1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス

Size: px

Start display at page:

Download "1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス"

くにもとおうじ
5 years ago
Views:

1 平成 28 年度情報システム監査業務調達仕様書独立行政法人医薬品医療機器総合機構平成 28 年 12 月 1

2 1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス等に対するセキュリティを確保することが求められている情報システム監査業務は総合機構に設置された Web サーバや Mail サーバ等の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い情報セキュリティ対策に資することを目的とするさらに標的型攻撃をはじめとする最新のサイバー攻撃に関する研修を行い総合機構のサイバー攻撃に対する知見を深めることを目的とする 3. 業務内容本業務は主に公開サーバを対象とした脆弱性監査業務と標的型攻撃に対する調査評価及び研修を実施するものである監査結果報告書を作成し総合機構において報告会議を開催すること監査業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこととし特にツールが検知した内容については誤検知を減らすために手動により精査することまた Web アプリケーションの仕組み上ツールが使用できないと判断される場合には手動にて監査を実施することなお検出された脆弱性を改修する作業については本業務に含まれない A. ペネトレーションテスト (1) プラットフォーム監査 4. システム監査対象記載の装置を対象としたオンサイト監査とするポートスキャンによるオープンポート及び稼働サービスの確認セキュリティ検査ツールによるアップデート実施状況セキュリティ関連の設定状況疑似攻撃に対する脆弱性の有無の確認を行う脆弱性監査の対象は対象装置の OS ミドルウェア一般的なソフトウェアとしそれらの脆弱性の一覧及び対処方法優先度具体的な運用の改善点等を監査報告書に記載すること監査項目の詳細は別紙に記す 2

3 (2) アプリケーション監査 4.(2) のアプリケーション監査対象サイトを対象とした Web アプリケーション監査とするセキュリティ検査ツールによるブラックボックステスト及び同ツールでは検査できない脆弱性を手動で検査するサイトごとに検出された脆弱性一覧深刻度等を監査報告書に記載することなお診断に使用する主たるセキュリティ検査ツールは実績並びに信頼性を担保するため商用診断ツールを使用するものとし使用前に総合機構担当者の承認を得ることフリーツールシェアウェア自社製のツールのみでの診断またはこれらを主たる診断ツールとして使用することは不可とするアプリケーション監査の内容は別紙に記す B. 管理者向け聴取による監査総合機構のシステム管理者 5 名に対し聴取形式による運用面管理面における脆弱性監査を実施し管理対象システムごとに脆弱性問題点の一覧及び改善項目優先度推奨する運用管理手法等を監査報告書に記載すること聴取の内容は別紙に記す C. セキュリティ研修サイバー攻撃の手法は巧妙化かつ複雑化しており標的型攻撃以外にも大手メーカーの Web サイトが改ざんされ水飲み場型攻撃やドライブ by ダウンロード等新しい攻撃手法に使用されているこれらのような最新のサイバー攻撃の手法について総合機構業務従事者全員の知見を向上させるための研修を行うことなお機構の IT 環境を調査し各利用マニュアルを参照した上で想定されるセキュリティリスクに応じたものとすること集合研修については座学だけではなく実際のサイバー攻撃やマルウェアの挙動をデモンストレーションで実演するなど理解の促進に創意工夫をこらすこと 1 回の集合研修は 60 分以内とし 10 回実施すること集合研修に参加できなかった職員向けに 20 分程度で完了できるテスト資料を作成すること研修用資料及びテスト資料は変更可能なものとし今後総合機構担当者がメンテナンスできるよう作成し納品すること 4. システム監査対象 (1) プラットフォーム監査対象装置 a. サーバ 15 台を対象とする (Windows サーバ Linux サーバ等 ) (2) アプリケーション監査対象サイト a. 例規集データベース (reiki.pmda.go.jp) b. 医療機器 WEB 申請システム ( ]) c. 医療機器基準等情報提供ホームページ ( d. 副作用報告 (htps:// gw.pmda.go.jp/reception /View/Login.aspx 3

4 5. 実施期間及び実施形態契約日から平成 29 年 3 月 10 日までとし受注者が派遣する監査員が実施スケジュールに基づいて業務を行う受注者は 6.(1) に定める実施計画書の実施体制図に基づき監査員を派遣すること 6. 提出物及び提出期限当該業務を遂行するにあたり以下の提出物を作成し提出すること ( 様式任意 ) (1) 実施計画書契約日から 2 週間以内に総合機構担当者へ提出すること実施計画書は以下の項目を含むこと a. システム監査対象機器一覧総合機構担当者と協議の上対象となるシステム機器及びサイトの一覧を業務内容単位で記載すること b. 使用ツール機器一覧本業務を遂行するために使用するツール及び機器を明記すること c. システム監査全体スケジュール総合機構担当者と協議の上監査業務全体のスケジュールを作成すること d. 体制図本業務を遂行するための体制を記載すること e. 実施工程監査聴取の実施要領を記載すること f. セキュリティ研修全般機構の IT 環境の調査を踏まえ研修資料を作成し研修を行うこと (2) 監査結果報告書下記 a~dについて平成 29 年 3 月 20 日までに総合機構担当者へ提出すること下記 eについてセキュリティ研修の1 回目までに総合機構担当者へ提出すること監査結果報告書は以下 a~e の内容を含むこと a. 監査結果報告監査対象システム全体及び機器ごとの考察と推奨される対策をまとめたもの 4

5 聴取検査における監査項目ごとに考察と推奨される対策をまとめたもの b. プラットフォーム脆弱性一覧プラットフォーム監査の結果を元に機器ごとに検出された脆弱性を記載し対応方法優先度を一覧で記載すること c. アプリケーション監査レポートアプリケーション監査の結果を元に監査対象サイトごとに検出された脆弱性を記載しその脆弱性に対する一般的な対応方法優先度を一覧で記載すること d. 聴取結果レポート ( 担当者ごと全担当者比較 ) 担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載することまた担当者ごとにアセスメントの差異を識別可能なグラフ等を記載すること一覧には問題点対応優先度改善項目推奨する運用管理方法を含めること e. 最新のサイバー攻撃手法に係るセキュリティ研修資料実施状況の報告及び各研修で使用した教材を添付すること (3) 各種証跡平成 29 年 3 月 20 日までに総合機構担当者へ提出すること監査を行った証跡となるデータはすべて納品すること納入品目は以下のとおりとする a. 実施計画書用紙 2 部 CD-R 2 個 b. 監査結果報告書用紙 2 部 CD-R 2 個研修資料 ( 電子媒体として加工可能なもの ) を含む c. 各種証跡 CD-R 2 個 (4) 体制図受注者は統括責任者 ( 業務全体を統括する責任者 ) 監査人 ( 業務完了まで継続して事業の実施を行える者であって業務の実施にあたっての責任者 ) 監査補助者 ( 監査人の配下に属する者であって個々の業務を行う者 ) アドバイザー ( 業務の品質を管理する者 ) からなる監査チームを編成すること監査チームには財団法人日本情報処理開発協会 ISMS ユーザーズガイド - JISQ 27001:2006(ISO/IEC2700 1:2005) 対応 -( 平成 20 年 1 月 31 日 ) 教育訓練認識及び力量で明らかにされている資格の要件を備えた専門家が 2 5

6 人以上含まれていること並びに監査の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が 1 人以上含まれていること a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング監査チーム各者の氏名所属部署及び連絡先とともに各者の経歴専門分野各種保有資格等について契約締結後 5 日以内に総合機構に提出し了承を得ること本監査業務の開始後適切な業務が実施できないと監査チームが判断した場合には受注者は監査チーム体制を変更することなお受注者は体制を変更する際は監査業務の遂行に影響がでないようにするとともに変更に要した費用については自らが負担すること 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則 ( 平成 15 年経済産業省告示第 113 号 ) 第 4 条に規定する情報セキュリティ監査企業台帳 ( 平成 26 年度登録分 ) に登録されている者であること国独立行政法人政府系特殊法人都道府県等地方自治体自社以外の企業海外の医薬品医療機器の規制当局において情報システム監査業務を過去 2 年以内に請け負った実績を有しかつ本業務を履行できることまたこれら実績を証明できること (2) 情報セキュリティを確保する観点から ( 財 ) 日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム (ISMS) の認証を受けていること (3) 本業務による納品物の中立性客観性を確保するため本業務において監査対象となる情報資産の管理及び当該情報資産に関する情報システムの構築及び開発保守等に参画していないことまたその親会社及び子会社同一の親会社を持つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする (4) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有していること (5) 取り扱う情報がセキュリティに関するものとなるため応札者の事務所では個人ごとに配布された ID カード等による入退室管理が行われていること 8. 落札者決定方法一般競争入札にて決定する 6

7 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求要望等がある場合は原則文書にて行うこと (2) 業務にあたり総合機構から提供された又は知り得た総合機構の内部情報はすべて他の用途に転用してはならず契約期間中に指示する方法で破棄しなければならないこの契約終了後も同様とする特に機密情報 ( 総合機構より明確に機密と指定されて開示される情報で公には入手できない情報 ) については別に機密保持誓約を締結しこれを遵守しなければならない (3) 技術的検証については対象情報システムの運用に対し支障及び損害を与えないように実施するものとするまた本業務における検査を実施した後総合機構のすべての機能が正常に動作する確認作業を支援することまた現在運用しているその他のシステム機器等に影響を与えないこと納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合速やかに技術員を派遣し現行システム保守業者と調整の上システム復旧が対応できる体制を維持すること (4) 監査業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこと特にツールが検知した内容については誤検知を減らすために手動により精査することまた Web アプリケーションの仕組み上ツールが実行できないと判断される場合には手動にて監査を実施すること総合機構の求めに応じ総合機構との打合せを実施すること (5) 総合機構の求めに応じ総合機構との打ち合せを実施すること (6) 本仕様書に掲げられている事項の他本業務を遂行するために必用な事項は総合機構担当者と協議の上実施すること (7) 本業務を遂行する上で発生した書面 ( 電子媒体を含む ) その他類似の派生物( 企画等の構想も含む ) は一切の著作権所有権及び使用権を総合機構に帰属するものとするただし本契約締結前より受注者または第三者が有する著作権等の知的財産権及びノウハウ等については受注者又は第三者に留保されるものとするまた成果物の著作人格権は行使しないこととする (8) 受託者はこの契約に基づく業務を処理するために総合機構から提供された資料 7

8 等を総合機構の承諾なく複写及び複製してはならないまた契約終了後は速やかに総合機構に返還しなければならないなお提供された資料のうち個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは施錠した保管庫等で保管する等大切に管理しなければならない (9) 受注者は受注業務の全部又は主要部分を第三者に委託することはできない受注業務のうち契約金額の 10% を超える業務の一部を再委託する場合は事前に再委託する業務再委託先等を総合機構に申請し承認を受けること申請にあたっては再委託に関する承認申請書の書面を作成の上受注者と再委託先との委託契約書の写し及び委託要領等の写しを総合機構に提出すること受注者は機密保持知的財産兼等に関して本仕様書が定める受注者の責務を再委託先業者も負うよう必要な処置を実施し総合機構に報告し承認を受けることなお第三者に再委託する場合はその最終的な責任を受注者が負うこととする本項の要件は再委託先からさらに再委託する事業者及び以降の再委託業者についても適用する (10) 本業務に必要な機器類の調達通信費等は受注者の負担とする 10. 窓口連絡先独立行政法人医薬品医療機器総合機構情報化統括推進室田村慎治 8

9 別紙監査項目一覧 A(1). プラットフォーム監査監査項目概要アカウントユーザアカウント及びパスワード管理の妥当性 CGI スクリプト等各種サービスデータベースセキュリティ設定各種ソフトウェア Web サーババックドアサービス妨害耐性セキュリティ脆弱性を持つ CGI スクリプトの存在を調査サーバ上で稼働する各種サービスの脆弱性データベースアプリケーションに存在する脆弱性 Linux 及び Windows のセキュリティ設定の脆弱性サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 WWサーバに存在するセキュリティホールをチェックする監査攻撃者がシステムに仕掛けたバックドアプログラムの検出 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性を監査 A(2). アプリケーション監査検査項目概要認証 : 総当たり攻撃管理者アカウントへの総当たり攻撃影響度を検証認証 : 不適切な認証正常なログイン処理を介さずにログイン後の画面にアクセスできてしまうかを検証 Authorization: インデアクセス制御を行うための認可に使用するインデックス番号やセクシング / セッションのッション番号が推測可能か検証推測 Authorization: 不適切設定の不備等で不適切な許可がされないか検証な許可 Authorization: 不適切 Cookie に保存されたセッション情報を盗み出すことができないかなセッション期限検証 Authorization: セッシセッションを固定化されて第三者のセッションハイジャックがョンの固定可能か検証クライアント側攻撃 : コンテンツのなりすましによるフィッシング攻撃が成立するか検コンテンツのなりすま証しクライアント側攻撃 : 第三者により任意のスクリプトが実行されるクロスサイトスクリクロスサイトスクリププティング脆弱性が存在するか検証ティングコマンドの実行 : バッバッファオーバーフローの脆弱性が存在するか検証ファオーバーフロー 9

10 コマンドの実行 : 書式文字列攻撃コマンドの実行 :LDAP インジェクションコマンドの実行 :OS 命令コマンドの実行 :SQL インジェクションコマンドの実行 :SSI インジェクションコマンドの実行 :XPath インジェクション情報の開示 : ディレクトリインデクシング情報の開示 : 情報遺漏情報の開示 : パストラバーサル情報の開示 : 推測可能なリソースの位置論理攻撃 : 機能の悪用論理攻撃 : サービス拒否攻撃アプリケーションプライバシーテストアプリケーション品質テストプログラムをクラッシュさせたり不正なコードを実行させたりする書式文字列攻撃脆弱性が存在するか検証 LDAP インジェクション脆弱性が存在するか検証 OS コマンドインジェクション脆弱性が存在するか検証 SQL インジェクション脆弱性が存在するか検証 SSI インジェクション脆弱性が存在するか検証 Xpath インジェクション脆弱性が存在するか検証ディレクトリ Index が外部から参照可能か検証ユーザ名パスワードなど秘密情報が外部に公開されていないか検証本来公開されないはずのファイルが公開される脆弱性が存在するか検証内部のリソースが簡単に推測できる脆弱性が存在するか確認 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証サービス拒否攻撃に対する耐性を検証暗号化の有無などを検証デバッグ情報の収集などを検証 B. 管理者向け聴取による監査監査項目概要個人情報および機密情報保護個人情報や機密情報等保護すべき情報の定義取扱規定に関する監査安全な認証機能の利用各種認証機能 ( パスワードポリシー含む ) 及び ID 管理の運用に関する監査権限管理システム利用権限の管理運用に関する監査証跡保全各種ログの取得保管等に関する監査 10

11 管理用クライアントサービス妨害攻撃対策監視分析マルウェア対策標的型攻撃対策インシデントレスポンス運用に利用するクライアント環境に関する監査サービス妨害攻撃に対する準備検知対策に関する監査ネットワーク監視異常発生時の対応に関する監査マルウェアへの対策対応に関する監査標的型攻撃対策に関する監査インシデント発生時の対応 ( 障害対応を含む ) 事業継続に関する監査 11

目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1

目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1 独立行政法人医薬品医療機器総合機構情報システム監査業務仕様書平成 24 年 2 月独立行政法人医薬品医療機器総合機構目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1 1. 事業名独立行政法人医療品医療機器総合機構情報システム監査業務