幅広いアプローチ活動・国際核融合エネルギー研究センター事業用基盤ネットワーク整備仕様書

(1)

IFERC ネットワークへの機能の追加

仕様書

平成

30 年 10 月

国立研究開発法人量子科学技術研究開発機構

核融合エネルギー研究開発部門六ヶ所核融合研究所

核融合炉システム研究開発部 BA 計画調整グループ

(2)

１．件名 IFERC ネットワークへの機能の追加２．目的六ケ所核融合研究所では、幅広いアプローチ活動（以下「BA」という。）協定に基づき、国際核融合エネルギー研究開発センター（以下「IFERC」という。）における基盤ネットワークとして、SINET5 に接続したネットワークシステムを整備し運用している。本契約は、IFERC ネットワークの利便性向上のための機能追加と老朽化した機器の更新を目的とするものである。特に、IFERC ネットワークは、スパコンの利用や運用支援作業など重要な役割を担っており、年間を通して中断することなく運用しなくてはならない。そのため、ネットワークの利用中断を伴う作業は短期間で実施することが求められ、作業終了後は直ちに運用に供するため、計画的に確実に実施することが求められる。３．納期平成３１年２月２８日（木）４．納入場所〒０３９-３２１２青森県上北郡六ヶ所村大字尾駮字表舘２番地１６６国立研究開発法人量子科学技術研究開発機構（以下「量研機構」という。）核融合エネルギー研究開発部門六ヶ所核融合研究所核融合炉システム研究開発部 BA 計画調整グループ（設置場所：計算機・遠隔実験棟１階特殊設備室）５．仕様内容本契約で実施する各作業の詳細を以下に示す。５．１．ドメインの追加・IFERC ネットワークは、外部向けドメイン"iferc.org"を用いている。このドメインに新たなドメインを追加し、既設FW（IPCOM EX2700）及び機器類で利用可能とすること。・新ドメインでは、５．２で示すセグメントを利用可能とし、５．３で示すDNS/web サーバ、５．４で示すmail サーバを利用可能とする。加えて、５．６で示すウィルス対策ソフト管理サーバを含むIFERC ネットワークの保持する各種管理機能を有効とすること。・新ドメインは、作業開始までに量研機構担当者から通知する。５．２．セグメントの追加・新ドメイン用として、以下の追加セグメント案を利用可能とすること。・IFERC ネットワークの既存セグメントはそのまま有効とし、管理セグメント上の各機器から、既存セグメントと追加するセグメントの両方に設置する全機器類を管理監視可能とすること。［追加セグメント］ --- ・新ドメイン用DMZ1（web サーバ等を想定）

(3)

・新ドメイン用DMZ2（特定の外部サーバ類と通信するサーバ・機器等を想定）・新ドメイン用DMZ3（同上）・新ドメイン用DMZ4（同上）・新ドメイン用DMZ5（同上）・新ドメイン用DMZ6（同上）・新ドメイン用イントラセグメント（PC 等を想定）・共有セグメント１（内部メールサーバ等を想定）・共有セグメント２（プリンタ等を想定） --- 上記の各セグメントは、各々独立したセグメントとし、インターネット側及び既存セグメントを含む全てのセグメント間通信は、各々アクセス制限を可能とすること。セグメント割当詳細及びアクセス制限設定詳細は、量研機構担当者と協議し決定すること。５．３．新ドメイン用DNS/web サーバの構築

・OS は、Red Hat Enterprise Linux (RHEL) Server とし、IFERC ネットワーク用仮想サーバ上に構築すること。・DNS は、新ドメイン用セグメント内に設置するサーバ、機器類を管理対象とすること。・web サーバは、http での利用は不可とし、全て https（暗号化通信）とする。・トップページに限り、http での接続を自動的に https へ切り替えること。・https 通信用サーバ証明書は、EV マルチドメインサーバ証明書を用いること。・サーバ上の不要なサービスは停止し、かつ脆弱性対策を確実に実施すること。・運用前に、外部からの脆弱性診断試験を実施し、問題の無いことを確認すること。・McAfee 及び agent をインストールし、McAfee ePolicy Orchestrator （ePO）で監

視が可能なよう設定を行うこと。

・定期バックアップ処理を組み込むこと。バックアップ先はNAS とする。・時刻は、内部NTP サーバを参照し、自動的に時刻同期を行うこと。・監視サーバにおいて、常時監視を可能とすること。

・量研が所有する運用管理ソフト“FUJITSU Software Systemwalker Centric Manager” を用い、監視サーバと連携して常時監視を可能とすること。・管理端末上で、常時監視を可能とすること。・管理端末から遠隔で操作が行えること。・正常動作確認後、フルバックアップを実施すること。なお、バックアップはリストア可能な方式で実施すること。５．４．新ドメイン用mail サーバの構築

・OS は、Microsoft Windows Server 2016 とし、IFERC ネットワーク用仮想サーバ上に構築する。

・既設のIFERC ネットワーク用 Barracuda Spam Firewall と連携し、スパムメール対策を実施すること。なお、Barracuda Spam Firewall の既存設定は有効とし、新ドメイン用mail のスパムチェック機能を追加すること。

・新ドメイン用メールサーバは、一般的なメールソフトを用いたメールの送受信に加え一般的なweb ブラウザを用いた web メール機能を整備すること。

(4)

・http での利用は不可とし、全て https（暗号化通信）とする。

・トップページに限り、http での接続を自動的に https へ切り替えること。・https 通信用サーバ証明書は、EV マルチドメインサーバ証明書を用いること。・サーバ上の不要なサービスは停止し、かつ脆弱性対策を確実に実施すること。・運用前に、外部からの脆弱性診断試験を実施し、問題の無いことを確認すること。・McAfee 及び agent をインストールし、ePO で監視を可能とすること。

・定期バックアップ処理を組み込むこと。バックアップ先はNAS とする。・時刻は、内部NTP サーバを参照し、自動的に時刻同期を行うこと。

・量研が所有する運用管理ソフト “FUJITSU Software Systemwalker Centric Manager”を用い、監視サーバと連携して常時監視を可能とすること。・管理端末上で、常時監視を可能とすること。・管理端末から遠隔で操作が行えること。・正常動作確認後、フルバックアップを実施すること。なお、バックアップはリストア可能な方式で実施すること。５．５．SSL/VPN 接続設定・IFERC ネットワークでは、SSL/VPN 装置として「ASA 5540」、認証装置として「RSA SecurID Appliance」を保有している。これらの装置を用い、外部から SSL/VPN 接続で、新ドメイン用セグメントへの接続が可能となるよう設定を行うこと。なお、ユーザーごと又はユーザグループごとに接続可能なセグメント、サーバを任意に設定可能とすること。・SSL/VPN 接続画面、認証画面等は、全て英語表記とすること。・既存設定のIFERC ネットワーク内セグメントへの接続は有効としたままとすること。・接続記録を含む通信ログは、syslog サーバに保存すること。５．６．ウィルス対策ソフト管理サーバの構築・既存ウィルス対策ソフト管理サーバの老朽化と OS 更新のため、新たなウィルス対策ソフト管理サーバを仮想サーバ上に構築する。OS は、Microsoft Windows Server 2016 とする。・McAfee 管理ツール ePO 最新版をインストールし、PC やサーバ類にインストールされるMcAfee ウィルス対策ソフトの管理監視が可能なよう設定を行うこと。・古い管理サーバ（F-Secure 用と McAfee 用）は廃止し、運用監視対象、定期バックアップ対象から外す設定を行うこと。・新サーバの定期バックアップ処理を組み込むこと。バックアップ先はNAS とする。・IFERC ネットワーク内の F-Secure

をインストールしているサーバ類について、F-Secure をアンインストール後に McAfee をインストールし、ePO で監視を可能とすること。

・McAfee（ePO を含む）のライセンスは QST の保持するものを用いること。・サーバ時刻は、内部NTP サーバを参照し、自動的に時刻同期を行うこと。

・廃止する既存サーバ 2 台は、量研が所有する運用管理ソフト“FUJITSU Software Systemwalker Centric Manager”を用い、監視サーバと連携して常時監視を実施している。これらの設定を変更し、新サーバのみを監視対象とすること。

(5)

・正常動作確認後、フルバックアップを実施すること。なお、バックアップはリストア可能な方式で実施すること。

５．７．仮想サーバへのOS、メモリ他の追加

上記の作業で用いる仮想サーバに、以下のOS とメモリを追加する。

Windows Server 2016 Standard Additional License は、合計で 24 コア分とする。メモリの追加作業は、CE が実施し、作業後に正常動作を確認すること。

品名型番数量

PRIMERGY RX2530 M2 用メモリ

8GB（8GB 2400 RDIMM) PY-ME08SC 3 Windows Server 2016 Standard

Additional License（16 コア） PY-WAS63 1 Windows Server 2016 Standard

Additional License（4 コア） PY-WAS62 2 Red Hat Enterprise Linux Server SV78B08MH 1 IMail Server 25 ユーザー GIMAI120SA700 1 DigiCert EV マルチドメイン証明書（1 年） CTJDG014 1

５．８．管理端末の更新

既存管理端末の老朽化に伴い、新たな機器に更新する。

・交換に伴い、既設の管理端末の撤去、新管理端末の設置及び設定を行い、旧管理端末で動作していた機能はすべて移行すること。

・McAfee 及び agent をインストールし、ePO で監視が可能なこと。・時刻は、内部NTP サーバを参照し、自動的に時刻同期を行うこと。・正常動作確認後、フルバックアップを実施すること。なお、バックアップはリストア可能な方式で実施すること。・新管理端末の設置にあたり、下記以外に必要な物品があれば、本契約で準備すること。なお、下記機器類は、各性能を満たす後継機種や相当品でも可とする。品名型番数量 ESPRIMO D558/T（標準モデル）・CPU：Celeron G4900 以上・内蔵メモリ：4GB 以上・内蔵HDD：500GB 以上・光学ドライブ：スーパーマルチドライブ内蔵型・日本語キーボード付属・リカバリデータディスク、ドライバーズディスク付属 (Windows10 Pro 64bit 版)

・Microsoft Office Personal 2016 付属・DatacloningWizard for Workstation V6.0

1 ライセンス、メディアパック付属

FMVD39001 1 式

５．９．UPS の更新

(6)

・交換作業に際し、正常に動作することを確認すること。・交換後は、電源喪失試験を実施し、正常動作を確認すること。（以下、相当品可）品名型番数量 Smart-UPS RT 5000 PY-UPAC5K3 4 ステップダウントランスフォーマ PY-STA01 4 ５．１０．NAS の設置上記の各サーバ及び既存サーバのバックアップ用として、NAS を設置する。なお、各サーバのバックアップは、既存サーバのバックアップとの兼ね合いも考慮しスケジューリングすること。（以下、相当品可）品名型番数量バックアップ用NAS

SmartNAS 1U/Windows 2016 4TB×4 構成 NSNAN004T04SAN1W6W 1 Power Chute Network Shutdown for

Windows & Linux B5142MX7C 1 ５．１１．無線AP の設置及び LAN ケーブルの敷設・IFERC ネットワークの利用範囲拡大に伴い、以下に示すとおり無線 AP を設置すること。設置に際しては、電波測定を実施し、最適な設定とすること。・設置する無線AP（富士通製 SR-M20AP1）、電源ユニットは量研所有の物品を用いる。なお、設置の伴いLAN 敷設作業、情報モジュラージャック設置作業、LAN ケーブル、情報コンセントボックス、ケーブル保護モール等作業に必要な物品は本契約に含むこととする。用いる情報モジュラージャック、LAN ケーブルは、Cat6 以上とする。・両端の情報コンセント（LAN ケーブル）には、重複しない一意の情報コンセント番号を貼付すること。・設置後、通信試験を実施し、正常動作を確認すること。［無線AP 追加設置場所］ --- ・管理研究棟３階西側壁面上部・IFMIF 棟制御室内壁面 --- ［LAN ケーブル敷設場所］ --- ・管理研究棟３階西側壁面上部（１本、無線AP 用）・同共用プリンタ室（３本）・同３１８号室（２本）・同３１７号室（２本）・IFMIF 棟制御室内壁面（１本、無線 AP 用） ---

(7)

管理研究棟３階は、情報ラック室からLAN ケーブルを敷設すること。管理研究棟３階西側壁面上部には、無線AP 用情報コンセントを設置すること。共用プリンタ室、３１７号室、３１８号室は、既設コンセントの空き部分を用いること。 IFMIF 棟制御室は、室内にメディアコンバータと L2 スイッチを設置し、壁面に無線 AP 用情報コンセントを設置したうえで無線AP 本体を設置すること。作業は、量研機構担当者と協議の上実施すること。（以下、相当品可）品名型番数量 L2 スイッチ 1 ギガ対応レイヤー2 スイッチ SJ318TL214 1 1000BASE-T/X メディアコンバータ DN1800SG2E 4 シングルモードパッチケーブル 2 芯 SC-SC、 1Gbps 対応、 5m － 4 シングルモードパッチケーブル 2 芯 SC-SC、 1Gbps 対応、 1m － 2 ５．１２．方式設計書等の作成上記５．１から５．１２までの作業について、各々作業実施の２週間前までに方式設計書、概略ネットワーク構成図、物理ネットワーク配線図等必要書類を作成し、量研機構担当者に提出すること。本契約で構築したサーバ及びPC 類について、インストール管理台帳を作成し、機器設定書に含めること。インストール管理台帳は、量研機構様式とし別途提示する。５．１３．試験検査要領書の作成上記５．１から５．１２までの作業について、試験実施の２週間前までに試験検査要領書を作成し、量研機構担当者に提出すること。６．運用時の保守６．１．運用時の保守（１）装置の保守・本契約で導入する装置類については、オンサイト保守（平日９時から１７時３０分）を原則とし、平成３１年３月３１日まで対応すること。・保守は、機器の修理・交換・機器の再設定を可能とし、ハードウェア障害対応を４時間以内に着手可能であること。ソフトウェア障害については、量研機構担当者と相談のうえ対応すること。その際に、量研機構担当者にその都度報告すること。・保守作業は、対応後速やかに書面又は電子ファイル形式（Microsoft Word、Excel 又はAdobe PDF 等）にて報告書を作成し、量研機構担当者に提出すること。書面の形式については特に指定しない。また、報告内容について説明が求められた場合には、迅速に対応すること。

(8)

（２）ファームウェア類のバージョンアップ本契約で導入する装置類について、ファームウェア類のバージョンアップが提供された場合は、速やかに情報提供を行うとともに、アップデートの手順も含めて提供すること。（３）脆弱性を含む障害情報や技術情報の通知脆弱性情報や障害レポート、各種技術情報など導入機器に関する情報が公開された場合は、その都度情報提供を行うこと。（４）技術相談本契約で導入する装置類について、設定変更や構成変更に伴う技術的な相談などの支援を行うこと。６．２．保守体制保守の実施体制を構築すること。特に、量研機構担当者が故障や問い合わせなど最初に連絡する連絡先及び担当者（電話番号、メールアドレスなど）を保守連絡体制表として作成し提出すること。７．納入品目（１）IFERC ネットワーク一式（２）納入物品本仕様書内に記載の機器、物品類一式（３）提出書類本仕様書に記載の提出書類等（表１提出書類に示す書類等）三式表１提出書類（全て三式提出のこと）書類提出時期摘要 [作業開始前] 作業工程表作業体制表再委託承諾願方式設計書概略ネットワーク構成図物理ネットワーク配線図試験検査要領書打合せ議事録契約後速やかに提出〃作業開始２週間前まで〃〃〃検査の２週間前まで打合せ後速やかに要確認、再委託がある場合１部要確認要確認要確認要確認 [作業実施後及び納入時] 試験検査成績書納入物品リスト作業報告書機器設定書操作手順書保守連絡体制表電子データ試験実施後１週間以内納入時〃〃〃〃〃主要機器の仕様リストを含む機器類の詳細な設定情報等含む提出書類の電子データ等 ※電子データのファイル形式は､Microsoft Word 又は Microsoft Excel 他とする。 ※ページ数の多いものは協議の上、電子ファイル（CD-ROM 等）で提出すること。

(9)

８．検収条件（１）IFERC ネットワーク試験検査要領書に基づく動作試験検査を実施し問題のないこと。（２）納入物品外観検査、員数検査、据付状態等の検査を行い問題のないこと。（３）提出書類本仕様書に記載の提出書類が全て提出されていること。提出書類の記載内容に誤りや不足がないこと。９．保証内容（１）IFERC ネットワーク本仕様で整備した機能及び設定した装置類は、検収後1 年間その性能について瑕疵のないことを保証するものとする。（２）納入物品本仕様で納入した物品類は、検収後1 年間その機能性能等について瑕疵のないことを保証するものとする。１０．品質管理本作業に係る品質保証について量研が監査等を実施する場合はこれに協力すること。１１．秘密保持受注者は、本業務の実施にあたり知り得た情報を厳重に管理し、本作業遂行の目的で受注者及び下請会社等の作業員を除き、第三者への開示、提供を行ってはならない。１２．安全管理（１）六ヶ所核融合研究所内では、作業期間内に本作業以外の案件が進行することから、作業工程等について事前に十分な確認を行うこと。（２）物品の搬入や据え付け調整においては、作業内容の確認及び安全性等について事前に十分な確認を行うこと。なお、必要に応じ量研指定の申請手続きを行うこと。１３．その他本作業の実施においては、量研機構側担当者と十分協議の上、実施することとする。以上