診断対象は計 7FQDN で、ドメイン名は業務開始後に委託者より開示する。診断対象 URL は、全診断対象サイトの合計で 70 ページ以内とし、委託者との打ち合わせにおいて決定すること。
ウェブアプリケーション及びプラットフォーム脆弱性診断業務
1 委託業務名
ウェブアプリケーション及びプラットフォーム脆弱性診断業務
2 業務の目的
昨今、国内外においてインターネット上で公開されているサーバに対する不正アクセス等により、改ざんやサービス停止等の被害が増加している。
本市が公開しているウェブサイトやウェブアプリケーション等(以下、「サイト」と言う。)がこのような被害に遭うことを未然に防止するため、脆弱性診断を実施し、対策が必要な事項があった場合は対応策を明らかにすることを目的とする。
3 対象となる業務委託範囲、内容
(1)脆弱性診断
本市が公開しているサイトのうち、新たに追加されたものや、前回の診断から一定期間を経過したサイト等に対して、ウェブアプリケーション診断及びプラットフォーム診断を実施し、改善策等を提案すること。
①ウェブアプリケーション診断
診断対象とするウェブアプリケーションに対し、インターネット側からの疑似攻撃等を実施することにより、脆弱性診断を実施すること。
診断対象は計 7FQDN で、ドメイン名は業務開始後に委託者より開示する。診断対象 URL は、全診断対象サイトの合計で 70 ページ以内とし、委託者との打ち合わせにおいて決定すること。
事前に合意した診断対象の全パラメータに対して、診断を行うこと。診断においては、ツール等を用いて検査を行った場合でも、診断員がサーバからの応答を確認し、脆弱性の有無を判定すること。また、診断項目には「別添
1」を含めて実施すること。その他に有益な結果を得られる診断手法がある場合は提案すること。
実施日時は、受託者より提案を受けたスケジュールの範囲で個別に調整して決定するものとし、原則として業務期間中の平日日中(午前8時 45 分から
午後5時 15 分)に実施すること。
事前の診断対象の確認作業及び本番の診断作業は、原則、受託者が指定する日本国内の任意の場所から実施すること。また診断元のグローバル IP ア
ドレスは、事前に委託者に提示すること。
②プラットフォーム診断
ウェブサイトを構成するサーバ、ネットワーク機器等に対し、インターネット側からの探査活動(ポートスキャン、IP スキャン 等)を含めた疑似攻撃等を行うことによる脆弱性診断を実施すること。
診断対象は計 12IP で、IP アドレスは業務開始後に委託者より開示する。診断手法は「ツール診断」を主とすること。また、診断項目には「別添
2」を含めて実施すること。その他に有益な結果を得られる診断手法がある場合は提案すること。
実施日時は、受託者より提案を受けたスケジュールの範囲で個別に調整して決定するものとし、原則として業務期間中の平日日中(午前8時 45 分から
午後5時 15 分)に実施すること。
事前の診断対象の確認作業及び本番の診断作業は、原則、受託者が指定する日本国内の任意の場所から実施すること。また診断元のグローバル IP アドレスは、事前に委託者に提示すること。
(2)報告書
脆弱性診断の結果を分析し、報告書として取りまとめ、業務履行期限内に提出すること。報告書には、診断の結果概要、発見した脆弱性・問題点に関するリスク分析を含めること。またリスクの度合いを高・中・低等の段階で示すこと。また具体的な回避策や改善策等を含めること。
報告書は本市が提示するシステム分類ごとに分冊とすること。
4 成果物の納入場所
札幌市xx区菊水1条3丁目1-5 札幌市菊水分庁舎
5 業務履行期限
契約締結の日から令和 5 年 3 月 31 日(金)まで
6 納品物
納品物一式を書類、CD-R 等のメディア(WORD、EXCEL、POWER POINT、PDF 又は協議のxx市が認める形式のファイル)として最低 1 部ずつ納品すること。
納品物には、以下を含めるものとする
(1)診断結果及び結果の分析・改善策の提案等の報告書
(2)その他、本業務で作成した資料、書類等一式
7 環境に対する配慮
本業務の遂行にあたっては、本市の環境マネジメントシステムに準じ、当該業務に直接的に従事する作業員はもとより、直接的に従事しない作業員についても、常に環境負荷が最小となるよう熟慮し行動すること。
(1)電気
動作確認等においては、必要最低限の機器及び時間にて対応できるようあらかじめ対応の手順を決めておくこととし、節電を図ること。
(2)公共交通の利用
業務遂行にあたり、打ち合わせ等で移動する場合には、自動車利用を控え、公共交通機関を利用することにより、環境負荷の低減を図ること。
(3)紙の使用
機器の使用上やむを得ない場合を除き再生紙を利用するとともに、最低限の枚数で完了するようあらかじめ手順を決めておくこと。また、本市への業務実施報告等の事務手続きに係る文書等については再生紙を使用するとともに両面印刷や必要最低限の部数・枚数にする等、紙の使用量の削減に努めること。
(4)グリーン購入ガイドライン指定品の使用
業務に係る用品等は、札幌市グリーン購入ガイドラインに従い、極力ガイドライン指定品を使用すること。
8 その他
(1)進捗状況の報告
業務の進捗状況について、本市から問い合わせがあった時はその都度報告すること。また、業務内容については、その都度本市の目的に合致しているか確認すること。
(2)協議
仕様書で明記の無い点、または疑義のある点が生じた場合については、必ず本市と受託者の間で協議を行い、その決定に従うこと。
(3)データ保護に関する事項
本件業務について知り得た情報については、本契約の履行期間及び履行 後においても個人情報を含むすべての情報を第三者に漏らしてはならない。データの取り扱いについても同様である。また、秘密保持及びデータ取扱い について、従業員その他関係者への徹底を行うこと。
ア 本市の情報を目的外に使用しないこと。
イ 本市の情報を複写、複製する場合には本市の許可を事前に得ること。ウ 本件業務が終了した場合は、本業務にかかる情報の消去を確実に行い、
削除報告を書面で行うこと。
(4)その他
ア 検査対象は本番環境であるため、使用するツール等によりサービス不能となるなどの不具合を生じる可能性は限りなく少なくすることとし、影響については事前に委託者に十分に説明を行うこと。
イ 診断業務に必要な脆弱性診断ツールの調達・導入や、かかる通信費等一切の費用は、受託者の負担とする。
ウ 診断に際し、サイトに異常の発生又はその恐れがあると判断される場合には、その状況や対処方法等について、速やかに委託者に報告を行い、必要な対処を行うこと。また、当該事案に至る経緯や原因、対処などの考察も含め報告書を提出すること。
エ 受託者は、役務の全部若しくは一部を第三者に委託し、又は請け負わせてはならない。ただし、やむを得ず再委託する場合は委託者の承認を得ること。再委託者は、受託者と同様、本仕様に記載のデータ保護に関する事項を遵守することとし、別途提出する再委託申請書に再委託の内容(再委託者名、再委託業務等)を明記すること。
(別添1)
ウェブアプリケーション診断項目
診断項目 | |
1 | SQL インジェクション |
2 | OS コマンド・インジェクション |
3 | ディレクトリ・トラバーサル |
4 | セッション管理の不備 |
5 | クロスサイト・スクリプティング |
6 | クロスサイト・リクエスト・フォージェリ |
7 | HTTP ヘッダ・インジェクション |
8 | メールヘッダ・インジェクション |
9 | クリックジャッキング |
10 | バッファオーバーフロー |
11 | アクセス制御や認可制御の欠落 |
各診断項目の定義は、「安全なウェブサイトの作り方」(独立行政法人情報処理推進機構、xxxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxx/xxxxxxxxxxx.xxxx)に記載のものとする。
(別添2)
プラットフォーム診断項目
診断項目 | 診断内容 | |
1 | ポートスキャン | 対象機器で稼働している各ホストの OS や、動作しているサービスについて、ポートの稼動状態にかかる情 報を確認する。 |
2 | バナー情報取得 | バナー情報を収集し、OS 種別やサービスのソフトウ ェア名、バージョン等を確認する。 |
3 | DNS サーバの検証 | DNS サーバ関連ソフトウェアが最新であるか、コンテンツサーバの再帰問い合わせ動作が無効になっているか、DNS キャッシュポイズニング攻撃をうける恐れが ないか等、脆弱性の有無を確認する。 |
4 | 既知の脆弱性検証 | 各ホスト上の接続可能なサービスに対し、脆弱性診断ツール等を用い、ホスト上の脆弱性(ソフトウェアの 不備、設定の不備等)の情報を収集する。 |