別紙 NITE化審法連絡システムの改修及び保守運用仕様書 独立行政法人 製品評価技術基盤機構 化学物質管理センター安全審査課 平成 25 年 12 月 1.調達件名 NITE化審法連絡システムの改修及び保守運用仕様書 2.目的 独立行政法人製品評価技術基盤機構(以下「機構」という。)化学物質管理センター安全 審査課(以下「当課」という。)では、化学物質の審査及び製造等の規制に関する法律(以下 「化審法」という。)の新規化学物質届出等の法施行支援業務を行っている。当該業務 では、 化審法に基づく新規化学物質の届出に関わる資料等の確認や、事業者からの新規化学物 質の事前審査に関わる技術的 相談等の問い合せ対応を行っており、企業の機密情報を多く 取り扱っている。 当該業務におけるFAXやEメールによる誤送信を防止するため、当課では、平成 24 年度 に「企業情報等を扱う連絡システム委託業務」の中で、NITE化審法連絡システム(以下「連 絡システム」という。)の開発を委託し、平成 25 年 5 月より、事業者からの問い合せ対応や新 規化学物質に関わる機密情報の連絡等、業務において使用している。また、化審法の新規 化学物質届出システムとして化審法新規化学物質届出マニュアルにも記載され、 利用が推 奨されていることから、届出事業者から広く利用されている。このため、ユーザーの利便性の 確保及び業務の効率化を図るために、これまで事業者及び機構の業務担当者から寄せられ た要望等を反映し、連絡システムを改修する。 さらに、事業者等から広く利用されているために、平成 26 年度以降も引き続き、現行の連 絡システム又は同等の機能をもつシステムの継続使用が見込まれる。 したがって、連絡システムの改修を行うとともに、平成 26 年度以降の連絡システムの適切 な運用・保守を行うことによって、業務の円滑な運営を行う。 3.用語の定義及びシステム概要 (1)用語の定義 本役務に係る用語の定義を次のとおりとする。 使用される用語 定義等 新 お問い合 わせ対 応 シ 現行のお問い合わせ対応システムの機能を改修したシス テム又は同等の機能を持つシステム ステム 新連絡システム 公開用サーバ テナント 開発検証用サーバ 担当職員 新 お問 い合 わせ 対 応 シ ステ ムを 組 み込 んだ連 絡 シ ステ ム、又は同等の機能を持つシステム インターネットを通じて閲覧できる公開システムを導入して いるサーバ お問い合わせ対応システムにおける、3 つ(一般問い合わせ 業務、化 審法新 規届出 業務、技 術相談 業務)の業務に応じ た Web ページ 公開前に受け入れテストを行う際に用いるサーバ 独立行政法人製品評価技術基盤機構 化学物質管理セ ンター安全審査課担当職員 1 (ア)不正プログラムの感染 (イ)電子計算機への不正アクセスによるデータの改ざん (ウ)システム及びその提供するサービスの停止 緊急の対処が必要な事 (エ)情報の漏えい 象 (オ)データセンターへの不 正 侵 入 等 及 びそれによる電 子 計算機の不正利用 平日 請負者の既存著作物 第三者の既存著作物 (カ)その他、運用 担当 者 の判断で緊急 性が高いと判断さ れた場合 機構の「職員の勤務時間、休暇等に関する規程(平成 24 年 3 月 28 日改正、平成 24・03・28 評基第 005 号)」の第1 0条に指定する休日を除く日とする。 本役務の契約前から請負者が権利を有する著作物。ただ し、請負者がその著作物の権利の範囲について機構の承 認を得たものに限る。 機構及び請負者を除く第三者が権利を有する著作物 (2)システム概要 連絡システムは既存のクラウドサービスをベースにソフトウェア部分を機構独自にカスタマ イズしているものであり、お問い合わせ対応システム、本人認証システム及び機密ファイル 交換システムの 3 つのシステムから構成されている。 お問い合わせ対応システムは、事業者と機構の業務担当者間との連絡をセキュアに行う ためのシステムであり、一般問い合わせ業務、化審法新規届出業務、技術相談業務の 3 つ のテナントで構成されている。 本人認証システムは、事業者が初回連絡時に登録したメールアドレスあてに「本人確認」 のメールを送ることによって、連絡に使用する事業者のメールアドレスが正しいことを確認す るためのシステムである。 機密ファイル交換システムは、インターネット上でファイル保管用のディスクスペースを貸し 出すオンラインストレージサービスで、機密性の高い情報を機構の業務担当者と特定の相 手との間で交換する際に使用している。 <参考:現行のお問い合わせ対応システムの各テナントトップページ(現行システム)> システム トップページ URL http://www.safe.nite.go.jp/ お 問 い 合 一般問い合わせ https://www.kashinrenraku.nite.go.jp/sn/web/oshiete/top.html わ せ 対 応 新規届出 https://www.kashinrenraku.nite.go.jp/sn/web/todokede/top.html システム https://www.kashinrenraku.nite.go.jp/sn/web/soudan/top.html 技術相談 なお、応募者があり競争入札する場合に本システムの詳細について公開する。 4.作業内容 4.1.お問い合わせ対応システムの改修に係る作業 (1)現行のお問い合わせ対応システムの機能 に、別添1に示す機能を追加した新お問い 2 合わせ対応システムを構築すること。改修作業は担当職員と協議を行い、合意した作 業内容で、実施すること。 また、各内容に応じて必要な範囲の要件定義、設計、開発、単体・結合・総合テスト、 ドキュメントの追加、更新を行うこと。 なお、要件定義、設計を行う際は打ち合わせを行い、担当職員の承認を得ること。 (2)新連絡システムについて、以下の環境で正常に動作することを確認すること。 ①Microsoft Windows Vista 以降の OS で稼働し、提供元がサポートする Microsoft Internet Explorer ②Java Runtime Environment 7 以降の最新リビジョン (3)公開用サーバに新連絡システムを導入すること。また、導入する際 には、現行の連絡 システムに登録されている既存のデータを新連絡システムへ移行すること。 (4)公開用サーバへ新連絡システムを導入する前に、開発検証用サーバにアプリケーショ ンを導入し、新 連絡システムが正常に動作することを確認 すること。ただし、開発検証 用サーバは請負者が用意すること。 (5)新連絡システムの担当職員による受け入れテストの結果、システムに不具合が見つか った場合は修正を行うこと。 なお、修正 後のアプリケーションについては、再 度開 発 検証 用サーバに導入 し、 新 連絡システムが正常に動作することを確認した後、担当職員の承認を得てから、公開 用サーバへ導入すること。 (6)開発検証用サーバに導入した新連絡システムに対して、次のとおりセキュリティ診断を 行うこと。 ①セキュリティ診断は本役務により追加、変更した機能に対してだけではなく、アプリケ ーション全体に対して実施すること。 ②脆弱性等が顕在化した場合には、担当職員の指示に従い対処し、再度セキュリティ 診断を実施すること。また、再度 診断した結 果、脆弱性 等が残存する場 合 には、担 当職員の指示に従い対処すること。セキュリティ診断の結果、対処したものに関して 対処方法、対処しなかったものに関してその理由、代替措置及び影響等を報告書と してまとめ、対処後速やかに提出すること。 ③セキュリティ診断に関わる一切の費用を請負者がまかなうこと。また、セキュリティ診 断は、請負者及び請負者の親会社、子会社、グループ会社、系列会社以外の第三 者が実施すること。 4.2 運用・保守に関する作業 (1)サービス稼働時間 ①サービス稼働時間は、24 時間 365 日。 ②システムメンテナンスによる計 画 停 止 は、必 要 に応 じて行 い、原 則 、平 日 ( 9:00~ 19:00)に、4 時間以内に実施すること。計画停止は、担当職員に事前にアナウンス して実施すること。 計画的な工 事、又は定 期的な保守 等に伴うサービスを計画停 止する場合は、少 なくともその 2 週間前までに担当職員に連絡し、了承を得ること。 3 なお、運用を続けると明らかに障害に至ることがわかっている場合の緊 急停止に ついては、担当職員と別途協 議の上、対応を決めることとし、緊急停止中は稼働率 の停止時間として扱うものとする。 ③サービス稼働率目標は、サービス稼働時間において 99.9%(3 か月単位)とすること。 この目標値を下回った際には、原因及び調査結果並びに改善報告書を提出するこ と。 (2)定期メンテナンス ①お問い合わせ対応システムのメンテナンス作業について、下記のとおり行うこと。 (ア) お問い合わせ対応システムは、下記日程で定期メンテナンスを行うこと。 2 月、5 月、8 月、11 月の第 3 木曜日 AM 2:00~5:00 (イ) 必要性に応じて、臨時でメンテナンスを行うこと。 (ウ) システム停止を伴う場合は、担当職員に事前に連絡して実施すること。 ②本人認証システム・機密ファイル交換システムのメンテナンス作業について、下記の とおり行うこと。 (ア) 定期メンテナンス作業を月 1 回実施すること。 (イ) 必要に応じて不定期にメンテナンスを行う。日程は担当職員と協議の上決定 すること。 (ウ) メンテナンス作業の実施時間は、平日(9:00~19:00)の範囲とし、担当職員と 協議の上、決定すること。 (エ) システム停止がある場合、停止時間を原則 4 時間以内とし、担当職員に事前 に連絡して実施すること。 (3)バックアップとリストア ①別添 2 に示したデータのバックアップを取得すること。 ②毎日 1 回バックアップを自動実行し、7 世代(1 週間分)のデータを保管すること。 ③お問い合わせ対応システム・本人認証システムのバックアップとリストアについては、 システム障害時の復旧時のみ実施すること。機密ファイル交換システムのバックアッ プとリストアについては、保 管 中のバックアップデータを用いて、担 当 職 員 の指 示に 基づき、実施 すること。また、バックアップとリストアを行った際の作業内 容 を記録す ること。 (4)監視と障害対応 ①お問い合わせ対応システム・本人認証システム・機密ファイル交換システムの監視に ついて、下記のとおり行うこと。 (ア) システム稼動の監視は 24 時間自動監視とすること。 (イ) 稼働時間中、システム監視を自動実行し、サービス停止などを検知すること。 (ウ) 監視内容は、別添 2 とすること。 (エ) 警告及びエラーが検知された場合は、その内容を請負者より、担当職員へ連 絡すること。 (オ) 通常連絡の場合、通常連絡先の連絡可能時間内であれば連絡し、時間外で あれば翌営業日に連絡すること。 (カ) 緊急の対処が必要な事象を発見または検知した場合には、速やかに担当職 4 員の緊急連絡先へ連絡すること。 ②お問い合わせ対 応システム・本人 認 証システム・機密ファイル交 換システムの障害 対応について、下 記 のとおり行うこと。ただし、対 応 時 間は、平日 (9:00~18:00)の 範囲とし、時間外であれば翌営業日に対応してよいこととする。 (ア) 障害が発生した場合、障害対応作業を行い、適宜、担当職員へ報告を行うこ と。ただし、該当するシステムがクラウドサービスの場合、連絡システムの利用 に直接影響しない障害については、必要に応じて対応作業 を行い、その作業 内容を報告しなくてよいこととする。 (イ) 利用者が連絡システムに著しくアクセスしにくいまたは連絡システムを利用で きない等、継続的な運用に支障がある障害が発生した場合状況の調査・確認 及び障 害の切り分けを行 い、障害の原 因の調 査を行 うとともに、速やかに障 害を復旧させること。 (ウ) 緊急の対処が必要 な事象が発生し、緊急措置として、外部からのアクセス停 止やサービス停止を行う場合には、速やかに担当職員へ連絡し、担当職員の 承諾後、被害の拡大を防止するために必要な措置を実施すること。ただし、緊 急の場 合で担 当職 員 と連絡がつかない場 合は、請 負者の判 断で実施 しても よい。 ③緊急の対応が必要な事象が発生した場合、障害の復旧に必要となる作業の報告を 行うこと。報告事項には、以下を含むこと。 (ア) 障害等が発生した時刻 (イ) 障害が発生したシステム (ウ) 起きた現象及びその原因 (エ) 情報漏えいの有無及びその内容 (オ) 対処方法及び対処にかかる時間 ④担当職員の指示に基づき、障害対応のために必要となる設定変更の作業を行うこと。 実施した対処内容を記録し、担当職員に報告すること。 ⑤担当職員からの要請があった場合、遅くとも 2 時間以内に連絡システムを停止する こと。 ⑥原則、障害等が発生した日から 1 週間以内に、生じた障害等、実施した対処及び再 発防止策を含めた報告書を担当職員に提出すること。 (5)緊急時対応 ①障害発生時には、速やかに故障修理・復旧対応を行える体制を有すること。ただし、 対応時間は、平日(9:00~18:00)の範囲とし、時間外であれば翌営業日に対応して よいこととする。 ②24 時間 365 日において、担当職員からの要請があった場合、遅くとも2時間以内に 連絡システムを停止できる体制を確保すること。 (6)ソフトウェアのアップデート等の対応 ①お問い合わせ対応システムのソフトウェアのアップデート及びパッチ適用 作業とその 報告については、下記のとおり行うこと。 (ア) 緊急度の高い脆弱性と認めたとき、不定期で実施すること。 5 (イ) 通常は、システム停止しないで実施するが、システム停止を伴う場合は、担当 職員に事前に連絡して実施すること。 ②本人認証システム・機密ファイル交換システムのソフトウェアのアップデート及びパッ チ適用作業についての報告については、下記のとおり行うこと。 (ア) 導入しているソフトウェアの脆弱性に関する情報を適宜提供すること。 (イ) 導入しているソフトウェアのバージョンアップ及びリビジョンアッププログラムに 関する情報を適宜提供すること。 (ウ) セキュリティパッチが出された場合には、パッチを適用した時の影響を確認し、 適用すべきかどうかの意見を速やかに報告すること。 (エ) 担当職員の指示に基づき、ソフトウェアのバージョンアップ、リビジョンアップ及 びその他のパッチ適用の作業を行うこと。また、開発検証用サーバにより動作 確認を行い、担当職員に報告すること。 (オ) 連絡システムの運 用に重大なリスクがあると考 えられる脆弱 性が見つかった 場合には、その情報及び対処方針を作成し、速やかに担当職員に報告するこ と。 (7)ソフトウェアサポート 連絡システムに関わるソフトウェアサポートは毎年度保守サポートを更新すること。 (8)稼働確認と月次報告 ①システムの時刻同期の機能及び稼働状況の確認を月1回以上行うこと。 (ただし、該当するシステムがクラウドサービスかつ、正常に稼働している場合には、定 期的な稼働報告は行わなくてもよいこととする。) ②アクセスログ、システムログ(システム障害に関するログを含む)、アップデート対応、 監視及び稼働状況に関するレポートを毎月、原則として、月上旬に担当職員に報告 すること。提出可能なログは、CD または DVD メディアに暗号化して収録し、毎月 1 回提出すること。 (9)一元窓口を通じた問い合わせサポート 担当職員からの問い合わせに対しては、一元窓口を設けるとともに電話・メールで対 応すること。 電話での受付は、平日 9:00~18:00 とし、メールの受付は、原則常時可能とすること。 また、問い合わせの回答については速やかに行うものとするが、必ずしも即答する必要 はない。 ただし、緊急時の連絡受付に関しては、24 時間 365 日対応すること。 5.作業スケジュール 5.1 改修スケジュール 平成 26 年 7 月 31 日(木)までに公開用サーバに「4.1」の作業を全て終了したアプリケ ーションを導入すること。 5.2 運用・保守スケジュール 連絡システムの運用、保守期間は、平成 26 年 4 月 1 日(火)から平成 29 年 3 月 31 日(金)までとする。ただし、本役務で改修した新連絡システムを公開した時点より、改修後 6 のシステムを保守対象とすること。 6.実施方法及び進捗管理 (1)請負者は、契約後 5 営業日以内に、初回打ち合わせを行い、本役務における詳細なスケ ジュール、進捗管理に係る実施体制、実施方法、報告内容等について、書面にて説明し、 担当職員の承認を得ること。ただし、担当職員から打ち合わせ時期延期の承認を得られ た場合はこの限りではない。 (2)(1)で承認を得た事項について、やむを得ず変更する場合は、担当職員と事前に協議す ること。 (3)原則として改修期間中は、週 1 回、担当職員と打ち合わせを行い、進捗状況を報告する こと。保守に関しては、書面(電子メールも含む。)で報告し、担当職員が求める場合は面 会にて進捗報告をすること。 (4)改修期間中の進捗報告では、計画と実際の進捗状況の差を明らかにし、スケジュールに 対する遅れ等問題がある場合には、その原因を明らかにするとともに、対処方針を報告 すること。 (5)打ち合わせを行った場合、請負者は打ち合わせ議事録を提出し、担当職員の承認を得 ること。 (6)この章で定める文書は、請負者が規定する手順、書式に基づいて作成すること。ただし、 いずれの文 書についても、作 成 者 (または作 成 した組 織 名 )、作 成 日を必 ず記 載 するこ と。 7.情報セキュリティ対策 (1)請負者は、本 役務 の実施において情報セキュリティ(機構の提供 した情報の保 護)を確 保するための体制を整備すること。 (2)本役務の実施のために機構から提供する情報、またはその他当該役務の実施において 知り得た情報については、当該 役務の目的 以 外に利用しないこと。また、当該情 報は、 第三者に漏らしてはならない。ただし、あらかじめ知り得ている事項について、あらかじめ 知り得ていることを公的に立証できる場合においては、この限りではない。 (3)担当職員から提供されたデータ等を担当職員の同意なく複製しないこと。 (4)連絡システムにおける以下の脆弱性に対するセキュリティ上の対策を十分考慮して、作 業を行うこと。 ① SQL インジェクション ② OS コマンド・インジェクション ③ パス名パラメータの未チェック/ディレクトリ・トラバーサル ④ セッション管理の不備 ⑤ クロスサイト・スクリプティング ⑥ CSRF(クロスサイト・リクエスト・フォージェリ) ⑦ HTTP ヘッダ・インジェクション ⑧ メールヘッダ・インジェクション ⑨ アクセス制御や認可制御の欠落 7 ⑩ その他、使用するソフトウェアの既知の脆弱性 (5)本役務の遂行における情報セキュリティ対策の履行状況を確認するために、機構は請負 者に対して、取り扱わせる機構の情報の秘密保持等に係る管理状況の報告を求める場 合がある。 (6)本役務の遂行において、請負者における情報セキュリティ対策の履行が不十分であると 機構が指摘した場合には、請負者の責任者は、機構の求めに応じて協議を行い、合意 した対応をとることとする。 (7)請負者は、機構が請負者に求めるものと同水準の情報セキュリティを確保するための対 策を契約に基づき再請 負先である第三者にも行わせること。再請負 先 に行わせた情報 セキュリティ対 策 及 びこれを行 わせた結 果 に関 する報 告 を、請 負 者 に求 める場 合 があ る。 (8)運用期間中は毎年度、サーバ 3 台分(2 種類の URL)の有償のサーバ証明書(1 年分) を調達し導入すること。連絡システムは、シマンテック(旧ベリサイン)のサーバ証明書を 利用しているが、同等程度の信頼性のあるサーバ証明書とすること。 (9)機構が連絡システムにおけるセキュリティ診断の実施の可否を判断した場合は、担当職 員の指示に従い、機構が指定する第三者に対 して、セキュリティ診断を実施するために 必要な情報を提供し、協力すること。 8.特記事項 8.1.責任の所在 (1)納入日から起算して 1 年以内に新連絡システムに障害が発生した場合、速やかにそ の原因を調 査し、明らかにすること。また、障害 の原因がアプリケーションに起因する 場合は、請負者はシステムの正常稼働に必要な対応を実施すること。 (2)障害対応を実施した際は、担当職員に報告書を提出し、説明を行うこと。報告書には 原因、その分析及び再発防止策を必ず含めること。また、必要な場合、納品成果物の 更新も行うこと。障害対応に係る報告書及び更新した納品成果物については、担当職 員の了承を得ること。 (3)瑕疵担保責任を果たすために生じる一切の費用は、請負者がまかなうこと。 8.2.成果の取扱い (1)調達における納品成果物に関する権利(著作権法(昭和 45 年法律第 48 号)第 21 条 から第 28 条までに定める全ての権利を含む。)は、次の場合を除いて機構に帰属する ものとする。また、請負者は機構に対して著作人格権を行使しないものとする。 ①納入成果物に、「請負者の既存著作物」が含まれる場合。 ②納入成果物に、「第三者の既存著作物」が含まれる場合。 ③請負者が譲渡不能の非独占的使用の許諾権を有するものに関しては、機構は対価 を請負者に本仕様に基づく契約に含めて支払うことにより、請負者からその非独占 的使用権を許諾されるものとする。 (2)上記(1)の「第三者 の既存著作物」については、当該既存著作物の使用に必要な費 用の負担及 び使用 許諾 契約に係る一 切の手続 きを請負者が行うこと。この場合、請 負者は当 該契 約の内容 について、機構の承 認を得ることとし、機構は当 該既存 著作 8 物について、当該許諾契約の範囲内で使用するものとする。 なお、第三者との間に著 作権に係る権利 侵害の紛争が生じたときは、当 該紛争の 原因が機構の責に帰する場合を除き、請負者の責任、負担において一切処理するこ と。 8.3.必要な資料、データ等の請求 アプリケーションの改修に関する作業を行う為に必要な資料の収集については、原則と して請負者が行うものとするが、入手が困難な資料、データ等については、担当職員に相 談すること。 8.4.再委託について 本役務の一部を第三者に行わせる必要がある場合、業務の大部分(契約金額に対して 50%以上)を第三者に行わせないこと。また、確実に業務が実施できるように、第三者に対 して適切な管理等を行わせること。 9.納入成果物、期日及び納入場所 9.1.納入成果物 (1)納入場所 東京都渋谷区西原 2-49-10 独立行政法人 製品評価技術基盤機構 化学物質管理センター安全審査課 (2)運用・保守及び改修対象 NITE化審法連絡システム 一式 ①改修にかかる納入成果物 納入物 納入期日 数量 ①更新したドキュメント ②テスト結果報告書 平成 26 年 7 月 31 日 ③作 業 報 告 書 、打 ち合 わせ議 事 録 (木) 電子媒体 1 部 及び打ち合わせ関係資料 ④セキュリティ診 断 報 告 書 (再 診 断 セキュリティ診 断 結 果 を実 施 した場 合 にはその結 果 を含 への対 処 後 速 やかに む。) 提出 ②保守にかかる納入成果物 納入成果物 納入期日 数量 ①利用記録の月別集計結果 翌月の運用実施日 電子媒体 1 部 ②1 年間の利用記録を取り纏めた報 毎 年 度 末 ( 平 成 26、 紙・電子媒体 告書 27、28 年 3 月 31 日 各1部 ③打 ち合 わせ議 事 録 及 び打 ち合 わ 平成 29 年 3 月 31 日 電子媒体 1 部 せ関係資料 (金) ④更新したドキュメント 担 当 職 員 が指 定 した 電子媒体各 1 日 部 9 ⑤障害等調査報告書 担 当 職 員 が指 定 した 電子媒体各 1 日 部 9.2.納入成果物に関する注意事項 (1)提出されるすべての文書及び記録は、少なくとも作成者、作成日及び承認者を明記す ること。 (2)9.1.において納品する電子ファイルの形式については、事前に担当職員の了承を得 ること。 (3)データの取扱については、当該役務作業を行う際に、個人情報を含む連絡システム上 のデータの提供を、機構から受ける必要がある場合は、担当職員の指示に従うこと。 (4)連絡システムに関 わるアプリケーションの納品については、担当 職員の指示に従うこ と。 10.改修及び契約期間 (1)改修期間は、契約締結日から平成 26 年 7 月 31 日(木)までとする。 (2)保守及び運用期間は、平成 26 年 4 月 1 日(火)から平成 29 年 3 月 31 日(金)までと する。 なお、上記期間内であっても機構側の都合により年度をもって契約を終了する場合がある。 途中解約する場合にあっては契約解約日の 60 日前までに機構から事前連絡を行うものとす る。また、解約する場合に別途費用が発生しないこと。 11.作業内容の報告 作業終了後、作業内容等を記載した作業報告書を担当職員に提出すること。 なお、様式は任意とする。 12.その他 (1)メールアドレスの変更やその他重要な事項について、事前に、担当職員に通知すること。 (2)本件に関して知り得た情報は第三者に漏洩してはならない。 (3)当該仕様において不明な点がある場合は、担当職員に確認するものとする。 10
© Copyright 2024 ExpyDoc
