独立行政法人医薬品医療機器総合機構 情報システム監査業務一式 ( 平成 26 年度 ) 調達仕様書 独立行政法人医薬品医療機器総合機構 平成 26 年 10 月
1. 事業名 独立行政法人医薬品医療機器総合機構情報システム監査業務一式 2. 目的近年 インターネットを経由した不正アクセスが続発しており 独立行政法人医薬品医療機器総合機構 ( 以下 総合機構 という ) の情報システムに関しても総合機構外部及び内部へのサービスの質を保ち かつ サービスを停止しないため 不正アクセス等に対するセキュリティを確保することが求められている 情報システム脆弱性監査業務は 総合機構に設置された Web サーバや Mail サーバ等の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い 情報セキュリティ対策に資することを目的とする さらに 標的型攻撃をはじめとする最新のサイバー攻撃に関する研修を行い 総合機構のサイバー攻撃に対する知見を深めることを目的とする 3. システム監査対象 (1) ネットワーク監査対象装置 a. サーバ 15 台を対象とする (Windows サーバ Linux サーバ等 ) (2) アプリケーション監査対象サイト a. 医薬品医療機器総合機構ホームページ (www.pmda.go.jp) b. 例規集データベース (www.reiki.pmda.go.jp) c. 医薬品医療機器情報提供ホームページ (www.info.pmda.go.jp) d. 医薬品等申請 審査システム (www.pegasus.pmda.go.jp) e. 医療機器基準等情報提供ホームページ (www.std.pmda.go.jp) 4. 業務内容本業務は 主に公開サーバを対象とした脆弱性監査業務と 標的型攻撃に対する調査 評価及び研修を実施するものである 監査結果報告書を作成し 総合機構会議室において報告会議を開催すること なお 検出された脆弱性を改修する作業については本業務に含まれない A. プラットフォーム脆弱性監査前項のシステム監査対象装置を対象としたオンサイト監査とする 脆弱性監査の対象は 対象装置の OS ミドルウェア 一般的なソフトウェアとし それらの脆弱性の一覧及び対処方法 優先度 具体的な運用の改善点等を記した報告書を作成すること 監査項目の詳細は別紙に記す 1
B. 管理者向け聴取による監査総合機構のシステム管理者 5 名に対し 聴取形式による運用面 管理面における脆弱性監査を実施し 管理対象システムごとに脆弱性 問題点の一覧及び改善項目 優先度 推奨する運用管理手法等を記した報告書を作成すること 聴取の内容は別紙に記す C. ログ分析監査総合機構の指定の 2 つの Web システムにおいて 過去 3 か月分の Web サーバログを分析し 攻撃の痕跡を調査すること 検出した攻撃手法ごとの一覧及び攻撃の成功可能性 対処優先度 具体的な運用の改善点等を記した報告書を作成すること ログ分析の内容は別紙に記す D. アプリケーション監査 3.(2) のアプリケーション監査対象サイトを対象とした Web アプリケーション監査とする アプリケーションに起因する各種脆弱性に対する監査を行い サイトごとに検出された脆弱性一覧 深刻度等を記した報告書を作成すること 監査対象となる脆弱性一覧は別紙に記す E. Bot 感染検査アンチウイルスソフトウェアでは検知できない Bot タイプのマルウェアに感染した場合の影響を把握するために 実際に Bot タイプのマルウェアを総合機構のコンピュータに感染させ どのような影響があるかを検査する 使用する Bot タイプのマルウェアは インターネット上に存在する本物のマルウェアを検査実施者が 完全に無害化かつコントロール可能な状態としたものを使用すること マルウェアは インターネット上の C&C サーバと通信を行う Bot タイプのマルウェアとし C&C サーバとの通信プロトコルは http https に対応すること さらに 総合機構ではプロキシーサーバを使用しているので プロキシーサーバを使用した環境下でも動作するマルウェアであることが必須である 不測の事態にも迅速かつ適切な対応が必要であるため 必ず検査実施者がマルウェアの改変を実施しなければならない 総合機構内のコンピュータが Bot に感染しているかを検査するには 動的解析機能を有した実績のある製品を使用すること 動的解析は exe pdf マイクロソフトオフィス形式のすべてを対象とすること 動的解析は 総合機構内で実施すること ( ク 2
ラウド等への送信は禁止する ) 検査パケットの取りこぼしを防ぐため 複数の動的 解析を同時に実行できる機能を有すること F. 標的型メール訓練標的型メール攻撃に対する総合機構職員の対応力および意識の向上をはかるため 標的型メールに相当するなりすましメールを作成し 総合機構のスケジュールに従い訓練メールの送信を行なうこと また Web サイトへのアクセス状況の集計等 業務を行うためのシステム環境を準備し 訓練結果の分析を行い報告書を作成すること G. 最新のサイバー攻撃手法に係るセキュリティ研修サイバー攻撃の手法は巧妙化かつ複雑化しており 標的型攻撃以外にも大手メーカーの Web サイトが改ざんされ 水飲み場型攻撃やドライブ by ダウンロード等 新しい攻撃手法に使用されている これらのような最新のサイバー攻撃の手法について 総合機構担当者の知見を向上させるための研修を行うこと なお 研修については座学だけではなく 実際のサイバー攻撃やマルウェアの挙動をデモンストレーションで実演するなど 理解の促進に創意工夫をこらすこと 1 回の研修は 60 分以内とし 研修参加者の知識レベルにあわせて 初級 中級 上級の 3 つのコースに分類し 複数のテーマで複数回実施すること 5. 実施期間及び実施形態契約日から平成 27 年 2 月 10 日までとし 受注者が派遣する監査員が実施スケジュールに基づいて業務を行う 受注者は提出する 実施計画書 の実施体制図に基づき監査員を派遣する 6. 提出物及び提出期限当該業務を遂行するにあたり 以下の提出物を作成し提出すること ( 様式任意 ) (1) 実施計画書契約日から 2 週間以内に総合機構担当者へ提出すること 実施計画書は以下の項目を含むこと a. システム監査対象機器一覧総合機構担当者と協議の上 対象となるシステム 機器及びサイトの一覧を業務内容単位で記載すること b. 使用ツール 機器一覧本業務を遂行するために使用するツール及び機器を明記すること c. システム監査全体スケジュール総合機構担当者と協議の上 監査業務全体のスケジュールを作成すること 3
d. 体制図 本業務を遂行するための体制を記載すること e. 実施工程 監査 聴取の実施要領を記載すること (2) 監査結果報告書平成 27 年 3 月 10 日までに総合機構担当者へ提出すること 監査結果報告書は以下の内容を含むこと a. 監査結果報告監査対象システム全体及び機器ごとの考察と推奨される対策をまとめたもの 聴取検査における監査項目ごとに 考察と推奨される対策をまとめたもの ログ分析における検出された攻撃タイプごとに 考察と推奨される対策をまとめたもの b. プラットフォーム脆弱性一覧プラットフォーム監査の結果を元に 機器ごとに検出された脆弱性を記載し 対応方法 優先度を一覧で記載すること c. 聴取結果レポート ( 担当者ごと 全担当者比較 ) 担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載すること また 担当者ごとにアセスメントの差異を識別可能なグラフ等を記載すること 一覧には 問題点 対応優先度 改善項目 推奨する運用管理方法を含めること d. ログ分析監査結果レポート攻撃に分類されるアクセス履歴を一覧で記載すること また 攻撃が成立した可能性を分析し 対応優先度 具体的な改善方法を記載すること e. アプリケーション監査レポートアプリケーション監査の結果を元に 監査対象サイトごとに検出された脆弱性を記載し その脆弱性に対する一般的な対応方法 優先度を一覧で記載すること f. 標的型攻撃感染調査レポート 4
マルウェア感染による総合機構の影響を一覧で記載し かつ これらに対して 推奨する運用管理方法も記載すること また 動的解析機能を用いた製品での 感染調査に関しても同様とする g. 標的型メール訓練レポート 標的型メールの開封率 開封者などの傾向が視覚的に分かるレポートをまとめること h. 最新のサイバー攻撃手法に係るセキュリティ研修資料実施状況の報告及び各研修で使用した教材を添付すること (3) 各種証跡平成 27 年 3 月 10 日までに総合機構担当者へ提出すること 監査を行った証跡となるデータはすべて納品すること 納入品目は以下のとおりとする (1) 実施計画書用紙 2 部 CD-R 2 個 (2) 監査結果報告書用紙 2 部 CD-R 2 個 (3) 各種証跡 CD-R 2 個 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則 ( 平成 15 年経済産業省告示第 113 号 ) 第 4 条に規定する情報セキュリティ監査企業台帳 ( 平成 23 年度登録分 ) に登録されている者であること 国 独立行政法人 政府系特殊法人 都道府県等地方自治体 自社以外の企業 海外の医薬品 医療機器の規制当局において 情報システム監査業務を過去 2 年以内に請け負った実績を有し かつ 本業務を履行できること また これら実績を証明できること (2) 情報セキュリティを確保する観点から ( 財 ) 日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム (ISMS) の認証を受けていること (3) 成果物の品質保証の観点から ( 財 ) 日本適合性認定協会又は海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること (4) 入札参加者が 監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画 開発 運用及び保守等について関わっていないこと 5
(5) 受注者は 統括責任者 ( 業務全体を統括する責任者 ) 監査人( 業務完了まで継続して事業の実施を行える者であって 業務の実施にあたっての責任者 ) 監査補助者 ( 監査人の配下に属する者であって 個々の業務を行う者 ) アドバイザー ( 業務の品質を管理する者 ) からなる 監査チームを編成すること 各者の氏名 所属部署及び連絡先とともに 各者の経歴 専門分野 各種保有資格等について 契約締結後 5 日以内に総合機構に提出し 了承を得ること 本監査業務の開始後 適切な業務が実施できないと監査チームが判断した場合には 受注者は 監査チーム体制を変更すること なお 受注者は 体制を変更する際は 監査業務の遂行に影響がでないようにするとともに 変更に要した費用については 自らが負担すること (6) 監査チームには 財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005) 対応 -( 平成 20 年 1 月 31 日 ) 5.2.2 教育 訓練 認識及び力量 で明らかにされている資格の要件を備えた専門家が 2 人以上含まれていること (7) 監査チームには 監査の効率と品質の保持のため次のいずれかの実績 ( 実務経験 ) を有する専門家が 1 人以上含まれていること a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング (8) 入札参加者が 監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画 開発 運用及び保守等について関わっていないこと (9) 本業務による納品物の中立性 客観性を確保するため 本業務において検査対象となっている Web アプリケーションの構築及び開発 保守等に参画していないこと また その親会社及び子会社 同一の親会社を持つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする (10) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有していること (11) 取り扱う情報がセキュリティに関するものとなるため 最低限応札者の事務所では個人ごとに配布された ID カード等による入退室管理が行われていること (12) 信頼性を確保するため 導入実績として 1000 人以上の標的型メール訓練 教育を 5 組織以上有していること (13) 脆弱性監査業務の実施は 正確性の確保のためにツールだけでなく 必要に応じ 6
て手動でも行うこと 特にツールが検知した内容については 誤検知を減らすために手動により精査すること また Web アプリケーションの仕組み上 ツールが使用できないと判断される場合には 手動にて監査を実施すること 8. 落札者決定方法一般競争入札にて決定する 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求 要望等がある場合は 原則文書にて行うこと (2) 業務にあたり 総合機構から提供された又は知り得た総合機構の内部情報はすべて 他の用途に転用してはならず 契約期間中に指示する方法で破棄しなければならない この契約終了後も同様とする 特に 機密情報 ( 総合機構より明確に機密と指定されて開示される情報で 公には入手できない情報 ) については 別に 機密保持誓約 を締結し これを遵守しなければならない (3) 技術的検証については 対象情報システムの運用に対し 支障及び損害を与えないように実施するものとする また 本業務における検査を実施した後 総合機構のすべての機能が正常に動作する確認作業を支援すること また 現在運用しているその他のシステム 機器等に影響を与えないこと 納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合 現地へ 1 時間以内に技術員を派遣し現行システム保守業者と調整の上 システム復旧が対応できる体制を維持すること (4) 総合機構の求めに応じ 総合機構との打合せを実施すること (5) 本仕様書に掲げられている事項の他 本業務を遂行するために必用な事項は総合機構担当者と協議の上 実施すること (6) 本業務を遂行する上で発生した書面 ( 電子媒体を含む ) その他 類似の派生物( 企画等の構想も含む ) は 一切の著作権 所有権及び使用権を総合機構に帰属するものとする ただし 本契約締結前より受注者または第三者が有する著作権等の知的財産権及びノウハウ等については受注者又は第三者に留保されるものとする また 成果物の著作人格権は行使しないことを契約書にて締結することとする (7) 受託者は この契約に基づく業務を処理するために総合機構から提供された資料 7
等を 総合機構の承諾なく複写及び複製してはならない また 契約終了後は 速やかに総合機構に返還しなければならない なお 提供された資料のうち 個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは 施錠した保管庫等で保管する等大切に管理しなければならない (8) 本業務に必要な機器類の調達 通信費等は 本契約に含めるものとする 10. 窓口連絡先独立行政法人医薬品医療機器総合機構情報化統括推進室飛知和康史電話 :03 (3506)9485 Email:hichiwa-koshi@pmda.go.jp 8
別紙監査項目一覧 A. プラットフォーム脆弱性監査 監査項目 概要 アカウント ユーザアカウント及びパスワード管理の妥当性 CGI スクリプト等各種サービスデータベースセキュリティ設定各種ソフトウェア Web サーババックドアサービス妨害耐性 セキュリティ脆弱性を持つ CGI スクリプトの存在を調査サーバ上で稼働する各種サービスの脆弱性データベースアプリケーションに存在する脆弱性 Linux 及び Windows のセキュリティ設定の脆弱性サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 WWW サーバに存在するセキュリティホールをチェックする監査攻撃者がシステムに仕掛けたバックドアプログラムの検出 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性を監査 B. 管理者向け聴取による監査 監査項目 概要 個人情報および機密情報保護 個人情報や機密情報等 保護すべき情報の定義 取扱規定に関する監査 安全な認証機能の利用 各種認証機能 ( パスワードポリシー含む ) の運用に関する監査 証跡保全 各種ログの取得 保管等に関する監査 管理用クライアント 運用に利用するクライアント環境に関する監査 サービス妨害攻撃対策 サービス妨害攻撃に対する準備 検知 対策に関する監査 監視 分析 ネットワーク監視 異常発生時の対応に関する監査 マルウェア対策 マルウェアへの対策 対応に関する監査 標的型攻撃対策 標的型攻撃対策に関する監査 インシデントレスポン インシデント発生時の対応 事業継続に関する監査 ス C. ログ分析監査監査項目 SQL インジェクション OS コマンドインジェクションディレクトリトラバーサル 概要 SQL インジェクションを試行するアクセス痕跡を検出 OS コマンドインジェクションを試行するアクセス痕跡を検出ディレクトリトラバーサルを試行するアクセス痕跡を検出 9
クロスサイトスクリプティング総当たり攻撃の検出ステータスコード分類サンプルスクリプト等を対象とした攻撃 クロスサイトスクリプティングを試行するアクセス痕跡を検出ベーシック認証に対するブルートフォース攻撃などを検出 500 エラー 404 エラーなどを検出脆弱性が残存したままの IIS や Apache のサンプルスクリプト等に対するアクセス痕跡を検出 D. アプリケーション監査検査項目概要認証 : 総当たり攻撃管理者アカウントへの総当たり攻撃影響度を検証認証 : 不適切な認証正常なログイン処理を介さずにログイン後の画面にアクセスできてしまうかを検証 Authorization: インデアクセス制御を行うための認可に使用するインデックス番号やセクシング / セッションのッション番号が推測可能か検証推測 Authorization: 不適切設定の不備等で不適切な許可がされないか検証な許可 Authorization: 不適切 Cookie に保存されたセッション情報を盗み出すことができないかなセッション期限検証 Authorization: セッシセッションを固定化されて 第三者のセッションハイジャックがョンの固定可能か検証クライアント側攻撃 : コンテンツのなりすましによるフィッシング攻撃が成立するか検コンテンツのなりすま証しクライアント側攻撃 : 第三者により任意のスクリプトが実行されるクロスサイトスクリクロスサイトスクリププティング脆弱性が存在するか検証ティングコマンドの実行 : バッバッファオーバーフローの脆弱性が存在するか検証ファオーバーフローコマンドの実行 : 書式プログラムをクラッシュさせたり 不正なコードを実行させたり文字列攻撃する書式文字列攻撃脆弱性が存在するか検証コマンドの実行 : LDAP LDAP インジェクション脆弱性が存在するか検証インジェクションコマンドの実行 : OS 命 OS コマンドインジェクション脆弱性が存在するか検証令コマンドの実行 : SQL SQL インジェクション脆弱性が存在するか検証インジェクション 10
コマンドの実行 : SSI インジェクションコマンドの実行 : XPath インジェクション情報の開示 : ディレクトリインデクシング情報の開示 : 情報遺漏情報の開示 : パストラバーサル情報の開示 : 推測可能なリソースの位置論理攻撃 : 機能の悪用論理攻撃 : サービス拒否攻撃アプリケーションプライバシーテストアプリケーション品質テスト SSI インジェクション脆弱性が存在するか検証 Xpath インジェクション脆弱性が存在するか検証ディレクトリ Index が外部から参照可能か検証ユーザ名 パスワードなど秘密情報が外部に公開されていないか検証本来公開されないはずのファイルが公開される脆弱性が存在するか検証内部のリソースが簡単に推測できる脆弱性が存在するか確認 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証サービス拒否攻撃に対する耐性を検証暗号化の有無などを検証デバッグ情報の収集などを検証 11