入 札 説 明 書 (平成 27 年度 ペネトレーションテストによる政府機関情報システムのセキュリティ 対策状況調査) 本調達案件は、電子調達システム(政府電子調達(GEPS))の電子入札機能を 利用した入開札手続きを取る。また、紙による入開札手続きを取ることも可能とす る。 URL https://www.geps.go.jp/ 内閣官房内閣総務官室 目 次 1.契約担当官等の氏名及びその所属する部局の名称並びに所在地 2.競争入札に付する事項 3.競争の方法 4.競争に参加する者に必要な資格に関する事項 5.入札書等の提出場所、契約条項を示す場所並びに入札説明書を交付する場所 6.入札説明会の日時及び場所 7.技術等提案書等の提出期限及び場所 8.入札及び開札の日時及び場所 9.入札及び契約手続において使用する言語及び通貨 10.入札保証金及び契約保証金 11.入札書の記載方法等 12.入札書の提出方法等 13.入札の無効 14.開札 15.契約書作成の要否及び契約条項 16.落札者等の決定方法 17.その他 18.問い合わせ先 別記様式1 別記様式2 別記様式3 別紙 入札書 委任状 契約書(案) 暴力団排除に関する誓約事項 仕様書 技術等提案書作成要領 入 札 説 明 書 1.契約担当官等の氏名及びその所属する部局の名称並びに所在地 (1) 契約担当官等 支出負担行為担当官 会計担当内閣参事官 大塚 幸寛 (2) 所属する部局 内閣官房内閣総務官室 (3) 所 在 地 〒100-8914 東京都千代田区永田町1-6-1 2.競争入札に付する事項 (1) 件 名 平成 27 年度 ペネトレーションテストによる政府機関情報システ ムのセキュリティ対策状況調査 (2) 仕 様 等 仕様書(別紙)のとおり (3) 契約条項 契約書(案) (別記様式3)のとおり (4) 契約期間 平成27年4月17日から平成28年3月31日まで (5) 履行場所 仕様書のとおり 3.競争の方法 一般競争入札(総合評価落札方式)による。 4.競争に参加する者に必要な資格に関する事項 (1) 予算決算及び会計令第70条の規定に該当しない者であること。ただし、未成 年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている 者については、この限りではない。 (2) 予算決算及び会計令第71条の規定に該当しない者であること。 (3) 平成25・26・27年度の内閣府所管参加資格審査(全省庁統一資格)にお いて「役務の提供等(調査・研究)」のA、B又はCの等級に格付けされている 者であること。 (4) 内閣官房における物品等の契約に係る指名停止等措置要領に基づく指名停止を 受けている期間中の者でないこと。 (5) 17. (1)に示す技術等提案書等を提出し、審査に合格した者であること。 5.入札書等の提出場所、契約条項を示す場所並びに入札説明書を交付する場所 〒100-8914 東京都千代田区永田町1-6-1 内閣府大臣官房会計課契約第3係 6.入札説明会の日時及び場所 入札説明会は開催しない。 7.技術等提案書等の提出期限及び場所 (1) 提出期限 平成27年3月23日(月) 正午 (郵送および電子調達システム(政府電子調達(GEPS))の電子 入札機能による入札の場合も、同時刻までに必着のこと。) (2) 場 所 東京都千代田区永田町2-4-12 内閣府庁舎別館5階 内閣官房 内閣サイバーセキュリティセンター 8.入札及び開札の日時及び場所 平成27年4月3日(金) 午後4時 内閣府庁舎1階第一入札室 電子調達システム(政府電子調達(GEPS))の電子入札機能による入札の場合に は、上記日時までに当該システムに定める手続に従い、入札書を提出しなければならな い。通信状況により執行時刻までに当該システムに入札書が到着しない場合があるので、 余裕を持って入札すること。 なお、システムの仕組み上、入札書を電子調達システム(政府電子調達(GEPS) ) の電子入札機能を用いて提出する場合には、7.の技術等提案書等もシステムを利用し て提出しておく必要があるので注意すること。技術等提案書等の合否判定が終了し、内 閣府から合格判定を受け取った後、システムに入札書を登録すること。(技術等提案書 等が多量の場合は、証明書等をいったん紙媒体で提出のうえ、証明書等の受領期限まで に送り状(紙媒体で提出したことを記した書面(様式自由))を、システムを利用して 提出することも可とする。 ) また、入札書(別記様式1)を郵送する場合は、平成27年4月2日(木) 午後5時 までに上記5の場所に必着のこと。 9.入札及び契約手続において使用する言語及び通貨 日本語及び日本国通貨に限る。 10.入札保証金及び契約保証金 免除する。 11.入札書の記載方法等 (1) 本入札においては、平成 27 年度 ペネトレーションテストによる政府機関情報 システムのセキュリティ対策状況調査について調達を行うものとする。 (2) 入札者は、当該調達に要する一切の費用を含む総価を見積るものとする。 (3) 落札決定に当たっては、入札書に記載された金額に当該金額の8パーセントに 相当する額を加算した金額(当該金額に1円未満の端数がある時は、その端数金 額を切り捨てた金額とする。)をもって落札価格とするので、入札者は、消費税 に係る課税事業者であるか免税事業者であるかを問わず、見積金額の108分の 100に相当する金額を入札書に記載すること。 12.入札書の提出方法等 (1) 入札参加者は、入札公告及びこの入札説明書並びに契約条項を熟読のうえ、入 札しなければならない。この場合において入札説明書等について疑義があるとき は関係職員の説明を求めることができる。 また、電子調達システム(政府電子調達(GEPS))の電子入札機能による 入札参加者は、当該システム操作マニュアルを熟読のうえ、入札すること。 ただし、入札後はこれらの不明を理由として異議を申し立てることはできない。 (2) 入札参加者は、入札書を電子調達システム(政府電子調達(GEPS))の電 子入札機能により提出しなければならない。 ただし、電子入札によりがたい場合には、入札書を作成し、直接又は郵便(書 留郵便に限る。 )により提出することができる。 なお、電報、ファクシミリ、電話その他の方法による入札は認めない。 (3) 入札書を直接提出する場合は、封筒に入れ封印し、かつ、その封皮に入札件名 及び入札日時を記載しなければならない。 (4) 書留郵便をもって入札書を提出する場合は、二重封筒とし表封筒に「入札書在 中」の旨を朱書し、中封筒に入札件名及び入札日時を記載し、支出負担行為担当 官あてに親展により入札書の提出期限までに提出しなければならない。 (5) 入札参加者は、提出した入札書を引換え変更又は取消しすることができない。 (6) 入札参加者は、技術等提案書等提出時及び入札書提出時において、最新の資格 審査結果通知書(全省庁統一資格)の写しを一緒に提出しなければならない。 また、代理人をして入札させるときは、入札書提出時において、その委任状(別 記様式2)を一緒に提出しなければならない。ただし、電子調達システム(政府 電子調達(GEPS))の電子入札機能による入札をする場合、当該システムで 定める利用者申請の手続きをもってこれに代えることができるものとする。 (7) 入札参加者又はその代理人は、当該入札に係る他の入札参加者の代理をするこ とができない。 (8) 入札参加者は、入札書の提出(電子調達システム(政府電子調達(GEPS)) の電子入札機能により入札した場合を含む。)をもって別紙「暴力団排除に関す る誓約事項」に誓約したものとする。代理人をして入札した場合においても同様 とする。 13.入札の無効 次の各号の一つに該当する入札書は、無効とする。 (1) 入札公告に示した入札参加に必要な資格のない者が提出した入札書 (2) 委任状を提出しない代理人が提出した入札書 (3) 金額を訂正した入札書、また、それ以外の訂正について訂正印のないもの (4) 誤字・脱字等により意思表示が不明確な入札書 (5) 明らかに連合によると認められる入札書 (6) 同一の入札について、2通以上提出された入札書 (7) 前記 12-(7)に違反した入札書 (8) 入札公告に示した日時までに到着しない入札書 (9) 入札公告により一般競争参加資格審査申請書及び指名を受けるための関係書類 を提出したものが、競争に参加する者に必要な資格を有するものと認められるこ と及び指名を受けることを条件に、あらかじめ入札書を提出した場合において、 当該入札者に係る審査が開札日時までに終了しないとき又は入札資格を有する と認められなかったときの入札書 14.開札 (1) 開札は、入札者又はその代理人を立会わせて行う。ただし、入札者又はその代 理人が立会わない場合は、入札事務に関係ない職員を立会わせて行う。 (2) 電子調達システム(政府電子調達(GEPS))の電子入札機能による入札参 加者の立会いは不要であるが、開札時刻には当該システムを利用している端末の 前で待機すること。 (3) 入札者又はその代理人は、開札時刻後においては、開札場に入場することはで きない。 (4) 開札をした場合において、入札者又はその代理人の入札のうち、予定価格を下 回る価格がないときは、直ちに再度の入札を行う。 なお、電子調達システム(政府電子調達(GEPS))の電子入札機能により 入札を行った場合は、再入札通知書に示す時刻までに再度の入札を行うものとす る。 ただし、再度の入札をしても落札者がないときは、入札を取りやめることがあ る。この場合、異議の申し立てはできない。 15.契約書作成の要否及び契約条項 (1) 契約締結に当たっては、契約書を作成するものとする。 契約書の作成は、電子調達システム(政府電子調達(GEPS))上で行うこ とができる。電子契約書の作成を希望する場合は、開札の日時までに電子事業者 登録を完了させなければならない。 (2) 契約条項は、契約書(案)のとおりとする。 なお、電子調達システム(政府電子調達(GEPS))上で契約書を作成する 場合には、別途電子契約書の条項による。 (3) 契約金額は、落札価格(前記 11-(3)参照)とする。 16.落札者等の決定方法 (1) 予算決算及び会計令第79条に基づいて作成された予定価格の制限の範囲内で、技術等 の要求要件のうち必須とされている項目の最低限の要求要件を全て満たしている者の中か ら総合得点(入札価格に対する得点及び技術等の評価に対する得点の合計)が最も高い者 を落札者とする。 入札価格に対する得点とは、入札価格を予定価格で除して得た値を一から減じて得た値 に入札価格に対する得点配分(技術等の要求要件のうち履行体制等の価格と同等に評価で きる項目の得点配分と等しい)を乗じて得た値とする。 技術等の評価に対する得点とは、技術等評価表に基づき得られた値とする。 (2) 落札者となるべき者が二人以上ある時は、直ちにくじを引かせ、落札者を決定 するものとする。また、入札者又はその代理人が直接くじを引くことができない ときは、入札執行事務に関係ない職員がこれに代わってくじを引き、落札者を決 定するものとする。 (3) 最も高い総合得点を獲得した入札者の入札価格が、予定価格の10分の5を 乗じて得た額を下回った場合は、一旦落札決定を保留し、落札者は、低入札価 格に関する確認を実施のうえ落札者を決定する。 (4) 上記(3)の対象となった入札者は、入札理由・入札価格の積算内訳・手持 ち案件の状況・履行体制・国及び地方公共団体等における契約の履行状況につ いて、資料提出及びヒアリング等に協力しなければならない。 17.その他 (1) 技術等提案書等について ① 入札参加者は、本業務に関する専門的知識、技術及び創意等を示す技術等提 案書を、上記7の技術等提案書等提出期限までに提出しなければならない。 ② 技術等提案書等の提出は、別紙 技術等提案要領のとおり行うこととする。 ③ 技術等提案書等の作成に要する費用は提出者の負担とする。 ④ 支出負担行為担当官等から、提出された資料に関して説明を求められた場合 には、それに応じなければならない。 ⑤ 支出負担行為担当官等は、提出された書類を本件以外に提出者に無断で使用 することは無い。 ⑥ 一旦受領した書類は返却しない。 ⑦ 一旦受領した書類の差替え及び再提出は認めない。 (2) 落札者は、落札後速やかに入札金額の内訳書(種類別の単価、工数及び金額) を作成し、支出負担行為担当官あてに提出すること。 (3) 入札参加業者名、入札金額、総合得点等については、電子調達システム(政府 電子調達(GEPS))及び外部からの問い合わせ等に対し、公表することとす る。 (4) 不明な点は下記 18.に問い合わせることとし、電子調達システム(政府電子 調達(GEPS) )の質問回答機能は使用しないこと。 (5) 本業務は、平成27年4月17日以前に平成27年度予算が成立しない場合に は、契約の中止を行うこともある。その場合、事前準備により発生した経費その 他の費用等は負担しない。 18.問い合わせ先 (1) 入札説明書及び契約に関する事項 内閣府大臣官房会計課契約第3係 電話番号 03-5253-2111(代表) 内線82352 03-3581-6005(直通) (2) 仕様書に関する事項 内閣官房 内閣サイバーセキュリティセンター 担当 斎藤 電話番号 03-3581-3959(直通) (3) 電子調達システム(政府電子調達(GEPS))に関する事項 電子調達システムヘルプデスク 電話番号 0570-014-889(ナビダイヤル) 017-731-3177(IP電話等をご利用の場合) 受付時間 8:30~18:30(平日) URL https://www.geps.go.jp/contact_us 以 上 別記様式1 入 札 書 平成 支出負担行為担当官 会計担当内閣参事官 年 月 日 殿 所 在 地 会 社 名 代表者又は 代理人等氏名 業者コード№ ㊞ (※1) (※2) 入札公告及び入札説明書承諾のうえ下記のとおり入札します。 記 1.入札件名 2.入札金額 ※1 平成 27 年度 ペネトレーションテストによる政府機関情報システ ムのセキュリティ対策状況調査 金 円(総価(※3) ・税抜き) 別記様式2-1及び2-2を使用し代理人等が入札する場合は、上記氏名欄に当 該代理人等の氏名を記入し、その代理人等使用印鑑の押印をすること。(この場合 代表者印は不要。 )代理人等が入札書を提出する時は、提出する本人(代理人等) の印が入札書に押されていないと「無効」となるので注意すること。 ※2 業者コードは資格審査結果通知書(全省庁統一資格)に記載されている業者コー ドを記入すること。 ※3 一切の費用を含む総価とする。 別記様式2-1 委 私は、 任 状 を代理人と定め、下記の権限を委任します。 記 1.平成 27 年度 ペネトレーションテストによる政府機関情報システムのセキュリテ ィ対策状況調査に係る契約の入札及び見積に関する一切の権限 2.1の事項に係る復代理人を選任すること 代理人使用印鑑 平成 年 月 ㊞ 日 住 所 会 社 名 代表者氏名 支出負担行為担当官 会計担当内閣参事官 ㊞ 殿 (注) 入札会場で入札書を代理人が提出する場合に必要な書類。代理人が提出する入 札書には上記の代理人使用印鑑を押す必要がある。(この場合、入札書への代表 者印の押印は不要)また、再入札となった場合の入札書に押印するため、入札会 場には上記の代理人使用印鑑を持参すること。 別記様式2-2 委 私は、 任 状 を復代理人と定め、下記の権限を委任します。 記 1.平成 27 年度 ペネトレーションテストによる政府機関情報システムのセキュリテ ィ対策状況調査に係る契約の入札及び見積に関する一切の権限 復代理人使用印鑑 平成 年 月 ㊞ 日 住 所 会 社 名 代理人氏名 支出負担行為担当官 会計担当内閣参事官 ㊞ 殿 (注) 入札会場で入札書を復代理人が提出する場合に必要な書類。代表者、代理人以 外の者が入札に参加する場合に作成すること。なお、復代理人が提出する入札書 には上記の復代理人使用印鑑を押す必要がある。 (この場合、入札書への代表者 印、代理人の印の押印は不要)また、再入札となった場合の入札書に押印するた め、入札会場には上記の復代理人使用印鑑を持参すること。 別記様式3 契 約 書(案) 支出負担行為担当官会計担当内閣参事官 大塚 幸寛(以下「甲」という。)と[団体名]○○ ○[代表者]○○○(以下「乙」という。)との間に下記条項により平成 27 年度 ペネトレーショ ンテストによる政府機関情報システムのセキュリティ対策状況調査の請負契約を締結する。 記 (契約の目的) 第1条 本契約の目的は次のとおりとする。 1.名 称 平成 27 年度 ペネトレーションテストによる政府機関情報システムの セキュリティ対策状況調査 2.規格及び数量 別紙仕様書のとおり 3.契約金額 金○,○○○,○○○円也 (うち消費税及び地方消費税額○○○,○○○円) 4.契約期間 平成27年4月17日~平成28年3月31日 5.納入場所 別紙仕様書のとおり (契約保証金) 第2条 契約保証金の納付は免除する。 (権利義務の譲渡) 第3条 乙は、本契約により生ずる権利義務の全部又は一部を甲の承諾を得ずに第三者に譲渡 し、又は承継させてはならない。ただし、信用保証協会及び中小企業信用保険法施行令 (昭和 25 年政令第 350 号)第1条の3に規定する金融機関、資産の流動化に関する法 律(平成 10 年法律第 105 号)第2条第3項に規定する特定目的会社、信託業法(平成 16 年法第 154 号)第2条第2項に規定する信託会社に対して債権を譲渡する場合にあっ ては、この限りではない。 2 乙が本契約により行うこととされた全ての給付を完了する前に、乙が前項ただし書に 基づいて、特定目的会社、信託会社(以下「丙」という。)に債権の譲渡を行い、乙が 甲に対し、民法第 467 条及び動産及び債権譲渡の対抗要件に関する民法の特例等に関す る法律(平成 10 年法律第 104 号)第4条第2項に規定する通知又は承諾の依頼を行っ た場合にあっては、甲は次の各号に掲げる異議を留めるものとする。 (1) 甲は、乙に対して有する請求債権については、譲渡対象債権金額と相殺し、又は、 譲渡債権金額を軽減する権利を保留する。 (2) 丙は、譲渡対象債権を第1項ただし書きに掲げる者以外の者に譲渡し又はこれに質 権を設定しその他債権の帰属並びに行使を害すべきことはできないこと。 (3) 甲は、債権譲渡後も、乙との協議のみにより、納品先の変更、契約金額の変更その 他契約内容の変更を行うことがあり、この場合、丙は異議を申し立てないものとし、 当該契約の変更により、譲渡対象債権の内容に影響が及ぶ場合には、もっぱら乙と丙 の間において解決されなければならないこと。 3 第1項ただし書きに基づいて乙が第三者に債権の譲渡を行った場合において、甲の対 価の支払による弁済の効力は、官署支出官内閣府大臣官房会計課長(以下「支出官」と いう。 )が、予算決算及び会計令(昭和 22 年勅令第 165 号)第 42 条の2に基づき、セ ンター支出官に対して支出の決定の通知を行った時点で生ずるものとする。 (再委託の制限) 第4条 乙は、業務の一部又は全部を再委託してはならない。 (監督) 第5条 (検査) 第6条 甲は、本契約の適正な履行を確保するため会計法(昭和22年法律第35号、以下 「法」という。)第29条の11第1項の規定に基づき甲の指定する職員をもって監督 に当たらせることができる。 乙は、成果物の納入に当たりその旨甲に通知し、甲又は甲の指定した職員(以下「検 査員」という。)の法第29条の11第2項の規定に基づく検査を受けなければならな い。 2 検査員は、前項の通知を受けたときは、その日から10日以内に検査をしなければな らない。 3 前項による検査の結果不合格となったものが生じた場合には、甲の指定した期限まで に補修、交換の措置を講じ再検査を受けなければならない。 4 検査に要する費用は、乙の負担とする。 (検査結果の通知) 第7条 甲は、前条による検査が終了したときは速やかに乙に通知しなければならない。 (代金の請求) 第8条 乙は、前条による通知を受け成果物の納入が完了したときは、当該代金を支出官に請 求するものとする。 2 支出官は、前項の規定による適法な支払請求書を受理したときは、その日から30日 以内に当該代金を支払わなければならない。 (支払遅延利息) 第9条 支出官は、前条第2項の規定による期間内に当該代金の支払いが完了しない場合は、 請求金額に約定の支払期限到来の日の翌日から支払いをするまでの日数に応じ年利 2.90%を乗じて得た金額を遅延利息として乙に支払わなければならない。 (遅延賠償金) 第 10 条 乙は、甲の指定する期限内に成果物を完納することができないと認められるときは、 速やかに甲に対し遅滞の事由及び完納見込月日を明らかにした書面を提出し甲の指示 を受けるものとする。 2 甲は前項の規定による書面の提出があったときは、審査の上期限後に完納する見込み があると認めるときは、遅延賠償金を徴収することとして期限延長を認めることができ るものとする。 ただし、遅延の事由が天災地変等やむを得ない場合には、乙はその事由を附して遅延 賠償金の免除を申し出ることができる。 3 前項に規定する遅延賠償金は、契約履行未済金額に年利5.00%を乗じて得た金額 とする。 (違約金) 第 11 条 甲は、乙が本契約による履行義務を果たさなかったとき又は不正行為(第 12 条に規定 する不正行為を除く。 )があったときは、契約金額の100分の10を違約金として徴 収して本契約を解除することができるものとする。 2 前項に定める違約金は、損害賠償の予定又はその一部としないものとする。 (談合等の不正行為に係る解除) 第 12 条 甲は、本契約に関して、乙が次の各号の一に該当するときは、本契約の全部又は一部 を解除することができる。 (1) 公正取引委員会が、乙又は乙の代理人(乙又は乙の代理人が法人の場合にあっては、 その役員又は使用人。以下同じ。)に対し、私的独占の禁止及び公正取引の確保に関す る法律(昭和22年法律第54号。以下「独占禁止法」という。)第7条又は同法第8 条の2(同法第8条第1号若しくは第2号に該当する行為の場合に限る。 )の規定によ る排除措置命令を行ったとき、同法第7条の2第1項(同法第8条の3において読み 替えて準用する場合を含む。 )の規定による課徴金の納付命令を行ったとき、又は同法 第7条の2第18項若しくは第21項の規定による課徴金の納付を命じない旨の通知 を行ったとき。 (2) 乙又は乙の代理人が刑法(明治40年法律第45号)第96条の6若しくは同法第 198条又は独占禁止法第89条第1項若しくは第95条第1項第1号の規定による 刑の容疑により公訴を提起されたとき(乙の役員又はその使用人が当該公訴を提起さ れたときを含む。 ) 。 2 乙は、本契約に関して、乙又は乙の代理人が独占禁止法第7条の2第18項又は第2 1項の規定による通知を受けた場合には、速やかに、当該通知文書の写しを甲に提出し なければならない。 (談合等の不正行為に係る違約金) 第 13 条 乙は、本契約に関し、次の各号の一に該当するときは、甲が本契約の全部又は一部を 解除するか否かにかかわらず、違約金(損害賠償金の予定)として、甲の請求に基づき、 契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の1 00分の10に相当する額を甲が指定する期日までに支払わなければならない。 (1) 公正取引委員会が、乙又は乙の代理人に対し、独占禁止法第7条又は同法第8条の 2(同法第8条第1号若しくは第2号に該当する行為の場合に限る。)の規定による 排除措置命令を行い、当該排除措置命令が確定したとき。 (2) 公正取引委員会が、乙又は乙の代理人に対し、独占禁止法第7条の2第1項(同法 第8条の3において読み替えて準用する場合を含む。)の規定による課徴金の納付命 令を行い、当該納付命令が確定したとき。 (3) 公正取引委員会が、乙又は乙の代理人に対し、独占禁止法第7条の2第18項又は 第21項の規定による課徴金の納付を命じない旨の通知を行ったとき。 (4) 乙又は乙の代理人が刑法第96条の6若しくは同法第198条又は独占禁止法第 89条第1項若しくは第95条第1項第1号の規定による刑が確定したとき。 2 乙は、前項第4号に規定する場合に該当し、かつ次の各号の一に該当するときは、前 項の契約金額の100分の10に相当する額のほか、契約金額の100分の5に相当す る額を違約金として甲が指定する期日までに支払わなければならない。 (1) 公正取引委員会が、乙又は乙の代理人に対し、独占禁止法第7条の2第1項(同法 第8条の3において読み替えて準用する場合を含む。)及び第7項の規定による納付 命令を行い、当該納付命令が確定したとき。 (2) 当該刑の確定において、乙が違反行為の首謀者であることが明らかになったとき。 (3) 乙が甲に対し、独占禁止法等に抵触する行為を行っていない旨の誓約書を提出して いるとき。 3 乙は、契約の履行を理由として、前各項の違約金を免れることができない。 4 第1項及び第2項の規定は、甲に生じた実際の損害の額が違約金の額を超過する場合 において、甲がその超過分の損害につき賠償を請求することを妨げない。 (違約金に関する遅延利息) 第 14 条 乙が第 11 条及び前条に規定する違約金を甲の指定する期日までに支払わないときは、 乙は、当該期日を経過した日から支払をする日までの日数に応じ、年5%の割合で計算 した額の遅延利息を支払わなければならない。 (暴力団排除) 第 15 条 暴力団排除に関する契約条項については、別添「暴力団排除に関する条項」によるも のとする。 (危険負担) 第 16 条 第7条に規定する検査通知を受理する以前に生じた損害は、すべて乙の負担とする。 (かし担保) 第 17 条 甲は、成果物にかしがあるときは、乙に対して相当の期限を定め代品の納入を請求し 又は代品の納入にかえてその損害賠償を請求できるものとする。 (秘密の保持) 第 18 条 乙又はその使用人は、本契約履行上知り得た事項を他に漏らし又は他の目的に利用し てはならない。 (知的財産権の取扱い) 第 19 条 本契約に基づく業務遂行の過程で行われた発明、創作等によって生じた特許権、著作 権(著作権法第 27 条、第 28 条に規定する権利を含む。)、その他の知的財産権を乙は甲 に無償で譲渡し、乙は著作者人格権を行使しないものとする。 (紛争の解決) 第 20 条 本契約に疑義が生じたとき又は本契約書に明記してない事項については、その都度甲 乙協議の上決定するものとする。 (補則) 本契約を証するため本書2通を作成し、当事者が記名押印の上各自その1通を保有する。 平成27年4月17日 甲 東京都千代田区永田町1-6-1 支出負担行為担当官 会計担当内閣参事官 大 塚 幸 寛 乙 住所 団体名 代表者職名・氏名 別添 暴力団排除に関する条項 (属性要件に基づく契約解除) 第1条 甲は、乙が次の各号のいずれかに該当すると認められるときは、何らの催告を要せず、 本契約を解除することができる。 (1) 法人等(個人、法人又は団体をいう。 )の役員等(個人である場合はその者、法人である 場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。 )の代表者、団体 である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。 ) が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第 77 号)第 2条第2号に規定する暴力団をいう。以下同じ。 )又は暴力団員(同法第2条第6号に規定 する暴力団員をいう。以下同じ。 )であるとき (2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的、又は第三者に損害を加 える目的をもって、暴力団又は暴力団員を利用するなどしているとき (3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直 接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき (4) 役員等が、暴力団又は暴力団員であることを知りながらこれを不当に利用するなどして いるとき (5) 役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有しているとき (行為要件に基づく契約解除) 第2条 甲は、乙が自ら又は第三者を利用して次の各号のいずれかに該当する行為をした場合は、 何らの催告を要せず、本契約を解除することができる。 (1) 暴力的な要求行為 (2) 法的な責任を超えた不当な要求行為 (3) 取引に関して脅迫的な言動をし、又は暴力を用いる行為 (4) 偽計又は威力を用いて甲又はその職員の業務を妨害する行為 (5) その他前各号に準ずる行為 (表明確約) 第3条 乙は、前2条各号のいずれにも該当しないことを表明し、かつ、将来にわたっても該当 しないことを確約する。 2 乙は、前2条各号のいずれかに該当する者(以下「解除対象者」という。 )を下請負人等 (下請負人(下請が数次にわたるときは、全ての下請負人を含む。)及び再受託者(再委託 以降の全ての受託者を含む。 )並びに乙、下請負人又は再受託者が当該契約に関して個別に 契約する場合の当該契約の相手方をいう。以下同じ。)としないことを確約する。 (下請負契約等に関する契約解除) 第4条 乙は、契約後に下請負人等が解除対象者であることが判明したときは、直ちに当該下請 負人等との契約を解除し、又は下請負人等に対し契約を解除させるようにしなければなら ない。 2 甲は、乙が下請負人等が解除対象者であることを知りながら契約し、若しくは下請負人 等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該下請負人等 との契約を解除せず、若しくは下請負人等に対し契約を解除させるための措置を講じない ときは、本契約を解除することができる。 (損害賠償等) 第5条 甲は、第1条、第2条及び前条第2項の規定により本契約を解除した場合は、これによ り乙に生じた損害について、何ら賠償ないし補償することを要しない。 2 乙は、甲が第1条、第2条及び前条第2項の規定により本契約を解除した場合において、 甲に損害に生じたときは、その損害を賠償するものとする。 3 甲は、第1条、第2条及び前条第2項の規定によりこの契約の全部又は一部を解除した 場合は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額。 一部解除の場合は、解除部分に相当する金額)の 10%の金額を乙から違約金として徴収す るものとする。 4 前項の規定は、甲に生じた実際の損害の額が違約金の額を超過する場合において、甲が その超過分の損害につき賠償を請求することを妨げない。 (不当介入に関する通報・報告) 第6条 乙は、自ら又は下請負人等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から 不当要求又は業務妨害等の不当介入(以下「不当介入」という。 )を受けた場合は、これを 拒否し、又は下請負人等をして、これを拒否させるとともに、速やかに不当介入の事実を 甲に報告するとともに、警察への通報及び捜査上必要な協力を行うものとする。 別紙 暴力団排除に関する誓約事項 当社(個人である場合は私、団体である場合は当団体)は、下記事項について入札書又は見積 書の提出をもって誓約します。 この誓約が虚偽であり、又はこの誓約に反したことにより、当方が不利益を被ることとなって も、異議は一切申し立てません。 また、貴職の求めに応じて当方の役員名簿(有価証券報告書に記載のもの(生年月日を含む。 ) ただし、有価証券報告書を作成していない場合は、役職名、氏名、性別及び生年月日の一覧表) 等を提出すること、及び当該名簿に含まれる個人情報を警察に提供することについて同意します。 記 1 次のいずれにも該当しません。また、当該契約満了まで該当することはありません。 (1) 契約の相手方として不適当な者 ア 法人等(個人、法人又は団体をいう。 )の役員等(個人である場合はその者、法人である 場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。 )の代表者、団体 である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。 ) が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成 3 年法律第 77 号)第 2条第2号に規定する暴力団をいう。以下同じ。 )又は暴力団員(同法第2条第6号に規定 する暴力団員をいう。以下同じ。 )であるとき イ 役員等が、自己、自社若しくは第三者の不正の利益を図る目的、又は第三者に損害を加 える目的をもって、暴力団又は暴力団員を利用するなどしているとき ウ 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直 接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき エ 役員等が、暴力団又は暴力団員であることを知りながらこれを不当に利用するなどして いるとき オ 役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有しているとき (2) 契約の相手方として不適当な行為をする者 ア 暴力的な要求行為を行う者 イ 法的な責任を超えた不当な要求行為を行う者 ウ 取引に関して脅迫的な言動をし、又は暴力を用いる行為を行う者 エ 偽計又は威力を用いて契約担当官等の業務を妨害する行為を行う者 オ その他前各号に準ずる行為を行う者 2 暴力団関係業者を下請負又は再委託の相手方としません。 3 4 下請負人等(下請負人(一次下請以降の全ての下請負人を含む。)及び再受託者(再委託以 降の全ての受託者を含む。)並びに自己、下請負人又は再受託者が当該契約に関して個別に締 結する場合の当該契約の相手方をいう。)が暴力団関係業者であることが判明したときは、当 該契約を解除するため必要な措置を講じます。 暴力団員等による不当介入を受けた場合、又は下請負人等が暴力団員等による不当介入を受 けたことを知った場合は、警察への通報及び捜査上必要な協力を行うとともに、発注元の契約 担当官等へ報告を行います。 平成 27 年度 ペネトレーションテストによる政府機関情報システムの セキュリティ対策状況調査 仕様書 内閣サイバーセキュリティセンター 1.総則 (1) 名称 「平成 27 年度 ペネトレーションテストによる政府機関情報システムのセキュリティ対策状 況調査」(以下「本調査」という。) (2) 適用範囲 本調査について規定する。 (3) 契約期間 契約日から平成 28 年3月 31 日(木) (4) 本件の担当部署 内閣サイバーセキュリティセンター(以下「当センター」という。) 2.本調査に関する要求 (1) 本調査の目的 本調査は、当センターが選定した府省庁(以下「調査実施府省庁」という。)のシステ ムに対して、システム内部への侵入可否及び被害の発生状況について、攻撃者が実際 に行っている最新の攻撃手法を用いて客観的に検証するペネトレーションテストを行うこ とで、セキュリティ上のリスクの有無を調査することを目的とする。 (2) 内容 ア 調査対象 調査実施府省庁(14府省庁)のインターネットとの間で IP 通信が可能なシステム であって、1府省庁あたりのシステム数を平均3システムとし、1システムあたりの IP アドレス数を平均30程度とする各種サーバ、端末、通信機器等を想定している。(14 省庁で、計 42 システム 1260IP 程度) ここでいう IP アドレス数については、インターネットから接続できる各種サーバ等に 付与されたもののほか、イントラネットに設置された各種サーバ等に付与されたもの も含む。これら調査対象とするシステム及びその IP アドレス等については、事前に調 査実施府省庁及び当センターと協議し、確認・調整を行うこと。調査対象となるシス テムの一部は地方支部局等に設置されている場合もあるため、設置場所が首都圏 内となるシステムについてはインターネットからの攻撃のほかDMZ及びイントラネッ トからの攻撃も想定し、設置場所が首都圏外となるシステムについてはインターネッ トからの攻撃を想定すること。 なお、調査対象の確認・調整に当たっては、調査実施府省庁側で必要となる事前 -1- 準備・確認事項(例えば、データのバックアップの取得や、通信監視を委託している 業者を始めとする関係先への連絡、調査実施時においてサービス障害等が発生し た場合の技術的な対応、必要に応じた復旧支援態勢等)について、調査対象システ ムごとに調査実施府省庁及び当センターへ説明することも含むこと。 イ 侵入シナリオ ① 侵入シナリオの作成に必要となる調査対象システムにかかる情報(例えば、ネ ットワーク構成図等)を調査実施府省庁に確認すること。 ② 前号①で確認した情報を基に、調査対象システムの構成、当該システムで扱わ れる情報資産の価値、当該システムに侵入された場合の影響度等を踏まえて、 侵入シナリオを設計すること。少なくとも、表 1 に示す項目を侵入シナリオに含 めること。 ③ 設計した侵入シナリオについては、実施する内容及び日程の妥当性等につい て、調査実施前に当センター及び調査実施府省庁と協議し、承認を得ること。 協議の結果、当センター及び調査実施府省庁から承認が得られなかった場合 は、侵入シナリオを再設計した後に再協議すること。 落札後の作業 当センター及び調査実施府省庁との協議 A省○○システム 必要な情報 の確認 侵入 シナリオ 設計 ペネトレーションテスト実施 合格 再協議 不合格 検査対象システム毎に 検査対象システム毎に、【必要な情報の 【疑似侵入シナリオ設計】⇒【協議】 確認】⇒【侵入シナリオ設計】⇒【協議】 ⇒【テストの実施】の流れで行う ⇒【テストの実施】の流れで行う 合格 侵入シナリオ再設計 不合格 B省△△システム 当センター及び調査実施府省庁との協議 必要な情報 の確認 侵入 シナリオ 設計 合格 図 1:侵入シナリオの設計フロー -2- 再設計 表 1:侵入シナリオ項目表 項目 ・調査対象システムへの侵入可能性の調査・分析 - 調査対象システムで使用されているソフトウェア、稼働しているサービス、 オープンしているポート等を検査する方法について示すこと (1) - 実現可能で効果的な攻撃手法がどの程度存在しているのかを調査・分 析する方法について示すこと(想定として、標的型攻撃に用いられる不正 プログラムが侵入したケース等を含む) - 分析の際の判断基準を示すこと ・ペネトレーションテストの実施 - (2) (1)での分析結果を基に、ペネトレーションテストの実施範囲、深さのほ か、想定される侵入手法について、図表や例等を用いて具体的に示すこ と ・ペネトレーションテストの結果の検証 (3) - ペネトレーションテストの結果に基づいてリスクを評価及び分析する方法 について示すこと ウ ペネトレーションテスト結果の報告 「4.提出書類等」に示す内容を満たす個別調査結果報告書および全体結果報告書 を作成し、当センターの承認を得ること。 (3) 受託者に求める要件 受託者が本調達に係る作業(以下「本業務」という。)を行うに当たっては、以下に示 す要件を満たすこと。 ア 受託者の資格等 ① 経済産業省の「情報セキュリティ監査企業台帳」(平成 26 年度登録分)の次の 項目全てに登録されていること。 a 「IT 関連業務内容」の「セキュリティ監査」及び「セキュリティサービス」 b 「セキュリティ関連業務」の「リスク評価/脆弱性評価サービス」 c 「セキュリティ監査対象の分野・業種」の「公務(官公庁・自治体等)」 d 「前年度の情報セキュリティ監査の実績」の「助言型監査-企業外監査 (大企業)」又は「助言型監査-企業外監査(官公庁・自治体)」 e ② 「取得している監査関連の認証」の「ISMS 適合性評価制度」 過去3年間において、日本の政府機関の情報システムにおけるペネトレーショ ンテスト、プラットフォーム診断、ウェブアプリケーション診断等のセキュリティ診 -3- 断の実績を3件以上有するとともに、日本の政府機関以外を含む組織の情報 システムにおけるペネトレーションテストの実績を毎年3件以上有すること。 イ 体制 ① 受託者は、本業務を円滑に遂行するための体制を整備すること。「円滑に遂行 するための体制」には最低限、以下の項目を含めること。 遅滞なく本業務を遂行するための調査実施府省庁との調整体制 当該業務の実施において情報セキュリティを確保するための体制(情報セ キュリティ管理体制、事故発生時の対処体制及び対処方法、実施場所の セキュリティ確保方法) 本業務にかかる作業工程及びその進捗状況を管理する体制 調査対象システムに関し、個人・組織の不正等により意図せざる情報の流 出や意図せざる変更が行われないための十分な管理体制を有すること。 日本政府との利益相反を有しないこと。 なお、当該体制の妥当性を当センターが確認する際の参照情報として、受託 者の資本関係・役員等の情報、当該業務の実施場所、責任者及び作業従事者 の所属、雇用形態、実績(経験年数、資格等)及び国籍についての情報を資料 に含めること。 ② 受託者は、契約締結後、当センターへ速やかに体制図を含めた「担当者名簿」 を提出すること。 ③ 本業務を遂行する上で不適当と認められる責任者及び作業従事者について、 当センターは受託者に対し、交代を求めることができるものとする。ただし、交 代の際は交代前と同等以上の技能等を有すると当センターが認めた者に限 る。 ④ 本業務の契約期間中に受託者の事情により責任者又は作業従事者を変更す る場合は相応の期間をもって事前に当センターへ通知し、許可を得ること。 ⑤ 受託者は、契約締結後、NISC が作成した責任者及び作業従事者の機密保持 に関する誓約書等をとりまとめ、速やかに当センターへ提出すること。 ⑥ 本仕様書に基づく作業に当たっては、作業の一部又は全部を第三者(再委託 先)に請け負わせないこと。 ウ 責任者及び作業従事者の経験及び資格 責任者及び作業従事者は、以下の要件を満たすこと。なお、①と②を同一人物が 兼務することを妨げないが、③の作業従事者 3 人の中に①と②は含まないものとす る。 -4- ① プロジェクト責任者 a 過去3年間において、日本の政府機関の情報システムに係るプロジェク トマネジメント業務の責任者としての経験を有すること。 ② ペネトレーションテスト責任者 a 情報セキュリティに係る業務の経験年数を 5 年以上有し、かつペネトレー ションテストの責任者としての経験を有すること。 b 「情報処理の促進に関する法律」(昭和四十五年法律第九十号)に基づ いて行われる情報処理技術者試験、他の民間団体が認定するセキュリ ティ資格のうち、以下のいずれかの資格を有しているかまたは、資格を 有することと同等以上の技術を保持していること。 ・情報セキュリティスペシャリスト ・公認情報システムセキュリティ専門家(CISSP) ③ 作業従事者 a 作業従事者3名以上(うち少なくとも 3 名は、3 年以上のペネトレーション テストの経験を有すること。) b 作業従事者の 3 名以上は、以下のいずれかの資格を有しているかまた は、資格を有することと同等以上の技術を保持していること。 ・情報セキュリティスペシャリスト ・公認情報システムセキュリティ専門家(CISSP) エ 責任者及び作業従事者の知識 責任者及び作業従事者は、以下の内容を把握していること。 ① 内閣官房情報セキュリティセンター「政府機関の情報セキュリティ対策のための 統一基準群」 ② 独立行政法人情報処理推進機構「安全なウェブサイトの作り方」、「安全な SQL の呼び出し方」、「セキュア・プログラミング講座 Web アプリケーション編」、「セキ ュア・プログラミング講座 C/C++言語編」、「「高度標的型攻撃」対策に向けたシ ステム設計ガイド」 ③ 不正アクセス行為の禁止等に関する法律 オ 情報の取扱い 本業務の実施のために当センターから提供する情報その他当該業務の実施におい て知り得た情報については、その秘密を保持し、漏えい・紛失・盗難等が起こらぬよ うに必要な措置を講じ、当該業務の目的以外に利用しないこと。 カ 本業務範囲外の操作の禁止 -5- 受託者は、本業務に必要な範囲を超えて、システム内の情報の閲覧・取得や調査対 象外のシステムへの侵入等を行わないこと。また、本業務におけるシステムの操作 ログや作業履歴等を記録すること。 なお、記録すべき具体的なログ・情報等についは調査対象システム毎に当センター と協議し、当センターが要求した場合は提出できるようにすること。 キ 情報セキュリティ対策実施の報告 本業務の遂行において、1 週間に 1 回、上記オ及びカに関する情報セキュリティ対策 の履行状況を当センターへ報告するとともに、情報セキュリティインシデントの発生、 情報の目的外利用、情報セキュリティ対策の履行が不十分であること等を認知した 場合は、直ちに当センターへ報告すること。また、被害の程度を把握するため、受託 者は必要な記録類を契約終了時まで保存し、当センターの求めに応じて成果物と共 に当センターへ引き渡すこと。 ク 情報の廃棄 受託者は、本業務の契約終了後、本業務の成果物及びその補足資料を除き、全て の情報は、受託者において責任のある者の管理の下で廃棄すること。また、廃棄し た情報及びその方法を当センターへ報告し、確認を受けること。 なお、ここでいう「廃棄」とは、全ての者による情報入手、復元及び内容の判読がで きない状況にすることを意味する。 成果物及びその補足資料の保管は瑕疵担保期間の終了時までとし、書面及び CD-R 等媒体についても、瑕疵担保期間終了後、前述と同様に返却又は廃棄を行う こと。 ケ 監査の受け入れ 本業務の遂行における情報セキュリティ対策の履行状況を確認するために、当セン ターが情報セキュリティ監査の実施を必要と判断した場合は、情報セキュリティ監査 を受け入れること。 なお、その実施内容については、受託者と当センターとの協議の上で決定するもの とする。 3.作業スケジュール等 (1) 作業スケジュール -6- 平成 27 年4月~5月 ・ キックオフ ・ 役割分担、スケジュール確認等 ・ 調査実施府省庁と調査事前説明会日程や 調査実施日程の調整、調査実施に必要な 情報収集 平成 27 年6月~平成 28 年2月 ・ 調査事前説明会 ・ 調査実施 ・ 個別調査結果報告書の作成、提出 ・ 調査実施府省庁ごとの個別結果報告会 ・ 個別結果報告会後の質問対応 平成 28 年3月 ・ 全体結果報告書の作成・提出 (2) スケジュール調整及び調査事前説明会の開催 ア 受託者は、調査実施府省庁の担当者と調査事前説明会や調査実施日のスケジュ ールについて調整すること。調査事前説明会は、調査実施府省庁又は当センターで 実施すること。調査事前説明会は原則として調査実施府省庁ごとに最低1回行うが、 複数の調査実施府省庁の調査事前説明会を同日に実施するなどにより、効率的に 実施すること。調査実施に必要な情報は、受託者が調査実施府省庁の担当者にヒ アリング等を行い、収集すること。 イ 調査事前説明会においては、調査日程、調査内容、調査実施に当たっての注意点 等について、説明や調整を行うこと。 (3) 調査実施 ア 調査実施は月曜日から金曜日(祝祭日を除く)午前 10 時から午後6時の間に行うこ と。ただし、調査実施府省庁が上記以外の日時に検査を希望した場合は、当該調査 実施府省庁と調整の上、体制を整備すること。 イ 作業開始前及び作業終了後には、調査実施府省庁の担当者に連絡すること。 ウ 日本国内から調査を実施すること。また、調査に係るデータ、調査結果等について はクラウドサービス等のインターネット上のサービスにて取り扱わず、必ず受託者の -7- 責任において暗号化された専用の端末内又は外部電磁的記録媒体に保管するこ と。 エ 調査において、脆弱性等を利用して攻撃するためのプログラムを利用する場合は、 当該のプログラムを利用することによって判明する問題点の詳細及び利用した際に 想定されるリスクについて、調査実施府省庁及び当センターに説明し了承を得るこ と。 オ 調査において、検出した問題を利用して侵入できると判断した場合、調査実施府省 庁及び当センターに対して、その旨を速やかに連絡し、その後の対応について調査 実施府省庁及び当センターと調整を行うこと。 カ 作業中はサービスを停止させたり、又は阻害したりしていないか常に状況を確認す ること。 キ 万が一、サービスを停止させ、又は阻害した場合は、速やかに作業を中止し、調査 実施府省庁の担当者及び当センターへ連絡すること。また、サービス復旧の際は、 調査実施府省庁の担当者及び当センターの指示に従い、作業を実施すること。 ク キにおいて作業を中止した場合、作業の再開については、調査実施府省庁の担当 者と再開に伴う影響も含め、十分に調整し、サービスへの影響が生じない対策を講 じること。 ケ 調査に当たっては当センターの職員が立ち会うことがある。 (4) 個別結果報告会の開催 ア 調査実施府省庁ごとに最低 1 回、個別結果報告会を実施すること。なお、当センタ ーが調査実施府省庁の部局等ごとに当該報告会を求める場合は、当センターと協 議の上対応すること。 イ 個別結果報告会は、調査実施府省庁又は当センターで実施すること。 (5) 質問対応の実施 ア 個別結果報告会実施後、各調査実施府省庁の担当者からの技術的な対策等の説 明に関する不明点について、質問対応が速やかに実施できる体制を整えること。 -8- 4.提出書類等 ア 受託者は、調査結果について、調査対象システムごとに個別調査結果報告書を作 成すること(10 ページ以上)とし、当センターと協議の上対応すること。また、本調査全 体についてまとめた「全体結果報告書」を作成すること(20 ページ以上)。 ① 個別調査結果報告書(紙媒体版):1 部 ② 個別調査結果報告書(CD-R 又は DVD-R 版):2 枚(正 1 枚、副 1 枚、以下「メ ディア版」という。) ③ 全体結果報告書(紙媒体):1 部 ④ 全体結果報告書(メディア版):2 枚 なお、個別調査結果報告書と全体結果報告書のメディア版は同一メディアに記録し て差支えない。 イ メディア版には、Microsoft Word 2013 でレイアウトの崩れなく読み取れるように作成 されたファイル及び PDF 形式のファイルを格納すること。また、関連データは、 Microsoft Excel 2013 又は Microsoft PowerPoint 2013 でレイアウトの崩れなく読み 取ることが可能なファイルを用いること。 ウ 個別調査結果報告書及び全体結果報告書の書式は、原則として、A4 判を縦長に使 用し、横書きで作成すること。 エ 個別調査結果報告書本文及び全体結果報告書は、原則日本語で記述すること。 オ 個別調査結果報告書本文及び全体結果報告書は、政府職員が読解可能な平易な 文章で記述すること。 カ 個別調査結果報告書には、少なくとも次の項目を含め、受託者の知見を元に適宜 追加すること。 なお、当センター職員と調査実施府省庁の担当者が理解し、調査の再現が可能な 記載内容にすること。調査の再現にかかる記載について、当センター及び調査実施 府省庁から再現を依頼した場合には、応じること。 ① 調査結果全体の評価 a ② 全体的な評価結果のまとめ・総論 調査の概要 a 調査で用いた侵入シナリオと調査実施手順・方法 -9- b ③ 調査対象システムについて調査を実施した範囲の明示 調査の実施結果 a 検出した問題の内容及び危険度(深刻度のレベル)の一覧 b 検出した問題を再現する方法 c 検出した問題に対して推奨する具体的な対策方法 (なお、根本的な対策方法が期間、コスト等の面から早期に実施するの が現実的に困難な場合は、暫定的な対策についても併せて示すこと。) ④ 問い合わせ窓口 a 不明点に関する問い合わせ窓口の連絡先(メールアドレス、電話番号) キ 受託者は、調査実施府省庁ごとに個別調査結果報告書を作成する前に、個別調査 結果報告書のサンプル原稿を作成し、体裁、記述レベル等について当センターの承 諾を得ること。 ク 全体結果報告書には、下記内容を含め、受託者の知見を元に適宜追加すること。 ① ペネトレーションテスト結果の分析・評価 検査結果全体を俯瞰し、分析・評価した結果。分析・評価の際は、国内外のサ イバー攻撃の動向等を考慮すること。 ② ペネトレーションテスト結果からの提言 上記分析結果を踏まえた上での政府機関全体の情報セキュリティ水準を向上さ せるための提言。 5.検査職員(人事異動の場合は後任者等による) 内閣サイバーセキュリティセンター 斎藤 弘康 6.監督職員(人事異動の場合は後任者等による) 内閣サイバーセキュリティセンター 山下 晃弘 7.連絡調整 調査実施に当たっては、作業内容等について作業計画書を作成するとともに、監督職員等と連 絡を密にとることとし、1週間に 1 回は作業の進捗状況について報告を行うこと。また、当センター や調査実施府省庁と打ち合わせを行った場合は、速やかに議事録を作成し報告すること。 調査実施において疑義が生じた場合は、速やかに当センターと協議して決定・解決すること。こ の場合は、当該協議に関する議事録を作成し確認を受けること。 8.その他 - 10 - (1) 調査及び各種会議は全て日本語で対応すること。 (2) 各種作業にかかわる記録を作成するとともに適切に管理し、当センターの求めに応じて 開示すること。 (3) 本業務で発生する成果物の著作権は当センターに帰属するものとする。 (4) 本業務で発生する成果物に第三者が権利を有する著作物が含まれている場合は、当セ ンターが特に使用を指示した場合を除き、当該著作物の使用に必要な費用の負担及び 使用承諾契約に係る一切の手続を行うこと。この場合、受託者は当該契約等の内容に ついて事前に当センターの承認を得ることとし、当センターは当該著作物について当該 許諾要件の範囲内で使用するものとする。なお、本仕様書に基づく作業に関し、第三者 との間に著作権に係る権利侵害の紛争が生じた場合は、当該紛争の原因が専ら当セン ターの責めに帰す場合を除き、受託者の責任、負担において一切を処理すること。この 場合、当センターは係る紛争等の事実を知ったときは、受託者に通知し、必要な範囲で 訴訟上の防衛を受託者に委ねる等の協力措置を講じるものとする。 (5) 本業務を実施するに当たり、個人情報等の取り扱いについて、別に定める「個人情 報取扱特記事項」(別紙)を遵守しなければならない。なお、関係者等に対しメールによ る連絡をする場合にあっては、他の受信者のメールアドレスが閲覧できないようBCC機 能により送信するなど、個人情報の流失防止に万全を期すこと。 (6) 検査に当たり、仕様書の内容及び解釈等について疑義が生じた場合、また、仕様書に 記載のない等その他特に必要がある場合は、事前に当センターと協議し、決定・解決す ること。この場合、当該協議に関する議事録を作成し、当センターの確認を受けることと する。 (7) 「平成 26 年度 ペネトレーションテストによる政府機関情報システムのセキュリティ対策 状況調査」業務の受託者は本業務を受託出来ないものとする。 - 11 - 別 紙 個人情報取扱特記事項 (個人情報保護の基本原則) 1 受注者は、個人情報(個人に関する情報であって、特定の個人を識別できるものをいう。 以下同じ。)の保護の重要性を認識し、この契約に基づく業務を実施するに当たり、個人 の権利利益を侵害することのないよう、個人情報を適正に取り扱わなければならない。 (秘密の保持) 2 受注者は、この契約に基づく業務に関して知り得た個人情報をみだりに他人に知らせ てはならない。 この契約が終了し、又は解除された後においても同様とする。 (業務従事者への周知) 3 受注者は、この契約による業務に従事している者に対して、在職中及び退職後におい てもこの契約に基づく業務に関して知り得た個人情報をみだりに他人に知らせ、又は契 約の目的以外の目的に使用してはならないことなど、個人情報の保護の徹底について周 知しなければならない。 (適正な管理) 4 受注者は、この契約に基づく業務に係る個人情報の漏えい、滅失、改ざん、又は損傷 の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。 (収集の制限) 5 受注者は、この契約に基づく業務に係る個人情報を収集するときは、当該業務の目的 を達成するために必要な範囲で、適法かつ公正な手段により行わなければならない。 (利用及び提供の制限) 6 受注者は、発注者の指示又は承諾がある場合を除き、この契約に基づく業務に関して 知り得た個人情報を当該契約の目的以外の目的のために利用し、又は第三者に提供して はならない。 (複写、複製の禁止) 7 受注者は、発注者の指示又は承諾がある場合を除き、この契約に基づく業務に関して 知り得た個人情報を複写し、又は複製してはならない。 (安全管理の確認) 8 発注者は、受注者が取り扱う個人情報の安全管理措置が適切に行われていることを適 宜確認することとする。また、発注者は必要と認めたとき、受注者に対し個人情報の取 り扱い状況について報告を求め、又は受注者が個人情報を取り扱う場所で、当該取扱状 況を検査することができる。 (廃棄) 9 受注者は、この契約に基づく業務に関して知り得た個人情報について、保有する必要 がなくなったときは、確実かつ速やかに廃棄し、又は消去しなければならない。 (事故発生時における報告) 10 受注者は、この契約に基づく個人情報に関する事項に違反する事態が生じ、又はおそ れがある場合は、直ちに発注者へ報告し、発注者の指示に従うものとする。この契約が 終了し、又は解除された後においても同様とする。 別紙2 技術等提案書作成要領 1 件名 平成 27 年度 ペネトレーションテストによる政府機関情報システムのセキュリティ対 策状況調査事業 2 提出書類 (1) 技術等提案書 ア 会社名、担当者氏名、住所、電話番号、FAX番号を記入すること。 イ 提案内容は、別紙2-2「技術等提案書作成のための仕様書」に基づき、仕様書 の作業内容、技術等評価表と整合のとれたものとすること。 (2) 一般競争入札参加の資格審査結果通知書(全省庁統一規格) (写) 3 提出部数 (1) 技術等提案書8部(内訳は、下記のとおり) ア 提案書表紙に社名の記載・社印を押印し、企画書、各種資料等を編纂したもの (正本)1部 イ 提案書表紙に社名の記載・社印の押印をせず、企画書、各種資料等を編纂したも の(副本)7部 (2) 一般競争入札参加の資格審査結果通知書(全省庁統一規格) (写)2部 4 提出期限 平成27年3月23日(月)正午まで 5 提出先 〒100-0014 東京都千代田区永田町2-4-12 内閣府別館 5F 内閣サイバーセキュリティセンター 6 提案書説明(ヒアリング)の実施 別途、必要に応じてヒアリング(対面説明)及び追加資料を求めることがある。 ヒアリングを実施する場合は、以下のとおり行うことを予定している。 (1)ヒアリング日時(予定) 平成27年3月24日(火)~ 平成27年3月26日(木)の日で、当センタ ーが指定する日・時間とするが、必要に応じ別途調整する場合がある。 (2)場所 東京 23 区内(詳細な場所については別途連絡する。 ) (3)参加人数 4名以内とし、その中に責任者となる予定の者を含めること。 (4)ヒアリング時間 原則、質疑応答時間を含め、1時間程度とする。 (5)その他 次の事項を留意すること。 ① プロジェクター等の機器の使用は不可とする。 ② 参加に必要な一切の費用は提案者の負担とすること。 ③ ヒアリングにおける説明及び質疑内容については、責任者の予定となる者が 行うこと。 ④ ヒアリングは提案書に基づき行うこととし、当方から求める場合を除いては 原則として新たな資料の受理は行わない。 7 技術等審査結果の通知 提出された技術等提案書については、技術等評価表に基づき厳正に審査を行う。 審査結果は、平成27年3月31日(火)正午までに合格又は不合格の通知を行い不合 格の場合はその理由を付することとする。 合格したものは、入札説明書に従って手続きを行うこと。 8 留意事項 (1) 提案書作成のための費用は、提出者の負担とする。 (2) 提出された提案書は返却しない。また、第三者への開示、流用は厳禁とする。 (3) 仕様書及び提案要領に係る照会等は、以下により受け付けることとする。 (4) 当方から求める場合を除いては、技術等提案書の修正や再提出及び新たな資料の受 理は行わない。 (5)本調達に係る一切の質問・照会は、別添(問合せ様式)によることとし、E-Mail での受け付けとする。(原則として平成27年3月20日(金)正午までを期限と する。 ) (照会等先) 〒100-0014 東京都千代田区永田町2-4-12 内閣府別館 5F 内閣サイバーセキュリティセンター 担当 斎藤 弘康 E-Mail:[email protected] 所 E-mail FAX番号 電話番号 住 担当者名 部 署 名 会 社 名 提 出 日 項 頁番号 項 目 種 別 質 問 等 1/1 注)1.種別欄には、質問の種類を以下から選択して、その番号を記載すること。 [1.調達仕様書に対する質問等。 2.技術等提案書に対する質問等。 3.その他] 2.質問等及び、理由は、明確かつ簡潔に記載すること。 3.本様式の変更は、行わないこと。 3 2 1 (別紙(問合せ様式) ) 理 由 調達件名 : 平成27年度 ペネトレーションテストによる政府機関情報システムのセキュリティ対策状況調査事業 別紙2-2 技術等提案書作成のための仕様書 1)目的 本技術等提案書作成のための仕様書は、 「平成 27 年度 ペネトレーションテストによる 政府機関情報システムのセキュリティ対策状況調査事業」調達仕様書(以下「調達仕様書」 という。 )に基づく調達を実施するに当たり、応札する事業者(以下「提案者」という。) が提案書の作成をする上で、その要領をまとめたものである。 2)提出書類 ○ 提案書(日本工業規格 A 列 4 番、文字の大きさは原則として 11 ポイント以上、 全て日本語で作成) 提案者は、調達仕様書に記載されている方針や実施方針を理解し、本業務の特性 を把握した上で、単に調達仕様書の内容を書き写すのみにとどまらず、その方針や手順 等について具体的に記述し、提案内容は以下の①から⑤を必ず含めること。また、各項 目に記載した観点や調達仕様書に提示した「評価表」の評価項目-提案要求事項-に示し た評価基準を踏まえて、具体的に記載すること。 ① 調達仕様書2. (2)イの侵入シナリオの提案 調査対象システムの構成、当該システムで扱われる情報資産の価値、当該シス テムに侵入された場合の影響度等を踏まえて、インターネットとの接続のある 5,000 人規模の基幹 LAN システムを想定して、侵入シナリオを提案すること。少な くとも、調達仕様書表 1 に示す項目を侵入シナリオに含めること。なお、侵入シナ リオを設計する際に用いる具体的な検査方法、分析方法等を示すこと。 (観点)1.調査対象システムへの侵入可能性の意識・分析方法がペネトレーション テストを実施するにあたって妥当であることを当センターが判断できるよ うな具体的な侵入シナリオの内容を示すこと。 2.ペネトレーションテストに用いる技術・分析について、妥当であること を当センターが判断できるような具体的な内容を示すこと。 ② 結果報告書のサンプルの提出 調達仕様書の4.提出書類等における現時点で想定している結果報告書のサンプ ルを提出すること。 なお、調達仕様書4.カの「③調査の実施結果」については、過去に他組織に対 して実施したペネトレーションテストの結果に基づいた内容を記した上で、「検出 した問題の危険度を分析した方法」及び「検出した問題に対して推奨する具体的な 対策方法を導出した方法」について纏めた資料を別途作成し添付すること。 ※1:過去に他組織に対して実施したペネトレーションテストの結果に基づいた内 容については、具体的な組織名等を明記する必要はない。 ※2: 「検出した問題の危険度を分析した方法」及び「検出した問題に対して推奨す る具体的な対策方法を導出した方法」について纏めた資料は、提案時の審査 に用いるものであり、落札後の作業においては求めるものではない。 (観点)検出した問題の危険度・深刻度等を検証するための方法及び推奨する対処 方法を導出する方法について、妥当であることを当センターが判断できるよ うな具体的な内容を示すこと。 ③ 事業実施計画(A4判1ページ以内、縦横は適宜) 調達仕様書の業務内容の全般について、工程管理表やスケジュール(所要日数等 を記載)を記載した事業実施計画を作成すること。また、その事業実施計画を実現 するために、当センターとのコミュニケーションを円滑に進め、過不足無い協議を 実施するための手段を記載すること。 (観点)本調査を効率的に実施するための検査計画立案体制・方法や日程管理体制・ 方法、不測の事態が生じた場合における調整方法について、妥当であること を当センターが判断できるような具体的な内容が示すこと。 ④ 実施体制 ・調達仕様書2. (3)イ体制 ①について、体制図等を示すこと。また②~⑥について、遵守することを記載す ること。 ・調達仕様書2. (3)ウ 責任者及び作業従事者の経験及び資格について、本件業 務の実施体制を記載する(別紙様式2を参考に作成)。 ・調達仕様書2.(3) オ 情報の取扱いで、本業務の実施において知り得た情報につ いて、その秘密を保持し、漏えい・紛失・盗難等が起こらぬようにするための措置として、 情報にアクセス可能な要員、及び情報の保管場所等の管理方法を示すこと。 (観点)1.政府機関において想定される攻撃者のレベルに対応した検査が遂行 可能な人員の確保すること。また、円滑な検査遂行のための人員補助 体制が組むこと。 2.本調査を実施するにあたって、実施場所のセキュリティが確保され ていることを判断できる内容を具体的に示すこと。 3.本調査によって知り得た機密情報が漏えい・流出しない、また検査 対象のシステムに不正な操作が行われない、例えばペネトレーション テストの実施は作業実施者1人で行わず 2 人以上の作業実施者をもっ て行うなど、不正な行動を確実に抑止する管理体制が整備されている ことを具体的に示すこと。 4.調達仕様書2. (3)ウ責任者及び作業従事者の経験及び資格につい て、資格を有していない場合は、資格を有することと同等以上の技術 を保持していることを具体的に示すこと。 5.調達仕様書2. (3)ウ責任者及び作業従事者の経験及び資格につい て、調達仕様書に記載の経験を有しているか及び成果を出しているか について記載すること。 ⑤ その他 会社概要及び調達仕様書2. (3)ア受託者の資格等について内容を記載する(別紙 様式3を参考に記載) 3)その他 ①業界独自の専門用語を使用する必要がある場合は、注釈を付すこと。 ②提案書は出来る限り、両面印刷とすること。 ③提案書の表紙に表題、作成日を記載すること。なお、ファイル・バインダーを使用す る際には、ファイル・バインダーの背表紙にも同様の記載をすること。 平成 年 月 日 内閣サイバーセキュリティセンター 参事官(総合対策推進グループ)宛 会 社 名 印 代表者氏名 平成 27 年度 ペネトレーションテストによる政府機関情報システム のセキュリティ対策状況調査事業の受託者選定のための書類の提出 について 標記について、別添のとおり提出します。 (様式1「表紙」の記載例) 平成 27 年度 ペネトレーションテストによる政 府機関情報システムのセキュリティ対策状況調 査事業 提 案 書 (会 社 名 ※正本のみ) (様式2「責任者及び作業従事者の経験及び資格」の記載例) プロジェクト責任者(所属組織・役職、氏名、国籍、雇用形態、政府機関における情報シ ステムに係るプロジェクトマネージャーの経験を記載) ペネトレーションテスト責任者(所属組織・役職、氏名、国籍、雇用形態、情報セキュリ ティに係る事業の経験年数、ペネトレーションテストの責任者としての経験及び、保有又 は認定を受けている資格等を記載) 作 担当者(所属組織・役職、氏名、雇用形態、国籍、ペネトレーションテストの経験及 び保有又は認定を受けている資格等) 業 従 事 者 仕様書の2. (3)エの知識を有しているかを記載。 知 識 特 記 事 項 (様式3「会社概要・実績の状況」 ) 会社名 所在地 電話番号 資本金 常勤職員数 千円 営業 制作 名 営業年数 千円 企画・研究 総務・そ の 他 名 創業 年 売上高 名 名 現組織への変更 月 日 年 月 日 本件に係る (電話番号) (メールアドレス) 備考 ・仕様書2. (3)アの受託者の資格等について記載 名 営業年数 事業内容 連絡担当職員名 計 年 【機密性 2 情報】 別紙3 平成 27 年度 ペネトレーションテストによる政府機関情報 システムのセキュリティ対策状況調査事業 総合評価基準 平成27年3月 内閣サイバーセキュリティセンター 【機密性 2 情報】 1 総則 本「総合評価基準」は「平成 27 年度 ペネトレーションテストによる政府機 関情報システムのセキュリティ対策状況調査事業」(以下「本業務」という。 ) を実施する業者を選定するにあたって、入札に参加しようとするものに交付す る「入札説明書」と一体となったものである。 本業務における業者の選定にあたっては、入札価格及び提案内容によって落 札者を決定する総合評価落札方式による一般競争入札により落札者を決定す るための基準として示すものである。 なお、本「総合評価基準」で使用する用語の定義は、同一の名称によって入 札説明書において使用する用語と同一のものである。 2 落札者決定までの流れ 落札者の決定にあたっては、入札参加資格要件を満たしているのかを確認を 行い、次いで提案内容の審査を実施する。 技術等要件のうち必須として示した項目の最低限の要求要件を全て満たし ているか否かを判定し、不合格とされたものは失格となり入札書は開札されな い。 入札価格の得点は、入札価格を予定価格で除して得た値を1から減じて得た 値に入札価格に対する得点配分を乗じて得た値とする。 価格及び技術等に係る総合評価は、入札者の入札価格の得点に当該入札者の 申込みに係る技術等の各評価項目の得点の合計を加えて得た数値をもって行 い、当該数値の最も高い者を落札者とする。 なお、当該数値の最も高い者が2人以上あるときは、当該者にくじを引かせ て落札者を決定する。 3 総合評価の方法 (1)技術点・価格点の得点配分の割合 入札価格及び技術等に対する総合評価の得点配分の割合は、入札価格に対す る得点(価格点)配分を 100 点、技術等に対する得点(技術点)の配分を 200 点とする。 (2)技術点 技術等の評価項目は、創造性又は新規性等の価格と同等に評価できない項目 【機密性 2 情報】 とそれ以外の項目とに区分し、両者の得点配分はそれぞれ 100 点とする。なお、 技術点の評価項目・評価基準及び配点については、別紙3-2のとおり。 評価の対象とする技術的要件については、業務の目的・内容に応じ、事務・ 事業上の必要性等の観点から、評価項目及びその必要度・重要度に応じた得点 配分を定めるとともに、評価項目を必須とする項目とそれ以外の項目とに区分 する。 必須とする項目について、各項目に最低限の要求要件を示し、この要求要件 を満たしていないものは不合格とする。 要求要件以上の部分については評価に応じて得点を与える。なお、創造性又 は新規性等の価格と同等に評価できない項目の内容の履行を確保する観点か ら、価格と同等に評価できる項目についての評価を行うものとする。 技術点は、各技術審査会委員が採点を行い、審査結果(採点合計)の平均点 を技術点とする。 (3)価格点 入札価格を予定価格で除して得た値を1から減じて得た値に 100 を乗じて 得た値(その値に小数点以下2位未満の端数があるときは、これを切り捨てる ものとする。)とする。 (4)価格及び技術等に係る総合評価 入札価格及び技術等に対する総合評価は、入札者の入札価格の得点に技術等 の各評価項目の得点の合計を加えて得た数値をもって行う。 【機密性2情報】 提案書の目次 大項目 中項目 全体 ①侵入シナリオの提案 調査内容の妥当性 得点配分 種別 評価項目 -提案要求事項- 評価 区分 ・技術等提案書作成のための仕様書記載の要求事項①と②の 観点も考慮のうえ、提案されているか。 必須 10 A ・情報システム全体を想定した調査・分析方法となっているか。 (ウェブサーバ/アプリのみ等、情報システムの一部のみを対 象としていないか。) 必須 5 A 小項目 調査対象システムへ の侵入可能性の調査・ ・調査対象システムへの侵入可能性の調査・分析について、効 分析 果的な方法が提案されているか。(どの程度網羅的に侵入可能 性を調査・分析できるのか。侵入の可否を効率的に判断するた めにどのような方法を用いているか。) 基礎点 A 創造性等 B 実施体制 加点 任意 20 A ・市販、公開されている検査ツールを使用するだけのテスト方法 となっていないか。 必須 ・ペネトレーションテストに用いる技術・ツール等について、優れ た提案がなされているか。(例えば、テスト手法がどのように効 果的であるのか。) 任意 20 A ・検出した問題の危険度・深刻度等によるリスク評価の判断基 ペネトレーションテスト 準及び推奨する対処方法を導出する方法について、効果的な 方法が提案されているか。(用いる検証方法・導出方法が調査 の結果の検証 実施府省庁にとってどのように効果的であるのか。) 任意 20 A 調査結果の報告 ・個別調査結果報告書について、調達仕様書の要求事項を満 たしており、政府職員が読解可能な平易な文章で記述された個 別調査結果報告書のサンプルが提案されているか。(例えば、 ITセキュリティに1年程度従事した政府職員が読解可能である か。) 任意 20 A 全体 調査内容の妥当性 ・技術等提案書作成のための仕様書記載の要求事項③から⑤ の観点も考慮のうえ、提案されているか。 必須 ③事業実施計画 調査計画の効率性 ・本調査を実施するための検査計画立案体制・方法や日程管理 体制・方法、不測の事態が生じた場合における調整方法につい て、効率的に実施すための工夫がなされているか。 任意 20 B ・本調査を実施するにあたって、調達仕様書で要求した体制、責 組織としての調査実施 任者、作業従事者に関する要求事項以上の内容が提案されて いるか。(例えば、組織としての更なるセキュリティ管理体制の 能力 強化、作業従事者の増員等が提案されているか。) 任意 20 B ・本調査を実施するにあたって、実施場所のセキュリティが確保 されていることを判断できる内容が、具体的に示されているか。 任意 20 B 任意 20 B 1 調査の実施方針等 ペネトレーションテスト の実施 5 A ②結果報告書のサンプル 2 組織の経験・能力 ④実施体制 調査にあたっての管理 ・本調査によって知り得た機密情報が漏えい・流出しない、また 体制 検査対象のシステムに不正な操作が行われないなど、不正な 行動を確実に抑止する管理体制が整備されていることを当セン ターが判断できる内容が、具体的に示されているか。 10 B 調査内容に関する専 門知識・技術 ・調達仕様書で要求している資格を有していることが示されてい るか。当該資格を有していない場合は、資格を有することと同等 以上の技術を保持していることを当センターが判断できる理由 が具体的に示されているか。 必須 5 B 類似業務の経験 ・管理者を含む主たる作業従事者が、過去に同様の調査を実施 した経験があり、且つ成果を出していることについて、当セン ターが判断できる内容が具体的に示されているか。 必須 5 B 合計点 40 160 *必須⇒基礎点の項目 任意⇒加点の項目 中項目の番号は「技術等提案書作成のための仕様書」における提出書類の番号である。 加点の採点基準 提案のうち最良の内容である。 概ね妥当な内容である。(内容に応じて) 提案のうち最低限の内容である。 内容が不十分である。 点数 20 2~19 1 0
© Copyright 2024 ExpyDoc
