(別添2) いばらき情報セキュリティクラウド 調達仕様書(案) 第 1.1 版 平成 28 年 3 月 29 日 茨城県企画部情報政策課 目 次 1. 基本事項 ............................................................... 1 1.1. 調達件名 ............................................................................................................1 1.2. 調達の背景と目的 ..............................................................................................1 1.3. 調達範囲 ............................................................................................................1 1.4. 履行場所 ............................................................................................................2 1.5. 構築スケジュール ..............................................................................................2 1.6. 利用端末数等(見込) ......................................................................................2 1.7. 機密保持 ............................................................................................................2 1.8. 注意事項 ............................................................................................................2 2. 調達概要 ............................................................... 3 2.1. 調達概要 ............................................................................................................3 2.2. 責任分解点 .........................................................................................................3 2.3. 想定スケジュール ..............................................................................................4 3. 調達内容 ............................................................... 4 3.1. ハードウェア・ソフトウェア............................................................................4 3.2. ドキュメント .....................................................................................................4 4. 基本要件 ............................................................... 5 4.1. 前提条件 ............................................................................................................5 4.2. 設計にかかる基本要件 ......................................................................................6 4.3. 構築にかかる基本要件 ......................................................................................6 5. 想定システム構成 ....................................................... 6 5.1. 全体構成 ............................................................................................................6 5.2. 個別構成 ............................................................................................................8 6. 個別要求事項 .......................................................... 16 6.1. システムの機能要件(参考)..........................................................................16 6.1.1. ファイアウォール ............................................................................................16 6.1.2. アナライザー ...................................................................................................17 6.1.3. IDS・IPS ........................................................................................................18 6.1.4. プロキシサーバ ...............................................................................................18 6.1.5. メールサーバ(メールボックス) ..................................................................19 6.1.6. メールサーバ(ゲートウェイ) ......................................................................20 6.1.7. メール中継サーバ ............................................................................................21 6.1.8. (メールサーバ)ストレージ..........................................................................21 6.1.9. アクティブディレクトリ/LDAP サーバ .......................................................22 6.1.10. Sandbox(振る舞い検知) .............................................................................22 6.1.11. ファイル転送サーバ ........................................................................................23 6.1.12. ログ収集・分析サーバ(SIEM(Security Information and Event Management) 機能) 24 6.1.13. ログストレージ ...............................................................................................24 6.1.14. 配信サーバ(WSUS,ウイルス対策サーバ等) ............................................25 6.1.15. 内部 DNS サーバ .............................................................................................25 6.1.16. 管理サーバ .......................................................................................................26 6.1.17. 管理 PC ............................................................................................................26 6.1.18. スイッチ ..........................................................................................................27 6.1.19. L4 トラフィックモニター(Cisco WSA S380)※既設利用 ..........................27 6.1.20. その他 ..............................................................................................................28 6.2. 運用引き継ぎにかかる要件 .............................................................................28 6.3. 運用管理業者に対する教育 .............................................................................28 6.4. 保守サービスにかかる要件 .............................................................................28 7. テスト要件 ............................................................ 30 7.1. テスト計画 .......................................................................................................30 7.2. テスト結果と判定 ............................................................................................30 8. セキュリティ要件 ...................................................... 30 9. 設備要件 .............................................................. 31 10. プロジェクト管理にかかる要件 ........................................... 31 10.1. プロジェクト体制 ............................................................................................31 10.2. プロジェクト管理 ............................................................................................31 11. 補足事項 .............................................................. 32 12. 情報提供可能要件 ...................................................... 32 1. 基本事項 1.1. 調達件名 いばらき情報セキュリティクラウドに係るハードウェア・ソフトウェアの構築及び保守 一式 1.2. 調達の背景と目的 総務省は,多様化する情報セキュリティインシデントへの対応として,地方自治体にお ける情報セキュリティ強化のため,組織体制の強化,インシデント連絡ルートの多重化及 びインシデント即応体制の整備,インターネットのリスクへの対応などの緊急対策を打ち 出している。 特に,インターネットリスクへの対応では,県・市町村が共同でインターネット接続ポ イントの集約化や Web 閲覧,メール送受信,Web サーバ,LGWAN 接続ファイアウォール 及びインターネット接続ファイアウォール等を監視対象として当該監視対象機器のログを 集約し,監視及びログ分析・解析等を行うセキュリティ監視機能「自治体情報セキュリテ ィクラウド」 (以下「セキュリティクラウド」という。)の構築により高度な情報セキュリ ティ対策を講じることとされたところです。 ※別添「セキュリティクラウド実施要領」を熟読のこと。 1.3. 調達範囲 本仕様書における調達機器及び調達範囲は以下のとおりとする。 表 1-1 調達機器等一覧(参考構成案) 機 器 名 ファイアウォール 台数 備 考 2 内部・外部ファイアウォール,ウイルスチェ ック,URL フィルタ等 ファイアウォール,IDS・IPS 等の一元管理, アナライザー 1 IDS・IPS 2 不正侵入検知,防御等 プロキシサーバ 2 インターネット接続の中継 メールサーバ(メールボックス) 2 メールボックス メールサーバ(ゲートウェイ) 2 スパム対策,メール無害化 メール中継サーバ 45 市町村メールサーバの中継 (メールサーバ)ストレージ 2 メールデータ保管 アクティブディレクトリ/LDAP サーバ 2 ユーザ認証 Sandbox 2 ログ収集,解析等 標的型攻撃対策,振る舞い検知(Mail,Web, ファイル) 1 2 ファイル転送サーバ ファイル転送,ファイル共有(LGWAN 系 NW とセキュリティクラウド間),承認機能, ウイルスチェック ログ分析・収集サーバ 2 ログ分析,収集・レポート作成(SOC 機能) ログストレージ 2 ログ保管 配信サーバ(WSUS,ウイルス対策サー 45 更新プログラム配信,パターンファイル配信 管理サーバ 2 システム管理用サーバ 管理 PC 4 システム監視用 PC スイッチ 5 L2 スイッチ L4 トラフィックモニター 1 Cisco WSA S380 ※既設利用 バ等) 1.4. 履行場所 本仕様書における業務の履行場所及び納入機器の設置場所については,IBBN に LAN 接 続可能なデータセンターまたは茨城県庁舎内とする。 1.5. 構築スケジュール 平成 29 年 3 月末までに,構築を完了し,運用を開始するものとする。 運用開始前までに,県・市町村が接続を行い1ヶ月以上の試験運用を行うものとし,不 具合の是正,各種設定の最適化,運用マニュアル等の整備及び業務引継を行うものとする。 1.6. 利用端末数等(見込) ・参加団体数 県:1,市町村:44 ・端末数 30,000台(概数) (メールアカウントも同数とする) 1.7. 機密保持 ア)本調達業務は,茨城県情報セキュリティポリシー及び茨城県個人情報保護条例そ の他の関連法令等を遵守すること。これらの法令等に抵触する行為または事象が 発生した場合,また,そのようなおそれがある場合は,本県に報告を行い,本県 の指示のもと速やかに対応すること。 イ)業務遂行上知り得た個人情報及び茨城県及び参加市町村の機密事項について,本 調達業務のみに利用するものとし,契約履行期間中または契約終了後を問わず第 三者に漏えいしないこと。 1.8. 注意事項 ア)本調達業務について,契約書及び仕様書に明示されていない事項であっても,そ 2 の履行上当然必要な事項については,受託事業者が責任を持って対応すること。 イ)受託事業者は,運用開始までの作業スケジュールを本県と協議の上,決定するこ と。 ウ)本仕様書に記載されている全ての業務に対し,いかなるケースにおいても本県に 対し,別途費用を請求することはできない。ただし,本県の要求仕様変更による 追加費用については別途協議を行うこととする。 エ)本仕様書に定めのない事項が発生した場合及び疑義が発生した場合は,本県と協 議の上,定めるものとする。 オ)現行システムまたはネットワークの停止を伴う作業は,閉庁日もしくは夜間での 実施を前提にすること。 カ)本調達業務の履行において,IBBN との接続にかかる IBBN 運用管理業者との調 整及び別途委託する運用管理業者(別に,運用管理業務の一部または全部の運用 管理業務受託者を提案する場合。以下,同じ。)への業務引継等を実施すること。 キ)県・市町村が自治体情報セキュリティに接続するにあたって,県・市町村のネッ トワーク変更等や移行手順にかかる説明会を実施すること。 2. 調達概要 2.1. 調達概要 本調達業務における調達の概要は以下のとおり。 ア)機器調達・システム構築 機器の調達・設計・納入・設定・構築・導入試験・納品成果物の作成・関係者と の調整等を行うこと。本調達において,機器は全て買取りで提供すること。 イ)運用引継ぎ 機器の操作説明書・運用手順書・関連資料の作成及び運用担当事業者へのトレー ニング等の運用引継ぎ及び関係者との調整等を行うこと。 ウ)保守サービス(平成 29 年4月~) 機器及び付帯設備機器の保守メンテナンス(ソフトウェア更新など)やシステム 異常における保守サービスの実施,保守実施成果物の作成,関係者との調整等を 行うこと。 2.2. 責任分解点 本県が指定するラック内のスイッチまたはパッチパネルの接続インターフェースまでを 受託事業者の責任分界点とする。責任分界点までの全ての機器の準備及び配線を受託事業 者の責任で行うこと。なお,ラック間の配線についても範囲内とする。 また,物品調達から保守における責任範囲を以下に示す。 3 表 2-1 受託業者の責任範囲 作業内容 受託事業者 運用管理業者 物品調達 ○ 設計 ○ 構築 ○ 運用引継ぎ ○ 保守 ○ △ 運用 △ ○ 【凡例】 ○:実施責任 △:支援 2.3. 想定スケジュール 本機器調達・構築・運用における想定スケジュールは以下のとおり。 ア)基本設計:平成 28 年 7 月 イ)詳細設計:平成 28 年 8 月~平成 28 年 9 月 ウ)構築 :平成 28 年 10 月~平成 28 年 12 月 エ)試験等 :平成 29 年 1 月~平成 29 年 3 月 オ)運用 :平成 29 年 4 月~(5 年間以上運用予定) ※6年程度運用できることが望ましい。 3. 調達内容 3.1. ハードウェア・ソフトウェア 本調達業務に必要となる全てのハードウェア・ソフトウェアを納入すること。 3.2. ドキュメント 受託事業者は以下のドキュメントを指定された期日までに,本県に納品すること。納品 方法は,電子媒体と紙面での納品を各 2 部とする。なお,電子媒体のファイル形式につい ては,本県と事前に協議を行い決定すること。 ア)業務計画書 ① 業務スケジュール ② 業務遂行体制・業務従事者名簿 ③ 納入予定物品一覧 イ)各種設計書・完成図書及び報告書 受託事業者は各工程の計画,成果を示すドキュメントを作成すること。想定する ドキュメントは以下のとおり。 ただし,各工程に着手する前に,当該工程において作成するドキュメントに関し, 本県と協議すること。また,内容に関しては,レビュー会を設けて本県に対し十 4 分な説明を行い,内容の承認を得てから納品すること。 表 3-1 納入ドキュメント一覧 成果物 備考 1 基本設計書 2 詳細設計書 3 構築手順書 4 試験計画書 5 サーバ設定書 6 付帯装置設定書 7 試験報告書 8 ラック配置図 9 物理配線図 10 納品物一覧(構築完了後) 11 運用手順書 12 操作説明書 13 保守体制図 14 保守作業報告書 15 保守報告書 16 議事録※契約履行期間中の全ての会議体 での議事記録 ※電子媒体での納品にあたっては,ウイルスチェックを行い,納品物にウイルス チェックソフトの名称やシグネチャファイルの更新日時を記載すること。 4. 基本要件 4.1. 前提条件 セキュリティクラウドは,IBBN を利用し各市町村と直接接続することで,高いセキュリ ティと信頼性,十分な通信帯域を確保することを前提としている。 セキュリティクラウドを構築するデータセンターの概要について以下に示す。 ア)IBBN に LAN 接続可能なデータセンター等であること。 イ)データの管理状況等についての監査が容易に行えること(監査実施の際には協力 すること) 。 ウ)セキュリティクラウドの運用に際して,県及び各市町村からの IBBN への接続を 含めた技術的要件を理解している要員を備えていること。 エ)データセンターの対応基準は,「データセンターファシリティスタンダード」 (日 5 本データセンター協会 2012 年 3 月 15 日改訂版)の Tier(ティア)4 相当に適合 する設備であること。 4.2. 設計にかかる基本要件 ア)県・市町村が共同で利用するインターネットとの出入り口における情報セキュリ ティ対策の向上に資するものであること。 イ)保守・運用管理が高度なノウハウを有せずとも容易でかつセキュリティ面の向上 が期待できる設計を行うこと。 ウ)県・市町村が単独で構築するよりも,十分に安価に構築できること。 4.3. 構築にかかる基本要件 ア)本システムに必要な OS のインストール,ソフトウェアのインストール・設定を行 うこと。 イ)各サーバに使用する OS やソフトウェアは,納入時点での最新のパッチファイルも インストールすること。本県が不要と判断するソフトウェアはインストールしな いこと。 ウ)本システムで利用するハードウェア及びソフトウェア(アプリケーション,ミド ルウェア,ファームウェア等を含む)は,運用期間中に製品サポートの終了が予 定されていない製品を選定すること。なお,運用期間中に本システムで利用して いる製品のサポートが終了する場合は,受託事業者の責任で後継製品や更新版の 製品への移行を行い,継続してサポートが受けられるように対応を行うこと。 5. 想定システム構成 5.1. 全体構成 ア)全体概略 全体構成概略図(案)を以下に図示する。 6 図 5-1 全体構成概略図(案) ※構成する機器の補完として,県の現有機器(L4 トラフィックモニター,プロキシ,IPS 等)の利用も可能である。 7 5.2. 個別構成 ア)メールシステム ① メール受信(添付ファイル無しの場合)の流れは以下の通り。 図 5-2 メール受信の流れ(添付ファイル無し) 表 5-1 メール受信の流れ(添付ファイル無し) No. 送信者 1 インターネット LGWAN 系端末 送信者 (県民等) (市町村職員等)※1 →ファイアウォール(①) 受信者 経 路 →メール中継サーバ(②) →メールサーバ(ゲートウェイ)(③)※2 →市町村メールサーバ(④) →受信者 2 インターネット インターネット端末 送信者 (県民等) /VDI 環境 →ファイアウォール(①) (市町村職員等)※1 →メール中継サーバ(②) 8 →メールサーバ(ゲートウェイ)(③)※2 →メールサーバ(メールボックス) (⑤) →受信者 ※3 ※1 各市町村により,メールの受信形態を選択。 (No.1 もしくは No.2) ※2 添付ファイル無しのメールについては,市町村メールサーバ(④)及びメール サーバ(メールボックス) (⑤)の双方へ中継可能。 ※3 受信者は,ブラウザよりメールサーバ(メールボックス)(⑤)に接続し,メ ールの閲覧を行う。 ② メール受信(添付ファイル付きの場合)の流れは以下の通り。 図 5-3 メール受信の流れ(添付ファイル付き) 9 表 5-2 メール受信の流れ(添付ファイル付き) No. 送信者 1 インターネット LGWAN 系端末 送信者 (県民等) (市町村職員等) →ファイアウォール(①) 受信者 経 路 →Sandbox(②) →メール中継サーバ(③) →メールサーバ(ゲートウェイ)(④)※1 →市町村メールサーバ) (⑤) →メールサーバ(メールボックス) (⑥) →受信者 ※2 2 インターネット インターネット端末 送信者 (県民等) /VDI 環境 →ファイアウォール(①) (市町村職員等) →Sandbox(②) →メール中継サーバ(③) →メールサーバ(ゲートウェイ) (④) →メールサーバ(メールボックス) (⑥) →受信者 ※1 添付ファイル付きメールは,全てメールサーバ(メールボックス) (⑥)へ保 存される。また,添付ファイルの削除を行った上で,市町村メールサーバ(⑤) へメール本文(テキスト)のみを送信する。 ※2 受信者は,メール本文(テキスト)のみ受信できる。メールには,添付ファイ ルが削除された旨が記載されている。添付ファイルを参照する際は,インター ネット端末や VDI 環境よりメールサーバ(メールボックス) (⑥)へ接続し参 照する。 ③ メール送信 メール送信の流れは以下のとおり。 10 図 5-4 メール送信の流れ 表 5-3 メール送信の流れ No. 1 送信者 受信者 経 路 LGWAN 系端末 インターネット 送信者 (市町村職員等) (県民等) →市町村メールサーバ(①) →メール中継サーバ(④) →ファイアウォール(⑤) →受信者 2 インターネット端末 インターネット 送信者 /VDI 環境 (県民等) →メールサーバ(メールボックス) (②) (市町村職員等) →メールサーバ(ゲートウェイ)(③) →メール中継サーバ(④) →ファイアウォール(⑤) →受信者 11 イ)インターネット閲覧システム ① インターネット閲覧(インターネットからのファイルのダウンロード等を行 なわない場合)の流れは以下のとおり。 図 5-5 インターネット閲覧の流れ(ファイルのダウンロード等無し) 表 5-4 インターネット閲覧の流れ(ファイルのダウンロード等無し) No. 閲覧者 1 インターネット端末 閲覧者 ※1 /VDI 環境 →プロキシサーバ(①) (市町村職員等) →ファイアウォール(②) 経 路 →インターネット ※1 LGWAN 系端末よりインターネット閲覧を行う際は,インターネットセグメン トの VDI 環境へ接続した後,プロキシサーバを経由してインターネットへ接続 する。 ② インターネット閲覧(インターネットからのファイルのダウンロード等を行 う場合) 12 図 5-6 インターネット閲覧の流れ(ファイルのダウンロード等有り) 表 5-5 インターネット閲覧の流れ(ファイルのダウンロード等有り) No. 閲覧者 1 インターネット端末 閲覧者 /VDI 環境 →プロキシサーバ(①) (市町村職員等) →ファイアウォール(②) 経 路 →インターネット →ファイアウォール(②) →Sandbox(③) →プロキシサーバ(①) →閲覧者 ウ)ファイル交換システム ① インターネット端末や VDI 環境にダウンロードした添付ファイル等を LGWAN 系端末に受け渡す際の流れは以下のとおり。 13 図 5-7 ファイル交換の流れ 表 5-6 ファイル交換の流れ No. 送信者 1 インターネット端末 LGWAN 系端末 送信者 ※1 /VDI 環境 (市町村職員等) →内部ファイアウォール(①) 受信者 (市町村職員等) 経 路 →ファイル転送サーバ(②) →内部ファイアウォール(①) →Sandbox(③) →内部ファイアウォール(①) →受信者 ※2 ※1 アップロードしたいファイルを,ファイル転送サーバ(②)の共有フォルダ等 にアップロードする。(管理者等によるアップロード承認処理も検討) ※2 ファイル転送サーバ(②)の共有フォルダ等にアクセスし,該当ファイルをダ ウンロードする。ダウンロードの際には,該当ファイルに対して,Sandbox(③) にて振る舞い検知の処理が成される。 エ)配信システム ① インターネット上の配信サーバ等(WSUS,ウイルス対策,Adobe 等の配信 サーバ)より入手した,最新のパッチやパターンファイル等を,各セグメン トに配信する際の流れは以下のとおり。 14 図 5-8 ファイル配信の流れ 表 5-7 ファイル配信の流れ No. 1 受信端末 インターネット端末(③) 経 路 外部配信サーバ等 (市町村インターネット接続系) →ファイアウォール(①) →配信サーバ(②)※1 →受信端末 2 インターネット端末(⑤) 外部配信サーバ等 (市町村インターネット接続系) →ファイアウォール(①) →配信サーバ(②)※1 →市町村 WSUS,ウイルス対策サーバ等(④) →受信端末 3 LGWAN 系端末(⓻) 外部配信サーバ等 (市町村 LGWAN 接続系) →ファイアウォール(①) →配信サーバ(②)※1 →市町村 WSUS サーバ等(④)※2 15 →市町村 WSUS,ウイルス対策サーバ等(⓺) →受信端末 4 利用事務端末(⓽) 外部配信サーバ等 (市町村利用事務接続系) →ファイアウォール(①) →配信サーバ(②)※1 →市町村 WSUS,ウイルス対策サーバ等(④)※2 →市町村 WSUS,ウイルス対策サーバ等(⓺)※3 →市町村 WSUS,ウイルス対策サーバ等(⓼) →受信端末 ※1 県は市町村からの委託を受け,外部配信サーバ等より配信された更新プログラ ム等の再配信を実施する。 ※2 配信サーバ(②)から市町村 WSUS,ウイルス対策サーバ等(⓺)への配信に ついては,特定通信として市町村 WSUS,ウイルス対策サーバ等(④)を介し て配信する場合と,直接市町村 WSUS,ウイルス対策サーバ等(⓺)へ配信す る場合の 2 パターンが想定される。 ※3 市町村 WSUS,ウイルス対策サーバ等(⓺)から市町村 WSUS,ウイルス対策 サーバ等(⓼)への配信については,媒体を介して配信する。 6. 個別要求事項 6.1. システムの機能要件(参考) 機器の選定にあたっては,セキュリティクラウドの性格から複数の自治体が共同で利用 でき,また,ユーザ数に制限がない製品を選定すること。 6.1.1. ファイアウォール ア)基本要件・機能要件 ① 不正通信のブロック(ポリシーに基づく通信制御) ,ウイルスチェック,URL フィルタ等のネットワークセキュリティ機能を備えること。 ※URL フィルタには,Web コンテンツカテゴリによる閲覧制限,マルウェア 等を有する Web サイトへの接続制限等の機能も含まれる。 ② 市町村毎に個別の URL フィルタを設定できること。 ③ アプライアンス製品であること。 ④ ポリシーに応じたゾーンを複数設定できること。ポリシーは,送信元/送信 先とアプリケーション名を元に処理できること。 ⑤ ファイアウォールの最大転送速度は 55G 以上であること。 ⑥ 1 秒あたりの新規セッション処理数が 300,000 以上であること。 ⑦ 最大同時セッション処理数が,12,000,000 以上でること。 16 ⑧ 管理画面の言語は,日本語または英語であること。 ⑨ 外部機器へのログファイルの転送が可能であること。 ⑩ VLAN トランク機能を備えること。 ⑪ リンクアグリゲーション機能を備えること。 ⑫ プロキシモード,透過モードによる中継が可能であること。 ⑬ 仮想ファイアウォール(VDOM または VDOM 相当)機能を備えること。 ⑭ 通過する全てのトラフィックを識別し,可視化できること。また,そのアプ リケーション種別に応じてシグネチャを適用可能なこと。 ⑮ ウイルス防御のシグネチャは随時最新のものに更新されること。 ⑯ WebUI による設定等が可能であること。 ⑰ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① 10GbE SFP+/GbE 共用インターフェースを 8 以上備えること ② GbE SFP インターフェース 16 以上備えること。 ③ GbE インターフェースを 16 以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.2. アナライザー ア)基本要件・機能要件 ① ファイアウォールの詳細なログや,リアルタイムでのネットワークトラヒッ クの一元的な収集・解析・管理等が可能であること。 ② 収集したログをユーザ毎,またはユーザのグループ毎に解析し,各種レポー トを生成できること。 ③ ユーザ,プロトコル,発信元,宛先などの様々な基準から,収集したログを 追跡できること。 ④ RAID 0,RAID 1,RAID 5,RAID 6,RAID 10,RAID 50,RAID 60 に対 応していること。 ⑤ システム容量は 8TB 以上であること。 ⑥ アプライアンス製品であること。 ⑦ WebUI による設定等が可能であること。 17 イ)インターフェース ① GbE SFP インターフェース 2 以上備えること。 ② GbE インターフェースを 4 以上備えること。 ウ)形状並びに動作環境 ① 筐体は 2U 以下であること。 ② 単相 AC100V で動作すること。 6.1.3. IDS・IPS ア)基本要件・機能要件 ① 不正侵入検知・防御機能を備えること。 ② ワーム,トロイの木馬,ウイルス,DDoS 攻撃等の脅威から,サーバ,クライ アント及びネットワーク機器の防御が可能であること。 ③ スループットが 1.5 Gbps 以上であること。 ④ ネットワークスループットが 1.5 Gbps 以上であること。 ⑤ 同時ネットワークセッション数が 6,500,000 以上であること。 ⑥ WebUI による設定等が可能であること ⑦ 冗長構成とすること。 イ)インターフェース ① GbE SFP インターフェース 10 以上備えること。 ② GbE インターフェースを 10 以上備えること。 ウ)形状並びに動作環境 ① 筐体は 2U 以下であること。 ② 単相 AC100V で動作すること。 6.1.4. プロキシサーバ ア)基本要件・機能要件 ① インターネット接続への中継機能,Web ページのキャッシュ機能を備えるこ と。 ② アプライアンス製品であること。 ③ プロキシモード,透過モードによる中継が可能であること。 ④ 外部の Web サーバへの接続に際して,「6.1.9.アクティブディレクトリ/ LDAP サーバ」と連携して,ユーザ ID 毎,グループ毎にアクセス制限等を行 うことが可能であること。 ⑤ HTTP,HTTPS,FTP,Telnet,SOCKS,P2P,TCP トンネル,IM,動画 18 配信(Windows Media,Real Media,Quicktime,ustream その他),DNS, MAPI,CIFS,RTMP を制御可能であること。 ⑥ 最大コネクション数は 36,000 以上であること。 ⑦ Full Proxy Edition の最大ユーザ数が無制限であること。 ⑧ 管理画面の言語は,日本語または英語であること。 ⑨ 外部機器へのログファイルの転送が可能であること。 ⑩ WebUI による設定等が可能であること。 ⑪ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE インターフェースを 4 ポート以上備えること ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.5. メールサーバ(メールボックス) ア)基本要件・機能要件 ① アプライアンス製品であること。 ② SMTP,POP3,IMAP などのメールサーバ機能を備えていること。 ③ SMTP over SSL をサポートしていること。 ④ Active Directory,LDAP,RADIUS など各種認証方式に対応していること。 ⑤ ユーザーアカウントに対するディスク容量・ポリシー設定が可能であること。 ⑥ Web メール機能を備えていること。 ⑦ メールボックス数は 3,000 以上であること。3,000 を超える場合には,外部ス トレージに追加できること。 ⑧ ユーザーアカウント毎にメールフォルダの新規作成等が可能であること。 ⑨ メールの保存期間を設定可能であること。 ⑩ 外部ストレージへのメールのアーカイブが可能であること。 ⑪ WebUI による設定等が可能であること。 ⑫ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE SFP インターフェースを 2 ポート以上備えること。 ② GbE インターフェースを 6 ポート以上備えること 19 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.6. メールサーバ(ゲートウェイ) ア)基本要件・機能要件 ① アプライアンス製品であること。 ② プロキシ型メールゲートウェイとして動作し,インターネットと県・市町村 の LGWAN 系ネットワーク設置のメールサーバが双方向にメール中継が行え ること。 ③ 添付ファイル付きメールの無害化(メール本文のみの転送)が可能であるこ と。 ④ 添付ファイル無しのメールを,市町村メールサーバ及び「6.1.5.メールサー バ(メールボックス) 」の双方へ中継可能であること。 ⑤ html 形式のメールは,テキスト化や組み込まれた悪意ある URL を削除でき ること。 ⑥ アンチスパム・アンチウイルスフィルタ機能を備えていること。 ⑦ スパム及びウイルスメールと判定されたメールについて,タグ付けや隔離, 拒否,破棄などの動作が可能であること。 ⑧ 隔離されたメールをユーザが Web メール上の隔離フォルダで閲覧できること。 ⑨ 隔離されたスパムメールの一覧をダイジェストメールとしてユーザに配信で きること。 ⑩ WebUI による設定等が可能であること。 ⑪ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE SFP インターフェースを 2 ポート以上備えること。 ② GbE インターフェースを 4 ポート以上備えること ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 20 6.1.7. メール中継サーバ ア)基本要件・機能要件 ① 各市町村のメールサーバより外部へメールを送信する際の中継サーバとして の機能を有すること。外部へのメール送信に際して,送信元がドメイン毎に 上位ファイアウォールに設定されたグローバルアドレスと 1 対 1 で割り当て が可能であること。 ② 適切なウイルス対策を行うこと。 ③ 県及び市町村毎に利用できる環境を整備すること。 イ)インターフェース ① GbE インターフェースを 2 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 単相 AC100V で動作すること。 6.1.8. (メールサーバ)ストレージ ア)基本要件・機能要件 ① メールサーバのアーカイブ先としてメールデータの保管ができること。 ② システム容量は 10TB 以上であること。 ③ RAID 5,RAID 6 及び RAID 10 に対応していること。 ④ 接続プロトコルとして CIFS,NFS,iSCSI,FC に対応していること。 ⑤ 最大搭載ドライブ数が 25 以上であること。 ⑥ 1 コントローラ毎の搭載メモリ容量が 24GB 以上であること。 ⑦ WebUI による設定等が可能であること。 ⑧ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① 1 コントローラ毎に 10GbE ポートを 4 つ以上備えること。 ② GbE インターフェースの管理ポートを 2 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 21 ③ 2 台以上の筐体による冗長構成とすること。 6.1.9. アクティブディレクトリ/LDAP サーバ ア)基本要件・機能要件 ① 認証情報,アクセス制限情報の一元管理が可能であること。 ② ユーザの所属等に応じて適切にセキュリティ権限を付与できること。 ③ 各ユーザのパスワード変更等に際して,ユーザ自身がパスワード変更画面か ら変更処理を行うことが可能なシステムを提供すること。 ④ 適切なウイルス対策を行うこと。 ⑤ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE インターフェースを 2 ポート以上備えること ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.10. Sandbox(振る舞い検知) ア)基本要件・機能要件 ① アプライアンス製品であること。 ② セキュリティ保護された仮想環境にて,不審なファイルやリスクの高いファ イルを選別し分析する機能を備えること。 ③ 新たに検出されたマルウェアに対してシグネチャを生成する機能を備えるこ と。 ④ メールサーバやファイアウォールと連携して動作すること。 ※パスワード付ファイルは,ファイアウォールやメールサーバで受信拒否や削 除されることを想定。 ⑤ ファイルチェック時に遅延が生じないように十分な仮想環境や処理速度を有 すること。 ⑥ 不審なファイルが検出されると管理者へ電子メールで通知する機能を備える こと。 ⑦ 不審なファイルに関する特性や挙動に関する詳細レポートの出力が可能であ ること。 ⑧ WebUI による設定等が可能であること。 22 ⑨ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE SFP+インターフェースを 2 ポート以上備えること ② GbE SFP インターフェース 2 ポート以上備えること。 ③ GbE インターフェースを 4 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.11. ファイル転送サーバ ア)基本要件・機能要件 ① アプライアンス製品であること。 ② 最大ユーザ数は 20,000 ユーザ以上であること。 ③ 分離ネットワーク間でのデータファイルの共有・転送が可能であること。 ④ アクティブディレクトリサーバ等の認証システムとの連携が可能であること。 ⑤ ウイルスチェック機能を備えること。 ⑥ アップロード,ダウンロードファイルのログ・履歴管理が可能であること。 ⑦ パスワード設定 ⑧ 承認機能を備えること。 ⑨ 閲覧期間が設定でき,閲覧期間経過後は自動消去されること。 ⑩ SSL 通信に対応していること。 ⑪ ディスク容量は 4TB 以上であること。 ⑫ ストレージ接続プロトコルとして,iSCSI/NFS に対応していること。 ⑬ WebUI による設定等が可能であること。 ⑭ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE インターフェースを 4 ポート以上備えること。 ② 各ポートは,別々のセグメントに接続し,セグメント間を分離できること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 23 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.12. ログ収集・分析サーバ(SIEM(Security Information and Event Management) 機能) ア)基本要件・機能要件 ① アプライアンス製品であること。 ② ファイアウォール,プロキシサーバ,メールサーバ,IDS・IPS 等の各種ログ を収集・管理し随時解析できること。 ※県・市町村設置の LGWAN ファイアウォール,インターネットセグメント上 のファイアウォールまたはプロキシサーバ,VDI,Web サーバ及び WAF 等の ログを取り込めること。 ③ キーワード入力によるログ検索・解析が可能であること。 ④ ワイルドカードや論理演算子,比較演算子,サーチコマンド等によるログ検 索が可能であること。 ⑤ 検索結果を元に複数のレポートを列挙したビューを作成できること。また標 準レポートの内容をカスタマイズできること。 ⑥ WebUI による設定等が可能であること。 ⑦ ストレージ接続プロトコルとして,iSCSI に対応していること。 ⑧ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE インターフェースを 4 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.13. ログストレージ ア)基本要件・機能要件 ① ファイアウォール,プロキシサーバ,メールサーバ,IDS/IPS 等の各種ログ を保管できること。 ② システム容量は 12TB 以上であること。 (1 年間保存するに必要な容量) ③ RAID 5 及び RAID 6 に対応していること。 ④ 以下の OS に対応していること。 24 Windows,VMware,Linux,Solaris,HP-UX ⑤ WebUI による設定等が可能であること。 ⑥ 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① 1 コントローラ毎に GbE ポートを 2 つ以上備えること。 ② 1 コントローラ毎に GbE の管理ポートを 1 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.14. 配信サーバ(WSUS,ウイルス対策サーバ等) ア)基本要件・機能要件 ① Microsoft Update サーバと同期し,配信された更新プログラムをサーバ内に 保管できること。 ② 同期された更新プログラムを,サーバ,クライアント PC 等に配布できること。 ③ 各市町村に設置されている下位 WSUS サーバと連携し,自動同期が可能であ ること。 ④ 各市町村に設置されている下位ウイルス対策サーバに対し,最新パターンフ ァイル等の配信が可能であること。 ⑤ 配信するセキュリティソフトは,各市町村毎に 1 種類のみとする。 ⑥ 適切なウイルス対策を行うこと。 ⑦ 県及び各市町村別に物理環境を整備すること。 イ)インターフェース ① GbE インターフェースを 2 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ③ 単相 AC100V で動作すること。 6.1.15. 内部 DNS サーバ ア)基本要件・機能要件 25 ① 外部 DNS のセカンダリ DNS サーバとして,各市町村のサーバ及び端末等か らの問合せに対して名前解決が行えること。 ② 2 台以上の筐体による冗長構成とすること。 イ)インターフェース ① GbE インターフェースを 2 ポート以上備えること。 ウ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 6.1.16. 管理サーバ ア)基本要件・機能要件 ① 本調達で設置された各種サーバ,ネットワーク機器等の稼動状況や負荷状況 を一元的に管理できること。そのために必要となる各種ソフトウェアやライ センス費用等についても本調達に含めること。 ② 適切なウイルス対策を行うこと。 イ)インターフェース ① GbE インターフェースを 2 ポート以上備えること。 ウ)形状並びに動作環境 ① 管理サーバは 19 インチラックに搭載可能であること。また,搭載するための 部品を用意すること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.17. 管理 PC ア)基本要件・機能要件 ① 本調達で設置された各種サーバ・ネットワーク機器等の稼動状況や負荷状況 を監視できること。そのために必要となる各種ソフトウェアやライセンス費 用等についても本調達に含めること。 ② 法人向け製品として製造・販売されていること。 ③ 適切なウイルス対策を行うこと。 イ)インターフェース 26 ① GbE インターフェースを 1 ポート以上備えること。 ② USB2.0 以上に準拠したインターフェースを 2 ポート以上備えること。 ③ DVD スーパーマルチドライブを 1 台内蔵していること。 ウ)形状並びに動作環境 ① 単相 AC100V で動作すること。 6.1.18. スイッチ ア)基本要件・機能要件 ① 10GbE SFP+インターフェースを 2 ポート以上,GbE SFP ポートを 4 ポート 以上,GbE インターフェースを 48 ポート以上有すること。 ② スイッチ容量が 100Gbps 以上であること。 ③ パケット転送能力が 70Mpps 以上であること。 ④ Auto MDI/MDI-X 機能を有すること。 ⑤ STP,RSTP,Link Aggregation をサポートすること。 ⑥ 最大 8,000 の MAC アドレスを設定可能であること。 ⑦ SNMPv1,SNMPv2,SNMPv3,標準 MIB をサポートしていること。 ⑧ ポート VLAN,Tag-VLAN,プロトコル VLAN,MAC VLAN をサポートし ていること。 ⑨ NTP または SNTP をサポートしていること。 ⑩ ポートミラーをサポートしていること。 ⑪ Telnet,SSH により遠隔からコンソールログインが可能であること。 ⑫ 2 台以上の筐体による冗長構成とすること。 イ)形状並びに動作環境 ① 19 インチラックに搭載可能であること。また,搭載するための部品を用意す ること。 ② 筐体は 2U 以下であること。 ③ 単相 AC100V で動作すること。 6.1.19. L4 トラフィックモニター(Cisco WSA S380)※既設利用 ア)基本要件・機能要件 ① 全てのポート番号に対して,トラフィックのモニタリングが可能であること。 ② モニタリングの結果,不審なトラフィックが発見された場合には,コネクシ ョンを強制的に切断したり,管理者に通知する機能を有すること。 ③ 各クライアントからの Web アクセス利用状況やマルウェア感染状況,アクセ スの多い Web サイトの一覧や URL カテゴリなど,様々なレポートを WebUI 27 から生成可能であること。 ④ CPU:Hexa Core Intel(×1) ⑤ メモリ:16GB ⑥ RAID:RAID 10 ⑦ HDD サイズ:600GB(×4) ⑧ HDD タイプ:ホットスワップ対応 SFF 型 ⑨ インターフェース:GbE(4 ポート) ⑩ コンソールインターフェース:RJ-45(1 ポート) イ)形状並びに動作環境 ① 筐体ユニット数:2U ② サイズ:89.6mm(H)×483.7mm(W)×737.7mm(D) ③ 重量:約 29.7kg ④ 電源ユニット:ホットスワップ対応冗長化電源 650W(×2) 6.1.20. その他 ① 本案件で調達する機器については,すべて 19 インチラックに搭載可能である こと。 (※管理 PC を除く) ② 機器,ソフトウェア等の利用のために,ライセンス費用が必要な場合は,賃 貸借期間中に必要なライセンス費用についても本調達に含めること。 6.2. 運用引き継ぎにかかる要件 本システムにおいては,運用業務を別途運用管理業者に委託して行うことを提案する場 合は,システム移行にあたり運用管理業者に対する運用引継ぎ教育を行うこと。 (6.3,6.4 に同様) また,運用を運用管理業者に引き継がれるまでの期間における運用業務は全て受託事業 者にて行うこと。 6.3. 運用管理業者に対する教育 システム稼動前及び稼働後に本県及び運用管理業者に対して,運用業務についての説明 及び各機器の操作教育を実施すること。また,本県の担当者が変更となる場合などには, 本県の要望に応じて再度教育を実施すること。 6.4. 保守サービスにかかる要件 ア)受託業者の業務範囲 保守サービス提供においては,ハードウェア及びソフトウェアの保守を主とする が,定常運用に対する支援も行うこと。受託事業者とネットワーク運用管理業者 28 の業務分担を以下のとおりとする。 表 6-1 受託業者の業務範囲 作業内容 受託事業者 運用管理業者 日常設定変更 ○ データバックアップ ○ データリストア ○ 稼働監視 ○ 性能・構成管理 ○ ログ管理 ○ セキュリティ管理 ○ 日常運用業務に対する支援 ○ パッチによる影響等の情報提供 ○ パッチインストール △ バージョンアップによる影響等の情報提供 ○ バージョンアップ作業 △ ○ 障害一次切り分け △ ○ 障害対応 ○ △ 障害後予防処置・是正処置 ○ △ 運用手順書の改訂 ○ ○ 【凡例】 ○:実施責任 △:支援 イ)保守体制 ① 障害対応時間 保守対応時間は平日 09:00~17:00 とする。ただし,個別の障害事象により 本県が承認した場合にはこの限りではない。また,本県が必要と判断した場 合は,時間外でも対応すること。 ② 障害対応体制 メール及び電話による障害連絡を 24 時間受け入れられること。 ウ)保守業務 ① 運用管理業者による本システムの運用業務全般を実施するための技術支援を 行うこと。定常運用に伴う技術支援も範囲とする。 ② 必要に応じて性能を改善するための計画策定・対策を立案し,本県と協議, 対策方法の提案を行うこと。また,運用を効率的に行うためのスクリプト等 の作成の支援を行うこと。 29 ③ 運用管理業者が各種報告を行うための支援を行うこと。 ④ 本システムで使用するソフトウェア製品に関するバグフィックス,セキュリ ティ対応等のパッチ,バージョンアップ製品がリリースされた場合,受託事 業者はその内容の調査を行い,適用の可否を本県に報告すること。また,適 用できない場合は,適用するためのシステム改修の内容を本県に報告するこ と。 ⑤ 本システムに影響を及ぼす恐れのあるパッチやバージョンアップ等の提供が ある場合,運用管理業者がパッチ適用後の影響の有無についての確認作業を 短時間に行えるように支援を行うこと。もしくは受託事業者が適用に立ち会 い,適用後の本システムへの影響の有無を確認すること。 ⑥ 本県または運用管理業者からシステムの異常等の連絡を受けた際には,運用 管理業者と連携し然るべき調査を行い,運用に支障が出る場合には,本県の 求めに応じて機器等の予防交換を行うなど障害の予防に努めること。 7. テスト要件 7.1. テスト計画 設計内容が本番環境において有効であることを実証するための適切な試験を行い,発見 された問題について対応し解消すること。 ア)試験計画を立案,ならびに試験計画書を作成し,本県の承認を得ること。 イ)試験計画書に基づき,本番稼動前に試験を実施すること。 ウ)本番稼動環境と同等の利用環境下において,構築したシステムの操作作業を行い, 機能,性能,セキュリティ面を含めて,目的の用途として利用可能な状態が保た れているか,十分な確認作業を行うこと。 エ)本番稼動環境下において,障害発生時を想定したリストアを含む一連の復旧作業 を試験し評価すること。 オ)構築したシステムが既存のネットワークに影響を与えないこと等に留意した,信 頼性に関する確認作業を行うこと。 7.2. テスト結果と判定 全ての試験が問題なく終了したことを記録した試験結果報告書を作成,報告し,本県の 承認を得ること。 8. セキュリティ要件 本調達のセキュリティに関する要件は以下のとおり。 ア)導入する機器やソフトウェアに関して公開されているセキュリティホール対策が 30 完了していること。 イ)システムに不要なサービスは停止または削除すること。 ウ)導入する機器やソフトウェアにおいては,導入後の運用期間中も,適切なパッチ や脆弱性対策技術情報が適時に提供されること。 エ)主な機器については,第三社評価機関で高い性能であることを示す評価やセキュ リティ評価レベル(Common Criteria(CC))で EAL4相当を取得していることが 望ましい。 9. 設備要件 本調達の設備に関する要件は以下のとおり。 ア)機器の導入にあたり,各機器の搬入,設置,設定作業は原則としてすべて受託事 業者が行うこと。 イ)導入する機器等は,ラックマウント型であること。 (※管理 PC を除く) 10. プロジェクト管理にかかる要件 10.1. プロジェクト体制 本調達のプロジェクト管理に関する要件は以下のとおり。 ア)受託事業者は,本調達業務の遂行を確実とする履行体制(支援体制を含む)を確 保していること。 イ)作業について十分な知識を有するものが責任ある立場でプロジェクトにあたるこ と。 ウ)本作業に従事する者は,本県職員ならびに関係者と十分な協力が図れる体制とす ること。 10.2. プロジェクト管理 本調達のプロジェクト管理に関する要件は以下のとおり。 ア)受託事業者は,作業前に業務計画書を本県に提示し,承認を得てから作業を行う こと。 イ)原則として,本県と合意した業務計画書に従って作業を実施すること。 ウ)プロジェクトの遂行にあたり,業務計画書の内容に変更が必要となる場合,本県 と協議し,承認を得ること。 エ)必要に応じて適宜ミーティング等を実施し,本県に対し報告及び作業内容の説 明・協議を行うこと。 オ)全ての作業において,本県が提供した,個人情報を含む業務上の情報は細心の注 意をもって管理し,第三者に開示または漏洩しないこと。また,そのために必要 31 な処置を講ずること。 11. 補足事項 ア)県及び各市町村の庁内からのセキュリティクラウドを経由してのホームページ閲 覧やメールの添付ファイルの参照をするため,各市町村がインターネット接続端 末(物理,仮想を含む)を整備したり,データセンター上に別途整備予定の仮想 端末等を整備したりする方法があるので,いずれの方法でも接続ができること。 12. 情報提供可能要件 本調達にあたり,契約締結後,県より受託事業者へ提供する内容は以下のとおり。 ア)各市町村設置のファイアウォールの機種及びソフトウェアのバージョン等。 イ)各市町村にて使用中のウイルス対策ソフトの種類等。 ウ)ファイアウォール及び Web サーバのログ容量(月間) 。 エ)IP 固定アプリケーション(Web サーバ更新等)一覧等。 オ)その他県が必要と認める情報等。 32
© Copyright 2024 ExpyDoc