地震研究情報データベースシステムのセキュリティ脆弱性診断 - jamstec

入 札 公
告
一般競争入札について、次のとおり公告する。
平成27年1月6日
独立行政法人海洋研究開発機構
分任契約担当役 経理部長
池川 和彦
(公印省略)
1.競争に付する事項
(1)件
名 地震研究情報データベースシステムのセキュリティ脆弱性診断
(2)履行期限 平成27年3月30日(月)
2.契約方式
最低価格落札方式(技術審査有)
3.競争参加資格
平成25・26・27年度
全省庁統一競争入札参加資格
:「役務の提供等」
4.必要書類等の提出場所等
(1)必要書類等の提出場所、契約条項を示す場所、入札説明書の交付場所及び問合せ先
〒237-0061 神奈川県横須賀市夏島町2番地15
独立行政法人海洋研究開発機構 経理部契約第1課 長谷川 智恵美
電話 046-867-9171 FAX 046-867-9125
(2)入札説明書の交付期間
平成27年1月6日(火)10:00~平成27年1月15日(木)17:00まで
(3)仕様説明会
無し
(4)必要書類の提出期限
平成27年1月27日(火)12:00
(5)入札及び開札の日時及び場所
平成27年2月13日(金)15:00
独立行政法人海洋研究開発機構 横須賀本部
本館3階
大会議室
5.入札者に求められる義務
入札に参加しようとする者は、4.
(2)の入札説明書の交付を受けなければならない。
6.その他
(1)詳細については、
「入札説明書」による。また、入札に当たっては、上記に記載のほか、
機構ホームページ(http://www.jamstec.go.jp/j/about/procurement/index.html)で
公表している「入札参加者心得」を熟読し承知した上で入札に参加すること。
(2)本公告に関する仕様書を、機構ホームページ(http://www.jamstec.go.jp/bid/)で公
表している。
14014595-1
X1
仕 様 書
1. 件名
地震研究情報データベースシステムのセキュリティ脆弱性診断
2. 概要
独立行政法人海洋研究開発機構(以下、
「当機構」という。
)国際海洋環境情報センターでは、当機
構が取得・収集した地震波形等のデータを解析・表示・提供する各種システムから構成される地震研
究情報データベースシステム(以下、
「本システム」という。
)を運用している。
本件は、安定的なシステム利用環境を維持するため、本システムを構成する Web アプリケーショ
ンとサーバ機器に対し、セキュリティ脆弱性診断を実施するものである。
3. 履行場所
神奈川県横浜市金沢区昭和町 3173-25
独立行政法人海洋研究開発機構 横浜研究所 指定場所
4. 履行期限
平成 27 年 3 月 30 日(月)
5. 提出書類
(1)脆弱性診断結果報告書(速報版)
電子媒体1部
※診断後 3 営業日後までに提出することとし、以下の内容を含めること。
1)診断結果の要約
(2)脆弱性診断結果報告書(正式版)
電子媒体1部
※診断後 10 営業日後までに提出することとし、以下の内容を含めること。
1)診断実施日、
2)診断環境の詳細
3)診断全体を通しての分析
4)検出された脆弱性情報
①脆弱性の解説、危険度、対処方法、関連情報へのリンク
5)診断対象器ごとの診断結果 (以下の内容を含めること)
① 脆弱性の解説、危険度、検出箇所、対処方法、関連情報へのリンク
6. 仕様
(1)診断対象
本件において Web アプリケーションの脆弱性診断を行う画面は 20 ページとし、ユーザ認証
に関わる画面も想定すること。また、プラットフォームの脆弱性診断を行う IP アドレス数は、
10IP アドレスとする。
(2)診断作業
1)セキュリティ診断ツールによる自動脆弱性診断と手動での応答確認による脆弱性診断を実施
することとし、診断内容は仕様書 6.(3) ~ (4)とすること。
2)診断作業はインターネット経由で行うこととし、事前に診断用 IP アドレスを当機構担当者
14014595-1
X1
に連絡すること。
3)診断作業日時は、事前に当機構担当者と調整の上、作業を実施すること。
4)診断中に診断対象サイトにサービス停止や著しい応答遅延が発生した場合には診断を中止し、
当機構担当者に報告を行うこと。
5)診断作業を行うために必要な端末装置および脆弱性診断ツールは、受注者にて準備すること。
なお、端末装置は最新のセキュリティ状態を保つこと。
6)当機構の許可なしに本作業の一部または全部を再委託しないこと。
(3)Web アプリケーション脆弱性診断
1)セッション管理の脆弱性に対する Web アプリケーション脆弱性診断ツールを使用し、以下
の項目の脆弱性を診断すること。
① ネットワークアクセス、ファイルアクセス制御の欠如
② ユーザ識別の欠如
③ 規則的なセッション追跡パラメータの使用
④ ID 空間の小さすぎるセッション追跡パラメータの使用
⑤ 推測可能なセッション追跡パラメータの使用
⑥ URL パラメータによるセッション追跡
⑦ 外部サイトへのリンクでセッション追跡パラメータが Referer として漏洩
⑧ TRACE メソッドによる Authorization ヘッダ漏えいの可能性
⑨ 暗号化されないアクセスに個人情報が含まれる cookie によるセッション追跡
⑩ 暗号化されないアクセスにセッション追跡パラメータが含まれる
⑪ 暗号化されないページへのリンクでのセッション追跡パラメータ Referer 送出
⑫ 暗号化されないページへのリンクでのセッション追跡用 cookie 平文送出
⑬ セキュアでない cookie の使用
⑭ http 上のログイン画面
⑮ ルートフレームが http にあるサブフレーム上のログイン画面
⑯ 異なるセッションで同一セッション追跡パラメータの使用
⑰ 永続的 cookie の使用、ログアウト機能の欠如
⑱ ログアウト後のサーバセッションの残存
⑲ サーバセッションの長時間にわたる残存
⑳ パスワードの出力
2)セッション管理以外を対象とする Web アプリケーション脆弱性診断ツールを使用し、以下
の項目の脆弱性を診断すること。
① パラメータの改ざん
② Hidden フィールドの不正操作
③ クロスサイトスクリプティング
④ クロスサイトリクエストフォージェリ
⑤ バッファオーバーフロー
⑥ シェルコマンド・インジェクション
⑦ OS コマンド・インジェクション
⑧ SQL インジェクション
⑨ 強制ブラウジング
⑩ サードパーティ製品の設定ミス
14014595-1
X1
⑪ 既知の脆弱性
⑫ バックアップファイルの検出
⑬ バックドアとデバッグオプション
⑭ HTML 中のコメント
⑮ ディレクトリトラバーサル
⑯ 不適切なエラーハンドリング
(4)プラットフォーム脆弱性診断
1)当機構担当者が指定するサーバ機器への擬似攻撃を行い、以下の項目を含めた脆弱性を診断する
こと。
①
②
③
④
⑤
⑥
⑦
⑧
⑨
⑩
⑪
⑫
⑬
⑭
⑮
⑯
ポートスキャン診断
ポートスキャン診断結果を基にしたバナー情報の取得
OS finger print 情報の取得
NetBios スキャン診断
ユーザアカウントの検索
パスワードのクラック診断
Web サーバで使用可能な method についての情報取得
TCP, UDP, ICMP の到達状況確認
traceroute の情報取得
dig 等による DNS サーバに登録されている各ホストの情報取得
ファイアウォールやルータ等によるアクセス制御設定の診断
設定不備によるシステム情報漏洩診断
稼働 OS 及び稼働サービスに対する既知の脆弱性診断
バッファオーバーフロー診断
擬似 DoS 攻撃による診断
手動オペレーションによる脆弱点およびアクセス可能ポートに対する侵入診断
7. 検査
提出書類の確認をもって検収とする。
8. 保証
(1)当機構が脆弱性に対応した項目について、診断後 1 ヶ月以内に再診断を実施することで改善の有無
をフォローアップすること。
(2)診断後半年の間、プラットフォーム診断対象機器で動作しているオペレーティングシステム(OS)と
外部にサービスを公開しているアプリケーションに関する最新のセキュリティホール情報と対策方
法を、逐次、日本語によって情報提供すること。
9. 守秘義務
(1)本件を遂行する上で知り得た情報は、その機密を保持するものとし、本件の実施に従事する者
に使用させる場合を除いて、第三者に開示又は漏洩してはならない。
(2)当機構担当者から提供を受けた情報は、本件の目的の範囲内でのみ使用するものとし、複製や
改変、第三者への開示が必要な場合には、事前に当機構担当者の承諾を得ること。
14014595-1
X1
10. 個人情報の預託の有無
無し
11. その他
本仕様書の内容に疑義を生じた場合は、当機構担当者と協議の上決定すること。
以上