仕 様 書 1 調達内容 (1) 件名 情報セキュリティの強化に係る機器の購入及び賃貸借 (2) 契約期間 購入については、契約締結日から平成 29 年 2 月 28 日まで。賃貸借については契約 締結日から平成 34 年 2 月 28 日まで (地方自治法第 234 条の 3 に基づく長期継続契約) ただし、契約期間中であっても予算の減額又は削除があった場合には、名古屋市(以 下「賃借人」という。 )は本仕様書に基づき賃貸借契約を締結するもの(以下「賃貸人」 という。)と協議の上で契約を変更し、又は解除することができる。 (3) 借入期間 平成 29 年 3 月 1 日から平成 34 年 2 月 28 日まで (4) 目的 本購入及び賃貸借契約は、総務省が示す「新たな自治体情報セキュリティ対策の抜 本的な強化に向けて」に対応するための機器等を購入及び借入れするものである。 購入する機器も賃貸借する機器と一体となって仕組みを構築するものであることと、 購入する機器を賃貸借する機器に含めて(以下、賃貸借等物件)、賃貸借契約の中の据 付調整及び運用保守を委託するため、同時に調達するものである。 (5) 前提条件 ア 賃貸借等物件の機器構成により、予期せぬことにより動作に支障が発生した場合に は、賃借人及び運用保守業務受託者と共に動作確保のため、誠意をもって対処するこ と。これに要する費用は賃貸人の負担とする。 イ 賃貸人は、賃借人の承認を得ることなく、各業務の全部又は一部を第三者に再委託 し、又は請け負わせてはならない。 ウ 賃貸人は、再委託等を行う場合には、取得情報の取扱いに関し、契約において賃貸 人が課せられている事項と同一の事項を当該第三者に遵守させなければならない。こ の再委託等に関するすべての責任は、賃貸人が負わなければならない。 エ 賃貸人は、特定個人情報及びその他の機密情報の取扱いを伴う本件業務を委託した 第三者から更に他の第三者に委託(以下「再々委託」という。)させてはならない。 ただし、再々委託することにやむを得ない理由がある場合であって、予め賃借人の承 認を得た場合は、この限りでない。この再々委託に関するすべての責任は、賃貸人が 負わなければならない。 オ 賃貸人は、作業計画書を契約締結後速やかに提出し、賃借人の承認を得なければな らない。作業計画書に記載された事項を変更する場合についても同様とする。 2 賃貸借等物件 別紙 1 の「機器構成等仕様書」に示す機能、性能以上の機器等 3 設置場所 名古屋市役所庁舎の情報管理室(2 箇所) 4 搬入及び撤去条件 (1) 搬入及び撤去 賃貸借等物件の設置場所への搬入、賃貸借満了後の設置場所からの回収及び撤去に 要する費用は、賃貸人の負担とする。 借入期間満了後、設置した賃貸借等物件を全て撤去すると同時に、記録媒体に記録さ れた情報を全て完全に消去するか、データの参照ができないように記録媒体を物理的 に破壊すること。 -1- (2) 納入期日 平成 29 年 2 月 28 日 (3) その他 賃貸借等物件の梱包材等、賃借人が不要と判断する賃貸借等物件の添付品等、不要 となったものについては、賃貸人において引き取ること。このうち、借入期間満了後 に返却が必要なものは、賃貸人で保管すること。これらの保管費用は賃貸人の負担と する。 賃貸借等物件の納入に自動車(二輪自動車を除く。 )を使用する場合、別紙 2 の「グ リーン配送に関する特記仕様書」に従うこと。 5 賃貸借等物件の据付調整等 賃貸人は、上記4(2)の納入期日までに、賃貸借等物件を使用できる状態に調整(以下 「据付調整」という。 )の上、賃借人に引き渡さなければならない。具体的な据付調整作 業については別紙 3 の「据付調整作業等仕様書」に従うこと。 6 検査 (1) 賃貸借等物件の据付調整作業完了後、賃借人が検査を行うものとする。 (2) 検査において合格と認められないときは、賃貸人は賃借人が指定する期日までに正常 な物品への取り替え等を賃貸人の負担において行い、再度検査を受けること。 7 保証 賃貸人は、リコール等機器やそれを構成する部品に重大なかしが発見されたときは、 メーカー保証期間内であるかどうか、また、現に障害が発生しているか否かにかかわらず、 必要に応じて部品の交換や代替機器との取り替え等を無償で行うこと。 借入期間中に賃貸借物件が仕様を満たしていないことが判明した場合や、賃貸借物件 が仕様を満たさない状態になった場合には、落札者の負担において仕様を満たすものに すみやかに交換すること。 8 運用保守 本賃貸借契約には、賃貸借等物件の運用保守を含む。 賃貸人は、賃貸借等物件が正常な機能及び性能を保つように、ハードウェア、ソフト ウェア等の運用保守を行うこと。保守作業は、賃貸借等物件に係る部品料等を含み、賃 借人に対して別途費用を請求することはできない。具体的な運用保守業務については、 別紙 4 の「運用保守業務等仕様書」に従うこと。 9 不正通信監視 本賃貸借契約には、不正通信監視業務を含む。 賃貸人は、名古屋市の庁内とインターネット間の通信の監視を行うこと。具体的な不 正通信監視作業については、別紙 5 の「不正通信監視業務仕様書」に従うこと。 10 動産総合保険 賃貸借等物件には、賃貸人の負担において動産総合保険を付すること。 11 賃借料 賃貸人は、本仕様書に基づく契約により賃借人が購入又は賃借する機器等に関し、購 入及び賃借料等の明細を速やかに提出しなければならない。 ただし、購入に係る経費の税抜額は本契約の全体額の税抜額の??.?%を超えない額 とする。 -2- 12 賃借料の請求 賃借料は、借入期間の開始月からとし、賃貸人は、毎月末終了日以後に適法な請求書 をもって賃借料を請求するものとする。賃貸人が名古屋市会計規則(昭和 39 年名古屋市 規則第 5 号)第 64 条に規定する定期支払申込書を提出した場合は、請求書の提出は不要 とする。 また、購入に係る経費については、初回の賃借料に併せて請求するものとする。 13 支払方法 賃借人は、契約履行を確認の上、月ごとに 1 箇月に係る賃借料を賃貸人に支払うもの とする。また、購入に係る経費については、初回の賃借料に併せて支払うものとする。 なお、口座振替による支払いを希望する場合は、賃借人の定める手続により、事前に口 座振替の登録を受けなければならない。 14 作業体制等 (1) 作業体制 賃貸人は、要員の役割分担、責任分担、体制図等を賃借人に報告し、承認を得るこ と。ただし、不正監視業務委託に係る要員についてはこの限りではない。 賃貸人は、体制を変更する場合は、事前に賃借人と協議しなければならない。この 場合には、業務に影響がないように、十分に引継ぎ期間をとらなければならない。ま た、引継ぎに係る経費は、すべて賃貸人が負担するものとする。 (2) 作業要員の条件 ハードウェア等の構築及び運用保守に必要となる経験及び能力を有すること。 また、責任者は賃貸人又は賃借人の承認を受けた再委託先(再々委託先は除く。)に 直接雇用されている者であること。ただし、不正監視業務委託に係る要員については この限りではない。 (3) 連絡体制 据付調整作業及び運用保守業務に関する連絡窓口は 1 箇所に集約すること。 なお、賃借人及び運用保守業務受託者が保守受付窓口への連絡元となる想定とする。 15 機密保持等 (1) 賃貸人は、本仕様に基づく作業の実施中はもとより、契約の終了(契約を解除した場 合を含む。)後においても、賃借人より提供を受けた情報については善良なる管理者の 注意義務をもって維持管理し、第三者に開示あるいは漏えいしてはならない。 (2) 賃貸人は、賃借人より提供を受けた資料は、作業終了後は速やかに返却しなければな らず、また、第三者に開示あるいは漏洩してはならない。 (3) 賃貸人は、賃借人より提供を受けた情報・資料を、作業を遂行する上で第三者に開示 する必要がある場合は、賃借人の承認を得なければならない。 16 情報取扱注意項目の遵守 この契約による事務の処理の委託を受けた者は、この契約による業務を行うに当たり、 別紙 6 の「情報取扱注意項目」を遵守しなければならない。 17 かし担保責任 納品物等の納入後、納品物等にかしがあるときは、賃借人は賃貸人に対して、納品物 等の納入後 1 年以内に、そのかしの補修を請求し、又は補修に代え若しくは補修ととも に損害賠償の請求をすることができる。かしを補修する場合、賃貸人は賃借人が指示す る期限内に補修し、適正な措置を講じるとともに、補修結果を反映した納品物等を納入 -3- しなければならない。 18 借入期間満了後の賃貸借物件の無償譲渡 賃貸借物件のうち、19 インチラック及び KVM スイッチについては、借入期間を満了した 場合、賃貸人は賃借人に無償で譲渡するものとする。 19 妨害又は不当要求に対する届出義務 (1) 賃貸人は、契約の履行に当たって、暴力団又は暴力団員等から妨害(不法な行為等で、 業務履行の障害となるものをいう。 )又は不当要求(金銭の給付等一定の行為を請求す る権利若しくは正当な利益がないにもかかわらずこれを要求し、又はその要求の方法、 態様若しくは程度が社会的に正当なものと認められないものをいう。 )を受けた場合は、 賃借人へ報告し、警察へ被害届を提出しなければならない。 (2) 賃貸人が(1)に規定する妨害又は不当要求を受けたにもかかわらず、前項の報告又は 被害届の提出を行わなかった場合は、競争入札による契約又は随意契約の相手方とし ない措置を講じることがある。 20 その他 (1) 契約に当たっては、購入分と賃貸借分を区別した経費内訳書を提出すること。 (2) 本仕様書に記載がなくても、機器等の搬入並びに回収及び撤去に一般的に必要となる 作業、消耗品等については、賃貸人の負担において提供すること。 (3) 契約締結後、機器の仕様等を変更する必要が生じた場合は、賃借人と賃貸人が協議の 上変更できるものとする。 (4) 購入契約については、議会の議決に付すべき契約及び財産の取得又は処分に関する条 例(昭和 39 年名古屋市条令第 43 号)第 3 条の規定により、名古屋市議会の議決を経 る必要があり、契約時期が 10 月以降になることに留意すること。 21 別途協議 仕様書に定めのない事項については、賃借人と賃貸人が協議して別に定める。 -4- 別紙1 機器構成等仕様書 購入分 1.仮想デスクトップ基盤サーバー 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2660v3(10C/2.60GHz/25M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 336GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 特 記 33 FC コントローラ ( ) 各種インターフェース ソ フ ト ウ ェ 内 PCI Express 3.0(x8)対応, 2ch 対応 速度:16Gbps USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard 各1ライセンス (33 台で 33 ライセンス) 仮想管理ソフトウェア用 ターゲットライセンス 仮想管理ソフトウェアより管理される端末用のライセンスを 備えること。 仮想 PC 3,000 台分 -1- ア 仮想デスクトップ基盤 ・仮想デスクトップ PC が 3,000 台分 動作・管理可能な 仮想デスクトップ基盤サーバーとすること。また、マスタ PC のテンプレートは 5 種類程度とし、構成に含めること。 ・仮想デスクトップ基盤サーバー 1 台あたりの集約率は、 CPU1 コアあたり 5 クライアント以下とすること。ただし、こ の集約率は仮想デスクトップ基盤サーバー1台故障時にも 担保できること。また、ハイパースレッディングを使用せず とも本要件を満たせること。 ・仮想デスクトップ PC はメモリ 3GB 以上、HDD 40GB 以上を 割り当てること。なお、メモリオーバーコミットは使用しなく ても本容量を確保できること。ユーザデータは別途ファイル サーバーに保存するため、上記仮想デスクトップ PC 1 台あ たりの HDD 容量には含まれないものとする。 ・フォルダリダイレクト機能を利用すること。また、移動ユー ザープロファイルを利用する場合、ログオン時間短縮および 負荷低減のための対策を提案すること。 ・仮想デスクトップ PC は、専用で割り当てる方式(フルク ローン)と共用で利用する方式(リンククローン)の両方を混 在できること。 ・仮想デスクトップ基盤サーバーが1台障害となった場合 にも、残りのサーバーで要件を満たせるように構成す ること。 -2- 2.仮想デスクトップ基盤用ストレージ 仕 様 項 目(数量) 内 容 ラックマウント型 筐体の大きさ(本体) 本体及び増設筐体での合計が 12U 以内である事 必要に応じてディスク増設用のエンクロージャを備えること 増設用筐体 本体及び増設筐体での合計が 12U 以内である事 ハードウェア ラックマウント型 3 ホストインターフェース 8/16Gb Fibre Channel x4 ポートの I/F ボードを デュアルコントローラとして構成(冗長構成)すること 16Gb の SFP モジュールを4つ備えること キャッシュメモリ 48GB 以上 RAID タイプ Raid0,1,10,5,50,6,60 対応 ディスク1 ディスク 2 ( ) ソ フ ト ウ ェ ア 6 特 記 SAS 対応 10,000rpm 以上で 1.2TB 以上のディスクを 96 本以上を 合計 101 本以上 RAID10 で構成し、ホットスペアディスクを 5 本以上備えるこ と ニアライン SAS 対応 7,200rpm 以上で 6TB 以上のディスクを 11 本以上を 合計 12 本以上 RAID5 で構成し、ホットスペアディスクを 1 本以上備えるこ と LAN 対応 1000BASE-T 対応、2 ポート以上 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む パス冗長化ソフトウェア パス冗長化機能,負荷分散機能(動的,静的), パス巡回機能を備えていること ストレージ管理ソフトウェア 論理ディスクや、ディスクアレイを構成する物理ディスク、コントロ ーラ、電源などの状態を監視し、万が一の障害発生を メッセージ出力やアイコン表示により通知する機能を有す る事 性能監視ソフトウェア ディスクアレイの性能に関する、リアルタイム表示機能、I/O 負荷監視機能、統計情報蓄積機能を有する事 レプリケーション環境用 ソフトウェア データレプリケーション機能・スナップショット機能を有する事 また、Hyper-V 環境におけるジョブ作成支援機能を有 している事 ジョブ環境作成 ソフトウェア バックアップジョブを GUI で作成・管理する機能を備え ること FC スイッチ 16/8Gbps 対応 Fibre Channel スイッチ 24 ポート以上 16Gbps の SFP を 6 台合計で 144 個備えている事 -3- 賃貸借分 1.管理系仮想サーバー 仕 様 項 目(数量) ハードウェア ラックマウント型 ( 容 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2699v3(18C/2.30GHz/45M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 128GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク SAS 対応 RAID1 構成で 10,000rpm 以上で 900GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 FC コントローラ PCI Express 3.0(x8)対応, 2ch 対応 速度:16Gbps 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む。 OS Microsoft Windows Server 2012 R2 Datacenter OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) データベース Microsoft SQL Server 2014 Standard Edition (4 コアライセンス×4) 2 ) ソ フ ト ウ ェ ア 内 仮想デスクトップ 機能概要 ・サーバーベース方式ではなく、仮想デスクトップ方式であ ること ・Windows10 Enterprise 相当以上の OS を仮想化ソフ トウェア上で動作させること。 ・画面転送のプロトコルは ICA、RDP8、PCoIP のいずれ かを利用すること ・端末の修正モジュールや ICA、RDP8、PCoIP の修正モジ ュールを一括配布・メンテナンスできること。 -4- 特 記 各1ライセンス (2 台で 2 ライセンス) HA 構成で利用 仮想管理ソフトウェア (管理機能) 仮想管理ソフトウェア (リソース配分機能) 仮想管理ソフトウェア (仮想 PC の管理) 仮想管理ソフトウェア サポートサービス ・仮想 PC ならびに仮想 PC サーバの管理が可能なこと 仮想 PC サーバーの障害時には自律的復旧機能を有する 事 ・仮想 PC サーバーの障害を予兆として検知し、ダウンに 至るまでに仮想 PC を別の健全なサーバーへ自律的に退 避して障害回避機能を有すること ・仮想 PC サーバーや仮想 PC を場所、部署等の論理的 なグループと物理的なサーバー配置を確認するグループと で管理する機能を有すること ・管理対象となっている仮想 PC を CPU、メモリなどの リソース情報や電源状態などのマシンステータスごとに検索、抽 出し、一覧表示する機能を有すること ・仮想 PC サーバー障害時に別の仮想 PC サーバーに移動し た仮想 PC を、障害復旧時に元の仮想 PC サーバーに戻 す機能を有すること ・基本構成(OS、基本導入アプリケーション等)をテンプレートと して用意できること ・仮想デスクトップ PC の新規作成は、テンプレートを用いて 複数の仮想デスクトップ PC を一括作成できる機能を持 つこと。一括作成時には、Sysprep および応答ファイル を利用して展開できること ・仮想 PC サーバー上の仮想 PC に対し、リソースを自由に 割当てする機能を有する事 ・障害発生(冗長箇所の縮退障害)時の対応として、 利用者が作業を止めること無く、別の健全なサーバー へ仮想 PC を移動し業務継続する機能を有すること ・利用していない仮想 PC は指定時間内に自動シャットダ ウンさせたり、サーバーの負荷が低い場合には、余剰サーバ ーとして自動的に電源 OFF し、負荷分散対象として 必要になった場合には、その際も自動的に電源 ON をすることで効率的な自律運転が可能とする機能 を有すること ・マスターマシンに世代をもたせ、それぞれの世代からの 差分としてユーザ環境を提供できること。また、各世 代ごとに作成したユーザ環境の一覧表示や作成日時、 格納するディスク情報を管理する機能を有すること ・セキュリティパッチ、アプリケーション等の一括配信がグループ別、 個別単位に配信可能であり、適用前後の再起動設定 が自動で行う機能を有すること ・配信の適用成功/失敗の状況・ログ確認ができる 機能を有すること ・端末からの仮想 PC への「ログオン」 、 「ログオフ」等の 接続情報を 8 日以上のログとして残すことが可能で あること ・仮想デスクトップ PC への接続時にセッション管理ができる こと。 (仮想デスクトップと利用者の紐付け) ・仮想 PC へのログオン時に、端末のIPアドレスにもと づくマッピング情報から所定のプリンタを自動認識する 機能を有すること 契約期間中のサポートサービスを備えること -5- 2.管理系仮想サーバー用ストレージ 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 2U 以下 ホストインターフェース 8/16Gb Fibre Channel x4 ポートの I/F ボードを デュアルコントローラとして構成(冗長構成)すること 16Gb の SFP モジュールを4つ備えること キャッシュメモリ 1 コントローラあたり 8GB 以上 RAID タイプ Raid0,1,10,5,50,6,60 対応 内蔵ディスク1 1 内蔵ディスク 2 LAN 対応 ( ) 電源 ソ フ ト ウ ェ ア 内 特 記 ラックマウント型 SAS 対応 10,000rpm 以上で 1.2TB 以上のディスクを 16 本以上を 合計 17 本以上 RAID10 で構成し、ホットスペアディスクを 1 本以上備えるこ と ニアライン SAS 対応 7,200rpm 以上で 2TB 以上のディスクを 6 以上本を 合計 7 本以上 RAID5 で構成し、ホットスペアディスクを 1 本以上備えるこ と 1000BASE-T 対応、2 ポート以上 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む パス冗長化ソフトウェア パス冗長化機能,負荷分散機能(動的,静的), パス巡回機能を備えていること ストレージ管理ソフトウェア 論理ディスクや、ディスクアレイを構成する物理ディスク、コントロ ーラ、電源などの状態を監視し、万が一の障害発生を メッセージ出力やアイコン表示により通知する機能を有す る事 性能監視ソフトウェア ディスクアレイの性能に関する、リアルタイム表示機能、I/O 負荷監視機能、統計情報蓄積機能を有する事 レプリケーション環境用 ソフトウェア データレプリケーション機能・スナップショット機能を有する事 また、SQL Server データベース環境におけるジョブ作成 支援機能を有している事 ジョブ環境作成 ソフトウェア バックアップジョブを GUI で作成・管理する機能を備え ること サポートサービス 契約期間中のサポートサービスを備えること -6- 3.メール系仮想サーバーW 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2697v3(14C/2.60GHz/35M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 144GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク SAS 対応 RAID1 構成で 10,000rpm 以上で 900GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 特 記 2 FC コントローラ ( ) 各種インターフェース ソ フ ト ウ ェ ア 内 PCI Express 3.0(x8)対応, 2ch 対応 速度:16Gbps USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Datacenter OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) -7- 各1ライセンス (2 台で 2 ライセンス) 4.メール系仮想サーバー用ストレージ 仕 様 項 目(数量) 内 容 ラックマウント型 筐体の大きさ 本体及び増設筐体での合計が 4U 以内である事 必要に応じてディスク増設用のエンクロージャを備えること 増設筐体 本体及び増設筐体での合計が 4U 以内である事 ハードウェア ラックマウント型 1 ホストインターフェース 8/16Gb Fibre Channel x4 ポートの I/F ボードを デュアルコントローラとして構成(冗長構成)すること 16Gb の SFP モジュールを4つ備えること キャッシュメモリ 1 コントローラあたり 8GB 以上 RAID タイプ Raid0,1,10,5,50,6,60 対応 内蔵ディスク1 内蔵ディスク 2 LAN 対応 ( ) 電源 ソ フ ト ウ ェ ア 特 記 SAS 対応 10,000rpm 以上で 1.2TB 以上のディスクを 18 本以上を 合計 19 本以上 RAID10 で構成し、ホットスペアディスクを 1 本以上備えるこ と ニアライン SAS 対応 7,200rpm 以上で 2TB 以上のディスクを 8 本以上を 合計 9 本以上 RAID5 で構成し、ホットスペアディスクを 1 本以上備えるこ と 1000BASE-T 対応、2 ポート以上 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む。 パス冗長化ソフトウェア パス冗長化機能,負荷分散機能(動的,静的), パス巡回機能を備えていること ストレージ管理ソフトウェア 論理ディスクや、ディスクアレイを構成する物理ディスク、コントロ ーラ、電源などの状態を監視し、万が一の障害発生を メッセージ出力やアイコン表示により通知する機能を有す る事 性能監視ソフトウェア ディスクアレイの性能に関する、リアルタイム表示機能、I/O 負荷監視機能、統計情報蓄積機能を有する事 レプリケーション環境用 ソフトウェア データレプリケーション機能・スナップショット機能を有する事 また、Hyper-V 環境におけるジョブ作成支援機能を有 している事 ジョブ環境作成 ソフトウェア バックアップジョブを GUI で作成・管理する機能を備え ること サポートサービス 契約期間中のサポートサービスを備えること -8- 仮 想 OS 5 メール用 仮想アプライアンス ・ハイパーバイザー上の仮想アプライアンスとして以下の機能 を備えること ・一般的なメールサーバー機能(SMTP/POP3/IMAP4)を有す ること ・WEB メール機能を備えており、仮想 PC 側から http/https アクセスにてメールの送受信・添付ファイルの保存 が出来ること。 ・仮想ドメイン機能/AD 連携機能を備えている事 ・OS のアップデートを管理画面から容易に実施出来るこ と ・4 台(1 台は振り分け用なので除外)合計で同時 1,000 アクセスに対応可能である事。 5.ADサーバー 仕 様 項 目(数量) ハードウェア ラックマウント型 2 ( 容 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2620v3(6C/2.40GHz/15M)以上 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 16GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) ) ソ フ ト ウ ェ ア 内 -9- 特 記 各1ライセンス (2 台で 2 ライセンス) 6.運用管理・検証サーバー 仕 様 項 目(数量) ハードウェア ラックマウント型 ( 容 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2620v3(6C/2.40GHz/15M)以上 ×2以上 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 64GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 内蔵ディスク 2 SAS 対応 RAID5 構成で 10,000rpm 以上で 1.2TB 以上のディスク を 4 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) 監視通報用ソフトウェア 導入機器におけるHW障害通報を一元管理し、 保守会社への電子メールによる集約通報機能を有 している事。 1 ) ソ フ ト ウ ェ ア 内 -10- 特 2 ライセンス 記 7.ラック等 仕 様 項 目(数量) 内 容 液晶ディスプレイ一体型 KVM スイッチ 接続可能数:8 台 キーボード:日本語キーボード ポインティングデバイス:マウス ディスプレイポート:RGB ミニ D-Sub15 ピン接続 ディスプレイサイズ:17 インチ 1U サイズでラックマウントできること ラックマウントに必要な器具を添付すること 32 サーバー分の接続ケーブルを添付すること 4 本のカスケード接続ケーブルを添付すること サーバースイッチユニット 接続可能数:8 台 上記 KVM スイッチの拡張用として利用する。 1U サイズでラックマウントできること ラックマウントに必要な器具を添付すること 29 サーバー分の接続ケーブルを添付すること 5 42U サーバーラック 収納能力:42U 最大搭載重量:900kg 以上 幅:600mm 奥行:1035mm 高さ:2020 程度 全面・背面に施錠可能な扉を備えている事 ブランクパネルを 30U 納品する事 汎用トレイを各ラック 1 つ実装する事 5 外付け DVD ドライブ 今回導入される H/W で利用可能な DVD ドライブを 備えること。※セットアップ時等に利用を想定 5 4 -11- 特 記 8.仮想デスクトップ基盤サーバー 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2660v3(10C/2.60GHz/25M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 336GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 特 記 11 FC コントローラ ( ) 各種インターフェース ソ フ ト ウ ェ ア 内 PCI Express 3.0(x8)対応, 2ch 対応 速度:16Gbps USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) 仮想管理ソフトウェア用 ターゲットライセンス 仮想管理ソフトウェアより管理される端末用のライセンスを 備えること。 契約期間中のサポートサービスを備えること -12- 各1ライセンス (11 台で 11 ライセンス) 仮想 PC 1,000 台分 仮想デスクトップ基盤 ・仮想デスクトップ PC が 1,000 台分 動作・管理可能な 仮想デスクトップ基盤サーバーとすること。また、マスタ PC のテンプレートは 5 種類程度とし、構成に含めること。 ・仮想デスクトップ基盤サーバー 1 台あたりの集約率は、 CPU1 コアあたり 5 クライアント以下とすること。ただし、こ の集約率は仮想デスクトップ基盤サーバー1台故障時にも 担保できること。また、ハイパースレッディングを使用せず とも本要件を満たせること。 ・仮想デスクトップ PC はメモリ 3GB 以上、HDD 40GB 以上を 割り当てること。なお、メモリオーバーコミットは使用しなく ても本容量を確保できること。ユーザデータは別途ファイル サーバーに保存するため、上記仮想デスクトップ PC 1 台あ たりの HDD 容量には含まれないものとする。 ・フォルダリダイレクト機能を利用すること。また、移動ユー ザープロファイルを利用する場合、ログオン時間短縮および 負荷低減のための対策を講じること。 ・仮想デスクトップ PC は、専用で割り当てる方式(フルク ローン)と共用で利用する方式(リンククローン)の両方を混 在できること。 ・仮想デスクトップ基盤サーバーが1台障害となった場合 にも、残りのサーバーで要件を満たせるように構成す ること。 ※購入分1に記載の同構成の仮想 PC サーバー33 台分についてのHW保守・ソフトウェア保守費用分も 賃貸借分での納入対象となります。 上記はハードウェア 11 台/OS11 台分/必要なアプリケーション 1000 台分/HW保守 11 台分/O S保守 11 台分/ソフトウェア保守 1000 台分であるが、賃貸借分での納入・保守対象としては、以下 のとおり。 ハードウェア 11 台/OS11 台分/必要なアプリケーション 1000 台分/HW保守 44 台分/OS保守 44 台分/ソフトウェア保守 4000 台分 -13- 9.仮想デスクトップ基盤用ストレージ 仕 様 項 目(数量) 内 容 ラックマウント型 筐体の大きさ(本体) 本体及び増設筐体での合計が 12U 以内であること 必要に応じてディスク増設用のエンクロージャを備えること 増設用筐体 本体及び増設筐体での合計が 12U 以内であること ハードウェア ラックマウント型 1 ホストインターフェース 8/16Gb Fibre Channel x4 ポートの I/F ボードを デュアルコントローラとして構成(冗長構成)すること 16Gb の SFP モジュールを4つ備えること キャッシュメモリ 48GB 以上 RAID タイプ Raid0,1,10,5,50,6,60 対応 ディスク1 ディスク 2 ( ) ソ フ ト ウ ェ ア 2 特 記 SAS 対応 10,000rpm 以上で 1.2TB 以上のディスクを 96 本以上を 合計 101 本以上 RAID10 で構成し、ホットスペアディスクを 5 本以上備えるこ と ニアライン SAS 対応 7,200rpm 以上で 6TB 以上のディスクを 11 本以上を 合計 12 本以上 RAID5 で構成し、ホットスペアディスクを 1 本以上備えるこ と LAN 対応 1000BASE-T 対応、2 ポート以上 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む パス冗長化ソフトウェア パス冗長化機能,負荷分散機能(動的,静的), パス巡回機能を備えていること ストレージ管理ソフトウェア 論理ディスクや、ディスクアレイを構成する物理ディスク、コントロ ーラ、電源などの状態を監視し、万が一の障害発生を メッセージ出力やアイコン表示により通知する機能を有す る事 性能監視ソフトウェア ディスクアレイの性能に関する、リアルタイム表示機能、I/O 負荷監視機能、統計情報蓄積機能を有する事 レプリケーション環境用 ソフトウェア データレプリケーション機能・スナップショット機能を有する事 また、Hyper-V 環境におけるジョブ作成支援機能を有 している事 ジョブ環境作成 ソフトウェア バックアップジョブを GUI で作成・管理する機能を備え ること サポートサービス 契約期間中のサポートサービスを備えること FC スイッチ 16/8Gbps 対応 Fibre Channel スイッチ 24 ポート以上 16Gbps の SFP を 2 台合計で 48 個備えている事 ※購入分2に記載の同構成のストレージ 3 台分についてのHW保守・ソフトウェア保守費用分も賃貸借 分での納入対象となります。 -14- 10.仮想PC用ライセンス 既に市が保有するマイクロソフトライセンスのSA権分を除く、不足分のライセンスのSA権を 年ごとに納めること 仕 様 項 目(数量) 内 容 特 記 GESA 契約1年目 WINENT ALNG UpgrdSAPk MVL 5,200 ライセンス GESA 契約2年目 WINENT ALNG UpgrdSAPk MVL 8,400 ライセンス GESA 契約3年目 WINENT ALNG UpgrdSAPk MVL 5,000 ライセンス GESA 契約4年目 WINENT ALNG UpgrdSAPk MVL 1,100 ライセンス GESA 契約5年目 WINENT ALNG UpgrdSAPk MVL 750 ライセンス 11.ウイルス対策系仮想サーバー 仕 様 項 目(数量) 内 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2640v3(8C/2.40GHz/15M)×2 つ以上 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 32GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 内蔵ディスク 2 2 内蔵ディスク 3 特 記 SAS 対応 RAID1 構成で 15,000rpm 以上で 300GB 以上のディスク を 2 本で構成 SAS 対応 RAID1 構成で 15,000rpm 以上で 300GB 以上のディスク を 2 本で構成 SAS 対応 RAID1 構成で 15,000rpm 以上で 600GB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む ( OS Microsoft Windows Server 2012 R2 Standard OS サポートサービス 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) ) ソ フ ト ウ ェ ア -15- 各1ライセンス (2 台で 2 ライセンス) 12.メール系仮想サーバーE 仕 様 項 目(数量) ハードウェア ラックマウント型 ( 容 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2640v3(8C/2.40GHz/15M)以上 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 32GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 SAS 対応 10,000rpm 以上で 300GB 以上のディスクを 2 本で構成 内蔵ディスク 2 SAS 対応 10,000rpm 以上で 1.2TB 以上のディスクを 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard 特 記 2 ) ソ フ ト ウ ェ ア 内 OS サポートサービス メールサーバー用ソフトウェア 各1ライセンス (2 台で 2 ライセンス) 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) ・Windows で動作するメールサーバー用ソフトウェアを備えるこ と ・ウイルス対策ソフトと連携して、メールのウイルスチェックが可能で 1 ライセンス あること。 ・契約期間中のサポートサービスを備えること -16- 13.全庁ネットワーク用追加機器 VPNルータC 仕 様 項 目(数量) 筐体の大きさ インターフェース 転送性能 サポートプロトコル リンクレイヤ機能 ハードウェア(ラックマウント型) ブリッジ機能 IPsec 機能 6 トンネリング機能 冗長機能 管理機能 HW冗長機能 内 容 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む ハードウェア(ラックマウン ト型) インターフェース 20 転送性能 サポートプロトコル 特 記 10/100/1000BASE-T ×4 ポート以上 コンソールポートを備えている事 IPv4 時:2.5Gbps 以上である事 IPv6 時:2.0Gbps 以上である事 新規セッション/秒は 4000 以上であること IPv4, IPv6(Dual Stack)に対応していること IPv4 ルーティングプロトコルの方式として、RIP Ver1、RIP Ver2、OSPFv2、BGP4 が使用可能であること IEEE802.1Q タグ VLAN 機能を有すること Wake on LAN 機能を有すること ト ラ ン ス ヘ ゚ ア レ ン ト フ ゙ リ ッ シ ゙ , EtherIP, Ethernet over GRE(IPv4)機能を有する事 暗号・認証処理、秘密鍵生成処理をハードウェアで実現 していること IPsec トンネルの接続先を 1,024 対地登録可能なこと AES256bit に対応していること IPsec(AES256)で最大 900Mbps の性能を有するこ と IPv6 over IPv4, IPv6 over IPv6, IPv4 over IPv6, IPv4 over IPv4, GRE, L2TP/IPsec(IPv4)機能を有 すること VRRPv2, ネットワークモニタ機能を有すること ICMP Echo(ping)による障害検出でルーティング、VRRP を制御する機能を有する事 ICMP Echo(ping)による監視先を 1,000 以上 SNMP v1,v2 機能を有していること 本装置へのログインユーザのアカウント情報を本市の RADIUS サーバーで管理が可能なこと OpenFlow 1.3.1 スイッチ機能に対応している事 電源が冗長されていること 電源のホットスワップが可能なこと 温度:0℃~40℃に対応していること 筐体の大きさ 記 1U サイズラックマウント可能であること 動作温度条件 VPNルータE 仕 様 項 目(数量) 特 内 容 1U サイズラックマウント可能であること 10/100/1000BASE-T ×3 ポート以上、うち 1 ポートが、 8 ポートスイッチングハブとして動作すること コンソールポートを備えている事 IPv4 時:2.0Gbps 以上である事 IPv6 時:2.0Gbps 以上である事 新規セッション/秒は 4000 以上であること IPv4, IPv6(Dual Stack)に対応していること IPv4 ルーティングプロトコルの方式として、RIP Ver1、RIP Ver2、OSPFv2、BGP4 が使用可能であること -17- リンクレイヤ機能 ブリッジ機能 IPsec 機能 トンネリング機能 冗長機能 管理機能 その他 仕 32 IEEE802.1Q タグ VLAN 機能を有すること Wake on LAN 機能を有すること SW-HUB 配下で発生したトラフィックループを防止 可能なこと ト ラ ン ス ヘ ゚ ア レ ン ト フ ゙ リ ッ シ ゙ , EtherIP, Ethernet over GRE(IPv4)機能を有する事 暗号・認証処理、秘密鍵生成処理をハードウェアで実現 していること IPsec トンネルの接続先を 128 対地登録可能なこと AES256bit に対応していること IPsec(AES256)で最大 900Mbps の性能を有するこ と IPv6 over IPv4, IPv6 over IPv6, IPv4 over IPv6, IPv4 over IPv4, GRE, L2TP/IPsec(IPv4)機能を有 すること VRRPv2, ネットワークモニタ機能を有すること ICMP Echo(ping)による障害検出でルーティング、VRRP を制御する機能を有する事 ICMP Echo(ping)による監視先を 100 以上 SNMP v1,v2 機能を有していること 本装置へのログインユーザのアカウント情報を本市の RADIUS サーバーで管理が可能なこと OpenFlow 1.3.1 スイッチ機能に対応している事 SW-HUB ポートのミラーリング機能を有すること 動作温度条件 温度:0℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む 様 項 目(数量) NW 機器用 SFP (型番指定) VPN クライアントソフト 内 SFP(GLC-T) 1000BASE-T 容 特 16 区役所×2 個 インターネット用 PC にインストールし、VPN ルータ C に対して VPN 接続する機能を有する事 Windows10 に対応している事 500 ライセンス 仮想 IP アドレスに対応している事 ファイアウォール機能を内蔵している事 -18- 記 14.SDNスイッチ等 SDN管理用コントローラ 仕 様 項 目(数量) 内 容 筐体の大きさ 1U サイズラックマウント可能であること LAN インターフェース 10/100/1000BASE-T 内蔵ディスク RAID1 以上の構成であること 電源冗長 電源が冗長されていること 接続ケーブル等 ×6 ポート以上 ハードウェア 機器を接続構成するのに必要なもの。AC ケーブルを含 む ・OpenFlow スペック 1.0、1.3.1 に準拠した OpenFlow スイッチを制御可能であること ・複数の仮想テナントネットワーク設定し、ネットワークを独立し たネットワークにスライス、制御する機能を有していること ・パケットの識別子を基に作成したフローに基づいた 経路指定、フィルタ等のネットワーク制御が可能なこと。 2 機能 ・物理/仮想ネットワークの双方の可視化機能を有してい ること。 ・仮想テナントネットワーク上で、IPv4、IPv6 パケットのブリッジ、 ルーティング転送をサポートしていること。 ・コントローラやネットワーク情報を GUI を利用することで表 示可能であること。また、GUI 上から仮想テナントネット ワークの設定が可能であること。 ・仮想テナントネットワーク上に流れる通信フローを GUI 上から 検索できること。 ・コンフィグレーションのダウンロード・アップロード機能を有して いること。 ・SNMP、SYSLOG、trap 送信に対応すること。 ・装置ログを保持(ダウンロード機能を含む)可能のこ と。 -19- 特 記 SDN スイッチ 仕 様 項 目(数量) 内 容 ハードウェア 筐体の大きさ 1U サイズラックマウント可能であること LAN インターフェース 10/100/1000BASE-T SFP+×4 ポート スイッチング容量 150bps 以上であること パケット転送性能 128pps 以上 電源冗長 電源が冗長されていること 接続ケーブル等 4 機能 ×48 ポート以上 機器を接続構成するのに必要なもの。AC ケーブルを含 む ・OpenFlow Version 1.3.1 に準拠すること ・OpenFlow で使用するハードウェアフローエントリ数が 16 万フ ローエントリ以上登録可能なこと。 ・OpenFlow の検索マッチ条件として、MAC アドレス、 IP アドレス、L4 ポート番号の任意マスクをそれぞれ、また は、全ての組み合わせで指定可能なこと。 ・装置ログを保持(ダウンロード機能を含む)可能のこ と。 ・ポートミラーリング機能を有すること。 ・ストームコントロール機能を有すること。 2 接続ケーブル 上記スイッチ同士を接続する為に、ダイレクトアタッチケーブルを 備えること 4 長距離用 SFP+ 上記スイッチ用の SFP+LR(シングルモード光ファイバ用)を 備えること 2 SFP+ 上記スイッチ用の SFP+SR(マルチモード光ファイバ用)を 備えること -20- 特 記 制御用スイッチ 仕 様 項 目(数量) 内 容 ハードウェア(ラックマウント型) 筐体の大きさ 1U サイズラックマウント型であること インターフェース 10/100/1000BASE-T ×24 ポート以上 10GBASE-R 用 SFP+スロット ×4 以上 スイッチング容量 128Gbps 以上 パケット処理性能 90Mpps 以上 搭載メモリ 512MB 以上 レイヤ 2 機能 ・トランスペアレントブリッジ機能を有していること ・ポート VLAN、VLAN タギング、プロトコル VLAN、MACVLAN 機能を有していること スパニングツリー ・STP,RSTP,PVST+,MSTP,BPDU フィルタ、ループガード機能 を有すること L2 ループ検知 自装置を含む L2 ループ及び自装置外で発生した L2 ル ープを検知し、原因となるポートをシャットダウンする機能 を有すること 冗長機能 2 台以上でスタック構成が可能であること ログイン認証 RADIUS/TACACS+に対応していること リンクアグリゲーション IEEE802.3ad リンクアグリゲーション機能を有すること ストームコントロール ストームコントロール機能を有すること ポートミラー機能 ポートミラーリング機能を有すること SNMP 機能 SNMPv1,v2,v3 に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む 2 -21- 特 記 15.分離ファイアウォール 仕 様 項 目(数量) ハードウェア(ラックマウント型) 2 内 容 筐体の大きさ 1U サイズラックマウント型であること インターフェース 1GbE ポートを 8 個以上有すること。 SFP+ポートを 4 個以上有すること。 SFP ポートを 8 個以上有すること。 1GbE ポートの内 2 ポートは、透過型構成の際の機器障 害時でも通信が確保できるバイパスモードで使用可能 であること ファイアウォールスループット 12.0Gbps 以上であること アンチウィルス有効時 スループット 3.0Gbps 以上であること 新規コネクション数/秒 90,000 以上であること 最大コネクション数/秒 750,000 以上であること NAT モード 1 対 1、1 対多、多対多、トランスペアレントモードに対応し ていること ウイルススキャン機能 パターン更新機能 冗長機能 設定インポート機能 特 2 台で冗長構成 ・ストリーミング型のウィルススキャン機能を実装していること。 また、スキャンできるファイルサイズに制限が無いこと。 ・SMTP、POP3、IMAP、HTTP、CIFS プロトコルでのウィルス スキャンに対応していること ・アンチウィルスや侵入検知の定義ファイルが自動更新可能で あり、必要によって管理者が手動で更新できるこ と。 ・インターネットに接続できないクローズド環境であっても、 アンチウィルスや侵入検知の定義ファイルが更新可能である こと。 ・セッション情報の同期含めた冗長構成が可能であるこ と ・異なる庁舎間での冗長構成が可能であること CSV 等のファイルを介して設定のインポート及びエクスポートを 行う機能を有すること 保守サポート 契約期間中の保守サポートサービスを備えること ログ機能 SYSLOG を SYSLOG サーバーに転送する機能を有するこ と GUI 日本語対応の WEB-GUI 機能を有すること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む -22- 記 24H/365 16.分離ファイアウォール用シスログサーバー 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2650lv3(12C/2.30GHz/25M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 8GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 内蔵ディスク 2 SAS 対応 RAID1 構成で 10,000rpm 以上で 1.2TB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard 特 1 ( ) OS サポートサービス ソ フ ト ウ ェ ア 内 SYSLOG ソフトウェア SYSLOG ビューア 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) ・ファイアウォール装置からの SYSLOG を受信し、記録でき る機能を有すること ・ホスト名、ホスト IP アドレス、プライオリティ、メッセージテキストキーワー ド、日時でメッセージをフィルタリングする機能を有すること ・SYSLOG メッセージのコンテンツ、メッセージボリューム、メタデータな どによりアラートを生成し、アラートメールを設定する機能を 有すること ・任意のタイミング、あるいは定期的に、Zip ファイルなど のログファイルを自動でアーカイブ可能であること ・UDP、TCP、セキュア TCP 経由で SYSLOG メッセージを受信 する機能を有すること ・契約期間中のサポートサービスを備えること 上記 SYSLOG ソフトで収集したログを元に、大容量のログ の一部分のみを読み込むことで、メモリ容量を超える 大きなログファイルを閲覧可能であること。 ・契約期間中のサポートサービスを備えること -23- 1ライセンス 記 17.レイヤ3/2スイッチ レイヤ2スイッチA 仕 様 項 目(数量) 容 ハードウェア(ラックマウント型) 筐体の大きさ 1U サイズラックマウント型であること インターフェース 10/100/1000BASE-T ×24 ポート以上 10GBASE-R 用 SFP+スロット ×4 以上 スイッチング容量 128Gbps 以上 パケット処理性能 90Mpps 以上 搭載メモリ 512MB 以上 レイヤ 2 機能 ・トランスペアレントブリッジ機能を有している事 ・ポート VLAN、VLAN タギング、プロトコル VLAN、MACVLAN 機能を有している事 スパニングツリー ・STP,RSTP,PVST+,MSTP,BPDU フィルタ、ループガード機能 を有する事 L2 ループ検知 自装置を含む L2 ループ及び自装置外で発生した L2 ル ープを検知し、原因となるポートをシャットダウンする機能 を有すること 冗長機能 2 台以上でスタック構成が可能である事 ログイン認証 RADIUS/TACACS+に対応している事 リンクアグリゲーション IEEE802.3ad リンクアグリゲーション機能を有する事 ストームコントロール ストームコントロール機能を有する事 ポートミラー機能 ポートミラーリング機能を有する事 SNMP 機能 SNMPv1,v2,v3 に対応している事 筐体間接続ケーブル ダイレクトアタッチケーブル(SFP+) 2 接続ケーブル等 5 内 既設 FW 用 SFP 特 記 機器を接続構成するのに必要なもの。AC ケーブルを含 む 既設のファイアウォール用の SFP モジュール 型番:FCLF-8521-3 製品指定 (Finisar 10/100/1000Mbps、CopperSFP モジュール) ※予備×1を含む ハードウェア(ラックマウ ント型) レイヤ2スイッチB/レイヤ2スイッチC/レイヤ2スイッチD 仕 様 項 目(数量) 内 容 筐体の大きさ 1U サイズラックマウント型であること インターフェース 10/100/1000BASE-T ×48 ポート以上 10GBASE-R 用 SFP+スロット ×2 以上 スイッチング容量 140Gbps 以上 パケット処理性能 104Mpps 以上 搭載メモリ 512MB 以上 8 -24- 特 記 レイヤ 2 機能 ・トランスペアレントブリッジ機能を有している事 ・ポート VLAN、VLAN タギング、プロトコル VLAN、MACVLAN 機能を有している事 スパニングツリー ・STP,RSTP,PVST+,MSTP,BPDU フィルタ、ループガード機能 を有する事 L2 ループ検知 自装置を含む L2 ループ及び自装置外で発生した L2 ル ープを検知し、原因となるポートをシャットダウンする機能 を有すること 冗長機能 2 台以上でスタック構成が可能である事 ログイン認証 RADIUS/TACACS+に対応している事 リンクアグリゲーション IEEE802.3ad リンクアグリゲーション機能を有する事 ストームコントロール ストームコントロール機能を有する事 ポートミラー機能 ポートミラーリング機能を有する事 SNMP 機能 SNMPv1,v2,v3 に対応している事 筐体間接続ケーブル ダイレクトアタッチケーブル(SFP+) 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む レイヤ3スイッチ 仕 様 項 目(数量) 内 容 ハードウェア(ラックマウント型) 筐体の大きさ 1U サイズラックマウント型であること インターフェース 10/100/1000BASE-T ×48 ポート以上 10GBASE-R 用 SFP+スロット ×4 以上 スイッチング容量 150Gbps 以上 パケット処理性能 128Mpps 以上 搭載メモリ 1024MB 以上 レイヤ 2 機能 ・トランスペアレントブリッジ機能を有している事 ・ポート VLAN、VLAN タギング、プロトコル VLAN、MACVLAN 機能を有している事 スパニングツリー ・STP,RSTP,PVST+,MSTP,BPDU フィルタ、ループガード機能 を有する事 レイヤ 3 機能 ・スタティックルーティング機能を有すること(IPv4/v6) L2 ループ検知 自装置を含む L2 ループ及び自装置外で発生した L2 ル ープを検知し、原因となるポートをシャットダウンする機能 を有すること 冗長機能 2 台以上でスタック構成が可能である事 ログイン認証 RADIUS/TACACS+に対応している事 リンクアグリゲーション IEEE802.3ad リンクアグリゲーション機能を有する事 2 -25- 特 記 ストームコントロール ストームコントロール機能を有する事 ポートミラー機能 ポートミラーリング機能を有する事 SNMP 機能 SNMPv1,v2,v3 に対応している事 筐体間接続ケーブル ダイレクトアタッチケーブル(SFP+) 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む -26- 18.ファイル共有装置 仕 様 項 目(数量) 内 筐体の大きさ 2U 以下 インターフェース 10/100/1000BASE-T ユーザ数 20,000 ユーザ以上 内蔵ディスク 管理機能 冗長構成 ウイルス対策 電源ユニット 接続ケーブル等 ハードウェア 2 機能 容 ラックマウント型のアプライアンス機であること ×4 ポート以上 データ保存領域として、ハードディスクドライブを搭載して いること 本体に 2TB の HDD を 4 本以上搭載し、RAID5 で構成 すること。また、1 本はホットスペアとすること 機器前面に表示器を有し、システムの稼働状況、及び ハードディスクの状態を確認できること アクティブ/スタンバイ方式の冗長構成により、アップロードさ れたファイルやシステムの設定情報を同期できること 専用 OS に対応したウイルス対策ソフトウェアを備えている事 尚、利用期間中の更新費用も含む 冗長構成になっていること 機器を接続構成するのに必要なもの。AC ケーブルを含 む ・各設定は日本語 GUI で行えること ・ログを収集する機能を有すること ・ユーザの操作履歴や接続元 IP アドレスを含むログ情報 を SYSLOG サーバーに転送できる機能を有すること ・ユーザ管理画面を有し手動操作によりユーザを登 録・変更・削除ができること ・CSV ファイルによるユーザのインポート(一括登録・変更・ 削除)ができること ・異なるネットワーク間におけるファイル受け渡しの方向性 を任意に設定できること ・グループ毎、フォルダ毎システムの利用可能容量制限 (クォータ)を設定できること ・ファイル送信時に、第三者の承認を強制する機能を 有すること。このとき承認者は複数指定でき代理 承認が行なえること ・ファイルを送信した履歴から宛先情報などを再利用 し異なるファイルを送信できること ・フォルダ構造情報やユーザの設定情報は CSV を用いて 設定情報をエクスポート・インポート可能であることとし、 一括で設定変更作業が行えること ・システムにアップロードされたファイルは、保存期間を定義 できること。保存期間を超過したファイルは自動的に 削除可能である事 ・システムに保管されたファイルをダウンロードするためには 少なくとも一回以上のパスワード認証を必須とでき ること ・パスワード設定時にランダムな推奨パスワードを自動生成 できること -27- 特 記 2 台で冗長構成 19.ファイル共有装置用ログサーバー 仕 様 項 目(数量) 容 ハードウェア ラックマウント型 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2650lv3(12C/2.30GHz/25M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 8GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 SAS 対応 RAID1 構成で 10,000rpm 以上で 300GB 以上のディスク を 2 本で構成 内蔵ディスク 2 SAS 対応 RAID1 構成で 10,000rpm 以上で 1.2TB 以上のディスク を 2 本で構成 LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Microsoft Windows Server 2012 R2 Standard 特 1 ( ) OS サポートサービス ソ フ ト ウ ェ ア 内 SYSLOG ソフトウェア SYSLOG ビューア 契約期間中の OS サポートサービスを備えること (ペアレント OS 及び仮想 OS) ・ファイル共有装置からの SYSLOG を受信し、記録でき る機能を有する事。 ・ホスト名、ホスト IP アドレス、プライオリティ、メッセージテキストキーワー ド、日時でメッセージをフィルタリングする機能を有する事 ・SYSLOG メッセージのコンテンツ、メッセージボリューム、メタデータな どによりアラートを生成し、アラートメールを設定する機能を 有する事 ・任意のタイミング、あるいは定期的に、Zip ファイルなど のログファイルを自動でアーカイブ可能である事 ・全ての SNMP トラップや Windwos イベントログを一目で確 認することができます。UDP、TCP、セキュア TCP 経由で SYSLOG メッセージを受信する機能を有する事 ・契約期間中のサポートサービスを備えること 上記 SYSLOG ソフトで収集したログを元に、大容量のログ の一部分のみを読み込むことで、メモリ容量を超える 大きなログファイルを閲覧可能であること。 ・契約期間中のサポートサービスを備えること -28- 1ライセンス 記 20.内部通信監視アプライアンス 仕 様 項 目(数量) 筐体の大きさ インターフェース Sandbox 内蔵ディスク 電源ユニット ハードウェア 接続ケーブル等 2 機能 内 容 1U サイズラックマウント型のアプライアンス機であること 10/100/1000BASE-T ×8 ポート以上 内部通信監視のモニタリングは最大スループット 1000Mbps を 考慮すること ・4 つ以上作成可能であること ・本市のパソコン環境を考慮した任意の仮想アナライザの 作成、インポートが可能であること ・解析する際に既知のウイルスか判定できること ・日本語 MSOffice(2003/2007/2010/2013)/ Adobe Reader/Flash Player/一太郎に対応可能なこと ・対応する圧縮形式 50 種類以上、エンコード形式 7 種 類以上対応する機能を有すること ・「解析対象のファイル」を組織外へ自動的に送信し ないこと ・拡張子偽装を検知する機能を有すること 本体に 500GB 以上の HDD を 2 本以上搭載し、RAID1 で構成すること。 冗長構成でありホットプラグに対応していること 機器を接続構成するのに必要なもの。AC ケーブルを含 む ・高度標的型攻撃に使用されるプロトコル(SMB、CIFS、 Kerberos、RDP、FTP、POP3、SMTP、HTTP、DNS など) に対応し、通信・ファイルを含めた脅威を一元的に解 析する機能を有すること ・管理共有による exe ファイルの転送を検知する機能 を有すること ・認証サーバーへの辞書攻撃を検知できること ・不正な URL へのアクセスや不正な User-Agent による Web アクセスを検知する機能を有すること ・既知の C&C サーバーの名前解決のための DNS クエリを 検知する機能を有すること ・Brute-force Attack の検知機能を有すること ・Cisco 製品や Windows のログイン失敗の通信を検 知する機能を有すること ・Adobe 社 Acrobat、Microsoft Office、一太郎な どの脆弱性を利用した不正なドキュメントファイルの検知 する機能を有すること ・疑わしいファイル(実行ファイル・Office ドキュメント・PDF など)を仮想環境で実行し危険性を判別する機能 を有すること ・過去のアクセスログから C&C サーバーや関連サイトへアクセスし ていたか、さかのぼって検索する機能を有するこ と -29- 特 記 2箇所設置 機能 保守サポート 8 ライセンス ・基本的に GUI、レポート、ドキュメント、ヘルプが日本語化 されていること ・指定のプロトコルもしくはアプリケーションの通信を IP アド レス、もしくは IP アドレス範囲 に検知の除外設定がで きること ・マルウェアの通信を検知し、閾値を超えた検知があっ た場合に電子メールで通知できること ・危険度の高いクライアント PC を検知した際に電子メール で通知できること ・攻撃ステージや脅威の重大性に準じた表示およびレ ポートが提供できること 契約期間中の保守プレミアムサポートサービスを備えること ・24 時間 365 日受付が可能なこと ・本市を担当するメーカーサポート担当者を設け、原則と して当該サポート担当者が本市とのサポート窓口となる こと ・メーカにて早期に対策が必要と判断した場合に、早 期通知を行うこと ・自動検体照会する WEB を開設している事 ・グレーな検体について、検体解析を個別に実施可 能である事 ・上記解析にて、検体がウイルスであった場合に個別 のパターンファイルを提供出来ること ・専用 WEB ポータル画面にて、問い合わせを行い問い 合わせ履歴等の管理が可能である事。 ・プレミアムサポートの利用回数が上限に達した場合に、 別途有償で追加サポートが購入可能である事。 下記のライセンスを備えること ・Windows10professional ・Office2016 ・一太郎 Pro3 21.SSLデコード装置 仕 様 項 目(数量) ハードウェア 2 内 容 筐体の大きさ 1U サイズラックマウント型のアプライアンス機であること インターフェース 10/100/1000BASE-T ×8 ポート以上 電源断時にパススルー機能を有すること パケット処理能力 8Gbps 以上 SSL インスペクションスループット 1.5Gbps 以上 新規フルハンドシェイク SSL セッション 7,500/秒以上 電源 電源部が冗長化されていること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む -30- 特 記 2箇所設置 機能 ・複数の暗号化方式の復号・再暗号化に対応して いること ・1 台の機器で SSL 復号処理を行い、複数の機器へ データ転送する機能を有すること。 ・SSL 通信を復号した際、復号後のパケットとその他 の通信をミラーパケットとして異なる物理インターフェースから 出力する機能を有すること。 ・システム毎に復号設定を適用する機能を有すること。 ・接続先ホストのカテゴリ情報に基づいて、復号設定を 適用する機能を有すること。 ・HTTPS 以外のプロトコルについても SSL 通信の復号が でき、またポート番号の指定なしでも復号する機能 を有すること。 ・Web ブラウザで設定・管理が可能なこと -31- 22.標的型メール攻撃対策アプライアンス 仕 様 項 目(数量) 容 筐体の大きさ 1U サイズラックマウント型のアプライアンス機であること インターフェース 10/100/1000BASE-T Sandbox ハードウェア 内蔵ディスク 電源ユニット 1 内 接続ケーブル等 管理機能 ×4 ポート以上 ・サンドボックスを 30 個以上実装可能なこと ・解析した際に既知のウイルスか判定できること ・日本語 MSOffice(2003/2007/2010/2013)/ Adobe Reader/Flash Player/一太郎に対応可能なこと ・添付ファイルをサンドボックスにて解析できる機能を有す ること ・メール添付ファイルがパスワード保護されている圧縮ファイル の場合、事前設定したパスワード、本文中ならびに前 後に受信したメールからパスワードを読み取って解読す る機能があること。 ・対応する圧縮形式 50 種類以上、エンコード形式 7 種 類以上対応する機能を有すること 本体に 500GB 以上の HDD を 2 本以上搭載し、RAID1 で構成すること。 冗長構成であること 機器を接続構成するのに必要なもの。AC ケーブルを含 む ・リアルタイムにメールの送受信を監視し、ウイルス対策、スパイ ウェア対策を同時に実施できること ・頻繁に改変され多種発生する亜種不正プログラムの 受信を予防する機能を有すること ・不正と判断された場合、添付ファイルを削除する機 能を有すること ・メール本文中に含まれる URL について、URL の安全 性を評価し、評価結果に基づき当該メールの処理を決 定する機能を有すること ・不審なメールを検出した場合は、受信者及び管理者 に指定したフォーマットのメッセージを日本語でメール送信す る機能を有すること ・不審なメールの本文内容の表示イメージを当該メール本体 機器外部にダウンロードすることなく確認する機能を 有すること ・ウイルス定義ファイル/検索エンジンのデータベースの自動更新 が可能なこと ・ウイルス検出時にメール件名に指定した文字列を挿入で きること -32- 特 記 2箇所設置 保守サポート 30 ライセンス 契約期間中の保守プレミアムサポートサービスを備えること ・24 時間 365 日受付が可能なこと ・本市を担当するメーカーサポート担当者を設け、原則と して当該サポート担当者が本市とのサポート窓口となる こと ・メーカにて早期に対策が必要と判断した場合に、早 期通知を行うこと ・自動検体照会する WEB を開設している事 ・グレーな検体について、検体解析を個別に実施可 能である事 ・上記解析にて、検体がウイルスであった場合に個別 のパターンファイルを提供出来ること ・専用 WEB ポータル画面にて、問い合わせを行い問い 合わせ履歴等の管理が可能である事。 ・プレミアムサポートの利用回数が上限に達した場合に、 別途有償で追加サポートが購入可能である事。 下記のライセンスを備えること ・Windows10professional ・Office2016 ・一太郎 Pro3 -33- 23.デバイス制御・ログ管理ソフトウェア 仕 様 項 目(数量) 内 容 対象仮想 PC 台数 4,000 クライアント 対象物理 PC 台数 500 クライアント 保守ライセンス 契約期間中の保守ライセンスを備えること 基本機能 資産管理機能 ソフトウェア配布機能 アラート機能 今回導入する VDI 環境および物理 PC において、以 下の機能を有する製品とすること。 ・各コンピュータのハードウェア情報や,アプリケーションインストール状 況(OS ライセンス状況・Office インストール状況・ウィルス対策 ソフトウェアインストール状況・Windows 更新プログラム適用状 況・実行ファイル名・MicrosoftOffice の GUID,バージ ョン,インストール日付) ・不許可ファイル検出状況が取得でき る機能を有すること ・クライアントコンピュータに対して,Windows 更新プログラム を配布し,自動的に更新プログラムの実行を行う等の セキュリティパッチを適用する際,WSUS 連携し,更新日や更 新時間を設定して適用できること。 ・各クライアントコンピュータへスクリプトを用いたソフトウェア配布機 能を有すること。 尚,スクリプトは汎用的な VBScript であることとし, メーカーのサポートサイトから保守費用の範囲内で個数に制 限なくダウンロードできること。 ・Administrator 権限がない端末であっても実行が 出来るよう,配布方法として,管理機からのプッシュ, およびクライアントコンピュータからのプルを選択可能なこと ・特定の行為及び内容から,事前定義されたルールに 従い,自動的にメール等で通知する機能を有すること ・特定のサーバーおよびセグメントへの、事前定義された ルールに反する IP 通信を禁止する機能を有するこ と ・外部記憶媒体へのデータ書き込みや、印刷などを 禁止したい特定のフォルダを監視対象として登録す ることで、制限をかける機能を有すること。監視 対象になったフォルダは、以下のような特定の操作を おこなった際に、自動的にメール等で通知したり、操 作そのものを禁止する機能を有すること。 設定できる項目については次の通りとする。 ・リモート操作受信 ・クリップボードへのコピー ・印刷 ・画面キャプチャー ・外部記憶媒体へのデータ書き込み -34- 特 記 USB デバイス制御 操作ログ機能 リモート操作 ・USB 外部ストレージをクライアントコンピュータもしくは管理者 のクライアントコンピュータに挿入した際,利用した USB メモ リの製品名,シリアルナンバー,ベンダー ID を自動で収集 し,UI 上で自動的に管理台帳を作成できること ・SD カード,MO ディスク,DVD-RAM など書き込み可能メ ディアを登録したメディアごとに使用許可/不許可/書 き込み禁止を設定できること ・USB デバイスの棚卸する機能を有すること。棚卸し の期限は任意で設定でき,期限を超過しても棚卸 しが確認できていない USB デバイスや利用者を表示 できること。また,棚卸し期間を超過した USB デバ イスの利用を制限できること。 ・USB メモリの最終使用時に,どのようなファイルが保存 されていたかを,一覧表示できること。また USB 管理画面上のファイル一覧表示画面から,そのファイルが, どのような操作が行われたかを表示する機能を有 すること。 ・電源オン/オフ,ログオン/オフの日時,実行されたソフトウェア についての起動・起動期間,プリンタ出力ログ,Web 閲 覧(ダウンロード・書込・アップロード)ログ,共有フォルダ へのアクセス,ファイル操作,クリップボードにコピーされた内 容,USB メモリなどの記憶媒体を利用した内容および 記憶媒体のシリアル情報等を記録する機能を有するこ と。 ・後述するリモート操作を行った履歴及び管理者側が 行った操作としてログが残せること。 ・収集されたファイル操作ログから,一つのファイルに対し て,どのような操作(コピー,ファイル名変更,新規作 成,削除など)が行われたかを抽出して表示する 機能を有すること ・指定した範囲の IP アドレス以外に対する TCP 通信 をログとして記録する機能を有すること。指定し た IP アドレス範囲内であっても、特定の IP アドレスに ついては記録対象から除外する設定が行えること ・起動元アプリケーションのファイルパス、ハッシュ値、およびプロ セス ID を記録す機能を有すること ・コマンドプロンプト(cmd.exe)、Windows PowerShell (powershell.exe)で実行したコマンドを記録する機 能を有すること ・特定及び複数のクライアントコンピュータに対して,ネットワーク 経由で,キー及びマウス操作をリモートで行える機能を有す ること ・遠隔からの操作を受けるクライアントコンピュータの画面 を,管理者画面で拡大・縮小,全画面表示を行う ことができること。管理機画面をクライアントコンピュータ 側に表示させる機能を有すること ・リモート操作時に、画面表示の減色やグレースケール変換 を行うことで、データ転送量を軽減する設定ができ ること ・遠隔操作の操作状況に応じて,遠隔操作中の通 信量をコントロールする機能を有すること -35- 24.既存ライセンスの追加 仕 様 項 目(数量) 内 容 ソフトウェア TrendMicro 社 ウイルスバスター追加 TRSL Trend Micro Client/Server Suite Premium 新規 ガバメント H ランク 4,000 ライセンス追加 TrendMicro 社 ウイルスバスター更新 TRSL Trend Micro Client/Server Suite Premium 更新 ガバメント H ランク 4,000 ライセンス ×4 年間保守更新 デジタルアーツ社 I-FILTER 追加 i-FILTER Ver.9 Standard Edition 3,000 ライセンス追加 デジタルアーツ社 I-FILTER 保守延長 i-FILTER Ver.9 Standard Edition 3,000 ライセンス×3 年間保守延長 -36- 特 記 現行:12,000 ライセンス 25.ログ収集サーバー 仕 様 項 目(数量) ハードウェア ラックマウント型 ( ) ソ フ ト ウ ェ ア 内 容 筐体の大きさ 1U サイズラックマウント型 CPU インテル Xeon プロセッサー E5-2640v3(8C/2.60GHz/20M)以上 ×2個 メインメモリ DDR4-2133(PC4-2133) SDRAM ECC 付 16GB 以上 ディスクアレイコントローラ Raid0,1 対応、SAS 対応 ホットプラグ対応 キャッシュ 1GB(フラッシュバックアップユニット利用)以上 内蔵ディスク 1 SAS 対応 RAID1 構成で 10,000rpm 以上で 450GB 以上のディスク を 2 本で構成 DVD ドライブ 内蔵 DVD ドライブを備えること ※書込み出来ないこと LAN インターフェース 1000BASE-T 対応、4 ポート以上 各種インターフェース USB3.0 のポートを備えること アナログ RGB ミニ D-Sub15 ピン接続×1 ポート以上 (ディスプレイ接続用) 電源 200V 電源対応 動作温度条件 温度:10℃~40℃に対応していること 接続ケーブル等 機器を接続構成するのに必要なもの。AC ケーブルを含 む OS Red Hat Enterprise Linux -EX- (v.6)(2 ソケット)(x86_64) OS サポートサービス 契約期間中の OS サポートサービスを備えること ログ収集ソフトウェア ・監視対象機器(FW 及び proxy)からのログを収集し、 監視設備へログを転送できること。 ・監視設備との通信を暗号化できること。暗号強度 は 2048bit 以上であること。 1 -37- 特 記 特記事項 庁舎Aについては、賃貸借物件は既設ラックの空きスペースに搭載する。庁舎Bについては、現行ラックの移設 作業を実施・分電盤工事・電源敷設を行った後に搭載すること。 平成 28 年 7 月現在において最新の機種で構成すること。ただし、それ以降で、新機種が発売される場 合などは、提出した機種の機能以上であり、本市の了承を得た場合に変更することは可。 品名欄に特定の製品名が記載してある場合は、該当の製品で構成すること。 仕様項目ごとに機器が複数台で構成されるものは、同一機器で構成すること。仮想デスクトップ基盤サ ーバーと仮想デスクトップ基盤用ストレージについては、購入分と賃貸借分について同一機器とする こと。 各機器及びソフトウェアは一体化して動作すること。 導入するソフトウェア及び機器により、その動作に必要なソフトウェアや機器が別にあるときは、それも構成に含め ること。 使用後に部品の再利用や材料リサイクルがしやすいように設計されていること。 記載がなくても、賃貸借物件を搬入及び設置するために当然必要となる作業、消耗品等については、 落札者の負担で用意すること。 各ソフトウェアにおいて、借入時までに最新バージョンのものが発売された場合は、原則、最新バージョンのもの を借り入れるものとする。これによりがたい場合は、本市と協議するものとする。 マイクロソフトのガヴァメントオープンライセンス・セレクトプラスフォ-ガバメントを適用するソフトウェアについては、DVD-ROM 等の媒体 の提供は不要とする。 各サーバーへは障害予兆監視ソフトウェアを導入し、ハードウェアの異常発生時に保守拠点へ E メール等の手段を用いて 自動通報できるようにすること。 各ソフトウェアは、日本語対応版であること。 なお、これらによりがたい場合は、事前に本市と協議するものとする。 -38- 別紙 2 グリーン配送に関する特記仕様書 (基本事項) 第1 この契約の相手方(以下「契約業者」という。 )は、本契約にかかる名古屋市(以下「市」 という。)への物品の納入に、自動車(二輪自動車を除く。 )を使用する場合、名古屋市グ リーン配送実施要綱(以下「要綱」という。 )に定めるグリーン配送を実施するよう努め なければならない。なお、物品の納入業務を他人に委託する場合は、契約業者から委託を 受けて物品の納入を行う事業者(以下「納入業者」という。)に、グリーン配送を実施さ せるよう努めなければならない。 (グリーン配送に使用する車両) 第 2 グリーン配送に使用する車両は、要綱に定める次の自動車とする。 (1)電気自動車 (2)天然ガス自動車 (3)メタノール自動車 (4)ハイブリッド自動車 (5)低排出ガス車かつ低燃費車 (6)燃料電池自動車 (7)車両総重量 3.5t超のガソリン車・LPガス車・新長期規制適合以降ディーゼル車 (8)クリーンディーゼル自動車 (9)プラグイン・ハイブリッド自動車 (10)低排出ガス車 (11)低燃費車 (12)超低PM排出ディーゼル車 (13)LPガス貨物自動車 (14)車両総重量 3.5t超の新短期規制適合ディーゼル車 (15)その他、環境局長が認めるもの (調査への協力) 第 3 自ら物品の納入を行う契約業者又は納入業者は、物品の納入にあたり、市が別途交付す る名古屋市グリーン配送適合車両届出済証又はグリーン配送実施計画届出済証を携帯す るよう努めなければならない。また、市がグリーン配送に関する必要な調査を実施する場 合は、その指示に従うこととする。 -1- 別紙3 据付調整作業等仕様書 1 サーバー等設置作業 (1) 設置場所への搬入 今回調達する機器については市役所の 2 庁舎に設置する予定である。 (2) ネットワーク機器、サーバー等のラック(既設ラックを含む。)への搭載を行うこと。 (既設ラック:日本電気(株)製 N8140-98 及び N8140-92) (3) 市役所庁舎Bへの新規サーバーラックの設置 ① 新規ラックを設置するにあたり、現行サーバーラック 4 本を賃借人の指定場所へ移設を行う こと(2m程度を想定している)また、その際に耐震固定を行うこと。なお、移設に際し てサーバーを停止させる場合には、賃借人及び賃借人が指定するものと協議の上、作業日 時及び作業の詳細を決定するものとする 搭載されている機器:内部事務系サーバー群、ファイルサーバー群、仮想サーバー群 ネットワーク機器により構成されている。96U 程度実装済み ② 賃借人の指定する場所へ 19 インチラック 5 本を新設すること。 ③ 架台による耐震固定を行うこと。 (4) 分電盤からの電源配線作業 基本的に 200V 電源回路を用いることとするが、一部の周辺機器は 100V 電源の予定である。 必要に応じて既存分電盤から分岐分電盤設置・電源配線作業を実施すること。なお、設置に 際して上位分電盤を停止させる場合には、賃借人及び賃借人が指定するものと協議の上、詳 細を決定するものとする 2 サーバー構築作業 (1) 物理サーバーの構築作業 ① 物理ディスクの RAID 構成、パーティションの設定作業、OS のセットアップ(セキュリテ ィ識別子は一意に設定すること)、更新プログラムやウイルス対策ソフトウェアのインス トール、デバイスドライバのインストール等を行うこと。 ② コンピューター名、ネットワーク(IPv6 はレジストリにて無効化すること。)、ローカ ルアカウント、グループポリシーの設定を行うこと。不要サービスの停止等を行うこと。 ③ 所属するネットワークセグメント上の Active Directory への参加を行い、グループポリ シーで設定可能な項目は、Active Directory のグループポリシーで設定すること。 (2) 物理サーバー上で稼働する仮想マシンの構築作業 ① 仮想サーバーにはHyper-V をセットアップし、下表の仮想マシンを構築すること。 ② 各仮想マシンについては、割り当てリソースの設定、コアの割り当て、OSのセットアップ (セキュリティ識別子は一意に設定すること)、更新プログラムやウイルス対策ソフトウ ェアのインストール、デバイスドライバのインストール等を行うこと。 -1- ③ 仮想マシン用の仮想ディスク等はストレージ内に配置すること。 ※ストレージと接続しないサーバーについては、この限りではない。 ④ コンピューター名、ネットワーク(IPv6 はレジストリにて無効化すること。)、ローカ ルアカウント、グループポリシーの設定を行うこと。 ⑤ 所属するネットワークセグメント上のActive Directoryへの参加を行い、グループポリシ ーで設定可能な項目は、Active Directoryのグループポリシーで設定すること。 また、既存のActive Directoryを操作する際は、賃借人及び賃借人が指定するものと協議 の上、その運用に支障が無い様、十分留意すること。 運用に支障が発生したことに伴う 費用は、全て賃貸人の負担とする。 ■管理系仮想サーバー (ハードウェア2台で冗長構成/ストレージ有) 仮想マシンの用途 統合管理サーバー#1 OSや主な稼働ソフトウェア Windows Server 2012 R2 Datacenter Edition 仮想 PC 管理ソフトウェア フェイルオーバー構成とすること 統合管理サーバー#2 Windows Server 2012 R2 Datacenter Edition 仮想 PC 管理ソフトウェア フェイルオーバー構成とすること 統合管理サーバー用 DB サーバー Windows Server 2012 R2 Datacenter Edition SQL Server 2014 Standard Edition クラスタ構成とすること クライアント管理サーバー#1 Windows Server 2012 R2 Datacenter Edition クライアント管理ソフトウェア フェイルオーバー構成とすること クライアント管理サーバー#2 Windows Server 2012 R2 Datacenter Edition クライアント管理ソフトウェア フェイルオーバー構成とすること クライアント管理サーバー用 DB サーバー Windows Server 2012 R2 Datacenter Edition SQL Server 2014 Standard Edition クラスタ構成とすること 移動プロファイルサーバー Windows Server 2012 R2 Datacenter Edition フェイルオーバー構成とすること ストレージ管理サーバー Windows Server 2012 R2 Datacenter Edition フェイルオーバー構成とすること -2- ■メール系仮想サーバーW (ハードウェア2台で冗長構成/ストレージ有) 仮想マシンの用途 メール振り分けサーバー OSや主な稼働ソフトウェア Virtual アプライアンス クラスタ構成とすること WEB メールサーバー#1 Virtual アプライアンス WEB メール用ソフトウェア ライブマイグレーション構成とすること WEB メールサーバー#2 Virtual アプライアンス WEB メール用ソフトウェア ライブマイグレーション構成とすること WEB メールサーバー#3 Virtual アプライアンス WEB メール用ソフトウェア ライブマイグレーション構成とすること WEB メールサーバー#4 Virtual アプライアンス WEB メール用ソフトウェア ライブマイグレーション構成とすること メールフィルタサーバー Windows Server 2012 R2 Datacenter Edition 賃借人より提供するメールフィルタリングソフトウェア フェイルオーバー構成とすること WSUS サーバー#1 Windows Server 2012 R2 Datacenter Edition WSUS サーバー#2 Windows Server 2012 R2 Datacenter Edition WSUS サーバー#3 Windows Server 2012 R2 Datacenter Edition デバイス制御・ログ管理 Windows Server 2012 R2 Datacenter Edition マスターサーバー デバイス制御・ログ管理 データベースサーバー デバイス制御・ログ管理ソフトウェア Windows Server 2012 R2 Datacenter Edition デバイス制御・ログ管理ソフトウェア KMS サーバー Windows Server 2012 R2 Datacenter Edition ウイルス対策 Windows Server 2012 R2 Datacenter Edition 統合管理サーバー DHCP サーバー ウイルス対策統合管理ソフトウェア Windows Server 2012 R2 Datacenter Edition -3- ■ウイルス対策系仮想サーバー(ハードウェア2台で構成/ストレージ無) 仮想マシンの用途 ウイルス対策 管理サーバー OSや主な稼働ソフトウェア Windows Server 2012 R2 Standard Edition ウイルス対策管理ソフトウェア Hyper-V レプリカ構成とすること ウイルス対策 Virtual アプライアンス WEB レピュテーション用 サーバー#1 ウイルス対策 Virtual アプライアンス WEB レピュテーション用 サーバー#2 ■メール系仮想サーバーE(ハードウェア2台で構成/ストレージ無) 仮想マシンの用途 メール受信サーバー OSや主な稼働ソフトウェア Windows Server 2012 R2 Standard Edition メールサーバー用ソフトウェア Hyper-V レプリカ構成とすること メール無害化サーバー Windows Server 2012 R2 Standard Edition 賃借人より提供するメールフィルタリングソフトウェア Hyper-V レプリカ構成とすること ■仮想デスクトップ基盤サーバー (44台で構成/ストレージ有) 仮想マシンの用途 仮想PC #1~#4,000 OSや主な稼働ソフトウェア Windows 10 Enterprise(想定) デバイス制御・ログ管理ソフトウェア クライアント管理エージェント Microsoft Office 2013 Professional/Standard/無 (OS イメージは複数種類作成予定である) ■運用管理・検証サーバー(ストレージ無) 仮想マシンの用途 運用管理サーバー OSや主な稼働ソフトウェア Windows Server 2012 R2 Standard Edition サーバー管理用ソフトウェア 仮想環境検証サーバー#1 Windows Server 2012 R2 Standard Edition 仮想環境検証サーバー#2 Windows Server 2012 R2 Standard Edition なお、本表は作成する仮想マシンの想定であり、配置先物理サーバー等の詳細は協議の上で決定す る。仮想サーバーの OS 及びアプリケーションを、最新版へのアップデート作業を行うこと。 (3) ■管理系仮想サーバー/ストレージの構築作業 ① 2台の物理サーバーで構成し、ストレージ装置をFC接続する構成とすること。 -4- ② それぞれのサーバーにおいて、Hyper-V仮想化基盤を構築し、(4)~(11)のサーバーを稼働 させること。 ③ 賃借人の指示に従い、対象とした仮想サーバーを移動させて業務継続が可能なように構成 すること。 ④ ストレージについては、筐体内レプリケーションによるバックアップを行うように構成す ること。尚、データ領域はRAID10構成とし、バックアップ領域はRAID5構成とすること。 (4) 統合管理サーバー#1の構築作業 ① 管理系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 仮想PCサーバー22台(仮想PC2,000台)を一元的に管理出来るように構成する事。 ③ 仮想PCならびに仮想デスクトップ基盤サーバーを管理画面で表示し、作成・削除出来る ようにすること ④ 仮想デスクトップ基盤サーバーの障害を予兆として検知し、ダウンに至る前に仮想デスク トップを健全な別サーバーへ自律的に退避して障害回避出来るように設定すること ⑤ 仮想PCの新規作成については、テンプレートを用いて複数の仮想PCを一括作成できる ように設定する事 ⑥ 仮想デスクトップ基盤サーバーのHyper-V clusterの構成を行うこと ⑦ 仮想デスクトップ基盤サーバーの性能監視設定を行うこと (5) 統合管理サーバー#2 の構築作業 ① 当サーバーの管理対象とする仮想PCサーバー22 台(仮想PC2,000 台)については、統 合管理サーバー#1 と同様の構築作業を行うこと (6) 統合管理サーバー用 DB サーバーの構築作業 ① 管理系仮想サーバー上で、Hyper-V を利用して仮想マシンに構築すること。 ② 統合管理サーバーで利用するデータベースのインスタンスを作成し、必要な設定作業を実 施する事。 (7) クライアント管理サーバー#1の構築作業 ① 管理系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 仮想PCへの接続時にセッション管理ができる様に構成すること ③ 仮想PCのコンピューター名をキーに利用者履歴を検索可能とすること (8) クライアント管理サーバー#2 の構築作業 ① 当サーバーの管理対象とする仮想PCサーバー22 台(仮想PC2,000 台)については、ク ライアント管理サーバー#1 と同様の構築作業を行うこと (9) クライアント管理サーバー用 DB サーバーの構築作業 ① 管理系仮想サーバー上で、Hyper-V を利用して仮想マシンに構築すること。 ② クライアント管理サーバーで利用するデータベースのインスタンスを作成し、必要な設定 -5- 作業を実施する事。 (10) 移動プロファイルサーバーの構築作業 ① 管理系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② ファイルサーバーへ格納するユーザデータは、移動ユーザープロファイルおよびフォルダ リダイレクト用の容量を含み1ユーザーあたり200MBとする。重複排除機能を使用する場合 も、物理的・論理的に本容量以上を確保すること。 (11) ストレージ管理サーバーの構築作業 ① 管理系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 各仮想化基盤サーバー(管理系仮想サーバー/メール系仮想サーバーW/仮想デスクトッ プ基盤サーバー)から接続されるストレージの管理を行えるようにすること。 ③ 各仮想化基盤サーバーと接続する仮想ディスクを作成し、各仮想化基盤サーバーとの接続 を行うこと。 ④ ストレージの状態を監視し、万が一の障害発生をメッセージ出力やアイコン表示により通 知する仕組みを構築すること。 ⑤ 仮想ディスクの複製ボリュームを作成・管理を行う仕組み(筐体内レプリケーション)を 構築すること。複製ボリューム作成のタイミング・スケジュールについては賃貸借人と協 議の上決定すること。 (12) ■メール系仮想サーバーW/ストレージの構築作業 ① 2台の物理サーバーで構成し、ストレージ装置をFC接続する構成とすること。 ② それぞれのサーバーにおいて、Hyper-V仮想化基盤を構築し、(13)~(20)のサーバーを稼 働させること。 ③ 賃借人の指示に従い、一部の指定する仮想サーバーを移動させて業務継続が可能なように 構成すること。 ④ ストレージについては、筐体内レプリケーションによるバックアップを行うように構成す ること。尚、データ領域はRAID10構成とし、バックアップ領域はRAID5構成とすること。 (13) メール振り分けサーバー ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 送信されてきたメールを配下のメールサーバーに振り分け出来るように設定を行うこと 尚、対象ユーザー数は8,000アカウントを想定している。 (14) WEBメールサーバー#1~#4の構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② メールサーバー(SMTP/IMAP4)として稼働させること。 ③ 仮想PCからのWEBメールアクセスを行うものとし、4台合計で同時1,000アクセスを 行えるようにすること。 ユーザー振り分けについては、賃借人と協議の上、決定するこ と。 -6- ④ 仮想PCからWEBメールを参照する事で、メールの添付文書の取り出しを行えるように すること。 ⑤ ユーザー毎のメール容量に関しては、一人あたり200MBとして容量制限を行い、ユーザー ごとに可変できるようにすること。 (15) メールフィルタサーバーの構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 賃借人の有するライセンスを用いて、x64環境で構築すること ③ 宛先及びCCを複数指定してメール送信する際に、送信先のメールアドレスがほかの受信 者にわからないような設定を行うこと。 ④ メール件名情報などに含まれる文字列の条件によって、送受信のルール設定が可能である こと ⑤ 送信ルールに従い、メール本文の冒頭もしくは末尾に任意の文章を挿入できる様にするこ と。 (16) WSUSサーバー#1~#3の構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② インターネット接続DMZセグメント用に作成することとし、全体管理用サーバー1台と各 クライアント配布用の2台での構成とし、構築を行うこと。 ③ インターネットアクセスする端末用のパッチ配信サーバーとして構築を行うこと。 (17) デバイス制御・ログ管理サーバーの構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 負荷分散の為、マスターサーバー・データベースサーバーの構成とすること。 尚、想定端末数は、仮想端末4,000台 物理端末500台を想定している。 ③ 端末にエージェントソフトウェアをセットアップし、サーバーで一元的にクライアントの 操作ログを取得するように構築すること。 ④ 物理端末におけるUSBデバイス制御を行うこととし、利用したUSBメモリの製品名,シリア ルナンバー,ベンダーIDを自動で収集し,UI上で自動的に管理台帳を作成するように設定 し、収集した情報にもとに指定したUSBメモリを使用許可/不許可/読み取り専用を設定 できるようにすること。 ⑤ USBメモリの最終使用時に,どのようなファイルが保存されていたかを,一覧表示し、確 認出来るようにすること。また、 USBデバイスの棚卸を出来るように設定すること。 ⑥ 物理端末における SDカード,MOディスク,DVD-RAMなど書き込み可能メディアを登録した メディアごとに使用許可/不許可/書き込み禁止を設定すること。 ⑦ 電源オン/オフ,ログオン/オフの日時,実行されたソフトウェアについての起動・起動期 間,プリンタ出力ログ,Web閲覧(ダウンロード・書込・アップロード)ログ,共有フォ ルダへのアクセス,ファイル操作,クリップボードにコピーされた内容,USBメモリなど の記憶媒体を利用した内容および記憶媒体のシリアル情報等を記録する機能を有してお り、賃借人の指示に従い、必要なログ取得設定を行うこと。 -7- ⑧ コマンドプロンプト(cmd.exe)、Windows PowerShell(powershell.exe)で実行したコ マンドを記録出来るようにすること。 ⑨ 特定及び複数のクライアントコンピュータに対して,ネットワーク経由で,キー及びマウ ス操作をリモートで行えるようにすること。 (18) KMSサーバーの構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 今回導入する仮想サーバーのゲストOS上にWindows10、Windows 8.1、Windows7、Windows Server 2012 R2、Office 2013 に対応したKMSホストを構築する事。 (19) ウイルス対策統合管理サーバーの構築作業 ① メール系仮想サーバーW上で、Hyper-Vを利用して仮想マシンに構築すること。 ② インターネット上からサーバー・クライアント用製品の最新のパターンファイルをダウン ロードし、配下のサーバーへ自動配信出来るようにすること ③ 管理者がウイルス/スパイウェアなどの脅威の検出結果、パターンファイルの適用状況な どの情報を容易に確認できるようにすること。 ④ 内部通信監視アプライアンス#1、#2と連携し不正な通信検知時連携させるように設定する こと。 (20) DHCPサーバーの構築作業 ① 管理系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 仮想PCのデプロイメント作業におけるDHCPサーバーを構築すること (21) ■ウイルス対策系仮想サーバーの構築作業 ① 2台の物理サーバーで構成とすること。 ② それぞれのサーバーにおいて、Hyper-V仮想化基盤を構築し、(22)~(23)のサーバーを稼 働させること。 (22) ウイルス対策管理サーバーの構築作業 ① ウイルス対策系仮想サーバー上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 管理しているクライアント用ウイルス対策ソフトウェアへのパターン/プログラム配信 できるようにすること ③ クライアント用ソフトウェアが検知した内容を一元的に確認・把握出来るようにすること ④ 仮想環境用のエージェントについては、拡張機能を有効にすることにより同時にパターン ファイルのアップデートや予約検索を実行することが出来る台数をあらかじめ制限する ように設定すること。 (23) ウイルス対策WEBレピュテーション用サーバー#1,#2の構築作業 ① ウイルス対策管理サーバーと連携し、インターネット上のWEB/ファイルレピュテーショ ンデータベースのコピーを持たせ、クライアントへのシグネチャ提供を行えるように設定 -8- すること。 (24) ■メール系仮想サーバーEの構築作業 ① 2台の物理サーバーで構成し、Hyper-Vレプリカによる構成とすること。 ② それぞれのサーバーにおいて、Hyper-V仮想化基盤を構築し、以下(25)~(26)のサーバー を稼働させること。 (25) メール受信サーバーの構築作業 ① メール系仮想サーバーE上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 現在本市にて稼働しているアンチスパムサーバー(2ヶ所)の配送設定の変更を行うこと。 賃借人及び賃借人が指定するものと協議の上、その運用に支障が無い様に設定すること。 それらにかかる費用は賃貸人の負担とする。 ③ 賃借人の指示に従い、メールの配送設定を行うこと ④ 配送制御時にウイルスチェックをおこなうように設定すること。 (26) メール無害化サーバーの構築作業 ① メール系仮想サーバーE上で、Hyper-Vを利用して仮想マシンに構築すること。 ② 賃借人の有するライセンスを用いて、x64環境で構築すること ③ 受信したメールの添付ファイルを本文から削除し、内部ネットワークへメール本文のみ配 送を可能とすること。且つ、HTMLメールやリッチテキストメールの本文テキスト化による URL表示偽装などの攻撃防御と、URLリンク文字一部置換による人為的ミス削減をおこなえ るようにすること。 ④ 無害化処理(添付ファイル削除、URL含めたリンクの無効化、HTMLメールやリッチテキスト メールの本文テキスト化)を実施したメールと無害化処理を行わないメールを別々のネッ トワークへ配送設定をすること。 ⑤ メール配送については現行メールサーバーへの設定変更が伴う為、賃借人及び賃借人が指 定するものと協議の上、その運用に支障が無い様に設定すること。それらにかかる費用は 賃貸人の負担とする。 (27) ■仮想デスクトップ基盤サーバー#1~#44/ストレージの構築作業 ① OSのセットアップ及び必要な機能のインストールを行うこと。 ② Active Directoryサーバーへのドメイン参加作業を行うこと。 ③ ストレージのパス切替ソフトウェアのセットアップを行い、 仮想デスクトップ基盤用ス トレージとの接続を行うこと。障害時には自動で切り替わるように設定を行うこと。 ④ サーバー監視ソフトウェア/管理用エージェントソフトウェアの設定を行い、監視に必要 となる設定を行うこと。 ⑤ Windowsフェールオーバークラスタ設定を行い、クォーラムディスク・共有ディスクを 構成すること。 ⑥ クラスタ動作・ライブマイグレーションに必要なネットワークを構成し、物理ネットワー クとの接続を行うこと。 -9- (28) 仮想PCの構築作業 (4,000台) ① 仮想PCについては、Windows10 EnterpriseまたはWindows8.1 Enterprise を想定してい る。セットアップするOS/エディションについては、賃借人と協議により決定する。 ② 仮想PCのイメージは3~5種類程度を想定している。 1. Windows OS及び Office 2013 Pro 2. Windows OS及び Office 2013 Standard 3. Windows OSのみ ③ Windowsファイアウォールのセットアップ ④ デバイス制御・ログ管理ソフトウェアのセットアップ ⑤ クライアント管理エージェントのセットアップ ⑥ ウイルス対策ソフトウェアのセットアップ ⑦ Adobe Reader等の本市の指定/提供するソフトウェアのセットアップ (29) ■運用管理・検証サーバーの構築作業 ① Hyper-V仮想化基盤を構築し、(30)~(31)のサーバーを稼働させること。 (30) 運用管理サーバーの構築作業 ① 各サーバーの監視を行いハードウェアの異常を検知した際に、保守会社への通報を行える ように設定を行うこと。 (31) 仮想環境検証サーバー#1,#2の構築作業 ① 稼働後のシステム利用において、仮想環境における動作検証を行う環境を整備すること。 ② 詳細設定については、賃借人の指示に従うこと。 (32) ADサーバー#1、#2の構築作業(物理サーバー) ① OSのセットアップ及びソフトウェアのインストールを行うこと。 ② インターネット接続DMZセグメントにおけるユーザアカウント管理・グループポリシー管 理を行うためのActive Directoryサーバーを構築すること ③ 賃借人の指定するルールに従い、約20,000ユーザーのアカウントを作成すること。 ④ 賃借人の指示に従い、グループポリシー設定を行うこと。 グループポリシーは500程 度を想定している。 ⑤ 仮想PCを一定時間無操作の端末については自動的にセッションを切るようにグループ ポリシーを設定すること ⑥ 詳細な設定については、賃借人と相談の上決定すること。 (33) 分離ファイアウォール用シスログサーバーの構築作業(物理サーバー) ① OSのセットアップ及びソフトウェアのインストールを行うこと。 ② 後述する分離ファイアウォールからの通信ログ等を受信・記録するための設定を行うこと。 ③ 記録したログが膨大になることが想定されるため、大容量のログを検索しやすいビューア -10- ソフトウェアを備えること。 ④ OSの稼働領域とは別のハードディスクにログを保存出来るように設計すること。 (34) ファイル共有装置用ログサーバーの構築作業(物理サーバー) ① OSのセットアップ及びソフトウェアのインストールを行うこと。 ② ファイル共有装置からの通信ログ等を受信・記録するための設定を行うこと。 ③ 記録したログが膨大になることが想定されるため、大容量のログを検索しやすいビューア ソフトウェアを備えること。 ④ OSの稼働領域とは別のハードディスクにログを保存出来るように設計すること。 (35) ログ収集サーバーの構築作業(物理サーバー) ① OSのセットアップ及びソフトウェアのインストールを行うこと。 ② ログの収集及びログの監視設備への転送に使用するソフトウェアに必要なセットアップ を行うこと。 (36) 共通事項 ① 賃借人の指定するソフトウェア(賃貸借物件以外にも賃借人が保有するソフトウェア等を 含む)のインストールを行うこと。 ② すべてのサーバーにおいて、適切なウイルス対策を行い、不要なサービス・通信の遮断を 行えるようにすること。 ③ すべてのサーバーにおいて、適切なログ取得・保管の仕組みの構築を行うこと。取得する 項目、保管期間などについては、賃借人と協議の上、決定すること。 ④ フェイルオーバーなどの対象サーバーについては、それらの動作が正しく行えることを確 認し、必要な運用手順書を備えること。 ⑤ 万が一に備えた、自動バックアップの仕組み又はバックアップ手順を確立し、リストア試 験を行い必要な手順書を備えること。自動バックアップの頻度については、賃借人と協議 の上、決定すること。 3 アプライアンス機器の構築作業 (1) ファイル共有装置の構築作業 (冗長構成) ① インターネット接続DMZセグメントの仮想PCから本装置に対してファイルを送信し、庁 内LAN側よりそのファイルを取り込む、また反対に庁内LAN側から本装置に対してフ ァイルを送信し、インターネット接続DMZセグメントの仮想PCよりそのファイルを取り 込む運用を想定している。 ② 装置へのアクセスに関しては、ユーザー制御によるログインを必須とすること。また、そ の際にはアクセスログを記録出来るように構成すること。 ③ ファイル送信時に、第三者の承認機能に関する設定をおこなうこと。 ④ ユーザーの操作履歴や接続元IPアドレスを含むログ情報を後述するシスログサーバーに 転送できる様にすること。 ⑤ ファイルの送信時に、ダウンロード期間とダウンロード可能回数を制限すること。このと -11- き、システム管理者がデフォルト値と上限値をそれぞれ設定できる様にすること ⑥ システムの利用状況や統計情報機能を有し、管理者が参照できる様にすること。 ⑦ パスワード設定時にランダムな推奨パスワードを自動生成するよう設定すること。 ⑧ アップロード時にファイルに対するウイルスチェックを行うように設定すること。 ⑨ 本装置への通信において、後述する内部通信監視アプライアンスにて通信およびファイル のチェックを行えるように考慮すること。 (2) 内部通信監視アプライアンス#1,#2の構築作業 ① インターネットへ向かう通信の集約箇所にてミラーポートを作成し、https通信のデコー ド後に、本装置にて不正な通信を検知出来るようにすること。データ収集する個所につい ては、賃借人と協議の上設定するものとする。 ② サンドボックス用として4個の仮想イメージに日本語Windows/Office/一太郎環境を構築 すること。 ③ 今回構築する2(22)のウイルス対策統合管理サーバーとの自動連係機能を設定すること。 ④ 危険度の高いクライアントPCを検知した際にメールで通知するように設定すること。 (3) 標的型メール攻撃対策アプライアンスの構築作業 ① インターネットから受信するメールを監視し、メール本文・添付されているファイルのウ イルス対策、スパイウェア対策を実施出来るようにすること ② サンドボックス用として30個の仮想イメージに日本語Windows/Office/一太郎環境を構築 すること。 ③ 添付ファイルに含まれる未知の脅威に対し、サンドボックスにて解析できるようにするこ と。 ④ 不審なメールを検出した場合は、受信者及び管理者に指定したフォーマットのメッセージ を日本語でメール送信できるように設定すること。 ⑤ 検知した内容に基づく、削除などの処理については賃借人の指示に従い設定すること。 ⑥ 本機器はメールの通信経路に設置するため、現行のメールサーバー等の設定変更が必要と なる。 賃借人及び既存ネットワーク保守業者と事前に協議・調整を行った上で機器の設 定を行うこと。これらに要する費用は、全て賃貸人の負担とする。 4 ネットワークの構築・接続作業 (1) 分離ファイアウォール (冗長構成) ① 2台での冗長構成となるファイアウォールを2つの異なる庁舎に設置すること。 ② 本ファイアウォールにて、「庁内LAN」と「インターネット接続DMZセグメント」と「共有 セグメント」を構成し、それぞれのセグメント間で必要な通信のみをするように設計し、 構築すること。 通信の要件については、賃借人と協議の上決定するものとする。 ③ 本ファイアウォールの設計にあたっては、現在のインターネット及びDMZとの通信に係 わる変更も発生するため、賃借人及び賃借人が指定するものと協議の上、詳細を決定する ものとする。これらに必要な設計も行うこと。その変更方法・ネットワーク設計、セキュ リティ設定に関し要する費用は、すべて賃貸人の負担とする。 -12- ④ 本ファイアウォールを通過する通信については、「分離ファイアウォール用シスログサー バー」へログを転送するように設定すること。 ⑤ SDNスイッチとのUTPケーブルでの接続を行うこと。 ⑥ 冗長構成となる為、ケーブル断・装置片系断等による障害時試験を行うこと。 (2) SDNスイッチ SDNスイッチは、SDNスイッチ管理用コントローラ2台と4台のスイッチにより構成 される。 ① SDNスイッチ管理用コントローラ 1. SDNスイッチの通信制御を行うための設定をおこなうこと。 2. SDNスイッチの管理、ルート設定およびテナントネットワーク分離に必要な設定 を行うこと。 3. SDNスイッチ管理用コントローラ間はクラスタによる冗長構成とし、1台のSDN スイッチ管理用コントローラ自体に障害が発生しても、もう一台のSDNスイッチ 管理用コントローラがアクティブとなるように設計・設定を行うこと。 4. 制御用スイッチとUTPケーブルでの接続を行うこと。 5. SDNスイッチに、3つ以上のテナントネットワークを作成し、仮想サーバーを必 要なセグメントに接続できる様に設定を行うこと。 6. 仮想ネットワークと物理ネットワークそれぞれを管理画面のGUIで表示できるよ うに設定すること。 7. ネットワーク障害やSDNスイッチのメンテナンス等による経路切替が発生した際 に、管理画面にて経路切替を容易に確認出来るようにすること。 ② SDNスイッチ 1. 各インターフェースには必要となるVLAN番号の割り振りを行うこと。 2. 設置個所で庁舎を跨ぐスイッチ間は、光ケーブルで接続を行うこと。 庁舎間の接続については、既存の光ケーブルを用いて10Gbps(冗長構成)での接続 を行うこと。 3. 接続される対向装置が、リンクアグリゲーションによる接続の場合、SDNスイッ チもリンクアグリゲーションを設定し、対向装置と接続を行うこと。 4. 既存インターネットのファイアウォール装置との接続を行うため、既存インターネ ットファイアウォール装置に設定の追加が必要になる。設定作業は既存インターネ ットファイアウォールの保守会社に依頼すること。なお、設定にかかる費用は本契 約に含めること。 5. 庁舎AのSDNスイッチと制御用スイッチをUTPケーブルで接続を行うこと。 (3) VPNネットワークの構築 ① (冗長構成) 庁内LANとインターネット接続セグメントを既存と分離して接続するためのVPN接続を 構築するものとし、ルーターC(センタ側)とルーターE(エッジ側)により構成する。 ② VPN接続用ルーターCは6台を2台一組のVRRP接続構成としそれぞれの組を2つ の異なる庁舎に設置すること。 -13- ③ 各出先機関に設置されたVPN接続用ルーターEよりVPN接続用ルーターCへ接続さ れる構成とし暗号化強度等は賃借人の指示に従い設定すること。 ④ VPN接続用ルーターEが設置できない環境においてはソフトウェアVPNクライアン トによる接続できるように設定すること。 ⑤ 基幹業務の通信に影響を与えないよう、本通信には帯域制御を行うこと。 ⑥ 既存の基幹レイヤ3スイッチに設定を追加し、新たなネットワークを作成すること。これ らに必要な設計も行うこと。その接続方法・ネットワーク設計、セキュリティ設定に関し、 賃借人及び既存ネットワーク保守業者と事前に協議・調整を行った上で機器の設定を行う こと。これらに要する費用は、すべて賃貸人の負担とする。 ⑦ ソフトウェアVPN接続に関して追加用の手順書にて賃借人が単独で作業できるよう手 順書の作成と年に1度接続に関する手順の説明を実施すること (4) レイヤ3/2スイッチ ① レイヤ2スイッチA 1. 庁舎Aの仮想サーバー接続用のスイッチとして2台でスタック構成とすること。 2. 「仮想サーバー同期用セグメント」「サーバー管理セグメント」を作成すること。 3. メール系仮想サーバーEと接続を行い正しく動作するように必要な設定を行うこと。 4. SDNスイッチとUTPケーブルで接続を行うこと。 5. 装置片系断等による障害時試験を行うこと。 ② レイヤ2スイッチB 1. 庁舎Bの仮想サーバー接続用のスイッチとして2台でスタック構成とすること。 2. 「仮想サーバー同期用セグメント」を作成すること。 3. 仮想デスクトップ基盤サーバーと接続を行い正しく動作するように必要な設定を行 うこと。 4. 装置片系断等による障害時試験を行うこと。 ③ レイヤ2スイッチC 1. 庁舎Bの仮想サーバー接続用のスイッチとして4台でスタック構成とすること。 2. 「サーバー管理セグメント」を作成すること。 3. 仮想デスクトップ基盤サーバー、メール系仮想サーバーW、管理系仮想サーバー、 ウイルス対策系仮想サーバー、ADサーバー、監視・検証サーバーと接続を行い正 しく動作するように必要な設定を行うこと。 4. 装置片系断等による障害時試験を行うこと。 ④ レイヤ2スイッチD 1. 庁舎間接続用スイッチ3と接続する為のスイッチとして2台でスタック構成とする こと。 2. 装置片系断等による障害時試験を行うこと。 ⑤ レイヤ3スイッチ 1. 庁舎BのSDNスイッチと接続し、仮想デスクトップ基盤サーバーとのルーティン グを行うように設定をおこなうこと。 2. スイッチとして2台でスタック構成とすること。 -14- 3. 仮想デスクトップ基盤サーバー及びVPNルーターC(3台)との接続を行うこと。 4. 本スイッチと仮想デスクトップ基盤サーバー側の仮想スイッチは、冗長構成で接続 すること。 5. 装置片系断等による障害時試験を行うこと。 (5) 認証プロキシサーバー及びロードバランサーの再構築 ① 現在稼働しているプロキシサーバー3台及びロードバランサー2台について、新しく作成 されるインターネット接続DMZセグメントにて、仮想PCなどからのWEB通信を行えるよう に現行設定をふまえたうえで再構成/再設定すること。 ② 各プロキシサーバー障害時に自動的に負荷分散の対象から切り離され、障害回復時に自動 的に負荷分散の対象に組み込まれるよう設定すること。 ③ 冗長構成となる為、ケーブル断・装置片系断等による障害時試験を行うこと。 ④ 上記障害試験において、各プロキシサーバーへの通信が正しく行われることを確認するこ と。 ⑤ 今回構築する2(35)のログ収集サーバーへのログの転送設定を行うこと。 (6) 共通事項 ① ネットワークに接続されるレイヤ2スイッチには、必要に応じてストームコントロール設 定・時刻同期設定等必要な設定を行うこと。 ② ネットワークの機能試験・単体試験実施後に各機器を本番ネットワークに接続すること。 ③ ネットワークの接続に関しては、既設のネットワーク機器の変更を伴うため、その接続方 法・ネットワーク設計、セキュリティ設定に関し、賃借人及び既存ネットワーク保守業者 と事前に協議・調整を行った上で機器の設定を行うこと。これらに要する費用は、すべて 賃貸人の負担とする。 ④ 庁内LANへネットワーク機器を接続する場合は、賃借人及び既設保守業者と事前に調整の 上、業務時間外または休日にて設定変更・接続作業を行うこと。 ⑤ 「庁内LAN」、 「インターネット接続セグメント」、 「インターネット接続DMZセグメント」、 「共有セグメント」、「サーバー管理セグメント」、「仮想サーバー同期用セグメント」、 「仮想サーバーセグメント」の7つのネットワークの構築・接続作業を行うこと。 ⑥ ネットワークを構成するために必要な作業および庁舎間の接続を除くUTP/FCケー ブルは本調達に含むものとする。 ⑦ 本番ネットワークへの接続前に、確実にネットワークループなどが発生しないことを事前 に確認してからネットワーク接続を行うこと。 -15- ※参考:ネットワークイメージ図 -16- 5 識別ラベル表記について (1) ケーブルへのラベル表記・貼付けについて ① 今回導入する機器へのLANケーブルの接続において、庁内LAN系は緑色・サーバー間通信用 は黄色のLANケーブルを用いて接続すること。(他のセグメントもケーブルの色を変えて 配線すること) 但し、スイッチ間カスケードケーブルは赤色とするなど、他のケーブル と視覚的に判別できる色を用いること。 ② LANケーブル・サーバースイッチケーブルの両端にはその接続先や機器名称などを判断で きるようにケーブル表示用ラベル等を付けること。 ③ 電源ケーブルの接続について、現行のラックには既存機器や他のサーバーも稼働してお り、稼働後の円滑な保守運用を行うために納入機器・タップへのラベル表記を行うこと。 ④ 200Vケーブルに関しては、 200V回路であることを視覚的に識別できるようケーブル表示 用ラベルに赤色にて200V表記を行うこと。 ⑤ 各機器の電源ケーブルがどの回路に接続されているかを明確に判断できるようにケーブ ル表示用ラベル等を用いるとともに、電源接続図を作成し提出すること。 (2) サーバー及びネットワーク機器へのラベル表記・貼付けについて ① テプラ等を用いて視認性に優れたものを利用すること。 ② サーバー及びネットワーク機器の全面と背面に、契約年度・ホスト名を記載したラベルを 貼り付け、保守作業等において容易に機器識別が可能なようにすること。 6 ドキュメント作成等 (1) サーバー設計書の作成 ① 物理サーバー及び仮想サーバーの構成や各種リソースの割り当てを明確にする事。 (2) 仮想PC設計書の作成 (3) サーバー等運用手順書の作成 ① 以下の内容も含めて、記載すること。 ② ファイルサーバー:共有フォルダ、ディスククォータの設定方法、稼動監視サーバーによ るファイルサーバーの利用状況の確認方法 ③ 各サーバー共通:復旧手順 ④ 各サーバー共通:計画停電時の対応手順 (4) ネットワーク概要図 (5) ネットワーク構成図・設計書(ポート設定・コンフィグ設計等を含む) (6) 電源配線図・接続図 (7) サーバースイッチ接続図 (8) ラック搭載図 (使用電力量及び積載重量を記載のこと) (9) 保守体制図及び連絡体制表 -17- 7 特記事項 (1) 設置する機器には、全て別途指示する機器名等を印刷した標準的なシール材を貼付すること。 (2) 据付調整作業等にあたり必要な材料等に要する費用については、すべて賃貸人の負担とする。 (3) その他、作業に必要な手順及びパラメータ等の決定に関しては、賃借人と協議の上で行うこ と。 (4) 本仕様に基づく作業に当たっては、既存の業務システム等の運用に支障が無いよう、十分留 意すること。運用に支障が発生したことに伴う費用は、全て賃貸人の負担とする。 (5) 本仕様を実現するために、別途必要となる物件がある場合は、それに係る経費についても本 仕様に基づく契約に含むものとする。 (6) 機器が正常に動作することを検証すること(冗長構成の機器については、障害発生時に正常 に切り替わることの検証を含む。)。また、バックアップから正常にリストアできることを検 証すること。 -18- 別紙4 運用保守等業務等仕様書 1 保守概要 賃貸借等物件(購入物件および賃貸借物件)が正常な機能及び性能を保つように、ハードウェ ア及びソフトウェア等の保守を行うこと。保守にあたり、賃借人が賃貸借契約を締結するもの(以 下「賃貸人」という。)は賃借人及びその指定するものとの円滑な協力体制を実現すること。 保守委託は、賃貸借等物件に係る部品料等を含み、契約時間外作業・契約除外作業・有償交換 部品費・消耗品費を除き、賃借人に対して別途費用を請求することはできない。 但し、既存ファイアウォール用 SFP については予備品による交換対応とする。 技術者を派遣する場合、賃貸借等物件の保守を行うことのできる専門的技術を有する優秀な者 を派遣すること。 2 保守の内容 (1) 修理保守 賃貸借等物件に障害が発生した場合、緊急かつ速やかに修復するため、賃貸人は技術者 を派遣して必要な修理を行うこと。その際、賃借人及びその指定するものと緊密な連携の もとに障害発生原因の診断・対応及び速やかな報告を行い、必要に応じて機器の修理又は 代替を行うこと。また、障害復旧後、各サーバーについては状況に応じて必要なソフトウ ェアの再インストール等により、機器の環境再設定を行うこと。障害の再発防止案を提案 し、実施する等の技術サポートを行うこと。 記録媒体を交換して取り外した場合には、記録媒体に記録された情報を全て完全に消去 するか、データの参照ができないような措置を講じること。ただし、故障等により当該情 報を消去できない場合は、この限りでない。 (2) ハードウェア保守 必要に応じて点検、手入れ、調整、清掃を行うこと。機器の障害が発生する恐れがある と認められる場合は、あらかじめ部品交換等の予防保守を行うこと。 賃貸借等物件のハードウェアに関するセキュリティ情報、技術的問題、ファームウェア 等のバグ、パッチ及びバーションアップ等の情報を遅滞なく連絡するとともに、賃借人が 必要と認めた場合には、パッチ等のプログラムを適用する等の技術サポートを行うこと。 (3) ソフトウェア保守 賃貸借等物件に関する質問に対して回答を行うこと。また、賃借人からの連絡に基づき、 借入期間を通じて 60 人日を限度に技術者を派遣して、賃貸借等物件の設定変更等の作業を 実施すること。 賃貸借等物件で利用するソフトウェアに対して修正又はバージョンアップ等があった場 合、賃貸人は賃借人にその情報を遅滞なく連絡するとともに、賃借人が必要と認めた場合 には、修正プログラムを適用する等の技術サポートを行うこと。 仮想化基盤を用いてハイパーバイザー上にシステムを構築するため、ペアレントOS及 び仮想OSについては利用期間中のハードウェアベンダのOSサポートサービスを必ず締 結すること。 ※OSサポートサービスとは、ハードウェア・ファームウェア・OSなどによりシステ ム障害が発生した際に、ハードウェアメーカの持つ事例データベースによるナレッジ参照 や機器のメモリダンプ解析などによる調査・分析を行うものである。 また、以下の一般的なサポートサービスを含むものである。 ・製品に関するお知らせ、技術情報、バージョンアップ情報、リビジョンアップ、修正 物件のダウンロード、FAQ対応など (4) アップデートサービスの提供 ア 庁内の LGWAN 系セグメントに存在する“Microsoft 社の WindowsOS 及び Office 製品のセ -1- キュリティパッチ等のアップデートを行うサーバー”へ LGWAN 回線を通して最新のセキュ リティパッチ情報を提供するための、LGWAN-ASP サービスを提供すること。 イ 庁内の LGWAN 系セグメントに存在する“TrendMicro 社のウイルスパターンファイル及び プログラムファイルのアップデートを行うサーバー”へ LGWAN 回線を通して最新のウイル ス パ ター ン フ ァ イ ル 及 び プ ロ グ ラ ム フ ァ イ ル の ア ッ プ デ ー ト を提 供 す る た め の 、 LGWAN-ASP サービスを提供すること。 (5) その他 賃貸借等物件の利用にあたっての不明点や疑問点の相談に対し、情報の提供と適切な技 術支援を行うこと。 庁舎停電時(年 2 回程度)にサーバー及びネットワーク機器の終了・起動処理及び各機 器の動作確認を行うこと。障害の発生に起因して、機器の取替えや機器の一部追加があっ た場合は、取り替え及び追加前と同様の使用が出来るよう、当該機器の再設定、あるいは 変更(又は登録)、ソフトウェアの再インストール、その他必要な作業を行うこと。 ネットワーク機器の接続変更等を行った際には、その内容を適切に導入時のドキュメン トを更新する事とし、常に適切な保守作業を安全に行えるようにすること。 3 作業完了の報告 賃貸人は、修理保守の完了後、書面にて作業内容、経過等を記入し、賃借人の監督者へ完了の 報告をすること。 ただし、緊急修理の場合は、作業中においても必要に応じて賃借人の監督者に状況を報告する こと。 4 保守体制 (1) 賃貸借等物件を常に正常に稼働させるため、ハードウェア及びソフトウェアを一元化し て保守を行うこと。 (2) 保守受付窓口は、1箇所に集約すること。 (3) 保守拠点は納入場所の近郊とし、修理、点検、保守、その他アフターサービスについて、 適切かつ迅速な対応が可能であること。 (4) 保守会社には、常時保守部品を保有するなど、適切かつ迅速な対応を行うこと。 (5) 保守サービスの受付時間は、月曜日から金曜日の8:45~21:00 とする(国民の 祝日に関する法律(昭和23年法律第178号)に規定する休日及び12月29日から1 2月31日、1月2日、1月3日を除く)。 (6) 賃借人から障害の連絡を受けた場合、原則として当日中に技術者を派遣し必要な修理に 着手すること。 (7) 契約締結後、速やかに保守体制、方法を書面にて賃借人に提示し、承認を得ること。 (8) 各サーバーへは障害予兆監視ソフトウェアを導入し、ハードウェアの異常発生時に障害 状況を1台のサーバーで集約監視を行い、保守拠点へEメール等の手段を用いて自動通報 できるようにすること。 5 大規模災害対応 賃貸人は、震度 5 以上の地震、停電、火災、風水害等の大規模災害に備え、運用保守業者を含め 緊急連絡体制を構築し、賃借人に提示し承認を得ること。体制に変更があった場合には速やかに緊 急連絡体制を更新し、賃借人に提示し承認を得ること。 大規模災害に起因して賃貸借等物件の原状復旧が困難な状態になった場合、賃借人及び運用保守 業者と協議の上、応急復旧及び応急処置等を実施し、業務継続に努めること。 6 その他 この仕様書に規定する内容以外の事由については、賃借人と賃貸人がその都度協議するものとす る。 -2- 別紙5 不正通信監視業務仕様書 1 目的 本業務は、名古屋市(以下「本市」という。)の庁内とインターネット間の通信を監視し、ウイル ス感染や攻撃者による不正な通信を速やかに検知、対処することで、情報の漏えいや外部からの攻撃 による被害の最小化を図るものである。 2 業務委託範囲 本業務の委託範囲は以下のとおりとする。詳細は7を参照。 (1) 情報セキュリティ監視及び通信ログ分析 (2) 通知・報告 (3) 報告書作成 3 委託実施条件 本業務実施にあたり、以下の運用体制を確保するものとする。 (1) 監視期間中、複数名による24時間監視を実施すること。 (2) 監視業務の実施により、既存の通信に支障を来さないこと。 (3) 監視により緊急かつ深刻な脅威の発生を発見した場合、10分以内に電話もしくは電子メールで 脅威の概要及び応急対処方法に関する情報を賃借人及びその指定する者(運用保守業務受託者) に連絡すること。 (4) 情報セキュリティマネジメントに関する認証ISO/IEC27001又はJIS Q 27001に準拠、又は同等の情 報セキュリティ管理を実施していること。同等の情報セキュリティ管理の実施とは、情報セキュリ ティ方針、情報セキュリティ管理体制が制定され、リスクアセスメント、リスクアセスメントに基 づく管理策の策定、内部監査、教育が実施されていることを言う。 (5) 監視の精度を保証するため、監視業務を行う担当者(アナリスト)全員がセキュリティの専門家 であること。 なお、セキュリティの専門家とは、以下のアナリスト認定資格を有する者を指す。 ・GCIA(GIAC Certified Intrusion Analyst) (6) 世界中からの脅威に対応するため、各種の脅威(ネットワーク攻撃情報、マルウェア情報、脆弱 性情報、なりすまし情報等)を世界各地から情報収集し、本業務の通信ログ分析に反映すること。 4 情報セキュリティ要件 本業務に係る情報セキュリティ要件は、次のとおりとする。 (1) セキュリティオペレーションセンター要件 ア 情報セキュリティ監視に係るログの収集及び分析は独自のセキュリティオペレーションセンタ ー(以下、SOCという)で実施すること。 イ サーバ、ネットワーク機器、電源設備、インターネット回線など、全てのシステムは冗長構成 -1- とし、単一のハードウェア・回線障害で停止しない設計となっていること。 ウ 建物入口からログ情報保管場所までの間において、以下の有人警備を含むセキュリティ認証機 能等対策が施され、本業務に関わる担当者以外によるログ情報保管場所への立ち入りが制限され ていること。 (ア) 常駐警備員によって24時間365日入退室管理されていること。 (イ) 施設内の入退室管理方式としてICカード、生体認証等による認証装置を有し、監視カメラが 共用部やサーバルーム等に設置されていること。 (ウ) 入退室の記録、監視カメラの記録等は、3か月以上保存し、本市からの求めに応じて調査を 実施すること。 エ SOCに災害等が発生した場合でも、情報セキュリティ監視業務が継続できるよう2拠点以上の SOCを設置すること。また、監視業務中のSOCに万一災害等が発生し業務遂行が継続できない状況 に陥った場合でも、遅滞なく他のSOC拠点で監視業務を継続できること。 (2) 情報取扱い要件 ア 本業務の提供により知り得た全ての事項については、契約期間中はもとより、契約終了後にお いても外部に漏らさず、機密保持のために十分な体制・設備で厳重に管理し、情報漏えいを確実 に防止すること。 イ 本業務で取り扱うログ等の情報にアクセス出来る者は、インシデントの分析を行う者と、本市 へ通知を行う者に限定すること。 ウ 本業務で取り扱うログへのアクセスに利用される通信手段については、受託者内の通信手段で あっても暗号化されていること。 エ 本業務の提供において知り得た情報が紛失や盗難等による第三者への情報漏えいの発生又はそ のおそれがある場合は、担当部署に電話、口頭等による報告を行うとともに、書面にて提出する こと。また、直ちに事実調査を行い、漏洩した情報の内容、原因、再発防止策等について記載し た書面を担当部署へ提出するとともに、事態の収拾及び拡大防止の措置を迅速かつ適切に行うこ と。なお、受託者以外の者の作業も含め、対処に係る費用は全て受託者が負担すること。 5 成果物 毎月、7業務詳細3報告書作成の項目にある月次レポートを電子媒体等により本市へ提出する こと。なお、本市職員が専用の管理ポータル等から月次レポートの電子データをダウンロードでき る状態にすることにより提出することも可とする。 6 委託期間 本委託期間は、契約締結日から平成34年2月28日とする。 不正通信監視を平成29年3月1日から開始できるように事前準備を実施すること。 -2- 7 業務詳細 1 情報セキュリティ 監視及び通信ログ 分析 (1) セキュリティオペレーションセンター(SOC)を設置し、各機器から収集し たログから情報セキュリティ監視及び通信ログ分析業務を行うこと。 (2) 以下のネットワーク機器及びセキュリティ機器の出力するログを履行期間 中24時間監視及び解析を行うこと。 ア ファイアウォール(1台) イ Webプロキシ/URLフィルタ(3台):(DigitalArts社製) (3) 監視対象のログは、機器が検出したインシデントログだけではなく、許可 ログやシステムログなど、以下に示すログを監視対象及び分析対象とするこ と。 ア ファイアウォールが出力する、以下を含む全てのログ 拒否ポリシーより出力される全Drop Log 許可ポリシーより出力される全Accept Log ファイアウォールが実装するIPS/IDS、その他監視サービスに必要なセキ ュリティ機能の全ログ イ プロキシサーバが出力する、以下を含めた全てのログ プロキシサーバを経由する全てのWebアクセスログ プロキシサーバで設定したフィルタポリシーに合致した全ての警告ログ プロキシサーバが実装するその他監視サービスに必要なセキュリティ機 能の全ログ (4) 全てのログを相関分析し、分析システム及び監視担当者(アナリスト)の 知見から単一の監視対象機器だけでは検出できないインシデントも検出でき る仕組みを有すること。 (5) 監視対象機器のログから、明らかに攻撃が成功した、攻撃が成功した可能 性が非常に高い、又は攻撃の失敗を確認ができない、注意すべき攻撃等、危 険度を判定すること。 (6) インシデントに重大度を設定し、優先的に対応すべきインシデントか否か を判断出来るようにすること。 (7) 以下の分析が可能であること。 ア 特定のIPアドレス、TCP/UDPポート、ホスト名、ユーザー名、マルウェ ア検出名による複数のログを跨った相関分析 イ 過去30日間の通信トラフィック傾向分析(通信量、プロトコル、通信間 隔、接続コネクション数、通信ポートの使用順序、通信の宛先などの異常 値及び特異な傾向を検出) ウ アンチウィルスベンダの最新の脅威情報(危険度の高いIPアドレス、ド メイン、URLおよびマルウェア情報を含む)をログと照合による、インシデ ントの検出 エ 偵察活動や脆弱性スキャンなどの攻撃の予兆の検出 -3- (8) 最新の情報を反映し、分析制度を向上させるため、相関分析ルールを定期 的に追加すること。 (9) サイバー攻撃に関して、本市の過去3か月間のログを遡って分析を行い、 被害状況や影響範囲を特定し、根拠も含め提示できること。 2 通知・報告 (1) 重大なインシデントを検出した場合、10分以内に指定の連絡先に電話又は メールで連絡すること。なお、重大なインシデントとは、誤検出や予兆など 軽度のインシデントを監視担当者(アナリスト)の分析により省いた上で、 侵入・内部活動が行われていると断定された、緊急対応が必要なインシデン トのことをいう。 (2) 重大なインシデントの通知メールには以下の内容を含むこと。 ア インシデント登録日時 イ インシデント概要説明 ウ 攻撃の区分 エ 攻撃の説明 オ 重大度 カ 分析担当者(アナリスト)のコメント キ 攻撃元情報(IPアドレス、国名など) ク 攻撃先情報 ケ 判断根拠 コ 推奨対応策 (3) 検出されたセキュリティインシデントの日次サマリーを、メールにて指定 する宛先へ送信すること。日次サマリーには以下の内容を含むこと。 ア 受信ログ総数、検証済みセキュリティインシデント数、重大なインシ デント数 イ セキュリティインシデントおよび対策に関する情報 ウ セキュリティインシデントに関する対応情報(検知日時、 概要、送信 元IPアドレス、検知機器、推奨内容、相関分析対象のイベント) (4) 検出されたインシデント及びログの詳細を担当職員が参照できるよう、専 用の管理ポータルを用意すること。 (5) 管理ポータルへのアクセスはユーザー名とパスワードだけでなく、ワンタ イムパスワードを組み合わせるなど2要素以上の認証機能を実装しているこ と。 (6) 担当職員が専用の管理ポータルより過去90日間の全てのログを参照できる こと。ただし、インシデント情報については、契約期間中は期限を定めず参 照できるようにすること。 (7) 管理ポータルより以下の統計情報を日/週/月単位で確認できること。 ア 受信ログ総数 イ 検出インシデント数 -4- ウ 重大なインシデント数 (8) インシデントに関する本市からの問い合わせを、電話、メール、ポータル サイトそれぞれで受け付けできるようにすること。 (9) 国内外で話題性の高い新種の脅威が発生した場合、通知を行うこと。尚、 通知には以下の内容を含むこと。 3 報告書作成 ア 脅威の概要 イ 影響範囲 ウ 技術情報 エ 影響を受けるソフトウェア オ 推奨対応策 (1) 前月のインシデントのサマリーを記載した月次レポートを、月初めより5 営業日以内に用意し、管理ポータル上で閲覧できるようにすること。 なお、 月次レポートには以下の内容を含む事とする。 ア 受信ログ総数、検証済みセキュリティインシデント数、重大なインシ デント数 イ 日毎の重大なセキュリティインシデント検出数 ウ 重大なインシデントとして検出された上位10種のインシデント -5- 別紙6 情報取扱注意項目 (基本事項) 第1 この契約による事務の処理(以下「本件業務」という。)の委託を受けた者(以下 「賃貸人」という。)は、本件業務を履行するに当たり、情報保護の重要性を認識し、 情報の適正な保護及び管理のために必要な措置を講じるとともに、個人の権利利益を 侵害することのないようにしなければならない。 (関係法令等の遵守) 第2 賃貸人は、本件業務を履行するに当たり、名古屋市情報あんしん条例(平成16年名 古屋市条例第41号。以下「あんしん条例」という。)、名古屋市個人情報保護条例(平 成17年名古屋市条例第26号。以下「保護条例」という。)その他関係法令を遵守しな ければならない。 (適正管理) 第3 賃貸人は、本件業務に関して知り得た名古屋市(以下「賃借人」という。)から取 得した情報及び委託の趣旨に基づき市民等から取得した情報(これらを加工したもの を含み、委託の趣旨に基づき賃借人に提供される予定のものに限る。以下「取得情報」 という。)の漏えい、滅失又は改ざんの防止その他の取得情報の適正な管理のために 必要な措置を講じなければならない。 (機密情報の取扱いに関する特則) 第4 賃貸人は、本件業務を処理するために、機密情報(名古屋市情報あんしん条例施行 細則(平成16年名古屋市規則第50号。以下「あんしん条例施行細則」という。)第28 条第1項第1号に規定する機密情報をいう。以下同じ。)を収集するときは、当該業 務を処理するために必要な範囲内で、適法かつ公正な手段により収集しなければなら ない。 (個人情報の取扱いに関する特則) 第5 賃貸人は、本件業務を処理するために、個人情報(保護条例第2条第1項第1号に 規定する個人情報をいう。以下同じ。)を収集するときは、当該業務を処理するため に必要な範囲内で、適法かつ公正な手段により収集しなければならない。 2 賃貸人は、取得情報に含まれる個人情報については、何人にも開示してはならない。 (第三者への提供及び目的外使用の禁止) 第6 賃貸人及び本件業務に従事している者又は従事していた者は、取得情報を正当な理 由なく第三者に知らせ、又は当該業務の目的外に使用してはならない。 -1- 2 前項の規定は、契約の終了(契約を解除した場合を含む。以下同じ。)後において も同様とする。 (情報の授受) 第7 取得情報並びに取得情報が記録された資料及び成果物(賃借人の指示又は許可を受 けてこれらを複写し、又は複製したものを含む。以下同じ。)の授受は、すべて賃借 人の指名する職員と賃貸人の指名する者との間において行うものとする。 (情報の保管・搬送時の注意・義務等) 第8 賃貸人は、取得情報が記録された資料及び成果物の保管及び搬送に当たっては、取 得情報が漏えい、滅失又はき損されないよう、必要な措置を講じなければならない。 (再委託の禁止又は制限等) 第9 賃貸人は、賃借人の承認を得ることなく、本件業務を第三者に委託してはならない。 2 賃貸人は、本件業務を第三者に委託する場合は、取得情報の取扱いに関し、この契 約において賃貸人が課せられている事項と同一の事項を当該第三者に遵守させなけれ ばならない。 3 賃貸人は、機密情報の取扱いを伴う本件業務を委託した第三者からさらにほかの第 三者に委託(以下「再々委託」という。)させてはならない。ただし、再々委託する ことにやむを得ない理由がある場合であって、賃借人が認めたときはこの限りではな い。 (複写及び複製の禁止) 第10 賃貸人は、賃借人から指示又は許可された場合を除き、取得情報が記録された資 料及び成果物(賃借人の指示又は許可を受けてこれらを複写し、又は複製したものを 含む。以下同じ。)を複写し、又は複製してはならない。 (情報の返却・廃棄) 第11 賃貸人は、賃借人の承認を得た場合を除き、取得情報が記録された資料のうち賃 借人から取得したものを契約の終了までに返却しなければならない。 2 賃貸人は、保有する必要がなくなった取得情報を確実かつ速やかに切断、溶解、消 磁その他の復元不可能な方法によって処分しなければならない。ただし、賃借人の承 認を得た場合はこの限りではない。 (受託業務に係るデータの管理) 第12 賃貸人は、受託業務に係る出力帳票、磁気テープ及び磁気ディスク等の媒体(以 下「記録媒体」という。)に記録されているデータについては、漏えい、滅失及びき 損することのないよう十分な注意をもって管理しなければならない。 (記録媒体の廃棄) -2- 第13 賃貸人は、業務終了後及び保守作業で記録媒体の交換を行った際、賃借人の指示 により記録媒体の廃棄を行うときは、廃棄の方法について賃借人と協議するものとし、 廃棄に際しては、第三者の利用に供されることのないよう厳重な注意をもって処分し なければならない。 (報告等) 第14 賃貸人は、賃借人が取得情報の保護のために実地調査をする必要があると認めた ときは、これを拒んではならない。また、賃借人が取得情報の保護について報告を求 めたときは、これに応じなければならない。 2 賃貸人は、取得情報の漏えい、滅失又は改ざん等の事故が生じ、又は生ずるおそれ があることを知ったときは、直ちに賃借人に報告し、賃借人の指示に従わなければな らない。 (従事者の教育) 第15 賃貸人は、本件業務に従事している者に対し、あんしん条例、あんしん条例施行 細則及びこれらに基づく諸規程を周知するなど、情報の保護に関し十分な教育を行わ なければならない。 2 賃貸人は、本件業務が個人情報を取り扱う業務である場合、当該業務に従事してい る者に対し、保護条例に規定された罰則の内容を周知しなければならない。 3 賃貸人は、情報の取扱いに関するマニュアルを作成し、本件業務に従事している者 に対し、その内容並びに守秘義務に関する事項及び情報の目的外使用の禁止又は制限 に関する事項を周知しなければならない。 -3-
© Copyright 2024 ExpyDoc
![SASによるプログラミングと経済分析2 [PDF 149KB]](http://s3.expydoc.com/store/data/008447976_1-a3ae9c42ec33fe45b1115ee53384b671-250x500.png)
