仮想デスクトップシステム設計構築委託 - 仕様書枚方市情報推進課

(1)

仮想デスクトップシステム

設計・構築委託

－仕様書―

(2)

１．業務名仮想デスクトップシステム設計・構築委託２．業務の目的本市には市民情報を管理する基幹系ネットワーク（以下、住基系）、LGWAN系ネットワーク(以下、内部系)、インターネット接続可能なネットワーク（以下、インターネット系）の３種類のネットワークがある。セキュリティ強靭化の対応として、仮想デスクトップ技術が利用可能な機器一式を導入することで、住基系・内部系間の画面転送、内部系・インターネット系間の画面転送を実現し、２つのネットワーク間を安全に１端末で操作できるようにする。３．委託内容仮想デスクトップシステムにおける設計・構築作業に関する委託作業の全て。当該サーバを発注者において利用可能な状態とする設計・設定・構築作業を含むものとする。機器・ミドルウェアは発注者にて準備する。【システム概要図】 ※黄色く塗った部分が委託範囲

(3)

４．委託の範囲範囲は以下のとおりとする。ハードウェア機器・ソフトウェアのおよびライセンスは発注者にて別途準備するものとする。（１）仮想デスクトップシステムの設計・導入５．契約期間契約締結日から平成２９年３月３１日まで平成２８年度平成２９年度～１１月１２月１月２月３月４月以降６．支払い方法１回払い７．仮想デスクトップシステムについて７．１クライアント環境

・Windows7 Professional、Windows8.1 Professional、Windows10 Professional （1607）に対応すること。また、今後の最新ＯＳに対応すること。

７．２サーバ環境

・発注者にて準備する、仮想デスクトップ構築用サーバ、バックアップサーバの OS(仮想OSも構築済)はWindows Server2012R2 Stdである。OS・ウィルス対策ソフトのみインストールされた状態で準備する。準備完了予定は、平成29年1月末である。・バックアップソフトの設計・設定も本作業の中で行うこと。当該機器、ソフトウェアで実現可能な設計・各種設定・構築を行うこと。・仮想デスクトップを利用するユーザがダウンロードしたファイル等は、調達するストレージに保存するよう設定すること。・構築する仮想デスクトップは、Citrix XenAppであること。７．３仮想デスクトップシステムの機能要件国の示すセキュリティ強靭化への対応を全て満たすとともに、以下の観点に留意し、機能要件を定義すること。設定内容は契約後に別途協議し決定する。 (ｱ) Citrix XenAppを用いたSBC方式の仮想デスクトップシステムであること。 (ｲ) 仮想デスクトップを準備する環境は以下２つとする。・住基系→内部系同時接続２００（住基系設置の端末で、内部系を仮想デス＜保守運用期間＞ (本調達の範疇外) 設計・構築全環境の構築完了契約締結本市での機器設置完了

(4)

クトップで稼動させる）・内部系→インターネット系同時接続５００（内部系設置の端末で、インターネット系を仮想デスクトップで稼動させる） (ｳ) すべての処理を仮想デスクトップのサーバ側で処理し、端末にデータを残さないこと (ｴ) 本市既設のActive Directoryに準じたアクセスコントロールができること。具体的には仮想デスクトップ画面に接続するときに、接続先のAD認証を行えること。また、ActiveDirectoryと仮想デスクトップが関わる部分についての技術情報提供、ならびに技術支援を行うこと。 (ｵ) 接続先のAD認証を行った際、接続先ADに紐付くログオンスクリプトやグループポリシーが実行できること。 (ｶ) 仮想デスクトップサーバは必要サーバをそれぞれ別の物理サーバに配置する等、(ア)に記載の同時接続数に耐えることができ、かつハードウェア障害時にも運用が可能な構成として設計を行うこと。 (ｷ) 本市のWSUSを用いてアップデートする設定を行うこと。 (ｸ) 仮想デスクトップと接続元端末間では画面転送・テキストのみのクリップボード授受を行えること。ファイルのドラッグ＆ドロップは行えないようにできること。 (ｹ) 仮想デスクトップ機能を利用するにあたって、ネットワーク帯域幅の制御が可能であること。 (ｺ) マルウェア等への対策として、仮想デスクトップ管理サーバ上に起動した仮想アプリケーションを定期的に初期化する機能を有すること。 (ｻ) 仮想アプリケーションから印刷を行うと、ローカル端末側で定義されたプリンタやActiveDirectoryに設定されたプリンタに出力できること。本機能にあたっては以下を満たす設計を行うこと。・両面印刷などのプリンタ機能についても使用可能であること・仮想デスクトップ側でプリンタドライバのインストールの必要がないこと・住基系→内部系・内部系→インターネット系で、仮想デスクトップ側で印刷する際に、各ネットワーク間で画面転送用以外のポートをあけなくともよいこと。つまり、印刷用の別ポートをあける必要がないこと。 (ｼ) USBデバイス連携が可能であること。 (ｽ) ログインユーザー毎に、ブックマーク、クッキー、クライアント証明書等を保存できること。 (ｾ) 物理・仮想を問わずバックアップ、リカバリが可能な設定を行うこと。 (ｿ) 仮想デスクトップサーバにMicrosoft Officeをインストールし、仮想ブラウザ上でMicrosoft Office ファイルの参照・編集ができること。 ※Microsoft Officeのライセンスは本市で調達済である。 (ﾀ) 仮想デスクトップサーバにAdobe Readerをインストールするなどし、仮想ブラウザ上でpdf ファイルの参照ができること。

(5)

(ﾁ) インターネット接続は、大阪府セキュリティクラウドを利用する。【システム構成】以下の案１もしくは案２のシステム構成で機器調達を行う予定である。本調達にて、「７．１～７．３」に記載の機能構築を行うこと。・案１＜内部系→インターネット系＞＜住基系→内部系＞ DB サーバ×２（冗長構成） Citirx 管理サーバ×２（仮想） XenApp サーバ×7 （1 台で 75 台の仮想クライアントを処理）ゲストライセンスサーバ用ゲストファイルサーバ用ゲスト Citrix Delivery Controller#1用ゲスト Citrix Delivery Controller#1用バックアップサーバ (ArcServe) 内部系ーインターネット系接続 Cisco ASA （既存機器） ※ FlexStack-Plus モジュールありインターネット系 Active Directory （既存機器） DB サーバ Citrix 管理サーバ×２（仮想） XenApp サーバ×3 （1 台で 75 台の仮想クライアントを処理）ゲストライセンスサーバ用ゲスト Citrix Delivery Controller#1用ゲスト Citrix Delivery Controller#2用バックアップサーバ (ArcServe) 住基系ー内部続 Cisco ASA （既存機器） ※ FlexStack-Plus モジュールあり内部系 Active Directory （既存機器）既存スイッチ ※ FlexSta ck-Plu s モジュールあり既存スイッチ ※ FlexSta ck-Plu s モジュールあり UPS UPS ストレージ機器９Ｄ＋２Ｐ＋１ＨＳ（RAID6）ｽﾀｯｸ構成ｽﾀｯｸ構成ｽﾀｯｸ構成ｽﾀｯｸ構成

(6)

・案２＜内部系→インターネット系＞＜住基系→内部系＞サーバ 1 XenApp サーバ×５（1 台で 100 台の仮想クライアントを処理）ゲスト Citrix Delivery Controller#1用バックアップサーバ (ArcServe) 内部系ーインターネット系接続 Cisco ASA （既存機器） ※ FlexStack-Plus モジュールありインターネット系 Active Directory （既存機器）ゲスト DB サーバ#1 用サーバ２ゲスト Citrix Delivery Controller#2 兼ライセンスサーバ用ゲスト DB サーバ#2 用既存スイッチ ※ Flex Stac k-Pl us モジュールありストレージ機器９Ｄ＋２Ｐ＋１ＨＳ（RAID6） XenApp サーバ×２（1 台で 100 台の仮想クライアントを処理）バックアップサーバ (ArcServe) 内部系ーインターネット系接続 Cisco ASA （既存機器） ※ FlexStack-Plus モジュールありインターネット系 Active Directory （既存機器）サーバゲスト Citrix Delivery Controller#１兼ライセンスサーバ用ゲスト DB サーバ#１用既存スイッチ ※ Flex Stac k-Pl us モジュールあり UPS UPS ｽﾀｯｸ構成ｽﾀｯｸ構成ｽﾀｯｸ構成ｽﾀｯｸ構成

(7)

７．４既存システム連携機能本市が運用する共通基盤システム等との連携方法について設計し、各システムでの設定内容について、Ｑ＆Ａを含めた技術支援を行うこと。７．５セキュリティ要件機能定義にあたっては以下の点に留意すること。 (1) 適切なアクセス制御が実施可能なこと。 (2) 操作者単位でのアクセス権限の設定が可能なこと。 (3) 追跡調査が可能なこと。 (4) 各種ガイドライン、指針等を遵守すること。７．６非機能要件本システムに必要と考えられる以下の非機能要件について考慮すること。 (1) 可用性 (2) 性能・拡張性 (3) 運用・保守性 (4) セキュリティ７．６ネットワーク要件国の示すセキュリティ強靭化の要件等を満たし、セキュリティを十分に考慮した安全な構成となるよう考慮すること。８．管理８．１進捗管理 (1) 作業責任者は構築作業全ての進捗を適切に管理し、必ずシステムを安定的に運用できる状態とすること。そのために進捗管理を徹底し、進捗遅滞が発生した時は、直ちにスケジュールや管理体制の見直しを行い、進捗遅滞の改善方法を発注者に説明すること。 (2) 全体の進捗及び各工程の詳細な進捗をマイルストーン等で可視化した進捗管理表を作成するとともに、進捗割合を含めてわかりやすく資料化し、適切に進捗管理を行い、定例会議等にて発注者に報告を行うこと。 (3) 進捗状況や発注者の要求に応じて資料内容を適時修正し、定例会議にて最新版を提出及び説明を行うこと。定例会議の開催頻度は２週間に１回程度とする。 (4) 定例会議では諸課題や懸案事項についても報告を行うこと (5) 定例会に必要な資料等は出席者分の部数と予備１部を用意すること。 (6) 定例会後は、速やかに議事録を作成し提出すること。８．２課題管理 (1) 各工程における決定事項や課題については、発注者と受注者双方で意思疎通を明

(8)

確にし、課題を共有できるよう課題管理表を作成し、各種決定までの経過や決定事項、課題内容、課題の状態（ステータス）、対応期限・対応予定日及び対処内容・対応日等を記載すること。 (2) 課題管理表は進捗に応じて適時修正し、定例会にて最新版を提出、説明を行うこと。９．導入・構築作業９．１一般事項 (1) 作業時間作業時間は原則として開庁日の午前 9 時から午後 5 時 30 分とする。但し、作業に際して、本市業務や市民サービス等に影響がある場合は、発注者と綿密に日程調整した上で開庁日時以外の時間帯に作業を行うこと。 (2) 作業場所等 ①本システムの設置場所は、本市サーバ室とする。 ②本市サーバ室については、本市の許可を得てから入室すること。 ③本市サーバ室内での作業はサーバ設定等最低限必要な作業のみ行い、必要な作業が終了次第速やかに退出し、サーバ設置・設定に関する以外の作業は行わないこと。なお、サーバ室内で本契約と関係ないサーバ、その他機器・物品等の使用（本市が特別に許可したものを除く）や、サーバ室内での飲食等を禁止する。 (3) 使用機器 ①作業に必要な機器は、すべて受注者で用意することとし、事前に発注者の承認を受けた上で使用すること。 ②本市内に設置する全ての機器について、基本的に USB メモリやリムーバブル HDD 等外部記録媒体の使用を禁ずる。 ③検証やバージョンアップ等の為、外部へのデータ・プログラム等の持ち出し、持ち込みが必要な場合は、本市指定の様式にて申請し、許可を受けた上で、本市職員立会いのもとに行うこと。ただし、本市個人情報の持ち出しは一切許可しない。 ④許可を受けた場合、外部記録媒体等は事前にウイルスチェックを行い、本市サーバ等への接続時に必ず本市職員立会いの上で使用すること。 (4) 法令順守作業においては、関係する法令等を遵守し、安全、衛生等の管理に留意して行うものとする。また、必要な事項は、発注者と協議の上、処理するものとし、その結果は速やかに発注者に報告すること。 (5) 損傷補償作業は全て受注者の責任とし、損傷補償は次のとおりとする。 ①作業中における造営物の損傷等、第三者に与えた損害に対する補償は、受注者の負担とする。 ②作業中における造営物の損傷等、発注者に与えた損害に対する補償は、発注者と協議の上、受注者の負担で修復すること。

(9)

③運搬、搬入中等において、納入物の損傷が発生した場合は、速やかに新たな同品を調達の上、納入すること。９．２作業内容 (1) ＵＰＳ設定・電源管理ソフトを使用して、サーバの電源管理設定を行うこと。UPS とサーバとの通信はネットワーク接続で行うこと。・庁舎及びサーバ室での電源障害発生時には自動で安全に、また順序を考慮して停止（復電した場合は指定した順序で起動）できるよう設定すること。・受電設備点検（計画停電）等の対応を行うための、電源停止・起動マニュアルを作成すること。 (2) 環境構築・検証環境用のシステム構築を行うこと。・本市ネットワークへの接続設定を行うこと。 (3) セキュリティ設定・ソフトウェア及び各機器のセキュリティには十分な注意を払い、設計・設定を行うこと。・バックアップ設定・本システムのバックアップを行えるよう設定を行うこと。（バックアップデータの保存先については別途指定する。）・バックアップ処理が失敗した場合は、その内容を検知できるよう設定を行うこと。 (4) ラック設置・ラックへの機器搭載・電源工事・本市サーバ室内へのサーバラックの設置、およびラックへの機器一式の搭載作業を行うこと。その際は、固定金具で機器を固定し、耐震性を考慮した固定工事を行うこと。・機器導入に必要な電源及びネットワーク接続工事等、必要な付帯設備接続や、必要に応じて既設配線の撤去も本契約に含むこと。ケーブルの調達も含めること。本市で準備する分電盤は、２００Ｖ４個（内部→インターネット用）、１００Ｖ８個（住基→内部用）である。・梱包等に使用するダンボール等不要物はすべて納入者にて持ち帰ること。１０．ＳＥ保守内容ＳＥ保守は、別途契約を行う。１１．瑕疵担保 (1) 瑕疵担保期間は、契約書に記載された期間とする。 (2) 本仕様と相違のある事項が発覚した時点で適切に対処を行うこと。 (3) 障害時において早急に復旧作業を行い、原因を調査し、対策を講ずること。 (4) 運用段階において、本システムに対する質問への回答等、納入業者として当然行うべ

(10)

き対応を誠意的に行うこと。１２．知的所有権等 (1) 受注者は、本システムの使用にあたって発生する権利、所有権、著作権及び使用権が本システムの稼動を妨げることのないように必要な措置を行うものとする。ただし、製作、改修のための著作権使用に関する問題は、全て受注者において処理すること。 (2) 本システムに関する一切の著作権は発注者及び受注者双方にあるものとする。ただし、導入システムの全部又は一部に受注者が既に著作権を有するパッケージが含まれる場合には、その旨を引渡し前に発注者に通知し、当該著作権の取扱いについては、協議の上、定めるものとする。 (3) 本システムに、第三者が権利を有する著作物等（以下、「既存著作物」という。）が含まれる場合は、受注者はその責任において発注者が不利益を与えないこととする。また、そのために必要な手続き等は、受注者の責任において行うこと。この場合、受注者、当該契約等の内容について事前に発注者の承諾を得ることとし、既存著作物等について、当該許諾条件の範囲で使用するものとする。１３．保証 (1) オープンソースソフトウェア等、無償の第三者ソフトウェアに関する不備については、受注者の責任に含まれないものとし、それが原因による不調については、発注者と協議の上、改善、回避の措置を行うものとする。１４．機密保護等 (1) 個人情報の保護に関する法律、関連法令、各種ガイドライン、指針等及び枚方市契約事務規則を遵守すること。 (2) 受注者は、作業開始時に発注者との間で、枚方市個人情報保護条例及び、枚方市情報セキュリティポリシーの規定により、別紙に示す「個人情報の保護に関する覚書」を交わすこと。 (3) 受注者は、以上の事項に違反して発注者又は第三者に損害を与えたときは、その損害全てを賠償しなければならない。発注者が受注者の違反行為につき、第三者から損害の賠償を求められたときも同様とする。１５．納品物 (1) 以下に示す完成図書類一式以下に示す文書は、チューブファイル等で冊子化するとともに電子媒体でも納品すること。なお、納入部数は文書ごとに２部（紙、電子媒体とも）納品すること。 ① 納品物一覧表納品する文書類の一覧を作成すること。 ② 基本設計書・詳細設計書・機能仕様書仮想デスクトップシステムの「基本設計書」「詳細設計書」「機能仕様書」を

(11)

作成し納品すること。 ③ 機器構成表、システム・ネットワーク構成表仮想デスクトップシステムの「機器構成表」「システム・ネットワーク構成表」を作成し納品すること。なお、各構成表は図形化し、感覚的に理解できる形式とすること。 ④ システム操作マニュアル「システム操作マニュアル」を作成し納品すること。なお、エンドユーザにもわかり易く、かつ詳細なものとすることとし、管理者ユーザ・一般ユーザごとに作成すること。 ⑤ 保守管理・運用管理・障害対応マニュアル「保守管理マニュアル」「運用管理マニュアル」「障害対応マニュアル」を作成し納品すること。なお、各マニュアルは詳細に記述すること。また、運用管理、障害対応についてできる限り網羅すること。 ⑥その他マニュアル等その他、必要なマニュアルを作成すること。 ※上記に記載した文書名は仮称であり、各文書に必要な内容が十分に満たされるものであれば、文書名及び様式等は、発注者との協議において決定するものとする。 (2) 納品物に添付される、委託契約に基づき受注者が発注者に納入する各種計画書、設計書、報告書等の成果物は、種類ごとにファイリング等を行い、整理した上で納品すること。特に、内容が同一の納品物は必要部数の納品に留め、必要数以上の納品はしないこと。１６．研修情報推進課（管理者）向けの操作研修を事前に実施すること。研修は、発注者と受注者で協議して研修計画を作成し、それに基づいて実施するものとすること。研修回数は１回とする。研修の事前準備、講師等は受注者が行うものとするが、端末環境や研修場所は発注者で用意する。 ※仮想デスクトップ利用ユーザ向けの研修は不要。１７．特記事項 (1) 本仕様書に記載されていない事項は、都度協議を行い、発注者の決定により対応すること。 (2) 本仕様書の記載内容に疑義が生じた場合は、都度協議を行い、発注者の決定により対応すること。 (3) 本市において必要と認めたときは、作業を変更または中止することができるものとし、この場合、発注者及び受注者の協議により、変更のために必要な期間を別途定めるものとする。

(12)

(13)

仮想デスクトップシステム保守委託

－仕様書―

(14)

１．業務名仮想デスクトップシステム保守委託２．委託内容および範囲セキュリティ強靭化の対応として導入する仮想デスクトップシステムの保守・運用管理に係るＳＥ運用保守作業一式を委託する。対象は次の通り。 ①住基系（市民情報を扱う基幹ネットワーク）・内部系（LGWAN系）の間で構築した仮想デスクトップシステム ②内部系・インターネット系（インターネット接続可能なネットワーク）の間で構築した仮想デスクトップシステム【システム概要図】 ※黄色く塗った部分のＳＥ保守が委託範囲３．契約期間平成２９年４月１日～平成３４年１月３１日（運用開始日より４年１０ヶ月）４．支払い方法平成２９年４月～平成３４年１月まで毎月払いとする。５．ＳＥ運用保守作業の概要５．１保守

(15)

・年数回程度、オンサイトで、各種ログファイルのチェック、サーバのアラートチェック、他簡易なエラーログ有無のチェック、リソースチェック作業を行うこと。仮想デスクトップシステムのサーバ、その他導入機器（UPS等）が作業対象である。チェック結果に問題があれば、対応を行うこと。また、リソースチェックの結果から、 XenApp環境の利用状況の把握、チューニング・増強指針を報告すること。また、本市と協議の上、チューニングを行うこと。・ブラウザ等のバージョンが上がった際はＳＥ保守にて対応を行うこと。詳細は契約後、協議するものとする。・共通基盤システムと仮想デスクトップ環境に関わる範囲について、運用、保守の技術情報提供、ならびに技術支援を行うこと。・完成図書内設定情報の記載の内容や技術相談について、メール及び電話によるQ&A 対応を行うこととし、担当する部署、連絡先、責任者等を明示すること。対応時間は、土日祝祭日及び年末年始(12月29日～１月３日)を除く9:00～17:00とする。・仮想デスクトップシステムに障害が発生した場合、復旧支援作業を行うこと。・使用するソフトウェア製品に関するバグ、セキュリティ対応等のパッチ、バージョンアップ製品がリリースされた場合、その内容の調査を行い適用の可否を発注者に報告すること。・運用開始初年度（平成２９年４月～６月頃）はチューニングが多数発生する可能性があるため、柔軟な対応を行うこと。・運用開始の次年度以降（平成３０年度以降）についても、チューニング等が必要であれば積極的に改善提案を行うこと。５．２その他・ＳＥ運用保守にかかる経費は全て本契約内に含むものとし、追加費用が発生しないこと。・本市からの運用、操作方法等に対しての問合せは、メールにて対応すること。また、障害発生時等の緊急時は、電話による問合せも可能であること。・運用保守作業完了後、作業内容等を文書にて報告すること。６．機密保護等 (1) 個人情報の保護に関する法律、関連法令、各種ガイドライン、指針等及び枚方市契約事務規則を遵守すること。 (2) 受注者は、作業開始時に発注者との間で、枚方市個人情報保護条例及び、枚方市情報セキュリティポリシーの規定により、別紙に示す「個人情報の保護に関する覚書」を交わすこと。 (3) 受注者は、以上の事項に違反して発注者又は第三者に損害を与えたときは、その損害全てを賠償しなければならない。発注者が受注者の違反行為につき、第三者から損害の賠償を求められたときも同様とする。

(16)

７．特記事項 (1) 本仕様書に記載されていない事項は、都度協議を行い、発注者の決定により対応すること。 (2) 本仕様書の記載内容に疑義が生じた場合は、都度協議を行い、発注者の決定により対応すること。 (3) 本市において必要と認めたときは、作業を変更または中止することができるものとし、この場合、発注者及び受注者の協議により、変更のために必要な期間を別途定めるものとする。以上

仮想デスクトップシステム 設計 構築委託 - 仕様書 枚方市情報推進課