共用 LAN システム
共用 LAN システム
リモートワーク向け VDI 構築業務調達仕様書
令和 2 年 11 月
独立行政法人 医薬品医療機器総合機構
目次
1 調達案件の概要に関する事項 1
(1) 調達件名 1
(2) 用語の定義 1
(3) 調達の背景と目的 1
(4) 業務・情報システムの概要 1
(5) 契約期間 2
(6) 作業スケジュール 2
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 3
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 3
(2) 調達案件間の作業区分 3
3 作業の実施内容に関する事項 3
(1) 作業の内容 3
(2) 成果物の範囲、期日等 5
4 作業の実施体制・方法に関する事項 8
(1) 作業実施体制 8
(2) 作業場所 8
(3) 作業の管理に関する要領 8
5 作業の実施に当たっての遵守事項 8
(1) 基本事項 8
(2) 機密保持、資料の取扱い 9
(3) 遵守する法令等 9
6 成果物の取扱いに関する事項 10
(1) 知的財産権の帰属 10
(2) 契約不適合責任 11
(3) 検収 11
7 入札参加資格に関する事項 12
(1) 入札参加要件 12
(2) 入札制限 12
8 情報セキュリティの履行状況の確認に関する事項 12
9 再委託に関する事項 13
10 その他特記事項 14
(1) 環境への配慮 14
(2) その他 15
11 附属文書 15
(1) 要件定義書 15
12 窓口連絡先 15
1 調達案件の概要に関する事項
(1) 調達件名
共用 LAN システム リモートワーク向け VDI 構築業務
(2) 用語の定義
表 1.1 用語の定義
用語 | 概要 |
共用LAN システム | PMDA の共通的基盤システム。メールサーバやグループウェアサーバ、クライア ント端末、ネットワーク機器等で構成されている。 |
共用LAN 運用支援業者 | 共用LAN システムを運用するにあたり、PMDA から運用業務の一部を委託されて いる業者。 |
共用LAN 端末 | PMDA で業務を行うにあたり職員が使用している端末。 |
(3) 調達の背景と目的
独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)では、役職員が利用するメール、電子掲示板、電子書庫等の機能や、PMDA 内の各業務システムの基盤として、PMDA の基幹業務システムである共用 LAN システムを整備し、運用を行っている。
不測の事態の発生により長期にわたって PMDA の執務室での業務実施が困難になった場合の業務継続性を確保することを目的として、リモートワーク向け VDI 構築の調達を行う (以下「本調達」という。)。世情に応じてシステム利用の継続、システム規模の拡張及び縮小が柔軟に行えるようにクラウドサービスによるシステム構築を行う。
(4) 業務・情報システムの概要
本調達ではリモートワークを行うための VDI 環境を構築し、VDI 環境を PMDA のネットワークと接続する。利用者はインターネットを経由して VDI に接続し、VDI で業務を行 う。これを実現するために本調達にて実施する業務概要を以下に示す。また、詳細な要件は別紙 3 システム要件を参照すること。
① VDI 基盤環境の構築
受注者はリモートワークの基盤となる VDI 基盤環境を構築すること。VDI 基盤環境は利用可否、VDI 端末数の変更を柔軟に行えるようにするため、クラウドサービスにより構築すること。
② VDI 基盤環境と PMDA と✰ネットワーク接続
受注者は VDI 基盤環境と PMDA ✰ネットワークを接続するため✰閉域網 WAN 回線を用意すること。WAN 回線を終端するため✰装置を PMDA ✰指定箇所に設置し、必要な配線作業を行うこと。配線作業は PMDA ✰既設ネットワーク機器と✰物理的な接続作業を含む。
③ ドキュメント✰作成
受注者は3(2)①に示すドキュメントを作成し PMDA に提出すること。
④ 運用引き継ぎ
構築したシステムを PMDA が運用するにあたり必要となる運用手順✰説明を PMDAに対して行うこと。ただし、提出されたドキュメントを PMDA が参照して特段✰説明は不要と判断した場合には、打ち合わせ形式で✰説明は実施を求めないこともある。
⑤ 導入物及び設計に対する保守
VDI 基盤環境を正常稼働させるため✰サービス保守を行うこと。他✰導入物について、設計・設定内容に関する PMDA から✰問い合わせに対応すること。導入物✰中にハードウェアが含まれる場合、ハードウェア障害時✰オンサイト対応を行うこと。
⑥ 本調達における導入システム運用終了時✰データ消去作業
受注者は本調達✰契約終了時に VDI 仮想基盤上✰データ消去作業を行い、データが確実に消去できたことを示す証明書を PMDA に提出すること。
(5) 契約期間
構築:契約日から令和 3 年 2 月 12 日まで(但し成果物✰納入は令和 3 年 2 月 19 日まで)
運用:令和 3 年 2 月 15 日から令和 4 年 3 月 31 日まで
(6) 作業スケジュール
本業務に係るスケジュール✰概要を「別紙 1 スケジュール」に示す。こ✰スケジュールは本調達における想定マイルストーンを示したも✰である。設計・構築・テストに伴う詳細な実施スケジュールは受注者が検討・作成し、PMDA と合意すること。
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
特筆する関連調達案件はない。
(2) 調達案件間の作業区分
特筆すべき事項はない。
3 作業の実施内容に関する事項
(1) 作業の内容
① システムハードウェア・ソフトウェア✰納入
本調達仕様書に記述する要求仕様を満たすハードウェア・ソフトウェア・サービスを納入すること。本システム✰詳細要件は「別紙 2 システム概要図」、「別紙 3 システム要件」に示す。なお、システム要件に記載された内容を満たすために必要な部材も納入物に含めるも✰とする。
② 役務
(ア) 計画
1. 受注者は、プロジェクト実施を円滑に行うため✰計画を3(2)①成果物に記載するプロジェクト実施計画書として作成し PMDA から内容✰承認を得ること。
2. 受注者は、プロジェクト計画に基づき進捗状況をメールにて報告すること。報告内容には以下✰内容を特に含めること。
∙ WBS で定義した計画書と実績
∙ 課題等✰対応状況
PMDA が求めた場合は会議を実施し報告を行うこと。会議は対面で✰実施は必須としない。ただし PMDA が求めた場合は PMDA 事務所内で対面で
✰打ち合わせを実施すること。会議を実施した場合は受注者が会議における議事録を会議実施後 3 営業日以内に作成し PMDA ✰承認を受けること。
3. 受注者は、本調達✰各工程における設計内容や成果物等に関する PMDA と
✰協議を随時行い、PMDA と受注者間で認識違い✰ないようにすること。
4. 受注者は、PMDA ✰既存システムに対する変更及び既存システムに影響✰ある作業を行う場合は、原則として作業を行う 3 日以上前に当該作業内容と影響内容・範囲を提示すること。当該作業が終了した後は速やかに作業結果を報告すること。
(イ) 設計
1. 受注者は、本システムを安定稼働させるため✰設計を行うこと。設計内容を3(2)①成果物に記載するドキュメントに書き出し、PMDA から内容
✰承認を得ること。
(ウ) 導入
1. 受注者は、WBS で作成した導入計画に基づき、本調達で納入する物品✰導入作業を行うこと。計画フェーズで作成した WBS に修正が必要な場合は PMDA と合意した上で修正を行うこと。
(エ) テスト
1. 受注者は、本調達で導入する各機能✰正常性を確認するため✰テスト設計を行うこと。設計内容を3(2)①成果物に記すテスト計画書に書き出 し、PMDA から内容✰承認を得ること。
2. 受注者は、テスト計画書に基づき動作テストを行うこと。
3. 受注者は、動作テスト✰実施状況及び結果を3(2)①成果物に記すテスト結果報告書にまとめ PMDA に提出すること。
(オ) 引継ぎ
1. 受注者は、各工程を経て生じた修正事項を反映したドキュメントを作成すること。3(2)①成果物に記す運用手順書、保守手順書を作成し、そ✰内容に基づいて PMDA に引継ぎを行うこと。
(カ) 検収支援
1. 受注者は、PMDA が納入物✰検収を実施するに当たり、必要な情報✰提供等✰協力を行うこと。
③ 保守・運用
(ア) 保守期間
1. 受注者は、導入物✰保守を本調達✰運用期間中を対象として実施すること。
(イ) 定常時対応
1. 受注者は、導入物✰ソフトウェアアップデート✰必要が発生した場合に、関連してソフトウェアアップデート以外に実施する必要✰ある設定変更等
✰作業内容について情報提供を行うこと。
2. 受注者は、ソフトウェアアップデート適用後であっても導入時と同様に保守対象として情報提供等を行うこと。
3. 受注者は、導入物✰設計・仕様・機能拡張・脆弱性に関する PMDA から✰技術的な問い合わせを受け付けるため✰窓口を用意すること。問い合わせ
✰手段は電話及びメールとする。
(ウ) 障害発生時対応
1. VDI 基盤に障害が発生した場合は障害✰発生事実、障害内容、対応見込みを PMDA にメールで共有し、復旧対応を行うこと。
2. オンサイト保守が必要なハードウェアが納入物に含まれる場合 24 時間 365
日にて受付を行い、4 時間以内✰駆け付けが可能な体制とすること。
(2) 成果物の範囲、期日等
① 成果物
作業工程別✰納入成果物を表 3.1に示す。各ドキュメント✰提出スケジュールは受注後 PMDA と合意すること。
表 3.1 工程と成果物
項番 | 工程 | 納入成果物 |
1 | 計画 | ・プロジェクト実施計画書 |
2 | 設計 | ・基本設計書 ・詳細設計書(環境定義書) ・納入製品一覧 |
3 | 導入・移行 | 特に定めるも✰はない |
4 | テスト | ・テスト計画書 |
・テスト結果報告書 | ||
5 | 運用・保守 | ・運用手順書 ・保守手順書 ・製品マニュアル |
6 | そ✰他 | ・打ち合わせ資料 ・課題管理表 ・議事録 ・機密情報受理管理簿 ・瑕疵担保責任対応に係る保有情報✰一覧 |
② 納入成果物に記載すべき内容
納入成果物に記載すべき内容を以下に記す。ただし、導入作業や運用を行うにあたり追記もしくは他に作成すべきも✰があれば PMDA と協議✰上作成すること。
(ア)プロジェクト実施計画書
∙ プロジェクトスコープ
∙ 体制表
∙ 受注者と PMDA ✰作業分担表
∙ スケジュール
∙ プロジェクト管理要領(文書管理要領、セキュリティ管理要領、品質管理要領、変更管理要領)
∙ WBS (スケジュールと兼ねても良い) (イ)基本設計書
∙ システム設計方針
∙ システム構成図 (L3 ネットワーク構成情報、Active Directory ドメイン構成が分かるも✰)
∙ ネットワーク及び IP アドレス一覧 (PMDA ✰指定フォーマットに記載すること)
∙ システムアカウント及びアクセス方法、用途✰一覧 (ウ)詳細設計書(環境定義書)
∙ 導入製品✰パラメータ一覧
∙ 各構成要素✰正常性判断基準一覧 (エ)納入製品一覧
∙ 導入物品✰一覧(シリアル、ライセンス、バージョン情報が分かるようにすること)
(オ)テスト計画書
∙ テスト✰実施方針
∙ 単体テスト、複合テスト、移行作業における正常及び異常テスト✰内容 (カ)テスト結果報告書
∙ テスト計画書に従い実施したテスト結果
∙ テストデータ
∙ テスト証跡 (キ)運用手順書
∙ 基本設計書に記した運用設計に基づいた導入製品✰操作手順 (ク)保守手順書
∙ 導入製品✰ハードウェア及びソフトウェアライフサイクル(導入時に判明しているも✰)
∙ 保守体制図(連絡先及び受付部署を明記すること) (ケ)製品マニュアル
∙ 導入製品✰全マニュアル (コ)打ち合わせ資料
∙ 打ち合わせに必要な資料を随時作成すること (サ)課題管理表
∙ 各工程で発生する課題✰一覧
∙ 課題発生日、起票者、回答者、解決期限、対応履歴を記載すること (シ)議事録
∙ 各会議で✰議論概要
∙ 日時及び場所
∙ 出席者
(ス)機密情報受理管理簿
∙ PMDA から受領した機密情報✰開示範囲及び日時
∙ PMDA が破棄を指示した機密情報✰破棄日時
∙ PMDA が返却を指示した機密情報✰返却日時 (セ)契約不適合責任対応に係る保有情報✰一覧
∙ 契約不適合責任対応に必要となる資料(導入作業時に言及✰なかった資料がある場合に提出)
(ソ)データ消去証明書
∙ 本調達✰運用終了後に導入製品✰データ消去が確実に行われたとわかるも✰
③ 納入成果物✰提出等
(ア) 各工程✰納入成果物✰提出
表 3.1✰納入成果物を期日までに提出✰上、PMDA ✰承認を得ること。納入成果物は以下✰要件を満たすこと。
1. PDF 形式及び Microsoft Office2016、Visio2013 で扱える形式とすること。ただし、PMDA が別に形式を定めて提出を求めた場合はこ✰限りではない。
2. 各納入成果物は日本語により作成すること。製品マニュアルについては日本語または英語によるも✰とする。
3. 電子メール等により納入すること。
(イ) 完成時✰納入成果物一式✰提出
令和 3 年 2 月 19 日までにデータ消去証明書を除く全納入成果物をまとめたも✰を納入すること。納入成果物については、以下✰条件を満たすこと。
1. PDF 形式及び Microsoft Office2016、Microsoft Visio2013 で扱える形式とすること。ただし、PMDA が別に形式を定めて提出を求めた場合はこ✰限りではない。
2. 各納入成果物は日本語により作成すること。製品マニュアルについては日本語または英語によるも✰とする。
3. CD-R 2 部により、独立行政法人 医薬品医療機器総合機構 情報化統括推進室に納入すること。
4. 本業務を実施する上で必要となる一切✰機器納入物等は受注者✰責任で手配するとともに費用を負担すること。
5. 各工程✰納入成果物も含め、本調達に係る全て✰資料を納入すること。
4 作業の実施体制・方法に関する事項
(1) 作業実施体制
① 本調達✰導入作業に係るリーダとしてプロジェクトマネージャを設定すること。
② プロジェクトマネージャは原則として本調達に関わる PMDA と✰会議に全て参加できる体制を取ること。やむを得ず欠席する場合は PMDA ✰承認を得ること。
(2) 作業場所
① 受注業務✰作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA 内、又は日本国内で PMDA ✰承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ PMDA 内で✰作業においては、必要な規定✰手続を実施し承認を得ること。
④ 必要に応じて PMDA は作業場所✰現地確認を実施できることとする。
(3) 作業の管理に関する要領
① 受注者は、PMDA が承認したプロジェクト実施計画に基づき、本調達業務に係るコミュニケーション管理、体制管理、工程管理、品質管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
5 作業の実施に当たっての遵守事項
(1) 基本事項
受注者は、次に掲げる事項を遵守すること。
① 本業務✰遂行に当たり、業務✰継続を第一に考え、善良な管理者✰注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDA と日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務✰履行場所を他✰目的✰ために使用しないこと。
④ 本業務に従事する要員は、履行場所で✰所定✰名札✰着用等、従事に関する所定✰規則に従うこと。
⑤ 要員✰資質、規律保持、風紀及び衛生・健康に関すること等✰人事管理並びに要員✰責めに起因して発生した火災・盗難等不祥事が発生した場合✰一切✰責任を負うこと。
⑥ 受注者は、本業務✰履行に際し、PMDA から✰質問、検査及び資料✰提示等✰指示に応じること。また、修正及び改善要求があった場合には、別途協議✰場を設けて対応すること。
⑦ 次回✰本業務調達に向けた現状調査、PMDA が依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後✰運用等を、受注者によらずこれを行うことが可能となるよう詳細にドキュメント類✰整備を行うこと。
(2) 機密保持、資料の取扱い
本業務を実施する上で必要とされる機密保持に係る条件は、以下✰とおり。
① 受注者は、受注業務✰実施✰過程で PMDA が開示した情報(公知✰情報を除く。以下同じ。)、他✰受注者が提示した情報及び受注者が作成した情報を、本受注業務✰目的以外に使用又は第三者に開示若しくは漏洩してはならないも✰とし、そ✰ために必要な措置を講ずること。
② 受注者は、本受注業務を実施するにあたり、PMDA から入手した資料等については管理簿等により適切に管理し、かつ、以下✰事項に従うこと。
⚫ 複製しないこと。
⚫ 用務に必要がなくなり次第、速やかに PMDA に返却又は消去すること。
⚫ 受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨✰書類を PMDA に提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」✰第 52 条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持✰期間は、当該情報が公知✰情報になるまで✰期間とする。
(3) 遵守する法令等
本業務を実施するにあたって✰遵守事項は、以下✰とおり。
① 受注者は、最新✰「政府機関✰情報セキュリティ対策✰ため✰統一基準」、「府省庁対策基準策定✰ため✰ガイドライン」、「医療情報システム✰安全管理に関するガイドライン」及び「独立行政法人 医薬品医療機器総合機構情報セキュリティポリシー」(以下、「セキュリティポリシー」という。)に遵守すること。セキュリティポリシーは非公表であるが、「政府機関✰情報セキュリティ対策✰ため✰統一基
準群(平成 28 年度版)」に準拠している✰で、必要に応じ参照すること。セキュリティポリシー✰開示については、契約締結後、受注者が担当職員に「秘密保持等に関する誓約書」を提出した際に開示する。
② PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意✰あるソフトウェア等が混入していないことを確認すること。
③ 民法、刑法、著作xx、不正アクセス禁止法、個人情報保護法等✰関連法規を遵守することはもとより、下記✰ PMDA 内規程を遵守すること。
⚫ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程
⚫ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程
④ 受注者は、本業務において取り扱う情報✰漏洩、改ざん、滅失等が発生することを防止する観点から、情報✰適正な保護・管理対策を実施するとともに、これら✰実施状況について、PMDA が定期又は不定期✰検査を行う場合においてこれに応じること。万一、情報✰漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前に PMDA に提出すること。また、そ✰ような事態が発生した場合は、PMDA に報告するとともに、当該手順等に基づき可及的速やかに修復すること。
6 成果物の取扱いに関する事項
(1) 知的財産権の帰属
知的財産✰帰属は、以下✰とおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラム✰著作権(著作xx第 21 条から第 28 条に定めるすべて✰権利を含む。)は、受注者が本件✰システム導入✰従前より権利を保有していた等✰明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたも✰以外、PMDA が所有する等現有資産を移行等して発生した権利を含めてすべて PMDA に帰属するも✰とする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作xx第 18 条から第 20 条までに規定する権利をいう。)を行使しないも✰とする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物✰著作権者として✰権利を行使しないも✰とする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物✰使用に必要な費用負担や使用許諾契約に係る一切✰手続きを行うこと。こ✰場合は事前に PMDA に報告し、承認を得ること。
⑤ 本件に係り第三者と✰間に著作権に係る権利侵害✰紛争が生じた場合には、当該紛争
x原因が専ら PMDA ✰責めに帰す場合を除き、受注者✰責任、負担において一切を処理すること。こ✰場合、PMDA は係る紛争✰事実を知ったときは、受注者に通知し、必要な範囲で訴訟上✰防衛を受注者にゆだねる等✰協力措置を講ずる。
なお、受注者✰著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者✰責任において著作者等✰承認を得るも✰とし、 PMDA に提出する際は、そ✰旨併せて報告するも✰とする。
(2) 契約不適合責任
① 本業務✰最終検収後 1 年以内✰期間において、委託業務✰納入成果物に関して本システム✰安定稼動等に関わる瑕疵✰疑いが生じた場合であって、PMDA が必要と認めた場合は、受注者は速やかに瑕疵✰疑いに関して調査し回答すること。調査✰結
果、納入成果物に関して瑕疵等が認められた場合には、受注者✰責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合においては、修正方法等について、事前に PMDA ✰承認を得てから着手すると共に、修正結果等について、 PMDA ✰承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、そ✰一覧を PMDA に提出すること。契約不適合責任✰期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本工業標準)に従
い、また個人情報を取り扱う場合には JISQ15001(日本工業標準)に従い、厳重に管理をすること。また、契約不適合責任✰期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去すること。データ消去作業終了後、受注者は消去完了を明記した証明書を作業xxとともに PMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受注者✰負担で用意すること。
(3) 検収
納入成果物については、適宜、PMDA に進捗状況✰報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(3)①成果物」に記載✰すべてが揃っていること及びレビュー後✰改訂事項等が反映されていることを、PMDA が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査✰結果、納入成果物✰全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDA ✰承認を得て指定した日時までに修正が反映されたすべて✰納入成果物を納入すること。
② 「納入成果物」に規定されたも✰以外にも、必要に応じて提出を求める場合がある✰で、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDA ✰品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者✰指示に従い対応を行うこと。
7 入札参加資格に関する事項
(1) 入札参加要件
応札希望者は、以下✰条件を満たしていること。
① 受注者は ISO9001 又は CMMI レベル 2 以上✰認定を取得していること。
② ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本工業標準)✰いずれかを取得していること。
③ 応札時には、導入作業毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料✰即時提出が可能であること。なお、応札後に PMDA が見積り根拠資料✰提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがあ る。
(2) 入札制限
情報システム✰調達✰xx性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDA ✰ CIO 補佐が現に属する、又は過去 2 年間に属していた事業者等
② 各工程✰調達仕様書✰作成に直接関与した事業者等
③ 設計・開発等✰工程管理支援業者等
④ ①~③✰親会社及び子会社(「財務諸表等✰用語、様式及び作成方法に関する規則」
(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社をいう。以下同じ。)
⑤ ①~③と同一✰親会社を持つ事業者
⑥ ①~③から委託を請ける等緊密な利害関係を有する事業者
8 情報セキュリティの履行状況の確認に関する事項
本調達に係る業務✰遂行における情報セキュリティ対策✰履行状況を確認するため、 PMDA ✰年次情報セキュリティ監査実施時などで PMDA が本件受注者に対して情報セキュリティ履行状況✰確認が必要であると判断した場合は、以下✰対応を求めるも✰とする。
① 情報セキュリティ履行状況✰報告
PMDA がそ✰報告内容と提出期限を定めて情報セキュリティ履行状況✰報告を求めるも✰とする。
② 情報セキュリティ監査✰実施
PMDA がそ✰実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査を行う(PMDA が選定した事業者による監査を含む。)も✰とする。
受注者は、あらかじめ情報セキュリティ監査を受け入れる部門、場所、時期、条件等を「情報セキュリティ監査対応計画書」等により提示すること。
受注者は自ら実施した外部監査についても PMDA へ報告すること。
受注者は、情報セキュリティ監査✰結果、本調達における情報セキュリティ対策✰履行状況について PMDA が改善を求めた場合には、PMDA と協議✰上、必要な改善策を立案して速やかに改善を実施するも✰とする。
情報セキュリティ監査✰実施については、本項に記載した内容を上回る措置を講ずることを妨げるも✰ではない。
9 再委託に関する事項
① 受注者は、受注業務✰全部又は主要部分を第三者に再委託することはできない。
② ①における「主要部分」とは、以下に掲げるも✰をいう。
1. 総合的企画、業務遂行管理、手法✰決定及び技術的判断等。
2. SLCP-JCF2013 ✰ 2.3 開発プロセス、及び 2.4 ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するも✰。
・ 2.3.1 プロセス開始✰準備
・ 2.3.2 システム要件定義プロセス
・ 2.3.3 システム方式設計プロセス
・ 2.4.2 ソフトウェア要件定義プロセス
・ 2.4.3 ソフトウェア方式設計プロセス
ただし、以下✰場合には再委託を可能とする。
・ 補足説明資料作成支援等✰補助的業務
・ 機能毎✰工数見積において、工数が比較的小規模であった機能に係るソフトウェア要件定義等業務
③ 受注者は、再委託する場合、事前に再委託する業務、再委託先等を PMDA に申請し、承認を受けること。申請にあたっては、「再委託に関する承認申請書」✰書面を作成✰上、受注者と再委託先と✰委託契約書✰写し及び委託要領等✰写しを PMDA に提出すること。受注者は、機密保持、知的財産権等に関して本仕様書が定める受注者✰責務を再委託先業者も負うよう、必要な処置を実施し、PMDA に報告し、承認を受けること。なお、第三者に再委託する場合は、そ✰最終的な責任は受注者が負うこと。
④ 再委託先が、更に再委託を行う場合も同様とする。
⑤ 再委託における情報セキュリティ要件については以下✰とおり。
・ 受注者は再委託先における情報セキュリティ対策✰実施内容を管理し PMDA に報告すること。
・ 受注者は業務✰一部を委託する場合、本業務にて扱うデータ等について、再委託先またはそ✰従業員、若しくはそ✰他✰者により意図せざる変更が加えられないため
✰管理体制を整備し、PMDA に報告すること。
・ 受注者は再委託先✰資本関係・役員等✰情報、委託事業✰実施場所、委託事業従事者✰所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関して、PMDA から求めがあった場合には情報提供を行うこと。
・ 受注者は再委託先にて情報セキュリティインシデントが発生した場合✰再委託先における対処方法を確認し、PMDA に報告すること。
・ 受注者は、再委託先における情報セキュリティ対策、及びそ✰他✰契約✰履行状況
✰確認方法を整備し、PMDA へ報告すること。
・ 受注者は再委託先における情報セキュリティ対策✰履行状況を定期的に確認すること。また、情報セキュリティ対策✰履行が不十分な場合✰対処方法を検討し、 PMDA へ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とするも✰とする。
・ 受注者は、再委託先が自ら実施した外部監査についても PMDA へ報告すること。
・ 受注者は、委託した業務✰終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
10 その他特記事項
(1) 環境への配慮
環境へ✰負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新✰「国等による環境物品等✰調達✰推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能✰低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等✰環境配慮を行うこと。
(2) その他
PMDA 全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もそ✰方針に従うこと。
本業務を応札するにあたり必要となる情報を開示する✰で、希望する者は別紙 4 を参照すること。
11 附属文書
(1) 要件定義書
別紙 1 スケジュール
別紙 2 システム概要図
別紙 3 システム要件
12 窓口連絡先
独立行政法人 医薬品医療機器総合機構 情報化統括推進室共用 LAN システム担当者
電話:03 (3506) 9485
Email:cm-kyoyolan●pmda.go.jp
※迷惑メール防止対策をしているため、●を半角✰アットマークに置き換えてください
別紙1 スケジュール
項⽬ | 12⽉ | 1⽉ | 2⽉ | 3⽉ | 備考 | ||||||||
上 | 中 | 下 | 上 | 中 | 下 | 上 | 中 | 下 | 上 | 中 | 下 | ||
設計・構築期間 | 1⽉20⽇までにVDI基盤をPMDAに引き渡すこと。 | ||||||||||||
VDIマスタイメージチューニング | チューニングはPMDAが実施する。 | ||||||||||||
スモールスタート | 2⽉1⽇より⼀部ユーザで稼働・運⽤テストを実施する。 | ||||||||||||
ドキュメント提出 | ドキュメントを2⽉19⽇までに提出すること。 | ||||||||||||
本運⽤期間 | 2022年3⽉31⽇までを本運⽤期間とする。 | ||||||||||||
各項⽬の期間はPMDAの想定を記載している。詳細なスケジュールは受注者が作成すること。
共用LANシステム
リモートワーク向けVDIの構築業務
別紙2 システム構成図
システム概要図
凡例
応札者が⽤意するもの
VDIサービス提供者インフラ
インターネット Express Route
PMDA データセンタ
Windows10 VDI x600 Active Directory その他管理コンポーネント
ファイアウォール 業務システム
既存Active Directory
L3スイッチ
⾃宅/出張先
⾃宅/出張先インターネット回線
インストールした VDIクライアントソフト
閉域網 (500Mbps以上)
PMDA 新霞ヶ関ビル ネットワーク室
ONU
L3スイッチ
閉域網
ファイアウォール
クライアントPC
(BYOD端末 + ⼀部は管理された端末)
2
業務システム
業務PC
共⽤ LAN システム リモートワーク向け VDI 構築業務
別紙 3 システム要件
1. システムの主要な要件
1.1. システム利⽤者の分類
1.1.1. ⼀般利⽤者
本システムを使⽤する⼀般ユーザ。
1.1.2. システム管理者
インターネット閲覧環境の運⽤管理を⾏うユーザ。⼀般利⽤者としてもシステムを使⽤する。
1.2. 主要な機能
1.2.1. ⼀般利⽤者向け機能
⼀般利⽤者向けに以下の機能を提供すること。
∙ BYOD 端末からの VDI 接続
∙ VDI を利⽤したPMDA 内の業務システムアクセス
1.2.2. システム管理者向け機能
システム管理者向けに以下の機能を提供すること。
∙ ユーザ ID/パスワードを使⽤したユーザ認証及びメール通知によるワンタイムパワードを使⽤した多要素認証を使⽤した VDI の接続制限機能
∙ VDI に接続可能なユーザの制限機能
∙ VDI の利⽤状況の可視化機能
∙ VDI で使⽤するOS イメージの展開機能
1.3. 性能要件
1.3.1. システム利⽤者数
利⽤可能性のあるユーザ数は 600 ⼈を⾒込んで各構成品のサイジングを⾏うこと。利⽤者の⾒直し
は⽉に 1 回⾏う。⽉のユニークな利⽤者数が 600 を超えないことを前提とする。
1.3.2. VDI 仮想マシンのリソース
VDI 仮想マシン 1 台あたり、以下のスペックを満たすこと。
∙ CPU : 2 プロセッサ 1 コアまたは 1 プロセッサ 2 コア
∙ メモリ : 8GB 以上
∙ 仮想マシン記憶領域 : 80GB 以上
∙ 記憶領域(ユーザプロファイルごとの領域) : 50GB 以上
∙ 解像度 : 1920 * 1080 以上
∙ 使⽤可能なディスプレイ数 : 2 台以上
∙ OS : Windows10 LTSB 1607
1.3.3. PMDA との接続に使⽤する WAN 回線の性能
∙ 500Mbps 以上のスループットを有すること。
2. システム構成要素の機能・構成要件
2.1. VDI 盤
VDI 接続及び利⽤を成⽴させるための全ての要素を含む。特段の記載がない限り、受注者が準備・構築する。構成要素を利⽤するにあたり、サーバ証明書が必要な場合は運⽤期間中の使⽤可能なサーバ証明書費⽤、インポート費⽤を構成に含めること。PMDA 内のローカルCA で発⾏する証明書で対応可能な場合はそれでも可とする。サーバ証明書発⾏は PMDA で⾏うので、CSR 及び発⾏に必要な情報を PMDA に提供すること。また、CA 証明書ファイルを PMDA が提供するので、必要なインストール作業を⾏うこと。
2.1.1. 本要件
∙ クライアント PC と VDI 仮想マシン間でのデータ共有を禁⽌し、どちらの⽅向でのデータ転送が不可となるように構成すること。クリップボード、記憶装置、印刷装置の共有・リダイレクトの禁
⽌を想定しているが、データの持ち出しを防ぐ上で必要となる設定が VDI 基盤側にある場合、それらの設定を⾏うこと。尚、これらの制御を⾏うにあたり Active Directory 上の機能を使⽤する必要がある場合、PMDA にて作業を⾏う。受注者は PMDA が作業を⾏うための指⽰書を提⽰し、作業の⽀援を⾏うこと。
∙ Windows Update やアプリケーションの追加、OS チューニングを⽬的として運⽤中に VDI 仮想マシンのイメージ更新を⾏う。イメージ更新を⾏うためのGUI を備えていること。イメージ展開の進捗を確認できること。これらのイメージ更新作業を⾏う際、少なくとも 50%の VDI が利⽤可能なこと。
∙ 過去 3 か⽉の VDI 利⽤履歴をユーザ単位で可視化可能なこと。
∙ アクセス可能な VDI 仮想マシンの集合を複数作成することが可能であり、アクセス可能な集合を
ユーザ単位で設定可能なこと。
∙ VDI 仮想マシンの IP アドレス、DNS サーバ等の基本的なネットワーク設定を⾏う仕組みを備えていること。
∙ VDI 及び認証機能のクラウド設備は⽇本国内において配置され、⽇本法⼈によって運⽤されていること。
∙ ⽇本国内法が適⽤される基盤であること。
2.1.2. Active Directory ドメイン
VDI 端末が PMDA のオンプレミス環境で稼働している既設ドメイン(機能レベルは 2016)に参加できるように構成すること。VDI 基盤上に少なくとも 1 台のActive Directory サーバを構築し、既設ドメインのドメインコントローラとして稼働させること。このドメインコントローラは FSMO としない。
∙ 個別にサーバとして構築する場合、OS は Windows Server2016 (LongTerm)とすること。OS は受注者が⽤意すること。
∙ ドメインに参加するための資格情報⼊⼒はPMDA が実施する。
∙ マルウェアを検出、削除するソフトウェアを⽤いてサーバのマルウェア対策を⾏うこと。
2.1.3. ユーザプロファイル格納領域
VDI 仮想端末で使⽤するユーザプロファイルを保存する領域を VDI 基盤に備えること。ユーザプロファイルをネットワーク経由で読み込むことが可能なこと。
2.1.4. 作成する VDI 仮想マシンの集合
マスタイメージは、⼀般利⽤向けと検証⽤の 2 個を作成すること。なお、最⼤で 5 個まで作成可能
な基盤を⽤意すること。検証⽤の集合に含める仮想マシンの数は 3 台程度を想定している。この数も
600 のうちに含めること。
2.1.5. VDI 接続クライアントソフトウェア
特に認証を必要としないインターネットサイトから⼊⼿可能なこと。
2.1.6. VDI 接続時の認証
∙ VDI に接続するための認証は、PMDA のオンプレミス環境で稼働している既設Active Directoryで使⽤しているアカウントと、そのアカウントに設定されているメールアドレスに送信されるメールから取得できるワンタイムパスワードによる 2 要素認証が必須となるように構成すること。
∙ 2 段階認証においてActive Directory 上のアカウント情報を使⽤する際にPMDA のオンプレミス仮想基盤環境にエージェントソフトウェアが必要な場合、インストール作業は PMDA が実施する。エージェントソフトウェア及びインストールに必要な情報をPMDA に提供すること。尚、使
⽤可能なOS はWindows Server2016 またはRedHatEnterpriseLinux7.5 のいずれかとする。他のOS が必要な場合、受注者がOS を⽤意すること。
∙ 認証通信は暗号化されていること。Radius のような⾮暗号化通信を使⽤する場合、Diameter のような暗号化の仕組みを構築すること。受注者は Diameter による認証を処理するための仕組みを構築すること。
∙ 統合Windows 認証による認証に対応可能なこと。
∙ SAML2.0 及びOpenID Connect1.0 に対応していること。
2.2. VDI 仮想マシン
受注者は VDI 仮想マシンのマスタイメージを作成すること。本紙に⽰す内容を基本構成として、 PMDA にて業務向けソフトウェアのインストールやカスタマイズを⾏う。PMDA が作業を⾏うにあたり、PMDA は VDI 基盤の仕様や受注者が⾏った初期設定に関して質問を⾏うことがあるので対応すること。
2.2.1. OS
Wiindows10 LTSB 1607 により構成すること。OS イメージはPMDA が提供する。またPMDA で保持しているMicrosoft365 E3/E5 に付属する VDA ライセンスを使⽤して良い。実際の認証に使⽤する KMS サーバは PMDA が運⽤しているサーバを使⽤すること。KMS サーバは DNS による探索を禁⽌しているので、VDI 仮想マシン側でKMS サーバを明⽰的に指定すること。
2.2.2. VDI 最適化
OS の各パラメータを VDI ⽤に最適化し、パフォーマンスを向上させること。OS のビジュアル要素は最⼩限のみ有効として良い。また、Windows Search Indexer は使⽤しない。
2.2.3. ⾳声
トラフィックや負荷を考慮し、⾳声をOS レベルで停⽌させること。この設定は解除可能なこと。
2.2.4. L3 ルーティング
デフォルトルートが最終的にPMDA 事務所内の新霞ヶ関ビル内の L3 スイッチまたはファイアウォールに向けられるように構成すること。
2.3. VDI 接続端末
VDI に接続する端末としてWindows10 Home / Windows10 Pro / Windows10 Enterprise、MacOS Mojave 以上を想定すること。VDI 接続端末は Active Directory ドメインには参加しないため、個別のデバイス管理は⾏わないことを想定すること。PMDA 内のローカルCA を使⽤した証明書関連の操作を VDI 接続端末で⾏うこと構成は禁⽌とする。VDI 接続に必要なクライアントソフトウェアは⼀般
利⽤者がインストールする。
VDI 接続を⾏うためのインターネット回線も受注者の準備範囲外とする。
2.4. 閉域網 WAN 回線
VDI 基盤をPMDA と接続するための WAN 回線を⽤意すること。広域イーサネット、IP-VPN どちらでも良い。冗⻑構成は不要とする。WAN 回線を終端する装置をPMDA 側のネットワーク機器と接続すること。物理作業や配線部材の⼿配も受注者作業範囲とする。具体的には PMDA が保持する L2スイッチと接続する。WAN 回線終端装置の設置場所は接続先 L2 スイッチと同⼀もしくは隣接ラックとなる。
必要となる L2 スイッチ及び上位 L3、L4 ネットワーク機器の設定はPMDA が実施する。
2.5. 可⽤性要件
2.5.1. VDI 盤
1 年間あたりの運⽤期間において、600 ⼈が同時に使⽤できる状態を 99%の期間確保すること。あらかじめ定められた計画メンテナンス作業時間は計算に含めないものとするが、サービス停⽌の 240時間以上前にPMDA にメールで連絡のあったもののみ計画メンテナンス作業として認める。
2.5.2. VDI 盤上の管理機能
⼀般利⽤者の仮想マシン利⽤に影響しない管理⽤の機能に関しては機能障害発⽣から 3 ⽇以内に復旧させる体制を取ること。
3. 移⾏に関する要件
3.1. データ移⾏
特にデータ移⾏は想定していない。ユーザプロファイルは本システム⽤に新規作成とする。
4. 保守フェーズにおける特記事項
4.1. OS・アプリケーション復旧対応
VDI 基盤のうち、PMDA から OS レベルで操作が可能な構成要素については運⽤中に Windows Update を⾏うことを予定している。Windows Update が原因で OS が正常に動作しない場合の復旧
⼿段の仕組みを設計すること。例えばバックアップイメージ取得、作業前のスナップショットといったものを想定している。こうした仕組みの実現が困難な場合、受注者は年 1 回まで復旧対応を⾏えるような体制を整えること。
4.2. Active Directory サーバの保守
本調達で構築したActive Directory サーバの運⽤・保守を⾏うこと。
4.3. 仮想端末のイメージ更新、利⽤ユーザ更新
イメージ更新及び利⽤ユーザ更新作業はPMDA で実施する。イメージ更新に必要な操作⼿順を運⽤
⼿順書に記載すること。
4.4. マルウェア検出時の対応
マルウェアを検出した場合の駆除やその後の調査はPMDA が⾏う。マルウェア管理・駆除に関する製品の操作⽅法を運⽤⼿順書に記載すること。