1
平成
28 年度 情報システム監査業務
調達仕様書
独立行政法人
医薬品医療機器総合機構
2 1. 事業名 平成28年度情報システム監査業務 2. 目的 近年、インターネットを経由した不正アクセスが続発しており、独立行政法人医薬品 医療機器総合機構(以下「総合機構」という。)の情報システムに関しても総合機構外 部及び内部へのサービスの質を保ち、かつ、サービスを停止しないため、不正アクセス 等に対するセキュリティを確保することが求められている。 情報システム監査業務は、総合機構に設置された Web サーバや Mail サーバ等の外部 情報提供サービスに関する機器に対する情報システムのネットワーク監査と Web サイ トに対するアプリケーション監査を行い、情報セキュリティ対策に資することを目的 とする。 さらに、標的型攻撃をはじめとする最新のサイバー攻撃に関する研修を行い、総合機 構のサイバー攻撃に対する知見を深めることを目的とする。 3. 業務内容 本業務は、主に公開サーバを対象とした脆弱性監査業務と、標的型攻撃に対する調 査・評価及び研修を実施するものである。 監査結果報告書を作成し、総合機構において報告会議を開催すること。監査業務の 実施は、正確性の確保のためにツールだけでなく、必要に応じて手動でも行うことと し、特にツールが検知した内容については、誤検知を減らすために手動により精査す ること。また、Web アプリケーションの仕組み上、ツールが使用できないと判断され る場合には、手動にて監査を実施すること。 なお、検出された脆弱性を改修する作業については本業務に含まれない。 A. ペネトレーションテスト (1)プラットフォーム監査 「4.システム監査対象」記載の装置を対象としたオンサイト監査とする。ポート スキャンによるオープンポート及び稼働サービスの確認、セキュリティ検査ツール によるアップデート実施状況、セキュリティ関連の設定状況、疑似攻撃に対する脆 弱性の有無の確認を行う。 脆弱性監査の対象は、対象装置の OS・ミドルウェア・一般的なソフトウェアとし、 それらの脆弱性の一覧及び対処方法・優先度・具体的な運用の改善点等を監査報告 書に記載すること。 ※監査項目の詳細は別紙に記す。
3 (2)アプリケーション監査 4.(2)のアプリケーション監査対象サイトを対象とした Web アプリケーション 監査とする。「セキュリティ検査ツール」によるブラックボックステスト、及び、 同ツールでは検査できない脆弱性を手動で検査する。サイトごとに検出された脆弱 性一覧、深刻度等を監査報告書に記載すること。 なお、診断に使用する主たる「セキュリティ検査ツール」は、実績並びに信頼 性を担保するため、商用診断ツールを使用するものとし、使用前に総合機構担当者 の承認を得ること。フリーツール、シェアウェア、自社製のツールのみでの診断、 またはこれらを主たる診断ツールとして使用することは不可とする。 アプリケーション監査の内容は別紙に記す。 B. 管理者向け聴取による監査 総合機構のシステム管理者 5 名に対し、聴取形式による運用面・管理面における脆弱 性監査を実施し、管理対象システムごとに脆弱性・問題点の一覧及び改善項目・優先度・ 推奨する運用管理手法等を監査報告書に記載すること。 聴取の内容は別紙に記す。 C. セキュリティ研修 サイバー攻撃の手法は巧妙化かつ複雑化しており、標的型攻撃以外にも大手メーカ ーの Web サイトが改ざんされ、水飲み場型攻撃やドライブ by ダウンロード等、新しい 攻撃手法に使用されている。これらのような最新のサイバー攻撃の手法について、総合 機構業務従事者全員の知見を向上させるための研修を行うこと。 なお、機構の IT 環境を調査し、各利用マニュアルを参照した上で、想定されるセキ ュリティリスクに応じたものとすること。集合研修については座学だけではなく、実際 のサイバー攻撃やマルウェアの挙動をデモンストレーションで実演するなど、理解の 促進に創意工夫をこらすこと。1 回の集合研修は 60 分以内とし、10 回実施すること。 集合研修に参加できなかった職員向けに 20 分程度で完了できるテスト資料を作成する こと。研修用資料及びテスト資料は変更可能なものとし、今後、総合機構担当者がメン テナンスできるよう作成し納品すること。 4. システム監査対象 (1) プラットフォーム監査対象装置 a. サーバ 15 台を対象とする(Windows サーバ、Linux サーバ等) (2) アプリケーション監査対象サイト a. 例規集データベース(reiki.pmda.go.jp) b. 医療機器 WEB 申請システム (www.dwap.pmda.go.jp[SSL]) c. 医療機器基準等情報提供ホームページ(www.std.pmda.go.jp) d. 副作用報告(https://www.estrigw.pmda.go.jp/Reception/View/Login.aspx
4 5. 実施期間及び実施形態 契約日から平成 29 年 3 月 10 日までとし、受注者が派遣する監査員が実施スケジュ ールに基づいて業務を行う。 受注者は 6.(1)に定める「実施計画書」の実施体制図に基づき監査員を派遣するこ と。 6. 提出物及び提出期限 当該業務を遂行するにあたり、以下の提出物を作成し提出すること。(様式任意) (1) 実施計画書 契約日から、2 週間以内に総合機構担当者へ提出すること。 実施計画書は以下の項目を含むこと。 a. システム監査対象機器一覧 総合機構担当者と協議の上、対象となるシステム、機器及びサイトの一覧を業 務内容単位で記載すること。 b. 使用ツール、機器一覧 本業務を遂行するために使用するツール及び機器を明記すること。 c. システム監査全体スケジュール 総合機構担当者と協議の上、監査業務全体のスケジュールを作成すること。 d. 体制図 本業務を遂行するための体制を記載すること。 e. 実施工程 監査、聴取の実施要領を記載すること。 f. セキュリティ研修全般 機構の IT 環境の調査を踏まえ、研修資料を作成し、研修を行うこと。 (2) 監査結果報告書 下記 a∼d について平成 29 年 3 月 20 日までに総合機構担当者へ提出すること。 下記 e についてセキュリティ研修の1回目までに総合機構担当者へ提出すること。 監査結果報告書は以下 a∼e の内容を含むこと。 a. 監査結果報告 監査対象システム全体及び機器ごとの考察と推奨される対策をまとめたもの。
5 聴取検査における監査項目ごとに、考察と推奨される対策をまとめたもの。 b. プラットフォーム脆弱性一覧 プラットフォーム監査の結果を元に、機器ごとに検出された脆弱性を記載し、 対応方法、優先度を一覧で記載すること。 c. アプリケーション監査レポート アプリケーション監査の結果を元に、監査対象サイトごとに検出された脆弱 性を記載し、その脆弱性に対する一般的な対応方法、優先度を一覧で記載する こと。 d. 聴取結果レポート(担当者ごと、全担当者比較) 担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載すること。 また、担当者ごとにアセスメントの差異を識別可能なグラフ等を記載するこ と。 一覧には、問題点、対応優先度、改善項目、推奨する運用管理方法を含めるこ と。 e. 最新のサイバー攻撃手法に係るセキュリティ研修資料 実施状況の報告及び各研修で使用した教材を添付すること。 (3) 各種証跡 平成 29 年 3 月 20 日までに総合機構担当者へ提出すること。 監査を行った証跡となるデータはすべて納品すること。 納入品目は以下のとおりとする。 a. 実施計画書 用紙 2 部、CD-R 2 個 b. 監査結果報告書 用紙 2 部、CD-R 2 個 ※研修資料(電子媒体として加工可能なもの)を含む c. 各種証跡 CD-R 2 個 (4) 体制図 受注者は、統括責任者(業務全体を統括する責任者)、監査人(業務完了まで 継続して事業の実施を行える者であって、業務の実施にあたっての責任者)、 監査補助者(監査人の配下に属する者であって、個々の業務を行う者)、アド バイザー(業務の品質を管理する者)からなる、監査チームを編成すること。 監査チームには、財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005)対応 -(平成 20 年 1 月 31 日)「5.2.2 教 育・訓練、認識及び力量」で明らかにされている資格の要件を備えた専門家が 2
6 人以上含まれていること、並びに、監査の効率と品質の保持のため次のいずれか の実績(実務経験)を有する専門家が 1 人以上含まれていること。 a. 情報セキュリティ監査 b. 情報セキュリティに関するコンサルティング 監査チーム各者の氏名、所属部署及び連絡先とともに、各者の経歴、専門分 野、各種保有資格等について、契約締結後 5 日以内に総合機構に提出し、了承 を得ること。 本監査業務の開始後、適切な業務が実施できないと監査チームが判断した場合 には、受注者は、監査チーム体制を変更すること。 なお、受注者は、体制を変更する際は、監査業務の遂行に影響がでないようにす るとともに、変更に要した費用については、自らが負担すること。 7. 応札者の条件 (1) 情報セキュリティ監査企業台帳に関する規則(平成 15 年経済産業省告示第 113 号)第 4 条に規定する情報セキュリティ監査企業台帳(平成 26 年度登録分)に 登録されている者であること。 国、独立行政法人、政府系特殊法人、都道府県等地方自治体、自社以外の企業、 海外の医薬品・医療機器の規制当局において、情報システム監査業務を過去 2 年 以内に請け負った実績を有し、かつ、本業務を履行できること。また、これら実 績を証明できること。 (2) 情報セキュリティを確保する観点から、(財)日本情報経済社会推進協会または 海外の認定機関により認定された審査機関による情報セキュリティマネジメント システム(ISMS)の認証を受けていること。 (3) 本業務による納品物の中立性・客観性を確保するため、本業務において監査対象 となる情報資産の管理及び当該情報資産に関する情報システムの構築及び開発、 保守等に参画していないこと。また、その親会社及び子会社、同一の親会社を持 つ会社並びに受注事業者等の緊密な利害関係を有する事業者も同様とする。 (4) 応札業者の社内に情報セキュリティ対策等に関する役務提供を専門とする部門を 有していること。 (5) 取り扱う情報がセキュリティに関するものとなるため、応札者の事務所では個人 ごとに配布された ID カード等による入退室管理が行われていること。 8. 落札者決定方法 一般競争入札にて決定する。
7 9. 留意事項 (1) 本業務を遂行するために総合機構に対する資料要求、要望等がある場合は、原則文 書にて行うこと。 (2) 業務にあたり、総合機構から提供された又は知り得た総合機構の内部情報はすべ て、他の用途に転用してはならず、契約期間中に指示する方法で破棄しなければな らない。この契約終了後も同様とする。 特に、機密情報(総合機構より明確に機密と指定されて開示される情報で、公には 入手できない情報)については、別に『機密保持誓約』を締結し、これを遵守しな ければならない。 (3) 技術的検証については、対象情報システムの運用に対し、支障及び損害を与えない ように実施するものとする。 また、本業務における検査を実施した後、総合機構のすべての機能が正常に動作す る確認作業を支援すること。また、現在運用しているその他のシステム、機器等に 影響を与えないこと。 納品期限までに本セキュリティ検査が原因でシステム障害が発生した場合、速や かに技術員を派遣し現行システム保守業者と調整の上、システム復旧が対応でき る体制を維持すること。 (4) 監査業務の実施は、正確性の確保のためにツールだけでなく、必要に応じて手動で も行うこと。特にツールが検知した内容については、誤検知を減らすために手動に より精査すること。また、Web アプリケーションの仕組み上、ツールが実行できな いと判断される場合には手動にて監査を実施すること。総合機構の求めに応じ、総 合機構との打合せを実施すること。 (5) 総合機構の求めに応じ、総合機構との打ち合せを実施すること。 (6) 本仕様書に掲げられている事項の他、本業務を遂行するために必用な事項は総合 機構担当者と協議の上、実施すること。 (7) 本業務を遂行する上で発生した書面(電子媒体を含む。)、その他、類似の派生物(企 画等の構想も含む。)は、一切の著作権、所有権及び使用権を総合機構に帰属する ものとする。ただし、本契約締結前より受注者または第三者が有する著作権等の知 的財産権及びノウハウ等については受注者又は第三者に留保されるものとする。 また、成果物の著作人格権は行使しないこととする。 (8) 受託者は、この契約に基づく業務を処理するために総合機構から提供された資料
8 等を、総合機構の承諾なく複写及び複製してはならない。また、契約終了後は、速 やかに総合機構に返還しなければならない。なお、提供された資料のうち、個人情 報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係 るものは、施錠した保管庫等で保管する等大切に管理しなければならない。 (9) 受注者は、受注業務の全部又は主要部分を第三者に委託することはできない。受注 業務のうち契約金額の 10%を超える業務の一部を再委託する場合は、事前に再委 託する業務、再委託先等を総合機構に申請し、承認を受けること。申請にあたって は、「再委託に関する承認申請書」の書面を作成の上、受注者と再委託先との委託 契約書の写し及び委託要領等の写しを総合機構に提出すること。受注者は、機密保 持、知的財産兼等に関して本仕様書が定める受注者の責務を再委託先業者も負う よう。必要な処置を実施し、総合機構に報告し、承認を受けること。なお、第三者 に再委託する場合は、その最終的な責任を受注者が負うこととする。本項の要件は、 再委託先からさらに再委託する事業者及び以降の再委託業者についても適用する。 (10)本業務に必要な機器類の調達、通信費等は、受注者の負担とする。 10.窓口連絡先 独立行政法人 医薬品医療機器総合機構 情報化統括推進室 田村 慎治
9 別紙 監査項目一覧 A(1).プラットフォーム監査 監査項目 概要 アカウント ユーザアカウント及びパスワード管理の妥当性 CGI スクリプト等 セキュリティ脆弱性を持つ CGI スクリプトの存在を調査 各種サービス サーバ上で稼働する各種サービスの脆弱性 データベース データベースアプリケーションに存在する脆弱性 セキュリティ設定 Linux 及び Windows のセキュリティ設定の脆弱性 各種ソフトウェア サーバ上で動作する各種ソフトウェアの脆弱なバージョンの検出 Web サーバ WWW サーバに存在するセキュリティホールをチェックする監査 バックドア 攻撃者がシステムに仕掛けたバックドアプログラムの検出 サービス妨害耐性 DDoS 攻撃や不正なパケットによるサービス妨害攻撃に対する耐 性を監査 A(2).アプリケーション監査 検査項目 概要 認証: 総当たり攻撃 管理者アカウントへの総当たり攻撃影響度を検証 認証: 不適切な認証 正常なログイン処理を介さずにログイン後の画面にアクセスでき てしまうかを検証 Authorization: インデ クシング/セッションの 推測 アクセス制御を行うための認可に使用するインデックス番号やセ ッション番号が推測可能か検証 Authorization: 不適切 な許可 設定の不備等で不適切な許可がされないか検証 Authorization: 不適切 なセッション期限 Cookie に保存されたセッション情報を盗み出すことができないか 検証 Authorization: セッシ ョンの固定 セッションを固定化されて、第三者のセッションハイジャックが 可能か検証 クライアント側攻撃: コンテンツのなりすま し コンテンツのなりすましによるフィッシング攻撃が成立するか検 証 クライアント側攻撃: クロスサイトスクリプ ティング 第三者により任意のスクリプトが実行されるクロスサイトスクリ プティング脆弱性が存在するか検証 コマンドの実行: バッ ファオーバーフロー バッファオーバーフローの脆弱性が存在するか検証
10 コマンドの実行: 書式 文字列攻撃 プログラムをクラッシュさせたり、不正なコードを実行させたり する書式文字列攻撃脆弱性が存在するか検証 コマンドの実行: LDAP インジェクション LDAP インジェクション脆弱性が存在するか検証 コマンドの実行: OS 命 令 OS コマンドインジェクション脆弱性が存在するか検証 コマンドの実行: SQL インジェクション SQL インジェクション脆弱性が存在するか検証 コマンドの実行: SSI インジェクション SSI インジェクション脆弱性が存在するか検証 コマンドの実行: XPath インジェクション Xpath インジェクション脆弱性が存在するか検証 情報の開示: ディレク トリインデクシング ディレクトリ Index が外部から参照可能か検証 情報の開示: 情報遺漏 ユーザ名、パスワードなど秘密情報が外部に公開されていないか 検証 情報の開示: パストラ バーサル 本来公開されないはずのファイルが公開される脆弱性が存在する か検証 情報の開示: 推測可能 なリソースの位置 内部のリソースが簡単に推測できる脆弱性が存在するか確認 論理攻撃: 機能の悪用 Web サーバの特徴や機能を利用して攻撃する脆弱性が存在するか検 証 論理攻撃: サービス拒 否攻撃 サービス拒否攻撃に対する耐性を検証 アプリケーションプラ イバシーテスト 暗号化の有無などを検証 アプリケーション品質 テスト デバッグ情報の収集などを検証 B.管理者向け聴取による監査 監査項目 概要 個人情報および機密情 報保護 個人情報や機密情報等、保護すべき情報の定義、取扱規定に関する 監査 安全な認証機能の利用 各種認証機能(パスワードポリシー含む。)、及び、ID 管理の運用 に関する監査 権限管理 システム利用権限の管理・運用に関する監査 証跡保全 各種ログの取得、保管等に関する監査
11 管理用クライアント 運用に利用するクライアント環境に関する監査 サービス妨害攻撃対策 サービス妨害攻撃に対する準備、検知、対策に関する監査 監視・分析 ネットワーク監視、異常発生時の対応に関する監査 マルウェア対策 マルウェアへの対策、対応に関する監査 標的型攻撃対策 標的型攻撃対策に関する監査 インシデントレスポン ス インシデント発生時の対応(障害対応を含む。)、事業継続に関す る監査
