1. 事業名独立行政法人医療品医療機器総合機構情報システム監査業務一式 2. 目的近年インターネットを経由した不正アクセスが続発しており独立行政法人医療品医療機器総合機構 ( 以下

(1)

独立行政法人医薬品医療機器総合機構

情報システム監査業務一式

調達仕様書

平成２５年１月

(2)

1 1. 事業名独立行政法人医療品医療機器総合機構情報システム監査業務一式 2. 目的近年、インターネットを経由した不正アクセスが続発しており、独立行政法人医療品医療機器総合機構（以下、「総合機構」という）の情報システムに関しても総合機構外部並びに内部へのサービスの質を保ち、かつ、サービスを停止しないため、不正アクセス等に対するセキュリティを確保することが求められている。情報システム脆弱性監査業務は、総合機構に設置された Web サーバや Mail サーバ等の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い、情報セキュリティ対策に資することを目的とする。さらに、標的型攻撃への調査・分析を同時に行い、総合機構の標的型攻撃に対する防御力を評価することを目的とする。 3. システム監査対象 (1) ネットワーク監査対象装置 a. 共用 LAN システム例規集サーバ 1 台総合機構 Web サーバ 1 台 Common サーバ 1 台 MailBox サーバ 1 台会計サーバ 1 台人事給与サーバ 1 台 b. 新申請・審査システム DWAP WEB サーバ 1 台ターミナルサーバ 1 台 DB サーバ 1 台 AD サーバ 1 台 c. 安全系システム一般公開サーバ 1 台企業情報サーバ 1 台 PUSH サーバ 1 台 (2) アプリケーション監査対象サイト a. 医療品医療機器総合機構ホームページ(www.pmda.go.jp)

(3)

2 b. 例規集データベース(www.reiki.pmda.go.jp) c. 医薬品医療機器情報提供ホームページ(www.info.pmda.go.jp) d. 日本薬局方・医療機器基準等情報提供ホームページ(www.pmda.go.jp) e. マイ医薬品集作成サービス(push.info.pmda.go.jp) 上記アプリケーション監査対象サイトのページ数（HTML などの静的ページを含む）は、以下の通りです。 A+D www.pmda.go.jp 906 B www.reiki.pmda.go.jp 9 C www.info.pmda.go.jp 1752 E push.info.pmda.go.jp 13 (3) 標的型攻撃調査・評価対象職員数約 1200 名 4. 業務内容本業務は、主に公開サーバを対象とした脆弱性監査業務と、標的型攻撃に対する調査・評価である。監査結果報告書を作成し、総合機構会議室において報告会議を開催すること。なお、検出された脆弱性を改修する作業については本業務に含まれない。 a. プラットフォーム脆弱性監査前項のシステム監査対象装置を対象としたオンサイト監査とする。脆弱性監査の対象は、対象装置の OS・ミドルウェア・一般的なソフトウェアとし、それらの脆弱性の一覧および、対処方法・優先度・具体的な運用の改善点等を記した報告書を作成すること。監査項目の詳細は別紙に記す。 b. 管理者向け聴取による監査総合機構のシステム管理者 5 名に対し、聴取形式による運用面・管理面における脆弱性監査を実施し、管理対象システムごとに脆弱性・問題点の一覧および、改善項目・優先度・推奨する運用管理手法等を記した報告書を作成すること。聴取の内容は別紙に記す。 c. ログ分析監査総合機構の指定の 2 つの Web システムにおいて、過去 3 か月分の Web サーバログを

(4)

3 分析し、攻撃の痕跡を調査すること。検出した攻撃手法ごとの一覧および、攻撃の成功可能性・対処優先度・具体的な運用の改善点等を記した報告書を作成すること。ログ分析の内容は別紙に記す。 d. アプリケーション監査前項のアプリケーション監査対象サイトを対象とした Web アプリケーション監査とする。アプリケーションに起因する各種脆弱性に対する監査を行い、サイト毎に検出された脆弱性一覧、深刻度等を記した報告書を作成すること。監査対象となる脆弱性一覧は別紙に記す。 e. Bot 感染検査アンチウイルスソフトウェアでは検知できない Bot タイプのマルウェアに感染した場合の影響を把握するために、実際に Bot タイプのマルウェアを当機構のコンピュータ感染させ、どのような影響があるかを検査する。使用する Bot タイプのマルウェアは、インターネット上に存在する本物のマルウェアを検査実施者が、完全に無害化かつコントロール可能な状態としたものを使用すること。マルウェアは、インターネット上の C&C サーバと通信を行う Bot タイプのマルウェアとし、C&C サーバとの通信プロトコルは http, https に対応すること。さらに、当機構ではプロキシーサーバを使用しているので、プロキシーサーバを使用した環境化でも動作するマルウェアであることが必須である。不測事態にも迅速かつ適切な対応が必要であるため、必ず検査実施者がマルウェアの改変を実施しなければならない。当機構内のコンピュータが Bot に感染しているかを検査するには、動的解析機能を有した実績のある製品を使用する。動的解析は、exe、pdf、マイクロソフトオフィス形式のすべてを対象とすること。動的解析は、当機構内で実施すること（クラウド等への送信は禁止する）。検査パケットの取りこぼしを防ぐため、複数の動的解析を同時に実行できる機能を有すること。 f. 標的型メール訓練標的型メール攻撃に対する当機構職員の対応力および意識の向上をはかるため、標的型メールに相当するなりすましメールを作成し、当機構のスケジュールに従い、訓練メールの送信、Web サイトへのアクセス状況の集計等、業務を行うためのシステム環境を準備し、訓練結果の分析を行うこと。 5. 実施期間及び実施形態契約日から平成２５年３月３１日までとし、受託者が派遣する監査員が実施スケジ

(5)

4 ュールに基づいて業務を行う。受託者は提出する「実施手順書」の実施体制図に基づき監査員を派遣する。 6. 提出物及び提出期限当該業務を遂行するにあたり、以下の提出物を作成し提出すること。（様式任意）（1）実施計画書契約日から、2 週間以内に総合機構担当者へ提出すること。実施計画書は以下の項目を含むこと。 a. システム監査対象機器一覧総合機構担当者と協議の上、対象となるシステム、機器、サイトの一覧を業務内容単位で記載すること。 b. 使用ツール、機器一覧本業務を遂行するために使用するツール、機器を明記すること。 c. システム監査全体スケジュール総合機構担当者と協議の上、監査業務全体のスケジュールを作成すること。 d. 体制図本業務を遂行するための体制を記載すること。 e. 実施工程監査、聴取の実施要領を記載すること。（2）監査結果報告書監査結果報告書は以下の内容を含むこと。 a. 監査結果報告書監査対象システム全体および、機器ごとの考察と推奨される対策をまとめたもの。聴取検査における監査項目ごとに、考察と推奨される対策をまとめたもの。ログ分析における検出された攻撃タイプごとに、考察と推奨される対策をまとめたもの。 b. プラットフォーム脆弱性一覧プラットフォーム監査の結果を元に、機器ごとに検出された脆弱性を記載し、対応方法、優先度を一覧で記載すること。

(6)

5 c. 聴取結果レポート（担当者毎、全担当者比較）担当者毎の聴取結果の一覧と監査員のコメントを一覧で記載すること。また、担当者毎アセスメントの差異を識別可能なグラフ等を記載すること。一覧には、問題点、対応優先度、改善項目、推奨する運用管理方法を含めること。 d. ログ分析監査結果レポート攻撃に分類されるアクセス履歴を一覧で記載すること。また、攻撃が成立した可能性を分析し、対応優先度、具体的な改善方法を記載すること。 e. アプリケーション監査レポートアプリケーション監査の結果を元に、監査対象サイト毎に検出された脆弱性を記載し、その脆弱性に対する一般的な対応方法、優先度を一覧で記載すること。 f. 標的型攻撃感染調査レポートマルウェア感染による当機構の影響を一覧で記載し、且つこれらに対して推奨する運用管理方法も記載すること。また、動的解析機能を用いた製品での感染調査に関しても同様とする。 g. 標的型メール訓練レポート標的型メールの開封率・開封者などの傾向が視覚的に分かるレポートをまとめること。（3）各種証跡監査を行った証跡となるデータはすべて納品すること。納入品目は以下のとおりとする。監査結果報告書用紙 2 部、CD-R 2 個 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則（平成 15 年経済産業省告示第 113 号）第 4 条に規定する情報セキュリティ監査企業台帳（平成 23 年度登録分）に登録されている者であること。国、独立行政法人、政府系特殊法人、都道府県等地方自治体、自社以外の企業、海外の医薬品・医療機器の規制当局において、情報システム監査業務を過去 2 年以内に請け負った実績を有し、且つ本業務を履行できること。また、これら実績

(7)

6 を証明できること。

(2)

情報セキュリティを確保する観点から、（財）日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム（ISMS）の認証を受けていること。

(3)

成果物の品質保証の観点から、（財）日本適合性認定協会または海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること。 (4) 入札参加者が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等について関わっていないこと。 (5) 脆弱性監査業務は、監査対象が前年とほほ同じであり、新たな観点による監査結果を導くため、前年度において当該監査業務を落札した業者は、応札できないものとする。 (6) 受注者は、統括責任者（業務全体を統括する責任者）、監査人（業務完了まで継続して事業の実施を行える者であって、業務の実施にあたっての責任者）、監査補助者（監査人の配下に属する者であって、個々の業務を行う者）、アドバイザー（業務の品質を管理する者）からなる、監査チームを編成すること。各者の氏名、所属部署及び連絡先とともに、各者の経歴、専門分野、各種保有資格等について、契約締結後５日以内に機構に提出し、了承を得ること。本監査業務の開始後、適切な業務が実施できないと監査チームが判断した場合には、受注者は、監査チーム体制を変更すること。なお、受注者は、体制を変更する際は、監査業務の遂行に影響がでないようにするとともに、変更に要した費用については、自らが負担すること。 (7) 監査チームには、財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005)対応 -（平成 20 年 1 月 31 日）「5.2.2 教育・訓練、認識及び力量」で明らかにされている資格の要件を備えた専門家が 2 人以上含まれていること。 (8) 監査チームには、監査の効率と品質の保持のため次のいずれかの実績（実務経験）を有する専門家が 1 人以上含まれていること。 a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング (9) 入札参加者が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等について関わっていないこと。 (10) 本業務による納品物の中立性・客観性を確保するため、本業務において検査対象となっているＷｅｂアプリケーションの構築及び開発、保守等に参画していないこと。また、その親会社及び子会社、同一の親会社を持つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする。 (11) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有していること。 (12) 取り扱う情報がセキュリティに関するものとなるため、最低限応札者の事務所では個人毎に配布された ID カード等による入退室管理が行われていること

(8)

7 (13) 標的型攻撃に対する防御力を評価するに際して、BCP の観点でのアドバイスも必要とするため、事業継続協会認定プロフェッショナル(SBCI)を監査メンバーに 1 名以上加えること。 (14) 信頼性を確保するため、導入実績として、1000 人以上の標的型メール訓練・教育を 5 組織以上有していること。 (15) 脆弱性監査業務の実施は、正確性の確保のためにツールだけでなく、必要に応じて手動でも行うこと。特にツールが検知した内容については、誤検知を減らすために手動により精査すること。また、Web アプリケーションの仕組み上、ツールが使用できないと判断される場合には、手動にて監査を実施すること。 8. 落札者決定方法一般競争入札にて決定する。 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求、要望等がある場合は、原則文書にて行うこと。 (2) 業務にあたり、総合機構から提供された又は知り得た総合機構の内部情報はすべて、他の用途に転用してはならず、契約期間中に指示する方法で破棄しなければならない。この契約終了後も同様とする。特に、機密情報（総合機構より明確に機密と指定されて開示される情報で、公には入手できない情報）については、別に『機密保持誓約』を締結し、これを遵守しなければならない。 (3) 技術的検証については、対象情報システムの運用に対し、支障及び損害を与えないように実施するものとする。また、本業務における検査を実施した後、総合機構のすべての機能が正常に動作する確認作業を支援すること。また、現在運用しているその他のシステム、機器等に影響を与えないこと。納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合、現地へ１時間以内に技術員を派遣し現行システム保守業者と調整の上、システム復旧が対応できる体制を維持すること。 (4) 総合機構の求めに応じ、総合機構との打合せを実施すること。 (5) 本仕様書に掲げられている事項の他、本業務を遂行するために必用な事項は総合機構担当者と協議の上、実施すること。 (6) 本業務を遂行する上で発生した書面（電子媒体を含む。）、その他、類似の派生物（企画等の構想も含む。）は、一切の著作権、所有権及び使用権を総合機構に帰属するものとする。ただし、本契約締結前より受託者または第三者が有する著作権等の知的財産権及びノウハウ等については受託者または第三者に留保されるものとする。

(9)

8 また、成果物の著作人格権は行使しないことを契約書にて締結することとする。 (7) 受託者は、この契約に基づく業務を処理するために総合機構から提供された資料等を、総合機構の承諾なく複写及び複製してはならない。また、契約終了後は、速やかに総合機構に返還しなければならない。なお、提供された資料のうち、個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは、施錠した保管庫等で保管する等大切に管理しなければならない。 (8) 本業務に必要な機器類の調達、通信費等は、本契約に含めるものとする。 10．窓口連絡先独立行政法人医薬品医療機器総合機構情報化統括推進室飛知和康史電話：03 (3506)9485 Email：[email protected]

(10)

9 別紙監査項目一覧 A. プラットフォーム脆弱性監査監査項目概要アカウントユーザアカウントおよびパスワード管理の妥当性 CGI スクリプト等セキュリティ脆弱性を持つ CGI スクリプトの存在を調査各種サービスサーバ上で稼働する各種サービスの脆弱性データベースデータベースアプリケーションに存在する脆弱性セキュリティ設定 Linux および Windows のセキュリティ設定の脆弱性各種ソフトウェアサーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 Web サーバ WWW サーバに存在するセキュリティホールをチェックする監査バックドア攻撃者がシステムに仕掛けたバックドアプログラムの検出サービス妨害耐性 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性を監査 B. 管理者向け聴取による監査監査項目概要個人情報および機密情報保護個人情報や機密情報等、保護すべき情報の定義、取扱規定に関する監査安全な認証機能の利用各種認証機能（パスワードポリシー含む）の運用に関する監査証跡保全各種ログの取得、保管等に関する監査管理用クライアント運用に利用するクライアント環境に関する監査サービス妨害攻撃対策サービス妨害攻撃に対する準備、検知、対策に関する監査監視・分析ネットワーク監視、異常発生時の対応に関する監査マルウェア対策マルウェアへの対策、対応に関する監査標的型攻撃対策標的型攻撃対策に関する監査インシデントレスポンスインシデント発生時の対応、事業継続に関する監査 C. ログ分析監査監査項目概要 SQL インジェクション SQL インジェクションを試行するアクセス痕跡を検出 OS コマンドインジェクション OS コマンドインジェクションを試行するアクセス痕跡を検出ディレクトリトラバーサルディレクトリトラバーサルを試行するアクセス痕跡を検出クロスサイトスクリプクロスサイトスクリプティングを試行するアクセス痕跡を検出

(11)

10 ティング総当たり攻撃の検出ベーシック認証に対するブルートフォース攻撃などを検出ステータスコード分類 500 エラー、404 エラーなどを検出サンプルスクリプト等を対象とした攻撃脆弱性が残存したままの、IIS や Apache のサンプルスクリプト等に対するアクセス痕跡を検出 D. アプリケーション監査検査項目概要認証: 総当たり攻撃管理者アカウントへの総当たり攻撃影響度を検証認証: 不適切な認証正常なログイン処理を介さずにログイン後の画面にアクセスできてしまうかを検証 Authorization: インデクシング/セッションの推測アクセス制御を行うための認可に使用するインデックス番号やセッション番号が推測可能か検証 Authorization: 不適切な許可設定の不備等で不適切な許可がされないか検証 Authorization: 不適切なセッション期限 Cookie に保存されたセッション情報を盗み出すことができないか検証 Authorization: セッションの固定セッションを固定化されて、第三者のセッションハイジャックが可能か検証クライアント側攻撃: コンテンツのなりすましコンテンツのなりすましによるフィッシング攻撃が成立するか検証クライアント側攻撃: クロスサイトスクリプティング第三者により任意のスクリプトが実行されるクロスサイトスクリプティング脆弱性が存在するか検証コマンドの実行: バッファオーバーフローバッファオーバーフローの脆弱性が存在するか検証コマンドの実行: 書式文字列攻撃プログラムをクラッシュさせたり、不正なコードを実行させたりする書式文字列攻撃脆弱性が存在するか検証コマンドの実行: LDAP インジェクション LDAP インジェクション脆弱性が存在するか検証コマンドの実行: OS 命令 OS コマンドインジェクション脆弱性が存在するか検証コマンドの実行: SQL インジェクション SQL インジェクション脆弱性が存在するか検証コマンドの実行: SSI インジェクション SSI インジェクション脆弱性が存在するか検証

(12)

11 コマンドの実行: XPath インジェクション Xpath インジェクション脆弱性が存在するか検証情報の開示: ディレクトリインデクシングディレクトリ Index が外部から参照可能か検証情報の開示: 情報遺漏ユーザ名、パスワードなど秘密情報が外部に公開されていないか検証情報の開示: パストラバーサル本来公開されないはずのファイルが公開される脆弱性が存在するか検証情報の開示: 推測可能なリソースの位置内部のリソースが簡単に推測できる脆弱性が存在するか確認論理攻撃: 機能の悪用 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証論理攻撃: サービス拒否攻撃サービス拒否攻撃に対する耐性を検証アプリケーションプライバシーテスト暗号化の有無などを検証アプリケーション品質テストデバッグ情報の収集などを検証