見積依頼書（少額）

平成 31 年 1 月 9 日 参加者 殿 支出負担行為担当官 国土地理院長 川 﨑 茂 信

見 積 依 頼 書

下記について請負に付したいので見積書を提出願います。 記 １．件 名 平成３１年度電子地形図提供システムＷｅｂアプリケーション脆弱性 監査作業 １．履行又は納入期限 平成 31 年 7 月 19 日（金） 本案件は、平成 31 年度予算の成立を前提条件とする契約である。契約 締結日は平成 31 年 4 月 1 日とするが、本案件に関する予算成立が平成 31 年 4 月 2 日以降となった場合は、予算成立日とする。また、暫定予 算となった場合は、予算措置が全額計上されているときは全額の契約と するが、全額計上されていないときは全体の契約期間に対する暫定予算 の期間分のみの契約とする。 １．履行又は納入場所 仕様書のとおり １．見積書等提出場所 茨城県つくば市北郷１番 国土地理院総務部契約課契約係 TEL：029-864-4362 １．見積書提出期限 平成 31 年 1 月 24 日（木）12 時 00 分 １．見 積 方 法 契約の相手方の決定に当たっては､見積書に記載された金額をもって契 約価格とするので､見積者は消費税及び地方消費税を含む金額を見積書 に記載すること｡ １．参 加 資 格 (1) 予決令第７０条及び第７１条の規定に該当しない者であること。 (2) 国土地理院長から指名停止を受けている期間中の者でないこと。 (3) 警察当局から、暴力団員が実質的に経営を支配する者又はこれに準 ずるものとして、国土交通省発注の業務等からの排除要請があり、当該 状態が継続している者でないこと。 １．契 約 保 証 金 免除 １．図面（内訳書） 及び仕様書 別添のとおり １．支 払 い 条 件 前払金 無 ―％ 部分払 ―回 １．そ の 他 (1) 参加者は次の注意事項を熟読し承諾のうえ参加したものとみなす。 注意事項：http://www.gsi.go.jp/SERVICE/keiyaku/oc_caution.pdf (2) 仕様書第 15 条に示す書類を見積書と同時に参加資格要件関係記載 書を添えて提出すること。

平成 31 年度 電子地形図提供システム Web アプリケーション脆弱性監査作業

仕様書

（適用範囲） 第１条 この仕様書は、「平成 31 年度 電子地形図提供システム Web アプリケーション脆 弱性監査作業」（以下、「本作業」という。）に適用する。 （目的） 第２条 本作業は、国土地理院情報セキュリティポリシー実施手順書に基づき、国土地理院 が外部に公開する電子地形図提供システム Web アプリケーションにおける情報セ キュリティ上の脆弱性について監査を行い、情報セキュリティ対策強化を支援す ることを目的とするものである。 （使用する規程等） 第３条 本作業で使用する規程等は、この仕様書のほか国土地理院情報セキュリティポリ シー実施手順書とする。 （作業量） 第４条 本作業の作業量は、次のとおりとする。 （１） Web アプリケーション脆弱性監査 2 システム（10 画面程度） （２） 作業報告書作成 1 式 （作業内容） 第５条 本作業の作業内容は、次のとおりとする。 （１） Web アプリケーション脆弱性監査 ① Web アプリケーション・プログラムの脆弱性監査（以下、「本監査」という。） は、Web アプリケーションに対して、以下を含む既知の技術を用い、外部か らの疑似攻撃による侵入テストを実施すること。 ・ＳＱＬインジェクション ・ＯＳコマンドインジェクション ・ディレクトリトラバーサル ・アクセス制御欠如と認可処理欠如の脆弱性 ・クロスサイトスクリプティング ・ＨＴＴＰヘッダインジェクション ・ｅｖａｌインジェクション ・レースコンディション ・バッファオーバーフロー及び整数オーバーフロー 実施時期は平成 31 年 5 月を予定しているが、Web アプリケーションの構築状 況等により予定通りの実施が困難な場合は双方協議のうえ実施時期を決定する

ものとする。 ② 本監査の実施計画（日時の詳細、方法および対象等に関すること）作成に ついて、監督職員と打合せをすること。 ③ 本監査は、上記②に基づき実施すること。 ④ 本監査の結果をとりまとめ、Web アプリケーションのシステム開発担当者 に対して報告すること。なお、結果の報告内容については、以下の項目を 記載すること。 ⅰ．監査対象 ⅱ．監査環境 ⅲ．監査担当者 ⅳ．監査期間 ⅴ．監査手法 ⅵ．監査結果概要 ⅶ．脆弱性別の詳細内容 ⑤ 本監査結果に基づく対策作業のため、報告を受けて改修した Web アプリケ ーションに対して再監査を実施すること。 ⑥ 本監査結果に基づく対策作業のため、各報告実施後 3 ヶ月間は、上記④及 び⑤の報告に対する質疑を受け付けし、回答すること。 （２） 作業報告書の作成 本作業終了後に、履行期間中の作業内容を記述した作業報告書を作成すること。 （打合せ等） 第６条 打合せは、メール及び電話にて行う。 （貸与する規程） 第７条 本作業において貸与する規程は、国土地理院情報セキュリティポリシー実施手順 書とする。なお、資料の貸与時に様式２を、返納時に、様式３を提出すること。ま た資料の貸与及び返納については、郵送にて行う。 （貸与する規程の管理及び使用等） 第８条 貸与する規程の管理及び使用等は、次のとおりとする。 （１） 貸与する規程は、紛失、汚損等のないよう、厳重に管理しなければならない。 また、監督職員の許可なく、これに修正を加えてはならない。 （２） 貸与する規程は、本作業についてのみ使用すること。 （３） 貸与する規程を、第三者に対し再使用、譲渡、転移、複写等を行ってはならな い。 （４） 貸与する規程の使用期間は本作業が終了する日までとし、社内の記憶媒体等に 複写したデータ及び関係する作業データは、終了後に直ちに消去すること。 （納入する成果品及び資料） 第９条 納入する成果品及び資料は、次のとおりとする。なお、電子媒体の成果品に当た っては、事前にウイルスチェックを行い、成果品の安全を確認するとともに、ウイ ルスチェック日時、使用ソフトウェア名及びパターンファイルのバージョンを明 らかにした書面を添付すること。 （１） Web アプリケーション脆弱性監査報告書

① 紙媒体 1 部 ・表紙及び背表紙への印刷内容 標題：「平成 31 年度 電子地形図提供システム Web アプリケーション 脆弱性監査報告書」 納品日： 例)「平成 31 年 7 月 19 日」 発注元：「国土交通省国土地理院」 請負業者名： 例)「○○株式会社」 ・印刷 電子コピー（カラー）、両面印刷 ・紙質 グリーン購入法適用のもの ・寸法 A4 判、10 頁程度 ・仕上げ 縦開き型ファイル綴じ（A4S 判フラットファイル) ② 電子媒体 1 枚 ・ジャケット及びラベル面への印刷内容 標題：「平成 31 年度 電子地形図提供システム Web アプリケーション 脆弱性監査報告書」 納品日： 例)「平成 31 年 7 月 19 日」 発注元：「国土交通省国土地理院」 請負業者名： 例)「○○株式会社」 ・記録媒体 CD-R(650MB) ・記録方式 ISO9660 に準拠した Joliet 形式 ・形式 PDF 形式 （２） 本作業中に得られたすべての資料 1 式 （機密保持） 第１０条 受注者は、本作業に当たって国土地理院が開示した情報及び作業上知りえた成 果品等に関する情報を、本作業の目的以外に使用し、又は第三者に開示、漏洩して はならない。また、機密保持のために必要な措置を講ずるものとする。ただし、公 知の情報及び受注者自らが本作業以外で既に入手していると認められる情報は除 く。 （監督） 第１１条 本作業においては、監督職員が随時監督を行う。監督中に指摘された事項につい ては、速やかに是正するものとする。なお、本作業に疑義が生じた場合、速やかに 監督職員に連絡しその指示を受けるものとする。 （検査） 第１２条 検査は、検査職員が行う。検査の結果、指摘された事項は速やかに是正して再提 出すること。 （実施基準） 第１３条 本作業の実施に際し、本仕様書によらない事項について疑義がある場合は監督 職員と速やかに協議の上、その指示に従うものとする。 （関係法制の遵守）

第１４条 本作業において、関係法令を遵守し作業すること。 （１） 不正アクセス行為の禁止等に関する法律及び行政機関の保有する個人情報の保 護に関する法律その他関係法令ならびに「国土地理院情報セキュリティポリシ ー実施手順書」を遵守すること。なお、「情報セキュリティ遵守同意書」（手順書 様式 1）を監督員に提出すること。 （２） 前項に掲げる法令等に違反した場合には同法令等に則り厳正に対処するものと する。また、「国土地理院情報セキュリティポリシー実施手順書」に違反した場 合には、国土地理院は本契約に関して契約解除その他の必要な措置を講ずるこ とができるものとする。 （応札者に求める要件及び要件を証明する資料等の提出） 第１５条 以下に示す要件をすべて満たすこと。また①～③の要件を満たすことを証明す る書類を、見積書提出期限までに、見積書と併せて提出すること。 ① 経済産業省の「情報セキュリティ監査企業台帳」の「IT 関連業務内容－セキ ュリティ監査」の項目に○印が掲載されていること。（「情報セキュリティ監査 企業台帳」の該当部分の写しを提出） ② Web アプリケーション脆弱性について助言監査の実績が平成 28 年度～平成 30 年度に 3 件以上あること。ただし、完了したものに限る。（様式 1 に記入して 提出）

③ 情 報 セ キ ュ リ テ ィ 管 理 体 制 に つ い て 、 ISO ／ IEC27001:2013 又 は JIS Q 27001:2014 の認証を取得していること。（証明書の写しを提出） ④ 本作業による中立性・客観性を確保するため、本作業の監査対象となるシステ ムの Web アプリケーションの構築、開発、保守、管理に参画していないこと。 （納期及び納入場所） 第１６条 納期及び納入場所は、次のとおりとする。なお納品は郵送にて行う。 （１） 納期 平成 31 年 7 月 19 日（金） 必着 （２） 納入場所 茨城県つくば市北郷１番 国土地理院基本図情報部地図情報技術開発室 （その他） 第１７条 受注者は契約の履行に当たって本作業の意図及び目的を十分理解したうえで、 本仕様書に定める各項目を満足するように努めなければならない。 備 考 この仕様書に疑義のあるときは、総務部契約課契約係を経由して、基本図情報部地 図情報技術開発室調査係に照会すること。

様式１ 平成 年 月 日 国土地理院長 殿 住所 商号又は名称 代表者名 印

平成 31 年度 電子地形図提供システム Web アプリケーション脆弱性監査作業

応札要件適合証明書

弊社は、「平成 31 年度 電子地形図提供システム Web アプリケーション脆弱性監査作 業」仕様書第 15 条（応札者に求める要件及び要件を証明する資料等の提出）に記載され た、Web アプリケーション脆弱性についての助言監査の実績について、平成○○年○○月 ○○日現在、下記のとおり満たしていることを証明いたします。 A 省（官公庁） 平成○○年○○月○○日～平成○○年○○月○○日 B 株式会社（金融機関） 平成○○年○○月○○日～平成○○年○○月○○日 C 株式会社（情報・通信） 平成○○年○○月○○日～平成○○年○○月○○日 ※情報セキュリティ上の機密保持の為、法人の実名の記入が難しい場合は、官公庁、地方公 共団体、民間法人別のみの記入のみでも良い。

様式２ 平成 年 月 日 総括監督員 所属、官職（又は役職）、氏名 殿 会社所在地 会 社 名 代 表 者 印

資料貸与申請書

「平成 31 年度 電子地形図提供システム Web アプリケーション脆弱性監査作業」 を実施するにあたり下記資料を貸与して下さるよう申請します。 記 資 料 名 規 格 単 位 数 量 期 間 備 考 上記の資料を受領しました。 平成 年 月 日 会社所在地 会 社 名 代 表 者 印 注）１．共同企業体の受注に係るものは、会社所在地を共同企業体代表者の会社所在地、 会社名を共同企業体名、代表者を共同企業体代表者名とする。 ２．本書は２部作成し、１部を受領書とする。

様式 ３ 平成 年 月 日 総括監督員 所属、官職（又は役職）、氏名 殿 会社所在地 会 社 名 代 表 者 印

貸与資料返納書

「平成 31 年度 電子地形図提供システム Web アプリケーション脆弱性監査作業」 に使用した貸与資料を下記のとおり返納します。 記 資 料 名 規 格 単 位 数 量 備 考 上記のとおり受領しました。 会 社 名 代 表 者 殿 平成 年 月 日 総括監督員 印 注）１．共同企業体の受注に係るものは、会社所在地は共同企業体代表者の会社所在地、 会社名は共同企業体名、代表者は共同企業体代表者名とする。 ２．本書は２部作成し、１部を受領書とする。

件名： 平成31年度　電子地形図提供システムWebアプリケーション脆弱性監査作業

②業務実績

本誌を含めた上記書類のほか、入札説明書で指定する以下の書類を添付すること ・資格審査結果通知書の写し ・電子入札方式確認書（様式１）　又は　紙入札方式参加願（様式２）

④本作業による中立性・客観性を確保するため、本作業の監

査対象となるシステムのWebアプリケーションの構築、開発、

保守、管理に参画していないこと。

※「情報セキュリティ監査企業台帳」の該当部分の写しを提出すること。

※様式１に記入して提出すること。

※証明書の写しを提出すること。

参加資格要件（仕様書第11条）関係記載書

①経済産業省の「情報セキュリティ監査企業台帳」の「IT関連

業務　内容－セキュリティ監査」の項目に○印が掲載されてい

ること。

Webアプリケーション脆弱性について助言監査の実績が平成28年度～平成30年度に3件以上あるこ と。

③ 情報セキュリティ管理体制について、ISO／IEC27001:2013

又はJIS Q 27001:2014の認証を取得していること。（証明書の

写しを提出）