Similar documents

目 次 1. 事業名 2. 目的 3. システム監査対象装置 システム 4. 業務内容 5. 実施期間及び実施形態 6. 提出物及び提出期限 7. 応札者の条件 8. 落札者決定方法 9. 留意事項 別紙監査項目一覧 1

1. 事業名 平成 28 年度情報システム監査業務 2. 目的近年 インターネットを経由した不正アクセスが続発しており 独立行政法人医薬品医療機器総合機構 ( 以下 総合機構 という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ち かつ サービスを停止しないため 不正アクセス

【意見招請番号:4】情報システムの脆弱性診断業務

1. 事 業 名 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 情 報 システム 監 査 業 務 一 式 2. 目 的 近 年 インターネットを 経 由 した 不 正 アクセスが 続 発 しており 独 立 行 政 法 人 医 療 品 医 療 機 器 総 合 機 構 ( 以 下

ログを活用したActive Directoryに対する攻撃の検知と対策

2 調査の実施 回収ア調査の実施方法受託者はセキュリティを確保し ストレスチェックの結果は実施者以外閲覧不可にして インターネットを活用して実施することとする 機構は 受託者に対し職員番号 氏名 所属部署 性別 生年月日 個人メールアドレス等のストレスチェックの実施に必要な情報を提供する 受託者はこ

ALogシリーズ 監査レポート集

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

AMED 研究 ( 課題名 :MID-NET データの特性解析及び データ抽出条件 解析手法等に関する研究 ) におけるノ ート PC 調達の仕様書 独立行政法人医薬品医療機器総合機構平成 30 年 10 月

OP2

改訂履歴 改訂日 バージョン 作成者 2014/1/1 Ver VALTES 初版作成 改訂内容及び理由

1 調達件名 共用 LAN システムソフトウェア保守及びライセンス一式 2 作業期間平成 26 年 4 月 1 日から平成 27 年 3 月 31 日までとする 3 作業の概要 (1) 目的独立行政法人医薬品医療機器総合機構 ( 以下 総合機構 という ) における共用 LAN システムでは共通イン

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

metis ami サービス仕様書

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

目次 1 調達件名 作業の概要... 1 (1) 目的... 1 (2) 用語の定義... 1 (3) 作業内容 納入成果物... 1 (4) 検収 業務の範囲及び内容... 2 (1) 調査の業務内容... 2 (2) 調査対象者... 3 (3) 調査方法... 3

<4D F736F F D E64976C8F91817A94ED82CD5F82AD8AD698418FEE95F18AC7979D CC AEE94D58AC28BAB8DC5934B89BB82C994BA82A B83715F83588AEE94D588DA8D732D >

SQLインジェクション・ワームに関する現状と推奨する対策案

1 名称 三田市議会ペーパーレス会議システム導入 運用業務 2 目的電子データによる議会関連資料やその他関係資料の共有 情報の伝達 共有及びペーパーレス会議を実現するためのツールを導入することにより 議会運営の活性化及び議会 議員活動の効率化を図るとともに用紙類や印刷費 作業時間等に関わる経費等の削

中小企業向け サイバーセキュリティ対策の極意

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

— intra-martで運用する場合のセキュリティの考え方    

PowerPoint プレゼンテーション

7. 受講予定者数約 130 人 受講者数については 人事異動等により増減することがある 8. 研修内容対象職員に対し 人事評価制度についての説明を行い 人事評価制度における評価者としての役割 責任について 理解 認識を深めるための講義を行う また評価スキルの精度向上を図るための講義 演習を実施する

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

計書の変更 追加を行い 更新された基本設計書を納品すること また 変更 追加についてはその内容について協会の承認を得ること (2) 基本設計書に基づく詳細設計 1 基本設計書に基づき 家畜商協会の要望 意見を考慮して詳細設計を行うこと 2 本仕様書に記載されていない機能であっても 家畜商協会と受注者

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

とする 4 秘密情報へのアクセス 秘密情報の入手 利用 開示 提供 持出という行為には 秘密情報を記録した媒体へのアクセス及び秘密情報を記録した媒体の入手 利用 提供 開示 持出という行為も含むものとする 5 秘密情報の複製には 同一形式での複写 複製 ( 以下 単に複製という ) 以外にも 電磁的

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

マイナンバー対策マニュアル(技術的安全管理措置)

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ジの おすすめイベント へ掲載できなかったイベント情報の掲載方法についても検討し 掲載するページを設ける ( 外部サイトの利用も可 ) 4) 子どもパークレンジャー ページ( 環境省担当官が毎月提供する 平成 30 年度子ども

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Taro-件名:.jtd

McAfee Application Control ご紹介

令和元年度 PMDA メディナビ 健康被害救済制度及び RMP の認知度向上のための印刷発送業務に関する仕様書 1. 業務名 令和元年度 PMDA メディナビ 健康被害救済制度及び RMP の認知度向上のための印刷 発送業務 2. 目的医薬品医療機器総合機構 ( 以下 PMDA という ) 安全性情

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室


に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

PowerPoint プレゼンテーション

QMR 会社支給・貸与PC利用管理規程180501

障害管理テンプレート仕様書

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

agenewsプライバシーポリシー_0628_テキスト形式

3 システムの形式 データベース本体 Microsoft Access 2000 (.mdb 形式 ) クライアントプログラム Microsoft Access 2000 (.mdb 形式 ) ( 業務内容 ) 第 4 業務内容及び業務の条件は次のとおりとする (1) 業務内容 1 データベース本体


1. 調達件名 Microsoft 社製 Office 2016 の調達 2. 概要 2.1. 目的独立行政法人日本芸術文化振興会 ( 以下 振興会 という ) では Microsoft 社製 Word Excel PowerPoint 等を日常的に使用し 業務を遂行している 現在振興会が保有してい

Microsoft Word - 06_個人情報取扱細則_ doc

ウェブデザイン技能検定 1 級実技 平成 28 年度 第 4 回 ウェブデザイン技能検定 1 級 実技試験概要 試験にあたっての注意事項 試験者は本試験の留意事項 注意事項に留意して作業を行うこと ペーパー実技試験は 課題 1 から 5 までの 5 課題を 60 分間で行うこと 作業実技試験は 課題

PowerPoint プレゼンテーション

スライド 1

KSforWindowsServerのご紹介

2018 年 3Q(7 月 ~9 月 ) の導入企業への攻撃状況は Blacklisted user agent の攻撃が多く確認され 全体の約 60% の割合を占めており 3 ヶ月で 13,098,070 件が検知されています また 無作為に既知の脆弱性を試行する WEB アタック や 攻撃可能な

目  次

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

Ⅰ 仕様書概要説明 1 背景と目的 平成 13 年購入のファイアウォール (Cisco PIX515 2 台 ) は購入後 10 年が経過し老朽化が著しく更新する必要がある 府立大学ネットワークのメイン L3 スイッチは Cisco Systems 製であり ネットワーク運用の利便性 機能の有効活用

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

ブラウザ Internet Explorer 7 の設定について 第3版

5 システム構築要件本業務に必要な機能要件については 別紙 稲沢市子育て支援アプリ及び子育てウェブサイト要求機能一覧表 を参照のこと (1) サーバについては CMS WWW サーバ等を庁外のデータセンターに設置し 受託者において管理 運用 保守を行うASP 方式とする (2) インターネット網から

本手順書で使用する用語の定義 用語電子的記録書面電子的記録利用システム実務担当者原データ治験関連文書サイボウズサイボウズメッセージ 定義人の知覚では認識できない, 電子式等の方法で記録され, コンピュータで処理される記録紙媒体による資料治験依頼者, 実施医療機関の長, 治験責任医師並びに治験審査委員

Webエムアイカード会員規約

仙台市交流人口ビジネス活性化戦略 推進に係る 体験プログラム発信 Web システム構築 運用保守業務委託仕様書 1 業務の目的及び概要交流人口の拡大と地域経済の活性化に向けて 本市の観光資源を活用した様々な体験プログラム等をデータベースとして登録し 検索から申込までを一体的に行うことができる 旅行者

変更要求管理テンプレート仕様書

アルファメールプレミア 移行設定の手引き

借上くんマイナンバー制度対応

動作環境 ( 閲覧パソコン ) 新規でご利用いただく場合 : 項目条件対応 OS Windows 7 / 10 対応 Web ブラウザ Internet Explorer 11 / Google Chrome / Mozilla Firefox 但し Google Chrome のリビジョンによって

ウ ) 既存の Facebook と連動させるなど SNS を積極的に活用した情報発信及び交流ができる手法や運用について提案すること エ )PC 及びタブレット端末 スマートフォンなど マルチデバイスでの利用を考慮すること ただし デバイスごとに別のサイトを制作するのではなく 同ドメイン 同ページを

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Microsoft Word - ○指針改正版(101111).doc

【PDF】MyJCB利用者規定(セブン銀行用)

( 業務計画の策定 ) 第 3 条受注者は 本業務を実施するに当たり 管理技術者が行う担当技術者に対する指揮命令等を明示した業務計画書を作成するものとする 2 受注者は 前項により作成した業務計画書を発注者に提出するものとする ( 施行上の義務及び心得 ) 第 4 条受注者は 本業務の実施に当たって

●●市ホームページリニューアル業務

スライド 1

文書管理番号

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

プライバシーポリシー EU 版 /GDPR 対応 株式会社オールアバウトライフワークス ( 以下 当社 といいます ) は 個人情報保護の重要性を認識し 個人情報保護に関する方針 規定及び運用体制を含む個人情報保護に関するマネジメントシステムを確立 運用し 適切な取扱いと継続的な改善に努めることを目

クライアント証明書導入マニュアル

1 調達の背景および目的 1.1 キャンパス統括ライセンス導入の基本理念国立大学法人奈良先端科学技術大学院大学は 情報科学 バイオサイエンスおよび物質創成科学の分野における高度かつ先端的な基礎研究の推進と 先端科学技術分野を支える人材の養成を 重要な目的として設立されている このために 本学において

サイバー攻撃の現状

製品概要

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

Apache-Tomcat と 冗長な UTF-8 表現 (CVE 検証レポート ) 2008 年 08 月 26 日 Ver. 0.1


Advance_LIMS+ESER_ pdf

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

目 次 第 1 章資源エネルギー庁が応札者に提示する資料及び応札者が提出すべき資料等 第 2 章評価項目一覧に係る内容の作成要領 2.1 評価項目一覧の構成 2.2 提案要求事項 2.3 添付資料第 3 章提案書に係る内容の作成要領及び説明 3.1 提案書の構成及び記載事項 3.2 提案書様式 3.

<4D F736F F D F8E FEE95F1836C F8EE88F878F F88979D8BC68ED2976C A2E646F63>

HULFT-WebConnectサービス仕様書

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

7. 環境要件 (1) 岐南町公共施設予約システム ( 以下 本システム という ) をクラウド方式で提供するものとする (2) 本業務に用いるデータセンターは 以下の要件を満たすこと 1 日本国内に立地していること 2 耐震又は免震構造であり 東日本大震災級の地震に耐えうること 3 代替機等を常備

システム監査マニュアル

Transcription:

独立行政法人医薬品医療機器総合機構 情報システム監査業務一式 ( 平成 26 年度 ) 調達仕様書 独立行政法人医薬品医療機器総合機構 平成 26 年 10 月

1. 事業名 独立行政法人医薬品医療機器総合機構情報システム監査業務一式 2. 目的近年 インターネットを経由した不正アクセスが続発しており 独立行政法人医薬品医療機器総合機構 ( 以下 総合機構 という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ち かつ サービスを停止しないため 不正アクセス等に対するセキュリティを確保することが求められている 情報システム脆弱性監査業務は 総合機構に設置された Web サーバや Mail サーバ等の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い 情報セキュリティ対策に資することを目的とする さらに 標的型攻撃をはじめとする最新のサイバー攻撃に関する研修を行い 総合機構のサイバー攻撃に対する知見を深めることを目的とする 3. システム監査対象 (1) ネットワーク監査対象装置 a. サーバ 15 台を対象とする (Windows サーバ Linux サーバ等 ) (2) アプリケーション監査対象サイト a. 医薬品医療機器総合機構ホームページ (www.pmda.go.jp) b. 例規集データベース (www.reiki.pmda.go.jp) c. 医薬品医療機器情報提供ホームページ (www.info.pmda.go.jp) d. 医薬品等申請 審査システム (www.pegasus.pmda.go.jp) e. 医療機器基準等情報提供ホームページ (www.std.pmda.go.jp) 4. 業務内容本業務は 主に公開サーバを対象とした脆弱性監査業務と 標的型攻撃に対する調査 評価及び研修を実施するものである 監査結果報告書を作成し 総合機構会議室において報告会議を開催すること なお 検出された脆弱性を改修する作業については本業務に含まれない A. プラットフォーム脆弱性監査前項のシステム監査対象装置を対象としたオンサイト監査とする 脆弱性監査の対象は 対象装置の OS ミドルウェア 一般的なソフトウェアとし それらの脆弱性の一覧及び対処方法 優先度 具体的な運用の改善点等を記した報告書を作成すること 監査項目の詳細は別紙に記す 1

B. 管理者向け聴取による監査総合機構のシステム管理者 5 名に対し 聴取形式による運用面 管理面における脆弱性監査を実施し 管理対象システムごとに脆弱性 問題点の一覧及び改善項目 優先度 推奨する運用管理手法等を記した報告書を作成すること 聴取の内容は別紙に記す C. ログ分析監査総合機構の指定の 2 つの Web システムにおいて 過去 3 か月分の Web サーバログを分析し 攻撃の痕跡を調査すること 検出した攻撃手法ごとの一覧及び攻撃の成功可能性 対処優先度 具体的な運用の改善点等を記した報告書を作成すること ログ分析の内容は別紙に記す D. アプリケーション監査 3.(2) のアプリケーション監査対象サイトを対象とした Web アプリケーション監査とする アプリケーションに起因する各種脆弱性に対する監査を行い サイトごとに検出された脆弱性一覧 深刻度等を記した報告書を作成すること 監査対象となる脆弱性一覧は別紙に記す E. Bot 感染検査アンチウイルスソフトウェアでは検知できない Bot タイプのマルウェアに感染した場合の影響を把握するために 実際に Bot タイプのマルウェアを総合機構のコンピュータに感染させ どのような影響があるかを検査する 使用する Bot タイプのマルウェアは インターネット上に存在する本物のマルウェアを検査実施者が 完全に無害化かつコントロール可能な状態としたものを使用すること マルウェアは インターネット上の C&C サーバと通信を行う Bot タイプのマルウェアとし C&C サーバとの通信プロトコルは http https に対応すること さらに 総合機構ではプロキシーサーバを使用しているので プロキシーサーバを使用した環境下でも動作するマルウェアであることが必須である 不測の事態にも迅速かつ適切な対応が必要であるため 必ず検査実施者がマルウェアの改変を実施しなければならない 総合機構内のコンピュータが Bot に感染しているかを検査するには 動的解析機能を有した実績のある製品を使用すること 動的解析は exe pdf マイクロソフトオフィス形式のすべてを対象とすること 動的解析は 総合機構内で実施すること ( ク 2

ラウド等への送信は禁止する ) 検査パケットの取りこぼしを防ぐため 複数の動的 解析を同時に実行できる機能を有すること F. 標的型メール訓練標的型メール攻撃に対する総合機構職員の対応力および意識の向上をはかるため 標的型メールに相当するなりすましメールを作成し 総合機構のスケジュールに従い訓練メールの送信を行なうこと また Web サイトへのアクセス状況の集計等 業務を行うためのシステム環境を準備し 訓練結果の分析を行い報告書を作成すること G. 最新のサイバー攻撃手法に係るセキュリティ研修サイバー攻撃の手法は巧妙化かつ複雑化しており 標的型攻撃以外にも大手メーカーの Web サイトが改ざんされ 水飲み場型攻撃やドライブ by ダウンロード等 新しい攻撃手法に使用されている これらのような最新のサイバー攻撃の手法について 総合機構担当者の知見を向上させるための研修を行うこと なお 研修については座学だけではなく 実際のサイバー攻撃やマルウェアの挙動をデモンストレーションで実演するなど 理解の促進に創意工夫をこらすこと 1 回の研修は 60 分以内とし 研修参加者の知識レベルにあわせて 初級 中級 上級の 3 つのコースに分類し 複数のテーマで複数回実施すること 5. 実施期間及び実施形態契約日から平成 27 年 2 月 10 日までとし 受注者が派遣する監査員が実施スケジュールに基づいて業務を行う 受注者は提出する 実施計画書 の実施体制図に基づき監査員を派遣する 6. 提出物及び提出期限当該業務を遂行するにあたり 以下の提出物を作成し提出すること ( 様式任意 ) (1) 実施計画書契約日から 2 週間以内に総合機構担当者へ提出すること 実施計画書は以下の項目を含むこと a. システム監査対象機器一覧総合機構担当者と協議の上 対象となるシステム 機器及びサイトの一覧を業務内容単位で記載すること b. 使用ツール 機器一覧本業務を遂行するために使用するツール及び機器を明記すること c. システム監査全体スケジュール総合機構担当者と協議の上 監査業務全体のスケジュールを作成すること 3

d. 体制図 本業務を遂行するための体制を記載すること e. 実施工程 監査 聴取の実施要領を記載すること (2) 監査結果報告書平成 27 年 3 月 10 日までに総合機構担当者へ提出すること 監査結果報告書は以下の内容を含むこと a. 監査結果報告監査対象システム全体及び機器ごとの考察と推奨される対策をまとめたもの 聴取検査における監査項目ごとに 考察と推奨される対策をまとめたもの ログ分析における検出された攻撃タイプごとに 考察と推奨される対策をまとめたもの b. プラットフォーム脆弱性一覧プラットフォーム監査の結果を元に 機器ごとに検出された脆弱性を記載し 対応方法 優先度を一覧で記載すること c. 聴取結果レポート ( 担当者ごと 全担当者比較 ) 担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載すること また 担当者ごとにアセスメントの差異を識別可能なグラフ等を記載すること 一覧には 問題点 対応優先度 改善項目 推奨する運用管理方法を含めること d. ログ分析監査結果レポート攻撃に分類されるアクセス履歴を一覧で記載すること また 攻撃が成立した可能性を分析し 対応優先度 具体的な改善方法を記載すること e. アプリケーション監査レポートアプリケーション監査の結果を元に 監査対象サイトごとに検出された脆弱性を記載し その脆弱性に対する一般的な対応方法 優先度を一覧で記載すること f. 標的型攻撃感染調査レポート 4

マルウェア感染による総合機構の影響を一覧で記載し かつ これらに対して 推奨する運用管理方法も記載すること また 動的解析機能を用いた製品での 感染調査に関しても同様とする g. 標的型メール訓練レポート 標的型メールの開封率 開封者などの傾向が視覚的に分かるレポートをまとめること h. 最新のサイバー攻撃手法に係るセキュリティ研修資料実施状況の報告及び各研修で使用した教材を添付すること (3) 各種証跡平成 27 年 3 月 10 日までに総合機構担当者へ提出すること 監査を行った証跡となるデータはすべて納品すること 納入品目は以下のとおりとする (1) 実施計画書用紙 2 部 CD-R 2 個 (2) 監査結果報告書用紙 2 部 CD-R 2 個 (3) 各種証跡 CD-R 2 個 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則 ( 平成 15 年経済産業省告示第 113 号 ) 第 4 条に規定する情報セキュリティ監査企業台帳 ( 平成 23 年度登録分 ) に登録されている者であること 国 独立行政法人 政府系特殊法人 都道府県等地方自治体 自社以外の企業 海外の医薬品 医療機器の規制当局において 情報システム監査業務を過去 2 年以内に請け負った実績を有し かつ 本業務を履行できること また これら実績を証明できること (2) 情報セキュリティを確保する観点から ( 財 ) 日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム (ISMS) の認証を受けていること (3) 成果物の品質保証の観点から ( 財 ) 日本適合性認定協会又は海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること (4) 入札参加者が 監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画 開発 運用及び保守等について関わっていないこと 5

(5) 受注者は 統括責任者 ( 業務全体を統括する責任者 ) 監査人( 業務完了まで継続して事業の実施を行える者であって 業務の実施にあたっての責任者 ) 監査補助者 ( 監査人の配下に属する者であって 個々の業務を行う者 ) アドバイザー ( 業務の品質を管理する者 ) からなる 監査チームを編成すること 各者の氏名 所属部署及び連絡先とともに 各者の経歴 専門分野 各種保有資格等について 契約締結後 5 日以内に総合機構に提出し 了承を得ること 本監査業務の開始後 適切な業務が実施できないと監査チームが判断した場合には 受注者は 監査チーム体制を変更すること なお 受注者は 体制を変更する際は 監査業務の遂行に影響がでないようにするとともに 変更に要した費用については 自らが負担すること (6) 監査チームには 財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対応 -( 平成 20 年 1 月 31 日 ) 5.2.2 教育 訓練 認識及び力量 で明らかにされている資格の要件を備えた専門家が 2 人以上含まれていること (7) 監査チームには 監査の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が 1 人以上含まれていること a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング (8) 入札参加者が 監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画 開発 運用及び保守等について関わっていないこと (9) 本業務による納品物の中立性 客観性を確保するため 本業務において検査対象となっている Web アプリケーションの構築及び開発 保守等に参画していないこと また その親会社及び子会社 同一の親会社を持つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする (10) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有していること (11) 取り扱う情報がセキュリティに関するものとなるため 最低限応札者の事務所では個人ごとに配布された ID カード等による入退室管理が行われていること (12) 信頼性を確保するため 導入実績として 1000 人以上の標的型メール訓練 教育を 5 組織以上有していること (13) 脆弱性監査業務の実施は 正確性の確保のためにツールだけでなく 必要に応じ 6

て手動でも行うこと 特にツールが検知した内容については 誤検知を減らすために手動により精査すること また Web アプリケーションの仕組み上 ツールが使用できないと判断される場合には 手動にて監査を実施すること 8. 落札者決定方法一般競争入札にて決定する 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求 要望等がある場合は 原則文書にて行うこと (2) 業務にあたり 総合機構から提供された又は知り得た総合機構の内部情報はすべて 他の用途に転用してはならず 契約期間中に指示する方法で破棄しなければならない この契約終了後も同様とする 特に 機密情報 ( 総合機構より明確に機密と指定されて開示される情報で 公には入手できない情報 ) については 別に 機密保持誓約 を締結し これを遵守しなければならない (3) 技術的検証については 対象情報システムの運用に対し 支障及び損害を与えないように実施するものとする また 本業務における検査を実施した後 総合機構のすべての機能が正常に動作する確認作業を支援すること また 現在運用しているその他のシステム 機器等に影響を与えないこと 納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合 現地へ 1 時間以内に技術員を派遣し現行システム保守業者と調整の上 システム復旧が対応できる体制を維持すること (4) 総合機構の求めに応じ 総合機構との打合せを実施すること (5) 本仕様書に掲げられている事項の他 本業務を遂行するために必用な事項は総合機構担当者と協議の上 実施すること (6) 本業務を遂行する上で発生した書面 ( 電子媒体を含む ) その他 類似の派生物( 企画等の構想も含む ) は 一切の著作権 所有権及び使用権を総合機構に帰属するものとする ただし 本契約締結前より受注者または第三者が有する著作権等の知的財産権及びノウハウ等については受注者又は第三者に留保されるものとする また 成果物の著作人格権は行使しないことを契約書にて締結することとする (7) 受託者は この契約に基づく業務を処理するために総合機構から提供された資料 7

等を 総合機構の承諾なく複写及び複製してはならない また 契約終了後は 速やかに総合機構に返還しなければならない なお 提供された資料のうち 個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは 施錠した保管庫等で保管する等大切に管理しなければならない (8) 本業務に必要な機器類の調達 通信費等は 本契約に含めるものとする 10. 窓口連絡先独立行政法人医薬品医療機器総合機構情報化統括推進室飛知和康史電話 :03 (3506)9485 Email:hichiwa-koshi@pmda.go.jp 8

別紙監査項目一覧 A. プラットフォーム脆弱性監査 監査項目 概要 アカウント ユーザアカウント及びパスワード管理の妥当性 CGI スクリプト等各種サービスデータベースセキュリティ設定各種ソフトウェア Web サーババックドアサービス妨害耐性 セキュリティ脆弱性を持つ CGI スクリプトの存在を調査サーバ上で稼働する各種サービスの脆弱性データベースアプリケーションに存在する脆弱性 Linux 及び Windows のセキュリティ設定の脆弱性サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 WWW サーバに存在するセキュリティホールをチェックする監査攻撃者がシステムに仕掛けたバックドアプログラムの検出 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性を監査 B. 管理者向け聴取による監査 監査項目 概要 個人情報および機密情報保護 個人情報や機密情報等 保護すべき情報の定義 取扱規定に関する監査 安全な認証機能の利用 各種認証機能 ( パスワードポリシー含む ) の運用に関する監査 証跡保全 各種ログの取得 保管等に関する監査 管理用クライアント 運用に利用するクライアント環境に関する監査 サービス妨害攻撃対策 サービス妨害攻撃に対する準備 検知 対策に関する監査 監視 分析 ネットワーク監視 異常発生時の対応に関する監査 マルウェア対策 マルウェアへの対策 対応に関する監査 標的型攻撃対策 標的型攻撃対策に関する監査 インシデントレスポン インシデント発生時の対応 事業継続に関する監査 ス C. ログ分析監査監査項目 SQL インジェクション OS コマンドインジェクションディレクトリトラバーサル 概要 SQL インジェクションを試行するアクセス痕跡を検出 OS コマンドインジェクションを試行するアクセス痕跡を検出ディレクトリトラバーサルを試行するアクセス痕跡を検出 9

クロスサイトスクリプティング総当たり攻撃の検出ステータスコード分類サンプルスクリプト等を対象とした攻撃 クロスサイトスクリプティングを試行するアクセス痕跡を検出ベーシック認証に対するブルートフォース攻撃などを検出 500 エラー 404 エラーなどを検出脆弱性が残存したままの IIS や Apache のサンプルスクリプト等に対するアクセス痕跡を検出 D. アプリケーション監査検査項目概要認証 : 総当たり攻撃管理者アカウントへの総当たり攻撃影響度を検証認証 : 不適切な認証正常なログイン処理を介さずにログイン後の画面にアクセスできてしまうかを検証 Authorization: インデアクセス制御を行うための認可に使用するインデックス番号やセクシング / セッションのッション番号が推測可能か検証推測 Authorization: 不適切設定の不備等で不適切な許可がされないか検証な許可 Authorization: 不適切 Cookie に保存されたセッション情報を盗み出すことができないかなセッション期限検証 Authorization: セッシセッションを固定化されて 第三者のセッションハイジャックがョンの固定可能か検証クライアント側攻撃 : コンテンツのなりすましによるフィッシング攻撃が成立するか検コンテンツのなりすま証しクライアント側攻撃 : 第三者により任意のスクリプトが実行されるクロスサイトスクリクロスサイトスクリププティング脆弱性が存在するか検証ティングコマンドの実行 : バッバッファオーバーフローの脆弱性が存在するか検証ファオーバーフローコマンドの実行 : 書式プログラムをクラッシュさせたり 不正なコードを実行させたり文字列攻撃する書式文字列攻撃脆弱性が存在するか検証コマンドの実行 : LDAP LDAP インジェクション脆弱性が存在するか検証インジェクションコマンドの実行 : OS 命 OS コマンドインジェクション脆弱性が存在するか検証令コマンドの実行 : SQL SQL インジェクション脆弱性が存在するか検証インジェクション 10

コマンドの実行 : SSI インジェクションコマンドの実行 : XPath インジェクション情報の開示 : ディレクトリインデクシング情報の開示 : 情報遺漏情報の開示 : パストラバーサル情報の開示 : 推測可能なリソースの位置論理攻撃 : 機能の悪用論理攻撃 : サービス拒否攻撃アプリケーションプライバシーテストアプリケーション品質テスト SSI インジェクション脆弱性が存在するか検証 Xpath インジェクション脆弱性が存在するか検証ディレクトリ Index が外部から参照可能か検証ユーザ名 パスワードなど秘密情報が外部に公開されていないか検証本来公開されないはずのファイルが公開される脆弱性が存在するか検証内部のリソースが簡単に推測できる脆弱性が存在するか確認 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証サービス拒否攻撃に対する耐性を検証暗号化の有無などを検証デバッグ情報の収集などを検証 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック