ネットワーク及び計算機システム賃貸借,運用及び保守仕様書 質疑応答

ネットワーク及び計算機システム賃貸借,運用及び保守仕様書
質疑応答
独立行政法人 電子航法研究所
平成 20 年 12 月 3 日
1 はじめに
独立行政法人電子航法研究所を以下当所と記します。
「ネットワーク及び計算機システム賃貸借,運用及び保守仕様書」(以下,本仕様書と呼ぶ)におい
て,図 1 は論理構成図であり,物理構成図ではありません。
2 質疑応答 1
1. Q: 建屋間光接続モジュールは 10GBASE-SR でよいか?
A: 2009 年 4 月現在では,所内建物間の既存の光ファイバーは以下のようになっている予定です。
• 3 号棟と 1,2,5,7 号棟間は SMF 及び, FDDI 用に敷設した MMF (10GBASE-SR 不可, 1000BASESR 可) による接続
• 3 号棟と 4,8 号棟間は 10GBASE-SR でリンクする MMF による接続
• 2010 年頃建設予定の新 6 号棟は SMF による接続
よって,以下のようなモジュールを利用することを想定しております。
• 3 号棟計算機室に設置される中央集約装置と 1,2,5,6,7 号棟ルータ間を接続するモジュールは
10GBASE-LR
• 3 号棟計算機室に設置される中央集約装置と 4,8 号棟ルータ間を接続するモジュールは
10GBASE-SR
• 3 号棟計算機室に設置される無線 LAN ルータと 1, 2, 4, 5, 6, 7, 8 号棟に設置する基地局間の
接続は 1000BASE-SR
また,本調達の中で当所内で別途回線を敷設されることを計画される場合は,この限りではあり
ません。
2. Q: ネットワーク機器を収めるラックは、本調達機器に含まれるか?
A: お見込みのとおりです。仕様書 3.2 節には設置に必要な機材一切が含まれるため,含まれます。
3. Q: 中央集約装置は、L2 ハブを用いて L3 機能を持たせなくてよいか?
A: お見込みのとおりです。
1
4. Q: 無線 LAN 装置の AP については、PoE 給電可能な装置でも可能でしょうか?
A: 問題ございませんが,無線 LAN 装置の AP を集約するルータまでの回線は,建物間にまたが
る回線のため,既設光ファイバーによる回線となることをご了承ください。
5. Q: 無線 LAN 装置の AP の設置場所の制限はあるでしょうか?
(天井設置、壁面設置、据え置き等)
A: 無線 LAN の AP の設置については,サイトサーベイにより設置場所を決める必要があるため,
仕様書にはあえて記載しておりません。基本的には天井設置を考えておりますが,設置場所は電
波伝搬の状況を見て決定したいと考えております。
6. Q: 無線 LAN ルータ装置は、コントローラタイプとの認識でよいでしょうか?
A: お見込みのとおりです。
7. Q: 無線 AP 設置について、設置前及び設置後のサイトサーベイは必要でしょうか?
A: 必要です。仕様書上の根拠は 3.2.2 節の「無線 LAN 装置相互間における電波干渉を防止する
よう設置すること」です。
8. Q: 図 1 の外部境界ルータは本調達機器に含まれるか?
A: 含まれます。ただし,SINET ノードに当所のルータを設置する必要はなくなりましたので,物
理的には内部境界ルータと同一の物品にすることが可能と考えております。
9. Q: 本調達機器でない場合、設定の変更作業は、本作業に含まれるか?
A: 基本的に含まれませんが,既存の回線である,岩沼分室への接続に設定変更が必要な場合は,
岩沼分室へ接続可能とするための設定の変更が必要です。
10. Q: 図 1 の内部境界ルータの仕様は、各建物に設置するハブまたはルータと同等仕様でいいか?
A: 同等の仕様で問題ございません。
11. Q: 各建物に設置するハブまたはルータは、各棟毎 8 台用意すればよいか?
A: お見込みのとおりです。建物 1 つにつき 1 台,ご用意をお願いいたします。
12. Q: 本調達には、一般的な F/W や IDS・Spam メール対策機器が含まれていないため、サイバーテ
ロや、Spam メール等により、システム運用に影響が出た場合の対応(保守含む)及び停止時間
は、本調達に含まれないとの事で宜しいでしょうか?
A: 上記の原因によるシステムの停止状態は,本仕様書における「システムが完全」な状態に該当
せず,可用性が下がる要因となります。可用性の定義は仕様書に記載した通りです。仕様書上で
は,3.3 節にソフトウェア要件として「セキュリティ対策のため,OS は常に最新の状態に保つこ
と」としており,CERT/CC や JPCERT/CC 等において報告されている, 既知の脆弱性を突く攻撃
に対する対策は仕様書に含まれております。
1.2.3 節,サーバの完全性の定義において「所外に対するサービスとして,2 節に定義する本シス
テムの提供サービス以外に実施しないこと」としておりますので,不要なポートが開いていない
ことも要件に含まれています。0-day attack も考えられますが,可用性の要件は高く取っていない
ため,迅速な復旧作業により仕様書に記載された可用性の確保は可能と考えております。
現システムでは,Web とメールのみが外部に公開されており,Apache を Squid (Reverse Proxy)
経由で公開することにより,Apache のセキュリティホールを直接攻撃することは難しくなってお
ります。CGI 及び PHP はサービスしておりません。電子メールはセキュリティホールより迷惑
メールの方が問題となっています。
2
13. Q: ファイルサーバ・グループウェアサーバについても 19 インチラック搭載・及び RAID 構成は
必要でしょうか?
A: ファイルサーバ及びグループウェアサーバも RAID 構成とラック搭載が必要です。ラックの
搭載方法として,ラックマウント型のコンピュータではなく,タワー型のコンピュータを十分な
耐震対策を施してラックに固定する方法でもかまいません。また,ラックの本数に制限はありま
せん。
14. Q: バックアップは外部 HDD との仕様で、外部 HDD は本調達に含まれますでしょうか?
A: バックアップメディア (HDD) は当所より支給いたします。
15. Q: バックアップ先の、外部 HDD の仕様について、確認をさせてください
A: サーバ構成に依存するため,システム構築時に別途協議とさせてください。ホットスワップ可
能な方法,例えば USB 等による接続を想定しております。
16. Q: ログを CD 及び DVD にて提出に使用する、H/W(ドライブ)は本調達に含まれますでしょう
か?
A: 含まれます。サーバのどれかが DVD-R / CD-R を書き込み可能な光ドライブを内蔵している
ものと想定しております。
17. Q: 岩沼分室への接続機器に関しては既存の物品及び回線が利用可能であるについて、既存物品の
保守(H/W・S/W・回線等) は本調達に含まれないとの事で宜しいでしょうか?
A: お見込みのとおりです。
18. Q: 運用サポートにおいて、グループウェア保守・運用は本調達には含まれないとの事で宜しいで
しょうか?
A: お見込みのとおりです。
19. Q: 運用サポートにおいて、ネットワーク及びソフトウェアの設定変更・再設計作業は、本調達に
は含まれないとの事で宜しいでしょうか?
A: 契約期間中に新 6 号棟が建設される予定ですが,6 号棟に設置するルータ及び無線 LAN 装置
の設定をシステム稼働前に実施していただく予定です。
3 質疑応答 2
1. Q:
• CPU、memory への性能要件は具体的な値を示されていないが、動作させる各 AP が動作す
ることを保障できる性能があればよいか?
• その場合、電子研様にて適用される AP の推奨要件の情報についてもいただきたい。
• 各サーバへのアプリケーション的な性能要件(単位時間当たりのメール送受信数、Web サー
バへのアクセス数など)があれば、あわせて提示いただきたい。
A: 性能要件に関しては,お見込みのとおりです。ユーザ数は 150 前後を想定しております。メー
ルの受信数は, 迷惑メール数にも依存しますが,Firewall 等で迷惑メールを事前にフィルタしてか
らメールサーバで受信するか,メールサーバの処理能力を大きく取るかのご判断はお任せします。
Web サーバへのアクセス数は現状, 月間 7 万 PV です。本仕様書における Web サーバのアクセス
数は月間 20 万から 30 万 PV 程度を想定しております。
3
2. Q: NIS により実施するアカウントについて
• 想定アカウント数はどれくらいか。(見込むべき最大数)
• アプリケーションサーバ、およびグループウェアサーバのアカウントは、仕様書上の記載か
ら別管理(恐らく各 AP で個別管理)と想定されるが、正しいか?
A: アカウント数は 150 前後を想定しております。グループウェアサーバのアカウントは別管理,
アプリケーションサーバのアカウントは別管理でも共通でもかまいません。
3. Q: メールボックスおよび POP3, IMAP4 機能については、内部メールサーバとして提供すること
を想定しているが、正しいか?(※サイボウズ Office 自体には、メールサーバ機能はないとの認
識)
A: お見込みの通りです。
4. Q: スパム対策の要否(要件的には明記されていない)
A: メールサーバの処理容量は迷惑メールが来る前提で策定をお願いいたします。迷惑メール対策
は,現状,外部への信用のため,SPF を実施しておりますが,迷惑メール受信対策は個人のメール
ソフトに依存しております。各個人毎に迷惑メールかどうかの基準は異なり,個人毎に Ham/Spam
の学習を行わせる必要があるとの判断からです。さらに良い方法があればご提案いただければ幸
いです。
5. Q: 仕様書 P6 ソフトウェア要件に「送信したメールが保管されるメーリングリストを実現するこ
と」とあるが、これは、内部から送信された全メールをアーカイブ化し、保管することを指して
いるか?
A: メーリングリスト宛のメールだけをアーカイブして保管することを想定しております。
6. Q: 各アカウントのメールボックスの冗長化について
A: 同一筐体内またはクラスタ構成等による冗長化で問題ございません。現在のメールボックスは
5 台の HDD を RAID1 構成として運用しております。
7. Q: 現在の DNS 機能を提供するアプリケーション、バージョンは?
A: ISC BIND 9.2.4-p1 で運用しております。
8. Q: 現在のドメインの管理状況について
A: whois で調査いただければわかりますが,当所で管理するドメインは enri.go.jp と enri.jp です。
また, IP アドレスは 202.241.15.0/24 及び 2001:2f8:27::/48 を管理しております。
9. Q: 現在の Web サーバ機能を提供するアプリケーション、バージョンは?
A: Apache 2.0.46 + Squid 2.5 (Reverse Proxy) です。
10. Q: Web サーバ機能を提供する上で必要な機能は?(Perl(CGI), PHP 等使用の有無)
A: 現状の Web サーバでは,セキュリティ上の観点から,CGI 及び PHP によるサービスは実施し
ておりません。www.enri.go.jp は IPv6 でのサービスも実施しています。
11. Q: 現在の Proxy サーバ機能を提供するアプリケーション、バージョンは?
A: Squid 2.5 です。
12. Q: Proxy サーバを介する外部への Web アクセスについても、ウイルス対策を行う対象との理解で
よいか?(3.3 ソフトウェア要件)
A: お見込みの通りです。
4
13. Q: URL フィルタリングの要否(要件的には明記されていない)
A: URL フィルタリングは不要です。外部へのアクセス規制は実施しませんが,どの PC からど
の URL を閲覧したかの情報を記録するため, URL と要求元 IP アドレスの組を記録する必要があ
ります。
14. Q: 機能要件の「内部から外部への FTP サービス」とは、内部から外部の FTP サーバに対する FTP
接続を提供するサービス(Proxy 経由での機能提供)との理解でよいか?
A: お見込みの通りです。
15. Q: ファイル共有機能を提供するアプリケーション、バージョンは?
(samba?)仕様書上、POSIX
互換システムコールを備えた OS との指定
A: Samba で問題ありませんが,所内には Windows, Mac, UNIX 等が混在しておりますので,可
能であれば CIFS の他にもファイル共有プロトコルを利用可能であることが望ましいと考えます。
16. Q: 対象となるアプリケーションを動作させるために必要な環境(HW/SW 要件)は?既製品であ
れば、具体的なアプリケーション名、バージョンも可能であれば情報提供いただきたい。
A: 現状では,アプリケーションとして, Mathematica, MATLAB + OPNET, Microsoft Visio, Adobe
Creative Suite, AutoCAD が利用され,またウイルスバスターコーポレートエディションサーバー
として利用されております。
17. Q: サイボウズ Office のバージョンは?
A: 現在は 6.6 です。年間継続サービスにより購入しておりますので,本仕様書により導入される
予定のシステムでは 7.0 をインストールする予定です。
18. Q: サーバを通過するウィルスのチェック機能は、対象サーバにソフトウェアを導入するほか、通
過する経路上にウィルス対策アプライアンス機器等を設置する方法でもよろしいでしょうか。ま
た,導入済みのウィルス対策ソフトウェアのライセンス更新は対象外との想定でよろしいですか。
A: お見込みの通りです。
19. Q: DHCP による動的アドレス割り当ての範囲は?(岩沼分室も含まれるかどうか)
A: 岩沼分室は既存の物品と回線を利用しますので,本契約の範囲外とします。DHCP で割り振る
アドレス空間は現在のアドレス空間を踏襲する予定です。DHCP 以外にも, 現在,所内で利用し
ている IP アドレス割り当ては基本的に踏襲する予定です。
20. Q: 5.3.2 で毎月外部媒体へ書き出しとあるが、ディスク上でのログ保存に対する要件はないか?
また、CD-R、DVD-R 等の 1 度だけ書き出し可能なメディアへの書き出しとあるが、書き出しを
行うためのマシン(ドライブ)については, 調達の範囲に含まれるか?
A: CD-R, DVD-R への書き出しについては,サーバのうち 1 台の内蔵光学ディスクが CD-R / DVD-R
へ書き込み可能であることを想定しています。
21. Q: ネットワーク機器のログを取得する想定はございますか。
A: 仕様書にも記載しておりますが,DHCP サーバをルータに行わせる場合,DHCP のログも取得
が必要です。また,これまでルータのログを参照することによりいくつかの問題が解決された事
例があるため,異常に関するログは取得されることが望ましいと考えます。
22. Q: 「OS は常に最新の状態に保つこと」とありますが、最新パッチを適用することを意図されて
いると考えてよろしいですか。(ライセンスの更新を伴うバージョンアップは対象外)
A: ライセンスの更新を伴うバージョンアップは必須ではありませんが,セキュリティパッチの
5
適用に OS のメジャーバージョンアップが必要であれば, 計画停止を活用した OS のメジャーバー
ジョンアップも必要とします。
23. Q: パッチ適用について、自動アップデート機能の利用について想定がございましたらご教授下
さい。自動アップデートを利用する場合、即時適用可能なメリットがございますが、デメリット
として最悪のケースでは上位アプリケーションの動作に影響を与える可能性がございます。自動
アップデートを禁止する(動作確認後適用する)場合、検証用環境の準備は必要でしょうか。
A: 自動アップデートの適用は利点と欠点の両方があり,システム構築費用とシステム保守費用の
トレードオフとなりますので,自動アップデートを適用するかのご判断はお任せします。当所と
しては可用性の要件を確保していただければ, どちらの選択肢を採用していただいても問題ない
と考えております。
24. Q: システム監視機能(サーバ監視、ネットワーク監視)の要否。
A: システム監視機能は必要です。当所が所有する既設の監視サーバはありません。
25. Q: 予備部品の扱いについて
A: 予備部品の調達は本仕様に含まれておりますが,予備部品を当所に常置するのではなく,故障
時に n 時間以内に交換可能,という保守サービスを利用していただいてもかまいません。また,
3 号棟計算機室は予備部品を設置するのに十分な場所があります。
本仕様書では,可用性が要件として規定されておりますが,可用性を確保する方法は多々ありま
すので, その中で最適と思われる方法をご選択の上ご提案いただければ幸いです。
26. Q: 定期バックアップについて、
「バックアップに必要な記録媒体は当所より提供(5.3.1)」とある
が、バックアップに関する要件別紙に記載されている「外付 HDD」を指しているか?
A: お見込みの通りです。
27. Q: NW の冗長性(障害時の自動切替)について記載がないが、基本的にシングル構成の NW が
前提か?
A: お見込みの通りです。シングル構成を予定する理由は以下の通りです。
• Static Route の方が安定性が高い。
• Dynamic Route の場合と比較して,故障時の原因究明に必要な時間が短い。
• 故障対応が容易
28. Q: FW 等の NW セキュリティ機器に関する記載がないが、既設機器として存在するか?
A: 存在しません。
29. Q: インターフェースとして、IEEE802.3ae × 8 以上、かつ IEEE802.3ae または IEEE802.3ak × 2
以上とあるが、それぞれの接続先はどこになるか?
A: IEEE 802.3ae は, 中央集約装置を設置する 3 号棟と各建物間の接続に利用します。内部境界ルー
タ及び 3 号棟ルータは, 3 号棟計算機室内の中央集約装置と同一または隣のラックに収容すること
を考えております。このインターフェースは IEEE 802.3ae または 802.3ak を想定しております。
30. Q: 内部サーバ群、Proxy サーバ、岩沼分室への接続機器および無線 LAN ルータについては、中
央集約装置への接続ではないか?(中央集約装置のインターフェース要件にこれらの機器を接続
するインターフェース要件と見受けられるものがない)
6
A: 10GbE のみのインターフェースを持つ中央集約装置に,10GbE と GbE のインターフェースの
両方を持つ各建物設置ルータと同様のルータまたはスイッチを接続して接続されることを予定し
ております。無線 LAN, 岩沼分室への接続, 内部サーバ群の接続には,サブネットを切った上で 3
号棟ルータを利用することも可能です。これには IEEE 802.3ae または 802.3ak を用いることを想
定しております。
31. Q: 外部境界ルータ, 内部境界ルータ: 3.2.2 ネットワーク装置に該当するものがないように思われ
るが、インターフェース等の仕様について提示願いたい。
A: 図 1 は論理構成予定図となっております。外部境界ルータは本調達に含まれますが, SINET
ノードに当所のルータを設置する必要はなくなりましたので,物理的には内部境界ルータと同一
の物品にすることが可能と考えております。
32. Q: 無線 LAN ルータ: 3.2.2 ネットワーク装置に該当するものがないように思われるが、インター
フェース等の仕様について提示願いたい。
A: わかりにくく申し訳ございませんが,内部サーバ群と同様,中央集約装置から各建物設置ルー
タと同様のルータ(またはスイッチ)に接続されることを想定しております。
33. Q: 仕様書 P7 図 1 から、各無線アクセスポイント(無線 LAN 装置)を集約して接続するための
ルータであるとの認識でよいか?
A: お見込みの通りです。
34. Q: また、仕様書 P7 図 1 右上のコメント「無線 LAN 用光ファイバーは既設のものを利用」とあ
り、上記認識で正しければ、これは各建物間を指していると思われるが、正しいか?
A: お見込みの通りです。
35. Q: 移行対象データは以下のデータとの想定でよいか?※その他データ移行対象となるものがあれ
ば、情報を提供いただきたい。
• NIS 管理のアカウント
• メールサーバ上のメールデータ(※移行方法により可能性ありと想定)
• 外部 DNS サーバの zone 定義情報
• 内部 DNS サーバの zone 定義情報
• 外部 Web サーバのコンテンツ
• ファイルサーバ上のデータ
• グループウェアサーバのデータ
A: お見込みの通りです。
36. Q: P.8 「システムの動作を監視すること」、「外部境界ルータを経由しない回線で実施すること」
は、電航研様内設置監視装置による確認を行うという理解でよいか?
A: お見込みの通りです。
37. Q: 工事関連のお見積り範囲は
• ラック設置、
• ラック内ケーブル
7
までで、電源工事、建物間配線、ラック間ケーブル接続用のパッチパネルは含まれないという認
識でよいか。
A: ラックの設置,ラック内ケーブル,ラック間ケーブルが工事として必要です。必要ならば電源
工事は含みますが,既存配線として単相交流 100V 及び 200V が中央集線装置及びサーバ群の設
置される 3 号棟計算機室に来ており,その他の建物は原則として単相交流 100V (一部単相 200V)
の配線工事が完了しているとお考えください。
38. Q: 5.1 に記載された作業は、「暗号化回線による外部からのログインサービス」等を利用し、リ
モート接続環境を準備し外部から作業を実施することは可能でしょうか。また、現在の実績等、
本作業の頻度に想定がございましたらご教授下さい。
A: 暗号化回線による外部からの作業の実施は可能です。その場合は,外部境界ルータが故障した
場合の対策を実施しておいた方がよろしいかと思いますが,この件に関する明示的な仕様は可用
性の条件のみです。
39. Q: 定期保守が実施可能な時間帯をご教授下さい。
A: 仕様書 1.2 節に記載しておりますが,主たる運用時間外に, 1ヶ月に最大 2 度, 1 回につき 1 時
間, 計画停止を実施可能です。
40. Q: 運用サポート業務として、システムに関する技術的な問合せ対応はございますか。
A: 脆弱性対応についてご相談する機会等はあると考えます。
41. Q: 2. システム概要の機能要件 P4「暗号化回線による外部からのログインサービス」も今回の提
供機器で実施すると考えてよいか?(※仕様書上にこれに関連すると思われる記載がない)
A: 暗号化回線による外部からのログインサービスも本仕様書に含まれます。現在は外部向けサー
バ群のうち 1 台で SSH により,限定されたユーザ向けにリモートログインサービスを実施し,
ポートフォワーディングを可能としております。しかし,仕様書上では,暗号化回線を SSH に限
定しておりません。SSL-VPN 等,別の方法でも問題ありません。
42. Q: サーバの仮想化を念頭に置かれているか?
A: 可用性確保のため,サーバダウン時に代替サーバを立ち上げる手段,及びサーバハードウェア
の共通化を念頭に置いております。可用性が何らかの方法で確保されていれば,サーバの仮想化
は必ずしも必要ではありません。
4 補足
仕様書には明記してありませんが,3 号棟計算機室は空調が完備されており,19 インチラックを数本
設置できるだけの場所は十分あります。そのため,熱がこもりやすく,高価になりがちなブレードサー
バは適さないと考えます。
8