- PDF Free Download

Size: px

Start display at page:

Download ""

ぜんぺいしげまつ
7 years ago
Views:

1 平成 27 年度情報システム監査業務調達仕様書独立行政法人医薬品医療機器総合機構平成 27 年 9 月

3 1. 事業名平成 27 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス等に対するセキュリティを確保することが求められている情報システム監査業務は総合機構に設置された Web サーバや Mail サーバ等の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い情報セキュリティ対策に資することを目的とするさらに標的型攻撃をはじめとする最新のサイバー攻撃に関する研修を行い総合機構のサイバー攻撃に対する知見を深めることを目的とする 3. 業務内容本業務は主に公開サーバを対象とした脆弱性監査業務と標的型攻撃に対する調査評価及び研修を実施するものである監査結果報告書を作成し総合機構において報告会議を開催すること監査業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこととし特にツールが検知した内容については誤検知を減らすために手動により精査することまた Web アプリケーションの仕組み上ツールが使用できないと判断される場合には手動にて監査を実施することなお検出された脆弱性を改修する作業については本業務に含まれない A. プラットフォーム脆弱性監査 4. システム監査対象記載の装置を対象としたオンサイト監査とする脆弱性監査の対象は対象装置の OS ミドルウェア一般的なソフトウェアとしそれらの脆弱性の一覧及び対処方法優先度具体的な運用の改善点等を監査報告書に記載すること監査項目の詳細は別紙監査項目一覧に記す B. 管理者向け聴取による監査総合機構のシステム管理者 5 名に対し聴取形式による運用面管理面における脆弱性監査を実施し管理対象システムごとに脆弱性問題点の一覧及び改善項目優先度推奨する運用管理手法等を監査報告書に記載すること聴取の内容は別紙に記す 1

4 C. ログ分析監査総合機構が指定する 2 つの Web システムにおいて過去 3 か月分の Web サーバログを分析し攻撃の痕跡を調査すること検出した攻撃手法ごとの一覧及び攻撃の成功可能性対処優先度具体的な運用の改善点等を監査報告書に記載することログ分析の内容は別紙に記す D. アプリケーション監査 4.(2) のアプリケーション監査対象サイトを対象とした Web アプリケーション監査とするアプリケーションに起因する各種脆弱性に対する監査を行いサイトごとに検出された脆弱性一覧深刻度等を監査報告書に記載することアプリケーション監査の内容は別紙に記す E. 標的型メール訓練標的型メール攻撃に対する総合機構職員の対応力および意識の向上をはかるため標的型メールに相当するなりすましメールを作成し総合機構が示すスケジュールに従い平成 27 年 12 月までに訓練メールの送信を行なうこと訓練メールは最大 1,300 人へ送付するまた Web サイトへのアクセス状況の集計等業務を行うためのシステム環境を準備し訓練結果の分析を行い監査報告書に記載すること訓練メールの送信環境及び集計業務環境を受注者側で用意また設定変更可能なものとし今後総合機構担当者がメンテナンスできるよう変更手順書を作成し総合機構担当者へ引き継ぎを実施すること F. セキュリティ研修サイバー攻撃の手法は巧妙化かつ複雑化しており標的型攻撃以外にも大手メーカーの Web サイトが改ざんされ水飲み場型攻撃やドライブ by ダウンロード等新しい攻撃手法に使用されているこれらのような最新のサイバー攻撃の手法について総合機構業務従事者全員の知見を向上させるための研修を行うことなお機構の IT 環境を調査し各利用マニュアルを参照した上で想定されるセキュリティリスクに応じたものとすること研修については座学だけではなく実際のサイバー攻撃やマルウェアの挙動をデモンストレーションで実演するなど理解の促進に創意工夫をこらすこと 1 回の研修は 60 分以内とし 10 回実施すること研修用資料は変更可能なものとし今後総合機構担当者がメンテナンスできるよう作成し納品すること 4. システム監査対象 (1) ネットワーク監査対象装置 2

5 a. サーバ 15 台を対象とする (Windows サーバ Linux サーバ等 ) (2) アプリケーション監査対象サイト a. 医薬品医療機器総合機構ホームページ ( b. 例規集データベース ( c. 医薬品医療機器情報提供ホームページ ( d. 医療機器 WEB 申請システム ( e. 医療機器基準等情報提供ホームページ ( 5. 実施期間及び実施形態契約日から平成 28 年 2 月 10 日までとし受注者が派遣する監査員が実施スケジュールに基づいて業務を行う受注者は 6.( 1) に定める実施計画書の実施体制図に基づき監査員を派遣すること 6. 提出物及び提出期限当該業務を遂行するにあたり以下の提出物を作成し提出すること ( 様式任意 ) (1) 実施計画書契約日から 2 週間以内に総合機構担当者へ提出すること実施計画書は以下の項目を含むこと a. システム監査対象機器一覧総合機構担当者と協議の上対象となるシステム機器及びサイトの一覧を業務内容単位で記載すること b. 使用ツール機器一覧本業務を遂行するために使用するツール及び機器を明記すること c. システム監査全体スケジュール総合機構担当者と協議の上監査業務全体のスケジュールを作成すること d. 体制図本業務を遂行するための体制を記載すること e. 実施工程監査聴取の実施要領を記載すること f. セキュリティ研修全般機構の IT 環境の調査を踏まえ研修資料を作成し研修を行うこと 3

6 (2) 監査結果報告書平成 28 年 3 月 10 日までに総合機構担当者へ提出すること監査結果報告書は以下の内容を含むこと a. 監査結果報告監査対象システム全体及び機器ごとの考察と推奨される対策をまとめたもの聴取検査における監査項目ごとに考察と推奨される対策をまとめたものログ分析における検出された攻撃タイプごとに考察と推奨される対策をまとめたもの b. プラットフォーム脆弱性一覧プラットフォーム監査の結果を元に機器ごとに検出された脆弱性を記載し対応方法優先度を一覧で記載すること c. 聴取結果レポート ( 担当者ごと全担当者比較 ) 担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載することまた担当者ごとにアセスメントの差異を識別可能なグラフ等を記載すること一覧には問題点対応優先度改善項目推奨する運用管理方法を含めること d. ログ分析監査結果レポート攻撃に分類されるアクセス履歴を一覧で記載することまた攻撃が成立した可能性を分析し対応優先度具体的な改善方法を記載すること e. アプリケーション監査レポートアプリケーション監査の結果を元に監査対象サイトごとに検出された脆弱性を記載しその脆弱性に対する一般的な対応方法優先度を一覧で記載すること f. 標的型メール訓練レポート標的型メールの開封率開封者などの傾向が視覚的に分かるレポートをまとめること g. 最新のサイバー攻撃手法に係るセキュリティ研修資料実施状況の報告及び各研修で使用した教材を添付すること 4

7 (3) 各種証跡平成 28 年 3 月 10 日までに総合機構担当者へ提出すること監査を行った証跡となるデータはすべて納品すること納入品目は以下のとおりとする a. 実施計画書用紙 2 部 CD-R 2 個 b. 監査結果報告書用紙 2 部 CD-R 2 個研修資料 ( 電子媒体として加工可能なもの ) を含む訓練メール送信環境訓練メール集計業務環境及び訓練メール変更手順書についても監査結果報告書に記載すること c. 各種証跡 CD-R 2 個 (4) 体制図受注者は統括責任者 ( 業務全体を統括する責任者 ) 監査人( 業務完了まで継続して事業の実施を行える者であって業務の実施にあたっての責任者 ) 監査補助者 ( 監査人の配下に属する者であって個々の業務を行う者 ) アドバイザー ( 業務の品質を管理する者 ) からなる監査チームを編成すること監査チームには財団法人日本情報処理開発協会 ISMS ユーザーズガイド - JISQ 27001:2006(ISO/IEC 27001:2005) 対応 -( 平成 20 年 1 月 31 日 ) 教育訓練認識及び力量で明らかにされている資格の要件を備えた専門家が 2 人以上含まれていること並びに監査の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が 1 人以上含まれていること a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング監査チーム各者の氏名所属部署及び連絡先とともに各者の経歴専門分野各種保有資格等について契約締結後 5 日以内に総合機構に提出し了承を得ること本監査業務の開始後適切な業務が実施できないと監査チームが判断した場合には受注者は監査チーム体制を変更することなお受注者は体制を変更する際は監査業務の遂行に影響がでないようにするとともに変更に要した費用については自らが負担すること 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則 ( 平成 15 年経済産業省告示第 113 号 ) 第 4 条に規定する情報セキュリティ監査企業台帳 ( 平成 26 年度登録分 ) に登録されている者であること国独立行政法人政府系特殊法人都道府県等地方自治体自社以外の企業海外の医薬品医療機器の規制当局において情報システム監査業務を過去 2 年以内に請け負った実績を有しかつ本業務を履行できることまたこれら実 5

8 績を証明できること (2) 情報セキュリティを確保する観点から ( 財 ) 日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム (ISMS) の認証を受けていること (3) 成果物の品質保証の観点から ( 財 ) 日本適合性認定協会又は海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること (4) 本業務による納品物の中立性客観性を確保するため本業務において監査対象となる情報資産の管理及び当該情報資産に関する情報システムの構築及び開発保守等に参画していないことまたその親会社及び子会社同一の親会社を持つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする (5) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有していること (6) 取り扱う情報がセキュリティに関するものとなるため応札者の事務所では個人ごとに配布された ID カード等による入退室管理が行われていること (7) 信頼性を確保するため 1000 人以上の標的型メール訓練教育を 5 組織以上で行った実績があること 8. 落札者決定方法一般競争入札にて決定する 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求要望等がある場合は原則文書にて行うこと (2) 業務にあたり総合機構から提供された又は知り得た総合機構の内部情報はすべて他の用途に転用してはならず契約期間中に指示する方法で破棄しなければならないこの契約終了後も同様とする特に機密情報 ( 総合機構より明確に機密と指定されて開示される情報で公には入手できない情報 ) については別に機密保持誓約を締結しこれを遵守しなければならない (3) 技術的検証については対象情報システムの運用に対し支障及び損害を与えないように実施するものとする 6

9 また本業務における検査を実施した後総合機構のすべての機能が正常に動作する確認作業を支援することまた現在運用しているその他のシステム機器等に影響を与えないこと納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合現地へ 1 時間以内に技術員を派遣し現行システム保守業者と調整の上システム復旧が対応できる体制を維持すること (4) 監査業務の実施は正確性の確保のためにツールだけでなく必要に応じて手動でも行うこと特にツールが検知した内容については誤検知を減らすために手動により精査することまた Web アプリケーションの仕組み上ツールが実行できないと判断される場合には手動にて監査を実施すること総合機構の求めに応じ総合機構との打合せを実施すること (5) 総合機構の求めに応じ総合機構との打ち合せを実施すること (6) 本仕様書に掲げられている事項の他本業務を遂行するために必用な事項は総合機構担当者と協議の上実施すること (7) 本業務を遂行する上で発生した書面 ( 電子媒体を含む ) その他類似の派生物( 企画等の構想も含む ) は一切の著作権所有権及び使用権を総合機構に帰属するものとするただし本契約締結前より受注者または第三者が有する著作権等の知的財産権及びノウハウ等については受注者又は第三者に留保されるものとするまた成果物の著作人格権は行使しないこととする (8) 受託者はこの契約に基づく業務を処理するために総合機構から提供された資料等を総合機構の承諾なく複写及び複製してはならないまた契約終了後は速やかに総合機構に返還しなければならないなお提供された資料のうち個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは施錠した保管庫等で保管する等大切に管理しなければならない (9) 受注者は受注業務の全部又は主要部分を第三者に委託することはできない受注業務のうち契約金額の 10% を超える業務の一部を再委託する場合は事前に再委託する業務再委託先等を総合機構に申請し承認を受けること申請にあたっては再委託に関する承認申請書の書面を作成の上受注者と再委託先との委託契約書の写し及び委託要領等の写しを総合機構に提出すること受注者は機密保持知的財産兼等に関して本仕様書が定める受注者の責務を再委託先業者も負うよう必要な処置を実施し総合機構に報告し承認を受けることなお第三者に再委託する場合はその最終的な責任を受注者が負うこととする本項の要件は再委託先からさらに再委託する事業者及び以降の再委託業者についても適用する 7

10 (10) 本業務に必要な機器類の調達通信費等は受注者の負担とする 10. 窓口連絡先独立行政法人医薬品医療機器総合機構情報化統括推進室田村慎治電話 :03 (3506)9485 8

11 別紙監査項目一覧 A. プラットフォーム脆弱性監査監査項目概要アカウントユーザアカウント及びパスワード管理の妥当性 CGI スクリプト等各種サービスデータベースセキュリティ設定各種ソフトウェア Web サーババックドアサービス妨害耐性セキュリティ脆弱性を持つ CGI スクリプトの存在を調査サーバ上で稼働する各種サービスの脆弱性データベースアプリケーションに存在する脆弱性 Linux 及び Windows のセキュリティ設定の脆弱性サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 WWW サーバに存在するセキュリティホールをチェックする監査攻撃者がシステムに仕掛けたバックドアプログラムの検出 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性を監査 B. 管理者向け聴取による監査監査項目概要個人情報および機密情報保護個人情報や機密情報等保護すべき情報の定義取扱規定に関する監査安全な認証機能の利用各種認証機能 ( パスワードポリシー含む ) の運用に関する監査証跡保全各種ログの取得保管等に関する監査管理用クライアント運用に利用するクライアント環境に関する監査サービス妨害攻撃対策サービス妨害攻撃に対する準備検知対策に関する監査監視分析ネットワーク監視異常発生時の対応に関する監査マルウェア対策マルウェアへの対策対応に関する監査標的型攻撃対策標的型攻撃対策に関する監査インシデントレスポンインシデント発生時の対応事業継続に関する監査ス C. ログ分析監査監査項目 SQL インジェクション OS コマンドインジェクションディレクトリトラバーサル概要 SQL インジェクションを試行するアクセス痕跡を検出 OS コマンドインジェクションを試行するアクセス痕跡を検出ディレクトリトラバーサルを試行するアクセス痕跡を検出 9

12 クロスサイトスクリプティング総当たり攻撃の検出ステータスコード分類サンプルスクリプト等を対象とした攻撃クロスサイトスクリプティングを試行するアクセス痕跡を検出ベーシック認証に対するブルートフォース攻撃などを検出 500 エラー 404 エラーなどを検出脆弱性が残存したままの IIS や Apache のサンプルスクリプト等に対するアクセス痕跡を検出 D. アプリケーション監査検査項目概要認証 : 総当たり攻撃管理者アカウントへの総当たり攻撃影響度を検証認証 : 不適切な認証正常なログイン処理を介さずにログイン後の画面にアクセスできてしまうかを検証 Authorization: インデアクセス制御を行うための認可に使用するインデックス番号やセクシング / セッションのッション番号が推測可能か検証推測 Authorization: 不適切設定の不備等で不適切な許可がされないか検証な許可 Authorization: 不適切 Cookie に保存されたセッション情報を盗み出すことができないかなセッション期限検証 Authorization: セッシセッションを固定化されて第三者のセッションハイジャックがョンの固定可能か検証クライアント側攻撃 : コンテンツのなりすましによるフィッシング攻撃が成立するか検コンテンツのなりすま証しクライアント側攻撃 : 第三者により任意のスクリプトが実行されるクロスサイトスクリクロスサイトスクリププティング脆弱性が存在するか検証ティングコマンドの実行 : バッバッファオーバーフローの脆弱性が存在するか検証ファオーバーフローコマンドの実行 : 書式プログラムをクラッシュさせたり不正なコードを実行させたり文字列攻撃する書式文字列攻撃脆弱性が存在するか検証コマンドの実行 : LDAP LDAP インジェクション脆弱性が存在するか検証インジェクションコマンドの実行 : OS 命 OS コマンドインジェクション脆弱性が存在するか検証令コマンドの実行 : SQL SQL インジェクション脆弱性が存在するか検証インジェクション 10

13 コマンドの実行 : SSI インジェクションコマンドの実行 : XPath インジェクション情報の開示 : ディレクトリインデクシング情報の開示 : 情報遺漏情報の開示 : パストラバーサル情報の開示 : 推測可能なリソースの位置論理攻撃 : 機能の悪用論理攻撃 : サービス拒否攻撃アプリケーションプライバシーテストアプリケーション品質テスト SSI インジェクション脆弱性が存在するか検証 Xpath インジェクション脆弱性が存在するか検証ディレクトリ Index が外部から参照可能か検証ユーザ名パスワードなど秘密情報が外部に公開されていないか検証本来公開されないはずのファイルが公開される脆弱性が存在するか検証内部のリソースが簡単に推測できる脆弱性が存在するか確認 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証サービス拒否攻撃に対する耐性を検証暗号化の有無などを検証デバッグ情報の収集などを検証 11

1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス

1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため不正アクセス平成 28 年度情報システム監査業務調達仕様書独立行政法人医薬品医療機器総合機構平成 28 年 12 月 1 1. 事業名平成 28 年度情報システム監査業務 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医薬品医療機器総合機構 ( 以下総合機構という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ちかつサービスを停止しないため