詳細仕様書(案) (PDF形式 : 599KB)

三重県行政 WAN
内部ファイアウォール等更新・運用保守業務
詳細仕様書(案)
平成 28 年 5 月
三重県地域連携部情報システム課
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
目
次
1.
現行システムの概要 ______________________________________________________ 3
1.1.
全体概要 ____________________________________________________________________ 3
1.2.
内部ファイアウォール ________________________________________________________ 3
1.3.
Web セキュリティシステム ____________________________________________________ 5
1.4.
外部メール/DNS サーバー _____________________________________________________ 7
1.5.
内部 DNS サーバー ___________________________________________________________ 8
1.6.
障害監視 ____________________________________________________________________ 9
1.7.
NTP _______________________________________________________________________ 10
1.8.
バックアップ _______________________________________________________________ 10
1.9.
電源管理 ___________________________________________________________________ 11
1.10. 運用管理端末 _______________________________________________________________ 11
1.11. (参考)外部ファイアウォール ________________________________________________ 11
2.
システム更新要件 _______________________________________________________ 13
2.1.
基本的な考え方 _____________________________________________________________ 13
2.2.
内部ファイアウォール _______________________________________________________ 14
2.3.
Web セキュリティシステム ___________________________________________________ 16
2.4.
外部メール/DNS サーバー ____________________________________________________ 18
2.5.
内部 DNS サーバー __________________________________________________________ 19
2.6.
ログ保存 ___________________________________________________________________ 19
2.7.
障害監視 ___________________________________________________________________ 20
2.8.
NTP _______________________________________________________________________ 21
2.9.
バックアップ _______________________________________________________________ 21
2.10. 電源管理 ___________________________________________________________________ 21
2.11. 運用監理端末 _______________________________________________________________ 21
3.
機器設置・移行要件 _____________________________________________________ 22
3.1.
基本的な考え方 _____________________________________________________________ 22
3.2.
機器設置 ___________________________________________________________________ 22
3.3.
ハウジング _________________________________________________________________ 22
1
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
3.4.
移行対象 ___________________________________________________________________ 23
3.5.
移行方法 ___________________________________________________________________ 23
4.
研修・説明会等にかかる要件 ______________________________________________ 25
4.1.
基本的な考え方 _____________________________________________________________ 25
4.2.
運用管理担当者に対する教育 __________________________________________________ 25
4.3.
運用管理担当者に対する再教育 ________________________________________________ 25
4.4.
利用者向けマニュアルの作成 __________________________________________________ 25
5.
システム運用保守要件 ___________________________________________________ 26
5.1.
基本的な考え方 _____________________________________________________________ 26
5.2.
システム運用 _______________________________________________________________ 26
5.3.
保守体制 ___________________________________________________________________ 29
5.4.
運用期間中に予定されている設定変更への対応 __________________________________ 30
6.
業務終了時にかかる作業要件 _____________________________________________ 32
6.1.
基本的な考え方 _____________________________________________________________ 32
6.2.
情報抽出 ___________________________________________________________________ 32
6.3.
機器撤去 ___________________________________________________________________ 32
2
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
1. 現行システムの概要
1.1. 全体概要
ア. 現行システムは内部ファイアウォール、Web セキュリティシステム、外部メール/DNS サーバー、
内部 DNS サーバーによって構成されている。なお、三重県行政 WAN の論理ネットワーク概要
図は別紙 1 のとおりである。
1.2. 内部ファイアウォール
1.2.1. 概要
ア. IDC1 及び IDC2 にそれぞれに内部ファイアウォールを整備し、パケットフィルタリング、ルー
ティング等の通信制御を行っている。
1.2.2. 機器構成
ア. IDC、IDC2 それぞれに 2 台ずつ設置されており、アクティブ/スタンバイの冗長構成となってい
る。
1.2.3. 機器の詳細
ア. IDC1 の内部ファイアウォールには 2 セグメント(Proxy、FW 接続の各セグメント)
、IDC2 の
内部ファイアウォールには 4 セグメント(Proxy、FW 接続、個人番号利用事務系、自治体中間サ
ーバー用 VPN 装置接続の各セグメント)が 1000Base-T にて接続されている。
イ. アクティブ/スタンバイ構成を維持するため、ハートビート用に 1 ポートが割り当てられている。
ウ. 使用しているポートの種類及び数は下表の通り。
設置場所
10/100/1000Base-T
IDC1
3
IDC2
5
エ. 登録されているオブジェクト数、ポリシー数は下表の通り。
設置場所
アドレス
サービス
ポリシー
オブジェクト
グループ
オブジェクト
グループ
IDC1
341
177
230
116
192
IDC2
387
197
236
118
258
※平成 28 年 4 月末時点の数値
オ. 平日日勤帯のトラフィック(5 分間平均)は下表の通り。
設置場所
平常時
ピーク時
IDC1
約 60Mbps
約 230Mbps
IDC2
約 1.5Mbps
約 20Mbps
3
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
カ. 平日日勤帯のセッション数は下表の通り。
設置場所
平常時
ピーク時
IDC1
約 2,100
約 14,000
IDC2
約 120
約 1,100
キ. 機器の主な仕様は下表の通り。
項目
内部ファイアウォール
ファイアウォールスループット(Gbps)
1.5
同時セッション数
128,000
高可用性(HA)
Active/ Standby
ユーザ認証数(人)
500
ポート数
UTP(10/100/1000)
6
ルーティングプロトコル
RIP(v1/v2)、OSPF
簡易 IPS 機能
×
1.2.4. ルーティング
内部ファイアウォールを含め、三重県行政 WAN のルーティング設定は以下のとおりである。
ア. 業務系 L3 スイッチ、外部ファイアウォール、内部ファイアウォール、Proxy セグメント L3 ス
イッチにてそれぞれルーティングを行っている。
イ. インターネット向けデフォルトルートの冗長化を行うため、ProxyWAN セグメントにおいて
RIPv2 を使用し、IDC1 の Proxy セグメント用 L3 スイッチにデフォルトルートのフローティン
グスタティック設定をしている。
ウ. IDC1 バリアセグメントの障害等、IDC1Proxy セグメント用 L3 スイッチで認識できない障害
(メ
インルート:IDC1 経由からサブルート:IDC2 経由への自動切換えが動作しない障害)時は、
デフォルトルートを手動で外すことにより、IDC2 フローティングスタティックを有効化し、
IDC2 経由でのインターネット向け通信が可能である。
エ. 業務系セグメントは OSPF を使用している。
オ. その他はスタティックルーティングである。
1.2.5. 現行システムの課題
ア. IDC1 の内部ファイアウォールについては、管理画面でのオペレーションを行う場合のレスポン
スが遅くなっている。そのため、過負荷を避ける目的で個人番号利用事務系セグメントを IDC2
に整備したが、LGWAN への接続点は IDC1 にあるため、個人番号利用事務系セグメントから
自治体中間サーバーへの接続にあたり、データセンター間の通信が発生する状況となっている。
イ. ファイアウォールのポリシー設定にて、その都度オブジェクトグループ作成が必要となる等、
運用負荷が高い。
ウ. 今後、インターネット接続環境の分離や自治体セキュリティクラウドの構築に伴うネットワー
4
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
ク構成の変更に対応して、接続セグメント、ルーティング、ポリシーの追加、変更を行ってい
く必要がある。
1.3. Web セキュリティシステム
1.3.1. 概要
ア. Web セキュリティシステムはプロキシ/キャッシュ機能、Web 用ウィルスチェック機能、コンテ
ンツフィルタリング機能等で構成されており、本県ユーザが Web 閲覧を行う際に、悪意のある
コンテンツ等から保護するためのシステムを整備している。
イ. ユーザが Web 閲覧を行った履歴を全て記録している。
ウ. Web 閲覧の処理の流れの概要は別紙 2-1 のとおりである。
エ. 平日日勤帯のセッション数は平常時で約 1,600、ピーク時で約 4,000 であり、トラフィックは平
常時 5 分間平均で約 30Mbps、ピーク時 5 分間平均で約 220Mbps である。
1.3.2. 機器構成
ア. Web セキュリティシステムの機器は全て IDC1 に設置されている。
イ. キャッシュサーバーは正副 2 系統整備されており、それぞれ 2 台で負荷分散を行っている。正
副 4 台のキャッシュサーバーは同じ負荷分散装置に接続されている。
ウ. 負荷分散装置は 2 台設置されており、VRRP によるアクティブ/スタンバイ構成となっている。
エ. キャッシュサーバー(正)はコンテンツフィルタリング機能を有しているため、プロキシ/キャッシ
ュ機能及びコンテンツフィルタリング機能を 1 台で実現している。
オ. クライアントとキャッシュサーバーが正常に通信できるよう、負荷分散は Bridge 構成を採用し
ており、負荷分散装置で VLAN にてブロードキャストドメインを分割している。そのため、負
荷分散装置は Proxy セグメント、キャッシュサーバーは Proxy セグメント内の Web セグメント
に設置されている。
カ. Web 閲覧時のウィルスチェックは内部ファイアウォールの UTM 機能で実現している。
キ. Web 閲覧のログ集計は別途運用しているログ集計サーバーにて行っている。
ク. 現在のキャッシュサーバーの詳細は下表のとおりである。
種別
CPU
メモリ
HDD 実効容量
OS
キャッシュサーバー(正)
-
4GB
250GB
-
キャッシュサーバー(副)
Xeon 1.8GHz
2GB
500GB
Linux
※キャッシュサーバー(正)はアプライアンス製品のため、CPU 及び OS は不明。
1.3.3. システム設定、設計内容
1.3.3.1. Web 用ウィルスチェック
ア. 内部ファイアウォールの UTM 機能にて、Web 閲覧時のウィルスチェックを行っており、ウィ
ルスが発見された場合は、ウィルスが発見された旨を伝えるページに置き換えるとともに、運
用管理担当者へウィルス名、該当 URL、時間等を記載したメールを送付する。
5
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
イ. パターンファイルについては、自動で更新されるよう設定されている。
ウ. ウィルスチェックのログに関して、1 年間以上保存している。
1.3.3.2. コンテンツフィルタリング
ア. キャッシュサーバー(正)のコンテンツフィルタリング機能にて、カテゴリ別に閲覧の「許可」
、
「規
制」
、
「書き込みのみ規制」の 3 種類の URL フィルタリングを行っている。
イ. URL のデータベースは自動で更新されるが、特定の URL について手動にて任意のカテゴリに
登録することも可能である。
ウ. コンテンツフィルタリング(プロキシ)のログに関して、別途構築しているログ集計サーバー
に転送し、約 3 か月間保存している。また、3 か月以上経過したログは随時、DVD に保存して
いる。
エ. キャッシュサーバー(副)に関しては、コンテンツフィルタリング機能を実装していない。
1.3.3.3. ユーザ認証
ア. キャッシュサーバー(正)において、本県にて別途構築した Active Directory と連携したユーザ認
証を行っており、ユーザは Active Directory で利用しているユーザ ID 及びパスワードを入力す
ることで、ウェブ閲覧が可能となる。また、Active Directory のセキュリティグループに応じた
アクセス権の設定が可能であり、セキュリティグループにより、ウェブ閲覧の可否や閲覧でき
るカテゴリの拡張等の制御を行っている。
イ. キャッシュサーバー(副)においては、ユーザ認証機能が実装されていないため、内部ファイアウ
ォールのユーザ認証機能を活用して利用できるユーザを限定している。
1.3.3.4. Web 閲覧情報の集計
ア. キャッシュサーバー(正)は毎日、前日分(24 時間分)のログをログ集計サーバーに送付している。
ログ集計サーバーではユーザ別、カテゴリ別等のヒット数を集計したレポートを作成し、指定
したユーザにメールにて送付している。
1.3.4. 現行システムの課題
ア. 現行システムでは、ピーク時にキャッシュサーバーが高負荷となり、スループットが低下する
事象が発生している。そのため、キャッシュサーバーの処理能力を向上させる必要がある。
イ. キャッシュサーバー(正)では正常に閲覧できないサイトがあり、業務上そのサイトを閲覧する必
要があるユーザはキャッシュサーバー(副)で閲覧をしている。キャッシュサーバー(副)では、コ
ンテンツフィルタリングを経由せずに Web アクセスを行うため、Web セキュリティの統一的な
運用ができない。
ウ. キャッシュサーバー(正)のコンテンツフィルタリング機能では HTTPS 通信がフィルタリング対
象外となっている。
エ. Web 用ウィルスチェック機能を外部ファイアウォールの UTM 機能を用いて実現しているが、
6
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
ウィルス検出の検知率が十分ではない。
1.4. 外部メール/DNS サーバー
1.4.1. 概要
ア. IDC1 及び IDC2 にインターネットもしくは LGWAN に対するメールの送受信及び pref.mie.jp、
pref.mie.lg.jp ドメインに対する名前解決を行うサーバーを 1 台ずつ整備している。
イ. IDC1 に設置の外部メール/DNS サーバーは、LGWAN 上にある NTP サーバーと時刻同期を行
っている。
ウ. メールの過去1年間の状況として、受信件数は 1 ヶ月あたりピーク時で約 190 万通(IDC1 側:
約 120 万通、IDC2 側:約 70 万通)
、平均で約 110 万通(IDC1 側:約 80 万通、IDC2 側:約
30 万通)
、送信件数は 1 ヶ月あたりピーク時で約 44 万通(IDC1 側:約 24 万通、IDC2 側:約
20 万通)
、平均で約 35 万通(IDC1 側:約 19 万通、IDC2 側:約 16 万通)である。名前解決
を行う DNS クエリ数は 1 時間あたり約 2 万 5 千件(IDC1 側:約 1 万 5 千件、IDC2 側:約 1
万件)である。
1.4.2. サーバー構成
ア. 外部メール/DNS サーバーは、IDC1 及び IDC2 の DMZ に 1 台ずつ接続されている。
2 台のサーバーは同一機種であり、その性能は下表のとおりである。
種別
外部メール/DNS
CPU
メモリ
Intel Xeon E5606
4GB
(2.13GHz) 4 コア×1
HDD 実効容量
300GB
(RAID1)
OS
Linux
1.4.3. システム設定、設計内容
1.4.3.1. メール設定
ア. 外部メール/DNS サーバーは、インターネット/LGWAN から本県宛のメールを、別途構築して
いるメール用ウィルスチェックサーバーへ転送を行う。また、メール用ウィルスチェックサー
バーから外部宛のメールをインターネット/LGWAN へ送信する。
イ. インターネットと外部メール/DNS サーバー間の配送方法は MX 配送を行い、IDC1 側の外部メ
ール/DNS サーバーについて IDC2 側より優先順位を高く設定してある。
ウ. LGWAN と外部メール/DNS サーバー間の配送方法はスタティック配送を行っている。
エ. 内部メールサーバー、メール用ウィルスチェックサーバー、外部メール/DNS サーバー間の配送
方法は、スタティック配送である。
オ. 内部から外部メール/DNS サーバーへのメール配送はメール用ウィルスチェックサーバーの負
荷分散機能によりラウンドロビンで行われる。
カ. 外部メール/DNS サーバーにて、宛先に応じて転送先をインターネットと LGWAN に振り分け
ている。また、LGWAN へメールを送信する場合、送信元ドメインが「pref.mie.jp」の場合は
「pref.mie.lg.jp」に付け替えを行う。
7
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
キ. 外部メール/DNS サーバーでは、メールボックスは保持していない。
ク. 後方散乱メール(Backscatter)対策のため、添付メールの件名に特定の文字列を含むメールを、
外部メール/DNS サーバーにて破棄している。
ケ. IDC1 バリアセグメントの障害等で IDC1 の外部メール/DNS サーバーからメール送信ができな
い場合は、IDC2 の外部メール/DNS サーバーにメールを転送したうえで、IDC2 の外部メール
/DNS サーバーからメール送信を行う。
コ. メールアドレスにおいて、
「@」の直前にピリオドがある場合等、RFC(2821/2822)非準拠のメー
ルであっても配送を行う。
サ. メールキューの保持期間は 5 日間である。
シ. メール転送を行ったログを 1 年間保存している。
ス. メールの処理の流れの概要は別紙 2-2 のとおりである。
1.4.3.2. DNS 設定
ア. IDC1 の外部メール/DNS サーバーが pref.mie.jp 及び pref.mie.lg.jp ドメインのプライマリサー
バーであり、IDC2 の外部メール/DNS サーバーは IDC1 側で管理しているドメインのスレーブ
として動作している。
イ. 外部からの要求に対して名前解決を行うが、再帰問い合わせは行わない。
ウ. ログに関して、1 年間以上保存している。
エ. DNS の処理の流れの概要は別紙 2-3 のとおりである。
1.4.3.3. NTP 設定
ア. IDC1 及び IDC2 の外部メール/DNS サーバーは LGWAN 上の NTP サーバーと時刻同期を行っ
ている。
イ. IDC1 及び IDC2 の外部メール/DNS サーバーは、同一セグメント内の各ホスト及び各 IDC 内の
内部 DNS サーバーの NTP サーバーとして時刻同期を行っている。
1.4.4. 現行システムの課題
ア. 今後、インターネット接続環境の分離や自治体セキュリティクラウドの構築に伴うネットワー
ク構成の変更に対応して、メール経路の変更等の作業を行っていく必要がある。
1.5. 内部 DNS サーバー
1.5.1. 概要
ア. 行政 WAN 内部からの DNS クエリに回答するサーバーを整備している。
イ. 処理する DNS クエリ数は 1 時間あたり約 32 万件(IDC1 側:約 27 万、IDC2 側:約 5 万件)
である。
8
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
1.5.2. サーバー構成
ア. 内部 DNS サーバーは、IDC1 及び IDC2 の Proxy セグメントに 1 台ずつ接続されている。
2 台のサーバーは同一機種であり、その性能は下表のとおりである。
種別
内部 DNS
CPU
メモリ
Intel Xeon E5606 (2.13GHz)
4 コア×1
4GB
HDD 実効容量
300GB
(RAID1)
OS
Linux
1.5.3. システム設定、設計内容
1.5.3.1. DNS 設定
ア. IDC1 の内部 DNS サーバーが pref.mie.jp ドメインのプライマリサーバーであり、IDC2 の内部
DNS サーバーは IDC1 の内部 DNS サーバーで管理しているドメインのスレーブとして動作し
ている。
イ. 行政 WAN 内部での名前解決は原則 Active Directory が行うが、Active Directory で名前解決が
できない場合は、内部 DNS サーバーに転送される。
ウ. 内部 DNS サーバーでは自身で管理しているドメイン以外は再帰呼び出しを行い、名前解決を行
う。
エ. ログに関して、1 年間以上保存している。
オ. DNS の処理の流れの概要は別紙 2-3 のとおりである。
1.5.3.2. NTP 設定
ア. IDC1 及び IDC2 の内部 DNS サーバーは各 IDC 内の外部メール/DNS サーバーと時刻同期を行
っている。
イ. IDC1 及び IDC2 の内部 DNS サーバーは、同一セグメント内の各ホスト及び業務系の内部メー
ルサーバーの NTP サーバーとして時刻同期を行っている。
1.5.4. 現行システムの課題
特に大きな課題はない。
1.6. 障害監視
1.6.1. 概要
ア. 本県にて別途構築した NTT 製 crane による障害監視システムを使用して障害監視を行っている。
1.6.2. 障害検出時の通報手段
ア. 障害や異常な状態を検知した場合は、本県が別途契約を行っている監視業務の委託事業者から
運用管理担当者もしくは本県職員へ電話にて通報されるとともに、運用管理担当者へはメール
が送信される。
9
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
1.6.3. 監視項目
ア. 以下の項目の監視を行っている。
A) ネットワーク障害
B) サービス稼働
C) OS パフォーマンス
D) ログ
E) バックアップ状況
1.7. NTP
1.7.1. 概要
ア. 時刻同期が可能なものについては NTP で時刻同期を行っている。
1.7.2. 各セグメント NTP サーバー
ア. 時刻同期は DMZ、Proxy、業務系セグメントに設置されている機器を対象に、以下の NTP サー
バーと同期を行っている。
A) DMZ セグメント
:外部メール/DNS サーバー
B) Proxy セグメント
:内部 DNS サーバー
C) 業務系セグメント
:内部メールサーバー、DC サーバー
1.7.3. 階層構成
ア. 各セグメントの NTP サーバーは以下のとおり階層的に時刻同期を行っている。各階層の NTP
サーバーにおいては、相互の時刻を補正しあいながら限りなく標準時刻に近い時刻を演算し、
時刻精度を高めている。
A) LGWAN
B) 外部メール/DNS サーバー
C) 内部 DNS サーバー
D) 内部メールサーバー
E) DC サーバー
1.8. バックアップ
ア. 障害等に備え、各サブシステムにて設定情報やデータのバックアップを取得している。
イ. データセンターに設置しているサーバーのバックアップテープは週 1 回、本県が別途契約して
いる保管業者に引き渡している。
ウ. バックアップの取得が可能なサーバーでは、ハードディスク内でのローテーション、DAT72 テ
ープメディアへの書き出し、DAT72 テープメディアのローテーションを実施することで、コン
テンツフィルタリング以外のログは 7 年間保存できるようにしている。
エ. コンテンツフィルタリングのログは随時 DVD に書き出すことで、長期保存を実現している。
10
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
1.9. 電源管理
ア. IDC1 及び IDC2 はデータセンターとして停電対策が取られているため、設置する機器では個
別の停電対策は行っていない。
1.10. 運用管理端末
ア. 現行システムの各機器の運用管理用として、本庁及び IDC1 に以下の性能の運用管理端末(ノー
トパソコン)が設置されている。
イ. 設置セグメントは双方とも IDC1 の Proxy セグメントである。本庁の運用管理端末は VLAN に
より IDC1 の Proxy セグメントを本庁まで延伸して接続している。
種別
運用管理端末
CPU
Intel Core i5-2520M
(2.50GHz)
メモリ
HDD 実効容量
OS
2GB
160GB
Windows
1.11. (参考)外部ファイアウォール
1.11.1.概要
ア. 本調達では更新対象外であるが、将来的に内部ファイアウォールとの統合を検討しているため、
参考として外部ファイアウォールの仕様等を記載する。
イ. IDC1、IDC2 それぞれに、内部ファイアウォールとは別に外部ファイアウォールを整備し、パ
ケットフィルタリング、ルーティング等の通信制御を行っている。
1.11.2.機器構成
ア. IDC、IDC2 それぞれに 2 台ずつ設置されており、アクティブ/スタンバイの冗長構成となってい
る。
1.11.3.機器の詳細
ア. IDC1 の外部ファイアウォールには 6 セグメント(バリア、IDS 接続、LGWAN 接続、外部接続、
DMZ、Proxy の各セグメント)、IDC2 の外部ファイアウォールには 5 セグメント(バリア、IDS
接続、外部接続、DMZ、Proxy の各セグメント)が 1000Base-T にて接続されている。
イ. アクティブ/スタンバイ構成を維持するためのハートビート用として 100Base-T を 1 ポート、さ
らに管理用ポートして 100Base-T を 1 ポート割り当てている。
ウ. 使用しているポートの種類及び数は下表の通り。
設置場所
10/100Base-T
10/100/1000Base-T
IDC1
2
6
IDC2
2
5
エ. 登録されているオブジェクト数、ポリシー数は下表の通り。
11
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
設置場所
アドレス
サービス
ポリシー
オブジェクト
グループ
オブジェクト
グループ
IDC1
1,011
14
146
10
193
IDC2
784
8
99
7
48
※平成 28 年 4 月末時点の数値
オ. 平日日勤帯のトラフィック(5 分間平均)は下表の通り。
設置場所
平常時
ピーク時
IDC1
約 110Mbps
約 280Mbps
IDC2
約 9Mbps
約 23Mbps
カ. 平日日勤帯のセッション数は下表の通り。
設置場所
平常時
ピーク時
IDC1
約 26,000
約 47,000
IDC2
約 1,200
約 1,900
キ. 機器の主な仕様は下表の通り。
項目
内部ファイアウォール
ファイアウォールスループット(Gbps)
5
同時セッション数
500,000
高可用性(HA)
Active/ Standby
ユーザ認証数(人)
500
ポート数
UTP(10/100/1000)
8
UTP(10/100)
8
ルーティングプロトコル
RIP(v1/v2)、OSPF
簡易 IPS 機能
○
12
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
2. システム更新要件
2.1. 基本的な考え方
2.1.1. 納入物品
2.1.1.1. 共通
ア. 本システムの設計、構築、導入及び運用に伴い必要となる全てのハードウェア、ソフトウェア
等の物品(以下、
「納入物品」という。)の取得、設定に関することを本調達の契約範囲とする。
イ. 落札決定後速やかに業務計画書の一部として納入物品の一覧を提出することとするが、納入時
点での製品状況が業務計画書提出時点より変わった場合は、本県の承認を得たうえで最新の製
品状況に従い最適な物品を納入すること。
ウ. 納入物品は、新品、買い取りで提供すること。
エ. ユーザ数が 10,000 ユーザ、クライアント数が 12,000 台程度の環境にて問題なく利用が可能で
あるような性能とすること。
オ. 納入物品等に伴うマニュアル、技術資料等については、2 部提供すること。
カ. 納入に際して、梱包材、本県が不要と判断する付属品、マニュアル等を撤去すること。
キ. 納入物品のすべてを保守対象とし、一つの窓口で対応すること。
2.1.1.2. ハードウェア
ア. アプライアンス製品以外の汎用性をもった機器(ノートパソコン型機器は除く)については、
メモリやディスクに要件の 2 割程度の拡張性を確保すること。なお、性能の拡張を行う際は、
ハードウェアの増設等の単純な作業により対応可能な構成とすること。
イ. アプライアンス製品以外の汎用性をもった機器(ノートパソコン型機器は除く)でハードディ
スクを内蔵しているものについては、ハードディスクを RAID 化し、1つのハードディスクに
障害が発生してもサービスを継続できるような構成とすること。
ウ. ディスプレイは LCD ラックマウントタイプで、1,024×768 ドット以上の解像度を持つものと
すること。
エ. キーボードは日本語キーボードとすること。なお、ディスプレイと一体型のものも可とする。
オ. ポインティングデバイスは 2 ボタンマウス、もしくはキーボード一体型のトラックパッドとす
ること。
カ. 納入物品の設置に伴って必然的に必要となる物品(ラック取り付け金具や、ケーブル等の接続
部品等)についても提供すること。
キ. 納入物品は原則「国際エネルギースタープログラム」に適合するものであること。適合外の機
器を納入する場合は、事前に本県の承認を得たうえで納入すること。
ク. 本県が提示する構成にて不足するハードウェアがある場合は、受託事業者にて追加を行うこと。
なお、追加するハードウェアの納入、設定、保守も本調達の契約範囲とする。
ケ. 本システムの運用期間終了後、本調達の契約範囲に係る物品(ハードウェア等)のうち本県が
指示したものについて、受託事業者でデータを完全に消去したうえで撤去すること。
13
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
2.1.1.3. ソフトウェア
ア. 納入したソフトウェアは定期的なライセンス更新が必要なものを除き、契約期間後も本県にて
利用できるものとすること。
イ. 新規に納入するソフトウェアは、契約時の最新バージョンの使用権を確保すること。なお、最
新バージョンを使用しない場合は、最新バージョンの使用権を確保したままダウングレードを
行うこと。
ウ. 使用するソフトウェアはシステムへの影響がない限り、最新のセキュリティパッチの適用を行
ったうえで納入すること。
エ. 本県では利用者分として、以下のマイクロソフト製品のクライアントライセンスを保有してお
り、本システムにおいても利用可能である。ただし、以下のクライアントライセンス以外のラ
イセンスが必要となる場合は、受託事業者にて準備すること。
CAL の種類
Windows server 2012 CAL
オ. マイクロソフト製品を新規で導入する場合、以下に示すライセンスプログラムを利用すること
ができる。
製品の種類
ライセンスプログラム
サーバー製品群
地域 Select Plus for Government Partners
アプリケーション製品群
地域 Select Plus for Government Partners
カ. サーバー等に常駐させるウィルス対策ソフトは、本県が保有する以下のライセンスが利用可能
である。
OS
ウィルス対策ソフト名
Windows 系
Trend Micro ウィルスバスターコーポレートエディション
Linux 系
Trend Micro Server Protect for Linux
2.2. 内部ファイアウォール
2.2.1. 概要
ア. 現行ネットワークの論理構成を一部見直しつつ、更新・設定変更を行う。
2.2.2. 基本要件
2.2.2.1. 機器更新
ア. IDC1、IDC2 の内部ファイアウォールについて機器更新を行うとともに、必要な設定を行うこ
と。
イ. その他、必要となる機器の納入及び設定を行うこと。
14
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
2.2.2.2. ファイアウォール
ア. 従来のポートベースの通信制御だけでなく、アプリケーションベースの通信制御ができる機種
であること。
イ. IDC1、IDC2 それぞれでアクティブ/スタンバイもしくはアクティブ/アクティブの冗長構成をと
ること。また、アクティブ系に障害が発生した場合、接続中の通信は切断されることなくもう
一方のファイアウォールに切り替わること。
ウ. ファイアウォールに求める機器仕様は以下のとおりであるが、現行スループット等の数値を基
に一定の余裕を持った機器を選定すること。なお、UTM 機能の実装等に関わらず、運用に支障
が出ないようにし、運用に支障が認められた場合は、本調達の契約範囲内で整備、改善するこ
と。
機
能
項目
IDC1
IDC2
スループット
4Gbps 以上
2Gbps 以上
同時セッション数
400,000 以上
200,000 以上
ポリシールール数
2,000 以上
2,000 以上
VLAN
Tag-VLAN(IEEE802.1q)
VPN
IPsec、SSL、3DES、AES、IPsec NAT Traversal
ルーティングプロトコル
RIPv1/V2、OSPF、Multicast
運用管理
SNMP、syslog、管理ポート
エ. ファイアウォールにて管理できるセグメント数及び搭載ポート数の要件は以下のとおりである。
なお、管理セグメント数がポート数を上回る場合は、トランクポートとして複数セグメントを
まとめて管理することを想定している。トランクポートとして管理する場合は対象セグメント
について本県と協議を行い、承認を得ること。
設置場所
管理セグメント数
10/100/1000Base-T ポート数
IDC1
12 以上
8 以上
IDC2
12 以上
8 以上
オ. 内部データベースによるユーザ認証ができること。なお、ユーザの登録数は 500 以上可能であ
ること。
カ. ポリシーごとに許可・拒否のログ保存有無を設定できること。
キ. ポリシーごとにアドレス変換の有無を設定できること。なお、アドレス変換においては、1 対 1、
1 対多双方に対応していること。
ク. マルチキャストのパケットについて、通信制御できること。
ケ. 外部ファイアウォールとの統合を見越して、
仮想ファイアウォールを 2 個以上搭載できること。
コ. ブラウザにて管理コンソールにアクセスでき、特別なソフトウェアをインストールすることな
15
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
く、オブジェクトやポリシーの登録等の作業が可能であること。また、管理コンソールにアク
セスできる端末を限定できること。
2.2.2.3. セグメント構成、ルーティング設定
ア. 基本的に現行のセグメント構成を踏襲することとするが、個人番号利用事務系セグメントにつ
いては、IDC1 に移設すること。
イ. 内部ファイアウォールによるルーティングは現行システムと同様とすることを想定しているが、
より効率的なルーティングへの変更は妨げない。
ウ. 更新後であっても、ネットワーク構成の変更などにより、三重県行政 WAN 全体のルーティング
を変更することがあるが、その変更に応じて柔軟にルーティングを変更できること。
2.3. Web セキュリティシステム
2.3.1. 概要
ア. 現行の機能を引き継ぎつつ、必要な性能をもったシステムを構築する。
2.3.2. 基本要件
2.3.2.1. 機器更新
ア. Web セキュリティシステムの各機能について、それぞれ必要な機器、サービスを提供すること。
イ. 設置機器については 2 台以上の冗長構成とすること。負荷分散装置については、現行の機器を
利用することを想定しており、負荷分散装置の設定変更にかかる費用は本業務の範囲外とする。
なお、負荷分散装置の仕様は以下の通りである。
項目
負荷分散装置
メモリ
2GB
スループット
1Gbps
セッション管理方式
負荷分散方式
Cookie、送信元 IP アドレス、
SSL セッション ID 等
ラウンドロビン、最少セッション数、
最少トラフィック量等
対応プロトコル
制限なし
10/100/1000 UTP×6
インターフェイス
1000 SFP×2
ウ. Web 用ウィルスチェック機能、コンテンツフィルタリング機能については、独立した機器では
なく、UTM 機器やキャッシュサーバーの機能として提供することを前提とする。
エ. 新キャッシュサーバーにて、全てのサイトの閲覧に支障がないと認められる場合は、キャッシ
ュサーバー(副)に関しては、廃止すること。
オ. ピーク時 8,000 セッション、250Mbps 程度のアクセスに耐えられるハードウェアの性能とする
16
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
こと。
2.3.2.2. キャッシュサーバー
ア. 接続先 URL・接続元クライアント IP アドレス・User-agent などの条件をアクセスリストとし
て設定することにより、コンテンツフィルタリングを経由せずに Web アクセスを行うことがで
きること。
イ. タイムスタンプやウィンドウスケールなど、TCP オプションフィールドの設定変更が可能なこ
と。
ウ. 一度にアップロード/ダウンロードできる容量の制限が可能であること。
エ. 動画閲覧に対応していること。
オ. 現状のトラフィックを参考に、適切な性能を持った機器を選定すること。
カ. 10GB 程度のファイルを問題なくダウンロードできること。
キ. 自治体情報セキュリティクラウドの構築により、上位にプロキシサーバーが設置される予定で
あるため、XFF(X-Forwarded-for)ヘッダを追加することにより、上位プロキシサーバーにて端
末の特定を可能とすること。
2.3.2.3. Web 用ウィルスチェック
ア. Web 閲覧を行うトラフィックに対して、ウィルスチェックを行うこと。
イ. ウィルスが発見された場合は、ウィルスが発見された旨を伝えるページに置き換えるとともに、
運用管理担当者へウィルス名、該当 URL、時間等を記載したメール等により通知を行うこと。
ウ. ウィルスチェックのログに関して、1 年間以上保存すること。
エ. 上記の仕様を満たすウィルスチェックソフトの契約期間内のライセンスの確保も本業務に含む
ものとする。
2.3.2.4. コンテンツフィルタリング
ア. Web 閲覧を行うトラフィックに対して、ユーザ認証及び URL フィルタリングを行うこと。
イ. 日本国内事情を考慮したレイティング基準を用いて、URL を 70 種類以上のカテゴリに分類で
きること。
ウ. 各カテゴリに対し、
「閲覧許可」
、
「閲覧規制」
、
「書き込みのみ規制」の 3 種類の制御ができ、そ
の組み合わせを複数定義できること。
エ. ユーザをグループとして管理でき、各グループに対して前項の許可/規制の定義を適用できるこ
と。
オ. URL カテゴリデータベースは自動で更新されるよう設定を行うこと。また、特定の URL につ
いて手動にて任意のカテゴリに登録することも可能であること。
カ. URL フィルタリングによる規制を行った Web ページへのアクセスを含む任意の Web ページを
閲覧したユーザが特定できること。
キ. HTTPS の通信においてもコンテンツフィルタリングが正常に動作すること。
17
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
ク. ユーザ/グループによる制御とは別に、特定のホストもしくはネットワークから任意のホストも
しくはネットワークに対する閲覧可否を制御できること。
ケ. 上記の仕様を満たすコンテンツフィルタリングソフトの契約期間内のライセンスの確保も本業
務に含むものとする。
2.3.2.5. ユーザ認証
ア. Web 閲覧に際し、ユーザ認証が必要であること。
イ. ユーザ情報は随時 Active Directory と連携することを想定している。なお、Active Directory で
は本業務の仕様に合わせた OU やセキュリティグループの設定が可能である。
2.4. 外部メール/DNS サーバー
2.4.1. 概要
ア. 現行の設定を引き継いだうえで機器更新を行うこととするが、必要に応じて、機能の追加等の
設定変更を行う。
2.4.2. 基本要件
2.4.2.1. 機器更新
ア. IDC1 及び IDC2 の外部メール/DNS サーバーの機器更新を行うこと。
イ. 1 分間に 2,000 通のメール送受信及び 1 分間に 500 件の名前解決要求のアクセスに耐えられる
ハードウェアの性能とすること。
ウ. メール転送先となるサーバーのメンテナンス等に備えて、転送するメール 1 週間分程度をロー
カルディスクに保持できること。
2.4.2.2. メール設定
ア. インターネット/LGWAN から本県宛のメールを、別途構築しているメール用ウィルスチェック
サーバーへ転送を行うこと。また、本県から外部宛のメールを別途構築しているメール誤送信
対策サーバーから受け取り、インターネット/LGWAN へ送信すること。
イ. メールの配送方法は可用性等を考慮し、最適な設定とすること。
ウ. メールボックスは保持しないこと。
エ. RFC 非準拠のメールに対しても送受信できるよう設定を行うこと。
オ. ソフトウェアについて、セキュリティや運用を考慮したものとすること。
2.4.2.3. DNS 設定
ア. pref.mie.jp、pref.mie.lg.jp ドメインのプライマリマスタとして、外部からの要求に対して名前
解決を行うこと。ただし、再帰問い合わせは行わないこと。
イ. マスタ/スレーブの設定は可用性等を考慮し、最適な設定とすること。
ウ. ソフトウェアについて、セキュリティや運用を考慮したものとすること。
18
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
2.5. 内部 DNS サーバー
2.5.1. 概要
ア. 現行の設定を引き継いだうえで機器更新を行うこととするが、必要に応じて、機能の追加等の
設定変更を行う。
2.5.2. 基本要件
2.5.2.1. 機器更新
ア. IDC1 及び IDC2 の内部 DNS サーバーの機器更新を行うこと。
イ. 1 分間に 5,000 件の名前解決要求のアクセスに耐えられるハードウェアの性能とすること。
2.5.2.2. DNS 設定
ア. pref.mie.jp、pref.mie.lg.jp ドメインのプライマリマスタとして、行政 WAN 内部からの要求に
対して名前解決を行うこと。
イ. 自身で管理しているドメイン以外は再帰呼び出しを行い、名前解決を行うこと。
ウ. マスタ/スレーブの設定は可用性等を考慮し、最適な設定とすること。
エ. ソフトウェアについて、セキュリティや運用を考慮したものとすること。
2.6. ログ保存
2.6.1. 概要
ア. 各機器にて記録されるログを保存し、必要に応じて確認できる仕組みを構築する。
2.6.2. ログ保存対象
ア. 本システムにて導入する全ての機器を対象とする。
2.6.3. ログ保存方法
2.6.3.1. 共通
ア. 各サーバー/システムにて記録されるログについては、共通のログ保存サーバーへの保存もしく
は、個別のサーバー/システムでの保存を行うものとする。
イ. コンテンツフィルタリングについては過去 3 か月分、その他のログについては過去 1 年分の任
意のログをサーバー内に保存し、簡単なオペレーションにて確認できるようにすること。
ウ. 運用期間中のログをバックアップメディア等に保存すること。バックアップメディア等のログ
はログ保存サーバー等にインポートすることで、簡単なオペレーションにて確認できるように
すること。また、バックアップしたログデータはテキストや CSV 等、汎用的に読み取りが可能
な形式とすること。
エ. 本業務終了時に各サーバー/システムにて保持している全てのログデータをテキストや CSV 等、
汎用的に読み取ることができる形式にて出力すること。なお、その際、個別のファイルは圧縮
19
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
されていてもよい。
2.6.3.2. ファイアウォール
ア. 通信を遮断した全てのログ、及び本県が指定する通信を許可したログを保存すること。ログに
は日時、発信元/発信先 IP アドレス及びポート、許可・拒否の種別等を記録すること。
2.6.3.3. Web セキュリティシステム
ア. Web 閲覧を行ったログを保存すること。ログには日時、ユーザ ID、クライアント IP アドレス、
宛先 URL、カテゴリ、閲覧可否結果、ダウンロード/アップロードサイズ等を記録すること。
イ. Web 閲覧のログについて、毎日ユーザ別、カテゴリ別等のヒット数を集計したうえで、集計結
果について、任意のユーザにメールにて送付できること。
2.6.3.4. 外部メール/DNS サーバー
ア. メール転送を行ったログを保存すること。ログには日時、送信元アドレス、送信先アドレス、
転送先メールサーバー、ファイルサイズ、転送結果等を記録すること。
イ. 必要に応じて、名前解決を行ったログを保存すること。ログには日時、クライアント IP アドレ
ス、名前解決を行った URL 等を記録すること。
2.6.3.5. 内部 DNS サーバー
ア. 必要に応じて、名前解決を行ったログを保存すること。ログには日時、クライアント IP アドレ
ス、名前解決を行った URL 等を記録すること。
2.7. 障害監視
2.7.1. 概要
ア. 現行システム同様に、本県にて NTT 製 crane を用いて別途構築した障害監視システムを利用す
る。
2.7.2. 障害監視対象
ア. 本システムにて導入する全ての機器を対象とする。
2.7.3. サーバーの設定
ア. 本システムにて導入する全サーバーについて、必要となる crane のエージェントを導入するよ
うサーバーの設定を行うこと。なお、crane のライセンス調達は本業務の範囲外とする。
なお、障害監視システムは、本県が別途運用を委託している業者(以下、「障害監視システ
ム運用業者」という。)が運用しているため、サーバーの設定は本県及び障害監視システム
運用業者と調整のうえ行うこと。
20
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
2.7.4. 監視項目
以下のような項目を監視することを想定している。
ア. ネットワーク障害
イ. サービス稼働
ウ. OS パフォーマンス
エ. 異常な挙動を示すログ
オ. バックアップ状況
2.8. NTP
ア. 更新対象の機器で NTP サーバーとして稼動している機器は、現行の設定を引き継ぐこと。
イ. 外部メール/DNS サーバー、内部 DNS サーバーは設置されているセグメント内の NTP サーバ
ーとして、他の機器からのリクエストに応答すること。
2.9. バックアップ
ア. システム障害等に備え、データのバックアップを取得すること。
イ. バックアップは自動で取得するよう設定を行うこと。なお、バックアップはサービスを停止せ
ずに行うものとし、さらに業務に影響のない夜間に行うこと。
ウ. ハードディスク内でのローテーションやテープメディア等へのローテーションを実施し、契約
期間内のログを保存できるようすること。
エ. ハードディスク障害に備えて、必要に応じてテープメディア等、外部媒体へのバックアップを
行うこと。
2.10. 電源管理
ア. その他、必要となる機器の納入及び設定を行うこと。
2.11. 運用監理端末
ア. システムの各機器の運用管理用として、運用管理端末(ノートパソコン)を 2 台設置すること。な
お、設置場所については、本県と協議のうえ決定する。
イ. 運用管理端末について、各機器の管理を行うにあたり十分な性能を持ったものとするが、機器
のサイズ等は以下のとおりとする。
項目
機能
形態
A4 ファイルサイズノートパソコン
OS
Windows 7 Professional もしくは Windows 10 Pro
光学ドライブ
DVD-RW ドライブ
LAN I/F
1000/100/10Base-T
※ 無線 LAN モジュールを搭載しないこと
21
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
3. 機器設置・移行要件
3.1. 基本的な考え方
ア. 現行システムから本システムへの更新に必要なすべての工程及び作業を本調達の業務範囲とす
る。また、本システムへの更新に伴い、現行システムにおいて再インストール等大幅な設定変
更が発生する場合、その設定作業についても本調達の業務範囲とする。
イ. 平成 28 年 12 月 31 日までに全ての更新作業を完了させること。
ウ. 更新を進めていくうえで必要となる関係部局、関係機関との調整用資料等を作成し、必要に応
じて打合せ等に出席すること。
エ. 必要に応じ、本県に関わる SI 業者、ネットワーク業者、ハードウェア業者、現行システム及び、
その他関連するシステムの委託業者もしくは保守業者等と調整、確認を行うこと。
オ. 本業務での更新対象外機器と更新対象機器間の接続において、更新対象外機器において大規模
な設定変更等が生じる場合は、本仕様書にて本業務の範囲外と記載されている場合を除き、そ
の作業費用を負担すること。
3.2. 機器設置
ア. 機器の導入にあたり、各機器の搬入、設置、設定作業は基本的にすべて受託事業者が行うこと。
イ. 運用管理端末を除き、本県が指定する 19 インチラックに搭載すること。
ウ. サーバーのディスプレイ、キーボード、マウスに関しては KVM スイッチを用意し複数サーバー
間で共用するなどの省スペースに配慮した構成とすること。
エ. ラックに機器をマウントする際には、空調・ファンの稼動など、ラック内の温度に考慮した設
置を行うこと。
オ. ラックの設置位置においては、ブランクパネル等を使用し通気通路を考慮すること。
カ. ラックにマウントできない機器に関しては耐震バンド等により耐震・免震を施すこと。
キ. 機器・ラック・分電盤・電源ケーブル・通信ケーブルにラベル表記すること。
ク. 通信ケーブルに負荷の掛からないケーブリングを施すこと。
ケ. 各機器を設置場所へ直接納入し、本県指定のラックに収納し、設定作業及びソフトウェアのイ
ンストール作業を行うこと。
コ. 設置場所への納入及び設置作業、配線作業ならびにネットワークへの接続作業の実施において
は、必要に応じて実施日時を本県と調整すること。また、搬入時は本県が別途指示する搬入口
及びエレベータを使用し、設備、器物破損を防止するための措置を講じること。
サ. 機器の納入を円滑に進めるため、本県に事前に説明し、協議のうえ本県の指示に従い実施する
こと。
3.3. ハウジング
ア. IDC1、IDC2 それぞれにおいて、本県にてラックスペース、電力を準備する。ラック構成及び
利用可能電源容量は別紙 3 のとおりであり、別紙 3 の空きスペースもしくは現行システム設置
スペースが本システムにて利用できるラックスペースとなる。なお、本県準備分以上のラック
22
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
スペース、電力が必要となる場合は本業務の範囲内で受託者にて費用を負担すること。
イ. 内部ファイアウォールは現行機器が搭載されているラックと同一ラックに搭載すること。ただ
し、移行時の仮設置にあたっては他ラックへの設置も可とする。
ウ. 本システムにて設置される全ての機器は、IDC1、IDC2 それぞれのラック A に設置されている
L2/L3 スイッチに接続するものとする。
エ. 入力電圧は 100V とする。
オ. ラックの規格 は IDC1: H2,000mm× W700mm× D1,000mm(42U)、IDC2 :H2,000mm×
W700mm×D900mm(41U)である。
カ. ラック間の配線は、データセンター事業者が有償で行うが、その作業費用は本業務の対象外と
する。ただし、移行時の仮設置にあたり、既設のラック間配線数を超えて必要となる場合は受
託者にて配線費用を負担すること。なお、ラック間の配線は、申請から実施まで 2 週間程度を
要するため、余裕をもって設置計画を立てること。また、移行時の仮設置にあたってはラック
間配線数を節減するため、一時的にスイッチ等の機器を設置してもよい。
空き配線数
流用可能配線数
1
2
IDC1(ラック A・ラック B 間)
※ 空き配線数は現在、利用可能である配線数、流用可能配線数は更新対象機器が利用して
おり、更新に合わせて利用可能となる配線数である。
3.4. 移行対象
ア. ファイアウォールのポリシー、オブジェクト、外部メールの振り分け設定等、各サーバー/シス
テムの動作に必要となる全ての設定情報を移行すること。その際、オブジェクトグループ等の
最適化を行ってもよい。
イ. 外部メール/DNS サーバーの再試行キューに保存されているメールデータについては、移行の必
要性を検討し、必要なデータは移行すること。
3.5. 移行方法
ア. 移行作業は閉庁日前日の夜間を基本とすること。ただし、可用性やパフォーマンスに影響がな
いと認められる場合は平日日勤帯等での作業も可とする場合があるが、本県の承認を必須とす
る。なお、切り戻しの可能性を踏まえ、余裕を持ったスケジュールとすること。
イ. 移行にあたっては、IDC1、IDC2 を順次切り替えることにより、業務系とインターネット等と
の通信停止を伴わない移行を想定している。切り替え時、IDC 間の通信を制御するために業務
系や Proxy セグメントのルーティングを変更する必要がある場合の設定変更は本業務の範囲外
とする。
ウ. やむを得ずサービス停止を伴う作業を行う場合は、サービス停止時間を極力短縮するよう努め
ること。
エ. 本番稼動前に、機器に関する事前テストを実施すること。テスト項目及びテスト結果について
本県の承認を得ること。
23
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
オ. 移行作業は、機器設置場所内での作業とし、外部へデータの持ち出しは不可とする。
カ. データ移行において必要となる現行システムに関する調査、現行システムの保守業者等との調
整、移行の際に必要となるシステムの設計・開発、移行実施等の作業を本調達の業務範囲とす
る。なお、データ移行に際し全てのデータを移行する事を前提とするが、詳細について本県と
十分協議の上、決定し、移行を行うこと。
キ. 移行に関して必要となる機器及び媒体等の取得については本調達の契約範囲とする。
ク. データ移行作業にあたっては、本番環境の利用も可とするが、現行システム、各種テストに支
障がないようにすること。
ケ. 移行にあたっては事前にバックアップを取得することとし、また、万一に備え必ず切り戻しが
可能であることを前提とした移行方法を採用すること。
コ. 移行作業に伴い使用するバックアップ媒体について、移行作業終了後に必要となる媒体は書込
み禁止処置を行い、機器設置場所内に保管すること。移行完了により不要となる媒体はデータ
の消去を行い、物理的に破壊すること。
サ. 移行時のみ一時的に利用する機器がある場合、該当機器は納入物品から除くものとし、新品で
ある必要はないものとする。ただし、可用性の低下が起こらないよう、故障等の対応について
本県に説明し、承認を得た場合に限るものとする。
24
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
4. 研修・説明会等にかかる要件
4.1. 基本的な考え方
ア. 本システムにおいては、運用管理業務を運用管理担当者が行うことを前提としている。そのた
め、システム移行時に運用管理担当者に対する研修を行うこと。なお、本番環境の運用が運用
管理担当者に引き継がれるまでの期間における運用管理業務は全て受託事業者にて行うこと。
4.2. 運用管理担当者に対する教育
ア. 本システムについての運用管理担当者に対する操作マニュアルを作成し、稼動前及び稼動後に
本県、及び、運用管理担当者に対する運用業務についての説明、及び、各機器の操作教育を行
うこと。
4.3. 運用管理担当者に対する再教育
ア. 運用管理担当者が変更となった場合、再研修を契約期間内に 2 回を限度として実施すること。
その際には、本県担当者に対しても同様の研修を行うこと。
4.4. 利用者向けマニュアルの作成
ア. 本県としては、移行に際し利用者の端末操作が極力必要のない運用形態を前提としているが、
ウェブ閲覧方式の変更等、利用者への影響が発生する場合は、利用者が容易に作業できるよう
マニュアルを作成すること。また、利用者にて必要となる端末操作及びマニュアルの内容につ
いて、本県及び運用管理担当者へ説明を行うこと。
25
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
5. システム運用保守要件
5.1. 基本的な考え方
ア. 運用保守に必要なハードウェア、ソフトウェア等の準備は全て本調達の契約範囲とする。
イ. 各サーバーは行政 WAN 内の特定の管理端末から操作することを前提とする。
ウ. 契約期間中にハードウェア、ソフトウェアのサポートが終了する場合、速やかに代替機、バー
ジョンアップ版ソフトウェアの取得を行い、継続してサポートが受けられるように対応を行う
こと。また、その際に発生する全ての作業については本調達の契約範囲とする。
エ. システム安定稼働後は、システム運用を運用管理担当者が行う。そのため、システム運用開始
までに受託事業者はマニュアル等を整備し、運用管理担当者に業務の引き継ぎを行うこと。
オ. 障害及び復旧作業により業務への影響が考えられる場合、速やかに関係者へ連絡を行うこと。
カ. 機器保守に必要な体制を整えること。なお、保守を行う機器の範囲は、納入した全ての機器と
する。
5.2. システム運用
5.2.1. 受託事業者の業務範囲
システム運用における受託事業者と運用管理担当者の業務分担は以下のとおりとする。
作業内容
受託事業者
日常の設定変更
運用管理担当者
○
日常運用業務に対する支援
○
管理セグメントの変更
○
バックアップテープ交換
○
データバックアップ、リストア
○
定期リブート
○
稼働監視
○
性能・構成管理
○
ログ管理
○
パッチによる影響等の情報提供
○
パッチインストール
○(FW のみ)
バージョンアップによる影響等の情報提供
○
バージョンアップ作業
○
障害一時切り分け
○(FW 以外)
○
障害対応
○
障害後予防措置・是正措置
○
運用マニュアルの改訂
○
26
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
5.2.2. 運用管理担当者が行うもの
以下の業務については、運用管理担当者が行うことを想定しているが、そのマニュアルにつ
いては受託事業者にて作成し、運用管理担当者に業務の説明を行うこと。
また、運用期間中において、運用管理担当者の技術支援を行うこと。
ア. 日常の設定作業
ファイアウォールのオブジェクト・ルールの変更、フィルタリングを行うカテゴリの変更、
アカウントの登録、削除等、運用マニュアルに基づき日常の設定作業を行う。
イ. バックアップテープ交換、管理
バックアップにテープを利用する場合、必要に応じてバックアップテープ交換を行う。
また、バックアップテープの管理を行う。
ウ. データバックアップ・リストア
システムに変更を加える際にデータのフルバックアップを取得する。
また、必要に応じてデータのリストアを行う。
エ. 定期リブート
必要に応じてサーバーをリブートする。
オ. 稼働監視
障害監視システムにより、各サーバーの死活監視及びリソース監視を行う。
カ. 性能・構成管理
各機器のリソースについて、不足がないか定期的にチェックを行う。
また、本システムにて導入される、ハードウェア及びソフトウェアの構成を管理する。
キ. ログ管理
各種ログについて異常がないかチェックする。
ク. パッチインストール
受託事業者により本システムへの影響がないと判断されたパッチのインストールを行う。
ただし、ファイアウォール以外の機器を対象とする。
ケ. 障害一時切り分け
障害が発生した場合、運用マニュアルに基づき、障害の一時切り分けを行う。
5.2.3. 受託事業者が行うもの
5.2.3.1. 日常運用業務に対する支援、提案
ア. 運用管理担当者による本システムの運用業務全般を実施するための技術支援を行うこと。定常
運用に伴う技術支援も範囲とする。
イ. 必要に応じて性能を改善するための計画策定・対策を立案し、本県と協議のうえ対策方法の提
案を行うこと。また、運用を効率的に行うためのスクリプト等の作成の支援を行うこと。
ウ. 運用管理担当者が各種報告を行うための支援を行うこと。
27
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
5.2.3.2. 管理セグメントの変更
ア. ネットワーク構成の変更を行う場合など、内部ファイアウォールにて管理するセグメントの追
加、変更、削除作業を行うこと。
イ. 上記変更作業に応じて必要なルーティング、フィルタリング設定を行うこと。
5.2.3.3. パッチによる影響等の情報提供
ア. 本システムで使用するソフトウェア製品に関するバグフィックス、セキュリティ対応等のパッ
チがリリースされた場合、速やかにその内容の調査を行い、適用の可否を本県に報告すること。
また、適用できない場合は、適用するためのシステム改修の内容を本県に報告すること。なお、
パッチリリースから情報の提供までの期間は 1 週間以内とする。
イ. 本システムに影響を及ぼす恐れのあるパッチの提供がある場合、運用管理担当者が影響の有無
についての確認作業を短時間に行えるように支援を行うこと。もしくは受託事業者がパッチ適
用に立ち会い、本システムへの影響の有無を確認すること。
ウ. パッチ適用による障害が発生した場合は、受託事業者にて障害対応を行うこと。
5.2.3.4. パッチインストール
ア. 受託事業者により本システムへの影響がないと判断されたパッチのインストールを行う。原則
ファイアウォールのみを対象とするが、それ以外の機器であっても大規模なパッチのインスト
ール時等、必要に応じて作業を行うこと。
5.2.3.5. バージョンアップによる影響等の情報提供
ア. 本システムで使用するすべてのソフトウェア製品のバージョンアップ製品がリリースされた場
合、その内容の調査、本システムに対する影響の調査、適用の検討、本システムの改修が必要
な場合はその内容に係る情報の提供を行うこと。
5.2.3.6. バージョンアップ作業
ア. 契約期間中に本システムで利用しているソフトウェアのバージョンのサポートが終了する場合、
速やかにバージョンアップ版ソフトウェアの取得を行い、継続してサポートが受けられるよう
に対応を行うこと。その際に発生する全ての作業については本調達の契約範囲とする。
イ. サポートが終了となるソフトウェアのバージョンアップに伴い、他のソフトウェアのバージョ
ンアップが必要となる場合は、そのソフトウェアのバージョンアップ版の取得及びバージョン
アップ作業も本調達の契約範囲とする。
ウ. なお、ソフトウェア製品に対してパッチが適用されない、または、セキュリティホールの有無
をそのソフトウェア開発業者が確認しなくなった時点でサポートの終了とする。
5.2.3.7. 障害対応
ア. 運用管理担当者にて障害の発生原因の切り分けが困難である場合は、本県もしくは運用管理担
28
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
当者からの連絡に基づき、障害の切り分け支援を行うこと。
イ. 障害発生拠点へ駆けつけ、不良部位の切り分け及び修理・修正・交換を行うこと。
ウ. 障害によりソフトウェア、データが破損した場合、バックアップデータ等より速やかに復旧を
行うこと。また、必要に応じて、システムの再セットアップを行うこと。
5.2.3.8. 障害後是正措置・予防措置
ア. 障害が発生した場合、障害に関する情報を収集したうえで、その障害情報をもとに原因を分析
し、同様の障害が発生しないように是正措置・予防措置を講じること。また、直ちに障害原因
が判明しない場合は、本県の了承を得たうえで、継続して調査を行い、障害原因の特定に努め
ること。
イ. 障害情報、是正措置・予防措置の内容は障害記録として体系的に記録し、常に活用できるよう
に保存すること。
5.2.3.9. 運用マニュアルの改訂
ア. 運用作業により、ドキュメント等の修正が発生した場合には履歴管理を行った上で速やかに各
種ドキュメントを修正すること。尚、ドキュメントの修正にあたっては本県へ説明を行った上
で、承認を受けること。
5.3. 保守体制
5.3.1. 保守対応時間
ア. Web セキュリティシステムの保守対応時間は開庁日の 7 時 30 分から 20 時までとする。ただし、
システム機能の停止を伴う障害時は、原則として上記以外の時間帯でも対応することとするが、
本県が承認した場合はこの限りではない。
イ. Web セキュリティシステム以外のサブシステムの保守対応時間は 365 日 24 時間とする。ただ
し、個別の障害事象により本県が承認した場合にはこの限りではない。
ウ. メール及び電話による障害連絡を 24 時間受け入れられることとし、保守対応時間外に障害が発
生した場合は、翌開庁日の 7 時 30 分より対応を行う体制をとること。
5.3.2. 障害対応要件
ア. 保守対応時間内において、対応依頼から初期対応を開始するまでの時間を、概ね 30 分以内とす
ること。ただし、大規模災害発生時はこの限りではない。なお初期対応とは、障害発生箇所・
原因の確認作業への着手、本県などの関係者への連絡等を指す。
イ. 駆けつける必要があると判断してから、駆けつけ完了までの時間を開庁日の 7 時 30 分から 20
時までは 2 時間以内、上記以外の時間帯は 4 時間以内とすること。ただし、大規模災害発生時
はこの限りではない。
ウ. 復旧方法が明らかになり、かつ復旧作業が必要な場所へ到着してから、復旧するまでを概ね 2 時
間以内とすること。また、2 時間以内の復旧が困難と判明した場合は、2 時間以内に進捗状況
29
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
と以降の対応スケジュールを報告すること。ただし、大規模災害発生時はこの限りではない。
エ. 障害箇所が冗長化されておりシステム機能が停止していない場合、障害対応は開庁日の 8 時か
ら 18 時以外の時間帯に行うこと。ただし、システム機能を停止させずに障害対応が可能な場合
は、本県の承認を受けた上で実施すること。
5.3.3. 保守部品・消耗品
ア. オンサイトでの保守対応が不可能な部位がある場合については、予備品の保有等により迅速な
復旧を実現すること。
イ. 保守部品(付属品、ソフトウェアを含む。)を常時保有するとともに、契約期間における供給が
可能なこと。
ウ. 製造会社のサポートやサービスの終了(EOSL:End of Service Life)等により前項の対応がで
きなくなった場合は、同等以上の性能を持った代替品等による提供も可とする。その場合、そ
れぞれの機器が EOSL を迎える前に、本県に代替品の承認を受けること。
エ. バックアップ及びクリーニングに必要な媒体については、契約期間内において必要な量を見積
り、納入すること。
5.4. 運用期間中に予定されている設定変更への対応
ア. 運用期間中に以下のとおり大きな設定変更が予定されているため、それぞれについて必要な対
応を行うこと。
5.4.1. 自治体情報セキュリティクラウドへの対応
5.4.1.1. 概要
ア. 自治体情報セキュリティクラウドへの接続を予定しているため、その際に必要な設定変更等の
作業を行うこと。
5.4.1.2. 想定される作業
ア. Web セキュリティシステムにおいて、自治体情報セキュリティクラウドと機能が重複する場合、
必要に応じて該当機能を解除するよう設定変更を行う。
イ. 外部メール/DNS サーバーのメール送受信機能において、インターネット向けのメールを自治体
情報セキュリティクラウド上のメールサーバーと送受信するよう設定変更を行う。
ウ. 外部メール/DNS サーバーの DNS 機能において、プライマリとして管理しているゾーン情報を
自治体情報セキュリティクラウド上の DNS サーバーに転送するよう設定変更を行う。
エ. 内部 DNS サーバーにおいて、再起呼び出しを行う場合、自治体情報セキュリティクラウド上の
DNS サーバーに問い合わせを行うよう設定変更を行う。
オ. NTP の時刻同期元をセキュリティクラウド上の NTP サーバーとするよう設定変更を行う。
30
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
5.4.2. ネットワーク強靭化への対応
5.4.2.1. 概要
ア. ネットワーク強靭化としてインターネット接続環境の分離を予定しているため、その際に必要
な設定変更等の作業を行うこと。
5.4.2.2. 想定される作業
ア. 内部ファイアウォールにてインターネット接続環境用のセグメントを新設し、必要なルーティ
ング、フィルタリングを行う。
イ. Web セキュリティシステムにおいて、上位プロキシサーバーに対応するため、XFF ヘッダを追
加する。また、必要に応じて設置セグメントの変更を行う。
5.4.3. 外部ファイアウォール統合への対応
5.4.3.1. 概要
ア. 現在、別途運用している外部ファイアウォールについて、その運用保守終了に伴い、内部ファ
イアウォールと統合することを予定しているため、その際に必要となる設定変更等の作業を行
うこと。
5.4.3.2. 想定される作業
ア. 外部ファイアウォールにて管理している各セグメント及び該当するオブジェクト、ポリシーを
内部ファイアウォールに移行する。その際、複数の仮想ファイアウォールが必要となる場合は、
そのライセンス確保も本調達の範囲とする。
31
三重県行政 WAN 内部ファイアウォール等更新・運用保守業務 詳細仕様書
6. 業務終了時にかかる作業要件
6.1. 基本的な考え方
ア. 本業務終了にあたり、次期システムへの更新のために必要となる情報の抽出、機器の撤去等の
作業を行う。
6.2. 情報抽出
6.2.1. 設定情報
ア. 各機能の設定情報(接続を許可する端末に関する情報、利用を許可する媒体に関する情報等、
随時変更され設計書等に記載のない内容を含む)について、提供を行うこと。なお、抽出する
形式や内容等については、システム運用期間中に協議のうえ決定する。
6.2.2. ログ情報
ア. 各機能のログ情報について、汎用的な形式(XML、CSV などのテキストファイルを想定)で抽
出すること。なお、抽出する形式や内容等については、システム運用期間中に協議のうえ決定
する。
6.2.3. その他
ア. その他、必要に応じて、次期システムへの移行にあたり必要となる情報の提供を行うこと。
6.3. 機器撤去
ア. 本業務で導入した機器等のうち、次期システムで継続使用しない機器について、本システム運
用終了後(本業務期間内)に撤去を行うこと。
イ. 機器等の撤去にあたっては、機器等に保存された情報が復元できないよう消去すること。
32