、情報提供等が必要な支援は実施すること。
9.2.3 構成管理
本調達で導入する機器(ソフトウェアを含む)について、システム構成の変更、保守作業
の管理等、システムの構成に関する情報管理を行うこと。
システム構成の変更等が発生したときは、関連するドキュメントの内容改訂を行い、本県
に提出すること。
9.2.4 バックアップ管理
各サーバ、
セキュリティ機器及びネットワーク機器のシステムデータ(Config ファイル等)
のバックアップを、設定変更の都度、取得すること。
障害発生時に、バックアップデータからシステムへのリストアを行うこと。
9.2.5 月次報告
月次報告は、保守運用レベルの維持管理を行うことを目的とする。受託者は、
「月次運用・
保守報告書」を作成し、本県が指定する場所(青森市内)にて報告を行うこと。
報告内容に基づき、実績の評価、問題対応結果の評価及び実施対策の評価を行うものと
する。また、報告内容に基づき、再発防止策の検討及び計画・予防施策実施の検討を行う
ものとする。
本県に提出する「月次運用・保守報告書」の内容は、概ね以下のとおりである。
・ 実績報告
・ 問題対応結果の報告
・ 再発防止策の提案
・ 計画・予防施策の提案
・ 実施対策の報告
・ 事前に設定したサービス指標管理状況
・ 課題管理状況
・ ヘルプデスク業務の対応履歴
受託者は、運用保守レベルが未達成の場合、速やかに原因を究明し、業務への影響や緊急
性等の重要性に基づき、リソースの増強や代替手段の適用など、暫定的、中長期的に必要
な措置を無償にて講じること。なお、原因が本調達以外の外部的なものである場合は、そ
-22-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
の理由及び対策案を可能な限り提示し、指示を受けること。
9.2.6 ハードウェア保守
保守対象機器は、本調達で納入する全ての機器とする。
日本語で対応ができること。
現地対応体制としては、障害発生又は本県の求めに応じて 1 時間以内を目標に対応を開始
すること。
機器については、設置から撤去までの期間は、当該機器及びそれを構成する部品の調達が
保証されること。
潜在的不具合がある場合は、機器に関する技術的な問題点の情報を無償にて速やかに公開
し配布するとともに、本県の指示に従い機器への導入及び動作確認を行い、正常に動作す
ることを保証すること。
機器に障害のあった場合は、障害箇所の特定、原因調査、復旧作業の切り分け、本県との
協議、復旧対応(部品の交換、修理等)等を速やかに行うこと。
障害対応終了後、障害内容、原因及び対応内容等について本県に対し、作業報告を行うこ
と。
9.2.7 ソフトウェア保守
保守対象ソフトウェアは、本調達で納入する全てのソフトウェアとする。
日本語で対応ができること。
ソフトウェアの潜在的な不具合及びセキュリティ上の不具合に対応する修正プログラムの
適用を行うこと。
ソフトウェアに障害があった場合、メーカ等の保守担当者による障害箇所の特定、原因調
査、復旧作業の切り分けを実施し、復旧対応については、必要な技術情報の提供等の支援
を行うこと。
9.3
セキュリティ運用
9.3.1 セキュリティ監視・分析
SOC には、常時、セキュリティ監視及びセキュリティアラートの分析を行う専門の技術者
(以下、「セキュリティアナリスト」という。
)を配置すること。
出力するセキュリティログに対し 24 時間 365 日有人によるリアルタイムセキュリティ監
視を実施すること。
セキュリティインシデント及び月次報告に関する情報などを掲載するための Web ポータル
サイトを受託者側で用意すること。
インターネット~本県及び県内市町村の双方向の通信において、セキュリティアナリスト
による分析結果(危険度)に応じて、対策の助言を行うこと。なお、出力される全てのセキ
ュリティログを監視対象とすること。
不審な通信、マルウェアへの感染・活動等及びその兆候を検知した場合、速やかに不審な
-23-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
通信等か否かの調査を実施すること。
インシデント発生元は、可能な限り「どの自治体のどの端末か」までを特定すること。た
だし、本県及び県内市町村が端末特定を希望しない場合や本県及び県内市町村のプロキシ
サーバ等が端末特定に必要な機能を有していない場合には、この限りでない。
セキュリティ監視業務における危険度の分析基準は、検知シグネチャに定義された危険度
ではなく、監視対象ネットワークに対する影響度及び不正アクセス等の成否によって 4 段
階以上で定義すること。
「表 8 危険度の分析基準」に例を記述する。
表 8 危険度の分析基準
項目
危険度 3
内容
攻撃が成功し、C&C サーバとの通信成功や Web サイトの改ざん等、
明らかに被害が発生しているもの。
危険度 2
攻撃が成功した可能性が高い又は攻撃の失敗が確認できないため、
被害が発生している可能性があるもの。
危険度 1
攻撃は発生しているが、攻撃の失敗を確認したため、被害は発生し
ていないもの。
危険度 0
調査活動など、直接的に被害は発生しないもの。
上記(7)の基準において、不正アクセスの成功の可能性が高い又は成功している場合、セキ
ュリティインシデントと判断してからセキュリティアナリストより電話又はメールで緊急
連絡を行うこと。その際、受託者側で用意する Web ポータルサイトへの情報掲載によって
も連絡を行うこと。
危険度が高いと判断されるセキュリティインシデントを検知し、その内容から攻撃元の IP
アドレスが特定できる場合においては、攻撃元の IP アドレスからの通信を遮断する設定を
ファイアウォール若しくは IPS に追加して遮断する機能を有すること。
セキュリティアナリストによる統計解析を実施すること。また、製品では検知できない
未知のマルウェアなどについても発見できるよう努めること。
独自に悪性情報の収集を行い、その結果得られた C&C サーバのブラックリストなどを用
いて、日本で使用されているマルウェア感染の分析を行うこと。
必要に応じて、独自のブラックリストや外部機関から情報を収集し、悪意のあるドメイ
ンや IP アドレスであることを判定し、分析を行うこと。
本県及び県内市町村の情報セキュリティ担当者からの求めに応じて、セキュリティクラ
ウドで稼働する機器のログを提供すること。
セキュリティクラウド上に設置しているインターネット閲覧用プロキシのログをリアル
タイムに分析し、遠隔操作型のマルウェア感染、感染したマルウェアによる情報漏えいの
可能性、また、詐欺ソフトウェア、アドウェア等のマルウェア感染について調査、報告を
-24-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
行うこと。
インターネット閲覧用プロキシのログの以下項目を分析対象とすること。
・ 日時、リクエストメソッド
・ 送信先情報(ドメイン、ポート番号、URL)
・ 送信元 IP アドレス
・ レスポンスコード
・ リファラー
・ ステータスコード
9.3.2 セキュリティインシデント発生時の役割分担
セキュリティインシデント発生時の本県及び県内市町村と受託者との役割は「表 9 セキュリテ
ィインシデント発生時の役割分担」を想定している。なお、詳細は、運用設計時に実施するものと
する。
表 9 セキュリティインシデント発生時の役割分担
詳細
セキュリティ
県
運用
(事務局)
県+市町村
1.セキュリティアラートの検知
〇
2.通知要否判断(運用設計ルールに従う)
〇
3.アラート対象団体確認
〇
4.セキュリティインシデント発生の報告
〇
5.端末特定
〇
〇
(プロキシ設定対応
(SC 側で特定不
団体のみ)
可団体のみ)
6.対応推奨案提示(NW 遮断等)
〇
7.対応実施判断(NW 遮断等)
△
〇
(連絡不通時等)
8.NW 遮断
〇
9.被害状況や影響範囲の確認
△
〇
(SC 側のログ確
認)
10.恒久対策の立案・実施
〇
〇
11.セキュリティインシデントの状況報告
〇
〇
12.対応結果の報告
〇
〇
〇
SC:セキュリティクラウド
-25-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
9.3.3 月次報告
セキュリティ監視分析結果については、Web ポータルサイトを通して提供し、結果を随時更
新すること。
検知したイベントについて、月ごとに「月次監視報告書」を作成し、本県が指定する場所
(青森県内)にて報告を行うこと。なお、
「月次監視報告書」には「表 10 月次報告内容」
の内容を含むこと。
表 10 月次報告内容
項目
内容
全体傾向
SOC にて確認した不正アクセス件数推移、危険度別件数
個別傾向
団体における不正アクセス件数推移、危険度別件数、上位検知シグ
ネチャ、本県担当者と構築事業者間の連絡、対応履歴
詳細情報
危険度 2 以上の不正アクセスに関する検知内容、推奨確認方法、推
奨対処方法
-26-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
10. SLA(サービスレベル合意)
セキュリティクラウドは、運用開始に当たり受託者と運用・保守に係る契約を締結する予定である。
その際、SLA を締結するものとする。SLA の締結に当たっては、以下の要件を満たすことを条件とするた
め、以下のサービスレベルを前提とした提案・設計・構築を実施すること。
セキュリティクラウドによるサービス提供時間は 24 時間 365 日とする。
保守等に伴う予定停止は年 4 回以内とし、各回とも 22:00~6:00 までの時間帯とする。
予定停止は 4 週間以上前に通告し、県の承認を受けるものとする。ただし、法定停電によ
る停止は当該停止回数に含めないものとする。
インターネット接続の稼働率は、99.9%以上を確保すること。
通信速度は、業務に支障が生じないよう十分な速度を維持すること。通信の遅延が発生し
た場合には原因を調査し、対策案を提示すること。
セキュリティインシデント発生から第 1 報の報告までの時間は 30 分以内とし、遮断を実施
するまでの時間は 60 分以内とする。遮断に係る条件は、別途協議する。
問合せに対する1次回答までの時間を 4 時間以内とし(ヘルプデスクサービス提供時間内
でのみカウント)、1 次回答にて解決策等の提示をできない場合には問合せへの対応予定を
提示すること。
-27-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
11. プロジェクト管理
11.1 作業体制
受託者は、本業務を履行できる体制案を提出し、本県の了承を得ること。なお、原則とし
て体制の変更は認めず、やむを得ず変更する場合は事前に本県の了承を得ること。
プライバシーマークの認定を受けている又はこれと同等の個人情報保護のマネジメントシ
ステムを確立していること。
本業務を実施する組織・部署において、本業務の実施を適用範囲に含んだ ISMS(情報セキ
ュリティ管理システム)
について ISO/IEC27001 又は JISQ27001 に基づく認証を取得、
又は、
同水準のセキュリティ管理体制を確立していること。
ISO9001 又は同等の品質管理体制を確立していること。
都道府県、市町村又は特別区の庁内ネットワークを構築・運用した実績を有すること。
受託者は、本業務の履行が確実に行われるよう、本業務の全期間に渡って、必要となるス
キル、経験を有した要員の確保を保証すること。本業務の従事者には下記資格等の保持者
を充てること。
① プロジェクトマネージャは、以下の要件を満たすこと。
ア) 本調達と同等規模のサーバ、セキュリティ機器、ネットワーク機器の設計・構築及
び運用に関する管理の実績を有すること。
イ) 情 報 処 理 技 術 者 試 験 プ ロ ジ ェ ク ト マ ネ ー ジ ャ 又 は PMP ( Project Management
Professional)の資格を有すること。
② SOC(委託先を含む。
)に従事する者のうち 1 名以上は、以下の要件を満たすこと。
ア) 本調達と同等規模のセキュリティ管理やログ分析等の運用管理に関する実績を有す
ること。
イ) 以下のいずれかの資格を有すること。
・ (ISC)2 の情報セキュリティプロフェッショナル認定資格「CISSP」
・ 日本行政情報セキュリティプロフェッショナル認定資格「JGISP」
・ 米国 SANS Institute 社の情報セキュリティ認定資格「GIAC」
・ 米国 Guidance Software 社の認定資格「EnCace Certified Examiner」
(EnCE)
・ 米国 AccessData 社の認定資格「AccessData Certified Examiner」
(ACE)
・ ISACA(情報システム監査コントロール協会)の認定資格「CISA」
③ セキュリティ運用を行う SOC は、以下の要件を満たすこと。
・ セキュリティにおける SOC サービスを過去 1 年間以上実施していること。
・ 本調達で導入するセキュリティ機器を使用したセキュリティインシデント等の分
析における実績を有すること。
・ 過去に中央省庁又は地方公共団体におけるセキュリティ分析サービスを複数件実
施していること。
本県職員が受託者に対し、常時契約履行状況に関する確認を行える体制とすること。なお、
-28-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
受託者は作業体制図を作成・提出すること。
11.2 工程管理
本業務の遂行に当たっては、本業務の開発計画書等に定めた事項を遵守し、PMBOK(Project
Management Body of Knowledge)又はこれに類するプロジェクト管理体系に準拠したプロ
ジェクト管理を行うこと。
本業務の実施に先立ち、WBS 及びガントチャートによる作業工程を提示し、本県の承認を得
ること。
各工程のマイルストーンごとに、成果物のレビューを行うこと。レビューの範囲及び方法
は事前に定め、本県の承認を得ること。
各作業に関する打合せ、納品物等のレビュー及び作業進捗確認のため、作業期間中、原則
として 2 週間に 1 回以上、定例会議を行うこと。
定例会議の開催に当たっては当該定例会議の議事次第を事前に提示するとともに、会議終
了後 5 営業日以内に議事録を提出すること。議事録の様式及び記載内容は、事前に本県の
承認を得ること。
作業に遅延が生じた場合にはその理由を明らかにするとともに、対策を提示すること。
本業務の実行中に生じる課題については、課題管理表にまとめ、定例会議ごとに対応状況
を報告すること。
-29-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
12. 契約条件等
12.1 業務の再委託
受託者が本調達の全部を第三者に再委託することは禁止する。
受託者が本調達の一部を第三者に委任又は再委託する場合には、本調達の提案書に、再委
託の相手方の商号又は名称、住所、再委託する理由、再委託する業務の範囲等を記載し、
本県の了承を得ること。
受託者は、再委託の相手方が行った作業について全責任を負うものとする。また、受託者
は再委託の相手方に対して本調達の受託者と同等の義務を負わせるものとし、再委託の相
手方との契約においてその旨を定めるものとする。
12.2 知的財産権の帰属等
本調達の作業により作成する成果物に関し、本県独自に開発した箇所については、著作権
法(昭和 45 年 5 月 6 日法律第 48 号)第 21 条、第 23 条、第 26 条の 3、第 27 条及び第 28
条に定める権利を含む全ての著作権を本県に譲渡し、本県は独占的に使用するものとする。
なお、受託者は本県に対し、一切の著作者人格権を行使しないものとし、第三者をして行
使させないものとする。また、受託者が本調達の納入成果物に係る著作権を自ら使用し、
又は第三者をして使用させる場合、本県と別途協議するものとする。
成果物に第三者が権利を有する著作物が含まれているときは、本県が特に使用を指示した
場合を除き、受託者は当該著作物の使用に関して費用の負担を含む一切の手続を行うもの
とする。 なお、このとき、受託者は当該著作権者の使用許諾条件につき、本県の了承を得
るものとする。
本調達の作業に関し、第三者との間で著作権に係る権利侵害の紛争等が生じた場合、当該
紛争の原因が専ら本県の責めに帰す場合を除き、受託者は自らの負担と責任において一切
を処理するものとする。なお、本県は紛争等の事実を知ったときは、速やかに受託者に通
知するものとする。
12.3 機密保持
受託者は、本調達に係る作業を実施するに当たり、本県から取得した資料(電子媒体、文
書、図面等の形態を問わない。
)を含め契約上知り得た情報を、第三者に開示又は本調達に
係る作業以外の目的で利用しないものとする。ただし、次の①から⑤のいずれかに該当す
る情報は除くものとする。
① 本県から取得した時点で、既に公知であるもの。
② 本県から取得後、受託者の責によらず公知となったもの。
③ 法令等に基づき開示されるもの。
④ 本県から秘密でないと指定されたもの。
⑤ 第三者への開示又は本調達に係る作業以外の目的で利用することにつき、事前に本県
-30-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
に協議の上、承認を得たもの。
受託者は、本県の許可なく、取り扱う情報を指定された場所から持ち出し、あるいは複製
しないものとする。
受託者は、本調達に係る作業に関与した受託者の所属職員が異動した後においても、機密
が保持される措置を講じるものとする。
受託者は、本調達に係る検収後、受託者の事業所内部に保有されている本調達に係る本県
に関する情報を、裁断等の物理的破壊、消磁その他復元不可能な方法により、速やかに抹
消するとともに、本県から貸与されたものについては、検収後 1 週間以内に本県に返却す
るものとする。
12.4 情報セキュリティに関する受託者の責任
受託者は、本県のセキュリティポリシーに従って受託者組織全体のセキュリティを確保す
ること。
受託者は、本県のセキュリティポリシーに従い、受託者組織全体のセキュリティを確保す
るとともに、発注者から求められた当該業務の実施において情報セキュリティを確保する
ための体制を整備すること。
本県以外で作業を行う場合も、本県のセキュリティポリシーに従い、情報セキュリティを
確保できる環境において行うこと。
受託者は、本県からの求めがあった場合に、受託者の資本関係・役員等の情報、受託作業
の実施場所に関する情報、受託業務の従事者の所属・専門性(情報セキュリティに係る資
格・研修実績等)・実績及び国籍に関する情報を提供すること。
本県に係る業務の遂行において、定期的に情報セキュリティ対策の履行状況を報告すると
ともに、情報セキュリティが侵害され又はその恐れがある場合には、直ちに本県に報告す
ること。これに該当する場合には、以下の事象を含む。
① 受託者に提供し、又は受注者によるアクセスを認める本県の情報外部漏えい及び目的
外利用
② 受託者による本県のその他情報へのアクセス
③ 被害の程度を把握するため、受託者は必要な記録類を契約終了時(運用・保守期間含む)
まで保存し、本県の求めに応じて成果物とともに発注者に引き渡すこと。
④ 情報セキュリティが侵害され又はその恐れがある事象が本調達に係る作業中及び契約
に定める瑕疵担保責任の期間中に発生し、かつその事象が受託者における情報セキュ
リティ上の問題に起因する場合は、受託者の責任及び負担において次の各事項を速や
かに実施すること。
・ 情報セキュリティ侵害の内容及び影響範囲を調査の上、当該情報セキュリティ侵
害への対応策を立案し、本県の承認を得た上で実施すること。
・ 発生した事態の具体的内容、原因及び実施した対応策等について報告書を作成し、
本県へ提出して承認を得ること。
・ 再発防止対策を立案し、本県の承認を得た上で実施すること。
-31-
青森県自治体情報セキュリティクラウド整備業務 調達仕様書
・ 上記のほか、発生した情報セキュリティ侵害について、本県の指示に基つく措置を
実施すること。
本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、本
県が情報セキュリティ監査の実施を必要と判断した場合は、本県がその実施内容(監査内
容、対象範囲、実施等)を定めて、情報セキュリティ監査を行う(本県が選定した事業者に
よる監査を含む。)。受託者は、本県の指示に従い、情報セキュリティ監査に関する作業に
協力すること。また、受託者は自ら実施した外部監査についても本県へ報告する。
調達で導入する機器及びサービスのデータ消去に係る調整・作業等は、本県の指示に従い
すべて受託者が行うこと。なお、作業に当たっては、次の事項に留意すること。
① 機器の撤去・搬出後、第三者がデータ復元ソフトウェア等を利用してもデータが復元さ
れないように完全にデータを消去すること。データ消去作業に必要な場所や消去に必
要な機器について用意すること。また、受託者は、不要機器の撤去、搬出からデータが
消去されるまで、不要機器から情報が漏えいしないよう、厳重に情報セキュリティ管理
をすること。
② データ消去作業終了後、受託者は本県の求めに応じてデータの消去完了を明記した証
明書を提出すること。
本調達で導入する機器の撤去及び廃棄に係る調整・作業等は、本県の指示に従いすべて受
託者が行うこと。なお、作業に当たっては、次の事項に留意すること。
① 受託者は、廃棄物の処理及び清掃に関する法律、その他の関連法令を遵守し、データ消
去が完了した機器を適法かつ安全、確実に撤去及び廃棄すること。受託者が関連法令に
基づく業務執行上の許認可(不要機器に係る指定・認定制度の適用も含む)を得ていな
い場合には、受注者は当該許認可を得ている事業者(以下、
「廃棄作業受託者」という。)
に廃棄作業の一部又は全部を再委託することができる。
② 撤去及び廃棄作業完了後、受託者は本県の求めに応じて廃棄作業が適法に完了したこ
とを示す廃棄完了証明書を提出すること。受託者が再委託により廃棄作業受託者に廃
棄作業の一部又は全部を再委託した場合には、廃棄作業受託者が適法に再委託作業を
完了したことを示す作業完了証明書を、受託者が廃棄作業受託者に提出させ、その写し
をとりまとめ、本県に提出すること。
12.5 瑕疵担保責任
検収後 1 年間において、納入成果物に瑕疵があることが判明した場合には、受託者の責任及び負担に
おいて、本県が相当と認める期日までに補修を完了するものとする。
12.6 法令の順守
受託者は、関係法規を遵守すること。
以上
-32-
Fly UP