■「平成21年度情報セキュリティ監査等委託」質問回答 様式1 番号 ドキュメント名 頁 項番 質問内容 回答 1 仕様書 1 06(3) 「・・・本協議会が実施する会議等に出席し・・・」:この会議とは、情報セキュリティ 委員会で、回数は監査計画書説明時と結果報告時の2回と考えてよろしいでしょ 2回を予定しています(その他、必要に応じて打合せを行います。)。 うか。 2 仕様書 1 06(7) 「・・・本協議会会員団体に対し現地調査等を行う場合は・・・」:今回の業務で は、会員団体(地方公共団体)へ調査に行くことはないと考えてよろしいでしょう 今年度は、現時点では想定しておりません。詳細は、別途打合せを行います か。 3 仕様書 3 10(7) 「個人情報等を搬送する場合は、専用ケースに入れ施錠した上で、受託者の専 緊急時又はその他の事情で受託者の専用車が使用できない場合に、専用車による運搬と同等 用車で搬送しなければならない。」とありますが、受託者の専用車としてハイ の安全性が確保されていることについて、あらかじめ協議会の了承を得た上であれば可としま ヤー(タクシー)を利用することは可能でしょうか。 す。 4 委託内容 1 04(4) 情報セキュリティ委員会は何名で構成されているでしょうか。 (説明会や報告会で必要となる部数の目安とするため) 5 委託内容 1 05(2) 現行の「共同運営システム」について、過去にリスクアセスメントを実施したこと はありますでしょうか。実施したことがある場合、受注後にリスクアセスメント結 リスクアセスメントについては、実施したことはありません。 果を提供いただくことは可能でしょうか。 (脆弱性レベルの確定や、リスク分析、評価の参考とするため) 情報セキュリティ委員会及び協議会事務局への提出部数は、15部程度を想定しています。詳細 は別途打合せを行います。 6 委託内容 1 05(3) 運用面の脆弱性検査の実施場所となる「サービス提供事業者の拠点」は、事務 局からどの程度離れているでしょうか。(都庁至近、都内、関東、などのレベル 協議会事務局から拠点までの移動時間は、公共交通機関を利用した場合、1時間以上かかる拠 で) 点はありません。 (移動に要する工数計算の目安とするため) 7 委託内容 1 05(3) サービス提供事業者の拠点は何処でしょうか。 ○監査対象の拠点は、貸与CD-ROMの『監査対象一覧』を参照してください ○協議会事務局から拠点までの移動時間は、公共交通機関を利用した場合、1時間以上かかる 拠点はありません。 8 委託内容 1 05(4) オンサイト検査を行う場合の、対象拠点はどこでしょうか。 サービス提供事業者の拠点内となります。 9 委託内容 1 05(4) オンサイト脆弱性検査の対象機器数(IP数)はいくつでしょうか。また、リモート脆 昨年度のサーバの脆弱性検査の対象IP数は貸与CD-ROMの『サーバ一覧』の総サーバ数の3 弱性検査の対象機器数(IP数)はいくつでしょうか。 分の2程度のIP数で実施しました。うちリモート脆弱性検査で実施した対象IP数は11でした。 1 ■「平成21年度情報セキュリティ監査等委託」質問回答 様式1 番号 ドキュメント名 頁 項番 質問内容 回答 10 委託内容 1 05(4) 『委託内容』(4)についてサーバ、ネットワーク機器の脆弱性検査を行う項目が ありますが、本監査において想定されているサーバ、ネットワーク機器の検査対 監査対象のサーバ数は、貸与CD-ROMの『サーバ一覧』の数を参照してください。 象台数をお教え願いますでしょうか。 11 委託内容 1 05(4) システム面の脆弱性検査の対象となる、「共同運営システム」のサーバは何台 を想定しているのでしょうか。 (検査ツールのライセンス費用の目安とするため) 05(4) ○WEBの検査対象URLは『https://www.e-tokyo.lg.jp』です。 監査対象拠点が業務内容別に記されていますが、同一サイトにて複数業務が ○WEBのシステム画面については電子申請チュートリアル『https://www.e行われていることも想像できます。先ずサイト数を示して頂き、サイト毎に行われ tokyo.lg.jp/eap/soudan/html/tutorial/j/j0-1/frame.html』と、電子調達ナビゲーション ている業務を明示して頂ければと存じます。また差し支えない範囲でサイトの大 『https://www.e-tokyo.lg.jp/choutatu_ppij/cmnsub/tmg/cmnj/jsp/navi_index.htm』を参考にしてく まかな住所もお教え頂ければ幸いです。 ださい 05(4)イ ○WEBの検査対象URLは『https://www.e-tokyo.lg.jp』です。 ○WEBのシステム画面については電子申請チュートリアル『https://www.etokyo.lg.jp/eap/soudan/html/tutorial/j/j0-1/frame.html』と、電子調達ナビゲーション 『https://www.e-tokyo.lg.jp/choutatu_ppij/cmnsub/tmg/cmnj/jsp/navi_index.htm』を参考にしてく ウェブアプリケーションの脆弱性検査対象の、動的ページ数はいくつでしょうか。 ださい。 ○WEBとLGWANを合わせたシステムの総画面数は約1600ですが、全ての画面に対し脆弱性 検査を実施するものではありません。なお、昨年度は約40の画面(ログイン画面や主な入力画 面)に対し検査を実施しました。 05(4) ○WEBの検査対象URLは『https://www.e-tokyo.lg.jp』です。 ○WEBのシステム画面については電子申請チュートリアル『https://www.etokyo.lg.jp/eap/soudan/html/tutorial/j/j0-1/frame.html』と、電子調達ナビゲーション ウェブアプリケーションの脆弱性診断において、対象となるウェブアプリケーショ 『https://www.e-tokyo.lg.jp/choutatu_ppij/cmnsub/tmg/cmnj/jsp/navi_index.htm』を参考にしてく ンの規模(画面数、パラメータ数)を御教示頂けますでしょうか?また、オンサイ ださい。 ト検査とリモート検査の内訳も御教示頂けますでしょうか? ○WEBとLGWANを合わせたシステムの総画面数は約1600ですが、全ての画面に対し脆弱性 検査を実施するものではありません。なお、昨年度は約40の画面(ログイン画面や主な入力画 面)に対し検査を実施しました。 05(4) ○WEBの検査対象URLは『https://www.e-tokyo.lg.jp』です。 ○WEBのシステム画面については電子申請チュートリアル『https://www.etokyo.lg.jp/eap/soudan/html/tutorial/j/j0-1/frame.html』と、電子調達ナビゲーション ウェブアプリケーションの脆弱性の診断対象となるWEBのURL数および1URL 『https://www.e-tokyo.lg.jp/choutatu_ppij/cmnsub/tmg/cmnj/jsp/navi_index.htm』を参考にしてく ださい。 あたりの画面数を教えてください。 ○WEBとLGWANを合わせたシステムの総画面数は約1600ですが、全ての画面に対し脆弱性 検査を実施するものではありません。なお、昨年度は約40の画面(ログイン画面や主な入力画 面)に対し検査を実施しました。 12 13 14 15 委託内容 委託内容 委託内容 委託内容 1 1 1 1 2 監査対象のサーバ数は、貸与CD-ROMの『サーバ一覧』の数を参照してください。 ■「平成21年度情報セキュリティ監査等委託」質問回答 様式1 番号 ドキュメント名 頁 項番 質問内容 回答 16 委託内容 1 05(4) ○WEBの検査対象URLは『https://www.e-tokyo.lg.jp』です。 ○WEBのシステム画面については電子申請チュートリアル『https://www.etokyo.lg.jp/eap/soudan/html/tutorial/j/j0-1/frame.html』と、電子調達ナビゲーション 『委託内容』(4)イについてウェブアプリケーションの脆弱性を診断する項目があ 『https://www.e-tokyo.lg.jp/choutatu_ppij/cmnsub/tmg/cmnj/jsp/navi_index.htm』を参考にしてく りますが、本監査において想定されているウェブアプリケーションのシステム名 ださい。 と、想定されているページ数をお教え願いますでしょうか。 ○WEBとLGWANを合わせたシステムの総画面数は約1600ですが、全ての画面に対し脆弱性 検査を実施するものではありません。なお、昨年度は約40の画面(ログイン画面や主な入力画 面)に対し検査を実施しました。 17 委託内容 1 05(4) OSやミドルウェア等の脆弱性診断において、対象となるのホストの規模(IP数、 昨年度のサーバの脆弱性検査の対象IP数は貸与CD-ROMの『サーバ一覧』の総サーバの3分 又は、機器台数)を御教示頂けますでしょうか?また、オンサイト検査とリモート の2程度のIP数で実施しました。うちリモート脆弱性検査で実施した対象IP数は11でした。 検査の内訳も御教示頂けますでしょうか? 18 委託内容 1 05(4) システム面の脆弱性の検査は、インターネット経由、サーバセグメント経由、以 外の環境から実施する可能性はありますか?(例えば、都庁内の職員用ネット ワークから等) 19 委託内容 1 05(4) 検査はシステム利用者及びネットワークへの影響が最も少ないことが想定される時間帯に行っ システム面の脆弱性の検査は、平日に実施することは可能でしょうか。また、休 ていただきますので、平日昼間は想定しておりません。具体的な日時については別途協議させ 日、夜間を想定されておりますでしょうか? ていただきます(昨年度は、金曜深夜∼土曜午前に実施しました。)。 20 委託内容 1 05(4) 脆弱性診断の実施時間は平日夜あるいは休日という認識でよろしいでしょう か。 21 委託内容 1 05(4) 『委託内容』(4)についてシステム面の検査を行う項目がありますが、本監査に 検査はシステム利用者及びネットワークへの影響が最も少ないことが想定される時間帯に行っ おいて想定されている検査時間は平日業務中でしょうか。それとも平日の業務 ていただきますので、平日昼間は想定しておりません。具体的な日時については別途協議させ 終了後、あるいは休日や夜間を想定すればよろしいでしょうか。 ていただきます(昨年度は、金曜深夜∼土曜午前に実施しました。)。 22 委託内容 2 05(4) システム面の脆弱性検査については、ネットワークへの影響を最小限にするこ 検査はシステム利用者及びネットワークへの影響が最も少ないことが想定される時間帯に行っ ととありますが、深夜や休日の実施も視野に入れておられるのでしょうか。 ていただきますので、平日昼間は想定しておりません。具体的な日時については別途協議させ (検査実施工数の目安とするため) ていただきます(昨年度は、金曜深夜∼土曜午前に実施しました。)。 説明会や報告会の際には、プロジェクタやスクリーンを使用して行うことを想定 されているのでしょうか。もしその場合、協議会側で提供いただける機器はあり プロジェクター等の使用は想定しておりませんが、プロジェクタ及びスクリーンについては、必要 ますでしょうか。 であれば貸し出しを行うことは可能です。 (調達及び運搬の要否を判断するため) 23 委託内容 2 05(6) 24 委託内容 2 6 セルフチェックシートの項目数はいくつでしょうか。 昨年度はLGWAN側のログイン画面について試験を行っております 検査はシステム利用者及びネットワークへの影響が最も少ないことが想定される時間帯に行っ ていただきますので、平日昼間は想定しておりません。具体的な日時については別途協議させ ていただきます(昨年度は、金曜深夜∼土曜午前に実施しました。)。 択一式質問形式24項目と記述式質問形式2項目の計26項目です。 3 ■「平成21年度情報セキュリティ監査等委託」質問回答 様式1 番号 ドキュメント名 頁 項番 質問内容 回答 25 委託内容 2 6 セルフチェックを行う協議会参加団体数はいくつでしょうか。 56団体です。 26 委託内容 2 6 セキュリティセルフチェックの実施依頼や回収及び回収催促などの事務作業 は、今回の業務外と考えてよろしいでしょうか。 昨年度は、実施依頼、調査票の回収及び回収催促については、協議会事務局で実施しました。 27 委託内容 2 6 各団体が入力したセルフチェックシートを回収分析した上で、全体報告書及び個 別報告書を作成することありますが、個別報告書を作成しなければならない団 56団体です。 体数をご教授ください。 28 委託内容 2 7 報告会の総実施回数と報告書の必要部数(総数)を御教示頂けますでしょう 説明会と報告会の2回を予定しています(その他、必要に応じて打合せを行います。)。情報セ か? また、報告書については、全体編・個別編の内訳も御教示頂けますでしょ キュリティ委員会及び協議会事務局への提出部数は、15部程度を想定しています。詳細は別途 うか? 打合せを行います。 29 入札実施要領 2 10 「ある県の住民基本台帳ネットワークシステム」の情報セキュリティ監査実績は この要件を満たすことになりますか。 4 当該システムに対して行った情報セキュリティ監査が、インターネットデータセンターの情報セ キュリティ監査であれば、対象とします。
© Copyright 2024 ExpyDoc
