01 見積公告伺（情報セキュリティ監査）

(1)

１．件名及び数量国立大学法人愛媛大学情報セキュリティ監査業務一式平成30年7月1日～平成30年11月30日次の書類を財務部経理調達課調達第一チームへ提出すること。 ①見積書（封をしておくこと）１部 ②誓約書（別紙Ａ）１部 ③履行実績表（別紙Ｂ）１部 ④監査実施体制図（様式任意）１部 ※資格を証明する書類の写しを添付すること。 17時15分 15時00分財務部経理調達課会議室（１）（２）（３）その他不明な点は、財務部経理調達課調達第一チームに照会すること。担当：菊川阿部秀清国立大学法人愛媛大学の見積公告に基づく契約については、国立大学法人愛媛大学会計規則、国立大学法人愛媛大学会計実施規程、国立大学法人愛媛大学契約事務取扱規程、国立大学法人愛媛大学発注工事請負等契約事務取扱細則及び国立大学法人愛媛大学における物品購入等契約に係る取引停止等の取扱要項によるものとする。（関係規則は、本学ウェブサイトhttps://www.ehime-u.ac.jp/disclosure/agreement/に掲載しています。）照会先：TEL (089)927-8880 ６．見積競争の日時及び場所平成30年5月21日国立大学法人愛媛大学財務部経理調達課長見積合せ参加業者から提出された書類等が本学の仕様条件を満たしていないと判断された場合は、落札対象から除外する。５．必要書類の提出期限７．その他平成30年6月11日(月) 平成30年6月18日(月) 記２．履行期間３．仕様書の交付場所４．提出書類等財務部経理調達課調達第一チーム

見積公告

国立大学法人愛媛大学において、下記のとおり役務の提供等について見積合せに付します。

(2)

別紙Ａ国立大学法人愛媛大学殿印平成年月日住所商号または名称役職・代表者氏名平成30年5月21日付け見積公告のあった「国立大学法人愛媛大学情報セキュリティ監査業務一式」につき、弊社落札の場合は、仕様書及び国立大学法人愛媛大学発注工事請負等契約事務取扱細則等に従い、責任をもって業務を行うことを誓約いたします。

誓約書

(3)

別紙Ｂ国立大学法人愛媛大学殿印平成年度 ○○大学情報セキュリティ監査業務平成年度 △△県情報セキュリティ監査業務平成年度独立行政法人□□機構情報セキュリティ監査業務記平成年月日住所商号または名称役職・代表者氏名

履行実績表

弊社の情報セキュリティ監査業務の履行実績について、下記のとおり証明いたします。

(4)

1

仕

様

書

国立大学法人愛媛大学情報セキュリティ監査業務

一式

平成３０年５月

国立大学法人愛媛大学

(5)

2 １．件名国立大学法人愛媛大学情報セキュリティ監査業務一式２．業務の概要国立大学法人愛媛大学（以下「本学」という。）の学外公開サーバ等の脆弱性の把握及びそれらに係る情報セキュリティの確保に関する規則等の整備状況を確認・評価し，次年度以降の外部からの脆弱性に対する対策に活用する。３．業務履行期間及び提出物の提出期限等（１）履行期間履行期間は，平成３０年７月１日から平成３０年１１月３０日までとする。（２）提出物提出物は，監査実施計画書及び監査報告書とする。（３）提出期限等請負者は，上記（２）に掲げる提出物を下記により提出すること。【提出期限】監査実施計画書：監査実施の３営業日前まで監査報告書：平成３０年１１月８日（木）【提出形式】紙媒体及び電子媒体（ＰＤＦ形式）にてそれぞれ一式【提出先】国立大学法人愛媛大学監査室（松山市道後樋又１０－１３）４．被監査部門及び実施場所総合情報メディアセンター及び本部等その他本学が指定する場所５．業務内容以下に示す業務内容を，独立かつ専門的な立場から実施すること。なお，監査は，助言型監査とする。（１）監査実施計画書の作成請負者は，以下の事項を記載した監査実施計画書を作成し，本学担当者と事前に協議を行い承認を得たうえで提出すること。ア監査目的イ監査対象ウ監査の判断基準エ監査実施体制（構成員の所属，氏名，担当する業務内容）オ監査実施時期・期間カ監査実施場所キその他必要とする事項

(6)

3 （２）監査の実施請負者は，本学の学外公開サーバ等の脆弱性の把握及びそれらに係る情報セキュリティの確保に関する規則等の整備状況について以下の監査を実施すること。また，監査の実施記録として，実施日，被監査部門対応者氏名，監査証跡の入手元（被監査部門から提出された資料，監査実施者が直接入手した資料等），確認した項目，評価方法及び結果，発見された問題点，意見等を記載した監査調書を作成し，本学担当者の求めがあれば閲覧に供すること。 ① 評価対象のサーバ及び情報ネットワーク機器等（別紙「評価対象一覧表」参照）における，既知の技術的脆弱性の有無を，以下ア，イ，ウの評価項目について調査すること。【技術的脆弱性の評価項目】ア Web アプリケーション脆弱性評価（例）SQL インジェクション，OS コマンド・インジェクション，HTTP ヘッダ・インジェクション，メールヘッダ・インジェクション，クロスサイト・スクリプティング (XSS)，クロスサイト・リクエスト・フォージェリ（CSRF），ディレクトリ・トラバーサル，ディレクトリ・リスティング，オープンリダイレクタ，認証認可処理，セッション管理，クッキーのセキュア属性不備，クリックジャッキングイネットワークスキャンによる脆弱性評価（例）ネットワーク経路等調査，ポートの開閉状況調査，脆弱性スキャナによる調査ウセキュリティ機器（FW/IPS）の設定値評価（例）業務上不要なサービス又は脆弱性のあるサービスの通信が許可されていないか，業務上不要な Web サイトへの通信または脆弱性のある Web サイトへの通信が許可されていないか，標的型攻撃や APT（Advanced Persistent Threats）等に対するセキュリティ設定が有効になっているか ② 上記①の評価を行ったうえで，当該調査により発見された脆弱性がもたらすと想定される情報セキュリティ上の脅威・リスクについて抽出を行うとともに，本学の脆弱性の発見及び管理に関するプロセス，インシデント発生時の対応に関するプロセスの有効性について，ヒアリング調査（必要に応じ）を実施し，点検・評価を行うこと。 ③ 上記②の点検・評価を行ったうえで，本学情報セキュリティの確保に関する規則等の整備状況について，想定されるリスクに対して回避，低減が可能な内容であるかどうかを点検・評価し，改善が必要と判断した場合にはその内容について助言，提案を行うこと。【評価対象】・評価対象一覧表・国立大学法人愛媛大学情報システム運用基本方針・国立大学法人愛媛大学情報システム運用基本規則・国立大学法人愛媛大学における情報セキュリティ対策基本計画・国立大学法人愛媛大学 CSIRT（情報セキュリティ対策チーム）設置要項・国立大学法人愛媛大学情報システム運用・管理規程・国立大学法人愛媛大学情報格付基準・国立大学法人愛媛大学インシデント対応手順

(7)

4 ・国立大学法人愛媛大学インシデント報告・承認要領・情報セキュリティフロー・部局等情報システムにおける役割一覧・国立大学法人愛媛大学 ICT 活用推進及び情報セキュリティに関する規則（３）監査報告書の作成請負者は，実施した監査に関する全ての事項の結果を正確かつ漏れなく取りまとめ，以下ア～シの事項を記載した監査報告書を作成し，提出すること。監査報告書には，必要に応じ参考資料を添付すること。ア報告書の日付イ請負者の氏名及び代表者印ウ監査対象エ監査実施体制（監査責任者，監査実施者，監査補助者，監査品質管理者氏名含む）オ監査実施日カ監査実施場所キ監査の判断基準ク総合所見ケ個別所見コ具体的な改善提案サ監査報告書の取扱い（利用及び利用者の制限事項）シその他必要とする事項（４）監査報告会の実施請負者は，監査報告書を提出後，本学の総括情報セキュリティ責任者等に対し監査報告会を開催し結果を報告すること。報告に当たっては，改善事項について改善しないことにより発生しうる問題があれば報告すること。なお，報告内容については，事前に本学担当者と協議すること。６．請負者に関する要件以下の要件を全て満たしていること。（１）平成２９年度情報セキュリティ監査企業台帳（経済産業省）に登録されている者であること。（２）監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画，開発，運用，保守等に関わっていないこと。（３）平成２７年４月１日以降に国，地方公共団体，国立大学法人，独立行政法人，地方独立行政法人のいずれかにおいて，情報セキュリティ監査の契約を元請けとして履行した実績を有すること。７．監査実施体制及び構成員に関する要件（１）監査責任者，監査実施者，監査補助者，監査品質管理者等で構成される監査実施体制を整備すること。（２）監査実施体制の構成員には，情報セキュリティ監査に必要な知識及び経験（平成２７年４月１日以降の国，地方公共団体，国立大学法人，独立行政法人，地方独立行政法人にお

(8)

5 ける監査実績）を持ち，下記「ア内部監査分野」に掲げるいずれかの資格を有する者が１人以上含まれていること。また，監査実施体制の構成員には，下記「イセキュリティ技術分野」のいずれかの資格を有する者が１人以上含まれていること。なお，「ア内部監査分野」の資格を有する者と「イセキュリティ技術分野」の資格を有する者は同一人物でなくても可とする。ア内部監査分野・システム監査技術者・公認システム監査人（CSA）・公認情報システム監査人（CISA）・公認情報セキュリティ主任監査人・公認情報セキュリティ監査人イセキュリティ技術分野・情報セキュリティスペシャリスト・情報処理安全確保支援士・公認情報セキュリティマネージャー（CISM）８．業務実施に関する条件（１）請負者は，上記「６．請負者に関する要件」及び「７．監査実施体制及び構成員に関する要件」を満たしていることを証明する書類を提出すること。（２）請負者は，本業務に関連した資料等を持ち帰ることが必要な場合は，事前に本学担当者に必要な資料等の名称，使用目的を記載した書面を提出し，本学担当者の承認を得ること。また，本業務終了後，速やかに返却すること。（３）請負者は，本業務に関連した資料等を複製することが必要な場合は，事前に本学担当者に複製が必要な資料等の名称，使用目的を記載した書面を提出し，本学担当者の承認を得ること。また，本業務終了後，速やかに廃棄すること。（４）請負者は，本業務に関連して入手した資料と業務上知り得た個人情報を含む全ての情報について，本業務の実施中及び終了後においても機密保持のために十分な体制・設備により厳重に管理し，紛失や盗難等による情報漏えいを確実に防止すること。（５）請負者は，本業務に関連して入手した資料と業務上知り得た個人情報を含む全ての情報を第三者に開示してはならない。（６）請負者は，本業務に関連して入手した資料と業務上知り得た個人情報を含む全ての情報の取扱いに関し，本業務に関わる再委託先を含む全ての者に法令，本仕様書に定める事項を遵守させるとともに，その指導及び監督を行わなければならない。９．その他本仕様書に記載のない事項については，本学担当者の指示に従うこと。

(9)

別紙評価対象一覧表アイウ Webアプリケーション脆弱性評価ネットワークスキャンによる脆弱性評価セキュリティ機器（FW/IPS）の設定値評価 1 愛媛大学 https://www.ehime-u.ac.jp/login_50419 www.ehime-u.ac.jp 133.71.200.55 ○ 2 図書館 http://www.lib.ehime-u.ac.jp/ www.lib.ehime-u.ac.jp 133.71.240.116 ○ 3 愛媛大学教育学部附属幼稚園 http://fuyou.edc.ehime-u.ac.jp/ fuyou.edc.ehime-u.ac.jp 133.71.206.52 ○ 4 教育研究者要覧 http://yoran.office.ehime-u.ac.jp/search/index.html yoran.office.ehime-u.ac.jp 133.71.200.57 ○ 5 課程博士（医学）一覧 http://iyokan.lib.ehime-u.ac.jp/dspace/handle/iyokan/1258/browse?type= dateissued&sort_by=2&order=DESC&rpp=20&etal=0&submit_browse=Update iyokan.lib.ehime-u.ac.jp 133.71.240.116 ○ 6 シラバス検索 https://campus.ehime-u.ac.jp/Portal/Public/Syllabus/SearchMain.aspx? campus.ehime-u.ac.jp 133.71.240.79 ○ 7 オフィスアワー（教員への相談） https://campus.ehime-u.ac.jp/Portal/Public/officehour/officehourlist.aspx campus.ehime-u.ac.jp 133.71.240.79 ○ 8 Web何でも相談窓口（学内限定） https://campus.ehime-u.ac.jp/ewise/soudan/index.asp campus.ehime-u.ac.jp 133.71.240.79 ○ 9 GRC | Geodynamics Research Center http://www.grc.ehime-u.ac.jp/en/wp-admin/ www.grc.ehime-u.ac.jp 133.71.206.14 ○ 10 GRC 愛媛大学地球深部ダイナミクス研究センター http://www.grc.ehime-u.ac.jp/wp-admin/ www.grc.ehime-u.ac.jp 133.71.206.14 ○ 11 SPOD - 四国地区大学教職員能力開発ネットワーク https://www.spod.ehime-u.ac.jp/wp/wp-admin/ www.spod.ehime-u.ac.jp 133.71.206.34 ○ 12 kyoushoku http://ed.ehime-u.ac.jp/kyoushoku/wp-admin/ ed.ehime-u.ac.jp 133.71.206.71 ○ 13 テニュア教員育成制度｜愛媛大学 http://ts.adm.ehime-u.ac.jp/wp/wp-admin/ ts.adm.ehime-u.ac.jp 133.71.206.18 ○ 14 加盟校専用｜SPOD – 四国地区大学教職員能力開発ネットワーク http://www.spod.ehime-u.ac.jp/member/wp-admin/ www.spod.ehime-u.ac.jp 133.71.206.34 ○ 15 国立大学法人愛媛大学先端研究・学術推進機構ホームページ http://ipst.adm.ehime-u.ac.jp/pages/wp-admin/ ipst.adm.ehime-u.ac.jp 133.71.206.50 ○ 16 愛媛大学社会共創学部 https://www.cri.ehime-u.ac.jp/cri_k5m4gn7/wp-admin/ www.cri.ehime-u.ac.jp 133.71.206.46 ○ 17 愛媛大学社会共創学部 https://www.cri.ehime-u.ac.jp/wordpress/wp-admin/ www.cri.ehime-u.ac.jp 133.71.206.46 ○ 18 愛媛大学施設基盤部 http://shisetsu.office.ehime-u.ac.jp/contents/wp-admin/ shisetsu.office.ehime-u.ac.jp 133.71.206.70 ○ 19 愛媛大学スチューデント・キャンパス・ボランティア http://scvinfo.csaa.ehime-u.ac.jp/wp/wp-admin/ scvinfo.csaa.ehime-u.ac.jp 133.71.206.39 ○ 20 愛媛大学基金－愛大（あいだい）基金－ http://foundation.office.ehime-u.ac.jp/contents/wp-admin/ foundation.office.ehime-u.ac.jp 133.71.206.81 ○ 21 愛媛大学教育学部附属幼稚園 http://fuyou.edc.ehime-u.ac.jp/wp-admin/ fuyou.edc.ehime-u.ac.jp 133.71.206.52 ○ 22 愛媛大学法文学部 http://www.ll.ehime-u.ac.jp/wp-admin/ www.ll.ehime-u.ac.jp 133.71.206.82 ○ 23 修学支援システムログイン https://campus.ehime-u.ac.jp/portal/LogIn.aspx campus.ehime-u.ac.jp 133.71.240.79 ○ ○ 24 vpn https://vpn1.ehime-u.ac.jp vpn1.ehime-u.ac.jp 133.71.254.4 ○ ○ 25 FW ○ 26 IPS ○ 評価項目 No. 評価対象表題・機器名等 URL FQDN IPアドレス

(10)

請負代金額第１条第２条第３条第４条第５条第６条第７条第８条（１）（２）（３）（４）（５）（６）２第９条２第１０条受注者がこの契約に違反したとき。発注者に特別な事情が生じ、３０日前までに受注者に書面で通知したとき。受注者がこの契約を履行する能力を失ったと発注者が認めたとき。受注者が、私的独占の禁止及び公正取引の確保に関する法律（昭和２２年法律第５４号。以下「独占禁止法」という。）第３条又は第１９条の規定に違反し、又は受注者が構成員である事業者団体が同法第８条第１項第１号の規定に違反したことにより、公正取引委員会が受注者又は受注者が構成員である事業者団体に対して、同法第４９条に規定する排除措置命令又は同法第６２条第１項に規定する納付命令を行い、当該命令が確定したとき。ただし、受注者が同法第１９条の規定に違反した場合であって当該違反行為が同法第２条第９項の規定に基づく不公正な取引方法（昭和５７年公正取引委員会告示第１５号）第６項に規定する不当廉売の場合など発注者に金銭的損害が生じない行為として、受注者がこれを証明し、その証明を発注者が認めたときは、この限りでない。公正取引委員会が、受注者に対して独占禁止法第７条の２第１８項又は第２１項の規定による課徴金の納付を命じない旨の通知を行ったとき。受注者（受注者が法人の場合にあっては、その役員又は使用人）が刑法（明治４０年法律第４５号）第９６条の６又は独占禁止法第８９条第１項若しくは第９５条第１項第１号の規定による刑が確定したとき。受注者は、この契約に関して、前項第４号から第６号の各号の一に該当することとなった場合には、速やかに、当該処分等に係る関係書類を発注者に提出しなければならない。受注者は、受注者が前条第１項の各号（第２号を除く）の一に該当したときは、発注者が契約を解除するか否かにかかわらず、代金額の１０分の１に相当する額を違約金として発注者が指定する期日までに支払わなければならない。前項の規定は、発注者に生じた実際の損害の額が違約金の額を超過する場合において、発注者がその超過分の損害につき賠償を請求することを妨げない。受注者は、本契約によって生じる権利又は義務の全部若しくは一部を、発注者の承諾を得た場合を除き、第三者に譲渡し又は承継させてはならない。ただし、信用保証協会及び中小企業信用保険法施行令（昭和２５年政令第３５０号）第１条の３に規定する金融機関に対して譲渡する場合にあっては、この限りではない。発注者は、受注者が次の各号の一に該当するときは、直ちに契約を解除することができる。

請負契約書（案）

件名国立大学法人愛媛大学情報セキュリティ監査業務一式金円也（うち、消費税額及び地方消費税額円）発注者国立大学法人愛媛大学学長大橋裕一と受注者との間において、上記の監査業務（以下「業務」という。）について、上記の金額で請負契約を結ぶものとする。受注者は、別冊の仕様書に基づき、業務を行うものとする。履行期間は、平成３０年７月１日から平成３０年１１月３０日までとする。完了報告書は、国立大学法人愛媛大学財務部経理調達課調達第一チームに送付するものとする。代金は、検査合格後、適法な請求書を受理した日から６０日以内に１回に支払うものとする。代金の請求書は、国立大学法人愛媛大学財務部経理調達課調達第一チームに送付するものとする。代金に対する消費税額は、消費税法第２８条第１項及び第２９条並びに地方税法第７２条の８２及び第７２条の８３の規定に基づき、代金額に１０８分の８を乗じて得た金額である。契約保証金は、免除する。

(11)

第１１条（１）（２）（３）（４）（５）２３４５６第１２条第１３条第１４条平成年月日発注者松山市道後樋又１０番１３号国立大学法人愛媛大学学長大橋裕一受注者この契約書は、２通作成し、双方で各１通を所持するものとする。受注者は、本業務を第三者に再委託してはならない。但し、予め発注者の承諾を得た場合にあっては、この限りではない。受注者は、発注者が承諾した場合を除き、発注者から提供を受けた秘密情報及び個人情報を複写し、又は複製してはならない。受注者は、秘密情報及び個人情報の漏洩等の事故等が発生し、又は発生する恐れがあると判断した場合は、直ちに発注者へ書面により報告し、その指示に従わなければならない。受注者は、本業務終了時において、発注者から提供を受け、又は受注者自らが収集し、若しくは作成した秘密情報及び個人情報を記録した資料等を保持しているときは、当該秘密情報及び個人情報の消去及び媒体の返却をしなければならない。受注者は、発注者が実施する個人情報の管理状況検査の依頼があった場合は、これに協力しなければならない。受注者は本条１項２号但し書きにより秘密情報及び個人情報の取扱に係る業務を再委託する場合には、再委託先に対して本条１項の措置を講じさせなければならない。受注者は、秘密情報及び個人情報の漏洩等により発注者又は当該個人に不利益を与えた場合は、その損害等に対する賠償の責に任ずるものとする。この契約についての必要な細目は、国立大学法人愛媛大学発注工事請負等契約事務取扱細則を準用するものとする。本契約は日本国の法令に準拠するものとする。また、本契約に関する全ての訴えについては、松山地方裁判所を第１審の専属的合意管轄裁判所とする。この契約に定めのない事項についてこれを定める必要がある場合は、発注者受注者間において協議して定めるものとする。上記契約の成立を証するため、発注者受注者は、次に記名し印を押すものとする。本条でいう「秘密情報」とは、本業務の履行のために発注者が受注者に提示する文書、口頭その他いかなる方法によるかを問わず、受注者に対し秘密情報であることを明示の上で開示された本件に関する一切の情報をいう。本条でいう「個人情報」とは、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別することができるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）をいう。受注者及び従業員は、本業務の取扱を通じて知り得た秘密情報及び個人情報を第三者に漏洩し、又はその他の目的に利用してはならない。なお、これは、業務終了後といえども同様とする。発注者は、受注者が次の各号の一に違反したと認めたときは、契約を解除し、契約解除に伴う損害賠償請求を行うことができる。