Contract
セキュリティログ監視等業務委託仕様書
電力広域的運営推進機関
目次
2.調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 2
1.調達案件の概要に関する事項
セキュリティログ監視等業務委託
電力広域的運営推進機関(以下「本機関」という。) においては、政府機関全体としてのサイバーセキュリティ強化の取り組み方針等を踏まえ、昨年度までに本機関が所有するシステムについて外部監査やペネトレーションテスト等を実施する等のサイバーセキュリティ対策を実施してきている。
今般、さらなるセキュリティ対策として、ファイアウォール等の通信機器や情報システムのセキュリティログからの異常検出及びアラート通知を行う技術的対策の導入及びセキュリティログの 24 時間監視、相関分析等の監視を行う Security Operation Center(以下「SOC 業務」という。)を導入することとした。
本調達は、本機関内のセキュリティログを 24 時間監視し、相関分析等を行い、以下の効果を実現する。
・対応時間の短縮・・・収集した過去のセキュリティログを調査することで、被害状況の特定までに必要となる人的な作業量を削減し、対応完了までの時間を短縮する。
・被害の低減・・・内部に侵入したマルウェアが外部の C&C サーバと通信を繰り返している段階で、異常を検知して対応することで、重大な情報漏えいの拡大を阻止する。
本仕様書で使用する用語の定義を以下に示す。
表 1-1 用語の定義
用語 | 定義 |
OA システム | 本機関のインターネット接続を唯一保有し、役職員にメール、ファイル共有等の OA 環境を提供するシステム メインサイトとバックアップサイトの 2 拠点に設置している |
既設スイッチ | OA システム内に既に設置されているスイッチ |
C&C サーバ | 悪意のあるソフトウェアに感染したコンピュータ群に指令を送るサーバ |
SOC | 本機関向けにセキュリティログの 24 時間監視、相関分析等の監視を行う 組織又はサービス |
SOC 監視用セキュリテ ィデバイス | 既設スイッチのミラーポートより受信したパケットをもとに、セキュリ ティ検査を行い、ログを記録し、SOC に送信する機器 |
Internet VPN デバイ ス | SOC と暗号化された通信経路を構築するために、サイト間 VPN を提供する 機器 |
メインサイト | OA システムが通常に稼働する東京xx区のデータセンター |
バックアップサイト | OA システムが災害等の大規模障害時にメインサイトから引き継いで稼働 する大阪北区にあるデータセンター |
運用細則 | SOC 業務の運用にあたり、情報を適正に管理し、恒常的に情報セキュリティ対策を維持することを目的に、今後、本機関が定めるシステム運用の基 本的ルール |
本調達における業務・情報システムは OA システムを対象に以下のとおり想定している。
① 既存システムである OA システム内に SOC 監視用セキュリティデバイスが検査するネットワークポイントを設定する。・・・導入時における OA システムに対する必要な設定変更等は本機関にて実施
② SOC 監視用セキュリティデバイスを設置し、OA システムの通信パケットに対して当該デバイスにてセキュリティ検査を実施する。
③ SOC 監視用セキュリティデバイスは各セキュリティ検査で取得したログを SOC にリアルタイムで転送する。
④ SOC は SOC 監視用セキュリティデバイスからのログを取得・保管し、リアルタイムで分析する。
⑤ SOC にてインシデントを検知した場合は本機関に通知し対応を協議する。
詳細については、別紙「セキュリティログ監視等業務委託要求仕様書」を確認のこと。
① 環境構築については、契約締結日から平成 30 年 1 月末まで
② 保守については、機器導入時から平成 35 年 1 月末まで
③ サービスについては、平成 30 年 2 月から平成 35 年 1 月末まで(5 年運用)
2.調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
関連する調達案件は以下のとおり
表 2-1 関連調達案件
項 番 | 調達案件名 | 調達の方式 | 実施時期 |
1 | セキュリティログ監視等業務の要件定義 に係る業務委託 | 一般競争入札 (最低価格落札方式) | 平成 29 年 7 月 |
2 | セキュリティログ監視システム導入に伴 う OA システムの改修 | 随意契約 | 平成 29 年 10 月 |
xx性の観点から上記 2.(1)の項番 1 の受託者は入札制限の対象とする。
作業の実施内容は以下を想定している。
なお、詳細は別紙 「セキュリティログ監視等業務委託要求仕様書」を参照のこと。 A.環境構築
① プロジェクト計画/管理
本作業の実施にあたり、目的、実施体制、役割、作業内容と作業方法、作業スケジュール、リスク管理、情報セキュリティ管理、課題管理、品質管理、人的資源管理、コミュニケーション管理、構成・変更管理等を明確にしたプロジェクト計画書を作成すること
② 要件確認
本機関における要件について、受託者との認識のずれや齟齬がないことを確認すること
③ 設計
確認した要件に基づき、基本設計、運用設計、試験設計、移行設計を行うこと。
④ 構築
設計に基づき、システムをセットアップすること。
⑤ 設置・工事
ラックの設置、電源工事、SOC 監視用セキュリティデバイス、インターネット回線の設置・工事を行うこと。
⑥ 試験
試験設計に基づき、システムの試験を実施すること。また、SOC と連携し、ログファイルの授受や SOC 業務のシナリオ試験を実施すること。
⑦ SIEM ルールのチューニング
試験設計に基づき、システムの試験を実施すること。また、SOC と連携し、ログファイルの授受や SOC 業務のシナリオ試験を実施すること。
B.保守
① プロジェクト計画/管理
本作業の実施にあたり、リスク管理、情報セキュリティ管理、課題管理、品質管理、人的資源管理、コミュニケーション管理、構成・変更管理等を明確にしたプロジェクト計画書を作成すること
② 保守
運用細則及び環境構築作業にて作成した運用設計書に基づき、作業計画書を策定のうえ、導入した機器に関する稼働監視やシグネチャ更新等を実施すること。
C.サービス
① プロジェクト計画/管理
本作業の実施にあたり、リスク管理、情報セキュリティ管理、課題管理、品質管理、人的資源管理、コミュニケーション管理、構成・変更管理等を明確にしたプロジェクト計画書を作成すること
② サービス
運用細則及び環境構築作業にて作成した運用設計書に基づき、インシデントの監視、検知、通知等の業務を実施すること。
A.環境構築
本調達における想定している調達機器(設備)は以下のとおりであり、受託者は作業の詳細スケジュールと併せて、納品予定日をプロジェクト計画書等に記載すること。
また、追加の調達機器(設備)などがあれば提案書に記載すること。
なお、設置場所については、メインサイト及びバックアップサイトの本機関が指定する場所とする。
表 3-1 調達機器(設備)
調達機器(設備) | 数量 |
SOC 監視用セキュリティデバイス | 2 式 |
Internet VPN デバイス | 2 台 |
インターネット回線 | 2 本(5 年分) |
UTP ケーブル、スイッチ | 適量 |
ラック及びラックマウントキット | 2 式 |
B.保守
本調達における想定している保守は以下のとおりである。また、追加の保守などがあれば提案書に記載すること。
表 3-2 保守内容
保守内容 | 数量 |
SOC 監視用セキュリティデバイス | 2 式*5 年分 |
Internet VPN デバイス | 2 台*5 年分 |
C.サービス
本調達におけるサービスは以下のとおりである。
表 3-3 サービス内容
サービス | 数量 |
SOC | 5 年分 |
D.本調達に係る付帯業務
① 成果物・提出物
付帯業務において想定している成果物は以下のとおりであり、受託者は作業の詳細スケジュールと併せて、納品予定日をプロジェクト計画書等に記載すること。
また、追加の成果物があれば提案書に記載すること。
表 3-1 作業の内容と成果物
作業の内容 | 作業の内容 | 成果物 |
A.環境構築 | プロジェクト計画/管理 | プロジェクト計画書 |
進捗管理表 | ||
課題管理表 | ||
リスク管理表 | ||
会議議事録 | ||
設計 | 基本設計書 | |
運用設計書 | ||
試験設計書 | ||
移行設計書 | ||
試験 | 試験結果報告書 | |
B.保守 | プロジェクト計画/管理 | プロジェクト計画書 |
保守 | 作業計画書 | |
月次報告書 | ||
C.サービス | プロジェクト計画/管理 | プロジェクト計画書 |
サービス | 運用マニュアル | |
インシデント報告書 | ||
月次報告書 |
② 納品方法
項番 | 分類 | 要件 |
1 | 言語 | ・成果物は、全て日本語で作成すること。ただし、日本国においても、 英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。 |
2 | 準拠すべき規格 | ・用字・用語・記述符号の表記については、「公用文作成の要領(昭和 27 年4月4日内閣閣甲第 16 号内閣官房長官依命通知)」に準拠すること。 ・情報処理に関する用語の表記については、原則、日本工業規格(J |
IS)の規定に準拠すること。 | ||
3 | 納品形態 | ・成果物は電磁的記録媒体(CD-R等)により作成し、本機関から特別に示す場合を除き、原則電磁的記録媒体は 2 部を納品すること。なお、保守及びサービスの成果物については、メールでの納品も可能とする。 ・紙媒体による納品について、用紙のサイズは、原則として日本工業規格A列4番とするが、必要に応じて日本工業規格A列3番を使用すること。また、バージョンアップ時等に差し替えが可能なようにバインダ方式とすること。 ・電磁的記録媒体による納品について、MicrosoftWord2013 、同 Excel2013 又は同 PowerPoint2013 で読み込み可能な形式、及び PDF 形式で作成し、納品すること。なお。これらは原則として文字列検索機能を活用して文字列が検索可能な状態のものを納品すること。ただし、本機関が他の形式による提出を求める場合は、協議の上、これに応じること。なお、受託者側で他の形式を用いて 提出したいファイルがある場合は、協議に応じるものとする。 |
4 | セキュリティ対策 | ・成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。 ・電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、成果物に不正プログラムが混入 することのないよう、適切に対処すること。 |
5 | 留意事項 | ・納品後、本機関において改変が可能となるよう、図表等の元データも併せて納品すること。 ・成果物の作成にあたって、特別なツールを使用する場合は、本機関 の承認を得ること。 |
③ 納品場所
原則として、成果物は次の場所において引渡しを行うこと。ただし、本機関が納品場所を別途指示する場合はこの限りではない。
x000-0000
xxxxxxxx 0-0-00
電力広域的運営推進機関 総務部情報システムグループ
本調達の実施に当たっては、別紙「セキュリティログ監視等業務委託要求仕様書」の各要件を満たすこと。
本プロジェクト実施に当たり、以下の体制図及びその従事する人数について記載すること
選定事業者
本機関
選定事業者
本機関
選定事業者
本機関
OAベンダ
本機関
サービスチーム
保守チーム
環境構築チーム
OAシステム改修チーム
選定事業者
本機関
プロジェクトマネージャー
選定事業者
本機関
プロジェクト責任者
別紙「セキュリティログ監視等業務委託要求仕様書」に従うものとする。
別紙「セキュリティログ監視等業務委託要求仕様書」に従うものとする。
本機関から受託者に提供する秘密情報及び秘密情報を記録した資料等は、本契約期間中の如何を問わず、第三者に開示、漏えい又は他の目的に使用しないこと。ただし第三者に開示の必要性がある場合は、開示方針や漏えいの防止策を明示し本機関の承認を得ること。
① 本仕様書に示す業務の実施に当たっては、次の文書に記載された事項を遵守すること。ア 政府情報システムの整備及び管理に関する標準ガイドライン
イ 政府機関の情報セキュリティ対策のための統一基準ウ 本機関の情報管理セキュリティ関連規程
② 受託者は、現行情報システムの設計書等を参照する必要がある場合は、作業方法等について本機関の指示に従い、秘密保持契約を締結する等した上で、作業すること。
③ 受託者は、受託業務の実施において、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、個人情報の保護に関する法律等の関連する法令等を遵守すること。
① 本仕様書に則って成果物を提出すること。
② 検査の結果、成果物の全部又は一部に不合格品を生じた場合には、受託者は直ちに引き取り、必要な修復を行った後、指定した日時までに修正が反映された全ての成果物を納入すること。
③ 本仕様書以外にも、必要に応じて成果物の提出を求める場合があるので、作成資料は常に管理し、最新状態に保っておくこと。
① 平成28・29・30年度の競争参加資格(全省庁統一資格)において、「役務の提供等」で等級「C」以上の格付けをされている者であること。
② 各省各庁から指名停止又は一般競争入札資格停止若しくは営業停止を受けていない者であること。
③ 入札説明会に参加した者であること。
④ 予算決算及び会計令(昭和22年勅令第165号)第70条の規定に該当しない者であること。なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。
⑤ 予算決算及び会計令第71条の規定に該当しない者であること。
⑥ 会社更生法(平成14年法律第154号)に基づく更生手続開始の申立て又は民事再生法(平成11年法律第225号)に基づく再生手続開始の申立てがなされている者でないこと(但し、会社更生法に基づく更生手続開始の申立て又は民事再生法に基づく再生手続開始の申立てがなされている者で、手続開始の決定後、競争参加資格の再認定を受けている者を除く)。
⑦ 自己、自社若しくはその役員等(注1)が、暴力団員による不当な行為の防止等に関する法律第2条に定める暴力団、暴力団員又はその他反社会的勢力(注2)でない者であること。
(注1)取締役、監査役、執行役、支店長、理事等、その他経営に実質的に関与している
(注2)暴力団準構成員、総会屋等、社会運動等標ぼうゴロ又は特殊知能暴力集団、暴力団又は暴力団員と社会的に非難されるべき関係を有する者、暴力団員でなくなった時から
5年を経過しない者等、その他これに準じる者。
⑧ 破壊活動防止法に定めるところの破壊的団体及びその構成員でない者であること。
⑨ 入札者又は入札者の協力会社(社名を提出のこと)が経済産業省公表の「平成 28 年度 情報セキュリティ監査企業台帳(2017.5.10 版)」において以下に定める項目に該当すること。
ア 「地域名」に「関東」を登録していること。
イ 「IT 関連業務」に「セキュリティ監査」を登録していること。
ウ 「セキュリティ関連業務」に「セキュリティシステム設計/構築サービス」、「リスク評価/脆弱性評価サービス」及び「システム監査、コンサルティング」を登録していること。
エ 「セキュリティ監査対象の分野・業種」に「公務(官公庁・自治体 等)」を登録しているこ
と。
オ 「監査従事者が持つ取得済監査関連資格」に「公認情報システム監査人(CISA)」,
「公認情報セキュリティ監査人」又は「情報セキュリティスペシャリスト」を登録していること。カ 「取得している監査関連の認証」に「ISMS 適合性評価制度」又は「プライバシーマー
ク(JIS Q 15001)」を登録していること。
⑩ 政府機関の情報セキュリティ対策のための統一基準群について理解し、電力事業者又は行政機関に対するセキュリティログ等監視業務の導入及び運用実績があること。
① 受託者は本仕様書に示す業務の全部又は総合的な企画及び判断並びに業務遂行管理部分を第三者に再委託することは不可とする。また、本業務の契約金額に占める再委託契約金額は、原則 2 分の 1 未満とする。
② 本仕様書「2.(2)調達案件間の入札制限」に該当する事業者は本項における再委託先となることはできない。
③ 受託者は、知的財産権、情報セキュリティ(機密保持及び遵守事項)、xxxxx等に関して本仕様書が定める受託者の債務を、再委託先事業者も負うような必要な処置を実施すること。
④ 再委託者、再委託者が業務を委託する第三者(以下「再々委託者」という。)及び再々委託者が業務を第三者へ委託する場合の責任は受託者が負うこと。
⑤ 以下に示すものについても本仕様書「6 作業の実施に当たっての遵守事項」に示した事項を遵守させること。
ア 再委託者 x 再々委託者
ウ 再々委託者が業務を委託する第三者
① 本業務の実施の一部を合理的な理由及び必要性により再委託する場合には、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性、契約予定金額について本機関に提出し、承認を受けること。
② 再委託の相手方からさらに第三者に委託が行われる場合には、当該第三者の商号又は名称及び住所並びに委託を行う業務の範囲について本機関に提出すること。
・本仕様書は、受託者に業務遂行を求める最低限の基準を示したものである。したがって、本仕様書に記載していない事項であっても、本調達に必要と認められる事項は、本機関と追加負担を含め協議の上、これを行うこと。
・本件受託後に本仕様書の内容の一部について変更を行おうとする場合、その変更の内容、理由等を
明記した書面をもって、本機関に申し入れを行うこと。
・受託者は、業務の遂行に当たり、本機関の作業負荷等を十分考慮すること。
・受託者のプロジェクトマネージャーは、業務の円滑な運営を図るため、本機関との連絡を密にして業務を遂行すること。
・本機関から貸し出された資料又は支給を受けた物品等については、善良なる管理者の注意をもって保管及び管理するものとし、紛失又は破損の場合直ちに本機関に報告し、本機関の指示に従って措置を講ずること。
・受託者は、常に作業場所を整理・整頓し、安全に留意して事故の防止に努めるとともに、労働基準法、労働安全衛生法等を遵守して安全の徹底を図り、作業を行うこと。
・受託者が行う提案や報告及び相談等は全て書面を持って実施し、内容については、本機関の承認を得ること。
・本仕様書に記載したスケジュールは現時点での想定である。スケジュール変更があった場合の対応については、本機関と協議の上、決定すること。
別紙「セキュリティログ監視等業務委託要求仕様書」
以上