宜野湾市情報セキュリティ強化対策事業に係る 情報提供依頼書 2016 年(平成28 年)6 月 宜野湾市総務部 IT 推進室 1 情報提供目的 本市では、自治体情報セキュリティ強化対策事業における自治体情報システム強靱性向上に 向けた各種対策の実施を予定しています。現在、その対策を行うにあたって、今後利用する端 末環境の方向性について様々な方式の中から最適な環境を検討中です。 実施に際しては、番号法施行以降の情報セキュリティ及び職員の利用上のガバナンスの強化 を実現することが求められるだけでなく、現行システムの操作性やパフォーマンス、運用管理 の改善以外に、昨今の厳しい財政状況の中で、現行の端末及びネットワーク環境を最大限に活 かしたコストパフォーマンスに優れたシステムの導入が喫緊の課題となっております。 そのため、強靭性向上のための新たなネットワーク環境下でのインターネット系アプリケー ションの安全な利用を可能とする新規端末環境の整備と、最も高度な情報漏えい対策が求めら れる個人番号利用事務(基幹業務系)アプリケーションを利用する端末(以降基幹業務系端末 と呼ぶ)のセキュリティ強化を実現しつつ、現場の職員の業務効率性と生産性を維持した端末 環境の利用を可能とするため、現時点での最新の仮想デスクトップ関連技術及び情報漏えい防 止のための各種セキュリティ関連技術を取り入れたソリューション案の情報提供をお願いいた します。ご提供頂きました情報は、調達仕様書作成のための参考資料として活用させて頂きた いと考えております。 2 現行体系 2.1 既存利用端末 本市の端末は、大きく分けて以下の三つのパターンに分かれます。 (1) 情報系アプリケーションを利用可能とする情報系端末[インターネット接続可能](職員 PC:図1の端末パターン①) (2) 情報系端末に住民情報系を取り扱うアプリケーションがインストールされた基幹業務系 端末[インターネット接続不可](業務 PC:図1の端末パターン②) (3) (2)の基幹業務系端末を設置した課でインターネットを閲覧するためのインターネット専 用 PC。インターネット系専用セグメントとして設定した無線LANによりインターネッ トへ接続(インターネット専用 PC:図1の端末パターン③) 。 担当課毎に割り当てられたネットワークセグメント環境で運用 各課の業務に用いる個別業務アプリケーションは IT 推進室の管理のもと設定・配布 端末は全て Windows7(32bit)で統一され、職員 PC、業務 PC には、ウィルス対策ソフ ト、資産管理ソフト(SKYSEA ClientView)がインストール済み。 1 現行体系(模式図) 住基ネット 中間サーバ 情報提供NW LG-WAN 内部メール 転送サーバ 庁内系 ネットワーク 部署別個別セグメント ・市民課/国保/企画…etc 担当課毎にVLANが設定 セグメント別に 端末パターン①/②を割り当て 端末パターン②で インターネットを使いたい担当課のみ 別セグメント(無線LAN接続) 端末パターン③を配備 統合宛名サーバ (番号連携サーバ) 住基ネット CSサーバ 端末パターン① (職員PC) 情報系/ インターネット系PC 1000台 SW 端末パターン② (業務PC) 情報系/基幹系 共用PC 400台 SW SW SW 統合アウトソーシング IDC Webサーバ 外部メール サーバ ・庁外メール ・外部Web検索 外部ネットワーク (インターネット) FW 閉域網 ・基幹系/情報系統合 ・バックアップ回線 ・住基専用回線 SW インターネット系 メール スイッチ SW SW 端末パターン③ インターネット系 専用端末 250台 無線lAN接続 (インターネット系) 既存ネットワークプリンタの USBポートに都度接続 情報系 SW 地域イントラネット (出先機関) 拠点ごとにセグメント設置 SW セグメント別に 端末パターン SW ①/②を割り当て 情報系 APサーバ 認証基盤(StarOffice認証基盤) 財務会計/人事給与サーバ グループウェア(StarOffice)…etc SW SW 基幹系 SW SW SW 基幹系 AP/DBサーバ AcroCity…etc ※一部を除き 大部分を仮想化 SW 図1:現行体系のシステム概要構成 2.2 利用対象 PC 及びアプリケーション 職員が利用する端末は職員 PC として原則職員一人1台ずつ、窓口端末を含めて計約 1400 台 配備されております。 各課の業務に応じた、基幹業務系システムと情報系システムがそれぞれの業務環境に応じ適宜 PC にインストールされて利用しております。 現行の PC で利用されているアプリケーションは主に以下の通りです。 ●基幹系システム(個人番号利用事務(基幹系)端末で利用) Acrocity V2 Acrocity 福祉 MCWEL 介護保険システム V2 MCWEL 後期高齢者システム V1.2 ●基幹系システム ミドルウェア(個人番号利用事務(基幹系)端末で利用) J2SE Runtime Environment Charset Manager Standard Edition Client Interstage Studio クライアント運用パッケージ Japanist2003 2 JEF ゴシックフォント JEF 拡張漢字サポート List Works ●オフィスソフト、管理ソフト、その他(全端末共通) Microsoft Office 2010 ウイルスバスターコーポレイトエディション 11 SKYSEA Client View ver10 Adobe Reader X CubePDF HCOPY Lzah Roxio Creator Lj InterVideo Win DVD 一太郎ビューア ●Web ブラウザ Internet Explorer Google Chrome Firefox アプリケーションのインストール及び環境設定は、各課の申請のもと、IT 推進室で行っており ます。 2.3 ネットワーク環境 (ア) 情報系システムを利用する端末(職員 PC)と個人番号利用事務を取り扱う基幹業務系 システムを利用する端末(業務 PC)は、担当課毎に割り当てられたセグメント上のネ ットワーク上に配置され、データセンター内に構築された各業務サーバにアクセス可能 な環境となっております。 2.4 端末認証形態 (ア) 情報系端末(職員 PC) 、基幹業務系端末(業務 PC)とも、ユーザ毎に Windows OS 側 に設定された ID/パスワード入力して端末にログインします。 (イ) 情報系端末(職員 PC) 、基幹業務系端末(業務 PC)とも AD は導入していないため、 システム基盤全体としてのグループポリシー、アクセスポリシーを統合した設定は行っ ておりません。 (ウ) ローカル端末認証の他、情報系セグメント上にあるグループウェアのアカウントによる 3 認証を別途行い、グループウェアにおける統合認証機能(シングルサインオン:SSO) を用いて個々の権限に応じた、情報系の各種アプリケーションおよびデータが利用でき る環境となっております。 (エ) 基幹業務系システムで利用するアプリケーションは、個別の ID 及びパスワードを用い て利用しています。 (上記(ウ)の統合認証機能による制御は行っておりません) 2.5 メール利用形態 (ア) 職員が利用するメールは基本的に地域ドメイン(okinawa.jp)によるメールアカウント が職員ごとに設定されており、同アカウントを用いてインターネット環境でメールの送 受信を行っております。 (イ) 正職員には、lg.jp ドメインによるメールアカウントが付与されており、LG-WAN を介 したメールの送受信を行っております。 (ウ) 地域ドメインによる外部とのメールの送受信、lg ドメインによる LG-WAN を介したメ ールの送受信は、グループウェアのメール機能で行うことができる設定になっておりま す。 2.6 その他運用管理面での特徴 (ア) 職員が利用する各種端末(職員 PC/業務 PC)は端末側に組み込まれた資産管理エージェ ント(SKYSEA)により利用するアプリケーション起動制限や、USB 接続機器の利用制限、 操作履歴を取得することが可能となっております。 (イ) 職員が利用する各種端末(職員 PC/業務 PC)とも、外部システムとのデータの授受を行 うため、FDD や USB メモリの接続及び各種データの取り扱いが可能な状況ですが、USB メモリを各 PC に接続する際、資産管理エージェント(SKYSEA)の機能によりユーザや デバイスに応じて接続制限等を行っております。 (ウ) ファイルサーバを設置する代わりに、グループウェアのキャビネット機能を活用して、職 員 PC 及び業務 PC で用いるアプリケーションで取り扱う各種データを ユーザ毎、グルー プ毎に格納することが可能となっております。 4 3 将来体系(現時点における想定案) 現行体系で運用している各種 PC のうち、情報系アプリケーションとインターネット系アプリ ケーションの利用を可能とする職員 PC(1000 台)をインターネットにアクセスするネットワ ークセグメントと LG-WAN アクセス環境に分離します。 インターネット系セグメントには、インターネットに接続して、メールや Web ブラウザを利用 可能とする端末(インターネット系端末)が利用できる環境とし、LG-WAN 接続系には LG-WAN に接続し、情報系アプリケーションが利用できる環境をそれぞれ構築します。 職員が取り扱う端末数を減らすため、原則的にインターネット系端末で利用するアプリケー ションについては、インターネット系端末を置かず、仮想デスクトップ(または仮想アプリケ ーション)環境で動作させ、新たに分離された情報系端末(LG-WAN 接続系端末)上に画面転 送することにより利用することとします。(図2:①LG-WAN 接続系/インターネット系利用 端末) さらに、情報系システム及び基幹業務系システムを利用する業務 PC(400 台)を対象に、 現行のネットワーク環境を保持したままでセキュリティ強化と端末管理の負担低減を実現する ため、業務系 PC から基幹系アプリケーションを分離した端末環境とします、個人番号利用事 務を取り扱う基幹系業務については専用端末を置かず、仮想デスクトップ(または仮想アプリ ケーション)環境とし、業務系 PC に基幹業務系(個人番号利用事務)関連アプリケーション およびデータを置かない端末環境(図2:②個人番号利用事務/LG-WAN 接続系共用端末環境) を構築します。 基幹業務系システムを取り扱う端末については、従来のUSB機器の利用制限が施された環 境の他、二要素認証環境を導入し、成りすまし対策を施した環境とします。 平成 28 年度以降において、強靭性向上の対象となる情報系 PC(図2:対象①約 1000 台) の端末を先行的にシンクライアント端末、LG-WAN 接続系端末に置き換えた後、残る業務系 PC(図2:対象②400 台)の基幹系業務アプリケーションの分離と、漸次仮想デスクトップ環 境での動作移行することを想定しております。 5 将来体系(H28年度対応分) ・各部署に配置するネットワークセグメントの変更を最小限に抑えつつ 1台の端末で各業務アプリケーションの利用を可能とする。 ・端末の追加導入は原則行わない(現行の1400台で運用) ①LG-WAN系 インターネット系 利用端末(1000台) LG-WAN系 各種事務サーバ群 LG-WAN 各部署(庁内) 外部記憶媒体 アクセス制限 環境導入済み 認証(連携) 基盤導入 住基ネット × ・人事給与 ・文書管理 ・財務会計 ・LG-WANメール等 個人番号関係事務(情報系)ネットワーク 庁舎側SW インタ ・インターネット系業務 ・基幹系常務の仮想デスクトップ化による 職員が利用する総台数の削減 アウトソーシング側SW ※インターネット系からリスク分断 統合システム基盤 (統合アウトソーシング先 情報セキュリティクラウドサービス) LG-WAN系/インターネット系 メール無害化/データ交換環境 インターネット系 端末仮想化サーバ群 ※同時400端末 既存Officeライセンス使用可能 プリンタ環境の分離 インターネット系/LG-WAN系 インターネット系サーバ ・Web系 ・メール系サーバ 無害化対応 (地域ドメイン) Internet ②個人番号利用事務/ LG-WAN系共用端末 (400台) × 二要素 認証 外部記憶媒体 アクセス制限 環境導入済み インターネット業務系ネットワーク(高リスク) 基幹系 端末仮想化 サーバ群 (同時400端末) 個人番号利用事務系サーバ群 ・住基/市民税/福祉/就学援助…etc 沖縄県 情報セキュリティ クラウド 個人番号利用業務(基幹系)ネットワーク (高セキュリティ) 3 図2:将来体系における強靭性向上システム構成 将来体系におけるシンクライアント環境の実現についての留意点を以下 3.1~3.9 に提示しま す。 3.1 概要 (ア) 現行体系で運用しているアプリケーションのうち、将来体系で利用可能とするインタ ーネットアプリケーションについては仮想デスクトップ環境(あるいは仮想アプリケ ーション環境)で継続あるいは新規に導入し利用したいと考えています。 (前項 2.2 現行アプリケーションリストを参照) (イ) 端末台数の圧縮と、運用性の向上のため仮想デスクトップ(あるいは仮想アプリケー ション)で利用可能とした既存端末で、基幹業務系アプリケーションの利用が可能な 環境とします。その際基幹業務系アプリケーションが動作する仮想デスクトップ環境 と、情報系アプリケーションが動作する PC 環境はそれぞれ分離されたネットワーク セグメントで動作させることを想定しております。 (ウ) 仮想デスクトップ環境導入により、機構上、不要とされるアプリケーションについて は従来環境で利用し、陳腐化に伴い段階的に仮想デスクトップで利用可能なアプリケ ーションに置き換えた後、廃止することも考えております。 (エ) 仮想デスクトップ環境で利用する各種データは原則的に既存の共用ファイルサーバ /ストレージ(NAS)側に移行し、端末側でのデータの保存は個別業務の遂行上必要 6 とされるもの以外、原則的に不可とします。 (オ) LG-WAN 接続系で利用する各種データについては、従来の情報系端末(職員 PC)の 利用環境を踏襲し、インターネット系端末で取り扱う各種データに直接的にアクセス して利用することを禁止します。 (カ) 番号法施行に伴う、成りすまし対策及び本人確認強化のため、基幹業務系システムを 取り扱う端末については、専用 IC カード、あるいは生体認証に紐づけられた新規の ID管理(二要素認証)による環境に移行することを検討しております。 (キ) 新規 ID 管理の設定と同様に認証強化を行うために、担当課の管轄業務が要求される セキュリティレベル、利用アプリケーションの情報漏えいのリスクに対応するため、 部署やシステムによっては IC カードによる認証及び生体認証を組み合わせた認証連 携(シングルサインオン:SSO)を可能とすることを検討しております。 (ク) 仮想デスクトップ(あるいは仮想アプリケーション)で利用する LG-WAN 接続系端 末においてはユーザ及び部課の業務目的によってそれぞれの職員の職種及び権限に 応じ USB メモリ、外付け FDD/HDD の外部記憶装置、プリンター、スキャナー等 の周辺機器を接続し、安全に利用できる環境とします。 3.2 アプリケーション環境 インターネット系業務、及び基幹業務系における既存業務のアプリケーション利用について、 以下の点について確認いたします。 (ア) 既存端末及び仮想デスクトップサーバでインストールできない既存アプリケーショ ンについてどの程度まで利用可能か (イ) 接続及び使用ライセンスが制限されているアプリケーションについては特定のユー ザあるいはホスト以外で実行できない環境となっているか (ウ) 上記(ア) (イ)を実現するために、 RDS 方式(WindowsTerminalServICe、XenApp、GO-Global 等)及び VDI 方式(XenDesktop、HorizonView、Hyper-V 等)、 ネットブート方式(Ardence、AppV 等)を単体あるいは併用して利用すること が可能か、さらに最も安価でコストパフォーマンスの高い構成となっているか (エ) 現行の MS-Office をそのまま適用可能か(その場合の必要とされる条件は何か) あるいは新規の MS-Office で最もコストパフォーマンスが良いライセンス形態で利 用可能か。 3.3 仮想デスクトップの通信環境(プロトコル) 以下の点について確認いたします。 (ア) 音声、動画系アプリケーションを円滑に利用可能か (イ) 通信方式(プロトコル)は暗号化されているか 3.4 プリンターの利用 7 以下の点について確認いたします。 (ア)仮想デスクトップ(仮想アプリケーション)サーバで実行されるアプリケーションか ら端末側のプリンター(ネットワークプリンタ、デスクトッププリンタ)を利用者及び 利用部署を確実に特定し、 管轄外のプリンターへの誤出力することなく安全に出力する ことが可能か (イ)同様にプリンターについて他のユーザとの共同利用において、アプリケーション利用 時にコンフリクトを起こすことなく安全かつ確実に利用することが可能か。 3.5 周辺機器の利用 以下の点について確認いたします。 (ア)仮想デスクトップサーバで実行されるアプリケーションから端末側の USB インター フェースに接続された周辺機器 (IC カード認証装置、生体認証装置、 USB メモリ/FDD 等の外部記憶媒体等)を利用可能か (イ)周辺機器については特定の端末/ユーザ以外は利用不可にできるか (ウ)あらかじめIT推進室で登録管理されていない周辺機器は挿しても利用できない環境 を実現できるか(登録されていない周辺機器はローカル PC 側の OS/仮想デスクトッ プサーバ OS ともデバイスを認識しないようにすることが可能か) (エ)原則的に USB メモリ/FDD 等の外部記憶媒体は読み込みのみ許可し、書き込み不可と するが、特定ユーザに限り書き込みを認める機能を保持しているか (オ) USB メモリ等の外部記憶媒体、スキャナー等の周辺機器を接続した際、接続履歴(セ ッションログ)を残すことが可能か、接続を試みても未登録のため利用できなかった デバイスまでログを取得することが可能か 3.6 メール無害化環境 以下の点について確認いたします。 (ア) 地域ドメインアカウント(okinawa.jp)による外部(インターネット系)からの受信メー ルを、LG-WAN 接続系のメールソフト(メーラー)で安全に利用できるための環境設 定が可能か (イ) 地域ドメインアカウント(okinawa.jp)による内部ネットワーク(LG-WAN 接続系)か ら外部ネットワーク(インターネット系)へ添付ファイル、および証明書付きメール を送信するための方式及び既存のメールサーバによる環境設定が可能か。 (ウ) LG-WAN ドメイン(lg.jp)によるメールアカウントで外部ネットワークへのメールの 送信が可能か。 (エ) LG-WAN ドメイン(lg.jp)によるメールアカウントで外部ネットワークから、インタ ーネット系メールソフト(メーラ)及び LG-WAN 接続系に格納されているメーラでの 受信が可能か。 さらに LG-WAN 接続系で受信した場合、メールのテキスト化、及び添付ファイルの除 去等の無害化対応が可能か。 8 3.7 ファイル無害化環境 (ア) インターネット系メーラに添付したファイルを LG-WAN 接続系、及び基幹系のアプ リケーションで安全に利用させるために、ファイル転送あるいはファイルの共有を行 う環境を整備することが可能か。 (イ) インターネット系の PC 環境(仮想デスクトップサーバ)でダウンロードしたファイ ルを LG-WAN 接続系、及び基幹系のアプリケーションで安全に利用させるために、 ファイル転送あるいはファイルの共有を行う環境を整備することが可能か。 3.8 各種アクセス情報取得 以下の点について確認いたします。 (ア) ローカル PC 及び仮想デスクトップサーバ上の利用者の操作情報について以下の情報 を取得可能か 利用者、利用端末(ホスト名/IP アドレス)毎の 仮想デスクトップサーバのログオン/ログオフ アプリケーション起動/終了 ファイル展開/更新/削除(ローカルドライブ、ネットワークドライ ブ、外部記憶媒体含む) Web アクセス先 印刷対象ファイル/印刷出力時間 (イ) アクセスログを取得後、行動証跡として分析可能な機能(ユーティリティ)を保持し ているか 3.9 端末認証(ID 管理、パスワード管理) 以下の点について確認いたします。 (ア) 汎用的な IC カード(FeliCa/MIFARE 等)、トークンや生体認証により成り済ましが できないような認証機構を導入可能か。 (イ) 転出入、異動等にともなうグループおよび権限設定の変更管理が容易に行えるか。 (ウ) 他システム、アプリケーションとの認証連携(シングルサインオン:SSO)に柔軟に 対応しているか。 (エ) AD を配置・設定しない環境で利用可能か。 3.10 サーバ運用管理面での配慮 以下の点について確認いたします。 (ア)仮想デスクトップサーバ上のアプリケーションの追加インストール、OS 環境設定が煩 雑な工程を経ることなく容易に行えるか (イ)仮想デスクトップサーバの障害検知及び管理が容易に行えるか (ウ)仮想デスクトップサーバ環境の可用性・信頼性を高める工夫がされているか。 9 3.11 コストパフォーマンスの高いシステム構成 以下の点について確認いたします。 (ア) RDS/VDI/ネットブート方式の並存以外にも仮想化基盤を利用し、既存アプリケー ションサーバの統合も可能としたハードウェアのダウンサイジングを実現し、コスト パフォーマンスを高める構成となっているか。 (イ) LG-WAN 接続系環境及びインターネット系環境で利用するデータの取扱いにおいて、 業務効率を落とさず、業務上の混乱を引き起こさない効果的なデータの移転、バック アップ方法、消去データの復旧等の措置が取られているか。 (ウ) 使用する仮想デスクトップサーバ類について、省電力のための工夫がされているか。 3.12 運用、保守上の留意点 以下の点について確認いたします。 (ア) 今回導入する仮想デスクトップサーバ等の主要機器については、宜野湾市の現在のア ウトソーシング先に配置することを前提に想定しているが、アウトソーシング先の運 用・保守環境に適用させるためにどのような要件が必要か。 (イ) 今回導入した環境においてアウトソーシング先に運用、保守業務を委託する場合の条 件について制限事項等あるか。 3.13 概算見積もりについて 今回ご提示頂きます概算見積もりについて、宜野湾市情報セキュリティ強化対策事業に向け た情報提供招請(RFI)の記載内容に従い以下の点について留意してご提示してください。 (ア) 今回は総務省の補助金を活用した事業となるため、概算見積もりにおいて、初期費用 (ハードウェア、ソフトウェア、各種機器、及び構築費用)と当該年度及び翌年以降 の保守・サポート費用について明確に分離した上でご提示してください。 (イ) 同様に、自治体情報セキュリティ強化対策事業の対象となるセキュリティ強靭性向上 に係る要素と、基幹系事務の最適化に係る要素を明確に分離した上でご提示してくだ さい。 4 情報提供依頼事項 本依頼書「3 将来体系(システム要件)」の内容を踏まえ、別添の様式 【様式1】宜野湾市情報セキュリティ強化対策事業に向けた情報提供招請(RFI) 【様式2】ソリューション提案記述様式 に、貴社が提供しているシステム、ソリューション案(代替案含む)について情報提供をお願い します。 また、貴社提案のシステムを本市の状況に合わせて導入した場合、必要となるハードウェア、 ソフトウェア環境および概算費用(5年間の保守費用等含む)について、他の事例を含めて情報 提供をお願いします。 10 5 情報提供要領 5.1 様式 別添の EXCEL シート【様式1】宜野湾市情報セキュリティ強化対策事業に向けた情報提供招 請(RFI)の質問事項の同シートの解答欄に記載してください。 また、質問事項の内容により、記載が困難な内容については、貴社で追加資料を付加するか、 適宜【様式2】ソリューション提案記述様式に記載してください。 5.2 提出期限 2016 年(平成 28 年)6 月 29 日(水)17:00 まで 5.3 提出先 〒 901-2710 沖縄県宜野湾市野嵩 1-1-1 宜野湾市市総務部 IT 推進室(担当:比嘉・仲村 ) Tel: 098-893-4411(内線番号 242・240) e-mail: [email protected] 5.4 提出方法 電子媒体 1 部の提出(パンフレット等は紙媒体でも可能)をお願いします。 提出方法は問いません(メール添付でも可能) 。 5.5 質疑応答 ご質問がある場合は担当者までメールでご連絡ください。書式は指定しません。なお、質問期 限は 6 月 24 日(金) 17 時までとさせていただきます。 11
© Copyright 2024 ExpyDoc
