資料2 沖縄県情報セキュリティクラウド 提供設備および運用サービス 仕様書(案) 平成28年5月 沖縄県企画部 総合情報政策課 目 次 1 はじめに ..................................................................................... 1 2 構築方針 ..................................................................................... 2 (1) 整備期間................................................................................................................2 (2) (3) (4) (5) 県市町村の移行準備期間 .................................................................................2 サービス提供期間 .................................................................................................2 業務範囲概要 .......................................................................................................2 完成図書................................................................................................................3 3 基本要件(前提条件等) ............................................................ 5 (1) 沖縄情報 SC の利用者数等 ..............................................................................5 4 機能要件 ..................................................................................... 6 (1) プロキシサーバ(インターネット閲覧用) .............................................................6 (2) メールリレーサーバ ................................................................................................7 (3) Web サーバ(ホームページ公開用) .....................................................................8 (4) その他機能 ............................................................................................................9 5 構築作業に関する要件 .............................................................. 13 (1) (2) (3) (4) (5) (6) インターネット接続環境の集約方法 ............................................................... 13 プロキシサーバ(インターネット閲覧用)の集約方法..................................... 14 メールリレーサーバの集約方法 ........................................................................ 15 Web サーバ(ホームページ公開用)の集約方法 ............................................ 16 ファイル無害化機能サービスとの連携 ........................................................... 18 セキュアインターネット閲覧機能との連携 ...................................................... 18 6 データセンター、ネットワークに係る要件 .............................. 19 (1) (2) (3) (4) データセンター .................................................................................................... 19 機器構成............................................................................................................. 19 ネットワーク ......................................................................................................... 19 大規模災害対策(BCP) ................................................................................... 20 ii 7 セキュリティ監視・分析サービスの要件.................................. 23 (1) (2) (3) (4) セキュリティ監視・分析の対象機器・機能 ...................................................... 23 沖縄情報 SC の機器・機能のセキュリティ監視・分析 .................................. 23 県市町村の LGWAN 接続ファイアウォールのセキュリティ監視・分析 ........ 24 セキュリティインシデントの通知・対応 ............................................................. 24 8 機器の保守要件 ........................................................................ 26 (1) 機器の保守要件 ................................................................................................ 26 9 運用・保守サービスの要件 ....................................................... 27 (1) ヘルプデスク業務 .............................................................................................. 27 (2) 運用管理業務 .................................................................................................... 27 (3) 保守業務............................................................................................................. 29 (4) IT サービス管理................................................................................................... 30 iii 1 はじめに 沖縄県では、現在各自治体が個別に設置しているWebサーバ等の監視対象を県 と市町村が協力して集約し、監視およびログ分析・解析をはじめ高度なセキュリテ ィ対策を実施する自治体情報セキュリティクラウド(以下、「沖縄県情報セキュリ ティクラウド」という)を構築します。 本資料は、沖縄県情報セキュリティクラウドを整備するにあたって必要となる機 能、機器、運用サービス等をまとめた資料であり、本内容にて、調達を行うものと します。 1 2 構築方針 (1) 整備期間 協定締結の日~平成29年3月31日 (2) 県市町村の移行準備期間 平成29年2月1日~平成29年3月31日 (3) サービス提供期間 平成29年4月1日~平成34年3月31日 (4) 業務範囲概要 ア 沖縄情報 SC の整備 ・ 事前に県市町村等と連絡、協議、スケジュールの調整を行い、セキュリティ クラウドの整備を行うこと。 ・ 沖縄情報 SC の機能要件上必要と思われる機器・ソフトウェアを準備するこ と。 ・ 構成については、障害等にあたって Web アクセス、Web 公開、メール送受 信にかかる基本機能の維持・縮退運転ができ、必要部分については、適切な 冗長構成、負荷分散が可能であること。 ・ 沖縄情報 SC の設計、構築、試験等必要と思われる業務を全て実施すること。 ・ 別途オプション等により調達するファイル無害化処理サービスは、ASP サー ビスとして利用することを想定している。沖縄情報 SC の本体整備において は以下の対応を行うこと。 ・沖縄情報 SC がファイル無害化サービスとインターネット VPN 接続する ための VPN 装置(沖縄情報 SC 側に設置する VPN 装置。ファイル無害化 サービス側の VPN 装置はファイル無害化サービスの提供事業者が準備 する。 )準備し、設定すること。 ・ファイル無害化サービスとメール中継が行えるように沖縄情報 SC のメ ールシステムを構築すること。 2 ・ 別途調達するセキュアインターネット閲覧機能は、セキュアインターネット 閲覧機能の機器等が沖縄情報 SC のデータセンターに設置され、沖縄情報 SC から ASP サービスとして利用することを想定している。沖縄情報 SC の本体 整備においては以下の対応を行うこと。 ・セキュアインターネット閲覧機能が沖縄情報 SC にネットワーク接続が 行えるように必要なネットワーク機器のポートを準備すること。また、 相互通信が行えるように沖縄情報 SC 側ネットワーク機器の必要な設 定を行うこと。 ・沖縄情報 SC おいて、県市町村からセキュアインターネット閲覧機能へ 通信とセキュアインターネット閲覧機能からインターネットへの通信 が行えるように沖縄情報 SC のネットワーク設定を行うこと。 イ 沖縄情報 SC の移行作業 ・ 県市町村へ移行説明会を開催し、沖縄情報 SC との接続方法、移行スケジュ ール等について説明を行うこと。 ・ 県市町村側設備に係る設定について、県市町村の職員及び関係事業者からの 問合せに対応すること。 ・ 県市町村側 VPN 装置の通信試験および機能利用の確認試験を支援すること。 ウ 沖縄情報 SC のサービス提供・保守等 ・ 沖縄情報 SC を構成するシステム機器、データセンター等のシステム運用保 守を行うこと。 ・ 専門アナリストによる高度なセキュリティ運用監視、ログ解析および復旧支 援を行うこと。 (5) 完成図書 以下の書類を、指定された期日までに、紙および電子媒体(CD-R 等)を作成し、 本県に対して十分な説明を行い、内容の承認を得てから納品すること。 ア システム構築 項番 提出書類・成果物 時期 媒体 1 実施計画書 業務着手時 紙・電子 2 システム設計書 構築完了時 紙・電子 3 3 試験仕様書・試験成績書 構築完了時 紙・電子 4 移行計画書・移行報告書 構築完了時 紙・電子 5 議事録 構築完了時 紙・電子 6 その他本県が指示する書類 随時 紙・電子 時期 媒体 イ システム運用保守 項番 提出書類・成果物 1 運用保守計画書 業務着手時 紙・電子 2 保守体制図 業務着手時 紙・電子 3 運用保守マニュアル 業務着手時 紙・電子 4 定期報告資料 月次 紙・電子 5 保守作業報告書 随時 紙・電子 6 議事録 随時 紙・電子 7 運用終了直後のバックアップデータ 業務完了時 紙・電子 8 その他本県が指示する書類 随時 紙・電子 提出書類・成果物 時期 媒体 ウ その他 項番 1 再委託届 業務着手時 紙・電子 2 業務完了届 業務完了時 紙・電子 3 その他本県が指示する書類 随時 紙・電子 4 3 基本要件(前提条件等) (1) 沖縄情報 SC の利用者数等 ・沖縄情報 SC に参加する団体 沖縄県、県内全市町村 計 42 団体 ・利用予定利用者数 ○○ユーザー ・利用予定端末数 ○○端末 ・メールアカウント数 ○○ユーザー ・メール件数(月平均・月ピーク) ○○通(沖縄県、県内市町村 計42団体の合計数) 5 4 機能要件 (1) プロキシサーバ(インターネット閲覧用) ① ファイアウォール · インターネットと沖縄情報 SC 内部のネットワークを分離すること。 · インターネットとの通信について、通信許可/拒絶のルールに基づき、通信 パケットの転送、破棄等を行うこと。 · 通信許可/拒絶のルールは県市町村で共通のルールを使用すること。 ② IDS・IPS · 不正なパケットを検知した場合にその通信を自動的に遮断すること。 · 攻撃検知時に実際の攻撃パケットをキャプチャーすること。 ③ Web ウイルスチェック · Web 閲覧時に侵入を図るウイルスを検知し駆除すること。 · 閲覧するページ内の HTML、画像、ファイルについて、ウイルススキャンを行 うこと。 · ウイルスを検知した場合、閲覧者には画面上で通知すること。 ④ 振る舞い検知 · Web の閲覧時に未知のマルウェアを検知すること。 · 仮想環境を複数個、同時に並列動作させて解析を迅速に行うこと。 · 複数のバージョンの OS を用いて解析すること。 · 外部と通信することなくマルウェアを解析すること。 · 検知したマルウェアを解析し、接続しうる C&C サーバ(攻撃を指令するサー バ)の URL 情報を取得すること。 · マルウェアを検出した場合は、指定したアドレスに検知した情報をメールで 通知すること。 · 解析対象のファイルが解析環境の OS 上で実施した変更履歴(レジストリ、 6 API Call、ファイル操作など)を、全て画面上で確認することができること。 ⑤ Web フィルタリング · 業務との関連性が低い Web ページへの接続を制限すること。 · Web サイトがブロックされた際に、アクセスしたユーザーへ警告画面を表示 すること。 · URL を指定したアクセス制御を行うこと。沖縄情報 SC 内のプロキシサーバで のURLフィルタリングは県市町村で共通の最低限のルールの範囲で設定 すること。 · 県市町村毎の詳細な URL フィルタリングについては、従来どおり県市町村の プロキシの URL フィルタリング機能を活用し、県市町村で実施する。 ⑥ プロキシ · 県市町村の各端末の代理でプロキシにてインターネットとのデータ送受信 を行うこと。 · 県市町村のプロキシで HTTP ヘッダ領域の送信元 IP アドレス情報を設定する。 また、インシデント発生時に沖縄情報 SC のプロキシ機能にて端末 IP アドレ スを特定し、該当の県市町村にインシデント発生の元となった端末 IP アド レスを通知すること。 · セキュリティを考慮し、 沖縄情報 SC からインターネットへ通信を行う際は、 HTTP ヘッダ領域の送信元 IP アドレス情報を削除すること。 (2) メールリレーサーバ ① メールウイルスチェック · メールウィルス検査を行い、ウイルス検査に合格したメールだけを送受信す ること。 · メール本文、本文の HTML、画像、添付ファイルについて、ウイルススキャン を行うこと。 · ウイルスを検知したメール・添付ファイルを一定期間保管し、管理者が取得 することができること。 · ウイルスを検知した場合、受信者等のメールアドレスへ通知すること。 7 · インバウンド方向のメールを検査すること。 ② スパムチェック · 業務に不要な広告メール等を検知し遮断すること。 · 定義ファイル、URL フィルター等により、迷惑メールを検知、隔離すること。 · 県市町村共通の迷惑メールフィルタリングを設定すること。 · 迷惑メールとして検知したメールについて、一定期間留保し、留保中のメー ルに関して留保解除が可能であること。 ③ 振る舞い検知 · メールにおける未知のマルウェアを検知すること。 · ZIP 等の圧縮形式の添付ファイルについても検査を行うこと。 · 仮想環境を複数個、同時に並列動作させて解析を迅速に行うこと。 · 複数のバージョンの OS を用いて解析すること。 · 外部と通信することなくマルウェアを解析すること。 · 検知したマルウェアを解析し、接続しうる C&C サーバ(攻撃を指令するサー バ)の URL 情報を取得すること。 · マルウェアを検出した場合は、指定したアドレスに検知した情報をメールで 通知すること。 · 解析対象のファイルが解析環境の OS 上で実施した変更履歴(レジストリ、 API Call、ファイル操作など)を、全て画面上で確認することができること。 (3) Web サーバ(ホームページ公開用) ① Dos/DDos 対策機能 · 通信量を増大させるなどして回線やサーバ機能を占有する DoS/DDos 攻撃を 検知し遮断すること。 · 特定の攻撃を検知した際にメール等でアラートを通知すること。 · 特定のしきい値を超えてアイドル状態が続いている接続を削除すること。 · 同一の発信元 IP アドレスから確立できる接続数に上限を設けて制限するこ と。 8 ② WAF · Web アプリケーションの脆弱性を突いた以下のような攻撃を防御すること。 ア SQL インジェクション イ クロスサイトスクリプティング ウ コマンドインジェクション エ バッファオーバーフロー オ セッションハイジャック カ ディレクトリトラバーサル ③ リバースプロキシ · 外部から接続を代理し、インターネット上のサーバ露出を低減すること。 · Web アクセスを高速化し、帯域を節約するためのキャッシングを行うこと。 ④ 外部 DNS · 県市町村の公開ホームページのドメイン名と外部 IP アドレスを対応付け、 名前解決を行うこと。 ⑤ コンテンツ改竄検知機能 · 公開ホームページのコンテンツ内容の改竄を検知し通知すること。 · コンテンツの改竄を検知した場合、メール等でアラートを通知すること。 · Web サーバアプリケーション(IIS、Apache 等)に依らず改竄を検知するこ と。 · 外部のプロバイダサービスを利用してホームページを公開している場合も コンテンツ改竄の検知を行うこと。 (4) その他機能 ① NTP · 県市町村のインターネット系ネットワークに接続されている端末およびサ 9 ーバに対して時刻を配信すること。 · インターネット上の上位の NTP サーバと時刻同期を行うこと。 ② イベント監視機能 · 沖縄情報 SC 内に設置されたサーバや機器内で発生するプログラム起動など のイベントを監視し異常を通知すること。 · パターンマッチングやしきい値等のルールに基づき、許可していないイベ ントの発生を検知すること。 ③ ログ分析機能 【ログの収集、保存要件】 · イベント・ログの短期間 (オンライン) および長期間 (オフライン) の保存 に対応していること。 · 収集データを効率的に保存および圧縮できるものであること 。 · 業界標準のログ収集方式 (syslog、WMI、JDBC、SNMP、Checkpoint LEA な ど) に対応していること。 · イベント・ログを可能な限りエージェントレスで収集できること。 【ログの正規化要件】 · マルチベンダーの機器、ソフトウェアに対応できるように様々な機器・ソ フトウェアに共通するイベント・フィールド (ユーザー名、IP アドレス、ホ スト名、およびログ・ソースのデバイスなど) を正規化するものであること。 · 日本語ログの取込が可能であること。マルチバイトのフォーマットを設定 し、正規化が可能であること。 【イベントのフィルタリング、および分析機能要件】 · リアルタイムのイベント分析ができること。 · 過去データのイベント分析を提供できること。 · イベントに対する長期のトレンド分析を提供できること。 · ユーザーが指定したフィルタリングの方法に基づいて、イベントを集約お よび分析できること。 · 必要に応じてイベントをより深くドリルダウンできること。 · セキュリティ・イベントにおいて例外および振る舞いの変化が監視された 場合に、アラートを発することが可能であること。 【セキュリティ・イベント検知要件】 · 各セキュリティ・機器で監視されたセキュリティ脅威情報に基づいてアラ 10 ートを発することができること。 · SIEM の相関分析ルールとして以下ルールを作成することができること ・閾値ルール(一定時間における閾値で異常性を判断) ・アノーマリー・ルール(イベントの頻度に関連する異常を判定するルール。) ・振る舞いルール(通常の振る舞いとは異なる動作を検知した場合に動作す るルール) · ルールの条件式として、 「and」 「not」 「or」条件の定義ができること 【レポーティング要件】 · GUI ベースでカスタム・レポートの作成ができること。 · レポート作成をスケジュールすることができること。 · レポート形式として以下フォーマットをサポートすること HTML、PDF、XML、CSV、XLS 【その他要件】 · Web インターフェースは日本語に対応すること。 · 日本語によるマニュアルが提供されること ④ IT サービスマネジメント機能 · 沖縄情報 SC におけるシステムの構成管理及び運用・保守等で発生するイン シデント、問題管理、変更管理を ITIL に準備して一元的に管理が行えるこ と。 · 各管理画面が Web ブラウザから利用できること。 · インシデント管理として以下の事が行えること。 ・インシデント登録時において、識別番号、優先度、分類、担当者の割当 て、インシデントの内容の入力ができること。 ・インシデントの処理ステータスが管理できること。 ・過去のインシデントについて、識別番号、件名、キーワード等で検索が きること。 · 問題管理として以下の事が行えること。 ・既存のインシデントからの問題管理の起票ができること。 ・一つの問題管理に対して複数のインシデントが関連付けられること。 ・問題管理の登録時において、優先度、分類、担当者の割当ての入力がで きること。 ・問題の調査・分析内容として、問題の症状の記録、問題の業務への影響 内容、問題の根本原因を登録できること。 ・問題に対する対策内容として、回避策(ワークアラウンド)を記録、恒 久的な解決策(ソリューション)の記録ができること。 11 ・問題の処理ステータスが管理できること。 ・過去の問題について、識別番号、件名、キーワード等で検索がきること。 · 変更管理として以下の事が行えること。 ・既存の問題からの変更管理の起票ができること。 ・変更管理のライフサイクルとしてステージ管理(要求、計画、承認、構 築、クローズ等)が行えること。 ・変更の計画策定ついて、変更の影響、変更実施計画、復旧計画等の等登 録ができること。 ・過去の変更について、識別番号、件名、キーワード等で検索がきること。 · 構成管理データベースとして以下の事が行えること。 ・沖縄情報 SC を構成する機器等の IT 資産の管理が行えること。 ・IT 資産とインシデント、問題管理、変更管理の関連付けが行えること。 12 5 構築作業に関する要件 (1) インターネット接続環境の集約方法 ① 現在 ア 県市町村は、県市町村毎にインターネットに接続している。 (北部の11市町村(名護市、大宜味村、東村、今帰仁村、本部町、恩納村、 宜野座村、金武町、伊江村、伊平屋村、伊是名村)は北部広域ネットワークを 経由してインターネットに接続している。 ) ② 沖縄情報 SC 構築後 ア インターネットの接続は沖縄情報 SC にて行う。 イ 県市町村のインターネット接続に関するセキュリティ監視・対策を沖縄情報 SC で集中して行う。 ウ 沖縄情報 SC のセキュリティ監視・対策されたインターネット通信を県市町 村の現行のインターネット接続回線を利用したインターネット VPN 等にて県市 町村と接続すること。 13 (2) プロキシサーバ(インターネット閲覧用)の集約方法 ① 現在 県市町村のプロキシサーバから直接インターネット閲覧を行っている。 ② 沖縄情報 SC 構築後 県市町村のプロキシサーバからの回線を沖縄情報 SC に集約し、沖縄情報 SC 内 に準備した上位のプロキシサーバにてセキュリティ監視・対策を集中的に行う。 県市町村のプロキシサーバによる URL フィルタリングは沖縄情報 SC 稼働後も活 用する。上位のプロキシサーバの URL フィルタリングは県市町村で共通の最低限 のルールのみ設定する。 14 (3) メールリレーサーバの集約方法 ① 現在 インターネットとのメールの送受信を県市町村のメールサーバで直接行ってい る。 ② 沖縄情報 SC 構築後 インターネットとのメールリレーを沖縄情報 SC に集約する。 県市町村のメールサーバからの回線を沖縄情報 SC に集約し、沖縄情報 SC 内に 準備したメールリレーサーバにてメール通信のセキュリティ監視・対策を集中的 に行う。 15 (4) Web サーバ(ホームページ公開用)の集約方法 ① 現在 県市町村毎にインターネットに接続してホームページを公開している。 なお、ホームページを公開する Web サーバの形態には、庁内/ハウジング型とプ ロバイダ委託型がある。 ② 沖縄情報SC構築後 県市町村の Web サーバとインターネットとの通信を沖縄情報 SC に集約し、沖縄 情報 SC に準備したリバースプロキシを介してインターネットとのデータ送受信を 行う。県市町村とインターネットとのデータ送受信のセキュリティ監視・対策を 沖縄情報 SC にて集中的に行う。 16 プロバイダへの委託によりホームページ公開を行っている場合の沖縄情報 SC と の連携・接続方法には「ア インターネット VPN」「イ リバースプロキシ」の2 通りがある。 ア 沖縄情報 SC~プロバイダ間でインターネット VPN が利用できる場合は、庁 内・ハウジング型の場合と同様の接続形態とする。 イ 沖縄情報 SC~プロバイダ間でインターネット VPN が利用できない場合は、 プロバイダにてインターネット通信を沖縄情報 SC 以外とは行わないよう にリバースプロキシサーバ等の設定を変更することにより、Webサーバ とインターネットとの通信を沖縄情報 SC に集約する。 17 (5) ファイル無害化機能サービスとの連携 本県が別途オプション等により調達するファイル無害化機能サービスは、ASP サービスとして提供する。沖縄情報 SC~ファイル無害化機能サービス間はインタ ーネット VPN で接続すること。 (6) セキュアインターネット閲覧機能との連携 本県が別途オプション等により調達するセキュアインターネット閲覧機能は、 沖縄情報 SC と同じデータセンターに設置する。沖縄情報 SC~セキュアインターネ ット閲覧機能間のネットワーク接続が行えること。 18 6 データセンター、ネットワークに係る要件 (1) データセンター · 沖縄県内のデータセンターとする。 · セキュリティが高く安全で、ファシリティが強固で安定的に稼働できるデ ータセンターを採用すること。 (2) 機器構成 県市町村が利用する業務を提供する機器については、障害等に備えて、冗長構 成をとること。 (3) ネットワーク ① インターネットとの接続 沖縄情報 SC からインターネット出口への接続回線は、帯域保証 500Mbps*以上 の回線を準備する。また、障害等に備えてバックアップ回線を準備する。 ※現時点での想定です。今回の RFI では、価格の提示は不要です。 ② アクセス回線 沖縄情報 SC と自治体との接続では、自治体毎の収容または、複数の VPN グル ープによる収容を予定する。 ※現時点での想定です。今回の RFI では、価格の提示は不要です。 19 (4) 大規模災害対策(BCP) ① 沖縄情報 SC を運用する IDC が被災した場合 ア 通常時 通常時、県市町村が沖縄情報 SC 経由でインターネットと通信を行えること。 イ 沖縄情報 SC 災害時 沖縄情報 SC 被災時、暫定的に、県市町村が沖縄情報 SC に集約する前と同じ方法 で直接インターネットと通信を行えること。 沖縄情報 SC の復旧又は他の IDC による復元を行うこと。なお、平成 34 年 3 月 31 日までの間は、沖縄情報 SC に係る機器の費用は本県が負担し、IDC 費用および作業 費用等については、本件受託事業者が負担するものとする。また、平成 34 年 4 月 1 日以降の運用保守契約については、本県が別途調達し、その運用保守業務を受託す る事業者が沖縄情報 SC に係る全ての費用を負担するものとする。 ウ 沖縄情報 SC の復旧又は他 IDC による復元時 沖縄情報 SC の復旧又は他 IDC による復元後、県市町村が沖縄情報 SC(他 IDC) 経由でインターネットと通信を行えること。 20 ② ファイル無害化機能を提供する IDC が被災した場合 ア 通常時 通常時、県市町村が沖縄情報 SC 経由で、別途オプション等により調達されるフ ァイル無害化機能を利用できること。 イ ファイル無害化機能提供 IDC 災害時 ファイル無害化機能を提供するメイン IDC が被災してバックアップ IDC に切り 替わった場合にも、ファイル無害化サービスとインターネット VPN 接続するため の VPN 装置等の設定変更等により、県市町村が沖縄情報 SC 経由でファイル無害化 機能を利用できるようにすること。 21 ③ セキュアインターネット閲覧機能が被災した場合 ア 通常時 通常時、県市町村が沖縄情報 SC 経由で、別途オプション等により調達されるセ キュアインターネット閲覧機能を利用できること。 イ セキュアインターネット閲覧機能復旧時 沖縄情報 SC の復旧または他の IDC による復元後、同じく復旧または復元された インターネット閲覧機能とのネットワーク接続を行い、県市町村が沖縄情報 SC 経 由でセキュアインターネット閲覧機能を利用できるようにすること。 22 7 セキュリティ監視・分析サービスの要件 (1) セキュリティ監視・分析の対象機器・機能 ① 沖縄情報 SC の機器・機能 ・ファイアウォール ・IDS・IPS ・振る舞い検知機器 ・マルウェア/スパム対策機器 ・URL フィルター機能 ・外部 DNS ・サーバ等 ② 県市町村の機器 ・県市町村の LGWAN 接続ファイアウォール (2) 沖縄情報 SC の機器・機能のセキュリティ監視・分析 沖縄情報 SC 上のファイルウォール等のセキュリティ機器のセキュリティ監視は、 ログ分析システム(SIEM 等)によりリアルタイムに監視対象機器のログの相関分 析を行い、不審な兆候を迅速に検知すること。また、ログ分析システムにより不 審な兆候が検知された場合、分析担当者(セキュリティアナリスト)により詳細 な分析を行い、影響範囲及びその内容の特定、具体的な対策方針について提供す ること。 インターネットからの攻撃・不正アクセス手法は全世界で日々、新しい手法が 発生しているため、沖縄情報 SC では世界規模のセキュリティ情報を活用したイン ターネットとの通信の監視を行うこと。 ① 24 時間 365 日セキュリティ監視・分析を行うこと。 ② ログ分析システムにより単一のイベントログ若しくは単一の監視対象機器 だけでは検知できない異常を検知できるようにすること。また、監視対象 とする全てのログを相関分析し異常検知を行うこと。 ③ ログ分析システムにより標準型攻撃等のセキュリティインシデント全体の 可視化を行うこと。 23 ④ ログ分析システム等の異常検知通知を監視し、異常検知時、以下の分析を 行うこと。 ・影響範囲、緊急度、誤検知の可能性などを総合的に判断し、重要度を分 類すること。 ・ファイアウォール、IDS・IPS 等のセキュリティ機器のログの分析、監 視機器で当該通信についても分析し、総合的に判断し、セキュリティイ ンシデントの検出を行うこと。 ⑤ セキュリティインシデント発生時、原因の調査に関する支援を行うこと。 ⑥ 異常検知を行うためのログ分析システムの相関分析ルール(検知ルール) について、適切な検知が行えるように随時見直しを行うこと。 ⑦ ログ分析システムにおいては最新のレピュテーション情報(悪意のある既 知の IP アドレスや URL のリスト)を使い、 検知精度の高い検知を行うこと。 レピュテーション情報はセキュリティベンダーが提供する情報を随時更新 すること。 ⑧ サイバー攻撃に関して、過去 3 ヶ月間のログを遡って分析を行い、可能な 範囲で被害状況や影響範囲等を特定すること。 ⑨ 監視対象機器のログは1年間分保管すること。 (3) 県市町村の LGWAN 接続ファイアウォールのセキュリ ティ監視・分析 ① 県市町村の LGWAN 接続ファイアウォールのログを受け取る仕組みを沖縄情 報 SC に準備すること。 ② LGWAN 接続ファイアウォールのログのうち、ポリシーに抵触し破棄された パケット(ドロップパケット)等のログを分析する仕組みを沖縄情報 SC にて整備すること。 ③ ドロップパケット等のログを分析した結果、異常な兆候を検出した場合、 県市町村の担当職員に対し、状況に応じてメール又は電話で連絡すること。 (4) セキュリティインシデントの通知・対応 ① 重大なセキュリティインシデントを検出した場合、1時間以内に指定の連 絡先に電話及びメールで通知すること。また、対処方法について助言を行 うこと。 ※)重大なセキュリティインシデントとは、誤検出や予兆など軽度のイン 24 シデントを分析により省いた上で、侵入・内部活動が行われていると断 定された緊急対応が必要なセキュリティインシデント。 ② 重大なセキュリティインシデントの通知には以下の内容を含むこと。 · セキュリティインシデント発生の経緯 · セキュリティインシデント概要 · 攻撃元情報、攻撃先情報(IP アドレスなど) ③ 前月のセキュリティインシデントのサマリーを記載した月次レポートを作 成し、沖縄 CSIRT(仮称)に提出すること。月次レポートには以下の内容 を含むこと。 · 月次の受信ログ件数、危険度別異常検知件数、セキュリティインシデン ト件数 · 日ごとのセキュリティインシデント件数 · 過去 6 か月間の重大度毎のセキュリティインシデント件数の比較 · 上位 10 種のセキュリティインシデント ④ セキュリティインシデントに関する沖縄 CSIRT(仮称)からの問合せを、 電話、メールそれぞれで受付けできるようにすること。 ⑤ 沖縄情報 SC を通る通信について障害又は問題が発生した場合は、沖縄 CSIRT(仮称)へ連絡し、対処を行うこと。 ⑥ 異常検出時、必要に応じてファイアウォール、URL フィルター等セキュリ ティ機器のポリシー追加、変更により通信を遮断等の対策案を検討するこ と。対策案については沖縄 CSIRT(仮称)と協議して決定すること。また、 決定された対策案に基づいてセキュリティ機器のポリシー変更を行うこと。 ⑦ 重大なセキュリティインシデント発生時には、沖縄 CSIRT(仮称)からの 要請により、事態収拾のための支援を行うこと。 ⑧ 情報漏えいが発生又はその発生が強く疑われる場合は沖縄 CSIRT(仮称)と 協議し適切な処置を行うこと。 ⑨ ホームページの改ざん又はそのおそれが強く疑われる場合は沖縄 CSIRT(仮称)と協議し適切な処置を行うこと。 ⑩ 沖縄 CSIRT(仮称)からの要望により感染源や影響範囲の特定等に協力す ること。 ⑪ 脆弱性情報を収集し、その対策・適応について検討すること。 25 8 機器の保守要件 (1) 機器の保守要件 · 本業務で調達する機器に異常が発生した場合、24時間365日対応とし、 異常発生を機器保守ベンダーに通知してから機器保守ベンダーは4時間を 目標に駆け付けること。 · 本業務で調達するソフトウェアは原則ソフトウェアベンダーから24時間 365日の保守が受けられること。 26 9 運用・保守サービスの要件 (1) ヘルプデスク業務 県市町村のあらかじめ決められた担当職員からの問合せ、障害、インシデント等 の受付及びインシデント登録、その実施状況等を管理すること。 ① 問合せ窓口 · 県市町村からの質問、依頼・相談、障害、インシデント等の各種問合せを受 け付ける問合せ窓口を用意すること。 · 窓口への連絡手段は電話及びメールとすること。 ② 受付対応時間 ・ 「問合せ対応」は、平日 8 時 30 分~17 時 30 分に電話またはメールで受付対応 すること。 ・「障害保守対応」 「セキュリティインシデント対応」は、24 時間 365 日電話ま たはメールで受付対応すること。 ③ 問合せ対応と管理 · 県市町村からの問合せに対して進捗を管理し、完了までの責任を持つこと。 · 問合せに対する一次回答を返すこと。 (2) 運用管理業務 ① システム監視 沖縄情報 SC 上の機器及びサーバの状態を監視し、システムの障害予兆及び障害 発生を検知すること。 ア 死活監視 監視対象機器との通信の疎通により機器及びサーバが正常に稼働しているかを 27 監視すること。 イ ステータス監視 監視対象機器の CPU、メモリ、ディスクの使用率、トラフィック量等のシステム リソースの状態を監視すること。 ② 障害対応 ア 障害通知 システム監視又はその他運用業務内において異常を検出した際はあらかじめ定 められたフローに従って県市町村へ迅速に連絡を行うこと。連絡手段は電話及び メールとすること。 障害通知においては影響範囲、復旧目途等の情報を連絡すること。 イ 障害復旧 障害発生時、障害箇所等の一次切り分けを行い、システム復旧を行うこと。 ウ 障害対応条件 ①障害受付は 24 時間 365 日とすること。 ②異常発生時の対応は以下の時間を目標とすること。 ・対応開始は異常発生を認識してから 3 時間以内 ③ バックアップ管理 ア システムバックアップ 機器及びサーバの設定の変更時、OS、ソフトウェアの更新時にシステムバック アップを行うこと。 機器、サーバの復旧が必要な際はシステム又は設定のリストアを行うこと。 イ データバックアップ 沖縄情報 SC 上で管理するログデータ、ファイル等のデータバックアップを日次 で行うこと。バックアップデータは日次7世代を管理すること。 28 ④ 定例会議・運用報告会対応 ア 月次会議・報告 月次で前月のヘルプデスクへの問合せ対応状況、システムの稼働状況をとりま とめた報告書を沖縄 CSIRT(仮称)に提出すること。また、必要に応じて運用報告 会で報告を行うこと。 イ 年次会議・報告 年次で年間のシステム運用状況をまとめた報告書を作成し、運用報告会で報告 を行うこと。 (3) 保守業務 ① システムのセキュリティレベルの維持 ・機器等に脆弱性が発見された場合、沖縄 CSIRT(仮称)に迅速に報告すること。 ・重大かつ影響のある脆弱性への対処を行うための機器類のファームウェアバ ージョンアップ、セキュリティバッチがメーカーより提供された場合、確認 の上、適用すること。 ② システム設定変更 ・システムの不具合の解決のため又は沖縄 CSIRT(仮称)からの依頼等により、 機器、サーバの設定変更を行うこと。 ・システム変更を行う際は沖縄 CSIRT(仮称)の承認を得ること。 ③ 構成情報維持管理 沖縄情報 SC に関する構成情報の維持管理を行うこと。 ・構成ネットワーク構成図(論理、物理) ・機器、ソフトウェアの管理台帳 ・DNS ゾーン等情報を管理表 ・IP アドレス管理台帳(参加団体接続用プライベートアドレス・中間プライベ ートアドレス、沖縄情報 SC 内プライベートアドレス・グローバルアドレス) 29 ④ 機器故障対応 沖縄情報 SC を構成する機器に故障、障害がある場合に、原因を調査し沖縄 CSIRT (仮称)に報告するとともに、当該機器の部品交換、機器交換、交換後の機器の 動作確認を実施すること。 ⑤ 保守業務の実績報告 保守管理業務を行ったときは、その都度沖縄 CSIRT(仮称)に実績報告書を提出 すること。 (4) IT サービス管理 沖縄情報 SC のサービス提供を行うための運用・保守業務においては、ITIL に準 じてインシデント管理、問題管理、変更管理を行うこと。 30
© Copyright 2024 ExpyDoc
