(2) 高知県自治体セキュリティクラウドの導入にかかる要件(案)[PDF

高知県情報セキュリティクラウドの導入にかかる要件(案)
1 業務名
高知県情報セキュリティクラウド導入事業
2 業務の目的(解決したい課題)
自治体における不正通信の監視機能の強化等への取組に際し、より高い水準の情報セ
キュリティ対策を講じることで標的型攻撃をはじめとするサイバー攻撃から個人情報等
の重要な情報資産を守る。
3 導入方法
次のいずれかによるものとする。
(1)データセンターに高知県専用の機器を設置し、運用する。
(2)事業者の提供するサービスによるもの。
(3)(1)及び(2)を組み合わせたもの。
なお、いずれの場合も機器等を設置するデータセンターは、日本国内とすること。
4 業務スケジュール
(1) 構築:平成28年8月~平成29年3月(機能検証期間:平成29年2月~3月)
(2) 運用:平成29年4月~(5年以上運用予定)
※1期あたり6年~7年運用できることが望ましい。
※想定年数を見積書様式4-1及び4-2に記載してください。
5 利用者
次の2パターンについて、見積書を作成すること。
自治体ごとに参加するタイミングが異なることが予想されるため、システムの拡充や
ライセンスの増減について、柔軟に対応できることが望ましい。
複数の自治体が共同利用するため、使用許諾契約の範囲を協議により調整できること。
(1) 県1団体、34市町村、2一部事務組合、1広域連合
利用者数:約10,000ユーザー
(2) 同上に県教育委員会及び市町村教育委員会を含む
利用者数:約20,000ユーザー
6 監視対象
セキュリティクラウドで想定する主な監視対象は次のとおり。
・Aパターン時(LGWANの共同化をしない場合)の監視対象
次の(1)(2)(3)(4)(5)
・Bパターン時(LGWANの共同化をした場合)の監視対象
次の(1)(2)(3)(6)(7)
次に掲げるもの以外のもので(NTPサーバやWSUSサーバ等)、セキュリティクラウ
ド内への設置が必要と思われる機能は、提案内容に含めること。
(6)及び(7)に関しては別添「高知県情報セキュリティクラウドにおけるメールリレ
ーの概要(案)」を参考に、課題解決の方法を提案してください。
1
(1)Webサーバ(ホームページ公開用)
Webサーバを自庁に置いたままとする自治体又はレンタルサーバなど外部のサービ
スを利用している自治体についても、セキュリティ対策の実施方法を提案すること。
(その際に必要となる条件についても併せて提案すること。)
レンタルサーバなど外部のサービスを利用している自治体に対するセキュリティ対
策の実施が困難な場合についての代替案を提案すること。
必要に応じてリバースプロキシサーバなど関連機器、ソフトウェア等についても提
案に含めること。
(2)プロキシサーバ(インターネット閲覧用)
高知県情報セキュリティクラウド上のプロキシサーバにおいては、各自治体の個別
ルール(フィルタリングルール等)は設定せず、統一ルールとする。
個別ルール適用のために各自治体内のプロキシサーバを残し、高知県情報セキュリ
ティクラウドと多段構成を組むことについては、各自治体のプロキシサーバにて各端
末からのアクセスが辿れるように情報セキュリティクラウドのルールと同じ水準でロ
グを取得することを前提とする。
(3)外部DNSサーバ
各団体の既設DNSサーバを下位サーバとして残すことにも対応できること。
(4)インターネットメールサーバ・メールリレーサーバ
各自治体がメールサーバ・メールリレーサーバのどちらを選択しても構わない環境
にすること。
メールサーバを利用しようとする団体については、別途、容量、リソースに応じて
価格を提案すること。
(5)LGWAN接続ファイアウォール
各自治体の庁内LANとLGWAN接続ルータとの間にあるLGWAN接続ファイアウォ
ールのログを、セキュリティクラウド上のログ分析システムへ特定通信として転送す
る。セキュリティクラウド側では、当該ログ分析に要する費用を見積に含めるととも
に、LGWAN接続ファイアウォールから出力するログデータのフォーマット等連携に必
要な仕様を提案すること。
(6)インターネットメールサーバ・メールリレーサーバ
各自治体が受信するメールはこのサーバ経由とし、迷惑メール・スパムメール等の
拒絶や振る舞い検知を実施し、安全と判断されたもののみ、又メール無害化対策(添付
ファイルの除外・TEXTメールのみ転送・URLリンク削除)を実施したものについて、
LGWANメールサーバに転送する。
メールサーバを利用しようとする団体については、別途、容量、リソースに応じて
価格を提案すること。
(7)LGWANサーバ
セキュリティクラウド内に、LGWAN共同FWを設置し、LGWANメールゲートウェ
イを集約化する。インターネットメールサーバから無害化されたメールを集約化され
たサーバで受け取る。
2
7 セキュリティ対策のツール
セキュリティクラウドで使用を検討しているセキュリティ対策ツールは次のとおり。
なお、他ツールにより同様の対策を実施することが可能な場合は、提案の範囲とする。
また、それぞれの対策ツールが持つ機能について、他のセキュリティ対策ツールに機
能が包含されることについても可とするが、その場合にはどの機能を包含しているか分
かる形で記載すること。
通信容量については、別紙資料を参照のこと。
(1)ファイアウォール
「許可/拒絶ルール」は、個別ルールは設定せず、統一ルールとすること。
(2)IDS/IPS
(3)振る舞い検知機能(Web・メール)
インターネット受信メールの添付ファイルに含まれる不正なプログラム等を検知
し、それらが端末で実行されることを未然に防ぐこと。
メールは送受信件数については、別紙資料参照のこと。
Webサイトからダウンロードしたファイルも同様に振る舞い検知にかけ、不正な
プログラム等が検知された場合はダウンロードさせないこと。
(4)マルウェア/スパム対策機器
(5)URLフィルタ機器
(6)ログ分析システム(収集・分析)
1年以上のログを蓄積できること。
(7)コンテンツ改竄検知ツール
自動修復は必須要件とはせず提案の範囲とする。
(8)イベント監視ツール
各自治体の庁舎内やレンタルサーバなど外部のサービスを利用している場合に関
しても可能な限り監視対象とし、監視を行うためのレンタルサーバの設定などの前
提条件を記載すること。
(9)WAF(Web Application Firewall)
8 SOC監視体制
(1)24時間365日の有人監視とする。
(2)監視体制には、セキュリティ専門人材を参画させること。
(3)監視状況及び運用状況を、定期的にレポートとして提出すること。
(4)セキュリティインシデント事案検知時や発生時における通知、対応分析、検討、
対策内容を提案すること。
3
9 標準管理機能・オプション機能
セキュリティクラウドを運用する上で提供を希望する機能は次のとおり。
(1) 無害化機能
メール添付ファイルの除外・TEXTメールのみの転送・URLリンクの除去等の機
能を想定。Aパターンにおいては、オプションメニューとして希望団体が利用でき
る環境を整えることを想定。Bパターンにおいては、標準機能として想定。
(利用想定団体数:約10団体、利用想定ユーザー数:1,800人)
(2) オンラインストレージ
オプション機能として、希望団体が利用できる環境を整えること。想定する容量
は、250GBとする。
(3) VDI
オプション機能として、希望団体が利用できる環境を整えること。
(利用想定団体数:9団体、利用想定ユーザー数:1,000人(インターネット閲覧の
みを前提としたもの、同時接続も同じ数))
(4) メールサーバ、Webサーバ等のオプションについては、リソース毎の価格を提
案すること。
10 回線
インターネット回線(セキュリティクラウド~インターネット)については、別紙資料
を参照のうえ、最適と思われるものを提案すること。
各自治体~セキュリティクラウドの回線について、一義的に高知県情報ハイウェイの
利用を想定しているが、別紙資料を参照のうえ、帯域が不足すると見込まれる場合は、
別途、IP-VPNの利用を想定すること。
直接サービスが提供できない場合は、その旨記載の上、可能な範囲で想定される金額
を記載すること。
高知県情報ハイウェイの概要については、県情報政策課HPで確認すること。(現在の
最大帯域800Mbps、平均トラフィック500Mbps)
11 運用体制
運用業務にて想定している項目は以下のとおりである。運用主体も含めて運用体制に
ついて提案すること。次の項目以外に必要な運用業務に関しては提案によるものとする。
インシデント対応のフロー等に関しても提案によるものとする。
(1)日常運用業務
・ポータルサイトの立ち上げ・管理
セキュリティクラウド上にポータルサイトを立ち上げ、運用状況や団体ごとのトラ
フィック、インシデント対応状況、不正アクセスの発生状況などの有用な情報につい
て、迅速に県及び市町村に情報提供する。
・ユーザーの登録削除
・データバックアップ、リストア
・稼働監視
・性能・構成管理
・ログ管理
・バージョンアップ、パッチによる影響等の情報提供
・バージョンアップ、パッチインストール作業
4
・障害対応及び障害後是正措置・予防措置
・運用マニュアルの改訂
・運営会議
定期的に県、各市町村、受託業者による運営会議を行う。(年1回程度)
・ヘルプデスク
メールサーバなど運用についての対応を行うことを想定している。
技術的問い合わせ(各団体の庁内システム運用保守業者からの問い合わせを含む。)
に対応できる体制を想定している。
(2)構築・移行時の業務
・フィルタリングルール等各サーバ、ネットワーク機器の設定変更に迅速に対応でき
る体制を提案すること。
・各団体の状況に応じて、各種機器の設定変更や接続支援を行うこと。
・集合説明会の実施、各団体ネットワーク構築ベンダとの連携を行うこと。
12 保守体制
(1)保守対応時間
・土日祝日を除く平日の8:00 ~ 18:00 とする。ただし、障害対応時については、
この限りでない。
(2) 障害対応要件
・障害発生から初期対応を開始するまでの時間を、概ね30分以内とすること。ただ
し、大規模災害発生時はこの限りではない。なお初期対応とは、障害発生箇所・原
因の確認作業への着手、本県、市町村等の関係者への連絡等を指す。
(3)SLAについて
稼働率99.9%を想定しているが、SLAについては提案によるものとする。
5