（機構本部）高専情報環境に係る情報セキュリティ対策業務 一式

（機構本部）高専情報環境に係る情報セキュリティ対策業務 一式 別紙６一 般 競 争 入 札 公 告独立行政法人国立高等専門学校機構本部において，下記のとおり一般競争入札に付します。 １．競争入札に付する事項(１)件 名 高専情報環境に係る情報セキュリティ対策業務 一式(２)請負期間 仕様書のとおり２．競争に参加する者に必要な資格国の競争参加資格(全省庁統一資格)において，令和７年度に全国いずれかの地域の「役務の提供等」のＡ、Ｂ、Ｃ又はＤ等級に格付けされている者であること。 ３．契約条項を示す場所及び入札説明書を交付する場所入札説明書の交付を希望する者は，以下のメールアドレス宛にその旨申出すること。 東京都八王子市東浅川町７０１－２担当係 独立行政法人国立高等専門学校機構本部財務課契約係電 話 ０４２－６６２－３１７７e-mail chotatsu@kosen-k.go.jp４．入札説明会の日時及び場所実施しない。 ５．入札書の提出方法等(１)入札方法本件の入札は「紙」による。 (２)入札書の提出期限及び場所①入札書の提出期限 令和８年２月５日 １２時００分②提出場所 ３の契約条項を示す場所６．開札の日時及び場所令和８年２月１７日 １５時００分独立行政法人国立高等専門学校機構本部３階会議室７．入札保証金免除する。 ８．入札の無効本公告に示した競争参加資格のない者の提出した入札書，入札者に求められる義務を履行しなかった者の提出した入札書，入札に関する条件に違反した入札書は無効とする。 ９． その他(１)この一般競争に参加を希望する者は、契約担当役が別に指定する誓約書を提出すること。 (２)前項の誓約書を提出せず、又は虚偽の誓約をし、若しくは誓約書に反することとなったときは、当該者の入札を無効とする。 (３)本件の入札に関する必要事項については，入札説明書によるものとする。 以上公告する。 令和８年１月１９日独立行政法人国立高等専門学校機構 本部契約担当役事務局長 永田 昭浩 高専情報環境に係る情報セキュリティ対策業務 一式仕様書令和８年１月独立行政法人 国立高等専門学校機構2 / 10目次１． 調達件名.. 3２． 調達の目的等.. 32.1 調達の目的.. 32.2 情報セキュリティ対策の必要性.. 3３． 請負期間.. 3４． 対象システム.. 3５． 受注条件.. 4６． 業務内容.. 46.1 対象システムの監視.. 46.2 対象システムにおける脆弱性の診断.. 66.3 診断結果への対応.. 66.4 対象システムに関する脆弱性情報の提供.. 6７． 使用機器やサービス等に係る要件.. 77.1 費用負担.. 77.2 クラウド上での利用について.. 77.3 機器の構築・設定.. 77.4 インシデント発生時の対応.. 77.5 ログの取得.. 77.6 バックアップ.. 8８． その他.. 88.1 第三者委託.. 88.2 体制整備.. 88.3 機密保持.. 98.4 技術提案について.. 98.5 サプライチェーンリスクマネジメントについて.. 98.6 契約の履行について.. 108.7 損害発生時の対応について.. 103 / 10１．調達件名高専情報環境に係る情報セキュリティ対策業務 一式２．調達の目的等2.1 調達の目的本調達は、独立行政法人 国立高等専門学校機構(以下、「機構」という。)テナントのMicrosoft Azure(以下、「Azure」という。) 上で運用されている情報システムを安全に利用するために、通信の監視や不正アクセスの遮断、脆弱性診断といった情報セキュリティ対策に関する業務を委託するものである。 2.2 情報セキュリティ対策の必要性機構は、政府機関等と同様に、「政府機関等のサイバーセキュリティ対策のための統一基準(以下、「統一基準」という。 )」に基づく情報セキュリティ監査(助言型のマネジメント監査及びペネトレーションテスト)の対象法人であることから、統一基準に準拠した情報セキュリティ対策への対応ならびに安全な環境の維持・確保を義務付けられている。 本調達の対象システムは、機密性の高い情報を取り扱っており、同時に、場所を問わずアクセスできる利便性を確保しているため、相応の情報セキュリティ対策が求められる。 ３．請負期間令和８年４月１日～令和９年３月３１日４．対象システム本書記載の要件における対象システムは以下のものとする。 対象システムの監視 ・CBTシステム(学生用)・CBTシステム(作問用)対象システムにおける脆弱性の診断・CBTシステム(学生用)・CBTシステム(作問用)・統合データベースシステム『UDB』(Unified DataBase)(プラットフォーム診断のみ)・データベース修正用システム(プラットフォーム診断のみ)なお、対象システムのネットワーク構成図等、詳細情報を示す資料については、情報セキュリティ上の理由から、本調達以外の目的で使用しない旨の誓約書を提出することを条件に希望者のみに配布する。 希望者は別途、高専機構本部財務課契約係まで、資料4 / 10を希望する旨、連絡すること。 ５．受注条件(1) 請負者は、一般社団法人情報マネジメントシステム認定センター、公益財団法人日本適合性認定協会、もしくはその他認定機関により認定された審査登録機関によるISO/IEC27001又はJIS Q 27001の認証を受けていること。 (2) 請負者は、一般財団法人日本情報経済社会推進協会からプライバシーマーク制度によるプライバシーマーク(JISQ15001)使用許諾の認証を受けていること。 または、日本工業規格「個人情報保護マネジメントシステム－要求事項(JIS Q 15001)」に準拠した個人情報保護マネジメントシステムを確立していること。 (3) 請負者は、情報処理推進機構(IPA)が公開している情報セキュリティサービス基準適合サービスリスト(最新版)「脆弱性診断サービス」分野に登録されていること。 (4) 請負者は、脆弱性診断に対する知見を有することを証明するため、脆弱性診断に関する類似の契約が過去３年以内に10件以上あること。 (5) 作業従事者は 2 名以上とし、以下条件を満たすこと。 ① 脆弱性診断に関する業務経験を 3 年以上有すること。 ② 以下いずれかの資格を保有していること。 ・ 情報システムセキュリティプロフェッショナル認定資格(CISSP)・ 公認情報システム監査人(CISA)・ 公認情報セキュリティマネージャ(CISM)・ 公認情報セキュリティ監査人・ GPEN GIAC Penetration Tester・ GWAPT GIAC Web Application Penetration Tester・ OSCP Offensive Security Certified Professional・情報処理安全確保支援士(RISS)６．業務内容6.1 対象システムの監視(1) ファイアウォール装置等によるネットワークを防御する仕組みを用いて、対象システムの情報セキュリティ監視を行うこと。 (2) 監視サービス提供時間は 24 時間体制とする。 5 / 10(3) 対象システムに対するサービス不能攻撃への対策のため、ファイアウォール装置等のネットワークを防御する仕組みを設置して、対象システムやその通信経路における通信の監視を行うこと。 また、サービス不能攻撃と判断される攻撃を検知した場合には、攻撃元からの通信の遮断、対象システムのネットワークからの遮断、通信回線の通信量の制限等をはじめとする手法で、ネットワーク負荷を軽減し、対象システムの安定に努めること。 ネットワークを防御する仕組みに関して、機構担当者が指定する方法で設置すること。 (4) 対象システムにおける、以下の脆弱性を検出し、防御策の運用を行うこと。 ① SQL インジェクション脆弱性② OS コマンドインジェクション脆弱性③ クロスサイトスクリプティング脆弱性④ HTTP ヘッダインジェクション脆弱性⑤ ディレクトリトラバーサル脆弱性⑥ セッション管理の脆弱性上記項目以外にも、対象システムへ影響を及ぼしかねない脆弱性を検出・認知した場合には、機構担当者へ速やかに報告を行うこと。 (5) 対象システムの安定稼働や利用者または対象システムの要保護情報に対する重大侵害行為を検知した場合には、直ちに機構担当者へ連絡を行い、必要かつ推奨する対応について助言やサポートを行うこと。 (6) 監視状況の結果について、月毎に取りまとめ及び状況分析を行い、監視報告書を作成し、翌月初旬を目途に機構担当者へ提出すること。 監視報告書には、監視実施記録及び状況分析、セキュリティ懸念や推奨対策を記載すること。 (7) 監視報告書の内容を報告する監視報告会を、3か月に一度行うこと。 ただし、緊急の報告が必要となった場合は、別途、それに関する報告会を行うものとする。 (8) 対象システムに係る監視項目、監視方式、監視体制や連絡フロー等の詳細は、機構担当者と協議した上で決定すること。 (9) 監視に係るファシリティ(設備や機器、電力等)や人的リソースについては、請負者の負担とする。 6 / 106.2 対象システムにおける脆弱性の診断(1) 対象システムで利用するOSやソフトウェアにおいて、新たに確認された脆弱性や未対応の脆弱性が残存していないかの確認を、年１回以上のWebアプリケーション診断と、年1回以上のプラットフォーム診断より行うこと。 本診断により脆弱性が検出された場合、必要に応じて、再診断を求めることができること。 なお、診断に必要な対象システムの詳細情報は、契約後に共有する。 また、「統合データベースシステム『UDB』」、「データベース修正用システム」については、Webアプリケーション診断の対象から除外し、プラットフォーム診断のみを行う。 (2) 脆弱性診断は、独立行政法人情報処理推進機構(IPA)による「安全なウェブサイトの作り方」や 、OWASP(Open Web Application Security Project)Top10 を参照した上で実施すること。 (3) 脆弱性診断の結果は、機構担当者へ報告すること。 報告には脆弱性、緊急度、リスク、推奨対策、参考情報等を含め、以上の項目をシステムごとに記載した報告書を用意すること。 また、脆弱性への対応をシステム改修によって行う必要がある場合、助言やサポートを行うこと。 なお、脆弱性診断の結果、項6.1の(4)に示す項目以外にもシステムへ影響を及ぼしかねない脆弱性を検出・認知した場合には、併せて報告・助言・サポートを行うこと。 6.3 診断結果への対応(1) 脆弱性診断により対象システムに脆弱性が確認された場合や、対象システムで利用するOSやソフトウェアに関連する脆弱性情報を入手した場合には、対象システムへの影響を考慮した上で、セキュリティパッチの適用又はソフトウェアのバージョンアップ等による脆弱性に対する対応を通知し、必要な助言やサポートを行うこと。 (2) 確認された脆弱性に対して、何らかの要因により、直ちに対象システム側で根本対応が実施できない場合は、リスクを最小化するための暫定的な対応方法を検討し、機構に提案すること。 6.4 対象システムに関する脆弱性情報の提供対象システムで使用されているOSやソフトウェア等の脆弱性情報を週１回以上の頻度で調査し、入手した場合は機構に報告すること。 7 / 10７．使用機器やサービス等に係る要件対象システムの監視や脆弱性の検出等において、機器やサービス類を利用する場合、以下の要件を満たすこと。 7.1 費用負担利用に関する費用は、請負者が負担すること。 7.2 クラウド上での利用についてクラウド上で機器やサービス類を利用する場合、以下の要件を満たすこと。 ① 機器やサービス類をAzure上で運用する場合、機構で契約しているテナント上ではなく、請負者がテナントを別途契約して行うこと。 ② 機器やサービスを運用するクラウドサービスの準拠法は日本の法律であること。 また、管轄裁判所を日本国内の裁判所とすること。 7.3 機器の構築・設定(1) セキュリティセンサー(IPS/IDS、WAF等)、エージェントソフトウェア等の機器やサービス等を利用する場合、詳細設定及びシグネチャの設定については、請負者の責任において、適切に構築及び設定を行うこと。 (2) 機器やサービスと対象システムの間でインターネットを経由した通信を行う場合、暗号化された通信であること。 (3) ゲートウェイ型のものを使用する場合は、利用率等の稼働状況及びトラフィック情報について集計すること。 また、次の性能を満たすこと。 ① スループット: 50Mbps以上② セッション数: 10万以上なお、通信量の増加等により、機器やサービス類の性能が不足するもしくは不足が予測される場合は、速やかに機構担当者に相談すること。 7.4 インシデント発生時の対応機器やサービスが情報セキュリティインシデントを起こした場合、速やかに状況を調査し、機構に報告すること。 また、速やかに再発防止策を策定し、資料にまとめて機構へ提出すること。 なお、本資料は電子ファイルで作成・提出するものとする。 7.5 ログの取得(1) トラフィック・攻撃検知などのログを取得・保管すること。 (2) 取得したログは、１年以上アーカイブできること。 (3) 機構担当者が求めた場合、双方が協議をしたうえで、問題の対処に必要となる範囲の8 / 10ログを提供すること。 7.6 バックアップ機器やサービスに故障や破損があった場合に、迅速な復旧及び原因究明の証拠保全が行えるよう、使用機器やサービス等に係る設定情報のバックアップを定期的に取得すること。 バックアップについて、次に示す要件を満たすこと。 ① バックアップ間隔は２週間以内、バックアップの保存期間は３か月以上であること。 ② バックアップが正常に取得できていることを定期的に点検すること。 ③ 保存期間を過ぎたバックアップは適切な方法で消去、抹消又は廃棄すること。 また、体制が変更になった場合は速やかに機構へ報告を行うこと。 また、情報セキュリティ侵害発生時には、機構の情報セキュリティ監査を受け入れること。 (3) 請負者は、本業務における情報セキュリティ対策が適切に履行されていることを、ひと月ごとに書面にて機構に提出すること。 また、情報セキュリティ対策が不十分だったことが判明した場合、請負者の責において、適切な対策を講ずること。 9 / 108.3 機密保持請負者は、業務を実施するに当たり、機構から取得した資料(電子媒体、文書、図面等の形態を問わない)を含め、取り扱う情報を第三者に開示又は本調達の業務以外の目的で利用しないものとする。 また、取り扱う情報について、以下のことに留意すること。 ① 取り扱う情報は情報セキュリティ対策業務のみに使用し、他の目的には使用しないこと。 ② 取り扱う情報は情報セキュリティ対策業務を行うもの以外には秘密とすること。 ③ 取り扱う情報は情報セキュリティ対策業務を行う場所から持ち出さないこと。 ④ 取り扱う情報は機構の許可なく複製しないこと。 ⑤ 取り扱う情報については、請負期間終了時に廃棄もしくは抹消を確実に行うこと。 機器やサービス等を利用した場合は、機器・サービスごとにデータ消去証明書を機構に提出すること。 ⑥ 機密保持契約については、請負期間終了後も同様の扱いとすること。 ただし、次のいずれかに該当する情報は除く。 ① 機構から取得した時点で、既に公知であるもの② 機構から取得後、請負者の責によらず公知となったもの③ 法令等に基づき開示されるもの④ 機構から秘密でないと指定されたもの⑤ 第三者への開示又は本調達に係る作業以外の目的で利用することにつき、事前に機構に協議の上、承認を得たもの8.4 技術提案について本件業務について、本書の要求をどのように満たすか、あるいはどのように実現するか技術的要件ごと具体的に技術提案を行うこと。 また、そのための提案書等資料を提出すること。 8.5 サプライチェーンリスクマネジメントについて① 受注者は、サプライチェーンリスクの要因となる脆弱性を発生させない又は増大させないための管理体制を構築すること。 また、応札時に情報セキュリティの確保を目的とした体制を整備し、機構に提示すること。 報告する体制には、以下の情報を含めること。 ●管理体制図●請負者の資本関係・役員等の情報●事業の実施場所●事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・10 / 10実績及び国籍に関する情報② 上記の体制が変更になった場合は速やかに機構へ報告を行うこと。 また、情報セキュリティ侵害発生時には、機構の情報セキュリティ監査を受け入れること。 ③ 受注者は、本業務における情報セキュリティ対策が継続して適切に履行されているかどうか、報告書に記載すること。 また、情報セキュリティ対策が不十分だったことが判明した場合、受注者の責において、適切な対策を講ずること。 ④ 受注者は、業務完了後、本件に係る情報を返却または抹消し、そのことを機構に書面で報告すること。 ⑤ 請負者が業務を実施するにあたり使用する機器やサービスに関して、その開発工程において、機構の意図しない変更が行われていないことを保証する管理が、一貫した品質保証体制の下でなされていること。 また、当該品質保証体制が書類等で確認できること。 ⑥ 請負者が業務を実施するにあたり使用する機器やサービスに関して、機構の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入検査等、機構と請負者が連携して原因を調査・排除できる体制を整備していること。 また、当該体制が書類等で確認できること。 ⑦ 請負者は、情報セキュリティインシデントが起こった際の対応手順を、応札時に機構に提示すること。 ⑧ 情報セキュリティインシデントが発生した際には、ただちに機構に報告すること。 ⑨ 受注者は、機構がサプライチェーンリスクに係る情報セキュリティインシデントを認知した場合又はその疑いが生じた場合に、必要に応じて業務内容、作業プロセス又は成果物を立ち入り検査等で機構が確認することを了承すること。 8.6 契約の履行について本調達の履行について疑義が生じたとき、又は本調達に伴い機構と交わす契約書に定めない事項については、機構及び請負者の双方で協議の上決定すること。 それにより追加業務等が発生する場合は、高専機構本部財務課契約係を通して発注するので、請負者はそれ以外の者からの発注や依頼を受け付けないこと。 8.7 損害発生時の対応について請負者の故意又は過失により損害が発生した場合は、請負者の責により原状復帰すること。