ぜい弱性試験用ソフトウェア(Web)仕様書 警 察 庁情報 通信 局 警通仕形技第31号改1 平成24年2月13日制定 平成25年3月5日改正 1 適用範囲 本 仕 様 書 は、 Webア プ リ ケ ー シ ョ ン の ぜい 弱 性 を 試 験 す る た めの ソ フ ト ウ ェ アに 適 用 する。 2 品名及び略称 品名及び略称は、表−1のとおりとする。 表−1 品名及び略称 品名 略称 ぜい弱性試験用ソフトウェア(Web) 3 WebVAS 所要規格 3.1 使用条件 3.1.1 本 ソ フ ト ウ ェ ア は 、「 ぜ い 弱 性 試 験 用 資 機 材 仕 様 書 」 (平 成 25年 3 月 5 日 制 定 警 通 仕 形 技 第 40号)の ぜ い 弱 性 試 験用 資 機 材 ( Web)の 仕様 を 有 す る パ ー ソ ナ ルコンピュータ(以下「試験用PC」という。)で正常に動作すること。 3.1.2 試験対象の機器に新たにソフトウェアをインストールすることなく試験で きること。 3.1.3 インターネットを介す試験に対応すること。 3.1.4 試験実施者を固定する必要がある場合には、試験実施者の変更ができること。 3.1.5 試験対象のサーバ数及び試験の回数に制限がないこと。 3.1.6 本ソフトウェアの使用期間は、納品後1年間とし、当該使用期間内に新たに ライセンス料金が発生しないこと。 3.2 構成及び構造 WebVASの構成及び構造は、表−2のとおりとする。 表−2 WebVASの構成及び構造 区分 品目 数量 本体 ソフトウェア 1式 添付品 取扱説明書 1式 記事 インストール媒体を含むこと。 (1) 日 本 語 表 記 で あ る こ と 。( 英 語 表 記 でも可) (2) 媒体は、紙、CD又はDVDであること。 3.3 機能及び性能 WebVASの機能及び性能は、表−3のとおりとする。 - 1 - なお、本ソフトウェアのバージョンは、契約時における最新版であること。 表−3 WebVASの機能及び性能 品目 項目 機能及び性能 ソフト 試験対象の設定 試験対象の機器をURLで指定できること。 ウェア 試験項目の設定 試験対象の機器に対し、以下の試験項目を設 定できること。 な お 、 各 試 験 項 目 に 記 載 の 「 CWE」 は 、 米 国 の非営利組織「MITRE社」が管理運営する 「 Common Weakness Enumeration」 の 略 称 で あ る。 (1) CWE-22のパストラバーサルに関連するぜい 弱性 (2) CWE-78のOSコマンドインジェクションに関 連するぜい弱性 (3) CWE-79のクロスサイトスクリプティングに 関連するぜい弱性 (4) CWE-89の SQLイ ン ジ ェ ク シ ョ ン に 関 連 す る ぜい弱性 (5) CWE-120の バ ッ フ ァ オ ー バ ー フ ロ ー に 関 連 するぜい弱性 (6) CWE-352の ク ロ ス サ イ ト リ ク エ ス ト フ ォ ー ジェリに関連するぜい弱性 試験の実施 (1) 試験対象の機器に対し、 「試験項目の設定」 において設定した項目に該当するぜい弱性が 存在するか否かについて、試験できること。 (2) 試験実施中は、試験状況を表示できること。 結果の表示 試験結果について、以下の項目を表示できる こと。 (1) 発見されたぜい弱性の詳細とそのぜい弱性 に対する修正方法 (2) 試験に用いたHTTPリクエストメッセージ及 びそのレスポンスメッセージ レポートの作成 (1) 「結果の表示」の(1)及び(2)の項目から任 意 の 項 目 を 選 択 し 、 HTML形 式 又 は Microsoft 製WORD形式で日本語のレポートを作成できる こと。 (2) (1)のレポートを保存できること。 パ ター ンフ ァイル の更新 ぜい弱性を発見するためのパターンファイル については、インターネットに接続し、最新版 に更新できること。 - 2 - 4 検査 4.1 検査は、構成、構造、機能及び性能について行うものとする。 4.2 検査は、警察庁と協議の上定める場所において、警察庁検査官が立会いの上行 う。 4.3 検査に必要な施設及び機器は、契約請負者が準備することとする。 4.4 検査中に、本仕様書の規定に関して解釈上の疑義が生じた場合は、警察庁検査 官の指示に従うこと。 - 3 - 特記事項 1 納入後の支援 (1) ソフトウェアの修正版対応等 納入したソフトウェアについて、機能に支障のあるバグの修正等によるバグ修正版がリリー スされた場合には、ソフトウェアに対するバグ修正版の導入による影響を検証し、警察庁に報 告すること。また、警察庁がその導入を指示した場合は、契約業者の負担で納入先に送付する こと。ただし、ダウンロードによる対応が可能な場合は、その対応方法について警察庁と協議 すること。 なお、本項に規定した対応は、納入後1年間行うこと。 (2) 技術的問い合わせ対応 納入品について、開庁日の執務時間内において対応可能な、技術的質問に対応できる窓口を 有すること。 2 納入 (1) 納入先は警察庁とする。 (2) 納期は平成28年8月31日(水)とする。 (3) 物品の納入は平成28年8月15日(月)までとする。 (4) 納入に当たり、警察庁と事前に納入日等を協議すること。 なお、次の事項について遵守すること。 ア 作業員の入退庁等に必要となる関係部署への申請を、納入業者において責任を持って行うこ と。 イ 搬入作業に従事する作業員は、服装・名札・腕章等の着用により、請負者の作業員であるこ とを明らかに認識できるようにすること。 ウ 施設、人員、備品等に対し、損害を与えないように必要な措置を行うこと。請負業者の責め に帰すべき理由により、施設、物品等に損害を与えた場合は、請負業者の責任と負担において 現状に復すこと。 (5) 納入に当たり、疑義が生じた場合は、警察庁担当官の指示によること。 3 ソフトウェアの操作説明 (1) 警察庁で指定する者(2人)に対して、請負業者が用意した資機材及びソフトウェアを使用し、 ソフトウェアの操作方法、ぜい弱性試験手順、試験結果の見方等について説明すること。 (2) 実施日時、場所については、警察庁と協議すること。 - 1 -
© Copyright 2024 ExpyDoc
