【意見招請番号：４】情報システムの脆弱性診断業務

Size: px

Start display at page:

Download "【意見招請番号：４】情報システムの脆弱性診断業務"

いおりたかはし
5 years ago
Views:

1 意見招請を実施する案件意見招請番号 :4 案件名情報システムの脆弱性診断業務直近の調達内容契約件名情報システムの脆弱性診断業務調達方式一般競争入札 ( 最低価格落札方式 ) 入札公告日平成 26 年 2 月 7 日 ( 金 ) 競争参加資格 (1) 予算決算及び会計令第 70 条の規定に該当しない者であることなお未成年者被保佐人又は被補助人であって契約締結のために必要な同意を得ている者は同条中特別の理由がある場合に該当する (2) 予算決算及び会計令第 71 条の規定に該当しない者であること (3) 平成年度の文部科学省競争参加資格 ( 全省庁統一資格 ) において役務の提供等の A B または C の等級に格付けされ関東甲信越地域の競争参加資格を有する者であること (4) 本機構理事長から取引停止を受けている期間中でないこと (5) 暴力団員による不当な行為の防止等に関する法律 ( 平成 3 年法律第 77 号 ) に規定するところの暴力団員及びその構成員準構成員又はその関係者でないこと (6) ISMS(Information Security Management System) の認証を受けていること (7) ( 財 ) 日本適合性認定協会又は海外の認定機関により認定された審査登録機関による ISO9001 の認証を受けていること (8) 情報セキュリティー監視サービスの外部監査を提供して 5 年以上が経過していること (9) 以下の認証資格のいずれかを有する者を3 名以上含む統括責任者監査人監査補助者アドバイザーからなる監査チームを編成することができること公認情報セキュリティ監査人(CAIS-Auditor) 公認情報セキュリティマネージャ(CISM) 公認情報システムセキュリティ専門家(CISSP) テクニカルエンジニア( 情報セキュリティ ) 情報セキュリティアドミニストレータ情報セキュリティスペシャリスト (10) 業務従事者には財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対応 -( 平成 20 年 1 月 31 日 ) 教育訓練認識及び力量表 5-2 力量と関連する資格のセキュリティ技術として明記されている資格の要件を備えた専門家が1 人以上含まれていること (11) 業務従事者には診断作業の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が1 人以上含まれていること情報セキュリティ監査情報セキュリティに関するコンサルティング (12) 情報セキュリティ対策等に関する役務提供を専門とする組織を有していること

2 事前提出書類 (1) 資格審査結果通知書 ( 全省庁統一資格 ) の写 1 部及び提出期限 (2) ISMS(Information Security Management System) 認定証の写し 1 部 (3) ( 財 ) 日本適合性認定協会又は海外の認定機関により認定された審査登録機関による ISO9001 の認証を受けていることを証する書類の写 1 部 (4) 実績証明書 ( 本機構所定様式 ) 1 部入札参加資格 (8) を満たしていることの証明として作成しその裏づけとなる契約書仕様書等の写しを添付することなお保管期間を経過した等の理由により裏づけとなる書類が調えられない場合は確約書 ( 本機構所定様式 ) を作成のうえ実績証明書に添付すること (5) 入札参加資格 (9) を満たしていることが分かる資格証明書の写し 3 名分以上各 1 部 (6) 入札参加資格 (10) を満たしていることが分かる資格証明書の写し 1 部 (7) 入札参加資格 (9) (10) (11) (12) を満たしていることを証明する競争参加資格を満たしていることの証明書 ( 本機構所定様式 ) 1 部平成 26 年 2 月 27 日 ( 木 ) 入札開札日平成 26 年 3 月 3 日 ( 月 ) 業務履行期間平成 26 年 3 月 17 日 ( 月 ) ~ 平成 26 年 3 月 31 日 ( 月 )

3 情報システムの脆弱性診断業務調達仕様書平成 26 年 1 月独立行政法人日本学生支援機構

4 1. 概要 1.1 目的独立行政法人日本学生支援機構 ( 以下機構という ) では平成 24 年度に情報セキュリティ対策を目的としインターネットへ公開している Web サーバ等の機器に対しインフラ脆弱性診断及び Web アプリケーション診断を行ったしかし不正アクセスや改ざん等の手口は日々進化しておりまた Web アプリケーションについても制度変更等に伴う画面や入力項目の追加が発生しているため定期的に脆弱性診断を行う必要があるまた機構職員が使用しているパソコンへはウイルス対策ソフトがインストールされているがウイルス対策ソフトでも検知できないマルウェアが存在し感染に気が付かずに使用している恐れがあるマルウェアにより他組織のホームページへ攻撃が行われることで組織の社会的信用を失墜させることとなる本業務は機構全体のセキュリティを維持すると共に情報セキュリティ対策に資することを目的とし Web サーバ等の機器への IT インフラ診断インターネットへ公開している Web サイトへの Web アプリケーション診断また機構パソコンに対する標的型攻撃を行うマルウェアの感染及び検査を行う 1.2 実施場所本業務の実施場所は以下の 2 か所とする独立行政法人日本学生支援機構市谷事務所東京特別区( 東京 23 区 ) 内の機構が指定する場所 ( 詳細は受託者にのみ開示 ) 1.3 実施期間平成 26 年 3 月 17 日 ~ 平成 26 年 3 月 31 日 1.4 実施形態受託者は実施スケジュール実施体制図に基づいて業務を行う 1.5 完了通知受託者は業務を完了した時には直ちにその旨書面を以て機構に通知すること 2. 脆弱性診断について本業務は前述のとおり IT インフラ診断 Web アプリケーション診断及び標的型攻撃を行うマルウェア感染調査からなる 2.1 診断方式 IT インフラ診断はオンサイト Web アプリケーション診断は機構市谷事務所にて診断を実施すること標的型攻撃感染調査は診断方法によりオンサイトまたは機構事務所内での診断を実施することなお診断は手動もしくは自動診断ツールを利用する 2.2 診断対象診断対象は以下とする 1

5 2.2.1 IT インフラ診断対象各拠点への配置数や構成図は受託者にのみ開示する 1 JASSO ウェブサーバ 2 日本留学ポータル Web サーバ及び英文大学情報検索システムサーバ 3 スカラネット Web サーバ1 号機 ~3 号機 4 スカラネットアプリケーションサーバ1 号機 ~3 号機 5 スカラネットメール配信サーバ 6 プライマリ DNS サーバ兼メール配信リレーサーバ 7 セカンダリ DNS サーバ Web アプリケーション診断対象診断対象の総数は最大 65 画面とし動的に生成されるものを主とするなお動的な画面には当然ながら 1つの画面に複数のパラメータが実装されているものもある診断対象機能は以下のとおりとする 1 適格認定継続願提出機能 ( 学生向け ) 9 画面 2 適格認定報告機能 ( 学校向け ) 21 画面 3 スカラネットパーソナル 35 画面標的型攻撃マルウェア侵入検査対象機構ネットワークに接続しているパソコンを対象とし台数は最大 1,000 台とする 2.3 業務内容本業務は主に公開サーバを対象とした脆弱性診断業務に対する調査評価である診断結果報告書を作成し機構において報告会議を開催することいずれも実施の際は充分なインターバルをとった作業目視での異常検知と負荷調整などにより検査における障害発生について最大限に配慮すること脆弱性診断業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこと特にツールが検知した内容については誤検知を減らすために手動により精査することなお検出された脆弱性を改修する作業 ( 対策等 ) については本業務に含まれない IT インフラ診断専門家による手動オペレーションおよび検査ツールでそれぞれ 1 回計 2 回の監査を実施すること検査ツールはそれ自体の信頼性を欠くことが無いよう市販のツールを使用すること実際のハッカーと同じ視点のブラックボックス方式で行うことを前提とするが機構の要求に応じてホワイトボックス方式も実施すること 2

6 調査の対象は対象装置の OS ミドルウェア一般的なソフトウェアとしそれらの脆弱性の一覧および対処方法優先度具体的な対策内容等を記した報告書を作成すること主要な調査項目は下記のとおりとする項番調査項目 1 OS の脆弱性チェック 2 バックドアのチェック 3 推測可能なパスワードのチェック 4 ミドルウェアの脆弱性チェック 5 ウイルス感染チェック 6 通信の盗聴可否のチェック ( 暗号化 ) 7 アプリケーション脆弱性チェック 8 第三者中継 (SPAM) のチェック 9 データベースの脆弱性チェック 10 証明書の有効性チェック 11 サンプルスクリプトの有無のチェック Web アプリケーション診断本業務は主に公開サーバを対象とした脆弱性診断業務に対する調査評価である診断結果報告書を作成し機構において報告会議を開催することいずれも実施の際は充分なインターバルをとった作業目視での異常検知と負荷調整などにより検査における障害発生について最大限に配慮すること脆弱性診断業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこと特にツールが検知した内容については誤検知を減らすために手動により精査することまた Web アプリケーションの仕組み上ツールが使用できないと判断される場合には機構の承認を以て手動にて監査を実施することなお検出された脆弱性を改修する作業 ( 対策等 ) については本業務に含まれない手動オペレーションおよび検査ツールで行うものとする検査ツールはそれ自体の信頼性を欠くことが無いよう市販のツールを使用すること実際のクラッカーと同じ視点のブラックボックス方式で行うことを前提とするが機構の要求に応じてホワイトボックス方式も実施することアプリケーションに起因する各種脆弱性に対する調査を行いサイト毎に検出された脆弱性一覧深刻度等を記した報告書を作成すること 3

7 主要な調査項目は下記のとおりとする項番調査項目 1 セッション管理の不備 2 XPath インジェクション 3 ユーザ ID 等の調査 4 セッションフィクセーション 5 XQuery インジェクション 6 Referer による情報漏洩 7 クロスサイトリクエストフォージェリ 8 LDAP インジェクション 9 拡張子偽装 10 クロスサイトスクリプティング 11 MX インジェクション 12 コメントデバッグ情報 13 SQL インジェクション 14 HTTP レスポンス分割 15 アプリケーション固有の問題 16 OS コマンドインジェクション 17 リモートファイルインクルード 18 フォーマットストリング 19 ディレクトリトラバーサル 20 通信の暗号化 21 バッファオーバーフロー 22 XML インジェクション 23 証明書の不備 24 SSI インジェクション標的型攻撃マルウェア侵入検査機構内のコンピュータがマルウェアに感染しているかまたは検査期間内に新たにマルウェアが機構のネットワークに侵入していないかを検査する検査については動的解析機能を有した実績のある製品を使用すること動的解析は exe pdf マイクロソフトオフィス形式のすべてを対象とすること動的解析は機構内で実施すること ( クラウド等への送信は禁止する ) 検査パケットの取りこぼしを防ぐため複数の動的解析を同時に実行できる機能を有することまた検査業務は各パソコンへのインストールが不要な方式を採ること 4

8 2.4 提出物及び提出期限当該業務を遂行するにあたり以下の提出物を作成し提出すること ( 様式任意 ) なおその内容はすべて機構の協議を以て承認を得ること実施計画書契約日から 1 週間以内に以下の項目を含むものを実施計画書として機構担当者へ提出すること (1) システム監査対象機器一覧対象となるシステム機器サイトの一覧を業務内容単位で記載すること (2) 使用ツール機器一覧本業務を遂行するために使用するツール機器を明記すること (3) システム監査全体スケジュール機構担当者と協議の上監査業務全体のスケジュールを作成すること (4) 体制図本業務を遂行するための体制を記載すること (5) 実施工程監査聴取の実施要領を記載すること診断結果報告書診断結果報告書は以下の内容を含むことまた結果報告書を提出の前に診断作業後 1 週間以内に簡易報告書 ( 速報 ) を提出すること報告書として 2 部および CD-ROM 等の電子媒体を 1 個提出すること (1) 診断結果報告書診断対象システム全体および機器ごとの考察と推奨される対策をまとめたものに加え聴取検査における監査項目ごとに考察と推奨される対策をまとめたものログ分析における検出された攻撃タイプごとに考察と推奨される対策をまとめたものからなる (2) 標的型攻撃マルウェア侵入検査レポート標的型攻撃による機構の影響を一覧で記載し且つこれらに対して推奨する運用管理方法も記載することまた動的解析機能を用いた製品での感染調査に関しても同様とする (3) 診断各種証跡診断を行った証跡となるデータはすべて納品すること 3. 受託者の条件 3.1 情報セキュリティを確保する観点から一般財団法人日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム (ISMS) の認証を受けていること 3.2 成果物の品質保証の観点から公益財団法人日本適合性認定協会または海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること 5

9 3.3 情報セキュリティ監査サービスの外部監査を提供して 5 年以上が経過していること 3.4 統括責任者 ( 業務全体を統括する責任者 ) 監査人( 業務完了まで継続して事業の実施を行える者であって業務の実施にあたっての責任者 ) 監査補助者( 監査人の配下に属する者であって個々の業務を行う者 ) アドバイザー( 業務の品質を管理する者 ) からなる監査チームを編成すること監査チームには以下の認証資格のいずれかを有する者を 3 名以上含むこととし資格証明書の写しを提出すること公認情報セキュリティ監査人(CAIS-Auditor) 公認情報セキュリティマネージャ(CISM) 公認情報システムセキュリティ専門家(CISSP) テクニカルエンジニア( 情報セキュリティ ) 情報セキュリティアドミニストレータ情報セキュリティスペシャリスト各者の氏名所属部署及び連絡先とともに各者の経歴専門分野各種保有資格等について契約締結後 1 週間以内に機構に提出し了承を得ること 3.5 本監査業務の開始後適切な業務が実施できないと診断チームが判断した場合には受託者は診断チーム体制を変更することなお受託者は体制を変更する際は診断業務の遂行に影響がでないようにするとともに変更に要した費用については自らが負担すること 3.6 業務従事者は一般財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対応 -( 平成 20 年 1 月 31 日 ) 教育訓練認識及び力量で明らかにされている資格の要件を備えた専門家が 1 人以上含まれていること 3.7 業務従事者は診断作業の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が 1 人以上含まれていること情報セキュリティ監査情報セキュリティに関するコンサルティング 3.8 情報セキュリティ対策等に関する役務提供を専門とする組織を有していること 4. 留意事項 4.1 本業務を遂行するために機構に対する資料要求要望等がある場合は原則文書にて行うこと 4.2 業務にあたり機構から提供された又は知り得た機構の内部情報はすべて他の用途に転用してはならず契約期間中に指示する方法で破棄しなければならないこの契約終了後も同様とする特に機密情報 ( 機構より明確に機密と指定されて開示される情報で公には入手できない情報 ) については別に機密保持誓約を締結しこれを遵守しなければならない 6

10 4.3 技術的検証については対象情報システムの運用に対し支障及び損害を与えないように実施するものとするまた本業務における検査を実施した後機構のすべての機能が正常に動作する確認作業を支援することまた現在運用しているその他のシステム機器等に影響を与えないこと 4.4 本業務において運用中のシステム機器等の設定変更が必要となる場合には変更内容等の詳細情報を機構へ提示すること 4.5 平日 ( 国民の祝日に関する法律第 3 条に規定する休日及び年末年始を除く月曜日 ~ 金曜日 ) 以外や深夜早朝の実施を指定することもあるので留意すること 4.6 納品期限までに本業務が原因でシステム障害が発生した場合復旧に対応できる体制を維持し作業支援を行うこと 4.7 機構の求めに応じ打合せを実施すること 4.8 本仕様書に掲げられている事項の他本業務を遂行するために必要な事項は機構担当者と協議の上実施すること 4.9 本業務を遂行する上で発生した書面 ( 電子媒体を含む ) その他類似の派生物 ( 企画等の構想も含む ) は一切の著作権所有権及び使用権を機構に帰属するものとするただし本契約締結前より受託者または第三者が有する著作権等の知的財産権及びノウハウ等については受託者または第三者に留保されるものとするまた成果物の著作人格権は行使しないことを契約書にて締結することとする 4.10 受託者はこの契約に基づく業務を処理するために機構から提供された資料等を機構の承諾なく複写及び複製してはならないまた契約終了後は速やかに機構に返還しなければならないなお提供された資料のうち個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは施錠した保管庫等で保管し管理すること 4.11 本業務に必要な機器類設定費用通信費運搬費等は本契約に含めるものとする 4.12 業務に係る検査職員監督職員 1 検査職員情報部情報管理課課長 2 監督職員情報部情報管理課情報計画係長 7

目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1

目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1 独立行政法人医薬品医療機器総合機構情報システム監査業務仕様書平成 24 年 2 月独立行政法人医薬品医療機器総合機構目次 1. 事業名 2. 目的 3. システム監査対象装置システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項別紙監査項目一覧 1 1. 事業名独立行政法人医療品医療機器総合機構情報システム監査業務