【意見招請番号：４】情報システムの脆弱性診断業務

(1)

意見招請を実施する案件

【意見招請番号：４】

案件名

情報システムの脆弱性診断業務

直近の調達内容契約件名情報システムの脆弱性診断業務調達方式一般競争入札（最低価格落札方式）入札公告日平成 26 年２月７日（金）競争参加資格 (１) 予算決算及び会計令第 70 条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (２) 予算決算及び会計令第 71 条の規定に該当しない者であること。 (３) 平成 25・26・27 年度の文部科学省競争参加資格（全省庁統一資格）において、「役務の提供等」の「Ａ」、「Ｂ」または「Ｃ」の等級に格付けされ、「関東・甲信越地域」の競争参加資格を有する者であること。 (４) 本機構理事長から取引停止を受けている期間中でないこと。 (５) 「暴力団員による不当な行為の防止等に関する法律」（平成 3 年法律第 77 号）に規定するところの暴力団員及びその構成員、準構成員又はその関係者でないこと。 (６) ISMS（Information Security Management System）の認証を受けていること。 (７) (財)日本適合性認定協会又は海外の認定機関により認定された審査登録機関による ISO9001 の認証を受けていること。 (８) 情報セキュリティー監視サービスの外部監査を提供して、５年以上が経過していること。 (９) 以下の認証資格のいずれかを有する者を３名以上含む、統括責任者、監査人、監査補助者、アドバイザーからなる、監査チームを編成することができること・公認情報セキュリティ監査人（CAIS-Auditor）・公認情報セキュリティマネージャ（CISM）・公認情報システムセキュリティ専門家（CISSP）・テクニカルエンジニア（情報セキュリティ）・情報セキュリティアドミニストレータ・情報セキュリティスペシャリスト (10) 業務従事者には、財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005)対応 -（平成 20 年１月 31 日）「5.2.2 教育・訓練、認識及び力量表 5-2 力量と関連する資格」のセキュリティ技術として明記されている資格の要件を備えた専門家が１人以上含まれていること。 (11) 業務従事者には、診断作業の効率と品質の保持のため次のいずれかの実績（実務経験）を有する専門家が１人以上含まれていること。・情報セキュリティ監査・情報セキュリティに関するコンサルティング (12) 情報セキュリティ対策等に関する役務提供を専門とする組織を有していること。

(2)

事前提出書類及び提出期限

(１) 資格審査結果通知書（全省庁統一資格）の写１部

(２) ISMS(Information Security Management System)認定証の写し１部

(３) (財)日本適合性認定協会又は海外の認定機関により認定された審査登録機関による ISO9001 の認証を受けていることを証する書類の写 1 部 (４) 実績証明書（本機構所定様式）１部入札参加資格(８)を満たしていることの証明として作成し、その裏づけとなる契約書・仕様書等の写しを添付すること。なお、保管期間を経過した等の理由により、裏づけとなる書類が調えられない場合は、確約書（本機構所定様式）を作成のうえ実績証明書に添付すること。 (５) 入札参加資格(９)を満たしていることが分かる、資格証明書の写し３名分以上各１部 (６) 入札参加資格(10)を満たしていることが分かる資格証明書の写し１部 (７) 入札参加資格(９)、(10)、(11)、(12)を満たしていることを証明する、競争参加資格を満たしていることの証明書（本機構所定様式）１部平成 26 年２月 27 日（木）入札・開札日平成 26 年３月３日（月）業務履行期間平成 26 年３月 17 日（月）～平成 26 年３月 31 日（月）

(3)

情報システムの脆弱性診断業務調達仕様書

平成 26 年 1 月

(4)

1. 概要 1.1 目的独立行政法人日本学生支援機構（以下、「機構」という。）では、平成 24 年度に情報セキュリティ対策を目的としインターネットへ公開している Web サーバ等の機器に対しインフラ脆弱性診断及び Web アプリケーション診断を行った。しかし不正アクセスや改ざん等の手口は日々進化しており、また Web アプリケーションについても制度変更等に伴う画面や入力項目の追加が発生しているため、定期的に脆弱性診断を行う必要がある。また機構職員が使用しているパソコンへはウイルス対策ソフトがインストールされているが、ウイルス対策ソフトでも検知できないマルウェアが存在し、感染に気が付かずに使用している恐れがある。マルウェアにより他組織のホームページへ攻撃が行われることで、組織の社会的信用を失墜させることとなる。本業務は、機構全体のセキュリティを維持すると共に情報セキュリティ対策に資することを目的とし、Web サーバ等の機器への IT インフラ診断、インターネットへ公開している Web サイトへの Web アプリケーション診断、また機構パソコンに対する標的型攻撃を行うマルウェアの感染及び検査を行う。 1.2 実施場所本業務の実施場所は以下の 2 か所とする。・独立行政法人日本学生支援機構市谷事務所・東京特別区（東京 23 区）内の機構が指定する場所（詳細は受託者にのみ開示） 1.3 実施期間平成 26 年 3 月 17 日～平成 26 年 3 月 31 日 1.4 実施形態受託者は実施スケジュール、実施体制図に基づいて業務を行う。 1.5 完了通知受託者は、業務を完了した時には、直ちにその旨書面を以て機構に通知すること。 2. 脆弱性診断について本業務は前述のとおり、IT インフラ診断、Web アプリケーション診断及び標的型攻撃を行うマルウェア感染調査からなる。 2.1 診断方式 IT インフラ診断はオンサイト、Web アプリケーション診断は機構市谷事務所にて診断を実施すること。標的型攻撃感染調査は診断方法によりオンサイトまたは機構事務所内での診断を実施すること。なお、診断は手動もしくは自動診断ツールを利用する。 2.2 診断対象診断対象は以下とする。

(5)

2.2.1 IT インフラ診断対象各拠点への配置数や構成図は受託者にのみ開示する。 ① JASSO ウェブサーバ ② 日本留学ポータル Web サーバ及び英文大学情報検索システムサーバ ③ スカラネット Web サーバ１号機～３号機 ④ スカラネットアプリケーションサーバ１号機～３号機 ⑤ スカラネットメール配信サーバ ⑥ プライマリ DNS サーバ兼メール配信リレーサーバ ⑦ セカンダリ DNS サーバ 2.2.2 Web アプリケーション診断対象診断対象の総数は最大 65 画面とし、動的に生成されるものを主とする。なお、動的な画面には当然ながら、１つの画面に複数のパラメータが実装されているものもある。診断対象機能は以下のとおりとする。 ① 適格認定継続願提出機能（学生向け）・・・9 画面 ② 適格認定報告機能（学校向け）・・・21 画面 ③ スカラネット・パーソナル・・・35 画面 2.2.3 標的型攻撃マルウェア侵入検査対象機構ネットワークに接続しているパソコンを対象とし、台数は最大 1,000 台とする。 2.3 業務内容本業務は、主に公開サーバを対象とした脆弱性診断業務に対する調査・評価である。診断結果報告書を作成し、機構において報告会議を開催すること。いずれも、実施の際は充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、検査における障害発生について最大限に配慮すること。脆弱性診断業務の実施は、正確性の確保のためにツールだけでなく、必要に応じて手動でも行うこと。特にツールが検知した内容については、誤検知を減らすために手動により精査すること。なお、検出された脆弱性を改修する作業（対策等）については本業務に含まれない。 2.3.1 IT インフラ診断専門家による手動オペレーションおよび検査ツールでそれぞれ1 回、計 2 回の監査を実施すること。検査ツールはそれ自体の信頼性を欠くことが無いよう、市販のツールを使用すること。実際のハッカーと同じ視点のブラックボックス方式で行うことを前提とするが、機構の要求に応じてホワイトボックス方式も実施すること。

(6)

調査の対象は、対象装置の OS・ミドルウェア・一般的なソフトウェアとし、それらの脆弱性の一覧および、対処方法・優先度・具体的な対策内容等を記した報告書を作成すること。主要な調査項目は下記のとおりとする。項番調査項目 1 OS の脆弱性チェック 2 バックドアのチェック 3 推測可能なパスワードのチェック 4 ミドルウェアの脆弱性チェック 5 ウイルス感染チェック 6 通信の盗聴可否のチェック(暗号化) 7 アプリケーション脆弱性チェック 8 第三者中継(SPAM)のチェック 9 データベースの脆弱性チェック 10 証明書の有効性チェック 11 サンプルスクリプトの有無のチェック 2.3.2 Web アプリケーション診断本業務は、主に公開サーバを対象とした脆弱性診断業務に対する調査・評価である。診断結果報告書を作成し、機構において報告会議を開催すること。いずれも、実施の際は充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、検査における障害発生について最大限に配慮すること。脆弱性診断業務の実施は、正確性の確保のためにツールだけでなく、必要に応じて手動でも行うこと。特にツールが検知した内容については、誤検知を減らすために手動により精査すること。また、Web アプリケーションの仕組み上、ツールが使用できないと判断される場合には、機構の承認を以て、手動にて監査を実施すること。なお、検出された脆弱性を改修する作業（対策等）については本業務に含まれない。手動オペレーションおよび検査ツールで行うものとする。検査ツールはそれ自体の信頼性を欠くことが無いよう、市販のツールを使用すること。実際のクラッカーと同じ視点のブラックボックス方式で行うことを前提とするが、機構の要求に応じてホワイトボックス方式も実施すること。アプリケーションに起因する各種脆弱性に対する調査を行い、サイト毎に検出された脆弱性一覧、深刻度等を記した報告書を作成すること。

(7)

主要な調査項目は下記のとおりとする。項番調査項目 1 セッション管理の不備 2 XPath インジェクション 3 ユーザ ID 等の調査 4 セッションフィクセーション 5 XQuery インジェクション 6 Referer による情報漏洩 7 クロスサイトリクエストフォージェリ 8 LDAP インジェクション 9 拡張子偽装 10 クロスサイトスクリプティング 11 MX インジェクション 12 コメント・デバッグ情報 13 SQL インジェクション 14 HTTP レスポンス分割 15 アプリケーション固有の問題 16 OS コマンドインジェクション 17 リモートファイルインクルード 18 フォーマットストリング 19 ディレクトリトラバーサル 20 通信の暗号化 21 バッファオーバーフロー 22 XML インジェクション 23 証明書の不備 24 SSI インジェクション 2.3.3 標的型攻撃マルウェア侵入検査機構内のコンピュータがマルウェアに感染しているか、または検査期間内に新たにマルウェアが機構のネットワークに侵入していないかを検査する。検査については、動的解析機能を有した実績のある製品を使用すること。動的解析は、exe、 pdf、マイクロソフトオフィス形式のすべてを対象とすること。動的解析は、機構内で実施すること（クラウド等への送信は禁止する）。検査パケットの取りこぼしを防ぐため、複数の動的解析を同時に実行できる機能を有すること。また検査業務は各パソコンへのインストールが不要な方式を採ること。

(8)

2.4 提出物及び提出期限当該業務を遂行するにあたり、以下の提出物を作成し提出すること。（様式任意）なお、その内容はすべて機構の協議を以て承認を得ること。 2.4.1 実施計画書契約日から、1 週間以内に以下の項目を含むものを「実施計画書」として、機構担当者へ提出すること。 (1) システム監査対象機器一覧対象となるシステム、機器、サイトの一覧を業務内容単位で記載すること。 (2) 使用ツール、機器一覧本業務を遂行するために使用するツール、機器を明記すること。 (3) システム監査全体スケジュール機構担当者と協議の上、監査業務全体のスケジュールを作成すること。 (4) 体制図本業務を遂行するための体制を記載すること。 (5) 実施工程監査、聴取の実施要領を記載すること。 2.4.2 診断結果報告書診断結果報告書は以下の内容を含むこと。また、結果報告書を提出の前に、診断作業後 1 週間以内に、簡易報告書（速報）を提出すること。報告書として 2 部および CD-ROM 等の電子媒体を 1 個提出すること。 (1) 診断結果報告書診断対象システム全体および、機器ごとの考察と推奨される対策をまとめたものに加え、聴取検査における監査項目ごとに考察と推奨される対策をまとめたもの、ログ分析における検出された攻撃タイプごとに、考察と推奨される対策をまとめたものからなる。 (2) 標的型攻撃マルウェア侵入検査レポート標的型攻撃による機構の影響を一覧で記載し、且つこれらに対して推奨する運用管理方法も記載すること。また、動的解析機能を用いた製品での感染調査に関しても同様とする。 (3) 診断各種証跡診断を行った証跡となるデータはすべて納品すること。 3. 受託者の条件 3.1 情報セキュリティを確保する観点から、一般財団法人日本情報経済社会推進協会または海外の認定機関により認定された審査機関による情報セキュリティマネジメントシステム（ISMS）の認証を受けていること。 3.2 成果物の品質保証の観点から、公益財団法人日本適合性認定協会または海外の認定機関により認定された審査機関による ISO9000 の認証を受けていること。

(9)

3.3 情報セキュリティ監査サービスの外部監査を提供して、5 年以上が経過していること。 3.4 統括責任者（業務全体を統括する責任者）、監査人（業務完了まで継続して事業の実施を行える者であって、業務の実施にあたっての責任者）、監査補助者（監査人の配下に属する者であって、個々の業務を行う者）、アドバイザー（業務の品質を管理する者）からなる、監査チームを編成すること。監査チームには以下の認証資格のいずれかを有する者を 3 名以上含むこととし、資格証明書の写しを提出すること。・公認情報セキュリティ監査人（CAIS-Auditor）・公認情報セキュリティマネージャ（CISM）・公認情報システムセキュリティ専門家（CISSP）・テクニカルエンジニア（情報セキュリティ）・情報セキュリティアドミニストレータ・情報セキュリティスペシャリスト各者の氏名、所属部署及び連絡先とともに、各者の経歴、専門分野、各種保有資格等について、契約締結後 1 週間以内に機構に提出し、了承を得ること。 3.5 本監査業務の開始後、適切な業務が実施できないと診断チームが判断した場合には、受託者は診断チーム体制を変更すること。なお、受託者は、体制を変更する際は、診断業務の遂行に影響がでないようにするとともに、変更に要した費用については、自らが負担すること。 3.6 業務従事者は、一般財団法人日本情報処理開発協会 ISMS ユーザーズガイド -JISQ 27001:2006(ISO/IEC 27001:2005)対応 -（平成 20 年 1 月 31 日）「5.2.2 教育・訓練、認識及び力量」で明らかにされている資格の要件を備えた専門家が 1 人以上含まれていること。 3.7 業務従事者は、診断作業の効率と品質の保持のため次のいずれかの実績（実務経験）を有する専門家が 1 人以上含まれていること。・情報セキュリティ監査・情報セキュリティに関するコンサルティング 3.8 情報セキュリティ対策等に関する役務提供を専門とする組織を有していること。 4. 留意事項 4.1 本業務を遂行するために機構に対する資料要求、要望等がある場合は、原則文書にて行うこと。 4.2 業務にあたり、機構から提供された又は知り得た機構の内部情報はすべて、他の用途に転用してはならず、契約期間中に指示する方法で破棄しなければならない。この契約終了後も同様とする。特に、機密情報（機構より明確に機密と指定されて開示される情報で、公には入手できない情報）については、別に『機密保持誓約』を締結し、これを遵守しなければならない。

(10)

4.3 技術的検証については、対象情報システムの運用に対し、支障及び損害を与えないように実施するものとする。また、本業務における検査を実施した後、機構のすべての機能が正常に動作する確認作業を支援すること。また、現在運用しているその他のシステム、機器等に影響を与えないこと。 4.4 本業務において運用中のシステム、機器等の設定変更が必要となる場合には、変更内容等の詳細情報を機構へ提示すること。 4.5 平日（国民の祝日に関する法律第３条に規定する休日及び年末年始を除く月曜日～金曜日）以外や深夜、早朝の実施を指定することもあるので、留意すること。 4.6 納品期限までに本業務が原因でシステム障害が発生した場合、復旧に対応できる体制を維持し、作業支援を行うこと。 4.7 機構の求めに応じ、打合せを実施すること。 4.8 本仕様書に掲げられている事項の他、本業務を遂行するために必要な事項は機構担当者と協議の上、実施すること。 4.9 本業務を遂行する上で発生した書面（電子媒体を含む。）、その他、類似の派生物（企画等の構想も含む。）は、一切の著作権、所有権及び使用権を機構に帰属するものとする。ただし、本契約締結前より受託者または第三者が有する著作権等の知的財産権及びノウハウ等については受託者または第三者に留保されるものとする。また、成果物の著作人格権は行使しないことを契約書にて締結することとする。 4.10 受託者は、この契約に基づく業務を処理するために機構から提供された資料等を、機構の承諾なく複写及び複製してはならない。また、契約終了後は、速やかに機構に返還しなければならない。なお、提供された資料のうち、個人情報保護に係るもの並びに当該ネットワーク及び情報システムのセキュリティに係るものは、施錠した保管庫等で保管し管理すること。 4.11 本業務に必要な機器類、設定費用、通信費、運搬費等は本契約に含めるものとする。 4.12 業務に係る検査職員、監督職員 ①検査職員情報部情報管理課課長 ②監督職員情報部情報管理課情報計画係長