株式会社ゆうちょ銀行の全国の貯金事務センター(以下、「JC」という。)・エリア本部・本社にて当行の債権管理・回収業務における債権管理簿・請求書作成等で使用する 資金返納金債権管理システム(以下、「本システム」という。)の老朽化に伴い、新たなシステムの設計、導入、データ移行等の作業を委託する。
仕様書
1 件名
資金返納金債権管理システムの構築及び保守の委託
2 請負内容等
株式会社ゆうちょ銀行の全国の貯金事務センター(以下、「JC」という。)・エリア本部・本社にて当行の債権管理・回収業務における債権管理簿・請求書作成等で使用する資金返納金債権管理システム(以下、「本システム」という。)の老朽化に伴い、新たなシステムの設計、導入、データ移行等の作業を委託する。
また、システム導入後の保守・運用支援についても委託範囲に含むものとする。
(1) プロジェクト管理
請負人は、本件にてシステムを構築するにあたって、株式会社ゆうちょ銀行と請負人との請負契約
(以下、「本契約」という。)を締結後、速やかに契約期間満了までの作業計画及び作業体制図を作成し、株式会社ゆうちょ銀行事務部門事務統括部(以下、「主管担当」という。)と合意する。
請負人は、作業を円滑に実施するため、作業前に進捗管理・品質管理の実施方針.基準について主管担当に示し、了解を得る。その後、その方針・基準に基づいて、適宜、主管担当に対して客観的なデータ等資料により作業状況等を報告するとともに、各工程の終了時には書面による報告を行い、工程の終了及び次工程の着手について主管担当の承認を得る。
(2) 要件定義支援
請負人は主管担当と協力して要件定義書を作成して、主管担当の承認を得る。
(3) 基本設計
要件定義書に基づき、基本設計書を作成する。開発するプログラムの仕様、機能等のシステム設計を行う。
なお、要件定義書作成の際には当該システムで管理するデータの性質を踏まえ次の点を考慮すること。
・既存の当該システムで用いた個人データ継続して閲覧・編集することができ、既存システムと比較して操作性(画面遷移数や修正等に係る入力規制等)や使用性(画面編集の容易性等)が同等以上のものであること
・個人を識別し、管理するための一意の番号を付与すること。また、当該システムで用いた既存の番号は、更改後も検索に耐え得ること(番号を変換する場合は、システムでの自動変換とすること)
(4) 詳細設計
基本設計書に基づき、詳細設計書やプログラム設計書を作成する。システム化する業務や実装方式の詳細化を行う。
(5) 製造及び単体試験
詳細設計書に基づきプログラムを作成し、個別モジュールの試験を行う。プログラム作成を行わない
ものについては、パラメータ設定等を行い、機能単位で設定内容の妥当性を確認する。
(6) 結合試験
各機能とプログラムの結合した試験及び、本システム内で完結する試験を行い、プログラムの正常動作の確認を行う。
(7) 総合試験
本システム全体として、実際の業務及び実際のデータに即した上で、機能が設計条件に適合しており、かつ正しく動作するかの確認を行う。
なお、試験に際し、試験計画(試験観点、試験基準、試験ケース等)を主管担当に提示し、その承認を得る。また、試験終了後は、試験完了報告書を主管担当に提示し、その承認を得る。
(8) システム納品
本システムー式を納品する。
(9) トレーニング
エンドユーザがユーザ受入試験及び実運用において円滑に作業を行なえるよう、操作方法等のトレーニングを実施する。また、運用オペレータ向けの運用マニュアルを更新する。必要があれば、運行引継ぎとして QA 及び対面(オンライン)でのレクチャーも行う。
なお、トレーニングを実施する際には、業務アプリケーションマニュアルを準備するとともに、説明用のトレーニングシナリオ及びトレーニング手順書を作成する。
(10) ユーザ受入試験に係る支援
ユーザ受入試験シナリオ及び試験仕様書や実施スケジュールの作成等の支援、試験開始に必要な事前データの設定、試験実施中のオペレーション支援、試験結果検証等の支援を行う。
なお、開発に伴う故障等が発見された場合は、主管担当と協議の上、速やかに改修を行い、本番稼動に支障がないようにする。
(11) 移行
請負人は、本番稼働開始に向けた最終的な準備及び作業を実施する。移行計画書を作成し、移行リハーサルを実施する。
総合テストまでの工程終了報告の内容を踏まえ、移行判定及び本番環境等へのプログラム等のリリース作業を実施する。
なお現行システムとの並行稼働は行わず、新システム移行後は現行システムを停止する予定。
(12) 保守・運用支援
継続的かつ安全に債権管理・回収業務を行うことができるよう、ハードウェア及びソフトウェアの保守を行う。また、本システムを運用するにあたり、支援を行う。これらを滞りなく実施できるよう体制を構築する。
(13) 本システムに必要な機能、帳票、画面等については仕様書別紙 1 を参照のこと。
なお、帳票については、使用用途に合わせ Word、Excel 及び PDF にて出力を可能とすること。
3 契約期間等
(1) 契約期間
本契約締結日から 2027 年 3 月 31 日(水)まで
(2) 本システム納入期限
2026 年 3 月 31 日(火)
※納入前に検収期間(2 週間程度)を主管担当と調整の上、設定すること。
4 目的・背景
全国の JC・エリア本部・本社にて当行の債権管理・回収業務で使用する本システムの老朽化に伴い、新たなシステムを構築する。
5 利用施設
以下の施設から利用できる環境を提供する。
・ 全国の JC(12拠点)
・ エリア本部(13拠点)
・ 本社(xxxxxx区)
※ 拠点の追加が可能な拡張性を有したシステム構成とする。
6 本システムー式の提供
請負人は、本システムー式の提供を行うものとする。本システム調達範囲のイメージを以下に示す。 具体的な仕様については、設計時において請負人と主管担当の協議により決定するが、応札希望者
は、提案書において、各機能の具体的な実現方法、実装方法についての考え方を記載する。なお、提案書の評価方式、請負先の選定方法等は提案書作成要領のとおり。
(1) 構成・設備
本システムの提供方式は、クラウドサービスによるサービス提供(資産は、請負人の資産もしくは請負人が契約締結したクラウドサービス提供ベンダーの資産)とする。
また、JC に設置する端末で利用する周辺機器(プリンタ等のハードウェア)は請負人が購入・設置し、保守作業を実施する。なお、同費用は本件調達額内に含める。
クラウドサービスで必要となる回線については、(7) システム化要件のとおり。請負を行う実施場所
(バックアップデータや災対環境を含めた全てのデータの保管場所)は請負人が用意する日本国内の拠点とする。なおシステムインフラは障害対策の観点から冗長化すること。
当行の業務端末(JP-PC)のブラウザ(Microsoft Edge(64bit))を通じたアクセスを想定することとし、特段の設定変更等がなく利用できること。なお、当行の業務端末更改が実施される場合の対応については別途協議すること。なお、当行の業務端末(JP-PC)の OS は Windows10 Enterprise、ブラウザは Chromium 版 Microsoft Edge(64bit)とするが、JP-PC で使用して
いるブラウザは常に最新バージョンではないため、導入後の適応稼働ブラウザは主管担当と調整の上決定すること。
(2) 業務要件
以下想定で稼働可能な構成とする。
・ユーザ数 100(利用区分 本社 20 人、エリア本部 13 箇所×5 人、JC12 拠点×1 人)
・同時アクセス数 上記 1 区分あたり 50 アクセス/時間
(3) 本システムの設置及び接続
本システムは、請負人あるいはクラウドサービス会社が用意する日本国内のデータセンター等及び各利用施設に搬入、設置後、機器等への必要な配線を行い、正常接続を確認する。本システムの設置及び接続にあたっては、JC・エリア本部・本社のNW 機器と接続を行い、その接続仕様は現在の仕様をできる限り踏襲とするが、クラウドサービスに適さない場合は、クラウドサービスに適した仕様とする。
(4) 基盤要件(クラウドサービス)
基盤部分でクラウドサービスを利用する場合は、ISMAP(政府情報システムのためのセキュリティ評価制度)の管理基準に準拠するものとし、ISMAP に登録されたクラウドサービス利用とする。
(5) システムの初期設定及び動作説明
各種サーバ等のシステム構築については、ソフトウェアのインストール、ネットワーク設定等の初期設定を行い、正常動作することを確認し、確認内容を環境設定書として主管担当に提出する(様式適宜)。
また、システム構築後は、システムの立ち上げ 終了、アクセス方法等、システムの使用方法について主管担当と調整の上、説明会を必要な回数行う。
なお、詳細については、別途ゆうちょ銀行(主管担当)の定めるところによるものとする。
(6) 移行方針ア 移行データ
上記(5)と併せて、現行システム担当会社と調整し現行システムのデータを、新システムヘ移行し、動作確認する。現行システム担当会社との調整、データの授受、変換等移行に係る作業はすべて請負人の負担で実施する。
おって、現行システムの設備・機器の引継はないものとする。
詳細については、別途ゆうちょ銀行(主管担当)の定めるところによるものとする。イ 移行データ容量
現行システムから新システムヘの移行データの容量等の詳細については、別途ゆうちょ銀行(主管担当)の定めるところによるものとする。
なお、目安として、明細数は 15,000 件程度となる見込みであり、毎年 2,000 件程度ずつ増加することからそれに耐えうる容量とすること。
ウ 移行期間等
・ システムの移行期間や実施時間帯は主管担当と別途協議する。
・ データ移行については、データ移行以前に、現行システムから新システムにデータ移行が問題無くできるかどうかの移行テストを実施する。なお、移行リハーサルやフォールバック検証等の試験については、請負人が提案し、主管担当と協議の上、決定する。
(7) システム化要件
ア システム運用要件
(ア) 閉域網(P-NET)との接続設定
・ 閉域網(P-NET)との接続のため、以下について、基盤担当会社と調整のうえ対応する。
・ クラウドへの接続(443 ポート接続のみを想定) (イ) バックアップ
・ サーバ故障時等及び災害時に速やかに復旧できるよう、バックアップを取得する。バックアップについては、システムのバックアップ、データベースのバックアップの 2 種類について取得する。クラウドサービスで実施可能なバックアップについて提案するものとする。
・ システムの設定変更をおこなった場合には、システムバックアップを取得する。
・ データのバックアップについては、対象範囲・取得タイミング・保管する世代数および保管方法について協議の上決定する。
・ バックアップは夜間等に自動で実行する。
・ バックアップの保存期間は協議の上決定する。
・ バックアップを外部記録媒体に保存する場合は、他者(請負人を含む)から容易に確認できないように暗号化の処理を施す。暗号化方式は CRYPTREC 暗号リスト(電子政府推奨暗号リスト)に準拠する。
・ 復旧方法、RPO については納入前に明示し、主管担当の承認を得る。
・ バックアップデータを媒体に保管する場合、長期間保存されているバックアップ媒体に格納されている情報が復元可能か、定期的に確認する。
・ 業務継続上重要なデータについては、定期的なバックアップを実施し、本番環境から切り離した環境に保管する等ランサムウェア感染を考慮したバックアップを実施する。
・ バックアップデータを廃棄する際には、災対環境を含め、完全な消去を実施し、その検証をする。加えて、データ消去証明書(様式適宜)を主管担当に提出する。なお、クラウドサービスで、バックアップデータの完全な消去を確認する方法がなく証明書の提出が不可能である場合、主管担当に確認の上、代替の手段を確認する。
イ 現行業務や環境に適した改修要件別添 1 のとおり。
ウ セキュリティ対策 (ア) ウイルス対策
A 原則、本システムを構成するすべてのサーバ、端末にはウイルス対策ツールを導入する。また、 ウイルス検出、除去機能について、OS 起動時の自動実行及び定期的に実行するものとする。
B ウイルス対策ツールのパターンファイルのリリース情報を定期的に収集し、更新する。
C ウイルス対策ツール(本体およびパターンファイル)の適用状況を製品 HP 等と比較し、最新化されていることを確認し、確認結果を台帳に記録する。
D ウイルス対策ツールの更新方法は自動化し、パターンファイルの更新頻度及び台帳更新頻度は、以下の頻度以上で対応する。
【更新頻度】サーバ・端末 日次/随時
【台帳更新】サーバ・端末 日次/随時
E 主管担当より上記の管理台帳について提出の依頼があった場合、請負人は速やかに管理台帳を提出する。
F クラウドサービスで管理台帳の提出が出来ない場合は、上記について適切に実施していることを示す証明書等の提出を行う。証明書等を提出する場合は、当行所定の様式に従う。
G 主管担当からのウイルス対策ツール更新等に関する問い合わせに応じる。 (イ) 不正アクセス対策
A システムに対する不正な侵入 操作・データ取得への対策を実施する。
B 侵入したウイルスの検知、バックドアの構築防止や機密情報の流出防止等を目的とした出口対策(通信ログ、イベントログ等の分析による不適切な通信の検知・遮断等)を組み合わせた多層防御を講じ、主管担当の承認を得ること。
C 外部ネットワークと接続する場合は、接続部分の不正侵入防止のため、入口対策を講ずること。
D 外部からのアクセスが不可となるよう、ネットワークによるアクセス制御を実施する。また、故意ま たは過失によるファイルの破損、または不正アクセスからデータを保護するため、重要なファイル については、ソフトウェアによるアクセス制御機能を設け、改ざんを検知するための対策を講じる。
E 外部ネットワークからの不正侵入の防止と早期発見のため、内部ネットワークヘのアクセスを監視し、アクセス履歴のチェックを行う。
F 外部ネットワークからのアクセス経路は、不正アクセスを防止するため、ファイアウォール(以下、
「FW」という。)等で不要なポートを閉塞する等必要最小限にするとともに、ネットワーク構成情報を適切に管理すること。
G インターネットを含むオープンネットワークを介してデータを伝送する場合は、伝送途中におけるデータ改ざんを検知するための対策を講じること。
H ファイルに対するアクセス制御のため、ファイアウォール・統合脅威管理等でネットワークによるアクセス制御を行うこと。
I 基本ソフトウェアの脆弱性を最小限にするため、基本ソフトウェアが提供する機能(telnet, ftp, finger 等)のうち、使用しない機能は停止、あるいは使用を制限する。また、使用予定のないソフトウェアは搭載しないこと。
J アクセスの失敗及び不正アクセスを監視する機能を設ける。アクセスの失敗を監視する機能として、以下のものを設ける。
(A) アクセスの失敗を記録する機能
(B) 連続した何回かのアクセスの失敗に対しては強制終了等を行う機能(保守運用員、当行社員等によるシステムヘのアクセスにおいて、認証に一定回数失敗した場合のアカウントロック機能)
K サーバにおいて、アクセス記録を定期的にチェックしてサービス利用者が正当にアクセスしているかを調査する。
L 不正アクセスが発生した場合の対応策、復旧手順を明確にし、主管担当の承認を得る。
M Web アプリケーションファイアウォール(WAF)等で Web アプリケーションへの不正な攻撃への対策を実施する。
(ウ) データの保護
A データには特定の端末・特定の ID のみアクセス可能とする。また、データヘのアクセスログの確認を可能とする。
B データは、特定の端末・特定の ID のみダウンロード可能とする。また、アクセス履歴・ダウンロード履歴・印刷履歴等のログ(操作者 ID、日時、操作内容、件数等)及びログイン・ログアウトの履歴が取得可能とする。
C 顧客情報等の機密データは、通信経路を含めて他者(請負人を含む)から容易に確認できないように暗号化の処理を施す。更に、パスワード等の認証データは生のデータのまま保存しないこととする。
D 機密・厳秘情報をシステム内(端末やバックアップ等も含む)に蓄積する際には、ファイルの不正コピーや盗難の際にもデータの内容がわからないようにするため、CRYPTREC に準拠した暗号アルゴリズムを用いて暗号化すること。
E データの通信経路は暗号化及び改ざん検知の処理を施す。
F 暗号化方式は、CRYPTREC 暗号リスト(電子政府推奨暗号リスト)、TLS 暗号設定ガイドラインで推奨される方式による暗号化(TLS1.2 以上)に準拠しなければならない。
G システム処理中に重要なデータを含む一時データファイルが生成される場合、重要なデータの漏洩を防止するため、利用状況に応じ不要となった時点で消去する機能を設けること。
H メール送付を含む機密・厳秘情報を伝送する場合には、CRYPTREC に準拠した暗号アルゴリズムを用いて暗号化(TLS1.2 以上)すること。
(エ) ログ・監査証跡の管理
A ファイル操作やファイル実行等の端末操作ログの確認が可能とする。
B セキュリティインシデント発生時に備え、ユーザ ID によるログ検索等ができる。また、セキュリティインシデント発生時の謂査の際には、対象顧客を特定できる情報を含むログを提供する。
C アクセス履歴を取得し監査証跡として 1 年間保管する。なお、顧客情報を扱うシステムについては、正当なアクセス権を有する者の顧客情報の不正持ち出しを発見できるようにするため、顧客情報を閲覧した履歴(ID、日時、操作内容、件数等)を記録する。
その他以下の種類のログを取得すること。
・ログインとログオフ状況(指示端末、時刻、ID、回線種別、使用したシステムもしくはデータ、行
った処理)
・不正なアクセス要求(指示端末、時刻、ID)
・システムによって失効とされた ID
・システムにログインしたまま一定時間操作が行われないために、強制的にログオフされた ID
・印刷ログ
・厳秘、機密情報の取得(DL 含む)および持出した記録
D 監査証跡に基づいて、許可されていないアクセスの分析、報告を可能とする。
E 監査証跡、オペレーション記録、運転記録等は、改ざん及び不正アクセスを防ぐために、暗号化して保管して、正当なアクセス権限者以外のものから適切に保護すること。
F アカウントロック等を検知した場合、当該ログを取得し、一年間保管する。
G 各サーバにおいて、特権ID(OS 及びDB の管理者権限(root/admin 等権限))の使用履歴(成功時及び失敗時)を取得し一年間保管する。
H 各サーバ又は認証ログを管理するサーバにおいて、アクセスログを取得し、一年間保管する。
I 特権 ID を使用した日時について、リアルタイムまたは、日次~週次で不審な使用がないか作業記録等と突合して確認し、主管担当へ四半期に一度以上の頻度で報告する。
J アカウントロック等のログについて、リアルタイムまたは、日次~週次で、大量の検知等、不審な点が無いかを確認し、主管担当へ四半期に一度以上の頻度で報告する。
(オ) アクセス制御
A システムに接続可能な IP アドレスを制限する機能を有するものとする。 B パスワード等については、以下の通りシステム的に制御する。
(A) 英大文字/英小文字/数字/記号のうち最低 3 つを組み合わせる
(B) 10 桁以上とする
C 初期設定されるパスワード等については、システム的に初回ログイン時のパスワード変更を強制すること。
D 端末機における漏洩防止策として、暗証番号・パスワード等は、他人に知られないように、非表示、非印字、記号などへの置換え、覗き見防止等の対策を講ずる。
また、媒体上に暗証番号・パスワード等をそのまま記憶させない等の対策を講ずる。
E ユーザ要件に合わせた利用者アクセス権の設定/制限及び利用者データにアクセスできる運用者を制限する。
F クラウドサービスのアクセス権限設定の仕様変更や変更時には、設定内容の妥当性を確認の上、当行所管担当あて事前に通知する。
G システムにログオンしたまま一定時間操作が行われない場合のセッションタイムアウト機能を有するものとする。
H 端末へのアプリケーションのインストール制限を行うツール等を活用し、端末への未許可のアプリケーションのインストールを制限すること。
I 本システムで使用する機器等において、使用しない機能(カメラ、マイク、NFC/Felica、
Bluetooth、テザリング)は停止、もしくは使用を制限するとともに、使用しないソフトウェアを搭載しないこと。
J システム管理端末について、業務目的以外の電子メールの送受信、ホームページの閲覧等に対処するため、当該機能をシステム的に利用不可とする、またはホワイトリストで制限する等の不正使用防止対策を講ずること。また、電子メールの運用にあたっては、信頼性、安全性を確保するため、その運用方針を明確にすること。
K 社外からのメールを受信できる端末について、通信を監視し、不審なメール等を検知・遮断する機能を整備し、主管担当の承認を得ること。
(カ) 暗号鍵の保護
A 電子化された共通鍵、秘密鍵を蓄積するソフトウェアには、共通鍵、秘密鍵を保護する機能を具備する。
B 共通鍵、秘密鍵をパソコン等の端末機器側に蓄積する場合は、他人に解読されないような措置を講ずる。
C パソコン等を利用する場合においては、共通鍵、秘密鍵は別の機器及び媒体に確保し、必要時にその機器、媒体を接続して使用すること。
(キ) 障害対策
A システムに発生する各種障害を的確に検出し、障害箇所を切り分ける機能を設ける。
B 障害時の回復時間を短縮し業務への影響を少なくするため、リカバリのための機能を有するものとする。
C 障害が発生した際は、データ修正/プログラム修正/設定変更等の対応を主管担当と定めたルールにしたがって行う。
(ク) 脆弱性診断の実施
A 請負人は、本調達で構築するシステムがセキュリティ要件を満たしている事について、原則、別紙 2 に記載する要件を満たす第三者によるセキュリティ診断(Web アプリケーション診断、ネットワーク診断等)を実施し、実施結果(必要に応じて修正対処後の再診断を行う)をサービスインまでに主管担当に報告し、了承を得る。
B セキュリティ診断の実施にあたっては、システムの仕様に応じ必要な診断項目や検証パターン数、実施方法等が異なるため、リクエスト数やデータフロー等の仕様が確定した後、診断の項目及び実施方法について主管担当に説明し、了承を得る。診断の項目については別紙 2 を満たすこと。
C セキュリティ診断において重大な脆弱性が判明した場合、または、主管担当が問題と認識した場合は、原則サービスイン前に修正及び再診断を実施し、当該脆弱性が解消されたことを示す再診断結果等を主管担当に報告し、了承を得る。
D セキュリティ診断は、サービス開始前に加え、最低1年に1回程度定期的に実施し、機能追加等の変更が行われた際にも当該機能のサービス開始前までに診断及び必要に応じた修正を実施すること。
E クラウドサービスの利用者の責任範囲におけるネットワーク診断及びWeb アプリケーション診断は上記のとおり実施する。
F クラウド会社の責任範囲においては、当行のためにセキュリティ診断を実施できない場合、報告書等(別紙 3)によりセキュリティ診断の実施を主管担当へ報告すること。報告書等の提出が難しい場合は、セキュリティ診断実施と同等のセキュリティを担保していることを証明する書類(SOC2 レポート、PCIDSS 準拠証明書等)を主管担当に提出することにより、セキュリティ診断の代替を可とする。
G それぞれの利用者責任範囲の部分に診断を実施する。 (ケ) FW 設定値の検証
A 当行の資産として FW(同機能を持つ UTM 等も含む)を設置した際は、実際の FW の設定値(コンフィギュレーションリスト・アクセスコントロールリスト等)が設計書(設定値を記載したドキュメント)どおりになっていることを定期的(四半期ごと)に検証し、前年度の結果を取りまとめて年に一度、4 月末までに報告すること。また、当行用の FW の設定値もしくは設計書を修正した際は、その都度、当行に修正内容を報告すること。
B 当行の資産でないFW(同機能を持つUTM 等も含む)を設置した際は、当行へのサービス 提供にあたり、サービス利用時に経由する通信経路上にある FW について、請負人は設計書 通りに設定されていることを定期的(年 1 回以上)に確認し、証跡もしくは報告書等(別紙 3)等により確認結果を当行へ報告する。報告書等の提出が難しい場合は、当行が求めるセキュ
リティ水準と同等のセキュリティを担保していることを証明する書類(SOC2 レポート、PCIDSS準拠証明書等)を主管担当に提出することにより、代替を可とする。
(コ) EOL 管理
A JC 端末周辺機器
(A) 原則、本契約期間中を通じて、保守サービスの提供される製品を使用する。
(B) ただし、やむを得ない事由により継続使用する場合は、主管担当にて継続使用の可否判断を行う。詳細については、主管担当の定めるところによるものとする。
(C) また、製品名、バージョン、サポート期限(EOL。製品提供元のサポート等提供期限)について、台帳等を作成し、最新の状態となるように管理を行う。
(D) 上記の台帳は変更の都度更新を行うとともに、最低年次で更新漏れがないことの確認及び原則として EOL 到来製品の使用がないことを確認し、主管担当あてに確認結果を報告(台帳を併せて提出)する。
B システム
(A) システムの構成要素(OS や Web アプリケーション等)の製品名、バージョン、サポート期限(EOL。製品提供元のサポート等提供期限)について、管理台帳を作成し、最新の状態となるよう EOL 情報の取得及び台帳の都度更新を行うとともに、最低年次で更新漏れがないことの確認及び原則として、EOL 到来製品の使用がないことを確認する。
a 原則、本契約期間中を通じて保守サービスの提供される製品を使用するものとする。
b ただし、やむを得ない事由により継続使用する場合は、継続使用によるリスクも考慮のうえ、請負人の社内基準に従い継続して利用できることの判断が責任者によりされているものとする。
(B) また、主管担当より上記の管理台帳について提出の依頼があった場合、請負人は速やかに管理台帳を提出、若しくは EOL 管理作業について適切に実施していることを示す証明書等の提出を行う。証明書等を提出する場合は、当行所定の様式に従う。
(サ) 脆弱性情報への対応
A OS 等の脆弱性及び Web アプリケーションの脆弱性に関する最新情報を常に把握し、影響有無等の調査を実施し、リスクに応じて適切に対処する。
B 資産管理及び脆弱性管理を行うために、システムの構成要素(納品、若しくは、提供された機器・製品)を網羅的に把握し、脆弱性情報の定期的な収集や、セキュリティパッチファイルの取得を継続的に行う。
C 取得したセキュリティパッチファイル、パッチ適用状況等を一覧管理する台帳を作成し、月次で更新を行い、主管担当に報告を行う。
D 主管担当より上記の管理台帳について提出の依頼があった場合、請負人は速やかに管理台帳を提出、若しくはセキュリテイパッチ管理作業について適切に実施していることを示す証明書等の提出を行う。証明書等を提出する場合は、当行所定の様式に従うものとする。
E 主管担当からの脆弱性管理に関する問い合わせに応じる。 (シ) IT 資産管理
A 請負人は、当行資産として導入する機器・ソフトウェアがある場合、主管担当より別途提示するフォーマットに従い、サービスインの 3 か月前を目途に、該当機器の IT 資産情報を記入し、提出する。具体的な提出時期等の詳細については、別途主管担当の定めるところによるものとする。なお、別途提示するフォーマットのイメージは別紙 4 のとおり。
B 請負人は、上記で提出した資料について、主管担当からの指示に従い、適宜記載内容の修正を行う。また、サービスイン後に機器変更、若しくは使用するソフトウェアの変更等、IT 資産情報に変更が生じる場合は、速やかに主管担当に報告するとともに、別途提示するフォーマットに記入し、提出する。詳細については、別途主管担当の定めるところによるものとする。
(8) ハードウェア及びソフトウェアに関する要件ア ハードウェア
システムに採用するハードウェアは納入期限から本契約終了日までの稼動期間において部品供給等の保守体制が維持されるものとする。
ハードウェア要件の詳細については別添 2 のとおり。イ ソフトウェア
システムに採用するソフトウェアは納入期限から本契約終了日までの稼動期間において請負人による保守体制が維持されるものとする。各製品について、請負人の責によりやむを得ず、バージョン
アップの対応が必要な場合は、請負人にて設計・試験・導入に係る費用を負担する。
ソフトウェアは原則としてすべて最新バージョンのものを採用する。また、開発言語は汎用的な言語を使用し、陳腐化した言語を使用してはならない。
ただし、OS についてはシステム導入時に債権管理システムが動作保証するバージョンを優先する。また、システム構築上の都合により別のバージョンや製品等の採用を必要とする場合は、主管当 と協議の上、可否の判断を行う。
(9) 運用・保守等
ア ハードウェア保守
・ クラウド環境以外のハードウェアについては以下の保守を実施する。
・ 円滑な運用を実現するために、ハードウェアの予防保守、障害発生時の復旧作業を行うものとする(消耗品は除く。)。
・ 部品交換等が発生した場合は、新たに投入した機器及び回収した機器の名称及び個数を主管担当あて報告する。
・ 回収した機器に当行のデータ等が含まれている場合には、データを消去した上で、消去したことが確認できる書類を主管担当あて提出する(様式適宜)。
イ ソフトウェア保守
・ クラウド環境のソフトウェアなど各プロダクトの更新はサービス利用規約に従うものとする。クラウド環境以外のソフトウェアがある場合については以下の保守を実施する。
・ 円滑な運用を実現するために、ソフトウェアの保守を行うものとする。
・ パッケージソフトウェアを使用する場合は、バージョンアップ情報・不具合対策情報など、製品製造元からの公式サポート情報についても提供できる体制をとる。
・ ソフトウェアの点検は月に 1 回以上実施する。ウ 保守実施体制
・ 障害コールの受付は、9:00-17:00(土・日・祝日・12 月 31 日~1 月 3 日を除く)とし、速やかに対応する。
・ 異常があった場合は、本システムか、それ以外の要因であるか障害発生の箇所の切り分け方法を提案する。
・ 本システムの異常により業務継続が困難となっている場合、速やかに障害原因に基づき必要な障害復旧修理を行い、復旧後の確認を行うとともに、主管担当に報告する。
・ サービスに影響する障害発生時には、指定された緊急連絡先にメール又は電話により速やかに連絡を行う。それ以外の故障、障害等を検知した場合は、請負人から主管担当にメール等の連絡手段により報告する。なお、サービスとしてのSLA を提案時に記載する。
・ システムの監視対象及び監視方法(死活監視、リソース監視等)について提案する。
・ 請負人は、障害が発生した場合、障害発生から本格復旧までの間、その後も適宜、対応状況
(発生時刻/復旧時刻、障害内容、障害原因、復旧作業内容・措置、再発防止策等)を主管担当ヘ報告する。
エ 運用支援業務
本システムの運用に必要な以下の各種支援作業を実施する。 (ア) 各種資料及びデータ等の登録・変更・削除
(イ) 操作説明書の改版
(ウ) システムに関する各種資料等の提供・動作確認支援
(エ) パッケージソフトウェアのバージョンアップ、OS のパッチ適用作業
(クラウド環境以外のソフトウェアがある場合に限る)なお上記バージョンアップやバッチ適用作業時はサービス影響の確認を行うため、事前に作業スケジュール、作業内容を当行へ提示する。
オ 運用支援時間帯
日本語対応の受付窓口を用意し、必要に応じて現地もしくは電話・メールにて運用支援を行う。受付窓口での対応時間は次のとおりとする。
9:00-17:00(土・日・祝日・12 月 31 日~1 月 3 日を除く)カ 保守・障害対応等の報告
請負人は、システム保守・運用状況について、月に一度、定期的に以下の内容を主管担当へ報告する(様式適宜)。
(ア) 障害発生状況と対応状況
(イ) システム保守・運用に係る案件、課題等の管理及び状況
(ウ) コンピュータの運行状況(主要処理の所要時間、夜間処理の終了状況等) (エ) 処理性能・資源利用状況(CPU,メモリ,DISK 使用率等)
(オ) FW の設定確認結果キ 追加開発等への対応
(ア)追加開発等が発生する場合は、当初調達範囲外とし、別途契約変更等で対応するが、その際、請負人は主管担当の依頼に応じて追加開発に係る見積やスケジュール等を速やかに作成、提供すること。
(イ)追加開発の検討にあたり、開発工程への吸収時期の調整、吸収時期別の生産性の調整 等、受託者はこの協議に応じること。
(ウ)追加開発、仕様変更等に関しては、詳細見積とその根拠を提示すること。
(エ)追加開発等における単価は、当初調達に係る見積書記載の金額(※)を上限とする。
※ なお、ハードウェアの追加・変更を伴う要件が生じた場合、単価は契約締結時点の割引率を適用すること。
ク その他
(ア) 停止を伴うメンテナンスを実施する際には、事前に主管担当に報告し、了承を得る。また、停止時の業務を行うための代替手段を提案する。
なお、平日 9:00-17:00 はJC 営業時間のため、メンテナンスに伴う停止時間から原則除く。 (イ) 主管担当がシステムに関する調査依頼を行った場合は、対応を行う。
(ウ) ユーザからのリクエストに対して、一般的な画面で 2 秒以内、負荷の高い画面で 6 秒以内に何らかの応答(進捗バー等)をサーバから返却することを目標とする。
(エ) パフォーマンス向上に取り組むこと。
(オ) 社内 IT 環境変化に際し、影響度調査等を行い対応すること。
(10) その他
ア 各利用施設は、請負人が確定した後に現場調査を実施することとし、調査に係る費用に関しては、本件調達額内に含むこととする。
イ 各利用施設への機器設置、その他接続に必要な物品、作業については本仕様に含めるものとする。
ウ サービス提供時間帯(設備やネットワーク等の点検/保守のための計画停止時間を含む)を提案時に明示する。なお、保守等による停止の場合を除き、7 00~19 00 はシステムが利用できる状態とすること。
エ 請負人が提供するサービス稼働率(※)の実績は 99.5%以上を目標とする。
※ サービス稼働率=(サービス時間ー停止時間)+サービス時間
オ 障害・災害発生後、サービスに影響を及ぼす影響がある場合のサービス停止については、3日以内に復旧するよう努める。3日以内に復旧が見込めない場合は、3日以内の復旧が困難と判断した時点で即座に主管担当に報告する。
なお、その際の復旧までの期間は 1 週間を目安とし、主管担当と協議の上、復旧に向けて対応する。
カ サービスの停止に関する障害発生件数(目標)を提案時に明示する。
キ サービスに影響を与える可能性のあるHW(OS・PP含む)障害の発生から検知までに要する時間について請負人が提案し、主管担当と協議の上、決定する。
ク 災害や不正アクセス等への対策として構成・設備の可用性を担保する具体的な対策を提案する。ケ サーバのオペレーションミス防止のため適切な運用方法を検討・提案する。
コ 本システムで使用する画面のイメージを提案する。
7 セキュリティ対策
(1) 以下のセキュリティ要件を満たすものとする。
・ サーバの保守要員が極小化されており、厳格なアクセス権限の管理及びアクセス権限等に応じた適切な ID 管理がされている。また、それに関する社内規程が整備されている。受託者以外が提供するクラウドサービス等を利用する場合、当該サービス・基盤を維持管理するサービス提供元事業者が、システム内に保有する当行データへアクセスできないことを、導入前・導入後においても確認できること。アクセス有無が非公開の場合はその旨報告すること。
・ 情報セキュリティマネジメントに関し、ISMS 適合性評価制度と ISO/IEC27001 と同等又はそれ以上の認証を受けている。
・ 個人情報の取扱いを適切に行う企業として、プライバシーマーク認定されている。ASP 等のサービ
スを利用する場合は、サービス提供事会社がプライバシーマークあるいはその他のプライバシー保護に関連する認定を受けている。
・ 個人情報のあるファイルについて、請負人は原則閲覧ができないものとする。システム上閲覧ができる場合は、どのように閲覧ができないように運用をしているのかを提案時に明示する。
・ 当行利用施設内で、本システムに対して作業を実施する場合は、当行社員の立ち会いの下実施する。
・ 開発者が本番環境に誤接続しにくい仕組みを設ける。
・ 本調達における開発環境は、請負人の負担と責任において確保することとし、プロジェクトルームの入退室管理、施錠、ユーザ認証等の物理的セキュリティ対策がとられている。
(2) クラウド環境は以下のセキュリティ要件を満たすものとする。
・ サーバ室の入退室管理、施錠、ユーザ認証等の物理的セキュリティ対策がとられている。
・ サーバ所在地(データセンター)の建物、設備、関連設備等について、FISC 安全対策基準に準拠した設備である。(主管部の求めに応じ、契約後に FISC 安全対策基準への準拠状況を報告すること)
・ 当行のデータを保持するデータセンター(請負人のオフィスや請負人以外の第三者が提供するサービスを利用する場合は第三者のサービス提供設備を含む。)等に対する当行社員の立入監査を受け入れ、アクセス履歴を取得して監査証跡として保管する。なお、データセンター等につい て請負人のセキュリティルール等により、当行の立入監査の受入れが困難なエリアがある場合は、 その理由の正当性を明示するとともに、確認の代替手段を提案する等、監査に誠実に対応する。
・ 当行社員による立入監査が実施不能又は実効的ではない場合は、請負人の負担で第三者監査を実施することとし、十分な検証能力を有する第三者監査人を選定する。なお、検証項目が十分であることについて、事前に主管担当の承認を得る。
・ 情報漏えい等のインシデント発生時には、速やかに当行社員による立入監査又は請負人負担により第三者監査を実施する。
・ 同ASP 基盤を利用する他企業との情報隔離を確実にする。シングルテナントとすることにより、他企業側からのサイバー攻撃、障害波及等の影響を排除することが望ましいが、マルチテナント下での利用環境を提案する場合は、影響を受けない設計/管理方法について明示し、主管担当の承認を得る。
・ データ保存地の各種法制度下におけるデータの取扱い内容及び利用に関する制約条件の有無を提案時に明示する。
・ 本件サービスの更新等が発生する場合は、請負人が更新内容を確認し、都度主管担当まで更新内容(パッチを含む。)、更新による影響を含めメールで通知し、更新日時等を主管担当と調整する。ただし、本件サービスの停止を伴わない軽微な更新の場合は、対象外とする。また、更新履歴の管理及び更新履歴の公開を行う。
8 導入体制及び導入スケジュール
(1) 本業務に係る導入体制(責任者、プロジェクト管理体制(品質管理、進捗管理、リスク管理等)、開発体制、連絡窓口等)及び導入スケジュール(各作業時期、作業項目、作業内容、作会社等)を提案する。併せて、導入体制における要員の経験や資格等を明記する。なお、機器等の納入日等については、事前に主管担当と調整を行う。
(2) 本業務に係る導入体制の予定組織・部門は以下を有し、本案件に有益かつ十分な実績があるものとする。
ア 公益財団法人日本適合性認定協会若しくは海外の認定機関により認定された審査登録機関に よる ISO27001 の認証を受けていること又はこれと同等の品質マネジメントシステムを確立している。
イ 一般財団法人日本情報経済社会推進協会による情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証を受けている。ただし、ISMS 認証を取得していない組織又はその部門に おいては、独立行政法人情報処理推進機構(IPA)が提供する情報セキュリティ対策ベンチマー クを実施し、事前に主管担当にその結果を提出する。この場合、本業務の実施に当たっては、情報 セキュリティ対策ベンチマークに基づく平均成熟度が4以上であることを必要とする。
ウ 一般社団法人日本情報経済社会推進協会(JIPDEC)が定めるプライバシーマークの認定を受けている。
(2) 提案するシステム構成(ハードウェア・ソフトウェア・システム構成等)の導入実績及び要員について、以下の資格・経験等を有し、本案件に有益かつ十分な実績があるものとする。
ア 本業務の統括責任者は、経済産業省の情報処理技術者試験のプロジェクトマネージャー試験合格者又は PMI のプロジェクトマネジメントプロフェッショナル(PMP)資格保持者である。
イ 経済産業省情報処理技術者試験のシステムアーキテクトの合格者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
ウ 経済産業省情報処理技術者試験の情報処理安全確保支援士の合格者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
エ 経済産業省情報処理技術者試験のネットワークスペシャリストの合格者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
オ 経済産業省情報処理技術者試験のデータベーススペシャリストの合格者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
カ クラウドサービスに係る資格(Professional 以上)を有する者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
キ IT サービスマネジメントに係る資格を有する者又はそれと同等以上のスキルを有することが客観的に認められる者を含む。
ク 仮想化技術を用いた設計・構築を実施した経験を有する者を含む。
ケ Web アプリケーション及びサーバアプリケーションの開発実績を有し、かつ本業務の実施に必要な次の知識・スキル及び十分な経験(3 年以上)を有する者を含む。
・ Web アプリ(クライアント)開発(HTML5、CSS3、JavaScript(Ajax)等)
・ Web アプリ(サーバ)開発(Apache、Java、PHP 等)
・ データベース(SQL Server、PostgreSQL 等)
コ Web デザインに関する専門的な知識・スキル及び十分な経験(3 年以上)を有する者を含む。サ Web 機能を持つシステムの開発実績及び運用実績を有する。
シ アジャイル型開発を用いた設計・構築を実施した経験(3 年以上)を有する者を含む。ス 本システムと同等規模以上のシステムの開発実績及び運用実績を有する。
セ 主管担当と日本語でコミュニケーションができること。
(3) 請負人はプロジェクト管理作業を行い、作業計画に対する進捗状況及び品質管理を週単位で把握するとともに、請負人の管理責任に基づいて、作業の遅れ等に対する適切な措置を講ずる。なお、進捗に関して著しく作業の遅れが見込まれる緊急事態が発生した場合には、速やかに主管担当に報告する。
(4) 請負人の責により、プロジェクト進行に遅延が発生した場合、請負人は損害賠償請求に応じることとする。
9. 受入テスト
請負人はシステムが仕様の条件を満たして機能するかを確認するため、システムの稼働確認テストを行い、主管担当に結果を報告する。
ア システムテスト
予め作成し、主管担当の承認済みのシステム設定等を記述した設計書に基づいた所定のシステム機能の確認を行い、正常に稼動することを確認し、その結果を主管担当あてに報告する。
イ 運用テスト
予め作成し、主管担当の承認済みの運用テスト仕様書に基づいた所定の運用テストを行い、正常に稼動することを確認し、その結果を主管担当あてに報告する。
ウ システム移行作業
予め作成し、主管担当の承認済みの移行計画書に基づき、現行システムから新システムヘ移行作業を行い、正常に稼動することを確認し、その結果を主管担当あてに報告する。
また、移行時のコンティンジェンシープランも作成する。
10 操作研修
(1) 操作説明書の作成
導入したシステムについて操作の上で必要な情報を記述した操作説明書を作成する。また、障害発生時の復旧方法についても記載する。なお、内容については、主管担当の承認を得る。
(2) 操作教育
システム運用に必要な基本業務操作に関する教育を行い、その結果を主管担当あてに報告する。またその費用も本件調達額内に含めることとする。なお、研修内容は主管担当の承認を得る。
操作教育に必要なドキュメント等は請負人で準備する。
その後の操作教育については、主管担当において実施するが、必要なドキュメントについては、請負
人が準備する。
なお、基本業務操作の範囲及び研修の実施方法(対面または Web)等については主管担当と協議の上で決定する。
11 納入成果物
(1) 本件業務の納入成果物及び数量は以下のとおりとする。本件業務の納入成果物、ドキュメント類の書式、納入期限等の詳細は、別途主管担当と請負人との間で協議の上、決定する。なお、電子化可能なドキュメントは全て電子データを直接主管担当へ交付することとする。
No. | 納品物 | 備考 |
1 | プロジェクト実施計画書 | |
2 | 運用・保守実施計画書 | |
3 | 議事録 | 会議及び打合せに関する議事録等 |
4 | 基本設計書 | |
5 | 詳細設計書 | |
6 | 基盤設計書 | |
7 | 総合試験計画書 | |
8 | 総合試験成績書 | |
9 | 操作説明書 | |
10 | 本システム一式 | クラウドサービスによるシステム、JC 端末周辺機器等一式 |
(2) 納入する電子データについては、「Microsoft Word」、「Microsoft Excel」等、一般的に使用されるソフトウェアを用いて日本語で作成することとし、使用するソフトウェアは事前に主管担当に報告し、その承認を得る。閲覧しやすいようPDF 形式等に変換することは可とするが、その場合、必ず元データも添付する。
なお、納入に必要な磁気媒体(CD-R 等)は請負人の責任と費用において用意する。
(3) 全ての納入成果物及び中間成果物について主管担当ヘレビューする。なお、各工程における中間成果物(議事録等、作業過程で利用した各成果物の補助資料)はレビューまでに提出するものとする。レビューの日程等の詳細については主管担当と協議の上決定する。
(4) 納入期限
詳細については主管担当と協議の上決定する。
(5) システム稼動開始日
詳細については主管担当と協議の上決定する。
(6) 納入場所
納入成果物の納入場所については、以下のとおり。なお、詳細については、別途ゆうちょ銀行
(主管担当)の定めるところによるものとする。主管担当
東京都千代田区大手町2丁目 3 番1 大手町プレイスウエストタワー19階
11 保証
本システムに関し、天災その他の不可抗力又は使用者の故意若しくは過失による場合を除き、契約書第 17 条に定める契約不適合の担保責任とは別に、サービスインから起算して満 1 年間(以下「保証期間」という。)無償で修理すること及び保証期間内における点検整備等必要な保守を無償で行うことを明記した保証書を主管担当宛て提出する。
12 その他
(1) 本件業務の遂行にあたっては、主管担当と密に連絡を取り、遺漏のないように取り運ぶこととし、詳細については、別途ゆうちょ銀行(主管担当)の定めるところによるものとする。また、本仕様書に記載されていない事項がある場合、または本仕様書の記載事項について疑義が生じた場合は、随時、主管担当と協議の上、解決するものとする。この場合、請負人は当該協議に関する議事録を作成し、主管担当の確認を受けるものとする。
(2) 請負人の作業場所は日本国内に限ることとし、本業務は日本国内のみで実施するとともに、情報セキュリティが十分確保された作業場所とする。
(3) 請負人は本仕様書に基づく作業にあたり、当社の事務室等に立ち入る必要がある場合は、当該作会社名、作業内容、範囲等について事前に主管担当に通知し、承認を得る。また、既存システムに影響やトラブルを与えてはならない。
(4) 再請負の中止の取扱い
各種報告資料等を踏まえ、再請負先の業務遂行能力に対し、問題視し得る状況が生じた場合、注文者は請負人に対し、再請負の中止を求めることができる。なお、受託先が中止の求めに応じない場合は、本契約の解約を行うことを検討する。
(5) 業務従事者に対する作業の指示、労務管理、安全衛生管理等に関する指揮命令は、全て請負人の責任において行うものとする。
(6) 請負人は、本契約で扱う情報の安全管理のため、従業員に対する適切な措置を講じ、必要かつ適切な監督を行うほか、契約変更が必要と認められる事情が発生した場合は、誠実に対応する。
(7) 閉域網(P-NET)との接続に係る回線契約から回線及び終端装置の敷設、電源工事、コンセント準備については、主管担当において実施する。
(8) 主管担当から機能追加やデザイン変更など要望があった場合は、随時カスタマイズが可能であること。詳細については、別途ゆうちょ銀行(主管担当)の定めるところによるものとする。これらの対応については、当行からの要請に基づき契約変更等で対応することとし、本調達範囲には含めない。
(9) クラウドサービス利用において請負人のサービス提供範囲及びゆうちょ銀行との責任分解を明確に示すものとする。
(10) クラウドサービス利用におけるサービス提供条件等の内容に関し、変更要求の協議に応じなければならない。
(11) 本契約を終了する場合は終了の 1 か月前までに主管担当から通知するものとする。契約終了の際、第三者が後継システムの開発を担う場合は、後継システムへの移行関連作業など協力作業を
行う。(当該第三者に対する協力作業については、当行からの要請に基づき契約変更等で対応することとし、本調達範囲には含めない。)受託者がサービス提供を終了する場合は、18 ヵ月以上前にメールにて事前連絡を行うこと。
(12) 本契約終了時には、データの完全な消去を行い、その検証をする。加えて、データ消去証明書
(様式適宜)を提出する。なお、データ消去証明書には、将来的なハードウェア更改・撤去時には物理的消去を行うことを明記するものとする。なお、クラウドサービスで、データの完全な消去を確認する方法がなく証明書の提出が不可能である場合、主管担当に代替の手段を確認する。
(13) コンティンジェンシープランを作成する。
本システム機能に対し、以下に示す改修を行う。改修の実施・時期については主管担当と協議の上決定する。なお、本調達の範囲は優先度「高」及び「中」とし、「低」は含まない。「低」については、改修を依頼する場合、別途契約を締結の上、対応することとする。
No. | 対象 | 改修項目 | 改修内容 | 優先度 |
1 | 債権管理 | 事故金・債権の 0 円編集 | 事故金・債権を 0 円に編集できるようにする。 | 低 |
2 | 債権管理 | 帳票(一覧)テンプレート化 | 文面だけでなく一覧表の表示項目を都度変動できるようテンプレート化する。 個別明細を切り替え可とし、一部文言を修正可とする。 | 高 |
3 | 集約管理 | 集約管理サーバの 検索条件 | 集約管理サーバの検索画面で、検索条件を 10 個に増やす。 | 中 |
4 | 債権管理 | 事故金/ 債権管理簿の国税・地方税計 | 事故金/債権管理簿の国税・地方税の計を表示する。 | 中 |
5 | 債権管理 | 事故金登録画面の 改善 | 事故金登録画面で表示欄と入力欄を容易に 見分けられるよう改善する。 | 低 |
6 | 債権管理 | 回収日の修正を振替伝票の経理年月日に反映 | 回収日を修正した際に振替伝票の経理年月日に反映されるようにする。 | 中 |
7 | 債権管理 | 債権回収時の証拠書ラベル | 債権回収ページの証拠書内容で「それ以外」を選択すると、その後の画面表示では「領」とな る。主管担当者と調整の上、画面表示を変更する。 | 低 |
8 | 債権管理 | 金額 0 円入力の表示改善 | 画面全体で金額「0 円」表示を「空」表示にする。 | 中 |
9 | 債権管理 | 事故金入力の一時保存 | 事故金登録時に入力完了(事故金登録)するまでに一次保存できるようにする。 | 高 |
10 | 債権管理 | 回収依頼書・督促状の一括印刷の帳 票名称 | 回収依頼書・督促状の一括印刷で最後の対応局番号が反映されてしまうため修正する。 | 高 |
11 | 債権管理 | 回収依頼書の改ページ | 回答依頼書でお名前が 9 文字以上でも 2 ページにならないようにする。 | 高 |
12 | 債権管理 | 一括登録用 CSV 項目追加 | 一括登録用 CSV で、備考・お客さま向けコメ ントを登録できるようにする。 | 高 |
13 | 債権管理 | 一括登録用 CSV 補助 | 一括登録用 CSV で、郵便番号から住所を補 完できるようにする。 | 中 |
詳細については主管担当と協議の上決定する。
No. | ハードウェア | 機能・性能等 | 数量 |
1 | プリンタ | ・A4 及び A3 用紙のモノクロ/両面印刷 ・手差し用紙(払込用紙サイズ)の印刷 ・A4 及びA3 用紙のスキャン ・予備のトナー 一式 | 12 |
2 | スキャナ | ・USB 接続 | 12 |
3 | バーコードリーダ | ・USB 接続 ・JAN、CODE-39、CODE-128 に対応 | 12 |
仕様書別紙 1
必要画面
画面については既存のものから変更しないものとする。
構成については下図のとおりで、画面数は約 110、PU(ポップアップ)は約 40 である。なお、既存の画面イメージについては、契約締結後開示するものとする。
【事故金について】
必要機能
業務 | 説明 |
回収依頼 | 回収依頼予定日を過ぎている事故金の一覧から回収依頼を行う事故金を選択し、一括して回収依頼書とあいさつ状、対応状況記録 票、払込書を印刷する。 |
事故金督促 | 督促予定日を過ぎている事故金の一覧から督促を行う事故金を選 択し、一括して督促状を印刷する。 |
旧支社対応依頼 (未結了) | 督促状を発送しても回答がないため、支 社対応依頼を実施する必要がある事故金のうち、支社対応依頼予定日を過ぎている事故金の一覧から支社対応依頼を 実施する事故金を選択し、その一 覧を出力する。 |
旧支社対応依頼 (返納拒 否・説明不十分) | 回収依頼の回答が「返納拒否(説明不十分)」であったため、支社対応依頼を実施する必要がある事故金のうち、支社対応依頼予定日を過ぎている事故金の一覧から支社対応依頼を実施する事故 金を選択し、その一覧を出力する。 |
還付請求 | 回収依頼の回答が「非課税正当」であったため、還付請求を実施する必要がある事故金のうち、還付請求予定日過ぎている事故金の一覧から還付請求を行う事故金を選択し、その明細一覧を出力 する。 |
債権移行 | 債権移行予定日を過ぎている事故金の一覧から債権移行を行う事 故金を選択し、一括して債権移行を行う。 |
回収 | 回収があった事故金について、回収日や回収金額等を登録する。 |
回答受入 | 回答受入のあった事故金について、回答受入日や回答内容を登録 する。 |
債権移行 | 指定した事故金について、債権移行を行う。 |
住所変更 | 指定した事故金について、新しい住所を登録する |
還付 | 還付請求の結果が判明した事故金について、還付結果受入日や還 付額等を登録する。 |
回収依頼書・あい さつ状再印刷 | 指定した事故金について、定期業務において出力した回収依頼書 及びあいさつ状、対応状況記録票、払込書を再印刷する。 |
督促状再印刷 | 指定した事故金について、定期業務において出力した督促状を再 印刷する。 |
引継 | 指定した事故金について、事故金管理簿、事故金管理引継書、引 継データを出力する。 |
相続 | 指定した事故金について、相続先となる事故金を相続人分作成 し、相続金額を分配する。 |
追加納付 | 指定した事故金について、追加納付する事故金を作成する。 |
【債権について】
業務 | 説明 |
請求書送付 | 請求書発送予定日を過ぎている債権の一覧から請求書発送を行う 債権を選択し、一括して払込書とあいさつ状を印刷する。 |
債権督促 | 督促状発送予定日を過ぎている債権の一覧から督促状発送を行う 債権を選択し、一括して督促状と払込書を印刷する。 |
債権督促(特定記録郵便) | 特定記録郵便発送予定日を過ぎている 債権の一覧から特定記録郵便発送を行う債権を選択し、一括して特定記録郵便発送の設定 を行う。 |
履行延期承認撤回 | 履行延期撤回予定日を過ぎている債権の一覧から履行延期承認撤 回を行う債権を選択し、一括して履行延期承認撤回を行う。 |
未確認債権調査 (市町村) | 未確認債権調査予定日(市町村)を過ぎている債権の一覧から未確認債権調査を行う債権を選択し、一括して市町村住所調査依頼書 を印刷する。 |
未確認債権調査 (郵便局) | 未確認債権調査予定日(郵便局)を過ぎている債権の一覧から未確 認債権調査を行う債権を選択し、一括して郵便局住所調査依頼書を印刷する。 |
引当 | 引当対象である債権の一覧から引当を行う債権を選択し、一括し |
て引当を行う。 | |
償却 | 償却対象である債権の一覧から償却を行う債権を選択し、一括し て償却を行う。 |
収納停止 | 収納停止予定日を過ぎている債権の一 覧から収納停止を行う債 権を選択し、一括して収納停止を行う。 |
支社引継 | 支社引継予定日を過ぎている債権の一 覧から支社引継を行う債権を選択し、一括して債権管理簿と債権管理引継書を 印刷す る。なお、Ver.2-00 以降のシステムでは、200 万円以上の債権を本システムで管理する運用となったため、本定期業務は実施不要 となる。 |
消滅(時効) | 消滅予定日を過ぎている債権の一覧から消滅を行う債権を選択 し、一括して消滅を行う。 |
回収 | 回収があった債権について、回収日や回収金額等を登録する。 |
収納停止 | 指定した債権について、収納停止を行う。 |
消滅 | 指定した債権について、消滅を行う。 |
住所変更 | 指定した債権について、新しい住所を登録する。 |
還付 | 還付請求の結果が判明した債権について、還付結果受入日や還付 額等を登録する。 |
請求書再印刷 | 指定した債権について、定期業務において出力した請求書あいさ つ状、払込書を再印刷する。 |
督促状再印刷 | 指定した債権について、定期業務において出力した督促状、払込 書を再印刷する。 |
調査依頼書再印刷 | 指定した債権について、定期業務において出力した市町村住所調 査依頼書または郵便局住所調査依頼書を再印刷する。 |
履行延期承認書再 印刷 | 指定した債権について、履行延期承認書を再印刷する。 |
一般返納 | 指定した債権について、返納方法を一般返納として登録する。 |
延納 | 指定した債権について、履行延期申請書の審査結果を登録し、返 納方法を延納として登録する。 |
分納 | 指定した債権について、履行延期申請書の審査結果を登録し、返 納方法を分納として登録する。 |
引継 | 指定した債権について、債権理簿、債権管理引継書、引継データ を出力する。 |
履行延期撤回 | 指定した債権について、履行延期承認撤回を行う。 |
収納停止解除 | 指定した収納停止中の債権について、収納停止の解除を行う。 |
相続 | 指定した債権について、相続先となる債権を相続人分作成し、相 続金額を分配する。 |
追加納付 | 指定した債権について、追加納付する債権を作成する。 |
未確認債権調査受 入 | 市町村または郵便局から未確認債権調査結果の返答があった債権 について、調査結果を登録する。 |
必要帳票
# | 帳票名 |
1 | 事故金・資金返納金債権一覧表 |
2 | 事故金・資金返納金債権明細一覧表 |
3 | 事故金・資金返納金債権一括登録結果表 |
4 | 事故金・資金返納金債権一括登録エラー結果表 |
5 | 事故金・資金返納金債権登録エラー結果表 |
6 | 払込書 |
7 | 事故金管理簿 |
8 | 回収依頼書・あいさつ状 |
9 | 事故金督促状 |
10 | 事故金管理引継書 |
11 | 対応状況記録票 |
12 | 資金返納金債権管理簿 |
13 | 資金返納金債権請求書・あいさつ状 |
14 | 資金返納金債権請求書(分納用)・あいさつ状 |
15 | 資金返納金債権督促状 |
16 | 履行延期承認通知書(延納用) |
17 | 履行延期承認通知書(分納用) |
18 | 郵便局住所調査依頼書 |
19 | 市町村住所調査依頼書 |
20 | 資金返納金債権管理引継書 |
21 | 資金返納金債権分納計画一覧表 |
22 | 事故金増減通知書 |
23 | 資金返納金債権増減通知書(非償却用) |
24 | 資金返納金債権増減通知書(償却用) |
25 | 推進表【状態】 |
26 | 推進表【推進率】 |
27 | 事故金管理内訳書 |
28 | 資金返納金債権内訳書 |
29 | 集計・統計表 |
30 | 事故金監査表 |
31 | 資金返納金債権監査表(非償却用) |
32 | 資金返納金債権監査表(償却用) |
33 | 事務処理概況表 |
34 | マスタ一覧表 |
35 | 履歴一覧表 |
36 | 振替伝票 |
37 | 勘定科目別残高表 |
38 | 仕訳明細表 |
39 | 事故金・債権一覧表(会計用) |
#1
事故金もしくは債権の検索結果である一覧を出力した帳票である。
【必須項目】基準日、出力年月日、件数、出力項目、出力値
#2
事故金または債権の明細の一覧を出力した帳票である。
(詳細表示画面から出力した場合)
【必須項目】出力年月日、件数、明細種類、預金者名、記号番号、個別番号、預入日、預入金額、払戻日、払戻金額、発生金額、国税還付区分、地方税還付区分、国税還付請求日 国税還付結果受入日、国税還付額、国税還付コメント、地方税還付請求日、地方税還付結果受入日、地方税還付額、地方税還付コメント
(任意検索画面から出力した場合)
【必須項目】出力年月日、件数、債権番号、債務者、郵便番号、住所、貯金の種類、預金者名、記号番号、個別番号、預入日、預入金額、払戻日、払戻金額、発生日、発生金額
#3
事故金もしくは債権のデータ一括登録処理の結果を一覧出力した帳票である。
【必須項目】出力年月日、件数、旧債権番号、新債権番号、名前、債権金額
#4
事故金又は債権について、一括登録時の入力チェックでのエラー結果を表示する帳票である。
【必須項目】出力年月日、件数、行番号、対象、エラー内容
#5
事故金又は債権の登録時の入力チェックでのエラー結果を表示する帳票である。
【必須項目】出力年月日、件数、対象、エラー内容
#6
事故金または債権について、請求書に代わる帳票である。
【必須項目】口座番号、加入者名、金額、社名、局所名、所属長名、お客さま番号、お支払い期限、住所、債務者名(帳票は、通常払込みで使用する「払込取扱票」と同様式とする)
#7
事故金の持つ項目を一件一葉の形式で出力する帳票である。
(基本)
【必須項目】出力日、債権表示記号、債権番号、名前、債権番号、債権区分、状況、金額、結了日、発生状況、事故金債務情報、債務者情報、債権番号(バーコード)
(明細)
【必須項目】出力日、債権表示記号、債権番号、名前、種類、預金者名、記号番号、個別番号、預入日、預入金額、払戻日、払戻金額、発生金額
※その他各シーン(発生、督促、回収依頼等)別に事故金管理簿の出力項目を設定することとし、詳細は主管担当と調整することとする。(原則は上記項目の組み合わせとする)
#8
回収依頼を実施するために郵便局に回収依頼書と共に送付する帳票である。
(あいさつ状)
【必須項目】債務者名、社名、局所名、所属長名、あいさつ文、明細、過払額、原因・理由、問い合わせ先、債権番号
(回収依頼書)
【必須項目】郵便局長名、文書番号、回収依頼日、JC 所長名、あいさつ文、回答期限、債権番号、名前、住所、回収金額、明細、詳細事項、債権番号(バーコード)、問い合わせ先
郵便局から回収依頼の回答が一定期間ない場合に、督促を実施するために郵便局に送付する 帳票である。
【必須項目】郵便局長名、文書番号、督促日、JC 所長名、あいさつ文、回答期限、債権番号、名前、住所、回収金額、明細、原因・理由、問い合わせ先
#10
事故金について他の貯金事務センターへ引継を行うために出力する帳票である。
【必須項目】引継先 JC 所長名、文書番号、引継日、引継元 JC 所長名、あいさつ文、明細、問い合わせ先
#11
回収依頼書・あいさつ状とともに、郵便局に送付する帳票である。
【必須項目】債権番号、債務者名、郵便番号、住所、債権番号(バーコード)
#12
債権の持つ項目を一件一葉の形式で出力する帳票である。
(基本)
【必須項目】出力日、債権表示記号、債権番号、名前、債権番号、債権区分、状況、金額、結了日、発生状況、事故金債務情報、債務者情報、資金返納金債権債務情報、債権番号(バーコード)
(明細)
【必須項目】出力日、債権表示記号、債権番号、名前、種類、預金者名、記号番号、個別番号、預入日、預入金額、払戻日、払戻金額、発生金額
※その他各シーン(発生、督促、回収依頼等)別に事故金管理簿の出力項目を設定することとし、詳細は主管担当と調整することとする。(原則は上記項目の組み合わせとする)
#13
一般又は延納による返済を行う債務者に債権請求書と共に送付する帳票である。
【必須項目】債務者住所、債務者名、発行年月日、社名、局所名、所属長名、あいさつ文、明細、請求金額、原因・理由、支払金額、問い合わせ先、債権番号
分納による返済を行う債務者に債権請求書と共に送付する帳票である。
【必須項目】債務者住所、債務者名、発行年月日、社名、局所名、所属長名、あいさつ文、内容、問い合わせ先、債権番号
#15
債務者から回収が一定期間ない場合に、督促を実施するために債務者に送付する帳票である。
【必須項目】債務者名、社名、局所名、所属長名、JC 所長名、あいさつ文、明細、差額、原因・理由、支払期限、問い合わせ先、債権番号
#16
延納による返済の承認を債務者に通知するための帳票である。
【必須項目】債務者名、社名、局所名、所属長名、JC 所長名、あいさつ文、明細、差額、原因・理由、支払期限、問い合わせ先、債権番号
#17
分納による返済の承認を債務者に通知するための帳票である。
【必須項目】債務者名、分納承認日、社名、局所名、所属長名、分納申請日、住所、氏名、債権金額、履行期限、連絡先
#18
住所不明又は相続人不明の債権について、郵便局に住所調査を依頼するために送付する帳票である。
【必須項目】郵便局長名、文書番号、調査依頼日、JC 所長名、あいさつ文、回答期限、債権番号、名義人等氏名、名義人住所、債権番号(バーコード)、連絡先
住所不明又は相続人不明の債権について、市町村に住所調査を依頼するために送付する帳票である。
【必須項目】郵便局長名、文書番号、調査依頼日、JC 所長名、あいさつ文、回答期限、債権番号、名義人等氏名、名義人住所、債権番号(バーコード)、連絡先
#20
債権について他の貯金事務センターへの引継もしくは支社への引継時に出力する帳票である。
【必須項目】文書番号、引継日、債権管理職員、債権管理役職、発生年度、記号、債務者名、債務者住所、元本、合計金額、請求書発行年月日、発生額、消滅額、発生原因、担保、引継事由、連絡先
#21
分納時の納付金額とその積算及び債権金額について納付単位の一覧として出力する帳票である。
【必須項目】出力日、合計金額、納付期限、納付金額、納付済金額、残高
#22
指定した月に対する事故金の発生額や回収額、前月末現在額、現在額等の件数及び金額を債権表示記号毎に集計した帳票である。
【必須項目】出力日、集計年月、前月末現在額、当月発生額、当月管理引受額、当月回収額、当月還付額、当月債権移行、当月管理引継額、現在額、JC 名
#23
指定した月に対する非償却の債権の発生額や回収額、前月末現在額、現在額等の件数及び金額を債権表示記号毎に集計した帳票である。
【必須項目】出力日、集計年月、前月末現在額、当月発生額、当月管理引受額、回収額、その他の消滅額、消滅額計、回収済利息、回収済延滞金、当月管理引継額、償却済額、現在額、 JC 名
指定した月に対する償却済の債権の償却済額や回収額、前月末現在額、現在額等の件数及び金額を債権表示記号毎に集計した帳票である。
【必須項目】出力日、集計年月、前月末現在額、当月発生額、当月管理引受額、回収額、その他の消滅額、消滅額計、回収済利息、回収済延滞金、当月管理引継額、償却済額、JC 名
#25
集計時点で事故金および債権の各状態毎の件数とその債権金額を発生年月毎に集計した帳票である。
【必須項目】出力日、集計債権表示記号、回収依頼未済、回収依頼済、回答書受入済、回収依頼督促済、回収依頼再督促済、還付請求済、支社対応依頼済、事故金結了(全額回収)、請求書発送未済、請求書発送済、督促状発送済、特定記録郵便発送済、収納停止中、未確認債権調査依頼済、未確認債権調査結果受入済、債権結了(全額回収)、債権結了(消滅)、JC名
#26
集計時点で各定期業務の予定日を超過している事故金および債権の件数と指定年月以降に行った処理件数を予定日の種類毎に集計し、その二つから計算される推進率を印字した帳票である。
【必須項目】出力日、集計年月、集計債権表示記号、予定日超過件数、処理件数、推進率、
JC 名
#27
指定した月に対し、引継および引受を行った事故金を債権表示記号及び相手先毎に集計した帳票である。
【必須項目】出力日、年月、債権管理職員、債権表示記号、相手先、元本、元本合計
指定した月に対し、引継および引受を行った債権を債権表示記号及び相手先毎に集計した帳票である。
【必須項目】出力日、年月、債権管理職員、債権表示記号、相手先、元本、元本合計
#29
事故金および債権に対し、発生や引受、回収や未回収、回収率等について集計した帳票である。
【必須項目】出力日、集計年度、集計債権表示記号、分類、発生、引受、事故金回収、資金返納金債権回収、回収合計、消滅、引継、事故金未回収、資金返納金債権未回収、未回収合計、事故金回収率、資金返納金債権回収率、回収率合計、JC 名
#30
指定した月に対する事故金の発生額や回収額、前月末現在額、現在額等の件数及び金額を発生年毎に集計した帳票である。
【必須項目】出力日、集計年月、集計債権表示記号、前月末現在額、当月発生額、当月管理引受額、当月回収額、当月還付額、当月債権移行、当月管理引継額、現在額、JC 名
#31
指定した月に対する非償却の債権の発生額や回収額、前月末現在額、現在額等の件数及び金額を発生年毎に集計した帳票である。
【必須項目】出力日、集計年月、集計債権表示記号、前月末現在額、当月発生額、当月管理引受額、回収額、その他の消滅額、消滅額計、回収済利息、回収済延滞金、当月管理引継額、償却済額、現在額、JC 名
#32
指定した月に対する償却済の債権の償却済額や回収額、前月末現在額、現在額等の件数及び金額を発生年毎に集計した帳票である。
【必須項目】出力日、集計年月、集計債権表示記号、当月発生額、当月管理引受額、回収額、その他の消滅額、消滅額計、回収済利息、回収済延滞金、当月管理引継額、現在額、JC 名
指定した日に対し、その日に行った事故金および債権の処理件数および現在高を集計した帳票である。
【必須項目】出力日、集計年月日、登録数、事故金引受数、回収依頼発送数、事故金督促発送数、回答受入数、事故金回収数、事故金引継数、事故金現在件数、事故金現在高、債権移行数、債権引受数、請求書発送数、債権督促発送数、特定記録郵便発送数、債権回収数、収納停止数、消滅数、引当数、償却数、債権引継数、債権現在件数、債権現在高、JC 名
#34
マスタの内容を出力した帳票である。
【必須項目】出力日、マスタ名、データ
#35
本システムの操作履歴を出力した帳票である。
【必須項目】出力日、出力範囲条件、ID 条件、操作種別条件、債権番号条件、件数、操作日時、ID、操作、対象債権番号、内容、変更前、変更後
#36
集計対象の仕訳日について、計理年月日、取引ごとに計算摘要番号、計算摘要名、借方勘定科目、貸方勘定科目、金額、件数を出力した帳票である。
【必須項目】仕訳年月日、計理年月日、相手先コード、相手先名、決算科目コード、計算摘要、計算適用名、勘定科目コード(借方)、勘定科目(借方)、金額(借方)、勘定科目コード(貸方)、勘定科目(貸方)、金額(貸方)、備考、借方合計、貸方合計、入力理由
#37
規定の勘定科目について、勘定科目ごとに、前回残高(レイアウト上は前日残高と表示)、当日借方総計、当日貸方総計、当日残高を示した帳票である。
【必須項目】出力日、出力者 ID、基準日、局所名、前日残高、借方、貸方、当日残高、資産計、収益計、費用計、借方勘定計、貸方勘定計、本支店勘定(収入支出)、本支店勘定(事故金移管)、本支店勘定(債権移管)
集計対象の仕訳日について、取引ごと、債権管理番号ごとの内訳を示した帳票である。
【必須項目】出力日、出力者ID、基準日、局所名、件数、基準日、決算科目コード/計算摘要、計算摘要名、借方勘定科目コード、借方勘定科目名称、貸方勘定科目コード、貸方勘定科目名称、金額、債務者名、債権管理番号
#39
仮払金(事故金・債権管理)、仮払金(資金返納金債権)の勘定科目ごとに、非償却・未結了(会計的に残高が 0 以上)である事故金または債権の債権番号ごとの債権金額等を示した帳票である。
【必須項目】出力日、勘定科目、合計金額、出力者 ID、残高基準日、局所名、件数、債権番号、債権記号、発生日、債権移行日、債務者名、債権金額、延分納、税還付請求中(国税)、税還付請求中(地方税)、求償中、最新停止日、最新解除日、現在の処理状況、備考(発生理由)
仕様書別紙 2
セキュリティ診断実施内容
1 診断方法
(1) 委託事業者は診断等実施に際し、ツールによる自動的・画一的な診断に加え、作業実施者の手動による診断やペネトレーションテストなどを実施し、それぞれについて報告を行うこと。
【参考】セキュリティ検証標準
① Web アプリケーション診断
OWASP アプリケーションセキュリティ検証標準 (ASVS)
② スマートフォンアプリケーション診断
OWASP モバイルアプリケーションセキュリティ検証標準(MASVS)
※ アプリの特性により、MASVS-L1 やMASVS-L2 に追加 (MASVS-L1+R、MASVS-L2+R) で求めるもの
(2) 委託事業者による診断は、項番 3 に示す診断項目を満たすこと。項番 3 を満たすことができない場合は、主管部と委託事業者間で相談すること。また、委託事業者は診断前にはシステムが提供する機能や目的等を主管部に確認し、以下のセキュリティ検証標準等も参考に、システムの特性に沿った診断を行うこと。
セキュリティ 検証レベル | 説明 | 例 |
ASVS レベル 1 | 全てのアプリケーションが満たすべきもの です。 | 一般的なご案内のみ閲覧可 能なweb サイト |
ASVS レベル 2 | 機微なデータを扱うアプリケーションが満 たすべきものです。 | 個人情報が閲覧可能な web サイト |
ASVS レベル 3 | 極めて重要なアプリケーションが満たすべきものです。高額取引を行うアプリケーション、機密性の高い医療データを持つアプリケーション、最高レベルの信頼性を必要とするアプリケーションのためのもので す。 | 個人情報の閲覧に加え、資金移動や原簿の更新が可能な web サイト |
検証レベル | 説明 | 例 |
MASVS-L1 | 一般的なセキュリティ要件であり、すべて のモバイルアプリに推奨されます。 | 一般的なご案内のみ閲覧可 能なアプリ |
MASVS-L2 | 機密性の高いデータを扱うモバイルアプリ に適用します。 | モバイルバンキングアプリ |
MASVS-R(※) | 追加の保護コントロールを対象としています。クライアント側の脅威を防止すること が設計の目標である場合に適用できます。 | オンラインゲームアプリ |
(3) 委託事業者が診断にツールを使用する場合は、名称および使用目的を事前に開示すること。
(4) 原則、本番環境に対して診断を実施すること。ただし、システム停止等、サービスに影響がある場合などは、本番環境と同等の開発環境または災害対策環境で実施するため、診断環境については、主管部と委託事業者間で調整のうえ実施すること。
ア IP アドレスまたは FQDN 単位で診断を実施すること。詳細は主管部より提示する。
イ ロードバランサの背後に同一構成のサーバが複数ある場合は、同一構成のサーバのうち 1IP、または VIP(Virtual IP)のみ診断を実施すること。
ウ グローバル IP に対しては、インターネット(リモート)から診断を実施すること。
【参考】診断対象IP アドレスの考え方
① インターネット接続システム
インターネットから接続可能なグローバル IP アドレスに対して実施すること。
② 社内イントラネット接続システム
他システムとの境界から到達できる範囲の IP アドレス、または業務端末から到達できる範囲の IP アドレスに対して実施すること。詳細は、主管部と委託事業者間で相談の上決定すること。
(2) Web アプリケーション診断
【参考】動的画面、静的画面の考え方
① 利用者が入力した値(検索キーワードやアカウント情報等)に応じてその後の処理が変化するような画面を動的画面という。
② 利用者が入力した値に応じて内容やその後の処理が変化することがなくサーバに用意されたコンテンツをそのまま表示するような画面を静的画面という。
ア 動的画面を診断対象とすること。詳細は主管部と委託事業者間で調整すること。イ WebAPI については、すべての機能を診断対象とすること。
(3) スマートフォンアプリケーション診断
ア Android やiOS 向けなど異なる OS でアプリケーションを提供する場合、いずれのアプリケーションでも診断を実施すること。
イ 主管部が提供した実行ファイル(apk,ipa など)に対し、動的診断を実施すること。
ウ 主管部は root 化/jailbreak 検知機能を無効化した実行ファイル(apk,ipa など)を提供すること。
(4) ペネトレーションテスト
ア 原則、グローバル IP アドレスを対象にインターネット(リモート)から診断を実施すること。イ 事前に実施した脆弱性診断で発見された脆弱性または主管部から提示された脆弱性診断結果
の脆弱性なども参考に、侵入の可能性と侵入された場合の影響に関するテストを実施すること。ウ 大量ログイン試行(ブルートフォース攻撃、リバースブルートフォース攻撃、リスト型攻撃、
パスワードスプレー攻撃)への耐性を確認すること。
エ テスト実施中に、当初予定した IP アドレス以外への検証・診断が可能な際は、主管部と委託事業者間で調整のうえ、最大限診断を実施すること。
項番 | 診断項目 | |
ネットワーク調査 | ||
1 | ポートスキャン(TCP 0-65535/UDP well-known port) | |
2 | 不要と思われるサービスの稼動 | |
各種サービスの脆弱性調査 | ||
3 | 稼動中のサービスからの情報取得(バナー情報取得等) | |
4 | OS やアプリケーションソフトウェアの既知の脆弱性 | |
5 | 脆弱なパスワード設定の存在 | |
6 | 各種サービス(FTP サービス、SSH サービス等)の既知の脆弱性 | |
7 | サービス妨害の可能性 | |
8 | SSL/TLS 暗号強度調査 | |
DNS 調査 | ||
9 | DNS ゾーン転送の可否 | |
10 | DNS 再帰的問い合わせの可否 | |
11 | DNS ダイナミックアップデートの可否 | |
SMTP 等調査 | ||
12 | メール不正中継の可否 | |
13 | メールサーバによるユーザ情報漏洩問題 | |
HTTP/HTTPS 調査 | ||
14 | 脆弱性の知られている CGI スクリプトの存在 | |
15 | 不適切な SSL 証明書の利用 |
(2) Web アプリケーション診断
項番 | 診断項目 | |
Web サーバ | ||
1 | Web サーバ上のデフォルトコンテンツの存在 | |
2 | ディレクトリ一覧、不要なファイルの存在 | |
3 | バックアップファイルとデバッグオプション | |
4 | サーバなどの設定不備や既知の脆弱性 | |
認証・認可 | ||
5 | 脆弱なパスワード設定の存在 | |
6 | 強制ブラウジング | |
7 | 脆弱なパスワード | |
8 | 認証・認可回避 | |
9 | アカウントロックの設定 |
項番 | 診断項目 | |
入力 | ||
10 | OS コマンドインジェクション | |
11 | SQL インジェクション | |
12 | LDAP インジェクション | |
13 | XPath インジェクション | |
14 | バッファオーバーフロー | |
15 | HTTP レスポンス分割 | |
16 | メタキャラクタインジェクション | |
17 | ディレクトリ・トラバーサル | |
セッション | ||
18 | Cookie の Secure 属性とHttpOnly 属性 | |
19 | セッションハイジャック | |
20 | セッションリプレイ | |
21 | セッションフィクセーション | |
22 | セッション ID の推測 | |
23 | セッション ID の HTTP/HTTPS の使い分け | |
24 | セッション ID の格納方法 | |
25 | セッション ID の有効期限 | |
26 | セッション ID の破棄方法 | |
27 | クロスサイトリクエストフォージェリ | |
出力 | ||
28 | クロスサイトスクリプティング | |
29 | エラーコード | |
30 | 不要なコメント | |
通信 | ||
31 | HTTPS の適用漏れ | |
サイトデザイン | ||
32 | エラーメッセージによる情報漏えい | |
33 | パラメータの操作(改ざん操作) | |
34 | Web 画面設計上の不備 (例) ・ログイン画面はあるがログアウト機能が無い。 ・ログイン画面にパスワード入力フォームが無い。 ・本来ブラウザのアドレスバー(URL)に非表示にすべき ID、パス ワード等の重要情報が表示されている。 | |
35 | サーバサイドリクエストフォージェリ | |
36 | Cookie、 WebStorage の不適切な利用 |
(3) スマートフォンアプリケーション診断(端末環境)
項番 | 診断項目 | |
アプリケーション間連携 | ||
1 | アクセス制限 | |
2 | 情報の送受信 | |
通信 | ||
3 | プロトコル | |
4 | 暗号化の有無 | |
5 | サーバ証明書検証 | |
6 | 通信内容 | |
7 | プライバシーの保護 | |
認証 | ||
8 | 認証機能 | |
9 | 連携機能 | |
10 | ログアウト機能 | |
端末内のデータの取扱 | ||
11 | 保存場所 | |
12 | アクセス権限 | |
13 | 保存方法 | |
14 | 保存期間 | |
アプリケーションファイル・ログ | ||
15 | 不要な情報の有無 | |
16 | 不要な情報の出力有無 | |
機能の利用 | ||
17 | パーミッション設定 |
(4) ペネトレーションテスト
項番 | 診断項目 |
1 | 脆弱性の調査 |
2 | 設定不備等の調査 |
3 | 取得可能情報の調査 |
4 | 不正なログインの可否検証(※) |
5 | 権限昇格の可否検証 |
6 | データへのアクセスの可否検証(DB アクセスの実現、通信データの盗聴、 データの改ざん) |
7 | データ持ち出しの可否検証(外部向け通信の実現、データ持ち出しの実現) |
8 | 不正行為の可否検証(不正な取引の実行) |
(※) 項番 1~3 で得られた情報を利用するものおよび大量ログイン試行
(ブルートフォース攻撃、リバースブルートフォース攻撃、リスト型攻撃、パスワードスプレー攻撃)への耐性検証
サイバーセキュリティ対策実施報告書・証明書
▼ 提出対象にチェックを記載
① | 脆弱性診断実施報告書(ネットワーク診断) | |
② | 脆弱性診断実施報告書(Webアプリケーション診断) | |
③ | 脆弱性診断実施報告書(スマートフォンアプリケーション診断) | |
④ | 脆弱性診断実施証明書 | |
⑤ | ペネトレーションテスト実施報告書 | |
⑥ | ペネトレーションテスト実施証明書 | |
⑦ | FW設定検証実施報告書 | |
⑧ | FW設定検証実施証明書 | |
⑨ | セキュリティパッチ管理作業実施報告書 | |
⑩ | セキュリティパッチ管理作業実施証明書 | |
⑪ | コンピュータウイルス対策ソフトの管理作業実施報告書 | |
⑫ | コンピュータウイルス対策ソフトの管理作業実施証明書 | |
⑬ | EOL管理作業実施報告書 | |
⑭ | EOL管理作業実施証明書 |
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、以下のとおり、ネットワーク診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :(診断事業者の会社名を記載)
・診断実施日 :(ネットワーク診断の実施日をそれぞれ記載)
・診断実施環境 : (本番/開発/ステージング/テスト用など、環境の種類を記載)
・診断範囲 :(診断を実施したサーバ等を記載)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 件 | |
危険度:高 | 件 | ||
危険度:中 | 件 | ||
危険度:低 | 件 | ||
危険度ごとの対応方針・対応予定時期等 | 危険度:緊急 | ||
危険度:高 | |||
危険度:中 | |||
危険度:低 |
【診断実施内容】
確認項目 | 回答欄 | 備考 |
IPアドレス単位で診断を実施している。 | ||
当該システムがインターネットに接続している場合、 インターネットから接続可能なグローバルIPアドレスに対して、リモート(インターネット)から診断を実施している。 | ||
他システムとの境界から到達できる範囲のIPアドレス又は、業務端末から到達できる範囲のIPアドレスに対して診断を実施している。 | ||
ネットワーク診断で使用したツール等 | ||
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | ||
その他( ) |
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、以下のとおり、ネットワーク診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :株式会社****
・診断実施日 :20**年**月**日、**日
危険度をCVSS値に依らず評価検出件数を記載 している場合に記入
・診断実施環境 : 本番環境
・診断範囲 :**サーバ(1IP)、**サーバ(1IP)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 1件 | 【評価方法】 危険度は、以下の方法にて評価を実施。 ・~~~(評価方法を記載) |
危険度:高 | 0件 | ||
危険度:中 | 2件 | ||
危険度:低 | 0件 | ||
危険度ごとの対応方針・対応予定時期等 検出事項、対応方針の詳細を確認できる資料を添付 (提示が可能な場合) | 危険度:緊急 | 20**年*月*日 | 緊急:ソフトウェアアップデートを実施中①:ソフトウェアアップデートを実施中②:機能の無効化を実施 検出事項の詳細は別添「****」を参照 |
危険度:高 | |||
危険度:中 | 20**年*月*日 | ||
危険度:低 |
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | 〇 | |
その他( ) |
【診断実施内容】
実施している場合は"○"
未実施の場合は"×"を記載し、備考欄に理由を記載
Nessus *.*.*(plugin-set ***)
Nmap *.*手動診断
開示可能な範囲で記載
非開示の場合は、その理由を記載
【取得している認証等】
取得している認証等がある場合は"○"ない場合は空欄
ネットワーク診断で使用したツール等
〇
他システムとの境界から到達できる範囲のIPアドレス又は、業務端末から到達できる範囲のIPアドレスに対して診断を実施している。
〇
当該システムがインターネットに接続している場合、 インターネットから接続可能なグローバルIPアドレスに対して、リモート(インターネット)から診断を実施している。
〇
IPアドレス単位で診断を実施している。
備考
回答欄
確認項目
その他、ネットワーク診断の実施を証明する認証等があれば、具体的に記載
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、以下のとおり、Webアプリケーション診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :(診断事業者の会社名を記載)
・診断実施日 :(Webアプリケーション診断の実施日をそれぞれ記載)
・診断実施環境 : (本番/開発/ステージング/テスト用など、環境の種類を記載)
・診断範囲 :(お客さま用公開画面/システム管理用画面等の実施した範囲を記載)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 件 | |
危険度:高 | 件 | ||
危険度:中 | 件 | ||
危険度:低 | 件 | ||
危険度ごとの対応方針・対応予定時期等 | 危険度:緊急 | ||
危険度:高 | |||
危険度:中 | |||
危険度:低 |
【診断実施内容】
確認項目 | 回答欄 | 備考 |
貴行に提供するWebアプリケーションの動的画面は、すべて診断対象としている。 | ||
貴行に提供するWebAPI機能は、すべて診断対象としている。 | ||
Webアプリケーション診断で使用したツール等 | ||
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | ||
その他( ) |
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、以下のとおり、Webアプリケーション診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :株式会社****
・診断実施日 :20**年**月**日、**日
危険度をCVSS値に依らず評価している場合に記入
・診断実施環境 : 本番環境
検出件数を記載
・診断範囲 :お客さま用公開画面、システム管理用画面
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 1件 | 【評価方法】 危険度は、以下の方法にて評価を実施。 ・~~~(評価方法を記載) |
危険度:高 | 0件 | ||
危険度:中 | 2件 | ||
危険度:低 | 0件 | ||
危険度ごとの対応方針・対応予定時期等 検出事項、対応方針の詳細を確認できる資料を添付 (提示が可能な場合) | 危険度:緊急 | 20**年*月*日 | 緊急:入力文字列のエスケープ処理を実装中 :ソフトウェアアップデートを実施 検出事項の詳細は別添「****」を参照 |
危険度:高 | |||
危険度:中 | 20**年*月*日 | ||
危険度:低 |
実施している場合は"○"
未実施の場合は"×"を記載し、備考欄に理由を記載
【診断実施内容】
確認項目 | 回答欄 | 備考 |
貴行に提供するWebアプリケーションの動的画面は、すべて診断対象としている。 | 〇 | |
貴行に提供するWebAPI機能は、すべて診断対象としている。 | 〇 | |
Webアプリケーション診断で使用したツール等 | ||
Burp Suite*.*.* 手動診断 開示可能な範囲で記載 非開示の場合は、その理由を記載 |
取得している認証等がある場合は"○"ない場合は空欄
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | 〇 | |
その他( ) |
その他、Webアプリケーション診断の実施を証明する認証等があれば、具体的に記載
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名)」を提供するにあたり、以下のとおり、スマートフォンアプリケーション診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :(診断事業者の会社名を記載)
・診断実施日 :(スマートフォンアプリケーション診断の実施日をそれぞれ記載)
・診断実施環境 : (本番/開発/ステージング/テスト用など、環境の種類を記載)
・診断範囲 :(診断を実施したアプリケーション等を記載)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 件 | |
危険度:高 | 件 | ||
危険度:中 | 件 | ||
危険度:低 | 件 | ||
危険度ごとの対応方針・対応予定時期等 | 危険度:緊急 | ||
危険度:高 | |||
危険度:中 | |||
危険度:低 |
【診断実施内容】
確認項目 | 回答欄 | 備考 |
Android やiOS 向けなど異なるOS でアプリケーションを提供する場合、すべてのアプリケーションに対して診断を実施している。 | ||
貴行が提供した実行ファイル(apk,ipa など)に対し、動的診断を実施している。 | ||
スマートフォンアプリケーション診断で使用したツール等 | ||
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | ||
その他( ) |
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、以下のとおり、スマートフォンアプリケーション診断を実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :株式会社****
・診断実施日 :20**年**月**日、**日
危険度をCVSS値に依らず評価検出件数を記載 している場合に記入
・診断実施環境 : 本番環境
・診断範囲 :**アプリ(Android,iOS)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 1件 | 【評価方法】 危険度は、以下の方法にて評価を実施。 ・~~~(評価方法を記載) |
危険度:高 | 0件 | ||
危険度:中 | 2件 | ||
危険度:低 | 0件 | ||
危険度ごとの対応方針・対応予定時期等 検出事項、対応方針の詳細を確認できる資料を添付 (提示が可能な場合) | 危険度:緊急 | 20**年*月*日 | 緊急:ソフトウェアアップデートを実施中 :ソフトウェアアップデートを実施 検出事項の詳細は別添「****」を参照 |
危険度:高 | |||
危険度:中 | 20**年*月*日 | ||
危険度:低 |
実施している場合は"○"
未実施の場合は"×"を記載し、備考欄に理由を記載
【診断実施内容】
確認項目 | 回答欄 | 備考 |
Android やiOS 向けなど異なるOS でアプリケーションを提供する場合、すべてのアプリケーションに対して診断を実施している。 | 〇 | |
貴行が提供した実行ファイル(apk,ipa など)に対し、動的診断を実施している。 | 〇 | |
スマートフォンアプリケーション診断で使用したツール等 | ||
Secure Coding Checker*.*.* 手動診断 開示可能な範囲で記載 非開示の場合は、その理由を記載 |
取得している認証等がある場合は"○"ない場合は空欄
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | 〇 | |
その他( ) |
その他、スマートフォンアプリケーション診断の実施を証 そ明のす他る、スマートフォンアプリケーション診断の実施を証明する認証等があれば、具体的に記載
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおり脆弱性診断を実施し、適切に対応していることを証明いたします。
【実施内容】
・ネットワーク診断について、以下の作業を実施。
①(※頻度を記入) でネットワーク診断を実施している。
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
・Webアプリケーション診断について、以下の作業を実施。
①(※頻度を記入) でWebアプリケーション診断を実施している。
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
・スマートフォンアプリケーション診断について、以下の作業を実施。
①(※頻度を記入) でスマートフォンアプリケーション診断を実施している。
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおり脆弱性診断を実施し、適切に対応していることを証明いたします。
【実施内容】
・ネットワーク診断について、以下の作業を実施。
①四半期毎にネットワーク診断を実施している。
実施頻度を記載
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
・Webアプリケーション診断について、以下の作業を実施。
①年次でWebアプリケーション診断を実施している。
実施頻度を記載
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
実施していない診断は削除
(記載例では、スマートフォンアプリケーション診断を削除している)
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、以下のとおり、ペネトレーションテストを実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :(ペネトレーションテスト事業者の会社名を記載)
・診断実施日 :(ペネトレーションテストの実施日をそれぞれ記載)
・診断実施環境 : (本番/開発/ステージング/テスト用など、環境の種類を記載)
・診断範囲 :(お客さま用公開画面/システム管理用画面等の実施した範囲を記載)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 件 | |
危険度:高 | 件 | ||
危険度:中 | 件 | ||
危険度:低 | 件 | ||
危険度ごとの対応方針・対応予定時期等 | 危険度:緊急 | ||
危険度:高 | |||
危険度:中 | |||
危険度:低 |
【診断実施内容】
確認項目 | 回答欄 | 備考 | |
以下の項目を含むペネトレーションテストを実施 | |||
事前に実施した脆弱性診断結果を用いた攻撃の試行 | |||
大量ログイン試行攻撃(※)による権限奪取不正取引の可否 | |||
大量ログイン試行攻撃(※)を抑止する機能(アカウントロック等)の有無 | |||
※大量ログイン試行攻撃には、以下の4種を含めること ・ブルートフォース攻撃 ・リバースブルートフォース攻撃 ・リスト型攻撃 ・パスワードスプレー攻撃 | |||
攻撃準備活動として実施 | |||
(脆弱性の調査) 攻撃に利用可能なソフトウェアの脆弱性の調査 | |||
(設定不備等の調査) 攻撃可能にする設定上の不備の調査 | |||
(取得可能情報の調査) システム上に残存する攻撃のヒントになる情報、他所で入手可能な攻撃に使える情報の調査収集 | |||
侵害可能性の検証として実施 | |||
不正なログインの可否 | |||
権限昇格の可否 | |||
データへのアクセスの可否 | DBアクセスの実現 | ||
通信データの盗聴 | |||
データの改ざん | |||
データ持ち出しの可否 | 外部向け通信の実現 | ||
データ持ち出しの実現 | |||
不正行為の可否 | 不正な取引の実行 | ||
その他( ) |
【取得している認証等】
確認項目 | 回答欄 | 備考 |
PCI DSS 準拠証明書(AOC) | ||
SOC2/SOC3レポート | ||
ISMS/ISO27001/JIS Q27001認証 | ||
その他( ) |
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、以下のとおり、ペネトレーションテストを実施し、発見された脆弱性を修正する等適切に対応していることを報告いたします。
【診断実施情報】
・診断実施者 :株式会社****
・診断実施日 :20**年**月**日、**日
危険度をCVSS値に依らず評価している場合に記入
・診断実施環境 : 本番環境
検出件数を記載
・診断範囲 :****(お客さま用公開画面)
【診断結果情報】
確認項目 | 回答欄 | 備考 | |
検出事項 【補足】 ・危険度の基準は、CVSS値換算で以下のとおり 緊急:9.0以上 高:7.0以上中 :4.0以上 低:3.9以下 ・別の評価方法で評価している場合は、具体的な評価方法を備考欄に記載 | 危険度:緊急 | 1件 | 【評価方法】 危険度は、以下の方法にて評価を実施。 ・~~~(評価方法を記載) |
危険度:高 | 0件 | ||
危険度:中 | 2件 | ||
危険度:低 | 0件 | ||
危険度ごとの対応方針・対応予定時期等 | 危険度:緊急 | 20**年*月*日 | 緊急:ソフトウェアアップデートを実施中①:ソフトウェアアップデートを実施 |
中②:機能の無効化を実施 | |||
危険度:高 | |||
検出事項の詳細は別添「****」を参照 | |||
検出事項、対応方針の詳細を確認できる資料を添付 | |||
危険度:中 | |||
(提示が可能な場合) | 20**年*月*日 | ||
危険度:低 |
実施している場合は"○"
未実施の場合は"×"を記載し、備考欄に理由を記載
【診断実施内容】
確認項目 | 回答欄 | 備考 | |
以下の項目を含むペネトレーションテストを実施 | |||
事前に実施した脆弱性診断結果を用いた攻撃の試行 | 〇 | ||
大量ログイン試行攻撃(※)による権限奪取不正取引の可否 | 〇 | ||
大量ログイン試行攻撃(※)を抑止する機能(アカウントロック等)の有無 | 〇 | ||
※大量ログイン試行攻撃には、以下の4種を含めること ・ブルートフォース攻撃 ・リバースブルートフォース攻撃 ・リスト型攻撃 ・パスワードスプレー攻撃 | |||
攻撃準備活動として実施 | |||
(脆弱性の調査) 攻撃に利用可能なソフトウェアの脆弱性の調査 | 〇 | ||
(設定不備等の調査) 攻撃可能にする設定上の不備の調査 | 〇 | ||
(取得可能情報の調査) システム上に残存する攻撃のヒントになる情報、他所で入手可能な攻撃に使える情報の調査収集 | 〇 | ||
侵害可能性の検証として実施 | |||
不正なログインの可否 | 〇 | ||
権限昇格の可否 | 〇 | ||
データへのアクセスの可否 | DBアクセスの実現 | 〇 | |
通信データの盗聴 | 〇 | ||
データの改ざん | 〇 | ||
データ持ち出しの可否 | 外部向け通信の実現 | 〇 | その他、ペネトレーションテストとして実施 |
データ持ち出しの実現 | 〇 | している項目がある場合は"○"を記入し、 | |
不正行為の可否 | 不正な取引の実行 | 〇 | 「その他()」の()内に具体的に記載 ない場合は空欄 |
その他( | ) |
【取得している認証等】
確認項目
回答欄
備考
PCI DSS 準拠証明書(AOC)
SOC2/SOC3レポート
取得している認証等がある場合は"○"
ISMS/ISO27001/JIS Q27001認証
〇
ない場合は空欄
その他(
)
ペネトレーションテストの実施を証明する認証等があれば、具体的に記載
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりペネトレーションテストを実施し、適切に対応していることを証明いたします。
【実施内容】
・ペネトレーションテストについて、以下の作業を実施。
①(※頻度を記入) でペネトレーションテストを実施している。
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりペネトレーションテストを実施し、適切に対応していることを証明いたします。
【実施内容】
・ペネトレーションテストについて、以下の作業を実施。
①年次でペネトレーションテストを実施している。
実施頻度を記載
②発見された脆弱性は、危険度に応じた対処を適切に実施している。
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
FW設定検証実施報告書
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、以下のとおり、サービス利用時に経由する通信経路上にあるFWについて設計書通りに設定されていることを確認し、発見された不備等を修正する等適切に対応していることを報告いたします。
【検証実施情報】
・検証実施者 :(検証実施事業者の会社名を記載)
・対象期間 : 年度
・検証実施日 :(検証実施日を記載)
年次
第一四半期 第二四半期 第三四半期 第四四半期 その他( )
【検証結果情報】
回答欄 | 備考 | |
【結果】 不備無し・不備有り・非開示 【原因】 【対処状況】 |
【取得している認証等】
回答欄 | 備考 | |
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
FW設定検以証下実の検施証頻報度に告応書じて、チェックボックスに記入
・1回/四半期 :年度分、該当する四半期に
弊社は、「****システム」を提供するにあたり、以下・の1回と/お半期り、サ:ー年ビ度ス分利、該用当時すにる期経間由にする通信経路上にある FWについて設計書通りに設定されていることを確認し、発見された不備→等上半を期修の正場合す、る第等一適四半切期に・対第二応四し半て期にいるこ
とを報告いたします。
【検証実施情報】
・検証実施者 :株式会社****
・対象期間 : 2022 年度
対象期間の年度を記載
・検証実施日 :2022年12月1日
【検証結果情報】
→下半期の場合、第三四半期・第四四半期に
・1回/年の場合 :年度分に
・上記以外 :その他に 、チェックボックス右側()内に具体的な対象期間を記載
年次
第一四半期 第二四半期 第三四半期 第四四半期 その他( )
不備無し・不備有り・非開示
不備有りの場合、対処状況を記載
【対処状況】
不備有りの場合、原因を記載
【原因】
FW設定値の不備の有無を選択非開示の場合は非開示を選択
【結果】
備考
回答欄
【取得している認証等】
回答欄 | 備考 | |
FW設定検証の実施を証明する認証等がある場合は具体的に記載、ない場合は空欄
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりFW設定検証を実施し、適切に対応していることを証明いたします。
【実施内容】
・FW設定検証について、以下の作業を実施。
①(※頻度を記入) でサービス利用時に経由する通信経路上にあるFWについて、設計書どおりに設定されていることを確認している。
②不備等が発見された場合、修正する等の対処を適切に実施している。
③(FW設定検証を定期的(年1回以上)に行っていない場合)以下ア~ウの対応を実施している。
ア 初期構築時および変更時にFWの設定値と設計書等を突合し、設定誤りがないことを確認している。発見された設定誤りは、対処が完了している。
イ FW設定作業のプロセスを適切に管理している。
(作業端末や作業用IDの管理・設定内容の確認等ルールを整備している。)
ウ FW、WAF、IPS・IDS等により、脆弱性を狙った攻撃に関する検知、防御態勢を整備している。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりFW設定検証を実施し、適切に対応していることを証明いたします。
【実施内容】
・FW設定検証について、以下の作業を実施。
実施頻度を記載
①年次でサービス利用時に経由する通信経路上にあるFWについて、設計書どおりに設定されていることを確認している。
②不備等が発見された場合、修正する等の対処を適切に実施している。
③は、定期的(年1回以上)にFW検証を行っている場合、削除
○○○○年○○月○○日会社名:株式会社〇〇〇〇
所在地:東京都~氏名:〇〇 〇〇
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりセキュリティパッチ管理作業を実施しましたので、実施結果を報告します。
【実施内容】
セキュリティパッチ管理について以下を確認。
①脆弱性情報、セキュリティパッチ情報に関して で収集していること。
②取得した情報については影響調査を実施し、対応が必要と判断したものについては漏れなく対応を実施していること。
【実施期間】
○○○○ 年○○ 月○○ 日 ~ ○○○○ 年○○ 月○○ 日
【実施結果】
上記①②について、問題ないことを確認。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)
所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりセキュリティパッチ管理作業を実施しましたので、実施結果を報告します。
【実施内容】
契約名またはサービス・システム名をご記入ください。
情報の収集頻度をプルダウンからお選びください。
該当する選択肢がない場合は、実
態をご記入ください。
セキュリティパッチ管理について以下を確認。
①脆弱性情報、セキュリティパッチ情報に関して 随時 で収集していること。
②取得した情報については影響調査を実施し、対応が必要と判断したものについては漏れなく対応を実施していること。
ください。
確認の実施期間をご記入
【実施期間】
2022年 4月 1日 ~ 2023年 3月 31日
【実施結果】
上記①②について、問題ないことを確認。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)
所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりセキュリティパッチ管理作業を実施し、セキュリティパッチ管理について適切に対応していることを証明いたします。
【実施内容】
セキュリティパッチ管理について以下を確認。
①脆弱性情報、セキュリティパッチ情報に関して で収集していること。
②取得した情報については影響調査を実施し、対応が必要と判断したものについては漏れなく対応を実施していること。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)
所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりセキュリティパッチ管理作業を実施し、セキュリティパッチ管理について適切に対応していることを証明いたします。
【実施内容】
契約名またはサービス・システム名をご記入ください。
情報の収集頻度をプルダウンからお選びください。
該当する選択肢がない場合は、実
セキュリティパッチ管理について以下を確認。
態をご記入ください。
①脆弱性情報、セキュリティパッチ情報に関して 随時 で収集していること。
②取得した情報については影響調査を実施し、対応が必要と判断したものについては漏れなく対応を実施していること。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)
所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりコンピュータウイルス対策ソフトの管理作業を実施しましたので、実施結果を報告します。
【実施内容】
コンピュータウイルス対策ソフトの管理について、以下の作業を実施。
①原則本サービスを構成するシステムに、コンピュータウイルス対策ソフトを導入する。
②(※頻度を記入) でパターンファイルのリリース情報を収集し、(※自動/手動) 更新している。
③(※頻度を記入) でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを確認し、確認結果を管理台帳に記録し、管理している。
【実施結果】
上記①②③について、問題ないことを確認。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりコンピュータウイルス対策ソフトの管理作業を実施しましたので、実施結果を報告します。
契約名またはサービス・シス
【実施内容】
テム名をご記入ください。
週週次次、、随随時時等等のの頻頻度度ををごご記記入入くくだださい。
コンピュータウイルス対策ソフトの管理について、以下の作業を実施。
①原則本サービスを構成するシステムに、コンピュータウイルス対策ソフトを導入する。
②随時でパターンファイルのリリース情報を収集し、自動更新している。
③随時でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを確認し、確認結果を管理台帳に記録し、管理している。
自動または手動かをご記入ください。
※③について、管理台帳による記録・管理に代わり、自動ツール等で更新状態を管理している場合は、実態にあわせて、適宜修正してください。
修正時には、管理台帳に代わり、コンピュータウイルス対策ソフト(本体、及びパターン
ファイル)の更新漏れを防止するための手段があることが分かるように記載をお願いします。自動ツール等により更新漏れを防止している場合は、以下例のとおり記載。
《例1》日次でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを自動ツールで確認し、管理している。
《例2》随時、コンピュータウイルス対策ソフト(本体、及びパターンファイル)が自動更新 に失敗した場合に通知されるメールを確認し、更新漏れが発生しない管理をしている。
【実施結果】
上記①②③について、問題ないことを確認。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりコンピュータウイルス対策ソフトの管理作業を実施し、適切に対応していることを証明いたします。
【実施内容】
コンピュータウイルス対策ソフトの管理について、以下の作業を実施。
①原則本サービスを構成するシステムに、コンピュータウイルス対策ソフトを導入する。
②(※頻度を記入) でパターンファイルのリリース情報を収集し、(※自動/手動) 更新している。
③(※頻度を記入) でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを確認し、確認結果を管理台帳に記録し、管理している。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
弊社は、「****システム」を提供するにあたり、下記のとおりコンピュータウイルス対策ソフトの管理作業を実施し、適切に対応していることを証明いたします。
契約名またはサービス・シス
【実施内容】
テム名をご記入ください。
週週次次、、随随時時等等のの頻頻度度ををごご記記入入くくだ
コンピュータウイルス対策ソフトの管理について、以下の作業を実施。
さだいさ。い。
①原則本サービスを構成するシステムに、コンピュータウイルス対策ソフトを導入する。
②随時でパターンファイルのリリース情報を収集し、自動更新している。
③随時でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを確認し、確認結果を管理台帳に記録し、管理している。
自動または手動かをご記入ください。
※③について、管理台帳による記録・管理に代わり、自動ツール等で更新状態を管理している場合は、実態にあわせて、適宜修正してください。
修正時には、管理台帳に代わり、コンピュータウイルス対策ソフト(本体、及びパターン
ファイル)の更新漏れを防止するための手段があることが分かるように記載をお願いします。自動ツール等により更新漏れを防止している場合は、以下例のとおり記載。
《例1》日次でコンピュータウイルス対策ソフト(本体、及びパターンファイル)が更新されていることを自動ツールで確認し、管理している。
《例2》随時、コンピュータウイルス対策ソフト(本体、及びパターンファイル)が自動更新 に失敗した場合に通知されるメールを確認し、更新漏れが発生しない管理をしている。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
EOL管理作業実施報告書
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりEOL管理作業を実施しましたので、実施結果を報告します。
【実施内容】
EOL管理台帳について以下を確認。
①システムを構成している製品が漏れなく記載されていること。
②収集した最新のEOL情報が反映されていること。
③EOL期限切れの製品がある場合、継続使用によるリスクも考慮のうえ、社内基準に従い継続して利用できることの判断が責任者によりされていること。
【実施結果】
上記①②③について、問題ないことを確認。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
EOL管理作業実施証明書
弊社は、「(※契約名、またはサービス名) 」を提供するにあたり、下記のとおりEOL管理作業を実施し、 EOL管理について適切に対応していることを証明いたします。
【実施内容】
EOL管理台帳について以下を確認。
①システムを構成している製品が漏れなく記載されていること。
②収集した最新のEOL情報が反映されていること。
③EOL期限切れの製品がある場合、継続使用によるリスクも考慮のうえ、社内基準に従い継続して利用できることの判断が責任者によりされていること。
○○○○ 年○○ 月○○ 日会社名:(委託事業者の会社名を記載)所在地:(委託事業者の所在地を記載)
氏名:(委託事業者の責任者の氏名を記載)
仕様書別紙4
入力項目 | ||||||||||||
システムID | システム名 | 所管担当 | 端末種別 | 機器名 | HW製品名 | アンチウイルス導入有無 | EDR導入有無 | インターネット接続有無 | OS有無 | サービス利用状況 | ホスト名 | 基準日 |
入力項目
システムID_システム名 機器名 OS・SW製品名