第3次高知県情報セキュリティクラウド構築等委託業務に係る総合評価一般競争入札について
高知県の入札公告「第3次高知県情報セキュリティクラウド構築等委託業務に係る総合評価一般競争入札について」の詳細情報です。 カテゴリーは役務の提供等です。 所在地は高知県です。 公告日は2026/03/31です。
新着
- 発注機関
- 高知県
- 所在地
- 高知県
- カテゴリー
- 役務の提供等
- 公示種別
- 一般競争入札
- 公告日
- 2026/03/31
- 納入期限
- -
- 入札締切日
- -
- 開札日
- -
元の公告ページを見る ↗
リンク先が表示されない場合は、発注機関のサイトで直接ご確認ください
添付ファイル
公告全文を表示
第3次高知県情報セキュリティクラウド構築等委託業務に係る総合評価一般競争入札について
-------------------------入 札 公 告-------------------------政府調達に関する協定の適用を受ける調達を、次のとおり一般競争入札に付する。
令和8年4月1日高知県知事 濵田 省司1 入札に付する事項(1 ) 特定役務の名称及び数量第3次高知県情報セキュリティクラウド構築等委託業務一式(2 ) 特定役務の特質等入札説明書による。
(3 ) 特定役務の履行期間特定役務に係る契約の締結の日から令和 14年3月 31日まで(4 ) 入札方法ア 地方自治法施行令 (昭和 22年政令第 16号 )第 167条の 10の2に規定する総合評価一般競争入札の方法によるので、入札に参加しようとする者は、入札書の提出とともに、契約の対象となる特定役務の性能、機能、技術等を記載した提案書を提出しなければならない。
イ 落札決定に当たっては、入札書に記載された金額に当該金額の 100分の 10に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数を切り捨てるものとする。)をもって落札価格とするので、入札者は、消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の 110分の 100に相当する金額を入札書に記載すること。
2 入札参加資格次に掲げる全ての要件を満たし、かつ、4 (3 )により事前にこの入札公告に係る入札参加資格があることの確認を受けた者は、この一般競争入札に参加することができる。
(1 ) 地方自治法施行令 (昭和 22年政令第 16号 )第 167条の4の規定に該当しない者であること。
(2 ) 高知県における「令和6年度~令和8年度競争入札参加資格者登録名簿(物品購入等関係)」に登録されている者であること。
(3 ) この入札公告の日から入札の日までの間に、高知県物品購入等関係指名停止要領(平成7年 12月高知県告示第638号)に基づく指名停止等の措置を受けていない者であること。
(4 ) 4 (3 )によりこの入札公告に係る入札参加資格があることの確認を受ける日から入札の日までの間に、令和6年度から令和8年度までに県が発注する物品の購入又はサービスの契約に係る一般競争入札又は指名競争入札の参加者の 資 格 等 ( 令 和 5 年 9 月 高 知 県 告 示 第 638号 。以 下 「 告示」という。)第1の2 (9 )に該当し、告示第7の規定により入札参加資格の取消しを受けていない者であること又は告示第1の2 (9 )に該当しない者であること。
(5 ) (1 )から (4 )までに掲げるもののほか、入札説明書に示した入札参加資格要件を満たす者であること。
3 契約条項を示す場所等(1 ) 契約条項を示す場所、入札説明書の交付場所及び問合せ先 郵便番号 780- 0870高知市本町四丁目1番 16号 高知電気ビル別館7階高知県総合企画部デジタル政策課電話番号 088- 823- 9773(2 ) 入札説明書の交付方法ア 手渡しによる交付の場合令和8年4月1日(水)から同月 22日(水)まで(日曜日及び土曜日を除く。)の午前9時から午後5時まで(午後零時から午後1時までの間を除く。)の間に (1 )の交付場所で交付する。
イ ダウンロードによる交付の場合令和8年4月1日午前9時から同月 22日午後5時までの間 に 高 知 県 総 合 企 画 部 デ ジ タ ル 政 策 課 の ホ ー ム ペ ー ジ( h t t p s : / / w w w . p r e f . k o c h i . l g . j p / s o s h i k i / 0 8 0 0 0 0 /080501/)で交付する。
(3 ) 入札及び開札の日時及び場所ア 日時令和8年5月 12日(火)午前9時郵送による場合は、書留郵便によるものとし、令和8年5月 11日(月)午後5時までに (1 )の交付場所に必着すること。
イ 場所高知市本町四丁目1番 16号 高知電気ビル別館7階 高知県総合企画部デジタル政策課 会議室(4 ) プレゼンテーション審査の日時及び場所ア 日時令和8年5月 21日(木)午後1時 30分から午後5時までイ 場所高知市本町四丁目1番 16号 高知電気ビル別館7階 高知県総合企画部デジタル政策課 会議室4 その他(1 ) 入札及び契約の手続において使用する言語及び通貨日本語及び日本国通貨(2 ) 入札保証金及び契約保証金高知県契約規則(昭和 39年高知県規則第 12号。以下「規則」という。)第9条、第 10条、第 39条及び第 40条の規定による。
(3 ) 入札に参加を希望する者に求められる事項この一般競争入札に参加を希望する者は、入札説明書に示した入札参加資格要件を満たすことを証明する書類を令和8年4月 22日午後5時までに3 (1 )の交付場所に提出し、この一般競争入札に参加する資格があることの確認を受けなければならない。
また、開札の日までの間において、知事から当該書類に関し説明を求められた場合は、これに応じなければならない。
(4 ) 入札の無効この入札公告に示した入札参加資格のない者がした入札、入札者に求められる義務を履行しなかった者がした入札その他規則第 21条各号のいずれかに該当する入札は、無効とする。
(5 ) 落札者の決定方法等ア 規則第 15条の規定により決定された予定価格の制限の範囲内の価格をもって入札をした者のうち、地方自治法施行令 (昭和 22年政令第 16号 )第 167条の 10の2第3項の規定による落札者決定基準により、価格その他の条件が最も有利なものをもって入札をした者を落札者とする。
ただし、落札者が、入札の日から契約を締結する日までの間に、告示第1の2 (9 )に該当し、告示第7の規定により入札参加資格の取消しを受けたとき又は告示第1の2 (9 )に該当したとき当該落札者と契約を締結しないものとする。
イ 落札者決定基準は、入札説明書による。
(6 ) 手続における交渉の有無無(7 ) 契約書作成の要否要(8 ) 資格審査に関する事項2 (2 )に掲げる入札参加資格要件を有しない者で、この一般競争入札に参加を希望するものは、知事が別に定める申請書に必要書類を添えて、高知県会計管理局総務事務センターに提出すること。
ただし、令和8年4月 22日午後5時までに申請を行わなかったときは、この入札公告に係る入札参加資格が与えられない。
また、同日までに申請を行った場合でも、申請書類に不備があるときは、この入札公告に係る入札参加資格が与えられないことがある。
なお、申請書を提出するときは、この入札公告の日、入札の件名及び入札の日時を当該申請書の欄外に朱書するとともに、当該事項を申し出ること。
(9 ) 関連情報を入手するための照会窓口3 (1 )に同じ。
(10) 詳細は、入札説明書による。
5 Summary(1 ) N a t u r e and quantity of the products to beprocured: 3 rd Kochi Prefecture Information SecurityCloud Construction and Operation Project CommissionedWork 1 set(2 ) D e a d l i n e for the submission of documents tocertify the qualification: 5:00 P.M. on Wednesday 22April 2026(3 ) Deadline for the submission of documents to tender(by hand): 9:00 A.M. on Tuesday 12 May 2026(4 ) Deadline for the submission of documents to tender(by registered mail): To arrive at the division notedin (5 ) by 5:00 P.M. on Monday 11 May 2026( 5 ) Contact: Digital Policy Division, Department ofGeneral Planning, Kochi Prefectural Government, 4-1-16Honmachi, Kochi City, Kochi 780-0870 JapanTel:( 088-823-9773)(6 ) Others: As in the tender documentation
入 札 説 明 書第3次高知県情報セキュリティクラウド構築等委託業務高知県総合企画部デジタル政策課第3次高知県情報セキュリティクラウド構築等委託業務に係る入札公告(令和8年4月1日付け)に基づく入札等については、この入札説明書によるものとする。
この入札に係る調達は、地方公共団体の物品等又は特定役務の調達手続の特例を定める政令(平成7年政令第372号)の適用を受ける。
この入札を次のとおり実施する。
1 契約担当者 高知県知事 濵田 省司2 入札に付する事項(1) 調達をする特定役務の名称及び数量第3次高知県情報セキュリティクラウド構築等委託業務 一式(2) 調達をする特定役務の仕様その他の明細第3次高知県情報セキュリティクラウド構築等委託業務仕様書(以下「仕様書」という。)による(3) 契約期間契約締結日から令和14年3月31日まで(4) 履行場所仕様書のとおり(5) 入札方法ア 地方自治法施行令(昭和22年政令第16号。以下「施行令」という。)第167条の10の2に規定する総合評価一般競争入札の方法による。
イ 入札金額は、(3)で示す期間の第3次高知県情報セキュリティクラウド構築等委託業務に要する総額を入札書に記載すること。
なお、内訳には、構築費用及び運用費用を別々に記載すること。
ウ 落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数を切り捨てるものとする。)をもって落札価格とするので、入札者は、消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。
3 入札参加資格に関する事項この入札に参加することができる者は、資格申請の時点から落札決定の日までの間において、次の要件を満たしている者であって、参加資格の審査において高知県知事から参加資格の確認を受けた者とする。
(1) 地方自治法施行令(昭和22年政令第16号)第167条の4の規定に該当しない者であること。
(2) 高知県における「令和6年度から令和8年度競争入札参加資格者登録名簿(物品購入等関係)」に登録されている者であること。
(3) この入札公告の日から入札の日までの間に、高知県物品購入等関係指名停止要領(平成7年12月高知県告示第638号)に基づく指名停止等の措置を受けていない者であること。
(4) 5により、入札参加資格があることの確認を受ける日から入札の日までの間に、令和6年度から令和8年度までに県が発注する物品の購入又はサービスの契約に係る一般競争入札又は指名競争入札の参加者の資格等(令和5年9月高知県告示第638号。以下「告示」という。)第1の2(9)に該当し、告示第7の規定により入札参加資格の取消しを受けていない者であること又は告示第1の2(9)に該当しない者であること。
(5) 令和7年度までに、都道府県において同種又は同等程度の業務の契約実績を2回以上有するものであること(現在履行中である場合を含む)。
4 入札参加資格の審査に関する事項3(2)の入札参加資格を有しない者で、入札に参加を希望する者は、知事が別に定める「競争入札参加資格審査申請書」(以下「申請書」という。)に必要事項を記入のうえ、必要書類を添えて高知県会計管理局総務事務センターに提出すること。
ただし、令和8年4月22日(水)午後5時までに申請を行わなかったときは、この入札公告に係る入札参加資格が与えられない。
同日までに申請を行った場合でも、申請書類に不備があるときは、入札参加資格が与えられないことがある。
なお、申請書を提出するときは、この入札公告の日、入札の件名及び入札の日時を当該申請書の欄外に朱書きするとともに、当該事項を申し出ること。
(競争入札参加資格審査申請に関する照会及び審査申請書の提出先)所在地 高知県高知市丸ノ内一丁目2番20号機関名 高知県会計管理局総務事務センター 会計・物品担当電話 088-823-9788 FAX 088-823-9266メールアドレス 180301@ken.pref.kochi.lg.jpURL https://www.pref.kochi.lg.jp/soshiki/180000/180301/5 入札に参加を希望する者に求められる事項この入札に参加を希望する者は、3に示した入札参加資格要件を満たすことを証明する書類を添えて、「入札参加意思確認申請書(様式3)」を提出し、この入札に参加する資格があることの確認を受けなければならない。
また、開札の日までの間において、知事から当該書類に関し説明を求められた場合は、これに応じなければならない。
(1) 提出方法ア 持参又は郵送する場合6の場所に提出すること。
郵送の場合は、書留に限る。
イ 電子申請の場合「第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札参加関係書類提出フォーム」からファイルを添付すること。
https://apply.e-tumo.jp/pref-kochi-u/offer/offerList_detail?tempSeq=17886(2) 提出期限令和8年4月22日(水)午後5時(必着)(3) 資格要件の確認高知県総合企画部デジタル政策課で申込者から提出のあった「入札参加意思確認申請書」と関係書類を確認し、申込者の資格要件の確認が完了したら、確認結果通知を令和8年4月30日(木)までに申込者へ高知県電子申請サービス又は電子メールにて通知する。
6 契約条項を示す場所、問い合わせ先〒780-0870 高知市本町四丁目1番16号 高知電気ビル別館7階高知県総合企画部デジタル政策課 デジタル県庁担当TEL:088-823-9773E-mail:080501@ken.pref.kochi.lg.jp7 入札書類に関する事項(1) 提出書類ア 入札書(様式1) ※記入例①、②参照イ 提案書類(様式等については提案書作成要領のとおり)(2) 入札参加者は、入札説明書、仕様書等を熟知のうえ入札しなければならない。
この場合において、当該仕様書等について疑義がある場合は、説明を求めることができる。
ただし、入札後、仕様書等についての不知又は不明を理由として異議を申し立てることはできない。
(3) 質疑事項質疑事項がある場合には、「質疑書(様式4)」により令和8年4月21日(火)午後5時までに電子申請の以下の指定フォームから提出すること。
「第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札質疑書提出フォーム」https://apply.e-tumo.jp/pref-kochi-u/offer/offerList_detail?tempSeq=17888なお、質疑書に対する回答は、令和8年4月28日(火)午後5時までに高知県総合企画部デジタル政策課ホームページ(https://www.pref.kochi.lg.jp/soshiki/080000/080501/)にまとめて掲載するものとする。
(4) 仕様書関連資料の提供 秘密保持誓約書(様式5)を提出した場合に、仕様書の別紙資料を配付する。
ア 配付資料 仕様書別紙1から9 イ 受付期間 参加資格確認申請書受領後から令和8年4月22日(水)午後5時まで ただし、参加資格確認申請書に添えた入札参加資格要件を満たす証明書等に明らかな不備がある場合は、配付しないことがある。
ウ 提出方法電子申請の以下の指定フォームから提出のうえ、6に電話連絡すること。
「第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札秘密保持契約書フォーム」https://apply.e-tumo.jp/pref-kochi-u/offer/offerList_detail?tempSeq=18874(5) 記載内容等ア 入札書には、次に掲げる事項を記載すること。
(ア) 入札書提出年月日(イ) 入札参加者本人の住所、氏名(法人の場合は、その商号又は名称及び代表者の氏名)及び会社印・代表者印の押印(外国人の署名含む。以下同じ。)(ウ) 代理人が入札する場合は、入札参加者本人の住所及び氏名(法人の場合は、その商号又は名称及び代表者の氏名)並びに代理人であることの表示、当該代理人の住所、氏名及び押印(エ) 入札金額(オ) 入札金額の内訳金額(構築費用及び運用費用)(カ) 契約件名又は対象イ 入札参加者又はその代理人(以下「入札参加者等」という。)は、入札書の記載事項を訂正する場合は、当該訂正部分について押印しなければならない。
ただし、入札金額の訂正又は加筆はできない。
ウ 入札参加者等は、その提出した入札書の差替え、変更又は取消しをすることができない。
(6) 提出方法ア 入札書 持参又は郵送により提出することとし、その他の方法による入札は認めない。
(ア) 持参する場合8の場所、日時において投函すること。
なお、代理人による入札の場合は事前に「委任状(様式2)」を提出すること。
(イ) 郵送の場合 ※(別紙1)「郵送により提出する場合の表示方法例」参照a 入札書を内封筒に入れ密封・封印(代表者印又は、代理人入札の場合は代理人印)する。
内封筒の表面に提出先の宛名(高知県総合企画部デジタル政策課デジタル県庁担当あて)及び入札者の氏名(法人の場合はその商号又は名称)を記入し、開札日(5月12日)及び入札件名(「第3次高知県情報セキュリティクラウド構築等委託業務の入札書在中」)を朱書きのうえ、送付先の横に「入札書在中」及び「親展」と朱書きした外封筒へ入れて封かんのこと。
なお、代理人による入札の場合は「内封筒」と「委任状」を外封筒に同封すること。
b 書留により、令和8年5月11日(月)午後5時までに6の場所に必着のこと。
イ 提案書類 持参又は郵送により、令和8年5月12日(火)午後5時までに6の場所に提案書作成要領のとおり提出すること。
8 入札執行の事項(1) 場所 高知市本町四丁目1番16号 高知県電気ビル別館7階 会議室(2) 日時 令和8年5月12日(火)午前9時(3) 開札の方法ア 入札者又はその代理人は、郵送による場合を除き開札に立ち会うこと。
イ 入札者又はその代理人が開札に立ち会わない場合は、この入札事務に関係のない職員を立ち会わせる。
ウ 開札した結果、落札となるべき入札がない場合は、再度の入札を行う。
入札者又はその代理人は、入札に必要なもの(印鑑等)を持参すること。
9 審査委員会実施の事項審査要領による。
10 入札保証金及び契約保証金(1) 入札保証金 高知県契約規則(昭和39年規則第12号)第9条又は第10条の規定による。
(2) 契約保証金 高知県契約規則第39条又は第40条の規定による。
11 入札の無効この入札公告に示した入札参加資格のない者がした入札、入札者に求められる義務を履行しなかった者がした入札、その他高知県契約規則第21条各号に該当する入札は、無効とする。
12 落札者の決定方法 この入札は、地方自治法施行令(昭和22年政令第16号)第167条の10の2に規定する総合評価一般競争入札の方法によるので、予定価格の制限の範囲内の価格をもって入札をした者のうち、同条第3項の規定による落札者決定基準により、価格その他の条件が最も有利なものをもって入札をした者を落札者とする。
開札において、予定価格の制限の範囲内の価格をもって入札をした者及びその入札価格のみを発表することとするが、落札者は、落札者決定基準に基づき、入札価格及び提案内容を評価のうえ、決定し、当該落札者及びその他の入札者に対し後日通知する。
なお、落札結果は高知県情報公開条例に基づく開示請求があった場合には、開示の対象となる。
高知県情報公開条例[https://ops-jg.d1-law.com/opensearch/SrJbF01/init?jctcd=8A8BE480CA&houcd=H402901010001&no=1&totalCount=1&fromJsp=SrMj]13 落札者決定基準落札者決定基準による。
14 契約書作成の要否要(落札者は、落札決定後速やかに契約の締結方法について、書面で行うか契約内容を記録した電磁的記録で行うかを申し出ること。)15 その他(1) この入札への参加者は、入札説明書及び入札心得を了知すること。
(2) 入札参加者及び契約の相手方が本件調達に関して要した費用は、全て当該入札参加者及び当該契約の相手方が負担する。
(3) 落札者が、高知県から「高知県の事務及び事業における暴力団の排除に関する規程」に基づく入札参加資格停止措置を、入札の日から本契約締結の日までの期間内に受けたとき又は同規程第2条第2項第5号に規定する排除措置対象者に該当したときは、当該落札者と契約を締結しないものとする。
(4) 入札及び契約の手続において使用する言語及び通貨日本語及び日本国通貨(5) 入札参加者及び契約の相手方が本件調達に関して要した費用は、当該入札参加者及び当該契約の相手方の負担とする。
(6) 世界貿易機関(WTO)に基づく政府調達に関する協定の適用ア この競争入札による調達は、世界貿易機関(WTO)に基づく政府調達に関する協定の適用を受ける。
イ 特定調達に係る苦情処理の関係において、高知県政府調達苦情検討委員会設置規定(平成8年9月2日告示第585号)に定める高知県政府調達苦情検討委員会は、調達手続の停止等を要請する場合がある。
この場合、調達手続の停止等があり得る。
(別紙1)郵送により提出する場合の表示方法例二重封筒とし、外封筒に「親展 入札書在中」と朱書き、内封筒の表には「5月12日開札 第3次高知県情報セキュリティクラウド構築等委託業務 入札書在中」と朱書きし、内封筒の裏には代表者印(代理人入札の場合は代理人印)で封印し、期限までに到着するように書留により送付しなければならない。
(下図参照) (外封筒表) (外封筒裏)
高知県総合企画部デジタル政策課 あて○ ○ ○ ○ 株式会社
五月十二日 開札 第3次高知県情報セキュリティクラウド構築等委託業務入札書在中日程等補足説明 1 令和8年4月1日(水)入札公告 2 令和8年4月1日(水)午前9時入札説明書等交付開始3 令和8年4月21日(火)午後5時質疑書提出期限提出方法:電子申請4 令和8年4月22日(水)午後5時競争入札参加資格審査申請書提出期限提出先:高知県会計管理局総務事務センター 5 令和8年4月22日(水)午後5時入札参加意思確認申請書提出期限提出方法:持参、郵送又は電子申請仕様書の別紙の配付期限6 令和8年5月11日(月)午後5時郵送による入札書提出期限7 令和8年5月12日(火)午前9時入札及び開札8 令和8年5月12日(火)午後5時提案書類提出期限提出方法:持参又は郵送9 令和8年5月21日(木)午後1時30分からプレゼンテーション
第3次高知県情報セキュリティクラウド構築等委託業務仕様書 (第1.0版)高知県総合企画部デジタル政策課版数 日付 変更箇所 変更内容1.0 令和8年 月 日(契約日)初版第1章 基本事項.31 目的.32 業務の概要.33 システムの構成.34 業務の範囲.45 納入成果物.76 スケジュール.77 留意事項.7第2章 システムの要件.. 91 機能要件.9(1)インターネット通信の監視.9(2)セキュリティインシデントの予防.10(3)SOC運用サービス.. 14(4)対応と復旧.16(5)県固有要件.172 非機能要件.22(1)機器設置場所に関する要件.22(2)通信回線.23(3)ネットワーク環境に関する要件.23(4)情報セキュリティ.24(5)可用性.25(6)規模.25(7)拡張性・柔軟性.25第3章 テスト作業要件.. 261 テスト計画、実施及び評価.262 テスト項目.26第4章 移行作業要件.. 271 移行要件.272 各接続団体の移行支援.27第5章 運用サービス要件.. 281 運用設計.282 運用要件.293 情報セキュリティの監視及びセキュリティインシデント対応.294 ヘルプデスク要件.315 運用サポート(日常運用業務).32第6章 構築作業体制及び構築方法.. 341 作業体制及び構築方法.34第7章 契約条件等.. 351 受託事業者の要件.352 契約期間及び契約方法.353 委託業務終了時の対応.354 第4次高知県情報セキュリティクラウドへの移行支援.363第1章 基本事項1 目的本業務は、現行の第2次高知県情報セキュリティクラウド(以下「第2次」という。)が令和8年度末に運用期限を迎えることから、令和8年度末までに第3次高知県情報セキュリティクラウド(以下「セキュリティクラウド」又は「第3次」という。)の構築・移行を行い、令和9年度から令和13年度までの運用を行うものである。
第3次の目的としては、現行のαモデルを基本としつつも、自治体DXの進展に伴うβモデルへの円滑な移行、およびSaaS利用の拡大に柔軟に対応可能な拡張性の高いプラットフォームを構築し、セキュリティ水準の確保とコストの抑制を図ることにある。
構築・運用においては、引き続き県が主体となり、令和7年1月31日に総務省自治行政局デジタル基盤推進室から示された「自治体情報セキュリティクラウドについて」を踏まえ、国が示す機能要件をベースとして、県が必要とする機能を提供すること。
行政手続のオンライン化、テレワーク環境整備、「α'モデル・βモデル・β'モデル」への将来的なネットワーク構成変更に柔軟に実現できる提案を行うこと。
具体的には、SD-WAN等の技術活用により、トラフィックの増大や経路変更に迅速に対応可能な構成とするなどが想定される。
また、次々期では、GSS、ゼロトラストアーキテクチャを見据えた技術情報を提供するとともに、国の動向に合わせて柔軟に対応が可能な構成とすること。
基盤となるID管理やログの統合管理について、将来的な連携可能性を考慮した設計とすることなどが想定される。
なお、本仕様書で用いる用語・略語の定義を別紙1に示す。
2 業務の概要(1)セキュリティクラウドの設計・構築(2)セキュリティクラウドの利用に必要となるネットワークの敷設・設定(3)移行設計・移行支援(4)セキュリティクラウドの運用保守3 システムの構成セキュリティクラウドは、図1のとおり、インターネット接続系セグメント、LGWAN接続系セグメント、共同利用セグメント、ゲートウェイセグメント、運用監視/管理セグメントから構成される。
セキュリティクラウドに接続・利用する団体(以下「接続団体」という。)のインターネット接続系セグメント及びLGWAN接続系セグメントからは、それぞれアクセス回線として、セキュリティクラウドインターネットVPN、市町村VPN等によって接続される。
(1)インターネット接続系セグメントインターネット接続系に係るサーバを配置するセグメントを意味する。
また、DMZは当セグメントに包括される整理とする。
(2)LGWAN接続系セグメントLGWAN接続系に係るサーバを配置するセグメントを意味する。
また、共同利用セグメントは当セグメントに包括される整理とする。
(3)共同利用セグメント4複数の接続団体が共同で利用するアプリケーション及びセキュリティクラウドポータルサイトを配置するセグメントを意味する。
(4)ゲートウェイセグメントインターネット接続系セグメントとLGWAN接続系セグメントとの中継に係るセグメントを意味する当セグメントにおいて、インターネット接続系とLGWAN接続系間の分離を行う。
(5)運用監視/管理セグメント運用監視/管理に係るサーバ及びリモートメンテナンス専用ファイアウォールを配置するセグメントを意味する。
図1 セキュリティクラウド概要図4 業務の範囲本業務の範囲を以下に示す。
各作業の進め方については、プロジェクト計画立案の段階で県と調整し、承認を得ること。
なお、(1)~(6)については令和8年度中に実施し、(7)は令和9年度~令和13年度に実施する。
(1)全体プロジェクト管理プロジェクト計画を立案し、体制図・要員配置、進捗管理、品質管理、リスク管理など、本業務に関わる各種事項について総合的な管理を行う。
(2)要件定義機能、性能、ネットワーク、運用に係る要件定義を行う。
(3)設計及びテスト計画①機能設計機能要件及び性能要件に基づき、機能設計及びテスト計画作成を行う。
②ネットワーク設計機能要件、性能要件及び各接続団体の要件に基づき、ネットワークの設計を行う。
③運用設計稼働後の運用及び障害対応、セキュリティ監視やセキュリティインシデント対応等についての設計及びテスト計画作成を行う。
(4)設定①環境設定各種設計に基づき、必要資源の設置及び設定を行う。
②ネットワーク設定5ネットワーク設計に基づき、必要資源の設置及び設定を行う。
(5)テスト①機能テストテスト計画に基づき、各接続団体のセキュリティクラウドへの接続及び必要機能の動作を検証する。
②運用テスト日次・月次・年次のサイクルテスト及び性能・信頼性等の非機能要件を満たしていることを検証する。
(6)移行切替(第2次からの移行切替に係る作業一式)①計画作成第2次から移行が必要な資産・環境を調査し、全体及び個別資産の移行計画・移行手順を作成する。
②テスト及び実施移行切替リハーサル及び移行切替を実施する。
③接続団体移行切替各接続団体へのヒアリングに基づき、団体ごとの移行計画・移行手順(役割分担)を作成し、各団体の移行切替作業を役割分担に応じて実施する。
(7)セキュリティクラウドの運用保守等①セキュリティ対応業務情報セキュリティの監視(SOC監視体制※)及びセキュリティインシデントへの対応を実施する。
※24時間365日(閏年は366日)セキュリティ機器を監視しサイバー攻撃の検出や分析、対策などのアドバイスを行う組織②運用保守業務ヘルプデスク業務、運用サポート業務、定期報告(月次・年次)を実施する。
③受託事業者における責任範囲図2のとおり、セキュリティクラウドに接続する高知県情報ハイウェイ(以下「情報ハイウェイ」という。)におけるセキュリティクラウド拠点内回線収容装置のセキュリティクラウド側インターフェイスを責任分界点とする。
ただし、接続団体に設置されたセキュリティクラウド接続ルータについては、セキュリティクラウドの責任範囲とするが、接続団体も当該ルータに係る善管注意義務を負うものとする。
セキュリティクラウドへのアクセス回線は、接続団体が設置及び保守するものとするが、アクセス回線として情報ハイウェイを利用する場合は、情報ハイウェイの概要は第2章2(2)②を参照すること。
接続団体の直近のアクセスポイント内回線収容装置の接続団体側インターフェイスから接続団体側を、接続団体の責任範囲とする。
6図2 セキュリティクラウドにおける責任分界点④セキュリティインシデント発生時における責任範囲SOCによるセキュリティインシデントの検知、影響範囲、攻撃内容の分析を元に、セキュリティクラウド側でセキュリティ機器、ネットワーク機器のオペレーションを行う。
併せて、県及び発生元となる接続団体への通知及び対策支援を行うことをセキュリティクラウドの責任範囲とする。
なお、接続団体内における端末の特定、証拠証跡の確保及び接続団体内における対策の実施は、接続団体の責任範囲とする。
(8)第4次高知県情報セキュリティクラウドへの移行支援本業務終了後、第4次高知県情報セキュリティクラウド(以下「第4次」という。)への円滑な移行を行うために必要な情報提供及び支援作業を実施するために、次のことを行うこととする。
①技術情報の提供次々期システムの要件定義および設計に必要な現行システムの論理構成図、パラメータシート、ポリシー設定一覧、および資産管理情報等の最新版を提供すること。
②移行データの作成蓄積されたセキュリティログ、統計データ、各接続団体の個別設定情報等を、次々期ベンダーが活用可能な標準的データ形式(CSV, JSON等)で整理・抽出すること。
③ナレッジ移管過去の障害対応履歴、運用上の特記事項、各団体特有の留意事項について、引継書を作成し、次々期事業者への説明会を実施すること。
④並行運用および切替支援新旧システムの並行稼働期間中、安全な切替えに向けた経路制御の変更協力や、トラブル発生時の切り戻し対応に協力すること。
各作業の役割分担を表1に示す。
7表1 役割分担5 納入成果物(1)納入成果物及び期限 受託者は、別紙2に示す納入成果物を作成し、県が指定する場所に期日までに提出し、県の承認を得ること。
(2)納入形態納入成果物は、DVD-Rに格納した電子データと、紙面に印刷したもの1部をセットにして納入すること。
電子データはAdobe Readerで閲覧可能な形式とすること。
ただし、将来的に更新が必要となる成果物に関しては、Microsoft Office(Word・Excel等)形式とすること。
(3)納入後の更新について本業務に係る契約期間中、既に納入済みの成果物に変更が発生した場合には、都度更新版を提出し、県の承認を得ること。
更新版の提出に際しては、必ず更新履歴を添付すること。
6 スケジュール(1)構築・移行:本業務の契約締結日~令和9年3月31日(令和9年2月までには機能検証が終了していること)(2)運用保守:令和9年4月1日~令和14年3月31日(3)第4次への移行:第4次の契約締結日~令和14年3月31日7 留意事項(1)本業務について、契約書及び仕様書に明示されていない事項であっても、その履行上当然必要な事項については、受託事業者が責任を持って対応すること。
(2)本業務に要する経費のうち、令和8年度分はシステムの構築および移行に要する初期経費とし、運用保守費用については、運用開始後の令和9年度以降に分割して発生するよう計画すること。
(3)運用期間中における各接続団体のネットワーク構成変更、クラウドサービス利用の拡大等に伴うリソース増減や設定変更に対し、迅速かつ柔軟に対応可能な構成及び価格体系を提示すること。
項番作業名称◎:作業主体 ○:管理 △:支援受託事業者 県 接続団体1 全体プロジェクト管理 ◎ ○2 要件定義 ◎ ○ △3 設計及びテスト計画 ◎ ○ △4 設定 ◎ ○5 テスト ◎ ○ △6 移行切替 ◎ ○ △7 セキュリティクラウドの運用保守等 ◎ ○8 第4次への移行支援 ◎ ○ △8(4)受託事業者は以下URLに示す「自治体情報セキュリティクラウド機能要件一覧」に示されている必須要件を満たすサービスを提供すること。
(URL https://www.soumu.go.jp/main_content/000702974.pdf)(5)サプライチェーン・リスクの管理をはじめとして、「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月版)」に準拠した情報セキュリティ対策を実施の上、事業を行うこと。
(6)自治体情報セキュリティクラウドを構成するハードウェアやソフトウェアについては事業者所有のサービスを活用する形で更新事業を行うこと。
(7)都道府県の負担する更新費用の算出にあたっては、ハードウェアやソフトウェアを購入する経費を含めないこと。
9第2章 システムの要件1 機能要件(1)インターネット通信の監視ア 監視(障害切り分け、通報、セキュリティインシデント管理)①Webサーバ・Webサーバへの攻撃・脆弱性等を監視すること。
・ログ分析を行うためアクセス情報(アクセス日時、接続元IP等)を記録すること。
・受託事業者がログを分析し、セキュリティインシデントが発生した場合に報告すること。
・接続団体が所有するWebサーバを集約すること。
・オリジナルのWebサーバをリバースプロキシ経由とし、そのリバースプロキシを監視対象としてもよい。
・セキュリティクラウド環境以外(自庁設置又はクラウドサービスに設置されているWebサーバ)を利用するWebサーバも監視対象とすること。
・CDNを利用する場合は、オリジナルサーバのみを監視対象とすること。
・リバースプロキシで集約する場合は、送信元IPアドレス情報(X-Forwarded-For)を設定し、送信元IPアドレスを確認できること。
②メールリレーサーバ・接続団体とインターネットのメールを中継するメールリレーサーバを設置し、通信内容を監視すること。
・ログ分析を行うためアクセス情報(アクセス日時、接続元IP等)を記録すること。
・受託事業者がログを分析し、セキュリティインシデントが発生した場合に報告すること。
・不正中継を防止すること。
・なりすましメールに対する対策を講じること。
・SMTP(RFC2821、RFC2822準拠)を使用した、インターネット経由の電子メールの送受信機能を提供すること。
・中継を許可するドメインは、接続団体が管理するドメインのみとすること。
・送信及び受信ドメイン認証方式として、普及率が最も高いSPF方式を基本として、これに加えてDKIM方式、DMARC方式を併用することでなりすましメールに対する対策ができるようにすること。
・接続団体ごとのマルチドメインをサポートすること。
・外部クラウドサービスを利用する場合は同等の機能を有すること。
③プロキシサーバ・接続団体の各端末の代理でインターネット閲覧を行い、その通信内容を監視すること。
・ログ分析を行うためアクセス情報(アクセス日時、接続元IP等)を記録すること。
・蓄積しているプロキシログを活用して過去の被害状況を調査すること。
・不正通信を行っている端末を特定するため、接続団体が特定できること。
・受託事業者がプロキシログを分析して、不正通信を行っている接続団体を特定する情報の収集を行うこと。
・セキュリティを考慮し、セキュリティクラウドからインターネットへ通信を行う際は、接続団体が管理するプライベートアドレスを秘匿できること。
・複数の端末から同じ大容量ファイルの送受信を行う場合等(ウイルスパターン更新や修正パッチのダウンロード等)を考慮し、セキュリティクラウドの通信負荷を軽減させる提案を行うこと。
10④DNSサーバ(外部及び内部)・接続団体のドメイン情報(サーバのホスト名(URL)とグローバルIPアドレスの変換)をインターネットに公開し、通信内容を監視すること。
・接続団体のキャッシュDNSサーバとしてインターネットに対して再帰問い合わせを行い、通信内容を監視すること。
・ログ分析を行うためアクセス情報(アクセス日時、接続元IP等)を記録すること。
・C&Cサーバ等へのDNS問い合わせなど不正な通信を監視し、検知すること。
・受託事業者がログを分析し、セキュリティインシデントが発生した場合に報告すること。
・セキュリティクラウド内部の名前解決及び外部へのフォワードに関するデータを登録し、通信内容を監視すること。
・DNSプロトコル(RFC1034、RFC1035準拠)を使用したDNS機能を提供すること。
・インターネット及び各接続団体の端末等からDNS問い合わせに関する通信ログを最低1年間は記録すること。
・逆引きの名前解決による送信ドメイン認証を行っているメールサーバからのメール受信を可能とするため、逆引きの名前解決を行うこと。
・ゾーン転送は許可されたサーバに対してのみ行うこと。
・IPv6に対応できること。
・送信ドメイン認証方式として普及率が最も高いSPF情報をTXTレコードとして提供できること。
・接続団体ごとのマルチドメインをサポートすること。
(2)セキュリティインシデントの予防ア ゲートウェイ対策①ファイアウォール・IPアドレスやポート番号について、許可及び拒否のルールを設定し、通信を制御すること。
また、アプリケーション識別による制御をすること。
前段に配置されるプロキシサーバと組み合わせて、IPアドレスの代わりにドメイン名又はFQDNによる通信先特定でもよい。
・管理する接続団体ごとに独立した通信を可能とし、相互に干渉することのないよう、適切な通信制御を行うこと。
・利用帯域、接続数に応じた処理性能を有すること。
・インターネットと内部ネットワークをファイアウォールで分離すること。
・通信許可/拒絶のルールは接続団体で共通のルール及び、接続団体で個別のルールを定義できること。
・令和9年度から5年間の通信量増加を踏まえた拡張性を確保すること。
・許可ルールについては、IPアドレスやポート番号の他、限定可能な範囲について明らかにすること。
②IDS/IPS・インターネットとの通信においてパケットを監視し、シグネチャや異常検出により不正通信を検知及び遮断すること。
・ワーム、トロイの木馬、ウイルス、DDoS攻撃等の脅威から、サーバ、端末及びネットワーク機器を防御すること。
・シグネチャの更新時に継続してセンサーが稼動し、非監視時間が発生しないこと。
(基本的に、リブートやサービスの再起動が行われないこと)・管理する接続団体ごとの詳細な設定は実施せず、全団体共通の設定を行うこと。
11・シグネチャの更新は、セキュリティベンダーがシグネチャを公開してから、速やかに受託事業者が更新すること。
・通信量を増大させるなどして回線やサーバ機能を占有するDoS/DDoS攻撃を検知し、遮断すること。
・特定のしきい値を超えてアイドル状態が続いている接続を削除すること。
③マルウェア対策・Web通信を監視し、ベンダーが提供するパターンファイルに基づき、マルウェア等の不正プログラムの検知及び遮断を行うこと。
・メール通信を監視し、ベンダーが提供するパターンファイルに基づき、マルウェア等の不正プログラムの検知及び遮断処理を行うこと。
・パターンファイルは、自動更新により常に最新のものを保持すること。
・閲覧するページ内のHTML、画像、ファイルについて、ウイルススキャンを行うこと。
・メールの本文(HTMLメール)、画像、添付ファイルについて、ウイルススキャンを行うこと。
・受託事業者がマルウェアを検知した場合、受信者等のメールアドレスへ通知すること。
・インバウンド方向及びアウトバウンド方向のメールを検査すること。
・C&Cサーバへの不正な通信を検査すること。
④通信の復号対応・SSL/TLSで暗号化された通信内容を復号し、通信内容を監視可能とすること。
・通信の復号処理により業務に支障が出る場合は迂回等対応すること。
・通信先が信頼できると判断される場合は、復号処理の対象外とする。
・復号した通信は再度暗号化すること・通信の復号を行うため、接続する端末に中間証明書を提供すること。
⑤URLフィルタ・受託事業者がブラックリスト方式及びホワイトリスト方式に対応すること。
・ブラックリストにより不正なIPアドレス及びURLへの接続を検知及び遮断すること。
・全接続団体が共通して接続を制限するべきURL等の設定ができ、かつ、管理する接続団体ごとに設定も可能であること。
また、管理する接続団体が定義したリストによるアクセス制限が可能なこと。
・カテゴリごとにアクセス制限可能なこと。
・規制カテゴリは自動メンテナンスされ、新サイトにも自動的に対応すること。
・受託事業者が特定のWebサイト(掲示板等)に対して、書き込み制限できること。
・受託事業者がC&Cサーバや悪意のあるWebサイトへのアクセスを検知及び遮断すること。
・Webサイトがブロックされた際に、アクセスしたユーザーへ警告画面を表示すること。
・受託事業者が運用にて接続団体のURLフィルタリングルール変更のメンテナンスを行うこと。
・受託事業者が業務との関連性が低いWebページへの接続を制限すること。
イ メールセキュリティ対策①アンチウイルス/スパム対策(インターネット系)・インターネットからのメールについて、アンチウイルス検査を行い、不正なメールの検知、隔離及び削除を行うこと。
・インターネットからのメールについて、スパムメールの判別を行い、レベルに応じた隔離及び遮断を行うこと。
・受託事業者が業務に不要な広告メール等を検知し隔離及び遮断できること。
・受託事業者がブラックリスト方式、ホワイトリスト方式に対応すること。
・メール原本は隔離されたサーバに転送できること。
12・セキュリティクラウド共通の迷惑メールフィルタリングを設定すること。
・隔離されたメールは一定期間保存され、必要に応じて確認ができること。
②振る舞い検知機能・インターネットからのファイル等を仮想環境で動作させて挙動を監視し、未知のマルウェア等の不正プログラムを検知可能な機能を有すること。
・コールバックする通信について、検知及び停止すること。
・メールの本文に記載されるURLリンクを仮想環境にて検査すること。
・外部と多大な通信をすることなくマルウェアを解析すること。
(本来のインターネットトラフィックにインパクトを与えない)・マルウェアを検出した場合は、県が指定した宛先へ通知すること。
また、判定結果が脅威であった通信については、その通信を遮断すること。
・インバウンド方向のみを対象として振る舞い検知を行い、アウトバウンド方向については振る舞い検知を行わないこと。
ただし、アウトバウンド方向の監視についても柔軟に対応可能な構成とすること。
・ZIP等の圧縮形式の添付ファイルについても検査を行うこと。
ウ メール及びインターネットセキュリティ対策①メール無害化・メールの添付ファイルは削除し、LGWAN系へ転送できること。
・HTMLメールをテキスト化して転送できること。
・メール原本は隔離されたサーバに転送できること。
・無害化処理したメールに対して、タイトルに無害化処理をしたことを容易に判断可能であること。
・添付ファイルの拡張子やメール本文などを条件に、メールの受信拒否、メール本文への注意喚起の挿入、接続団体の管理者への通知などのアクションを実施でき、拡張子はRLOの偽装が実施されている場合においても正しい拡張子で判定できる機能を有すること。
②ファイル無害化・インターネットから受信されるファイルを検査し、ファイルを削除、マルウェア検査、サニタイズ処理などの機能を持ち、無害化を行ったファイルをLGWAN接続系に転送できること。
・LGWAN系からインターネット系へのファイル無害化にも対応すること。
・ファイルのヘッダーやOLEオブジェクトなどから当該ファイルのフォーマットを認識し、ファイル構造に当てはまらなかったコンテンツを削除すること及びマクロ等マルウェアが存在する可能性を強制的に削除することでファイルを無害化し、マルウェアに感染するリスクを低減させること。
・ファイルを開かずに無害化処理を実施すること。
・無害化ファイルの取り出し時、第三者承認を要求できる機能を有すること。
・無害化の履歴(ログ)を記録し、接続団体の管理者が確認できること。
(利用者ID、ファイル名、無害化日時、承認者ID、承認日時等)・県の指示を受け、受託事業者がシステム全体の設定に加えて、任意のグループに対する設定が行えること。
・Microsoft Officeファイルのマクロ、OLE、ハイパーリンク、ActiveX、DDEの除去、PDFファイルのスクリプト、ハイパーリンク、オープンアクション、添付ファイル、埋め込みフォントの除去、HTMLファイルに含まれるJavaScriptおよび外部リソースへのリンクの無効化、CSVファイルに含まれる数式(=から始まる文字列)の無効化、圧縮ファイルを展開し内部のファイルを再帰的に無害化すること。
13・ユーザー数は構成団体の全職員が利用可能であること。
・無害化対象ファイルはMicrosoft Officeの各ファイル、PDF、画像ファイル、圧縮ファイル、一太郎ファイル、CADファイル、DocuWorks、HTMLファイル、CSVファイル等を想定する。
③Web振る舞い検知・インターネットとの通信で受信するファイルについて、隔離した疑似環境で動作させ、マルウェアのような異常な動作をするプログラムやリスクの高いファイル等を検知する機能を提供すること。
・Webサイトからダウンロードしたファイルも同様に振る舞い検知にかけ、不正なプログラム等が検知された場合はダウンロードさせないこと。
・擬似環境となるサンドボックスは、インターネット上に機能を持つか、もしくは専用の装置を設置すること。
エ Webサーバセキュリティ対策①WAF・接続団体が管理するWebサイトに対して、Webアプリケーションの脆弱性を狙った不正な通信等を検知・防御すること。
・受託事業者が管理する接続団体のWebサーバに合わせて必要なチューニング等を行うこと。
・SSL通信については、受託事業者が各Webサーバのサーバ証明書と鍵を保有してSSL通信を復号化し、必要なセキュリティ検査を行うこと。
・Webアプリケーションの脆弱性を突いた以下の攻撃を防御すること。
SQLインジェクション/OSコマンド・インジェクション/ディレクトリ・トラバーサル/セッション管理の不備/クロスサイト・スクリプティング/CSRF(クロスサイト・リクエスト・フォージェリ)/HTTPヘッダ・インジェクション/メールヘッダ・インジェクション/クリックジャッキング/バッファオーバーフロー/アクセス制御や認可制御の欠落・バックドアの検疫、無害化機能を標準機能として有していること。
②CDN・大規模なリクエストが発生した場合でも継続的な情報発信ができるようWebサーバの負荷分散を行うこと。
・接続団体のWebサイト(Webサーバ)に急激なアクセスがあった場合においても、住民に対してWebサイトから情報が継続的に発信可能なサービスであること。
・CDNを利用するWebサーバは接続団体の公式Webサーバ及びアクセス集中が想定されるサーバを対象とすること。
・コンテンツキャッシュサーバは、インターネット上の複数のサーバで構成され高速な配信を実現すること。
・CDNサービスが提供されるサービスは、耐震、免震などの構造上の安全性に配慮された設備で運用された可用性が高いサービスであること。
・HTTPSでコンテンツを配信可能であること。
・HTTPSの場合はサーバ証明書も提供できること。
・アクセス元のIPアドレスに応じたアクセス拒否/許可の設定が可能であること。
・アクセスログを取得可能であること。
・接続団体のWebサイトを運用するサーバの設置場所に応じてCDNサービスが提供可能なこと。
A)セキュリティクラウド内でオリジンサーバ(接続団体のWebサイトを運用しているサーバ)を集約しているケース14B)市町村等の環境(オンプレミス・クラウドサービス)でオリジンサーバを運営しているケース・年度単位で定額でのサービス提供が可能であること。
・Webサイトへのアクセス数が急増した場合もサービスが停止しないこと。
・転送量の状況などサポートポータルで確認できること。
・DDoS対策機能、WAF機能がオプションサービスとして用意されていること。
・IPv6でコンテンツ配信可能であること。
・HTTP、HTTPSにキャッシュルールを設定可能であること。
・CDNでキャッシュを有効とするコンテンツはコンテンツ制作者と協議し、登録すること。
③コンテンツ改ざん検知・接続団体のWebサーバ上のコンテンツが第三者によって不正に書き換えられた場合、検知する機能を有すること。
・既存のWebサーバの改修が必要にならないエージェントレス型の改ざん検知機能を提供すること。
・外部サービスを利用して公開している場合もコンテンツ改ざんの検知を行うこと。
・コンテンツ内容の改ざんを検知し通知すること、アラートはメール等で接続団体の管理者に通知できること。
・受託事業者がWebサーバアプリケーション(IIS、Apache等)に限定されず改ざんを検知できること。
・県参考値:85URL、総ページ数:20万ページ。
・改ざん検知時に、閲覧者を安全なページへ自動的に警告画面へ遷移すること。
・コンテンツ内に含まれる外部JavaScriptファイル、CSSの改ざんの検査が行えること。
・リンク先のマルウェア検知ができること。
(3)SOC運用サービス①ログ収集・分析・ファイアウォール、IDS/IPSといったセキュリティ機器や監視対象サーバ(Webサーバ、メールリレーサーバ、プロキシサーバ、外部DNSサーバ)が出力したログを収集し、不正な現象を検知すること。
・ファイアウォールのログについて、拒否(deny)だけでなく、許可(Allow)ルールが適用された際のログを収集・分析すること。
・ログは最低5年分保存できること。
・ログの時刻はNTPによる時刻同期が常に行われ、正確に管理されていること。
・自治体からの要求に応じて、過去のログを迅速に検索・抽出し、速やかに提供できる体制を有していること。
・必要なルールを個別に作成できること。
・ログ収集の対象となる機器との間に動作実績があること。
・収集されたデータを効率的に保存及び圧縮できること。
・要求する運用に対応可能な機器、機能を提供できること。
・セキュリティ機器が出力したログからセキュリティインシデントの兆候が見られた場合は、受託事業者が監視対象サーバ(Webサーバ、メールリレーサーバ、プロキシサーバ、外部DNSサーバ)や、ゲートウェイ対策システム(マルウェア検知、プロキシサーバ、URLフィルタ)、メールセキュリティ対策システム(アンチウイルス/スパム対策、振る舞い検知機能、メール無害化/ファイル無害化)が出力したログの調査を実施し、迅速な対応を行うこと。
・受託事業者が複数の機器のログから関連するログを抽出して、相関関係の分析を行い、セキュリティインシデントの兆候をつかむことで迅速な対応をすること。
②イベント監視15・受託事業者がファイアウォール、IDS/IPSといったセキュリティ機器や監視対象サーバ(Webサーバ、メールリレーサーバ、プロキシサーバ、外部DNSサーバ)のイベントを監視し、異常を検知した際に通知できること。
・パターンマッチングやしきい値等のルールに基づき、許可していないイベントの発生を検知できること。
・OSのシステムイベント、アプリ―ションの起動や停止、エラー通知といったイベントを監視できること。
・受託事業者が検知したイベントはログとして保存すること。
・セキュリティインシデントの兆候をつかむために有用でないイベントは除外(フィルタリング)できること。
③マネージドセキュリティサービス・高度な人材(セキュリティ専門家)によるログ監視、分析によりセキュリティインシデントの発生を予防すること。
・以下の事項について有人で24時間365日(閏年は366日)対応できること。
A)アナリストによるログ分析及びログ監視B)セキュリティインシデントの発生又はそれが疑われる場合に、接続団体への通知及び原因の速やかな特定C)セキュリティインシデント発生時に、監視対象システムに対して直接又はシステムの保守担当者と連携してACL追加など、被害拡大防止のための技術的な一次対応・脅威情報を用い、監視対象システムの環境に応じた重大度の判定及び接続団体への通知ができること。
・監視対象システムが発報するアラートをそのまま通知するのではなく、分析を行い、誤検知を排除した上で接続団体へ通知すること。
・セキュリティインシデント発生後、接続団体へ通知するまでの時間などのSLAについては事前に提示すること。
・監視対象システムの設定に不備が見られる場合、接続団体に連絡・確認し、必要に応じて接続団体にシステムへの対応について指示できること。
・接続団体のCSIRT又は接続団体のCSIRTを直接サポート(ヘルプデスクに相当)する事業者に対して、障害・セキュリティインシデントに対する助言や問い合わせの対応を行うこと。
・適切な監視の維持のために、監視対象システムの環境にある監視用の機器又はソフトウェアのメンテナンスを実施すること。
また、監視対象システムに対して以下の事項が行えること。
A)死活監視及び異常発生時の接続団体への通知B)リソース監視及び異常発生時の接続団体への通知・セキュリティインシデント発生時にACL追加などの一次対応を迅速に行うため、監視対象システムの運用管理を行う部門との迅速な連携ができる体制を整えること。
・経済産業省の情報セキュリティサービス審査登録制度の情報セキュリティサービス基準を満たす事業者を選定すること。
(技術要件、品質管理要件を共に満たすこと)・セキュリティ機器や監視対象サーバ(Webサーバ、メールリレーサーバ、プロキシサーバ、外部DNSサーバ)のログ監視方法について、次のいずれかの方法で行うこと。
A)監視対象のログをすべてマネージドセキュリティサービス事業者側に送り、監視する方法B)監視対象のログの一部をマネージドセキュリティサービス事業者側に送り、必要に応じて、マネージドセキュリティサービス事業者がログ収集のために設置しているセキュリティ機器にマネージドセキュリティサービスが遠隔からアクセスし、保存されているログを閲覧、監視する方法16(4)対応と復旧①システム・サービス構成管理・セキュリティクラウドを安定的に稼働させるため、構成する各機器、ソフトウェア、サービスのバージョン情報、ベンダー情報などを管理すること。
・構成する各機器、ソフトウェア、サービスについて以下を実施すること。
A)シグネチャが定期的にアップデートされていることを確認することB)許可、拒否ルールを管理し、定期的に見直しを行うことC)サポート期間が超過していないことを確認すること②脆弱性情報の入手と該当製品への対応及びセキュリティレベルの自己点検・安全なシステム運用を実現するため、構成する機器、ソフトウェアの脆弱性情報を収集し、適宜ファームウェアアップデート/不具合修正パッチ適用/セキュリティパッチ適用を実施すること。
パッチ適用に際しては、事前に本番環境への影響を評価し、県の承認を得た上で実施すること。
・セキュリティレベルの自己点検として、年1回、構成する機器に対しての脆弱性診断を実施して脆弱性がないか検証すること。
脆弱性が検知された場合、速やかに是正すること。
・受託事業者が必要に応じて機器、ソフトウェアのバージョンアップを行うこと。
・システム停止等が困難な場合、設定変更等による脆弱性の回避策についても受託事業者が検討し、提言すること。
・脆弱性情報は受託事業者がJPCERTなど公開情報を適宜参照すること。
③不正通信の早期検知を行う運用体制の確立(CSIRT)・セキュリティインシデント発生時の対応を迅速に行うため運用体制(CSIRT)を構築すること。
・運用体制を書面にて県に共有すること。
・運用フローを年1回以上検証すること。
・ポータルサイトによる情報共有を行うこと。
・セキュリティインシデント発生時、必要に応じてファイアウォールのポリシー追加、変更により通信を遮断すること。
ポリシー変更は県と協議のうえ、決定すること。
また、事前決定された対応案に基づいて実施すること。
・接続団体及び県を含め、セキュリティインシデントの発生を想定した訓練を受託事業者が年1回以上行うこと。
④障害管理(問題管理、変更管理、復旧対応)・セキュリティクラウドを構成する機器は冗長化を行い、単一障害時での業務継続を可能とすること。
・セキュリティクラウドを構成する機器の監視を行い、受託事業者が障害発生時速やかに復旧を行うこと。
・受託事業者がセキュリティクラウドを構成する機器の稼働ログ、エラーログを収集し、障害発生原因を分析できるようにすること。
また、ログ分析により障害予防に努めること。
・取得対象ログはネットワークスイッチ、ルータ、管理系サーバ等セキュリティクラウドを構成する機器全般を対象とすること。
・構成する機器、ソフトウェア等に関してベンダー保守を締結すること。
・障害管理を適切に行い定例会議等において関係者間で共有すること。
17⑤バックアップとリストア・システム障害やサイバー攻撃によるデータ消失やマルウェア被害等の対策として、バックアップを取得し、迅速なリカバリ対応をできるように対策を講じることで、業務継続性を担保すること。
・機器障害などによりセキュリティクラウドの運用が停止することを防ぐため、バックアップを取得すること。
・ログ等日々の保存データを日次でバックアップすること。
・システム変更が生じた場合、随時システムバックアップを行うこと。
・バックアップからのリストアを運用開始前に検証すること。
・バックアップはオリジナルデータとは別の場所に保管し、本体障害時に復旧できること。
・機器及びサーバの復旧が必要な場合は、受託事業者がシステム又は設定のリストアを行うこと。
(5)県固有要件ア オンラインストレージ①大容量ファイル転送・インターネット系ネットワーク及びLGWAN系ネットワークで利用できるファイルストレージ機能を提供すること。
・LGWAN系ネットワークで利用できるファイルストレージを通知する際には、通知文書が無害化されないこと。
あわせて、LGWAN系とインターネット系と区別した通知文書とすること。
・メールに添付できない大容量(一度に送信できるファイルサイズ1GB)のファイルを取扱いできること。
(ディスク容量は500GB以上)・セキュリティクラウド内外の送受信ファイルのウイルスチェック及び圧縮・暗号化やSSL通信によるセキュリティ対策等により安全に送信できること。
・ファイルについては、1週間保持でき、登録後1週間を超えたファイルについては自動削除されること。
・アクセスIP制限(庁内であればローカルIPで制限、外部からはグローバルIPで制限)が可能なこと。
・ユーザー数は構成団体の全職員が使用できることを想定すること。
イ 共同利用セグメント①共同利用セグメント資産の移行・共同利用セグメントには、複数の接続団体が共同で利用するアプリケーション及びセキュリティクラウドポータルサイトが配置されており、これらを第3次でも継続して利用できるよう移行を行う。
共同利用セグメントの資産については、別紙3に記載。
・アプリケーションを搭載するための仮想基盤及びその上で稼働する仮想マシンを提供すること。
・第2次の共同利用セグメントで稼働している仮想サーバを移行し、第3次の共同利用セグメントでの正常稼働を保証すること。
・第2次の共同利用セグメントは第3次内のハウジングスペースで物理サーバのハウジングを行っており、第3次の共同利用セグメントにおいても同様のハウジングサービスを提供し、正常稼働を保証すること。
②共同利用セグメント接続環境の移行・第2次の共同利用セグメントと接続している外部データセンターについて、第3次の共同利用セグメントにおいて接続を継承し、第2次と同様のアクセス環境を提供すること。
また、このための回線替え等の方法及び費用について提案すること。
18・第2次の共同利用セグメントはアクセス回線として情報ハイウェイ内の市町村VPNを使用している。
第3次の共同利用セグメントにおいても同様のアクセス環境を提供すること。
また、このために接続団体側で設定変更が必要な場合は、具体的な作業内容と概算費用について提案すること。
・第2次の共同利用セグメントではDNSによる名前解決を行っており、第3次の共同利用セグメントにおいてもこの機能を継承すること。
・共同利用セグメントを利用しているサーバに対して死活監視を行うこと。
③共同利用セグメントのドメイン・共同利用セグメントで利用するドメイン名については、既存のものを使用すること。
ウ ポータルサイト①ポータルサイトの構築・運用・セキュリティクラウド内共同利用セグメントにおいて、接続団体向けに掲示板機能(「こうちぎょうせいネット」を含む)を提供すること。
ポータルサイトの機能概要は、別紙4を参照。
・ポータルサイトは、セキュリティクラウドの運用状況、セキュリティインシデントの発生状況及び対策状況、各種レポート類などの有用な情報を迅速に接続団体に情報提供できること。
・ポータルサイトにセキュリティクラウド運用に関する各種手順書、ガイドライン、各種様式等ドキュメントを掲載し、接続団体から閲覧及びダウンロードできる状態にすること。
・第2次の掲載記事やアップロードファイルが第3次でも参照及び更新できるよう移行すること。
・ポータルサイトの電子メールや入力フォーム等の機能により、接続団体からのユーザー状況のメンテナンス依頼が行えること。
・ポータルサイトにアクセスする接続団体ごとにアカウントを発行し、認証を行うこと。
・ポータルサイトは接続団体のLGWAN系セグメントからアクセスできる構成とすること。
・第2次の改善点について県と協議のうえ、対応を行うこと。
②こうちぎょうせいネットの構築・こうちぎょうせいネットの移行については、県と協議のうえ、構築すること。
・第2次の掲載記事やアップロードファイルが第3次でも参照及び更新できるよう移行すること。
・接続団体がコンテンツを制作、編集が可能なCMS機能を提供すること。
・アクセスする接続団体ごとにアカウントを管理すること。
・県の組織改正に伴う課室の異動(登録、変更、削除)に対応すること。
・人事異動等の事由によるメールアカウント等の各種アカウントの運用(登録、変更、削除)を行うこと。
・接続団体のLGWAN系セグメントからアクセスできる構成とすること。
エ データファイルの安全な受渡対策・インターネットへ送信する添付ファイルを対象とすること。
・添付ファイルをメール本文から分離し、メール側には残さない構成とすること。
・メールゲートウェイで添付ファイル分離後、送信メール本文に自動的にダウンロードURLを挿入すること。
・ファイルダウンロードにはパスワード認証を必須とすること。
・パスワード通知メールはファイル通知メールとは別のメールとして自動送信すること。
・ダウンロードURLには受託事業者がダウンロード回数制限を設定すること。
・また、登録後1週間を超えたファイルについては自動削除されること。
19・添付ファイルは分離後、上記アのオンラインストレージに自動転送されること。
・外部ASP/SaaSを利用するクラウド方式を利用する場合は、ISMAPクラウドサービスにおいて、基盤サービスとして登録されているだけでなく、サービスとしても登録されているクラウドサービスを利用すること。
・ユーザー数は構成団体の全職員が使用できることを想定すること。
オ リモートメンテナンス①リモートメンテナンス・セキュリティクラウド内の仮想マシンに対して、外部からのリモート接続によりメンテナンスを行う機能を提供すること。
・リモートメンテンス専用のファイアウォールを、セキュリティクラウド運用監視/管理セグメントに構築し、リモートメンテナンス実施事業者ごとに、リモートメンテンス専用のファイアウォールから、対象のサーバに対して遠隔保守を行える環境を構築すること。
・リモートメンテナンスに係る責任範囲は、表2のとおりとする。
表2 リモートメンテナンスに係る責任範囲主体 責任範囲・費用負担・県・受託事業者・リモートメンテナンス用の接続環境としてセキュリティクラウド内に配置する、リモートメンテナンス専用ファイアウォールまでの間を責任範囲とする。
・リモートメンテナンス専用ファイアウォールは、県が設置する。
20・リモートメンテナンスを実施する場合の責任分界点及びセキュリティクラウドのセグメント概要は図3のとおり。
図3 セキュリティクラウド・セグメント概要カ 個別オプションサービス①仮想マシン等の提供・第2次で提供している個別オプションサービスと同等のサービス(仮想マシン、Webサーバ、Webメールサーバ、メールサーバ等)を提供すること。
(別紙5に記載)・メーカーサポートを契約し、ハードウェア・ソフトウェアを包括的にサポートすること。
・共同基盤ではなくセキュリティクラウドの専用基盤上に構築、運用すること。
・第2次で個別オプションサービスとして稼働している仮想サーバを移行し、第3次での個別オプションサービスとして正常稼働を保証すること。
・仮想サーバに対して死活監視を行うこと。
・希望する接続団体については、仮想マシンの提供以外にもメールサーバの運用を行うこと。
②各種個別サービスの提供・第2次で提供している以下の個別オプションサービスを継承すること。
A)Web サーバースターターパック仮想マシンにRockyLinuxとWebサーバをインストールするサービスB)メールサーバースターターパック仮想マシンにRockyLinuxとメールサーバをインストールするサービスC)メールサーバーサポートパックスターターパックの内容に加えて、OS・ソフトウェアの設定、各種アカウントの登録・削除、ログ管理、セキュリティパッチ対応、問い合わせ対応を含めたサービスD)グローバルIPアドレスの追加払い出しグローバルIPアドレスを2個目以上希望する接続団体については、個別サービスとして提供すること21E)WAF対象FQDN追加WAFの対象FQDNを2個以上希望する接続団体については、個別サービスとして提供することF)改ざん検知対象URL追加改ざん検知の対象URLを2個以上希望する接続団体については、個別サービスとして提供すること(補足)グローバルIPアドレス、WAF対象FQDN、改ざん検知対象URLは、接続団体に各1個標準提供すること。
③接続団体個別アンチスパム・インターネットからのメールセキュリティについて、接続団体個別のアンチスパムサーバを個別オプションサービスとして提供すること。
・オプションサービスを契約した接続団体ごとにブラックリスト/ホワイトリスト等のアンチスパムルールを管理できること。
・スパム判定されたメール原本をアンチスパムサーバに2週間以上保存すること。
・個別アンチスパム接続団体からの以下の依頼について、電話、FAX、電子メール、Webフォームによりヘルプデスクで受け付け、対応すること。
A)ホワイトリスト登録B)スパム判定された保存メールの原本再送・保存されたスパム判定メールを無害化した上で、件名に特定の文字列を追記し、LGWAN接続系のメールサーバに配送すること。
なお、配送の際は送信元メールアドレス先頭に特定の文字列を付与し、接続団体から返信できないようにすること。
④アンチウイルス/スパム対策(LGWAN系)・希望する接続団体に対して、LGWANとの送受信メール等について、マルウェアの有無の検査を行い、マルウェアが検出された場合に隔離や削除等の処理を行うこと。
・LGWANメールについて、迷惑メール・スパムメール等の判定を行い、レベルに応じて遮断、隔離やタグ付けなどの処理を行う機能を提供すること。
・パターンファイルは、自動更新により常に最新のものに更新すること。
⑤メール添付ファイル自動無害化・業務利便性の観点からメール無害化処理とファイル無害化処理が連携し、メール添付ファイルを自動的に無害化し、メール宛先(LGWAN接続系の転送先)へ送付する機能を有すること。
・自動的に無害化する/しないファイルの拡張子の設定が可能であること。
なお、現行の無害化する/しないファイルの対象拡張子は別紙6のとおりである。
・接続団体ごとに添付ファイル削除又は自動無害化の選択が可能であること。
⑥メールアーカイブ・対象とする送受信メールの原本(添付ファイルも含む)を受託事業者が5年程度保管できるサービスの提供ができること(オプションで期間を延長できること)。
・接続団体の管理者が、GUIを利用して、保存したメールデータを検索することができること。
・メール検索の結果、メール情報(本文、添付ファイル、件名、送信者、受信者、Cc、EnvelopFrom、Envelop To、受信日時)を確認可能であること。
その際に、文字セットを選択できること。
また、メールが改ざんされていない旨のメッセージを確認可能であること。
・確認したメールについては、eml形式にてダウンロード又は、元の配送先やメールアドレスを指定して配送することができ、件名にキーワードを挿入することも可能であること。
その際に、送信日時(Dateヘッダ)を変更せずそのまま配送することが可能であることにくわえて、整合性エラー等が起こらないような提案とすること。
22・原本メールサーバ・LGWANメールサーバそれぞれ個別のメールアーカイブを可能とすること。
その際、重複してアーカイブされることを避ける提案をすること。
・各接続団体のデータは論理的に分離され、他団体からのアクセスを遮断する構成とすること。
なお、リソースの最適化のため、共通基盤上でのマルチテナント構成を許容するが、管理機能は団体ごとに独立して提供すること。
・契約終了後は受託事業者が保管データを電磁記録媒体等に収め、データの移行ができる形として提供すること。
⑦仮想ブラウザ・αモデルを前提とし、LGWAN接続系ネットワークからインターネットへ接続するための仮想ブラウザ機能を提供できること。
・接続団体ごとに仮想ブラウザの環境設定ができること。
・仮想ブラウザがWeb会議(カメラ・マイク使用)利用時においても、遅延なく操作可能なコンピュータリソース(仮想CPU、メモリ、GPUアクセラレーション等)を動的に割り当てられること。
・LGWAN接続系とのデータ転送を禁止とすること。
・インターネットからダウンロードしたファイルは仮想ブラウザ環境で無害化し、LGWAN接続系に取り込めること。
・LGWAN接続系プリンタでの印刷が可能であること。
・いつ、誰が、どのサイトを閲覧し、どのファイルをダウンロード/無害化したか操作ログを一元管理し、6ヶ月以上保存できること。
・ローカル・仮想ブラウザ間のテキスト(文字)のコピー&ペースト(片方向・双方向)が設定(権限)により接続団体単位で制御できること。
・ローカル・仮想ブラウザ間でファイル交換(片方向・双方向)が設定(権限)により接続団体単位で制御できること。
・仮想ブラウザでWeb会議システムが利用できること。
・物理端末のUSBポートに接続したスピーカー、マイク、カメラ等外部デバイスが利用できること。
⑧その他・別紙5に記載のオプションサービス機能を提供すること。
2 非機能要件(1)機器設置場所に関する要件①設置場所・セキュリティクラウドは、日本国内のデータセンターに設置・構築することとし、設置場所は受託事業者が提案するデータセンターとすること。
・ハウジング料金が発生する場合、契約終了日までのハウジング料金を運用経費に含めること。
②安全対策・建築基準法の新耐震基準を満足した免震構造又は耐震構造であること。
・水没や浸水の恐れがないこと。
・消防法に基づき水損防止のためガス系消火設備及び火災感知設備を有すること。
・無停電電源装置等による電源トラブル対策がなされていること。
・入室を許可された者以外の立ち入りを禁じていること。
・生体認証等により、許可された者以外の入室を排除すること。
・入退室の記録がされていること。
・立入り検査が可能であること。
・メイン・バックアップ共に耐震性に優れ、新耐震基準に適合し、かつISMS等の基準に準拠した震度6強に耐え得ることが確認できる施設であること。
23・電源については本線・予備線の2系統受電、または異変電所からの受電が可能で、災害発生等による停電時にも、72時間の連続運転が可能な設備を有していること。
(2)通信回線①インターネット接続用回線・物理的に異なる2系統の完全異ルートとし、各々10Gbps以上の通信帯域を持つこと。
このうち、セキュリティクラウドには、最低1Gbps以上の帯域を保証すること。
・最低帯域の増速が可能であること。
(追加料金を前提とする)・512個以上のIPv4グローバルIPアドレスを提供すること。
また、IPアドレスの必要数の追加に対応できること。
・IPv6グローバルIPアドレスについても、必要数を提供すること。
・死活監視を行い、障害発生時には速やかに対応すること。
また、監視装置についても、別監視装置を用いて、死活監視を行い、障害発生時には速やかに対応が可能な設計とすること。
・サービスに関する作業やトラフィックの推移状況、平均値については、ポータルサイトで情報提供し、接続団体が確認できる状況にすること。
・インターネット接続における冗長化方式は、複数の上位ASとの間でBGPによるAS間接続とすること。
このときの経路制御及び負荷の分散については、当該AS間の経路情報の交換により、ロードバランスや代替経路、ボトルネックの解消などのトラフィック制御を行い実現すること。
②アクセス回線・各接続団体からセキュリティクラウドへのアクセス回線については、一義的に情報ハイウェイの利用を想定している。
情報ハイウェイの概要については、県デジタル政策課HP(https://www.pref.kochi.lg.jp/doc/2019093000048/)及び高知県情報ハイウェイサービスHP(https://www.kochihw.jp/about/)で確認のうえ、利用規約及び技術要綱に準拠した構成とすること。
提案書へ詳細な構成や接続方法などについて記載すること。
(現在の最大帯域10Gbps、平均トラフィック1Gbps)・また、セキュリティクラウドへの接続口として、「セキュリティクラウド接続ルータ」を各接続団体に設置し、運用保守を行うこと。
・各接続団体からセキュリティクラウドまでの接続用回線は、現在の情報ハイウェイ利用状況も考慮し、情報ハイウェイのみでなく、その他の回線についても使用することができるようにすること。
・受託事業者が各接続団体に設置するアクセス回線用の通信機器より内側(庁内側)のネットワークの敷設や設定変更等は、各接続団体で行う。
・ISPの変更ができない接続団体については、接続団体→ISP→セキュリティクラウド→インターネットという経路で通信するための設定を行うこと。
(3)ネットワーク環境に関する要件①委託業務範囲・セキュリティクラウドの利用に必要となるネットワーク及び関連機器を準備し設定すること。
・ネットワークの準備に当たり、配管・施設工事等が発生する場合、当該作業は本業務の範囲に含めること。
②セキュリティクラウド運用基盤(基幹ネットワーク)・インターネット通信、DMZ、LGWAN通信(LGWANメールリレー、LGWAN接続ファイアウォールの監視等)の3つのネットワークに分割し、適切に運用すること。
③セキュリティクラウド接続用ネットワーク機器(各接続団体側)24・各接続団体からアクセス回線への出口は、接続団体ごとに基本的に各1ヵ所とし、セキュリティクラウド側と整合が取れるよう設計を行うこと。
・セキュリティクラウド接続ルータの適正な運用保守を行うこと。
④インターネット系ネットワークに関する要件・各接続団体のインターネット系ネットワークの現行のIPアドレス体系を継承し、必要があれば再設計すること。
⑤LGWAN系ネットワークに関する要件・LGWANに対して、データセンター内のネットワークを中継したIPリーチャビリティが発生しないよう、データセンター内の機器を構成すること。
・LGWANとの通信がインターネットからアクセス可能なセグメント上を経由しないこと。
・LGWANのドメイン情報やルーティング情報がインターネット上に漏洩しないこと。
・各接続団体のLGWAN系ネットワークを延伸し、現行のIPアドレス体系を継承すること。
⑥その他・各接続団体のネットワーク保守や停止等によりセキュリティクラウドのサービス停止が発生しないネットワーク構成とすること。
(4)情報セキュリティ①アクセス管理・管理権限でアクセスする者の一人一人を識別し認証する機能を有すること。
・必要なアカウントを管理(登録、更新、権限設定、停止、削除等)し、システムにアクセスする者それぞれの役割に応じて、利用可能な機能、アクセス可能なデータ、実施できるデータの操作等を制限する機能を有すること。
・保守運用作業員のアクセス範囲を必要最低限のものとすること。
・保守運用作業員は閲覧権限によって、表示対象外データの存在自体を認識できないようにし、機密情報の秘匿性を保つこと。
・適切なシステムの操作記録(ログイン記録、操作ログ等)を取得すること。
操作記録は、アカウント、アクセス年月日、アクセス時分、アクセス対象等の詳細な項目に細分化し、ログの取得を行うこと。
・ログは、損傷や紛失、消去から保護し最低1年間は保管すること。
②セキュリティインシデント防止対策・各サーバ等への不正なアクセスを防ぐ仕組みを有していること。
・コンピュータウイルス等の不正なプログラムへの対策が取られていること。
・OS等、システムを構成するソフトウェアについて、ソフトウェア開発元よりセキュリティパッチが提供された場合、速やかに評価・適用すること。
・セキュリティパッチの評価はテスト環境で行うこと。
事前に県と協議を行い、作業スケジュールの調整を行うこと。
・適用作業実施後に動作確認を行い、結果を県に報告すること。
・再委託を行う場合は、本要件と同等のセキュリティ水準を維持することを再委託先と契約し、その管理状況を県に報告すること。
③セキュリティインシデント対応・セキュリティインシデントが発生した場合、又はその恐れが高まった場合には、利用記録の解析及び結果の報告を行うこと。
・復旧作業終了後には、事故の原因・復旧に要した費用及び再発防止計画を文書化し、結果を県に報告すること。
④その他・JIS Q 27001(ISO/IEC27001)及びプライバシーマークにおいて定められた情報管理基準を満たすために必要な教育、訓練を適宜実施すること。
25・セキュリティクラウドの運用に関して、「高知県情報セキュリティポリシー」に従って実施することを基本とし、システムの機密性及び完全性を確保すること。
・その他セキュリティの向上に資する機能や取組みがある場合、県に提案すること。
(5)可用性①可用性の確保・セキュリティクラウドが提供するサービスの提供時間は、原則として24時間365日(閏年は366日)とする。
・セキュリティクラウドが提供するサービスついては、定期保守を除き99.9%以上の稼働率を確保可能な可用性対策を講じること。
・可用性を確保するために、ネットワーク機器を含む設備及び機能、冗長化を行うこと。
・Webセキュリティ対策及びWebブラウジングセキュリティ対策に関する可用性対策を講じること。
・メンテナンス等のため、サービスを利用できない時間が生じる場合には、1ヵ月前までに県に連絡し調整を行うことを原則とすること。
・予定したメンテナンス等日時に災害が発生又は発生が予想される場合は、直ちに中止又は延期が可能なこと。
②サービスの復旧・セキュリティクラウド自体が攻撃を受けた場合の対応や、攻撃によりサービスが停止してしまった場合の回復に向けた対応について、県に提案し実施すること。
③事業継続計画(BCP)の策定と実施・受託事業者は、本業務におけるBCPを策定し、契約後1ヶ月以内に県に提出し承認を得ること。
・BCPには、大規模災害、パンデミック、大規模なサイバー攻撃等のリスクを想定した対応手順、連絡網、及び代替手段を明記すること。
・受託事業者は、年1回以上のBCP訓練(机上演習等)を実施し、その結果に基づき計画の見直しを適宜行うこと。
・災害等によるサービス停止時には、あらかじめ合意した目標復旧時間(RTO)に基づき、速やかな復旧に努めること。
(6)規模・第2次の規模として示している別紙7を前提に、第3次の規模要件を作成し、県と協議のうえ合意した要件を満たすこと。
(7)拡張性・柔軟性①変動要素への対応・接続団体の追加、利用者数の増加、機器等の追加、回線増速等に対応できるよう、システムの拡張性を確保すること。
(特に利用者数は、接続団体数が多いことから、小幅な変動が多いと想定される)②ネットワークモデル等への対応・αモデルからその他のネットワークモデル等に移行する接続団体を許容するリソースの拡張性を確保し、将来的な増加に対応できるようにすること。
・ネットワークモデル移行団体に対して、新たな脅威へのセキュリティ対策や移行方法を具体的に提案すること。
・ネットワークモデル移行に伴い接続団体側で必要となるサービス等の調達については、本委託業務の範囲外とする。
26第3章 テスト作業要件1 テスト計画、実施及び評価・受託事業者による動作確認テストについて、実施前にテスト実施計画書を提出し、県の承認を得ること。
・テスト実施計画書に従い、テストを実施すること。
・テストの実施に必要な関係者との調整を主体的に行うこと。
・摘出した不具合の管理と対処を確実に行うこと。
・テスト期間中の定例進捗会議において、テストの状況と見解を報告すること。
・テスト完了後、速やかにテスト結果及び品質の分析・評価を行い、報告書を県に提出すること。
2 テスト項目①構成・設定確認・設計書に記載されたネットワーク構成、ソフトウェア構成及び各種設定値に誤り(漏れ、論理矛盾を含む)が無いことを確認すること。
・設計書に記載されたネットワーク構成、ソフトウェア構成及び各種設定値が、実際の構成及び各種設定値と相違ないことを確認すること。
②疎通確認(主系/副系)・各機器を接続したうえで、主系の疎通確認及び主系に障害が発生した際の従系による疎通確認を行うこと。
③機能確認(正常系/異常系)・セキュリティクラウドの各機能別に、設定した内容で想定した動作(正常系/異常系)が行われることを確認すること。
④運用確認・想定範囲内の同時アクセス数(外部/内部)及びトラフィック量において、問題なく利用できることを確認すること。
・想定を超える同時アクセス数(外部/内部)及びトラフィック量において、影響範囲と対処方法を確認すること。
・異常発生時の検知、対処及び復旧について想定どおり実施できることを確認すること。
27第4章 移行作業要件1 移行要件①移行についての考え方・各接続団体で行う庁内ネットワーク(LAN)の設定変更等について、各接続団体で必要となる移行作業の内容、作業実施主体等を明確にし、移行計画書に具体的に記述すること。
・第2次の移行対象は別紙8のとおり。
②移行計画の策定・移行に係る作業は、移行計画書としてまとめ、県の承認を得たうえで実施すること。
・移行プロセスを明確にすることにより、接続団体や関係ネットワークベンダーとの認識齟齬を防ぎ、作業を円滑に進めること。
③データの保全・移行期間中に送受信したメール等が消失しないよう考慮し計画を立てること。
④サービスやネットワークの停止・稼働中のサービスやネットワークの停止を伴う作業を行う場合、閉庁日又は夜間での実施を考慮し、各接続団体と調整のうえで実施すること。
⑤その他・多数の接続団体が接続するに当たり、考慮すべき事項やその対応について提案すること。
・各接続団体の関係ネットワークベンダーとの協議及び調整について、真摯に対応すること。
・第2次が提供するオプションサービスの仮想マシン及びデータ等の移行について、第2次の運用保守事業者及び接続団体並びに接続団体の関係ネットワークベンダー等と調整のうえで実施すること。
・移行の進捗状況及び移行結果について、適時県に報告すること。
2 各接続団体の移行支援①構築・移行時の業務・各接続団体へのヒアリング、移行作業に係る調整、問い合わせへの対応や個別打合せの実施等、各接続団体の移行作業を計画通りに進捗させるための支援を主体的に行うこと。
・セキュリティクラウドで提供する機能ごとに、各種コンテンツの移行、アカウント登録、データ移行など、各接続団体の状況に応じて、各種機器の設定変更や接続支援を行うこと。
・説明会の実施、各接続団体の関係ネットワークベンダーとの連携を行うこと。
・必要に応じて県及び各接続団体の庁舎で個別説明の機会を設けること。
・各接続団体のセキュリティ担当者や関係ネットワークベンダーに対して、仕様説明及び操作説明、移行支援を効果的に実施するための方法を提案すること。
②移行後・運用前の業務(機能検証期間の業務)・各接続団体のセキュリティ担当者に対する説明会の実施及び接続団体の管理者向け説明会を実施すること。
28第5章 運用サービス要件1 運用設計①SLAの策定・委託業務期間におけるSLAは表3のとおりとする。
・受託事業者の瑕疵によりサービス稼働率を達成できなかった場合、本業務の月額料金を上限として、稼働率に応じた料金返還を実施する。
表3 SLA②運用設計書の作成及び掲載以下の内容を運用設計書としてまとめ、県に納入するとともに、接続団体が閲覧できるようにポータルサイトに掲載すること。
・日次/月次/年次の業務運用サイクル(イベントスケジュール)・接続団体と受託事業者との作業分担・システム監視体制と監視項目・バックアップ運用に関する情報(バックアップ対象及び方法、頻度、保存形式(全体/差分等)、世代数、保存先)・システム出力ログに関する情報(種類、概要、出力タイミング、出力場所等)・障害時対応(復旧・復元方法等)大分類 小分類 サービスレベルの評価項目 サービス実施規定値等可用性サービス期間点検・工事等による計画停止を除くサービス提供 24時間365日(閏年は366日)計画停止予定通知上位回線(ネットワーク)工事、施設点検等によりサービスの一時停止を行う場合の通知停止日から3週間前までに連絡を行い、協議の上、作業の決定を行う。
料金返還率(月額利用料金を上限とする。) 99.9%未満:1%、 99.5%未満:3% 99.0%未満:10%、 97.0%未満:20% 95.0%未満:30%、 90.0%未満:100%信頼性稼働監視各サービス提供機能について、サービスが正常に提供されていることを監視する。
1秒おきに3回の機能確認を行い、3回とも正常が確認できない場合、障害発生と判断する。
監視方法:SNMPプロトコルによるレスポンス解析監視内容:①HTTP監視、②URL監視、③DNS監視、④SMTP監視、⑤仮想サーバのリソース使用状況監視間隔:5分障害通知時間:平日 ~ 8:30 18:00は30分以内、それ以外の時間帯は1時間以内(軽微な障害は、翌営業日の9:00まで)疎通監視インターネット接続回線、セキュリティクラウド~各接続団体の接続回線について、1秒おきに3回の機能確認を行い、3回とも正常性が確認できない場合、障害発生と判断する。
監視方法:PINGプロトコルによるレスポンス解析監視内容:PINGパケットの送達時間監視間隔:5分障害通知時間:平日 ~ 8:30 18:00は30分以内、それ以外の時間帯は1時間以内(軽微な障害は、翌営業日の9:00まで)障害対応各サービス提供機能の障害発生時は、原因究明に着手すると共に、影響範囲、対応方法、対応時間等を県に適時報告し、協議の上速やかに障害復旧作業を行う。
障害復旧時、発生した障害への対応状況(障害内容、発生理由、影響範囲、対応経緯、実施作業、再発防止等)についての報告を行う。
着手時間:平日 ~ 8:30 18:00は1時間以内、それ以外の時間帯は2時間以内 ※着手時点で県に一次報告を行う。
報告タイミング:対応後1営業日以内ネットワークインターネット接続回線インターネット接続環境を提供する。
ネットワーク機器及びネットワークトラフィック状況に関する各種統計の報告を行う。
回線速度:1Gbps (帯域保証型)冗長回線及び複数ASによるマルチホーム報告タイミング:1回/月セキュリティファイアウォール不正アクセスを検出するまでの時間不正アクセスを検出後、通知までの時間SOCによる24時間365日(閏年は366日)監視SOC検知後1時間以内にNOCで情報を把握、顧客との取り決めに応じて通知ウイルスチェックウイルス情報の把握パターンファイルの更新SOCによる24時間365日(閏年は366日)監視SOC検知後1時間以内にNOCでウイルス情報を把握ベンダーリリース後6時間以内にパターンファイル更新セキュリティインシデント対応最新セキュリティのセキュリティ情報を提供する間隔セキュリティインシデント発生時の初動対応(緊急時)SOCによる24時間365日(閏年は366日)監視SOC検知後1時間以内にNOCで情報を把握、顧客との事前の取り決めによる連絡及び被害(加害)の拡散防止対策の実施292 運用要件①サポート拠点の設置及びサポート体制の確立・各接続団体の情報セキュリティ担当部署へのサポート及びセキュリティインシデント発生時の統括拠点を設置すること。
・運用要員を適切に配置すること。
外部組織、協力会社、保守業者などが存在する場合、その関係、役割、作業分担、責任範囲、指揮系統を明確にすること。
・接続団体との窓口は一本化し、ワンストップで対応を実施すること。
・障害やセキュリティインシデント発生時の各接続団体との連絡体制を確立すること。
・緊急時における受託事業者内及び各接続団体への連絡体制図を整備し、あらかじめ関係者全員に配布すること。
・セキュリティインシデントが発生した場合、緊急度の程度により報告する手順・相手を明確にし、大規模災害などの障害時にも適切な対応をとること。
・障害発生時には、速やかに原因を特定し、適切に対応するとともに、県及び接続団体への報告、ポータルサイトへの掲載をすること。
・フィルタリングルール等各サーバ、ネットワーク機器の設定変更に迅速に対応できる体制を準備すること。
②運用手順書の整備・運用に係る各作業については、手順書を作成し、それに基づいて作業を行うこと。
・運用手順書に基づいて作業を実施することで、運用の標準化・運用品質の向上を図ること。
・運用手順書は、PDCAにより継続的に見直し・更新を行い、品質の向上を図ること。
・運用手順書は、ポータルサイトに掲載し、随時更新を行うこと・運用フローを年1回以上見直すこと。
3 情報セキュリティの監視及びセキュリティインシデント対応①SOC監視体制・SOCによる監視は24時間365日(閏年は366日)の有人監視とする。
セキュリティ運用基盤による迅速かつ高精度なセキュリティリスクの可視化に加え、専門のリスク分析官が詳細な解析を実施すること。
・セキュリティ機器が取得するPCAPも分析対象とし、各セキュリティ機器やSIEMが判断したリスクが高いイベントを追跡調査すること。
・10,000人以上の規模の官公庁又は企業等において実績のあるセキュリティ監視・分析体制を敷くこと。
・セキュリティ監視業務を実施した経験を10年以上有していること。
・監視や分析によりセキュリティインシデントを検知した場合には、速やかに該当する接続団体に連絡するとともに、次項②に挙げる対応を行うこと。
・稼働状況、分析状況、セキュリティインシデントの検出状況及びセキュリティインシデントへの対応状況等について、月1回レポートを作成し、県に提出の上、全接続団体が確認できるようにポータルサイトに掲載すること。
・SOCで検知される新たなセキュリティインシデントについて、県に提示すること。
・新たなセキュリティインシデントの監視方法、検知実績、連絡体制、対応事例について、適宜報告を行うこと。
・監視に対する考え方、体制等について、分析対象となる機器及び通信、分析手法、セキュリティインシデント管理方法等を、運用開始前及び毎年度当初に県に説明すること。
②セキュリティインシデントへの対応・セキュリティインシデントが発生した場合の対応について、深刻度に応じた対応フローや体制(役割分担)、各接続団体及び関係ネットワークベンダーとの連携方法等を整理し、運用開始前に県と合意すること。
30・セキュリティインシデントを検知した場合、発生した接続団体を特定し、必要な初動対応を行うこと。
・セキュリティインシデント検知時には、専門分析官の提示する危険度のレベルと対応を表4のとおり定義し、定義に応じて必要な対応を実施すること。
表4 セキュリティインシデントのレベル定義と対応・セキュリティインシデントの事案によっては、県の指示のもと該当する接続団体へ駆けつけ、必要となるログの収集、証拠証跡の確保を行うこと。
・セキュリティインシデントが発生した場合、情報漏えいを防ぐことを最優先として、ネットワーク接続の遮断等、必要な対応を行うこと。
また、セキュリティインシデント情報の整理、事象の把握と調査を行い、被害の拡大防止を図ること。
NOCにおいては、以下の対処を実施すること。
レベル 定義 対応内容Critical 攻撃成功が明白な場合【重大なセキュリティインシデント】電話・メールによる緊急連絡Serious 攻撃が成功した可能性が高い場合Medium攻撃が発生しているが、影響がないと判断した場合【軽微なセキュリティインシデント】ドキュメントによる報告Information 攻撃ではないが、注意が必要な場合A)初動対応被害拡大防止と現状保存 事象の把握と調査 報告実施内容接続団体にヒアリングを行い、発生している事象やシステム構成を把握する。
必要なログやデータの確保を依頼。
情報漏えいの可能性がある場合は、ネットワーク接続の遮断、システムや端末の状態保存、状態維持を依頼。
侵入手法や被疑端末の手掛かりをつかむため、その時点で入手できているログやデータから、不正アクセスの痕跡やマルウェア感染の状況を調査する。
また、被害の拡大防止のための応急処置を検討する。
判明できた内容の報告と被害の拡大防止のための打ち手を、簡易報告書としてまとめて提出する。
31・初動対応が完了した後、原因分析及び再発防止策案の検討を行い、接続団体による再発防止策の策定を支援すること。
・リスク許容度に応じて最適な復旧作業を提案し、実施すること。
・セキュリティインシデントの発生を想定した訓練を年1回以上行うこと。
(各接続団体へのメール及びFAXの一斉送信、ポータルサイトへの発生・対応状況の掲載等)4 ヘルプデスク要件①ヘルプデスクの設置・各接続団体の情報セキュリティ担当部署の職員からの問い合わせ窓口としてヘルプデスクを設置すること(ポータルサイトの問い合わせも含む)。
②業務内容・電話、FAX、電子メール、Webフォーム等を用意し、接続団体からの質問依頼・相談、障害、セキュリティインシデント等問い合わせに対応すること。
・接続団体からのオプションサービス機能の設定変更、各種アカウント(メールアカウント等)の設定変更等の各種手続の受付や、手続きの処理状況の照会に対応すること。
・技術的問い合わせ(各接続団体の情報セキュリティ担当職員からの問い合わせを含む)に対応できる体制をとること。
・ヘルプデスクへの問い合わせに対しては、可能な限りヘルプデスクから回答できる工夫をし、その場で回答できない場合には、運用部門等への照会を行うこと。
・対応履歴(ログ)の管理を行い、月次運用サービス実績報告書に記載すること。
・各種申請手続きについてWebフォーム等を用意し対応すること。
・セキュリティインシデントが発生した場合、SOCと連携し接続団体のセキュリティインシデント対応を行うこと。
・接続団体のインターネット系ネットワーク構成を入手し、構成情報を把握しておくこと。
・接続団体との接続でIPアドレス変換が行われている場合、接続団体側のIPアドレスとの変換情報を入手しておくこと。
・接続団体のシステム更新、システム変更に対し柔軟に対応すること。
調査・分析 改善提案項目 原因・侵入手法の特定 影響範囲の明確化 改善提案実施内容攻撃・感染の痕跡の詳細分析や、必要に応じて、より高度な調査を行い、原因・侵入手法を特定する。
状況に応じて被疑端末だけでなく周辺端末の調査を行い、影響範囲を明確化する。
調査内容を総括して報告するとともに、再発防止の観点での実施事項をまとめる。
詳細【調査手法の例】・アクセスログ解析/ネットワークログ解析/パケット解析/マルウェア解析【提案例】・暫定的な構成変更/バージョンアップの推奨/プロファイリング/脆弱性診断B)調査・分析 C)改善提案32・接続団体にてシステム更新、システム変更が行われた際、接続団体のネットワーク接続情報を最新化すること。
③対応条件・ヘルプデスクは日本国内に設置し、日本語で対応可能であること。
・障害対応及びセキュリティインシデント対応については、24時間365日(閏年は366日)対応可能なヘルプデスク窓口を用意すること。
・電話対応は、平日8:30から17:15まで受付し、応対すること。
・電子メール、FAX、Webフォーム等は24時間受付を行い、受付時間外に受信した問い合わせへの回答は、翌開設日に対応すること。
・受付電話は2回線以上とすること。
・問い合わせ者やその内容等の漏えい・紛失を防ぐ対策を行うこと。
④運用体制の確保・運用責任者を設置し、問題への対応、指示などを適切に行える体制を整えること。
・セキュリティインシデント検知及び障害発生時の問い合わせに対応できる体制をとること。
・応対者については必要な教育を実施し、円滑なヘルプデスク対応を実現すること。
・応対者は、電話対応時間中は回線数プラス1名以上を確保し、運用に支障を生じさせないこと。
5 運用サポート(日常運用業務)①運用に係る障害対応要件・障害対応は24時間365日(閏年は366日)対応とする。
・障害発生から初期対応を開始するまでの時間を、概ね30分以内とすること。
ただし、大規模災害発生時はこの限りではない。
なお、初期対応とは、障害発生箇所・原因の確認作業への着手、県及び接続団体等の関係者への連絡等を指す。
・重要障害の発生を想定した訓練を年1回以上行うこと。
(各接続団体へのメール及びFAXの一斉送信、ポータルサイトへの発生・対応状況の掲載等)・不具合の修正、ソフトウェアのバージョンアップ、脆弱性への対応等を行い、ソフトウェアを適切に維持・管理すること。
②運用環境保全・データバックアップ、リストア・稼働監視・性能・構成管理・ログ管理・バージョンアップ、パッチによる影響等の情報提供・バージョンアップ、パッチインストール作業・障害対応及び障害後是正措置・予防措置・運用マニュアル等ドキュメントの改訂33③ドキュメント管理・各種納入成果物について、運用期間中に内容の変更が生じた場合には、随時改訂を行い、更新履歴を付して県に提出するとともに、ポータルサイトへの掲載内容も更新すること。
④接続団体サポート・ヘルプデスク業務・各接続団体の状況や要望に応じて、各種設定変更や接続支援を行うこと。
・ユーザーアカウントの登録削除を行うこと。
・セキュリティクラウド内で使用するアカウントについては、毎年度更新することとし、更新後のアカウントについては、受託事業者から接続団体に通知すること。
・セキュリティクラウドへ新たに参加する団体から問い合わせがあった場合には、技術的な支援を行うこと。
⑤連絡会議・次の要件に従い、連絡会議を定期的に開催し、運用状況を県及び必要に応じて接続団体に報告すること。
Ø原則として対面にて毎月1回開催すること。
Ø連絡会議終了後、速やかに、当該会議の議事内容について議事録を作成し、県及び接続団体に提出すること。
⑥運用スケジュール表及び運用実績報告書の提出等・年間の運用スケジュール表を県及び接続団体に提出し、事前に運用スケジュール調整すること。
・運用実績報告書を県及び接続団体に提出し、その内容について詳細に説明すること。
またポータルサイトでも情報提供すること。
なお、運用実績報告書の記載内容は、次のとおりとする。
A)作業項目ごとの実施状況(作業日時、作業者、作業内容、作業場所等)B)ヘルプデスクへの質問及び回答内容(日時、質問者、内容、受付者、回答者、回答内容等)C)不正アクセスレポート(攻撃種類、件数等)D)その他必要事項(課題管理等)E)改善提案等⑦説明会・会議等・必要に応じて、接続団体向けに説明会を実施すること。
・県が主催するセキュリティクラウドに関する会議において、技術的な説明が必要な場合は、受託事業者が県の要望に応じて説明を行うものとする34第6章 構築作業体制及び構築方法1 作業体制及び構築方法①作業体制・受託事業者は、業務を円滑に進めるために十分な体制を取ること。
・契約締結後、速やかにプロジェクト計画書(体制図含む)を県に提出すること。
・プロジェクト責任者及びプロジェクトを管理・主導する者は、事前に県が承認した場合を除き、契約日からセキュリティクラウドの運用開始日までの期間中、同一の人物とすること。
・県は、プロジェクト責任者等の業務遂行が不適切であると認める場合、受託事業者に対して当該者の交代を請求できるものとする。
この場合、受託事業者は速やかに適切な後任者を選定し、県の承認を得るものとする。
交代にあたっては、十分な引き継ぎ期間を設け、プロジェクトの品質及び納期に影響を与えないよう受託事業者の責任において万全の措置を講じること。
②プロジェクト計画・契約後速やかにプロジェクト計画書を作成し、県の承認を得ること。
・プロジェクト計画書に変更の必要が生じた場合、都度県に更新版を提出し、承認を得ること。
・プロジェクト計画書に記述するべき主たる項目を、以下に示す。
なお、C)体制図には、各要員の保有する技術的な資格及び今回の構築で利用する技術を用いた業務の経験を記載すること。
また、D)スケジュールについては、合理的なスケジュールを作成すること。
構築を効率的に進める手法があれば、併せて提案すること。
A)プロジェクトの目的B)プロジェクト管理方針C)体制図D)スケジュールE)進捗管理計画F)コミュニケーション管理計画G)品質管理計画H)リスク管理計画(課題管理含む)I)WBS③プロジェクト管理・プロジェクト計画に従い、主体的にプロジェクト管理を実施すること。
・進捗状況の確認、各種打合せ、リスクや問題の共有のため、構築期間中、月に2回程度進捗会議を行うこと。
・進捗の遅れ等、プロジェクトに問題が生じた場合には、頻度を上げて開催する等、状況に応じ柔軟に対応すること。
・進捗会議後には速やかに議事録を作成し、県の承認を得ること。
・品質低下や納期遅延に繋がる課題の予兆を検知し、防止に努めること。
・課題や問題点の発生時には、主体的に対策を検討し、県と協議のうえ対応を行うこと。
・運用に際しての残課題(申送り事項や制限事項)がある場合は、文書にて県に報告し、承認を得ること。
35第7章 契約条件等1 受託事業者の要件①情報セキュリティを確保するための体制の整備・本業務を実施する組織・部署において、本業務の実施を適用範囲に含んだ ISMS(情報セキュリティ管理システム)についてISO/IEC 27000ファミリー規格の認証を取得していること。
・プライバシーマーク認定証、又はこれと同等の個人情報保護マネジメントシステムを確立していること。
②事業実績・元請として、国、都道府県、市町村又は特別区の庁内ネットワークを構築・運用した実績を有すること。
・元請として、国、都道府県、市町村又は特別区において、LGWANネットワークを構築・運用した実績又はLGWANを利用して通信を行うシステムを構築・運用した実績を有すること。
2 契約期間及び契約方法①契約期間・セキュリティクラウド構築・移行については、契約締結の日から令和9年3月31日までとする。
・セキュリティクラウド運用保守については、令和9年4月1日から令和14年3月31日までとする。
②契約主体・構築及び運用保守に関する契約は、県と行うこと。
③オプションサービス契約・セキュリティクラウドのオプションサービスに関しては、各接続団体との契約を行うこととし、支払方法や課金単位(月額単価、クライアント単価、アカウント単価など)に関する条件を、オプションサービス価格表(兼オプションサービス申込書)に記述すること。
3 委託業務終了時の対応①各種情報の提供・接続団体がシステムに登録したデータ(初期移行により登録したデータを含む)やログデータ、仮想OSのイメージデータ等各種情報資産を、電磁記録媒体等に納め、接続団体に提出すること。
・メールデータ等の移行についても提案すること。
②プロジェクト管理・業務終了及び第4次高知県情報セキュリティクラウドへの移行支援にかかるプロジェクト管理を行うこと。
36③データ消去・本業務の契約の中で、接続団体及び受託事業者がシステムに登録した全てのデータを、不可逆的な消去レベルの高い規格・手法にて消去し、データ消去終了後にはデータ消去証明書を発行すること。
4 第4次高知県情報セキュリティクラウドへの移行支援①移行支援・第4次においても業務を滞りなく継続するため、第3次で使用している、移行に必要な各種情報資産を提供すること。
・第4次の移行に必要な情報の開示等、積極的に協力すること。
・移行支援内容について、提案すること。
②移行対象資産・各接続団体がシステムに登録した情報のすべて(初期登録データを含む)。
・移行に必要なシステムの設定情報。
・移行に必要なネットワークの設定情報等。
・移行対象資産の情報提供は、本業務の範囲内とする。
・移行対象資産の情報提供期日は、別途協議のうえ定める。
1第3次高知県情報セキュリティクラウド構築等委託業務提案書作成要領1 提案書の提出について第3次高知県情報セキュリティクラウド構築等委託業務に係る業務提案書(以下「提案書」という。)を提出する事業者は、次に掲げる事項に留意してください。
2 提出する書類の種類提出書類については、次のとおりとし、正本1部及び副本8部提出してください。
提出する書類の種類・様式は下記表のとおりです。
3 提案書及びプレゼンテーション資料の作成方法(1)用紙の大きさはA4判(縦横は自由)又はA3判横です。
(2)また、図表等補足資料においてA3を使用する場合は片面印刷とし、A4版に折り込んでください。
(3)文字は注記等を除き原則として11ポイント以上とし、用紙左右に20mm程度の余白を設けてください。
(4)提案書及びプレゼンテーション資料は、表紙、目次を作成し、用紙のページ数は、提案書は150ページ以内、プレゼンテーション資料は40ページ以内とし、資料の下部には、ページ番号を記載し、両面印刷とすること。
なお、表紙、目次、裏表紙はページ数に含みませんが、図表等補足資料はページ数に含みます。
A3判を使用する場合は2ページ分としてカウントし、ページの表記については1ページ分としてください。
(5)正本は2に記載のある資料をファイルに綴じてください。
(6)副本は様式4、様式5、提案書及びプレゼンテーション資料をファイルに綴じて、表紙は提案書の標題だけを記載し、事業者名及び事業者名を類推できる表現を入れないでください。
(7)文章を補完するためにイラストや図表などを使用しても構いませんが、提案者を様式番号 提出書類の名称 規格及び制限枚数1 鑑文 A4判縦、1ページ2 実施体制 A4判縦、2ページ以内3 法人概要書 A4判縦、3ページ以内4 オプション機能価格表 A3判横、指定の様式5必須項目チェックリストA3判横、指定の様式様式任意 提案書(内容)A4判又はA3判横、150ページ以内※表紙及び目次、ページ番号必須※表紙及び目次はページ数に含まない様式任意プレゼンテーション資料(内容)A4判又はA3判横、40ページ以内※表紙及び目次、ページ番号必須※表紙及び目次はページ数に含まない2特定し得る内容やロゴマーク等は一切入れないでください。
(8)提案書を確認する者が、特段の専門的な知識を有していなくても理解できる表現とし、必要に応じて、用語解説などを添付(規定するページに含む)してください。
(9)提案内容が履行できなかった場合で、再履行が困難であるとき又は合理的な理由がないときは、契約金額の減額又は損害賠償を行う場合があるので留意してください。
4 オプション機能価格表の記載内容ア 様式4オプション機能価格表は、第3次高知県情報セキュリティクラウド構築等委託業務仕様書第2章(5)カ及び別紙5を参考に、H列に各項目の税抜きの導入経費を、J列に利用料を記載してください。
なお、利用料においては、月額料金なのか年額料金なのかわかるようにK列に、「月額」か「年額」のどちらかを記載してください。
また、費用が発生しない場合は「-(ハイフン)」を記載してください。
イ D~G列には「製品名」と記載している箇所には、提供する製品名を記載してください。
ウ D~G列には現行のプランをベースに記載をしておりますが、スペック等の差異により細かく価格設定がなされている場合は、行の追加等により対応してください。
行を追加した場合は、追加した箇所が分かるように、行を黄色で色づけするようにしてください。
エ 提供する機能において、留意すべきと考える事項がある場合は備考欄に記載してください。
オ その他追加で提案した機能がある場合は、行を追加したうえで、行を青色で色づけするようにしてください。
5 必須項目チェックリストの記載内容ア 様式5必須チェックリストは、第3次高知県情報セキュリティクラウド構築等委託業務仕様書及び別紙を参考に、各項目を満たしているか確認してください。
イ 各項目について、任意様式の提案書のどのページに該当するかをG列に記載してください。
ウ 各項目について、仕様を満たす場合は「⚪」を、一部仕様書を満たさないが、満たさないことで問題が生じない理由がある場合は「△」を、仕様を満たさないが代替する機能がある場合は「□」を、仕様書を満たさない場合で代替提案がなく、仕様書を満たさないことで問題が生じないことを説明できない場合は「×」を記載してください。
なお、「△」、「□」の場合は、G列に理由を記載するあるいは、提案書に代替案を記載ください。
エ 全ての項目を審査のうえ、一つでも不合格となる項目がある場合は、審査対象外となりますので、具体的に分かりやすく記載してください。
6 提案書の記載内容(1)記載方法ア 提案書は第3次高知県情報セキュリティクラウド構築等委託業務仕様書及び別紙を参考に、各項目事項の要件を満たしているかわかるように作成してください。
イ 提案内容について適切に評価できるよう、具体的に分かりやすく記載してください。
ウ 構築、運用保守に係る作業内容及び作業方法を具体的に記載してください。
3エ 提案書を作成するうえで、留意すべきと考える事項がある場合は記載してください。
(2)スケジュールア 令和8年度に第3次高知県情報セキュリティクラウドの構築及び移行を確実に実現することを目指したスケジュール、プロジェクト管理について、作業内容、管理方法及び作業期間を具体的に記載してください。
イ 成果物について、内容及び納品時期を具体的に記載してください。
7 プレゼンテーション資料の記載内容ア プレゼンテーション資料は技術審査の採点の対象となるため、第3次高知県情報セキュリティクラウド構築等委託業務の評価表を参考に、各社のアポールポイントがより具体的に分かるように作成してください。
イ 提案書とプレゼンテーション資料で記載内容が同様でも問題ありません。
ウ プレゼンテーション資料について適切に評価できるよう、具体的に分かりやすく記載してください。
エ プレゼンテーション資料を作成するうえで、留意すべきと考える事項がある場合は記載してください。
8 構築費用及び運用費用の上限額構築費用(令和8年度) 836,656千円運用費用(令和9年度から令和13年度)1,248,610千円総額2,085,266千円※ここに示す金額は消費税及び地方消費税額を含む。
※この金額は、本業務の調達における提案価格の上限額であり、契約時の予定価格を示すものではない。
※この金額には、本業務に関する一切の費用を含む※なお、入札額は上記に記載している構築費用及び運用費用のそれぞれの上限額を超えてはならない。
9 作成における留意事項(1) 提出書類に用いる言語、通貨、単位は日本語、日本円、日本の標準時及び計量法(平成4年法律第51号)に定める単位に限ります。
(2) 提出書類の再提出、差し替え及び追加は認めません。
(3) 提出書類の記載内容は、全て当委託業務の範囲として入札価格で実施できるものとみなすので、入札価格で実施可能な内容を記述してください。
なお、本業務の範囲外の作業について触れる必要がある場合には、その範囲を明示した上で記述してください。
(4) 提出書類は落札者決定のための書類であることから、適切に評価できるよう分かりやすい記述・表現に努めてください。
(5) 提出書類に示す要求範囲を超える提案を行う場合には、その範囲を超える部分及びその効果を明確に示してください。
(6) 提出書類に示す要求範囲を超える提案を行う場合には、その範囲を超える部分で追加費用等が発生する場合は、追加費用がわかるように明確に示してください。
(7) 仕様書に示した事項に対応する内容の記述が不明な場合は、採点できないことがあるので、注意してください。
(8) 提出書類が次項に該当するときは失格となる場合があります。
ア 虚偽の内容が記載されているもの4イ 提出書類の内容や提出方法が本要領の規定に該当しないもの10 提出について(1) 提出部数ア 紙媒体・正本:2の様式1から5、提案書及びプレゼンテーション資料を一式として1部・副本:2の様式4、5、提案書及びプレゼンテーション資料を一式としてを副本として8部イ 電子データ・2の各ファイル(Word、Excel、PowerPoint、PDFに対応できるデータ形式。ファイル数の指定はありません。)(2) 提出方法・持参又は郵送(書留郵便に限る。)※必ず紙と電子の両方を提出してください。
(3) 提出期限令和8年5月12日(火)午後5時(必着)※この期限までに2で定めるすべての書類の提出がないものは、受理することができませんので注意してください。
(4) 提出先〒780-8570 高知市本町4丁目1番16号(高知電気ビル別館7階)高知県総合企画部デジタル政策課 デジタル県庁担当電話088-823-977311 提案にあたっての留意事項(1) 1者1提案までとします。
(2) その他ア 提出書類は返却しません。
イ 書類の作成・提出に係る費用は、提案者の負担とします。
ウ 提出書類の差替え及び再提出は認めません。
エ 提出書類は、審査の使用に限り、複写することがあります。
オ 提出書類は、評価及び必要に応じ実施するヒアリング以外には、提案者に無断で使用しません。
カ 提出書類に含まれる著作物の著作権は、提案者に属することとします。
なお、提出書類の記述が特許権など日本国内の法令に基づいて保護される第三者の権利の種類の対象となるものを使用した結果生じた責任は、提案者が負うこととします。
12 ヒアリング(1) 書類の提出後、落札者を決定するまでの間、内容や添付資料の記載事項を確認するため、必要に応じヒアリングを実施することがありますが、この際、追加提案の説明や追加資料の提出は認めません。
(2) ヒアリングを実施する際は、別途文書又は口頭により通知します。
13 本書類に関する質問及び回答方法等質問は提出書類の作成に限ることとし、評価等に関する質問は、一切受け付けません。
また、質問は次の方法で取り扱いますが、質問者の所属や氏名、連絡先(電子メール5アドレスを含む)等が明確ではない場合は回答しない場合があります。
(1)質問方法電子申請にて、入札説明書の質疑書(様式4)の提出による質問のみ受け付けます。
電話及び電子メール等、他の方法での質問は受け付けません。
電子申請は以下のフォームから行ってください。
第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札質疑書提出フォームhttps://apply.e-tumo.jp/pref-kochi-u/offer/offerList_detail?tempSeq=17888(2)質問受付期間令和8年4月1日(水)午前9時から同年4月21日(火)午後5時まで(3)回答方法令和8年4月28日午後5時(火)までに高知県総合企画部デジタル政策課ページに掲載します。
https://www.pref.kochi.lg.jp/soshiki/080000/080501/
第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札審査要領第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札の審査に関する事項を次に定めます。
1 審査の対象となる事業者審査は、次の各号を全て満たす事業者を対象に行います。
(1) 別途定める「入札説明書」に規定する資格要件を満たす者(2) 「入札説明書」に規定する期限内に、必要な書類の全てを提出した者(3) 必須項目チェックリストに記載されている項目において不合格でない者(4) 提案書作成要領により、適正に提案書一式の書類を作成した者(5) 予定価格の制限の範囲内の価格をもって入札した者2 審査の項目及び点数事前に設定した落札者決定基準に基づき、総合評価基準による技術点と価格点により算出します。
ただし、価格点については審査委員会事務局にて入札価格により算出し、審査委員会の審査においては、技術点のみ算出することとします。
3 審査委員会参加者から提出された提案書に基づきプレゼンテーションを行う審査委員会を開催します。
(1) 日時令和8年5月21日(木)午後1時30分~ (2) 場所 高知市本町四丁目1番16号 高知県電気ビル別館7階 会議室(3) プレゼンテーションア 順番は、入札参加意思確認申請書の提出順とします。
イ 事前に提出した提案書を資料として使用し、時間は30分以内とします。
ウ プレゼンテーション終了後、審査委員から質疑の時間を設けます。
エ 参加者数によって、プレゼンテーションの時間、日程等が変更となる場合があります。
4 審査の方法(1) 提出された提案書と、審査委員会におけるプレゼンテーションにより、落札者決定基準の技術点について、審査を行います。
(2) 各審査委員は、プレゼンテーションと質疑の終了後、総合評価基準に基づいて審査を行います。
(3) 全ての対象者の審査終了後、審査委員会事務局にて各審査委員の審査結果を集計し、落札者決定基準に基づき、落札者を決定します。
第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札に係る落札者決定基準開札の結果、入札額が予定価格の範囲内、かつ、必須項目をすべて満たす入札者の中から、以下のとおり、業務提案書を審査したうえで落札者を決定する。
(1) 技術評価点(500点満点)は、「第3次高知県情報セキュリティクラウド構築等委託業務総合評価一般競争入札に係る業務提案書評価表」(別紙)に基づき、総合評価審査委員会の各委員が業務提案書を審査し、その平均点とする。
なお、点数に端数があるときは、小数点第2位以下を四捨五入する。
(参考)技術評価点の計算例A委員:350点 B委員:400点 C委員:290点の場合技術点 = (350点+400点+290点)÷3人= 346.666点= 346.67点(小数点第2位以下を四捨五入)また、技術評価・採点方法は以下のとおりとする。
ア 評価項目単位の採点採点については、下表の基準に基づき1点から5点の5段階評価とする。
イ 評価項目単位のウェイト 重要度に応じて3種類のウェイト(6、10、12)を各評価項目単位に設定する。
ウ 評価点評価項目単位の採点に評価項目単位のウェイトを乗じた点とする。
(2) 価格評価点(500点満点)は、次の式により算出する。
なお、点数に端数があるときは、小数点第2位以下を四捨五入する。
価格評価点 = 500点×(1-入札額/予定価格)(3) 技術評価点と価格評価点の合計点が最も高い者を落札者とする。
ただし、合計点が最も高い者が2者以上(以下「候補者」という。)いるときは、以下のとおり落札者を決定する。
採点 採点基準5 (相対的に)非常に優れている4 (相対的に)優れている3 普通2 (相対的に)やや劣っている1 (相対的に)劣っているア 各候補者の技術評価点が異なる場合技術評価点が高い候補者を落札者とする。
イ 各候補者の技術評価点が同じ場合技術評価点のうち、評価項目「4 高知県固有要件への対応」、「7 構築及び移行計画」、「8 運用計画」及び「9 SOC運用」の合計点が最も高い候補者を落札者とする。
ウ ア及びイで落札者が決定しない場合入札額が最も低い者を落札者とする。
それでもなお、落札者が決定しない場合は、別途日を定め、くじ引きにより決定する。
この場合において、候補者のうち、くじを引かない者があるときは、これに代えて、当該入札事務に関係のない職員にくじを引かせるものとする。
第3次SC評価基準第3次高知県情報セキュリティクラウド構築等委託業務 総合評価一般競争入札に係る業務提案書評価表,評価,配点,5:非常に優れている,60,50,30,4:優れている,48,40,32,3:普通,36,30,24,2:やや劣っている,24,20,16,配点(500点),1:劣っている,12,10,6,評価項目,仕様書記載箇所,記載箇所詳細,評価点,評価基準・内容,ウェイト(A),採点(B),得点(A×B),1 本提案におけるコンセプト・アピール点 ,50,第1章,1 目的,1,・仕様書に記載された目的(接続団体の状況変化への柔軟な対応、セキュリティ水準の確保とコストの抑制等)を踏まえ、第3次を構築・運用する上でのコンセプトが明確になっているか。
・運用期間中に想定される、国の施策や関連技術の動向等への対応の考え方が明確になっているか。
・機能や性能、運用面等でのアピール点(他社との優位性等)が接続団体にとって有益なものか。
,10,5:非常に優れている,50,2 システム全体構成とアーキテクチャ,50,第2章,システムの要件,1,提案内容全般を俯瞰,・各ネットワークセグメント及び全体構成が効率的な設計となっているか。
・堅牢性、利便性、信頼性、保守性、拡張性に優れた提案となっているか。
・ベンダーロックインとなるようなシステム構成になっていないか。
,10,5:非常に優れている,50,3 性能機能及び性能,50,第1章第2章,1 機能要件(1)インターネット通信の監視(2)セキュリティインシデントの予防(4)対応と復旧2 非機能要件(1)機器設置場所に関する要件(2)通信回線(3)ネットワーク環境に関する要件(4)情報セキュリティ,1,・各機能・装置等の性能、通信回線の速度等は、その根拠を含め妥当なものとなっているか。
・仕様書に記載された各要件のスペックを上回る提案があるか。
・セキュリティ対策やセキュリティインシデント対応について追加の提案があるか。
,10,5:非常に優れている,50,4 高知県固有要件への対応 ,60,第2章,1 機能要件(5)県固有要件,1,ア~オ,・「大容量ファイル転送」、「共同利用セグメント」、「ポータルサイト」、「リモートメンテナンス」について、各接続団体の利便性を高める追加の提案があるか。
・「データファイルの安全な受渡対策」について追加の提案があるか。
,12,5:非常に優れている,60,5 可用性、拡張性,50,第2章,2 非機能要件(5)可用性(6)規模(7)拡張性・柔軟性,1,全項目,・可用性を確保するために、設備、機能、冗長化について具体的な提案があるか。
・BCP訓練について具体的な提案があるか。
・接続団体の追加、利用者数の増加、機器等の追加、回線増速等に対応できるよう、システムの拡張性の確保について具体的な提案があるか。
・αモデルからその他のネットワークモデル(α'、β、β’、ゼロトラストアーキテクチャ)に移行するための拡張性・柔軟性について具体的な提案があるか。
,10,5:非常に優れている,50,6 オプションサービス契約の内容・価格等,30,第2章,1 機能要件(5)県固有要件,1,カ 個別オプションサービス,・各個別オプションサービスについて、費用対効果の高い(機能・性能等と費用のバランスに優れた)提案になっているか。
・各個別オプションサービスにおいて、障害・トラブル等が発生した際に迅速に対応する窓口・体制等が提案されているか。
・仮想ブラウザについて、接続団体の利便性の高いサービスが提案されているか。
,6,5:非常に優れている,30,第7章,2 契約期間及び契約方法,1,③オプションサービス契約,・各オプションサービスの支払方法や課金単位に関する条件が明確に提案されているか。
・各サービスの提供価格が適正であるか。
(第2次と比較して著しく高額となっていないか。),7 構築及び移行計画,60,第4章第6章,移行作業要件構築作業体制及び構築方法,1,・移行スケジュールや移行方法、関係者(県、接続団体、受託者、関係業者等)間の役割分担は妥当か。
・各接続団体の負担が少ない移行作業・プロセスの提案となっているか。
・各接続団体の移行に当たって、関係者からの問い合わせ等に対して丁寧な対応を可能とする体制の構築や、関係者への説明会の開催について、具体的に提案されているか。
・多数の接続団体が接続するに当たり、考慮すべき事項やその対応について、具体的な提案があるか。
・構築作業を円滑に進めるために、より充実した体制やプロジェクト管理手法が提案されているか。
,12,5:非常に優れている,60,8 運用計画,60,第5章,1 運用設計2 運用要件4 ヘルプデスク要件5 運用サポート(日常運用業務),1,全項目,・仕様書に記載されたSLAを達成・維持するための品質管理や継続的改善等に係る運用が提案されているか。
・充実した運用要員(資格、経験、人数等)が配置されているか。
・各接続団体へのサポート体制・窓口・ヘルプデスク等が充実しているか。
・運用に係る障害対応について、適切な体制・手順・訓練等が具体的に提案されているか。
,12,5:非常に優れている,60,9 SOC運用,60,第2章,1 機能要件(3)SOC運用サービス,1,全項目,・迅速にログを調査・分析し、対応が可能な体制・手順が具体的に提案されているか。
・いち早く異常を検知できる監視方法等の提案があるか。
・セキュリティインシデント発生時における関係者への適切な通知方法等について、具体的に提案されているか。
・SLAの項目が具体的に提示され、それを達成・維持するための品質管理や継続的改善等に係る運用が提案されているか。
,12,5:非常に優れている,60,第5章,3 情報セキュリティの監視及びセキュリティインシデント対応,1,全項目,・より迅速かつ高精度なインシデントの検知や対応等を行うための技術が採用されているか。
・より充実したSOC監視体制(従事者の人数、資格、経験等)が提案されているか。
・官公庁や企業等において、提案するSOCサービスの運用実績がどの程度あるか。
・セキュリティインシデントが発生した場合の対応について、深刻度に応じた対応フローや体制(役割分担)、各接続団体及び関係ネットワークベンダーとの連携方法等が具体的に提案されているか。
,10 事業実績,30,第7章,1 受託事業者の要件,1,②事業実績,・都道府県において、元請として情報セキュリティクラウドの構築・運用実績がどの程度あるか。
・行政機関において、元請として庁内ネットワークやLGWANネットワーク、或いはLGWANを利用して通信を行うシステムの構築・運用実績がどの程度あるか。
,6,5:非常に優れている,30,合計,500,500,