独立行政法人医薬品医療機器総合機構
情報システム監査業務
仕様書
平成24年2月
1
目 次
1.事業名 2.目的 3.システム監査対象装置・システム 4.業務内容 5.実施期間及び実施形態 6.提出物及び提出期限 7.応札者の条件 8.落札者決定方法 9.留意事項 別紙 監査項目一覧2 1. 事業名 独立行政法人医療品医療機器総合機構 情報システム監査業務 2. 目的 近年、インターネットを経由した不正アクセスが続発しており、独立行政法人医療 品医療機器総合機構(以下、「総合機構」という)の情報システムに関しても総合機構 外部並びに内部へのサービスの質を保ち、かつ、サービスを停止しないため、不正ア クセス等に対するセキュリティを確保することが求められている。 情報システム脆弱性監査業務は、総合機構に設置された Web サーバや Mail サーバ等 の外部情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイトに対するアプリケーション監査を行い、情報セキュリティ対策に資すること を目的とする。 3. システム監査対象 (1) ネットワーク監査対象装置 a. 共用 LAN システム 例規集サーバ 1 台 総合機構 Web サーバ 1 台 Common サーバ 1 台 MailBox サーバ 1 台 会計サーバ 1 台 人事給与サーバ 1 台 b. 新申請・審査システム DWAP WEB サーバ 1 台 ターミナルサーバ 1 台 DB サーバ 1 台 AD サーバ 1 台 c. 安全系システム 一般公開サーバ 1 台 企業情報サーバ 1 台 PUSH サーバ 1 台 (2) アプリケーション監査対象サイト a. 医療品医療機器総合機構ホームページ(www.pmda.go.jp) b. 例規集データベース(www.reiki.pmda.go.jp) c. 医薬品医療機器 情報提供ホームページ(www.info.pmda.go.jp) d. 日本薬局方・医療機器基準等 情報提供ホームページ(www.pmda.go.jp)
3 e. マイ医薬品集作成サービス(push.info.pmda.go.jp) 上記アプリケーション監査対象サイトのページ数(HTML などの静的ページを含む) は、以下の通りです。 A+D www.pmda.go.jp 906 B www.reiki.pmda.go.jp 9 C www.info.pmda.go.jp 1752 E push.info.pmda.go.jp 13 4. 業務内容 本業務は、主に公開サーバを対象とした脆弱性監査業務である。 監査結果報告書を作成し、総合機構会議室において報告会議を開催すること。 なお、検出された脆弱性を改修する作業については本業務に含まれない。 a. プラットフォーム脆弱性監査 前項のシステム監査対象装置を対象としたオンサイト監査とする。 脆弱性監査の対象は、対象装置のOS・ミドルウェア・一般的なソフトウェアとし、そ れらの脆弱性の一覧および、対処方法・優先度・具体的な運用の改善点等を記した報 告書を作成すること。 監査項目の詳細は別紙に記す。 b. 管理者向け聴取による監査 総合機構のシステム管理者 5 名に対し、聴取形式による運用面・管理面における脆 弱性監査を実施し、管理対象システムごとに脆弱性・問題点の一覧 および、改善項目・ 優先度・推奨する運用管理手法等を記した報告書を作成すること。 聴取の内容は別紙に記す。 c. ログ分析監査 総合機構の指定の2 つの Web システムにおいて、過去 3 か月分の Web サーバログ を分析し、攻撃の痕跡を調査すること。 検出した攻撃手法ごとの一覧および、攻撃の成功可能性・対処優先度・具体的な運 用の改善点等を記した報告書を作成すること。 ログ分析の内容は別紙に記す。 d. アプリケーション監査
4 前項のアプリケーション監査対象サイトを対象としたWeb アプリケーション監査と する。 アプリケーションに起因する各種脆弱性に対する監査を行い、サイト毎に検出され た脆弱性一覧、深刻度等を記した報告書を作成すること。 監査対象となる脆弱性一覧は別紙に記す。 5. 実施期間及び実施形態 契約日から平成24年3月31日までとし、受託者が派遣する監査員が実施スケジ ュールに基づいて業務を行う。 受託者は提出する「実施手順書」の実施体制図に基づき監査員を派遣する。 6. 提出物及び提出期限 当該業務を遂行するにあたり、以下の提出物を作成し提出すること。(様式任意) (1) 実施計画書 契約日から、2 週間以内に総合機構担当者へ提出すること。 実施計画書は以下の項目を含むこと。 a. システム監査対象機器一覧 総合機構担当者と協議の上、対象となるシステム、機器、サイトの一覧を業 務内容単位で記載すること。 b. 使用ツール、機器一覧 本業務を遂行するために使用するツール、機器を明記すること。 c. システム監査全体スケジュール 総合機構担当者と協議の上、監査業務全体のスケジュールを作成すること。 d. 体制図 本業務を遂行するための体制を記載すること。 e. 実施工程 オンサイト監査、聴取の実施要領を記載すること。 (2) 監査結果報告書 監査結果報告書は以下の内容を含むこと。 a. 監査結果報告書 監査対象システム全体および、機器ごとの考察と推奨される対策をまとめた
5 もの。 聴取検査における監査項目ごとに、考察と推奨される対策をまとめたもの。 ログ分析における検出された攻撃タイプごとに、考察と推奨される対策をま とめたもの。 b. プラットフォーム脆弱性一覧 プラットフォーム監査の結果を元に、機器ごとに検出された脆弱性を記載し、 対応方法、優先度を一覧で記載すること。 c. 聴取結果レポート(担当者毎、全担当者比較) 担当者毎の聴取結果の一覧と監査員のコメントを一覧で記載すること。 また、担当者毎アセスメントの差異を識別可能なグラフ等を記載すること。 一覧には、問題点、対応優先度、改善項目、推奨する運用管理方法を含める こと。 d. ログ分析監査結果レポート 攻撃に分類されるアクセス履歴を一覧で記載すること。 また、攻撃が成立した可能性を分析し、対応優先度、具体的な改善方法を記 載すること。 e. アプリケーション監査レポート アプリケーション監査の結果を元に、監査対象サイト毎に検出された脆弱性 を記載し、その脆弱性に対する一般的な対応方法、優先度を一覧で記載する こと。 (3) 各種エビデンス 監査を行ったエビデンスとなるデータをすべて納品すること。 納入品目は以下のとおりとする。 監査結果報告書 用紙 2 部、CD-R 2 個 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則(平成 15 年経済産業省告示第 113 号) 第 4 条に規定する情報セキュリティ監査企業台帳(平成 20 年度登録分)に登録さ れている者であること。 (2) 国、独立行政法人、政府系特殊法人、都道府県等地方自治体、自社以外の企業、 海外の医薬品・医療機器の規制当局において、情報システム監査業務を過去 2 年 以内に請け負った実績を有し、且つ本業務を履行できること。また、これら実績 を証明できること。
6 (3) 監査人、監査補助者、アドバイザー等で構成される監査チームを編成すること。 (4) 監査チームには、財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 270 01:2006(ISO/IEC 27001:2005)対応 -(平成 20 年 1 月 31 日)「5.2.2 教育・ 訓練、認識及び力量」で明らかにされている資格の要件を備えた専門家が 1 人以 上含まれていること。 (5) 監査チームには、監査の効率と品質の保持のため次のいずれかの実績(実務経験) を有する専門家が 1 人以上含まれていること。 a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング (6) 入札参加者が、監査対象となる情報資産の管理及び当該情報資産に関する情報シ ステムの企画、開発、運用、保守等について関わっていないこと。 (7) 本業務による納品物の中立性・客観性を確保するため、本業務において検査対象 となっているWebアプリケーションの構築及び開発、保守等に参画していない こと。また、その親会社及び子会社、同一の親会社を持つ会社並びに受注事業者 等の緊密な利害関係を有する事業者も同様とする。 (8) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を 有していること。 (9) 総合機構に対して資料等の提出を電子メールで求める場合がある。取り扱う情報 がセキュリティに関するものとなり、意図しない送信先への誤送信を回避するた め、応札者側の電子メール送信環境には誤送信対策システムが整備されているこ と。 (10) 取り扱う情報がセキュリティに関するものとなるため、最低限応札者の事務所で は個人毎に配布された ID カード等による入退室管理が行われていること。 8. 落札者決定方法 一般競争入札にて決定する。 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求、要望等がある場合は、原則 文書にて行うこと。 (2) 業務にあたり、総合機構から提供された又は知り得た総合機構の内部情報はすべ て、他の用途に転用してはならず、契約期間中に指示する方法で破棄しなければ ならない。この契約終了後も同様とする。 特に、機密情報(総合機構より明確に機密と指定されて開示される情報で、公に は入手できない情報)については、別に『機密保持誓約』を締結し、これを遵守 しなければならない。 (3) 技術的検証については、対象情報システムの運用に対し、支障及び損害を与えな いように実施するものとする。 また、本業務における検査を実施した後、総合機構のすべての機能が正常に動作
7 する確認作業を支援すること。また、現在運用しているその他のシステム、機器 等に影響を与えないこと。 納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合、現地 へ1時間以内に技術員を派遣し現行システム保守業者と調整の上、システム復旧 が対応できる体制を維持すること。 (4) 総合機構の求めに応じ、総合機構との打合せを実施すること。 (5) 本仕様書に掲げられている事項の他、本業務を遂行するために必用な事項は総合 機構担当者と協議の上、実施すること。 (6) 本業務を遂行する上で発生した書面(電子媒体を含む。)、その他、類似の派生物 (企画等の構想も含む。)は、一切の著作権、所有権及び使用権を総合機構に帰属 するものとする。ただし、本契約締結前より受託者または第三者が有する著作権 等の知的財産権及びノウハウ等については受託者または第三者に留保されるもの とする。 また、成果物の著作人格権は行使しないことを契約書にて締結することとする。 (7) 受託者は、この契約に基づく業務を処理するために総合機構から提供された資料 等を、総合機構の承諾なく複写及び複製してはならない。また、契約終了後は、 速やかに総合機構に返還しなければならない。なお、提供された資料のうち、個 人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティ に係るものは、施錠した保管庫等で保管する等大切に管理しなければならない。 (8) 本業務に必要な機器類の調達、通信費等は、本契約に含めるものとする。 10.窓口連絡先 独立行政法人医薬品医療機器総合機構 情報化統括推進室 企画係 電話:03-3506-9485
8 別紙 監査項目一覧 A. プラットフォーム脆弱性監査 監査項目 概要 アカウント ユーザアカウントおよびパスワード管理の妥当性 CGI スクリプト等 セキュリティ脆弱性を持つ CGI スクリプトの存在を調査 各種サービス サーバ上で稼働する各種サービスの脆弱性 データベース データベースアプリケーションに存在する脆弱性 セキュリティ設定 Linux および Windows のセキュリティ設定の脆弱性 各種ソフトウェア サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 Web サーバ WWW サーバに存在するセキュリティホールをチェックする監査 バックドア 攻撃者がシステムに仕掛けたバックドアプログラムの検出 サービス妨害耐性 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐性 を監査 B. 管理者向け聴取による監査 監査項目 概要 個人情報および機密情 報保護 個人情報や機密情報等、保護すべき情報の定義、取扱規定に関する監 査 安全な認証機能の利用 各種認証機能(パスワードポリシー含む)の運用に関する監査 証跡保全 各種ログの取得、保管等に関する監査 管理用クライアント 運用に利用するクライアント環境に関する監査 サービス妨害攻撃対策 サービス妨害攻撃に対する準備、検知、対策に関する監査 監視・分析 ネットワーク監視、異常発生時の対応に関する監査 マルウェア対策 マルウェアへの対策、対応に関する監査 標的型攻撃対策 標的型攻撃対策に関する監査 インシデントレスポン ス インシデント発生時の対応、事業継続に関する監査 C. ログ分析監査 監査項目 概要 SQL インジェクション SQL インジェクションを試行するアクセス痕跡を検出 OS コマンドインジェク ション OS コマンドインジェクションを試行するアクセス痕跡を検出 ディレクトリトラバー サル ディレクトリトラバーサルを試行するアクセス痕跡を検出 クロスサイトスクリプ クロスサイトスクリプティングを試行するアクセス痕跡を検出
9 ティング 総当たり攻撃の検出 ベーシック認証に対するブルートフォース攻撃などを検出 ステータスコード分類 500 エラー、404 エラーなどを検出 サンプルスクリプト等 を対象とした攻撃 脆弱性が残存したままの、IIS や Apache のサンプルスクリプト等に対 するアクセス痕跡を検出 D. アプリケーション監査 検査項目 概要 認証: 総当たり攻撃 管理者アカウントへの総当たり攻撃影響度を検証 認証: 不適切な認証 正常なログイン処理を介さずにログイン後の画面にアクセスできて しまうかを検証 Authorization: インデ クシング/セッションの 推測 アクセス制御を行うための認可に使用するインデックス番号やセッ ション番号が推測可能か検証 Authorization: 不適切 な許可 設定の不備等で不適切な許可がされないか検証 Authorization: 不適切 なセッション期限 Cookie に保存されたセッション情報を盗み出すことができないか検 証 Authorization: セッシ ョンの固定 セッションを固定化されて、第三者のセッションハイジャックが可能 か検証 クライアント側攻撃: コンテンツのなりすま し コンテンツのなりすましによるフィッシング攻撃が成立するか検証 クライアント側攻撃: クロスサイトスクリプ ティング 第三者により任意のスクリプトが実行されるクロスサイトスクリプ ティング脆弱性が存在するか検証 コマンドの実行: バッ ファオーバーフロー バッファオーバーフローの脆弱性が存在するか検証 コマンドの実行: 書式 文字列攻撃 プログラムをクラッシュさせたり、不正なコードを実行させたりする 書式文字列攻撃脆弱性が存在するか検証 コマンドの実行: LDAP インジェクション LDAP インジェクション脆弱性が存在するか検証 コマンドの実行: OS 命 令 OS コマンドインジェクション脆弱性が存在するか検証 コマンドの実行: SQL イ ンジェクション SQL インジェクション脆弱性が存在するか検証 コマンドの実行: SSI イ SSI インジェクション脆弱性が存在するか検証
10 ンジェクション コマンドの実行: XPath インジェクション Xpath インジェクション脆弱性が存在するか検証 情報の開示: ディレク トリインデクシング ディレクトリ Index が外部から参照可能か検証 情報の開示: 情報遺漏 ユーザ名、パスワードなど秘密情報が外部に公開されていないか検証 情報の開示: パストラ バーサル 本来公開されないはずのファイルが公開される脆弱性が存在するか 検証 情報の開示: 推測可能 なリソースの位置 内部のリソースが簡単に推測できる脆弱性が存在するか確認 論理攻撃: 機能の悪用 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検証 論理攻撃: サービス拒 否攻撃 サービス拒否攻撃に対する耐性を検証 アプリケーションプラ イバシーテスト 暗号化の有無などを検証 アプリケーション品質 テスト デバッグ情報の収集などを検証
