1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下



Similar documents
Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

・モニター広告運営事業仕様書

Taro13-公示.jtd

独立行政法人国立病院機構

<4D F736F F D2090AD957B94468FD88AEE94D B292428C7689E68F912E646F63>

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

( 運 用 制 限 ) 第 5 条 労 働 基 準 局 は 本 システムの 維 持 補 修 の 必 要 があるとき 天 災 地 変 その 他 の 事 由 によりシステムに 障 害 又 は 遅 延 の 生 じたとき その 他 理 由 の 如 何 を 問 わず その 裁 量 により システム 利 用 者

大阪府電子調達システムの開発業務 (第一期)に係る仕様書案に対する意見招請のお知らせ

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

平 成 27 年 11 月 ~ 平 成 28 年 4 月 に 公 開 の 対 象 となった 専 門 協 議 等 における 各 専 門 委 員 等 の 寄 附 金 契 約 金 等 の 受 取 状 況 審 査 ( 別 紙 ) 専 門 協 議 等 の 件 数 専 門 委 員 数 500 万 円 超 の 受

(8) 日 本 国 籍 を 有 し 日 本 国 憲 法 及 びその 下 に 成 立 した 政 府 を 暴 力 等 で 破 壊 すること を 主 張 する 団 体 等 その 他 を 結 成 し 又 は 加 入 し 若 しくは 協 力 していないことを 証 明 又 は 誓 約 し 若 しくは 保 証 で

岡山県警察用航空機の運用等に関する訓令

中根・金田台地区 平成23年度補償説明業務

Microsoft Word - ★HP版平成27年度検査の結果

る 第 三 者 機 関 情 報 保 護 関 係 認 証 プライバシーマーク ISO27001 ISMS TRUSTe 等 の 写 しを 同 封 のうえ 持 参 又 は 郵 送 とする 但 し 郵 送 による 場 合 は 書 留 郵 便 とし 同 日 同 時 刻 必 着 とする 提 出 場 所 は 上

るよう 工 事 打 合 せ 簿 ( 様 式 2)により 受 注 者 に 求 めます 5-1 理 由 書 ( 様 式 3)が 提 出 され 特 別 の 事 情 を 有 すると 認 めた 場 合 は 社 会 保 険 等 の 加 入 が 確 認 できる 書 類 を 提 出 するよう 工 事 打 合 せ 簿

一般競争入札について

Microsoft PowerPoint - 【那須野】セキュリティ問題について

プライバシーマーク 付 与 適 格 性 審 査 業 務 基 本 規 程 改 廃 履 歴 版 数 制 定 改 定 日 改 訂 箇 所 改 訂 理 由 備 考 年 8 月 26 日 初 版 制 定 年 7 月 1 日 JIPDEC プライバシーマーク 制 度 基 本

<4D F736F F D A94BD837D836C B4B92F62E646F6378>

(Microsoft PowerPoint \213\306\213\226\211\302\215X\220V\220\340\226\276\211\357\201i3\201j)

< F2D D D837C815B B8EC08E7B97768D80>

大学病院治験受託手順書

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

第 8 条 乙 は 甲 に 対 し 仕 様 書 に 定 める 期 日 までに 所 定 の 成 果 物 を 検 収 依 頼 書 と 共 に 納 入 する 2 甲 は 前 項 に 定 める 納 入 後 10 日 以 内 に 検 査 を 行 うものとする 3 検 査 不 合 格 となった 場 合 甲 は

(8) 暴 力 団 員 による 不 当 な 行 為 の 防 止 等 に 関 する 法 律 ( 平 成 3 年 法 律 第 77 号 ) 第 2 条 第 2 号 に 掲 げる 暴 力 団 及 びそれらの 利 益 となる 活 動 を 行 う 者 でないこと (9) 国 税 県 税 及 び 市 町 村 税

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

b) 参 加 表 明 書 の 提 出 時 において 東 北 地 方 整 備 局 ( 港 湾 空 港 関 係 を 除 く) における 平 成 年 度 土 木 関 係 建 設 コンサルタント 業 務 に 係 る 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 認 定 を 受 けて

< F2D8AC493C CC81698EF3928D8ED2816A2E6A7464>

ア 運 営 管 理 業 務 に 関 する 事 項 管 理 事 務 所 の 使 用 に 関 すること( 電 話 金 庫 警 備 鍵 等 名 義 変 更 の 必 要 な もの( 電 気 水 道 ガス 機 械 警 備 消 防 計 画 書 危 険 物 取 扱 設 置 許 可 等 )) 年 間 行 事 予 定

社会保険加入促進計画に盛込むべき内容

Microsoft PowerPoint - 経営事項審査.ppt

仕様書案

(2) 検 体 採 取 に 応 ずること (3) ドーピング 防 止 と 関 連 して 自 己 が 摂 取 し 使 用 するものに 責 任 をもつこと (4) 医 師 に 禁 止 物 質 及 び 禁 止 方 法 を 使 用 してはならないという 自 己 の 義 務 を 伝 え 自 己 に 施 される

確定給付企業年金 DBパッケージプランのご提案

< F2D8CF68D908A BA97AC89CD90EC8FF38BB592B28DB8>

(7) 会 社 更 生 法 第 17 条 又 は 民 事 再 生 法 第 21 条 の 規 定 に 基 づく 更 生 手 続 又 は 再 生 手 続 を 行 っていないこと (8) 国 税 県 税 及 び 市 町 村 税 について 未 納 のないこと 指 名 通 知 時 点 または 参 加 意 思

Microsoft Word - 06(公示文)プロポ公募_ doc

の 購 入 費 又 は 賃 借 料 (2) 専 用 ポール 等 機 器 の 設 置 工 事 費 (3) ケーブル 設 置 工 事 費 (4) 防 犯 カメラの 設 置 を 示 す 看 板 等 の 設 置 費 (5) その 他 設 置 に 必 要 な 経 費 ( 補 助 金 の 額 ) 第 6 条 補

( 補 助 金 等 交 付 決 定 通 知 に 加 える 条 件 ) 第 7 条 市 長 は 交 付 規 則 第 11 条 に 規 定 するところにより 補 助 金 の 交 付 決 定 に 際 し 次 に 掲 げる 条 件 を 付 するものとする (1) 事 業 完 了 後 に 消 費 税 及 び

募集要項

参 考 様 式 再 就 者 から 依 頼 等 を 受 けた 場 合 の 届 出 公 平 委 員 会 委 員 長 様 年 月 日 地 方 公 務 員 法 ( 昭 和 25 年 法 律 第 261 号 ) 第 38 条 の2 第 7 項 規 定 に 基 づき 下 記 のとおり 届 出 を します この

< F2D8ED089EF95DB8CAF939996A289C193FC91CE8DF42E6A7464>

キ 短 時 間 労 働 者 の 雇 用 管 理 の 改 善 等 に 関 する 法 律 ( 平 成 5 年 法 律 第 76 号 ) ク 労 働 契 約 法 ( 平 成 19 年 法 律 第 128 号 ) ケ 健 康 保 険 法 ( 大 正 11 年 法 律 第 70 号 ) コ 厚 生 年 金 保

Taro-○離島特産品等マーケティング支援事業に係る企画提案募集要領

要 な 指 示 をさせることができる ( 検 査 ) 第 8 条 甲 は 乙 の 業 務 にかかる 契 約 履 行 状 況 について 作 業 完 了 後 10 日 以 内 に 検 査 を 行 うものとする ( 発 生 した 著 作 権 等 の 帰 属 ) 第 9 条 業 務 によって 甲 が 乙 に

( 別 添 ) 治 験 に 係 る 文 書 又 は 記 録 一 覧 について 治 験 関 係 者 は 治 験 を 実 施 する 際 には 医 薬 品 の 臨 床 試 験 の 実 施 の 基 準 に 関 する 省 令 (GCP 省 令 )をはじめとする 関 係 法 規 等 を 遵 守 し 被 験 者

工 事 名 能 代 南 中 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 5 月 24 日 ( 火

S16-386・ソフトウェアの調達に関する入札実施の件

工 事 名 渟 城 西 小 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 2 月 23 日 ( 火

Microsoft Word - 03.大和高田市仕様書 介護認定業務委託 H27

●電力自由化推進法案

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

航空隊及び教育航空隊の編制に関する訓令

に 対 して 消 磁 装 置 によるデータ 破 壊 を 行 い データの 復 旧 を 不 可 能 とするこ と 2 消 去 が 終 了 したことが 識 別 できるシール 等 を 媒 体 に 貼 付 すること(このシール は 本 委 託 契 約 の 範 囲 内 で 受 託 者 が 用 意 すること)

Ⅰ 元 請 負 人 を 社 会 保 険 等 加 入 建 設 業 者 に 限 定 平 成 28 年 10 月 1 日 以 降 に 入 札 公 告 指 名 通 知 随 意 契 約 のための 見 積 依 頼 を 行 う 工 事 から 以 下 に 定 める 届 出 の 義 務 ( 以 下 届 出 義 務 と

定款

企 画 課 企 画 部 満 了 2 55 総 務 部 企 画 室 設 置 認 可 学 部 佐 賀 大 学 附 属 図 書 館 医 学 分 館 設 置 申 請 書 企 画 室 企 画 調 査 係 2004/4/1 30 年 2005/4/1 2035/3/31 ファイル 事 務 室 企 画 部 企 画

(Microsoft Word - \203A \225\345\217W\227v\227\314 .doc)

(1) 社 会 保 険 等 未 加 入 建 設 業 者 の 確 認 方 法 等 受 注 者 から 提 出 される 施 工 体 制 台 帳 及 び 添 付 書 類 により 確 認 を 行 います (2) 違 反 した 受 注 者 へのペナルティー 違 反 した 受 注 者 に 対 しては 下 記 のペ

(2) 質 問 受 付 回 答 方 法 電 子 メールにて 行 うものとし 下 記 担 当 宛 に 送 信 すること 誤 認 防 止 のため 電 話 による 質 問 は 受 け 付 けない また 誤 送 信 等 による 不 達 を 防 止 するた め 質 問 を 送 信 後 に 下 記 担 当 に

企業におけるマイナンバーのセキュリティに関する実態調査

<4D F736F F D F936F985E8C9A927A95A892B28DB88B408AD68BC696B18B4B92F E646F63>

(6) 本 業 務 と 同 種 あるいは 類 似 する 業 務 の 実 績 があること 同 種 あるいは 類 似 する 業 務 の 定 義 は 以 下 のとおりとする 本 業 務 と 同 種 の 業 務 道 の 駅 その 他 道 路 休 憩 施 設 と 一 体 的 な 地 域 振 興 施 設 整 備

5 民 間 事 業 者 における 取 扱 いについて( 概 要 資 料 P.17~19) 6 法 人 番 号 について( 概 要 資 料 P.4) (3) 社 会 保 障 税 番 号 制 度 のスケジュールについて( 概 要 資 料 P.20) 1 平 成 27 年 10 月 から( 施 行 日 は

(5) 診 療 報 酬 請 求 業 務 にあたる 職 員 は 診 療 報 酬 請 求 業 務 に 係 る 経 験 年 数 3 年 以 上 の 者 を 半 数 以 上 とすること (6) 診 療 報 酬 請 求 業 務 にあたる 職 員 は 査 定 減 点 請 求 漏 れ 返 戻 が 発 生 し ない

弁護士報酬規定(抜粋)

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

私立大学等研究設備整備費等補助金(私立大学等

栃木県アンテナショップ基本計画策定及び設計業務委託に係る標準?プロポーザル実施要領

(7) 公 共 施 設 における 建 築 物 (1 敷 地 における 延 床 面 積 の 合 計 が 5,000 m2 以 上 )の 劣 化 につ いての 調 査 ( 劣 化 度 調 査 健 全 度 調 査 等 )の 実 績 があること (8) 公 共 施 設 における 建 築 物 (1 敷 地 に

別 添 1 提 案 書 等 作 成 要 領 1 調 達 件 名 PIO-NET2015 に 係 る 運 用 等 支 援 業 務 一 式 2 提 案 書 等 の 提 出 本 調 達 に 係 る 提 案 書 等 は PIO-NET2015 に 係 る 運 用 等 支 援 業 務 一 式 調 達 仕 様

< F2D A C5817A C495B6817A>


Microsoft Word 利子補給金交付要綱

競 争 参 加 資 格 審 査 等 事 務 取 扱 要 領 ( 抜 粋 ) ( 有 資 格 者 としない 者 ) 第 6 条 契 約 事 務 責 任 者 は 契 約 を 締 結 する 能 力 を 有 しない 者 破 産 者 で 復 権 を 得 ない 者 及 び 暴 力 団 等 の 反 社 会 的 勢

4 乙 は 天 災 地 変 戦 争 暴 動 内 乱 法 令 の 制 定 改 廃 輸 送 機 関 の 事 故 その 他 の 不 可 抗 力 により 第 1 項 及 び 第 2 項 に 定 める 業 務 期 日 までに 第 1 条 第 3 項 の 適 合 書 を 交 付 することができない 場 合 は

Taro-契約条項(全部)

目 次 表 紙... 1 目 次... 2 改 訂 記 録 目 的 対 象 製 造 部 門 品 質 部 門 組 織 PET 薬 剤 製 造 施 設 ( 施 設 長 )の 責 務 製 造 管 理 者 の 責 務... 7

第 40 回 中 央 近 代 化 基 金 補 完 融 資 推 薦 申 込 み 公 募 要 綱 1 公 募 推 薦 総 枠 30 億 円 一 般 物 流 効 率 化 促 進 中 小 企 業 高 度 化 資 金 貸 付 対 象 事 業 の 合 計 枠 2 公 募 期 間 平 成 28 年 6 月 20


3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について(通知)

- 1 - 総 控 負 傷 疾 病 療 養 産 産 女 性 責 帰 べ 由 試 ~ 8 契 約 契 約 完 了 ほ 契 約 超 締 結 専 門 的 知 識 技 術 験 専 門 的 知 識 高 大 臣 専 門 的 知 識 高 専 門 的 知 識 締 結 契 約 満 歳 締 結 契 約 契 約 係 始

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

(2) 予 定 数 量 及 び 算 定 方 法 別 紙 1のとおり ただし 見 込 みの 数 量 であり 必 ずしもこれらの 発 注 を 保 証 するものではない (3) 用 語 の 整 合 性 上 記 (1)は 過 去 に 翻 訳 され 機 構 ホームページで 公 開 されている 下 記 の 文

Microsoft Word 第1章 定款.doc

6 構 造 等 コンクリートブロック 造 平 屋 建 て4 戸 長 屋 16 棟 64 戸 建 築 年 1 戸 当 床 面 積 棟 数 住 戸 改 善 後 床 面 積 昭 和 42 年 36.00m m2 昭 和 43 年 36.50m m2 昭 和 44 年 36.

Taro-01 議案概要.jtd

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

【労働保険事務組合事務処理規約】

慶應義塾利益相反対処規程

施 設 利 用 に 伴 う 設 営 物 物 販 の 確 認 業 務 災 害 時 の 対 応 急 病 等 への 対 応 遺 失 物 拾 得 物 の 対 応 事 件 事 故 への 対 応 ( 2 ) 公 園 の 使 用 料 の 徴 収 に 関 す る 業 務 一 般 利 用 者 予 約 等 対 応 業

6 設 計 業 務 委 託 契 約 の 締 結 に 関 する 支 援 (3) 設 計 者 の 指 導 及 び 調 整 1 設 計 スケジュールの 管 理 2 設 計 進 捗 の 確 認 3 設 計 内 容 のチェック 及 び 改 善 指 導 4 工 事 費 積 算 書 のチェック 及 び 改 善 指

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

Transcription:

独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 調 達 仕 様 書 平 成 25 年 1 月 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構

1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下 総 合 機 構 という)の 情 報 システムに 関 しても 総 合 機 構 外 部 並 びに 内 部 へのサービスの 質 を 保 ち かつ サービスを 停 止 しないため 不 正 ア クセス 等 に 対 するセキュリティを 確 保 することが 求 められている 情 報 システム 脆 弱 性 監 査 業 務 は 総 合 機 構 に 設 置 された Web サーバや Mail サーバ 等 の 外 部 情 報 提 供 サービスに 関 する 機 器 に 対 する 情 報 システムのネットワーク 監 査 と Web サイトに 対 するアプリケーション 監 査 を 行 い 情 報 セキュリティ 対 策 に 資 すること を 目 的 とする さらに 標 的 型 攻 撃 への 調 査 分 析 を 同 時 に 行 い 総 合 機 構 の 標 的 型 攻 撃 に 対 する 防 御 力 を 評 価 することを 目 的 とする 3. システム 監 査 対 象 (1) ネットワーク 監 査 対 象 装 置 a. 共 用 LAN システム 例 規 集 サーバ 1 台 総 合 機 構 Web サーバ 1 台 Common サーバ 1 台 MailBox サーバ 1 台 会 計 サーバ 1 台 人 事 給 与 サーバ 1 台 b. 新 申 請 審 査 システム DWAP WEB サーバ 1 台 ターミナルサーバ 1 台 DB サーバ 1 台 AD サーバ 1 台 c. 安 全 系 システム 一 般 公 開 サーバ 1 台 企 業 情 報 サーバ 1 台 PUSH サーバ 1 台 (2) アプリケーション 監 査 対 象 サイト a. 医 療 品 医 療 機 器 総 合 機 構 ホームページ(www.pmda.go.jp) 1

b. 例 規 集 データベース(www.reiki.pmda.go.jp) c. 医 薬 品 医 療 機 器 情 報 提 供 ホームページ(www.info.pmda.go.jp) d. 日 本 薬 局 方 医 療 機 器 基 準 等 情 報 提 供 ホームページ(www.pmda.go.jp) e. マイ 医 薬 品 集 作 成 サービス(push.info.pmda.go.jp) 上 記 アプリケーション 監 査 対 象 サイトのページ 数 (HTML などの 静 的 ページを 含 む) は 以 下 の 通 りです A+D www.pmda.go.jp 906 B www.reiki.pmda.go.jp 9 C www.info.pmda.go.jp 1752 E push.info.pmda.go.jp 13 (3) 標 的 型 攻 撃 調 査 評 価 対 象 職 員 数 約 1200 名 4. 業 務 内 容 本 業 務 は 主 に 公 開 サーバを 対 象 とした 脆 弱 性 監 査 業 務 と 標 的 型 攻 撃 に 対 する 調 査 評 価 である 監 査 結 果 報 告 書 を 作 成 し 総 合 機 構 会 議 室 において 報 告 会 議 を 開 催 すること なお 検 出 された 脆 弱 性 を 改 修 する 作 業 については 本 業 務 に 含 まれない a. プラットフォーム 脆 弱 性 監 査 前 項 のシステム 監 査 対 象 装 置 を 対 象 としたオンサイト 監 査 とする 脆 弱 性 監 査 の 対 象 は 対 象 装 置 の OS ミドルウェア 一 般 的 なソフトウェアとし そ れらの 脆 弱 性 の 一 覧 および 対 処 方 法 優 先 度 具 体 的 な 運 用 の 改 善 点 等 を 記 した 報 告 書 を 作 成 すること 監 査 項 目 の 詳 細 は 別 紙 に 記 す b. 管 理 者 向 け 聴 取 による 監 査 総 合 機 構 のシステム 管 理 者 5 名 に 対 し 聴 取 形 式 による 運 用 面 管 理 面 における 脆 弱 性 監 査 を 実 施 し 管 理 対 象 システムごとに 脆 弱 性 問 題 点 の 一 覧 および 改 善 項 目 優 先 度 推 奨 する 運 用 管 理 手 法 等 を 記 した 報 告 書 を 作 成 すること 聴 取 の 内 容 は 別 紙 に 記 す c. ログ 分 析 監 査 総 合 機 構 の 指 定 の 2 つの Web システムにおいて 過 去 3 か 月 分 の Web サーバログを 2

分 析 し 攻 撃 の 痕 跡 を 調 査 すること 検 出 した 攻 撃 手 法 ごとの 一 覧 および 攻 撃 の 成 功 可 能 性 対 処 優 先 度 具 体 的 な 運 用 の 改 善 点 等 を 記 した 報 告 書 を 作 成 すること ログ 分 析 の 内 容 は 別 紙 に 記 す d. アプリケーション 監 査 前 項 のアプリケーション 監 査 対 象 サイトを 対 象 とした Web アプリケーション 監 査 と する アプリケーションに 起 因 する 各 種 脆 弱 性 に 対 する 監 査 を 行 い サイト 毎 に 検 出 され た 脆 弱 性 一 覧 深 刻 度 等 を 記 した 報 告 書 を 作 成 すること 監 査 対 象 となる 脆 弱 性 一 覧 は 別 紙 に 記 す e. Bot 感 染 検 査 アンチウイルスソフトウェアでは 検 知 できない Bot タイプのマルウェアに 感 染 した 場 合 の 影 響 を 把 握 するために 実 際 に Bot タイプのマルウェアを 当 機 構 のコンピュー タ 感 染 させ どのような 影 響 があるかを 検 査 する 使 用 する Bot タイプのマルウェアは インターネット 上 に 存 在 する 本 物 のマルウェ アを 検 査 実 施 者 が 完 全 に 無 害 化 かつコントロール 可 能 な 状 態 としたものを 使 用 する こと マルウェアは インターネット 上 の C&C サーバと 通 信 を 行 う Bot タイプのマル ウェアとし C&C サーバとの 通 信 プロトコルは http, https に 対 応 すること さらに 当 機 構 ではプロキシーサーバを 使 用 しているので プロキシーサーバを 使 用 した 環 境 化 でも 動 作 するマルウェアであることが 必 須 である 不 測 事 態 にも 迅 速 かつ 適 切 な 対 応 が 必 要 であるため 必 ず 検 査 実 施 者 がマルウェアの 改 変 を 実 施 しなけ ればならない 当 機 構 内 のコンピュータが Bot に 感 染 しているかを 検 査 するには 動 的 解 析 機 能 を 有 した 実 績 のある 製 品 を 使 用 する 動 的 解 析 は exe pdf マイクロソフトオフィス 形 式 のすべてを 対 象 とすること 動 的 解 析 は 当 機 構 内 で 実 施 すること(クラウド 等 への 送 信 は 禁 止 する) 検 査 パケットの 取 りこぼしを 防 ぐため 複 数 の 動 的 解 析 を 同 時 に 実 行 できる 機 能 を 有 すること f. 標 的 型 メール 訓 練 標 的 型 メール 攻 撃 に 対 する 当 機 構 職 員 の 対 応 力 および 意 識 の 向 上 をはかるため 標 的 型 メールに 相 当 するなりすましメールを 作 成 し 当 機 構 のスケジュールに 従 い 訓 練 メールの 送 信 Web サイトへのアクセス 状 況 の 集 計 等 業 務 を 行 うためのシステム 環 境 を 準 備 し 訓 練 結 果 の 分 析 を 行 うこと 5. 実 施 期 間 及 び 実 施 形 態 契 約 日 から 平 成 25 年 3 月 31 日 までとし 受 託 者 が 派 遣 する 監 査 員 が 実 施 スケジ 3

ュールに 基 づいて 業 務 を 行 う 受 託 者 は 提 出 する 実 施 手 順 書 の 実 施 体 制 図 に 基 づき 監 査 員 を 派 遣 する 6. 提 出 物 及 び 提 出 期 限 当 該 業 務 を 遂 行 するにあたり 以 下 の 提 出 物 を 作 成 し 提 出 すること ( 様 式 任 意 ) (1) 実 施 計 画 書 契 約 日 から 2 週 間 以 内 に 総 合 機 構 担 当 者 へ 提 出 すること 実 施 計 画 書 は 以 下 の 項 目 を 含 むこと a. システム 監 査 対 象 機 器 一 覧 総 合 機 構 担 当 者 と 協 議 の 上 対 象 となるシステム 機 器 サイトの 一 覧 を 業 務 内 容 単 位 で 記 載 すること b. 使 用 ツール 機 器 一 覧 本 業 務 を 遂 行 するために 使 用 するツール 機 器 を 明 記 すること c. システム 監 査 全 体 スケジュール 総 合 機 構 担 当 者 と 協 議 の 上 監 査 業 務 全 体 のスケジュールを 作 成 すること d. 体 制 図 本 業 務 を 遂 行 するための 体 制 を 記 載 すること e. 実 施 工 程 監 査 聴 取 の 実 施 要 領 を 記 載 すること (2) 監 査 結 果 報 告 書 監 査 結 果 報 告 書 は 以 下 の 内 容 を 含 むこと a. 監 査 結 果 報 告 書 監 査 対 象 システム 全 体 および 機 器 ごとの 考 察 と 推 奨 される 対 策 をまとめた もの 聴 取 検 査 における 監 査 項 目 ごとに 考 察 と 推 奨 される 対 策 をまとめたもの ログ 分 析 における 検 出 された 攻 撃 タイプごとに 考 察 と 推 奨 される 対 策 をま とめたもの b. プラットフォーム 脆 弱 性 一 覧 プラットフォーム 監 査 の 結 果 を 元 に 機 器 ごとに 検 出 された 脆 弱 性 を 記 載 し 対 応 方 法 優 先 度 を 一 覧 で 記 載 すること 4

c. 聴 取 結 果 レポート( 担 当 者 毎 全 担 当 者 比 較 ) 担 当 者 毎 の 聴 取 結 果 の 一 覧 と 監 査 員 のコメントを 一 覧 で 記 載 すること また 担 当 者 毎 アセスメントの 差 異 を 識 別 可 能 なグラフ 等 を 記 載 すること 一 覧 には 問 題 点 対 応 優 先 度 改 善 項 目 推 奨 する 運 用 管 理 方 法 を 含 める こと d. ログ 分 析 監 査 結 果 レポート 攻 撃 に 分 類 されるアクセス 履 歴 を 一 覧 で 記 載 すること また 攻 撃 が 成 立 した 可 能 性 を 分 析 し 対 応 優 先 度 具 体 的 な 改 善 方 法 を 記 載 すること e. アプリケーション 監 査 レポート アプリケーション 監 査 の 結 果 を 元 に 監 査 対 象 サイト 毎 に 検 出 された 脆 弱 性 を 記 載 し その 脆 弱 性 に 対 する 一 般 的 な 対 応 方 法 優 先 度 を 一 覧 で 記 載 する こと f. 標 的 型 攻 撃 感 染 調 査 レポート マルウェア 感 染 による 当 機 構 の 影 響 を 一 覧 で 記 載 し 且 つこれらに 対 して 推 奨 する 運 用 管 理 方 法 も 記 載 すること また 動 的 解 析 機 能 を 用 いた 製 品 での 感 染 調 査 に 関 しても 同 様 とする g. 標 的 型 メール 訓 練 レポート 標 的 型 メールの 開 封 率 開 封 者 などの 傾 向 が 視 覚 的 に 分 かるレポートをまと めること (3) 各 種 証 跡 監 査 を 行 った 証 跡 となるデータはすべて 納 品 すること 納 入 品 目 は 以 下 のとおりとする 監 査 結 果 報 告 書 用 紙 2 部 CD-R 2 個 7. 応 札 者 の 条 件 (1) 情 報 セキュリティ 監 査 企 業 台 帳 に 関 する 規 則 ( 平 成 15 年 経 済 産 業 省 告 示 第 113 号 ) 第 4 条 に 規 定 する 情 報 セキュリティ 監 査 企 業 台 帳 ( 平 成 23 年 度 登 録 分 )に 登 録 さ れている 者 であること 国 独 立 行 政 法 人 政 府 系 特 殊 法 人 都 道 府 県 等 地 方 自 治 体 自 社 以 外 の 企 業 海 外 の 医 薬 品 医 療 機 器 の 規 制 当 局 において 情 報 システム 監 査 業 務 を 過 去 2 年 以 内 に 請 け 負 った 実 績 を 有 し 且 つ 本 業 務 を 履 行 できること また これら 実 績 5

を 証 明 できること (2) 情 報 セキュリティを 確 保 する 観 点 から ( 財 ) 日 本 情 報 経 済 社 会 推 進 協 会 または 海 外 の 認 定 機 関 により 認 定 された 審 査 機 関 による 情 報 セキュリティマネジメントシ ステム(ISMS)の 認 証 を 受 けていること (3) 成 果 物 の 品 質 保 証 の 観 点 から ( 財 ) 日 本 適 合 性 認 定 協 会 または 海 外 の 認 定 機 関 に より 認 定 された 審 査 機 関 による ISO9000 の 認 証 を 受 けていること (4) 入 札 参 加 者 が 監 査 対 象 となる 情 報 資 産 の 管 理 及 び 当 該 情 報 資 産 に 関 する 情 報 シ ステムの 企 画 開 発 運 用 保 守 等 について 関 わっていないこと (5) 脆 弱 性 監 査 業 務 は 監 査 対 象 が 前 年 とほほ 同 じであり 新 たな 観 点 による 監 査 結 果 を 導 くため 前 年 度 において 当 該 監 査 業 務 を 落 札 した 業 者 は 応 札 できないも のとする (6) 受 注 者 は 統 括 責 任 者 ( 業 務 全 体 を 統 括 する 責 任 者 ) 監 査 人 ( 業 務 完 了 まで 継 続 して 事 業 の 実 施 を 行 える 者 であって 業 務 の 実 施 にあたっての 責 任 者 ) 監 査 補 助 者 ( 監 査 人 の 配 下 に 属 する 者 であって 個 々の 業 務 を 行 う 者 ) アドバイザー( 業 務 の 品 質 を 管 理 する 者 )からなる 監 査 チームを 編 成 すること 各 者 の 氏 名 所 属 部 署 及 び 連 絡 先 とともに 各 者 の 経 歴 専 門 分 野 各 種 保 有 資 格 等 について 契 約 締 結 後 5 日 以 内 に 機 構 に 提 出 し 了 承 を 得 ること 本 監 査 業 務 の 開 始 後 適 切 な 業 務 が 実 施 できないと 監 査 チームが 判 断 した 場 合 に は 受 注 者 は 監 査 チーム 体 制 を 変 更 すること なお 受 注 者 は 体 制 を 変 更 する 際 は 監 査 業 務 の 遂 行 に 影 響 がでないようにす るとともに 変 更 に 要 した 費 用 については 自 らが 負 担 すること (7) 監 査 チームには 財 団 法 人 日 本 情 報 処 理 開 発 協 会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対 応 -( 平 成 20 年 1 月 31 日 ) 5.2.2 教 育 訓 練 認 識 及 び 力 量 で 明 らかにされている 資 格 の 要 件 を 備 えた 専 門 家 が 2 人 以 上 含 まれていること (8) 監 査 チームには 監 査 の 効 率 と 品 質 の 保 持 のため 次 のいずれかの 実 績 ( 実 務 経 験 ) を 有 する 専 門 家 が 1 人 以 上 含 まれていること a. 情 報 セキュリティ 監 査 b. 情 報 セキュリティに 関 するコンサルティング (9) 入 札 参 加 者 が 監 査 対 象 となる 情 報 資 産 の 管 理 及 び 当 該 情 報 資 産 に 関 する 情 報 シ ステムの 企 画 開 発 運 用 保 守 等 について 関 わっていないこと (10) 本 業 務 による 納 品 物 の 中 立 性 客 観 性 を 確 保 するため 本 業 務 において 検 査 対 象 となっているWebアプリケーションの 構 築 及 び 開 発 保 守 等 に 参 画 していない こと また その 親 会 社 及 び 子 会 社 同 一 の 親 会 社 を 持 つ 会 社 並 びに 受 注 事 業 者 等 の 緊 密 な 利 害 関 係 を 有 する 事 業 者 も 同 様 とする (11) 応 札 業 者 の 社 内 に 情 報 セキュリティ 対 策 等 に 関 する 役 務 提 供 を 専 門 とする 部 門 を 有 していること (12) 取 り 扱 う 情 報 がセキュリティに 関 するものとなるため 最 低 限 応 札 者 の 事 務 所 で は 個 人 毎 に 配 布 された ID カード 等 による 入 退 室 管 理 が 行 われていること 6

(13) 標 的 型 攻 撃 に 対 する 防 御 力 を 評 価 するに 際 して BCP の 観 点 でのアドバイスも 必 要 とするため 事 業 継 続 協 会 認 定 プロフェッショナル(SBCI)を 監 査 メンバーに 1 名 以 上 加 えること (14) 信 頼 性 を 確 保 するため 導 入 実 績 として 1000 人 以 上 の 標 的 型 メール 訓 練 教 育 を 5 組 織 以 上 有 していること (15) 脆 弱 性 監 査 業 務 の 実 施 は 正 確 性 の 確 保 のためにツールだけでなく 必 要 に 応 じ て 手 動 でも 行 うこと 特 にツールが 検 知 した 内 容 については 誤 検 知 を 減 らすた めに 手 動 により 精 査 すること また Web アプリケーションの 仕 組 み 上 ツールが 使 用 できないと 判 断 される 場 合 には 手 動 にて 監 査 を 実 施 すること 8. 落 札 者 決 定 方 法 一 般 競 争 入 札 にて 決 定 する 9. 留 意 事 項 (1) 本 業 務 を 遂 行 するために 総 合 機 構 に 対 する 資 料 要 求 要 望 等 がある 場 合 は 原 則 文 書 にて 行 うこと (2) 業 務 にあたり 総 合 機 構 から 提 供 された 又 は 知 り 得 た 総 合 機 構 の 内 部 情 報 はすべ て 他 の 用 途 に 転 用 してはならず 契 約 期 間 中 に 指 示 する 方 法 で 破 棄 しなければ ならない この 契 約 終 了 後 も 同 様 とする 特 に 機 密 情 報 ( 総 合 機 構 より 明 確 に 機 密 と 指 定 されて 開 示 される 情 報 で 公 に は 入 手 できない 情 報 )については 別 に 機 密 保 持 誓 約 を 締 結 し これを 遵 守 しなければならない (3) 技 術 的 検 証 については 対 象 情 報 システムの 運 用 に 対 し 支 障 及 び 損 害 を 与 えな いように 実 施 するものとする また 本 業 務 における 検 査 を 実 施 した 後 総 合 機 構 のすべての 機 能 が 正 常 に 動 作 する 確 認 作 業 を 支 援 すること また 現 在 運 用 しているその 他 のシステム 機 器 等 に 影 響 を 与 えないこと 納 品 期 限 までに 本 セキュリティ 検 査 が 原 因 でシステム 障 害 が 発 生 した 場 合 現 地 へ1 時 間 以 内 に 技 術 員 を 派 遣 し 現 行 システム 保 守 業 者 と 調 整 の 上 システム 復 旧 が 対 応 できる 体 制 を 維 持 すること (4) 総 合 機 構 の 求 めに 応 じ 総 合 機 構 との 打 合 せを 実 施 すること (5) 本 仕 様 書 に 掲 げられている 事 項 の 他 本 業 務 を 遂 行 するために 必 用 な 事 項 は 総 合 機 構 担 当 者 と 協 議 の 上 実 施 すること (6) 本 業 務 を 遂 行 する 上 で 発 生 した 書 面 ( 電 子 媒 体 を 含 む ) その 他 類 似 の 派 生 物 ( 企 画 等 の 構 想 も 含 む )は 一 切 の 著 作 権 所 有 権 及 び 使 用 権 を 総 合 機 構 に 帰 属 するものとする ただし 本 契 約 締 結 前 より 受 託 者 または 第 三 者 が 有 する 著 作 権 等 の 知 的 財 産 権 及 びノウハウ 等 については 受 託 者 または 第 三 者 に 留 保 されるもの とする 7

また 成 果 物 の 著 作 人 格 権 は 行 使 しないことを 契 約 書 にて 締 結 することとする (7) 受 託 者 は この 契 約 に 基 づく 業 務 を 処 理 するために 総 合 機 構 から 提 供 された 資 料 等 を 総 合 機 構 の 承 諾 なく 複 写 及 び 複 製 してはならない また 契 約 終 了 後 は 速 やかに 総 合 機 構 に 返 還 しなければならない なお 提 供 された 資 料 のうち 個 人 情 報 保 護 に 係 るもの 並 びに 当 該 ネットワーク 及 び 情 報 システムのセキュリティ に 係 るものは 施 錠 した 保 管 庫 等 で 保 管 する 等 大 切 に 管 理 しなければならない (8) 本 業 務 に 必 要 な 機 器 類 の 調 達 通 信 費 等 は 本 契 約 に 含 めるものとする 10. 窓 口 連 絡 先 独 立 行 政 法 人 医 薬 品 医 療 機 器 総 合 機 構 情 報 化 統 括 推 進 室 飛 知 和 康 史 電 話 :03 (3506)9485 Email:hichiwa-koshi@pmda.go.jp 8

別 紙 監 査 項 目 一 覧 A. プラットフォーム 脆 弱 性 監 査 監 査 項 目 概 要 アカウント ユーザアカウントおよびパスワード 管 理 の 妥 当 性 CGI スクリプト 等 各 種 サービス データベース セキュリティ 設 定 各 種 ソフトウェア Web サーバ バックドア サービス 妨 害 耐 性 セキュリティ 脆 弱 性 を 持 つ CGI スクリプトの 存 在 を 調 査 サーバ 上 で 稼 働 する 各 種 サービスの 脆 弱 性 データベースアプリケーションに 存 在 する 脆 弱 性 Linux および Windows のセキュリティ 設 定 の 脆 弱 性 サーバ 上 で 動 作 する 各 種 ソフトウェアの 脆 弱 なバージョンの 検 出 WWW サーバに 存 在 するセキュリティホールをチェックする 監 査 攻 撃 者 がシステムに 仕 掛 けたバックドアプログラムの 検 出 DDoS 攻 撃 や 不 正 なパケットによるサービス 妨 害 攻 撃 に 対 する 耐 性 を 監 査 B. 管 理 者 向 け 聴 取 による 監 査 監 査 項 目 概 要 個 人 情 報 および 機 密 情 報 保 護 個 人 情 報 や 機 密 情 報 等 保 護 すべき 情 報 の 定 義 取 扱 規 定 に 関 する 監 査 安 全 な 認 証 機 能 の 利 用 各 種 認 証 機 能 (パスワードポリシー 含 む)の 運 用 に 関 する 監 査 証 跡 保 全 各 種 ログの 取 得 保 管 等 に 関 する 監 査 管 理 用 クライアント 運 用 に 利 用 するクライアント 環 境 に 関 する 監 査 サービス 妨 害 攻 撃 対 策 サービス 妨 害 攻 撃 に 対 する 準 備 検 知 対 策 に 関 する 監 査 監 視 分 析 ネットワーク 監 視 異 常 発 生 時 の 対 応 に 関 する 監 査 マルウェア 対 策 マルウェアへの 対 策 対 応 に 関 する 監 査 標 的 型 攻 撃 対 策 標 的 型 攻 撃 対 策 に 関 する 監 査 インシデントレスポン インシデント 発 生 時 の 対 応 事 業 継 続 に 関 する 監 査 ス C. ログ 分 析 監 査 監 査 項 目 SQL インジェクション OS コマンドインジェク ション ディレクトリトラバー サル クロスサイトスクリプ 概 要 SQL インジェクションを 試 行 するアクセス 痕 跡 を 検 出 OS コマンドインジェクションを 試 行 するアクセス 痕 跡 を 検 出 ディレクトリトラバーサルを 試 行 するアクセス 痕 跡 を 検 出 クロスサイトスクリプティングを 試 行 するアクセス 痕 跡 を 検 出 9

ティング 総 当 たり 攻 撃 の 検 出 ステータスコード 分 類 サンプルスクリプト 等 を 対 象 とした 攻 撃 ベーシック 認 証 に 対 するブルートフォース 攻 撃 などを 検 出 500 エラー 404 エラーなどを 検 出 脆 弱 性 が 残 存 したままの IIS や Apache のサンプルスクリプト 等 に 対 するアクセス 痕 跡 を 検 出 D. アプリケーション 監 査 検 査 項 目 概 要 認 証 : 総 当 たり 攻 撃 管 理 者 アカウントへの 総 当 たり 攻 撃 影 響 度 を 検 証 認 証 : 不 適 切 な 認 証 正 常 なログイン 処 理 を 介 さずにログイン 後 の 画 面 にアクセスできて しまうかを 検 証 Authorization: インデ アクセス 制 御 を 行 うための 認 可 に 使 用 するインデックス 番 号 やセッ クシング/セッションの ション 番 号 が 推 測 可 能 か 検 証 推 測 Authorization: 不 適 切 設 定 の 不 備 等 で 不 適 切 な 許 可 がされないか 検 証 な 許 可 Authorization: 不 適 切 Cookie に 保 存 されたセッション 情 報 を 盗 み 出 すことができないか 検 なセッション 期 限 証 Authorization: セッシ セッションを 固 定 化 されて 第 三 者 のセッションハイジャックが 可 能 ョンの 固 定 か 検 証 クライアント 側 攻 撃 : コンテンツのなりすましによるフィッシング 攻 撃 が 成 立 するか 検 証 コンテンツのなりすま し クライアント 側 攻 撃 : 第 三 者 により 任 意 のスクリプトが 実 行 されるクロスサイトスクリプ クロスサイトスクリプ ティング 脆 弱 性 が 存 在 するか 検 証 ティング コマンドの 実 行 : バッ バッファオーバーフローの 脆 弱 性 が 存 在 するか 検 証 ファオーバーフロー コマンドの 実 行 : 書 式 プログラムをクラッシュさせたり 不 正 なコードを 実 行 させたりする 文 字 列 攻 撃 書 式 文 字 列 攻 撃 脆 弱 性 が 存 在 するか 検 証 コマンドの 実 行 : LDAP LDAP インジェクション 脆 弱 性 が 存 在 するか 検 証 インジェクション コマンドの 実 行 : OS 命 OS コマンドインジェクション 脆 弱 性 が 存 在 するか 検 証 令 コマンドの 実 行 : SQL イ SQL インジェクション 脆 弱 性 が 存 在 するか 検 証 ンジェクション コマンドの 実 行 : SSI イ SSI インジェクション 脆 弱 性 が 存 在 するか 検 証 ンジェクション 10

コマンドの 実 行 : XPath インジェクション 情 報 の 開 示 : ディレク トリインデクシング 情 報 の 開 示 : 情 報 遺 漏 情 報 の 開 示 : パストラ バーサル 情 報 の 開 示 : 推 測 可 能 なリソースの 位 置 論 理 攻 撃 : 機 能 の 悪 用 論 理 攻 撃 : サービス 拒 否 攻 撃 アプリケーションプラ イバシーテスト アプリケーション 品 質 テスト Xpath インジェクション 脆 弱 性 が 存 在 するか 検 証 ディレクトリ Index が 外 部 から 参 照 可 能 か 検 証 ユーザ 名 パスワードなど 秘 密 情 報 が 外 部 に 公 開 されていないか 検 証 本 来 公 開 されないはずのファイルが 公 開 される 脆 弱 性 が 存 在 するか 検 証 内 部 のリソースが 簡 単 に 推 測 できる 脆 弱 性 が 存 在 するか 確 認 Web サーバの 特 徴 や 機 能 を 利 用 して 攻 撃 する 脆 弱 性 が 存 在 するか 検 証 サービス 拒 否 攻 撃 に 対 する 耐 性 を 検 証 暗 号 化 の 有 無 などを 検 証 デバッグ 情 報 の 収 集 などを 検 証 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック