Comments
Description
Transcript
調達仕様書(第3.3.5~3.5)
3.3.5 外部接続環境 利用機関からインターネット閲覧機能、ネットワークシステムが提供するメール機能と 連携する電子メールの中継機能、DNS 機能、インターネット VPN 接続機能、外部ネットワ ークとの接続機能は共通サービスとして提供する。 「図 3-7 インターネット閲覧機能の構 成例」、 「図 3-8 電子メールの中継機能の構成例」及び「図 3-9 DNS 機能の構成例」にイ ンターネット閲覧機能、電子メールの中継機能、DNS 機能の構成例を示す。 図 3-7 インターネット閲覧機能の構成例 39 図 3-8 電子メールの中継機能の構成例 40 図 3-9 DNS 機能の構成例 (1) インターネット閲覧機能 ア. すべての利用機関からインターネットを閲覧できる機能を提供すること。 イ. すべての利用機関から、ウイルス定義ファイルを HTTP 及び HTTPS のプロトコルを 利用して、取得できること。 ウ. 各利用機関からのインターネット接続に対し、当省の指定する閲覧規制(IP アド レスによる各利用機関単位、利用者単位、組織単位等での制御)に対応できるこ と。 エ. 各利用機関からのインターネット接続において、情報セキュリティ対策が講じら れていること。 オ. 各利用機関から直接インターネットへの接続や外部から各利用機関に直接接続で きないよう、内部プロキシサーバ、認証プロキシサーバ、外部プロキシサーバを 設け、各プロキシサーバで接続制御を行えること。 なお、個別システム側で独自に準備したプロキシサーバと内部プロキシサーバ 及び認証プロキシサーバが多段構成で利用できるように各個別システムと調整の 上、必要な設定等を行うこと。 カ. 利用者は最大約 100,000 人と想定する。このうち、約 4,600 人がインターネット 閲覧時に認証プロキシサーバによる認証が必要となる。 なお、ネットワークシステム更改以降速やかに、日本年金機構の利用者を除く 最大 60,000 人が認証プロキシサーバを利用開始することを想定している。 41 キ. 認証プロキシサーバは内部プロキシサーバと同一の筐体による提供でもよい。 ク. 内部プロキシサーバ及び認証プロキシサーバは外部プロキシサーバと連携するこ とで、インターネットへの接続を行うこと。 ケ. 認証プロキシサーバの導入に対する個別システムとの調整及び設定等を行うこと。 コ. 各利用機関からのインターネット接続に関するログを収集・蓄積できること。 なお、ログの取得・管理の詳細については、「6.2.1(12) 」を参照すること。 サ. 担当職員からの求めに応じ、アクセスログを追跡・分析して報告が可能なこと。 シ. インターネット接続にはファイアウォールを設置し、外部から次期統合ネットワ ーク内部への直接的な通信を遮断し、内部からの通信も内部向けサービスセグメ ントまでとし、直接 DMZ のサーバとの通信をさせないこと。ただし、個別システ ムの要件により、内部プロキシサーバ及び認証プロキシサーバを経由せずに直接 インターネットに接続する必要がある場合は、想定されるリスクを考慮した上で、 必要なセキュリティ設定を行い、当該通信が可能となるよう対応すること。 ス. 次期統合ネットワークでは、中央センタ#1 のインターネット回線として 400Mbps 以上の回線を 2 回線(合計帯域 800Mbps 以上)敷設し、常時 400Mbps 以上の回線 帯域を提供できるように冗長化を行うこと。 なお、本帯域にはインターネット VPN 接続機能の必要帯域 76Mbps 以上の回線を 含む。また、中央センタ#2 のインターネット接続用回線として、200Mbps 以上の 回線(インターネット VPN 接続機能の必要帯域を含む)を 1 回線用意すること。 セ. インターネット閲覧機能において、インターネット上で IPv6 のみで提供されるサ ービス(通信サービス、インターネット接続サービス、Web 閲覧等)との通信に対 応すること。 ソ. 特定のグローバル IP アドレスからのみ閲覧可能な Web サイトが存在する。そのた め、次期統合ネットワークにおいても当該サイトが閲覧できるように Web サイト 管理者等と調整を行うこと。 タ. アクセス回線を収容するインターネット接続回線事業者のバックボーンについて は、すべての回線、機器で冗長構成がとられていること。 (2) DNS 機能 ア. 次期統合ネットワーク内に構築するサーバ及びインターネット上のサーバ等にお いて、以下の名前解決機能を提供すること。 A. インターネット上のサーバの名前解決要求 B. サーバ(内部)の名前解決要求 C. サーバ(外部)の名前解決要求 D. インターネット側からの公開サーバの名前解決要求 イ. 内部 DNS サーバと外部 DNS サーバを別々に設置すること。また、障害対策として、 各 DNS サーバは冗長構成(プライマリ/セカンダリ)とし、内部 DNS サーバのプラ イマリ DNS サーバは中央センタ#1 に設置し、セカンダリ DNS サーバは中央センタ #1 及び中央センタ#2 に設置すること。外部 DNS サーバは、中央センタ#1 にプライ 42 マリ DNS サーバを設置し、セカンダリ DNS サーバは中央センタ#1 及び中央センタ #2 に設置すること。また、インターネット上(ISP)にもセカンダリの外部 DNS サ ーバを配置して障害に備える構成とすること。 ウ. 中央センタ#1 及び中央センタ#2 に設置する DNS サーバは、当省占有とし、DNS サ ーバが稼動する物理サーバ上に次期統合ネットワークで提供する機能以外のサー バを稼動させることは不可とする。 エ. 内部 DNS サーバは、mhlw.go.jp ゾーンのセカンダリ DNS サーバとして、利用機関 のパソコン、サーバ等からの問合せに対して名前解決が行えること。また、 mhlw.go.jp ゾーンからサブドメインの権限委譲を受け、サーバ等機器名の管理及 び名前解決が行えること。個別システム独自ドメインの名前解決については、個 別システム側 DNS サーバに転送が行えること。 オ. 外部 DNS サーバは、mhlw.go.jp ゾーンからサブドメインの権限委譲を受け、サー バ等機器名の管理及び名前解決が行えること。また、ネットワークシステムの更 改のタイミングからは、mhlw.go.jp ゾーンの権威サーバとしてサーバ等機器名の 管理及び名前解決機能を提供すること。 カ. 当省が保有するドメイン名を使用したインターネット接続環境とすること。 (3) 電子メールの中継機能 ア. インターネットからのメールをネットワークシステムのメール中継サーバに中継 する機能を提供すること。また、ネットワークシステムのメール中継サーバから のメールをインターネットへ中継する機能を提供すること。 イ. ネットワークシステムのメール中継サーバで提供しているメールのウイルス対策、 スパム対策及び SPF 認証等の機能と連携できる構成とすること。 ウ. 電子メールの中継機能はネットワークシステムの更改のタイミングに合わせて導 入すること。 エ. 電子メールの中継機能は、当省占有とし、電子メールの中継機能が稼動する機器 上に次期統合ネットワークで提供する機能以外の機能を稼動させることは不可と する。 43 (4) ダイヤルアップ接続機能 WISH、労働基準行政情報システム・労災行政情報管理システム(以下、「基準・労災 システム」という。)の利用者が次期統合ネットワークにアクセスするためのダイヤル アップ接続機能を提供すること。「図 3-10 ダイヤルアップ接続機能の構成例」にダイ ヤルアップ接続機能の構成例を示す。 図 3-10 ダイヤルアップ接続機能の構成例 ア. WISH の利用者がダイヤルアップ接続によって、WISH データセンタにアクセスでき る機能を提供すること。 イ. 基準・労災システムの利用者がダイヤルアップ接続によって、利用機関にアクセ スできる機能を提供すること。 ウ. 受注者は、全国一律の加入回線(PSTN、ISDN、PHS 網、携帯電話網等)接続方式に よるアクセスポイントを提供すること。 エ. ダイヤルアップ接続を行う際の情報セキュリティ対策として、ハードウェアトー クンによるワンタイムパスワード及び発信者番号通知機能で認証を行えること。 ただし、WISH においては、ワンタイムパスワードを使用せず、ID、パスワード、 発信者番号通知機能で認証を行えること。 オ. アクセスポイントへの接続費用については、発信者課金(加入回線は 10 円/分以 内、PHS 回線(PIAFS 方式)は 15 円以内)とすること。 44 カ. アクセスポイントから中央センタまでの回線については、利用者数、同時アクセ ス数等を考慮し、必要十分な帯域の回線を提供すること。 キ. 不正な通信(P2P、悪意のある通信等)を検知し、監視システムへ通知する機能を 有すること。 ク. ダイヤルアップの電話回線の契約変更等を伴う場合には、WISH 及び基準・労災シ ステムのダイヤルアップ利用者に対して注意喚起等の措置を講じること。 ケ. 次期統合ネットワークへの移行に伴い、WISH については、現行統合ネットワーク の中央センタから次期統合ネットワークとの直接接続に変更する。これに伴い、 当省の求めるタイミングで、以下の項目について対応すること。 A. WISH の接続変更時には、担当職員と調整の上、必要な作業を実施すること。 B. ID、パスワードの登録、変更、削除等の認証を安全かつ円滑に行うために必要 な管理、サポートを行うこと。 コ. WISH においては、WISH のデータセンタ内の IP アドレスが変更できず、また、ダ イヤルアップ接続するクライアント端末の業務アプリケーションに設定された宛 先アドレスも変更できない。そのため、必要に応じて WISH 専用のルータ(アクセ スポイントからの回線を収容するダイヤルアップ接続環境のルータ)を他のルー タとは別に設置し、以下の方法などにより、WISH への通信経路を確立できるよう にすること。 A. WISH 専用ルータにてアドレス変換(NAT)して、ダイヤルアップ接続環境から中央 センタの中心部の L3 スイッチを経由し、統合ネットワークを経て WISH へ至る 経路 45 (5) インターネット VPN 接続機能 当省職員が出張及び外出の際にモバイル端末から次期統合ネットワークにアクセス するためのインターネット VPN 接続機能を共通サービスとして提供する。 「図 3-11 イ ンターネット VPN 接続機能の構成例」にインターネット VPN 接続機能の構成例を示す。 図 3-11 インターネット VPN 接続機能の構成例 ア. モバイル端末(パソコン、スマートフォン、タブレット等)による外出先からの VPN 接続によって、次期統合ネットワークにアクセスできる機能を提供すること。 イ. 受注者は、インターネット VPN 接続ポイントを提供すること。 ウ. 接続時には、VPN による暗号化を実施すること。 エ. 次期統合ネットワークへの接続は、インターネット経由の VPN 接続方式で提供す ること。 オ. インターネット VPN 回線の回線帯域は 76Mbps 以上の回線を準備すること。インタ ーネット回線とインターネット VPN 回線は同回線での提供でもよい。 カ. VPN 接続を行う際の情報セキュリティ対策として、ハードウェアトークンによるワ ンタイムパスワードで認証を行えること。ただし、ネットワークシステムにはソ フトウェアトークンでも差し支えない。 キ. 不正な通信(P2P、悪意のある通信等)を検知し、監視システムへ通知する機能を 有すること。 46 (6) 外部ネットワーク接続機能 外部ネットワークを接続するための専用の接続セグメントを中央センタ内に設置し、 次期統合ネットワークと接続するための外部ネットワーク接続機能を提供すること。ま た、外部ネットワークと次期統合ネットワークとの接続仕様を策定し、本内容を「表 2-5 設計・構築に関する納入成果物」に示す、「接続仕様書」に含めること。 次期統合ネットワークと接続する外部ネットワークについては、「資料 1 次期統合 ネットワークと接続する個別システム及び更改予定時期」に示す。 「図 3-12 外部ネットワーク接続機能の構成例」に、外部ネットワーク接続機能の構 成例を示す。 図 3-12 外部ネットワーク接続機能の構成例 ア. 共通要件 A. 中央センタ内に、外部ネットワークを接続する専用のセグメントを有すること。 B. 外部ネットワークの接続セグメントと内部ネットワークとのアクセス制御を行 うファイアウォール機能を有すること。 C. 外部ネットワークの接続セグメントと内部ネットワークとの情報セキュリティ 対策として、IDS/IPS 機能を有すること。 D. 不正な通信(P2P、悪意のある通信等)を検知し、監視システムへ通知する機能 を有すること。 47 イ. 個別要件(政府共通ネットワーク) 次期統合ネットワークでは、中央センタで政府共通ネットワークと接続する。接 続する回線は、中央センタ#1 で 2 回線、中央センタ#2 で 1 回線とし、各回線の帯域 は 100Mbps 以上を確保する。各回線及び回線接続に必要な機器(中央センタ#1 にル ータ 2 台、中央センタ#2 にルータ 1 台)は政府共通ネットワーク側から提供される。 これらの接続を実施するため、当省の求めるタイミング(中央センタ#2 について は平成 28 年度以降の敷設を予定)で以下の項目に対応すること。 A. 移設に係る作業一式(設置スペース・電源の確保、政府共通ネットワーク側と の調整、移設作業、テスト、ケーブルの準備等)については、担当職員の指示 に基づき、受注者の責任と負担において実施すること。 B. 政府共通ネットワーク及び LGWAN の接続変更時には、担当職員と調整の上、必 要な作業を実施すること。 C. 政府共通ネットワークを経由して次期統合ネットワークの外部接続環境へ流れ る通信については、次期統合ネットワークの内部セグメントにトラフィックが 流入しないようにすること。 D. 政府共通ネットワークとの接続に係る設計・構築・テスト・運用・保守につい て、技術的な支援を行うこと。 E. 政府共通ネットワークの更改時においても、次期統合ネットワークと接続する ための技術的な支援を行うこと。 F. マイナンバー制度導入に伴う政府共通ネットワークを経由した連携テストや総 合運用テスト等に対応すること。 ウ. 個別要件(個別システムの運用・保守事業者のリモートアクセス用ネットワーク) A. 政府共通プラットフォームへ移行した個別システムのメンテナンスを目的とし て、個別システムの運用・保守事業者のリモートアクセス用ネットワークの受 け口(L2 スイッチ)を提供すること。 なお、本接続に関わる機器(ルータ等)及び回線は接続元の個別システムの 運用・保守事業者が用意するため、これら機器を収容かつ運用できる設備一式 (ラック、LAN 配線、電源環境、空調等の設備等)を提供すること。また、発生 する費用(電気料金等含む)については、すべて受注者の責任において負担す ること。 B. 個別システムの運用・保守事業者から政府共通プラットフォームへの通信は、 次期統合ネットワークの内部セグメントにトラフィックが流入しないようにす ること。 C. 当該接続に係る設計・構築・テスト・運用・保守について、本調達に含まれる 機器の設定変更や技術的な支援を行うこと。 D. 政府共通プラットフォームへ移行した個別システムの更改時及び新たに政府共 通プラットフォームへ移行する個別システムが本接続を要望した際は、次期統 48 合ネットワークと接続するために必要な設定変更及び技術的な支援を行うこと。 E. 特定の個別システムの運用・保守事業者の通信が他の個別システムの運用・保 守事業者の通信に影響を与えないように帯域予約装置等を導入し、通信帯域を 制御すること。 エ. 個別要件(3 保険者) A. 3 保険者との接続を目的として、3 保険者用ネットワークの受け口(L2 スイッチ) を提供すること。 なお、本接続に関わる機器(ルータ)及び回線は 3 保険者が用意するため、 これら機器を収容かつ運用できる設備一式(ラック、LAN 配線、電源環境、空調 等の設備等)を提供すること。また、発生する費用(電気料金等含む)につい ては、すべて受注者の責任において負担すること。 B. 当該接続に係る設計・構築・テスト・運用・保守について、本調達に含まれる 機器の設定変更や技術的な支援を行うこと。 C. 3 保険者と次期統合ネットワークを接続するために必要な設定変更及び技術的 な支援を行うこと。 D. 3 保険者それぞれの通信に影響を与えないように帯域予約装置等を導入し、通信 帯域を制御すること。 E. マイナンバー制度導入に伴う 3 保険者の連携テストや総合運用テスト等に対応 すること。 3.4 画面要件 画面要件では、次期統合ネットワークで運用されるサービスデスク業務にて提供する情報 提供画面について記述する。次期統合ネットワークのポータルサイトでは運用状況、連絡、 手続き、規約、FAQ 等を画面提供し、利用者への情報共有を図ること。また、本内容を「表 2-7 運用・保守に関する納入成果物」に示す、「利用機関責任者及び個別システム管理責任 者用マニュアル」に含めること。 (1) ポータルトップ・お知らせ画面 (2) 申請書・マニュアル類掲載画面(電子ファイルによるダウンロード機能付き) (3) 障害状況表示画面 (4) 稼動状況表示画面(パスワードによる閲覧規制あり) (5) FAQ 掲載画面(検索機能あり) (6) トラフィック状況表示画面(統合ネットワーク運営主体、個別システム管理責任者 のみ閲覧可能、パスワードによる閲覧制限あり) 49 3.5 構築要件 (1) 中央センタ 中央センタの構築では、設計内容に基づき、具体的な構築の作業項目を策定するとと もに、現行統合ネットワークの中央センタに設置するルータ、ケーブル等の必要な機器 及び WAN 回線についても具体的な構築の作業項目を策定すること。また、本内容を「表 2-5 設計・構築に関する納入成果物」に示す、「設計・構築計画に関する文書」に含め ること。以下に、中央センタの構築で必要と考える事項を示す。 ア. 構築作業項目 A. 回線・機器調達 B. 回線敷設作業 C. 機器搬入、据付作業 D. 機器設定、構築作業 (2) 運用センタ 運用センタの構築では、設計内容に基づき、具体的な構築の作業項目を策定すること。 また、本内容を「表 2-5 設計・構築に関する納入成果物」に示す、 「設計・構築計画に 関する文書」に含めること。以下に、運用センタの構築で必要と考える事項を示す。 ア. 構築作業項目 A. 回線・機器調達 B. 回線敷設作業 C. 機器搬入、据付作業 D. 機器設定、構築作業 50