久留米市 認証一元化基盤構築業務委託 仕様書 平成 29 年 11 月 久留米市
目次 1 本業務の目的... 3 2 本業務の基本事項... 3 (1) 認証一元化基盤とは... 3 (2) 前提条件... 4 (3) 本業務の対象範囲... 6 (4) 本業務のスケジュール... 6 3 認証一元化基盤設定要件... 6 (1) 仮想マシン... 6 (2) AD... 6 (3) バックアップ ウイルス対策... 7 4 認証一元化基盤構築業務要件... 7 (1) 業務要件... 7 5 特記事項... 8 (1) 個人情報の取扱い... 8 (2) 瑕疵担保責任... 8 (3) その他... 8 2 / 8
1 本業務の目的 久留米市では 第二次業務システムの全体最適化基本計画を策定し 久留米市情報処理システムの最適化に向けた取組みを行っています その取組みの一つとして 端末操作ユーザを特定することができない 業務システムごとに認証情報が分散管理されている 端末やユーザへのセキュリティ設定適用が徹底できない といった 認証環境に起因するセキュリティ課題の解決を目指しています 認証一元化基盤構築業務 ( 以下 本業務 という ) では 端末操作者を特定することができる 業務システムが参照する職員認証情報を提供することができる 端末やユーザへのセキュリティ設定を徹底することができる 認証一元化基盤を導入し 認証環境に起因するセキュリティ課題を解決することが目的です 2 本業務の基本事項 (1) 認証一元化基盤とは認証一元化基盤とは 情報システム向けに ユーザ認証 権限認可 機能を提供する基盤です ユーザ認証 権限認可 機能とは 以下の機能を指します また 認証一元化基盤は 久留米市情報系システムとの親和性を鑑み Windows Server 2016 Active Directory( 以下 AD という ) を利用し構築します 各機能を実現する AD 設定要件は 3 認証一元化基盤設定要件 で示します ア ユーザ認証機能 ( ア ) 人事給与システムにて管理されている職員情報をもとにした 職員番号 職員名 役職 パスワード等のユーザ情報を管理できること ( ユーザアカウントの使用 ) ( イ ) 端末管理台帳を基にした 端末管理番号等の端末情報を管理できること ( コンピュータアカウントの使用 ) ( ウ ) ユーザ端末 (Windows) の OS ログイン時に ユーザごとにパスワード認証が可能であること ( ドメインコントローラの使用 ) ( エ ) ユーザ端末 (Windows) の OS ログイン後は ログインユーザに応じたデスクトップ画面が表示されること ( ユーザプロファイルの使用 ) 3 / 8
( オ ) 登録されている情報をもとにユーザ認証サービスを提供できること (Kerberos 認証の 使用 ) ( カ ) 登録されている情報をもとにディレクトリサービスを提供できること (LDAP の使用 ) イ 権限認可機能 ( ア ) ユーザ情報 所属部局情報 端末情報ごとに 操作権限 閲覧権限等の権限認可をできること ( グループポリシーの使用 ) ( イ ) ユーザの端末操作について セキュリティ監査ログを取得できること ( 監査ログの使用 ) (2) 前提条件久留米市のシステム環境について 認証一元化基盤を設置する上で必要な情報を示します ア イ ウ ネットワーク本業務で構築する認証一元化基盤は LGWAN 接続系ネットワークに属するものとします LGWAN 接続系ネットワークとは LGWAN とだけ接続された庁内ネットワークであり 財務会計 人事給与システム等の内部事務を取扱うシステムやファイルサーバが稼動しています 仮想サーバ基盤認証一元化基盤は 久留米市役所 5 階コンピュータ室に設置されている仮想サーバ基盤上に構築するものとします 仮想サーバ基盤の主な仕様は 別紙 1 久留米市仮想サーバ基盤仕様書 の通りです 既存認証環境 SAMBA3 ドメインを構成し ファイルサーバの権限認可および業務端末へのセキュリティ設定適用を制御しています ファイルサーバの権限認可は部局単位です SAMBA3 ドメインへのログオンアカウントは端 末名であり 端末名アカウントを部局グループに所属させることで部局単位の権限認可を実 現しています 4 / 8
また 業務端末へのセキュリティ設定適用は ログオンスクリプトによって実現しています ログオンスクリプトで適用している設定は Internet Explorer 設定 Microsoft Office 設定 ネットワーク設定 インストールソフトウェア確認等です なお SAMBA3 ドメインは リース満了のため平成 30 年 9 月に廃止を予定しています エ オ カ Windows ライセンス認証一元化基盤に必要なライセンス (Windows サーバ及び CAL) は 久留米市所有のライセンスを使用するため 本業務には含めません ウイルス対策認証一元化基盤へのウイルス対策は 久留米市が別途契約しているウイルス対策ソフトのライセンスを使用するため 本業務には含めません 業務端末認証一元化基盤を利用する業務端末については 久留米市情報系ネットワークに設置済みの現行機器または各業務システムにおいて個別調達されるものとなります 業務端末の多くは Windows7 Pro(32bit 64bit) Windows8.1 Pro (64bit) または Windows10 Pro(64bit) 等 AD ドメイン参加可の OS を採用しています 一部 Windows7 Home 等の AD ドメイン参加非対応の OS を採用する業務端末が存在します 業務端末の台数および拠点の内訳を 表 1 業務端末内訳 に示します 表 1 業務端末内訳 拠点本庁田主丸総合支所北野総合支所城島総合支所三潴総合支所耳納市民センター筑邦市民センター上津市民センター高牟礼市民センター千歳市民センターその他 121 拠点 台数約 1,500 台約 60 台約 50 台約 60 台約 50 台約 10 台約 10 台約 10 台約 10 台約 10 台約 700 台 5 / 8
(3) 本業務の対象範囲認証一元化基盤の構築 認証一元化基盤への認証情報の登録 セキュリティ設定 ( グループポリシー ) 情報の登録 既存 SAMBA3 ドメインとの連携 ログオンスクリプトの移植 情報政策課業務端末を対象としたテスト および引継ぎ資料の作成を対象とし 情報政策課業務端末以外の認証ドメインへの移行は対象外とします (4) 本業務のスケジュール契約開始日から平成 30 年 3 月 31 日まで 3 認証一元化基盤設定要件 認証一元化基盤の設定要件を以下に示します (1) 仮想マシン仮想サーバ基盤上に AD が稼働する仮想マシンを設定することとします 仮想マシンの要件を 表 2 仮想マシン要件 に示します 表 2 仮想マシン要件 項目 要件 CPU 2vCPU メモリ 8GB HDD 100GB 台数 2( プライマリ セカンダリの 2 台構成 ) (2) AD 設定した仮想マシン上へ AD を設定することとします AD の要件を 表 3 AD 設定要件 に示します 6 / 8
表 3 AD 設定要件 項目 OS ユーザアカウントユーザプロファイルセキュリティグループグループポリシーオブジェクトログオンスクリプトバッチスクリプトその他 要件 Microsoft Windows Server 2016 とすること 職員番号アカウントを約 2,500 件登録すること 職員番号アカウントには 職員名 役職 所属部門 メールアドレスを含むこと AD ドメイン参加可 OS 用の固定ユーザプロファイルを設定すること 部 課相当のセキュリティグループを約 200 件設定すること AD で管理するポリシーを久留米市と協議後 設定すること 既存ログオンスクリプトを AD 用に移植すること また 既存ログオンスクリプト内の グループポリシーオブジェクトにて端末展開可能な設定は グループポリシーオブジェクトへ移植すること 人事システムから出力された職員および部局情報 ならびにグループウェアシステムから出力されたメールアドレス情報をインプットとし ユーザアカウントおよびセキュリティグループのメンテナンスを行うバッチスクリプトを作成すること 本業務で構築する AD と既存 SAMBA3 ドメインとの信頼関係を設定し 相互のリソースを利用できるようにすること または その代替手段を用意すること (3) バックアップ ウイルス対策バックアップは 仮想サーバ基盤にて実施するため 本業務の対象外とします また ウイルス対策は 久留米市が別途契約しているウイルス対策ソフトのライセンスを使用し仮想マシンへ設定するため 本業務の対象外とします 4 認証一元化基盤構築業務要件 認証一元化基盤構築業務の要件を以下に示します (1) 業務要件認証一元化基盤構築業務として 表 4 認証一元化基盤構築業務要件 の業務を実施することとします 7 / 8
表 4 認証一元化基盤構築業務要件 業務計画策定基本設計詳細設計構築及びテスト運用引継プロジェクト管理 工程 業務要件認証一元化基盤構築業務の計画を策定すること 成果物として業務計画書を提出すること 本仕様書をもとに認証一元化基盤の基本設計を行うこと 成果物として基本設計書を提出すること 基本設計をもとに認証一元化基盤の詳細設計を行うこと 成果物として詳細設計書を提出すること 基本設計書および詳細設計書をもとに認証一元化基盤を構築し 情報政策課端末を対象としたテストを実施すること 成果物として 認証一元化基盤 テスト計画書 テスト仕様書 テスト結果報告書を提出すること 情報政策課職員が円滑に運用を実施できるよう 認証一元化基盤に関する運用引継を実施すること また 平成 30 年度 9 月の SAMBA3 ドメイン廃止までに 情報政策課以外の業務端末を新ドメインへ移行するための計画を策定すること 成果物として 運用引継書 業務端末移行計画書を提出すること 業務計画に基づいたプロジェクト管理を実施すること 成果物として 課題管理表 議事録を提出すること 5 特記事項 本業務における特記事項を以下に示します (1) 個人情報の取扱い本業務において 個人情報を取扱う場合は 久留米市個人情報保護条例及び条例施行規則 並びに久留米市情報セキュリティ規則を遵守することとします (2) 瑕疵担保責任検収完了後 本業務成果物と仕様書に不一致が発見された場合は 久留米市と協議の上 受託者が無償で是正処理を実施することとします 瑕疵担保期間は検収完了後 1 年とします (3) その他本仕様書に記載のない事項については 久留米市と協議の上 決定するものとします 8 / 8
久留米市仮想サーバ基盤仕様書 別紙 1 仮想サーバ基盤 NO 項目 型式 仕様 1 メーカ / 機種 日本ヒューレットパッカード /HC250 2 台数 1 シャーシ 4 ノード 3 CPU Intel Xeon E5-2640v3 2.6GHz 2 プロセッサ /16 コア (1 ノードあたり ) 4 メモリ 128GB (1 ノードあたり ) 5 HDD 1.2TB 6 RAID1 以上 (1 ノードあたり ) 6 サイズ 2U(4 台のシャーシを収容 ) 7 ネットワークインタフェース 10GB インタフェース 2 (1 ノードあたり ) 8 電源モジュール 1400W パワーサプライ 2 9 冷却ファン 冗長化された複数の冷却ファン バックアップサーバ NO 項目 型式 仕様 1 メーカ / 機種 日本ヒューレットパッカード /DL360Gen9 2 台数 1 台 3 CPU Intel Xeon E5-2630v3 2.4GHz 1 プロセッサ /8 コア 4 メモリ 32GB 5 HDD 1TB 8 RAID5+HotSpare 6 サイズ 1U 7 ネットワークインタフェース 10GB インタフェース 2 8 電源モジュール 500W パワーサプライ 2 9 冷却ファン 冗長化された複数の冷却ファン テープ装置 NO 項目 型式 仕様 1 メーカ / 機種 日本ヒューレットパッカード /StoreEver 1/8 G2 LTO7 SAS テープオートローダー 2 テープメディア LTO7( 最大容量 6TB/ 本 ) 16 本 1 / 2
10GB ネットワークスイッチ (2 台 ) NO 項目 型式 仕様 1 メーカ / 機種 日本ヒューレットパッカード /HP5700-32XGT-8XG-2QSFP+ Switch 2 レイヤー レイヤー 3 対応 3 接続先 1000BASE-T のセンタースイッチへ接続可能 4 ポート数 10GBASE-T 32 5 VLAN 対応 6 電源 650W パワーサプライ 2 ソフトウェア NO 項目 型式 仕様 1 仮想化ソフトウェア VMWare vsphere 6.0 Standard Edition 2 バックアップソフトウェア VERITAS BackupExec 3 仮想サーバ基盤監視ソフ ZOHO Japan ManageEngine OpManager トウェア 4 仮想サーバ向け Windows サーバライセンス Microsoft Windows Server 2012R2 Datacenter Edition 2 / 2