令和8年度有害事象報告システムの運用保守及び基盤提供業務

令和8年度有害事象報告システムの運用保守及び基盤提供業務 - 1 -入 札 公 告次のとおり一般競争入札に付します。なお、本入札に係る落札及び契約締結は、当該業務に係る令和８年度本予算が成立し、予算示達がなされることを条件とするものです。令和８年２月２日支出負担行為担当官動物医薬品検査所長 荻窪 恭明◎調達機関番号 018 ◎所在地番号 08１ 調達内容(1) 品目分類番号 71、27(2) 購入等件名及び数量 令和８年度 有害事象報告システムの運用保守及び基盤提供業務一式(電子入札方式対象案件)(3) 調達案件の仕様等 入札説明書による。(4) 履行期間 令和８年４月１日から令和８年10月30日。(5) 履行場所 動物医薬品検査所(6) 入札方法 落札者の決定は、入札書に記載- 2 -された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。２ 競争参加資格(1) 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。(2) 予算決算及び会計令第71条の規定に該当しない者であること。(3) 令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)「役務の提供等」において、「Ａ」の等級に格付されている、関東・甲信越地域の競争参加有資格者であること。- 3 -(4) 予算決算及び会計令第73条の規定に基づき、支出負担行為担当官が定める資格を有する者であること。(5) 支出負担行為担当官から指名停止を受けている期間中の者でないこと。(6) その他の競争参加資格については、入札説明書による。３ 電子調達システム(ＧＥＰＳ)の利用本案件は、入札等を電子調達システムで行う対象案件である。なお、電子調達システムによりがたい者は、発注者に書面により申出のうえ、紙入札によることができる。４ 入札書の提出方法及び場所等(1) 入札書の提出方法 電子調達システムによるが、電子調達システムに停電等の不具合、システム障害等やむを得ない事情によるトラブルが発生した場合は、紙入札に移行することがある。(2) 入札書の提出場所、契約条項を示す場所、入札説明書の問い合わせ先- 4 -〒305－8535 茨城県つくば市観音台２－１－22 動物医薬品検査所会計課用度係 電話029－811－6849(3) 入札説明書の交付方法 本公告日から調達ポータル上にてダウンロード可能。(https://www.p-portal.go.jp/pps-web-biz/UAA01/0AA0101)(4) 入札説明会の日時及び場所 開催しない。(5) 入札書の受領期限 令和８年３月24日 午前９時までに電子調達システムによる送信、紙による郵送(書留郵便に限る。)は令和８年３月23日午後５時までとし、持参は下記４(６)の開札日時までとする。(6) 開札の日時及び場所 令和８年３月24日午前11時 動物医薬品検査所第一会議室５ その他(1) 入札及び契約手続において使用する言語及び通貨 日本語及び日本国通貨。(2) 入札保証金及び契約保証金 免除。(3) 入札者に要求される事項 この一般競争に- 5 -参加を希望する者は、封印した入札書に入札説明書で示した競争参加に必要な証明書類を添付して入札書の受領期限までに提出しなければならない。入札者は、開札日の前日までの間において、支出負担行為担当官から当該証明書類に関し説明を求められた場合は、それに応じなければならない。当該証明書類に関し説明の義務を履行しない者は落札決定の対象としない。(4) 入札の無効 本公告に示した競争参加資格のない者の入札、申請書又は資料等に虚偽の記載をした者の入札、入札に関する条件に違反した入札及び特定調達契約入札心得書第８条の規定に違反した者の入札は無効とする。(5) 契約書の作成の要否 要。(6) 落札者の決定方法 本公告に示した調達案件を履行できると支出負担行為担当官が判断した証明書類を添付して入札書を提出した入札者であって、予算決算及び会計令第79条の規定に基づいて作成された予定価格の制限の- 6 -範囲内で最低価格をもって有効な入札を行った者を落札者とする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低の価格をもって入札した者を落札者とすることがある。(7) 手続きにおける交渉の有無 無。(8) 詳細は入札説明書による。６ Summary(1) Official in charge of disbursement ofthe procuring entity : OGIKUBO Yasuaki,Director of National Veterinary Assay L-aboratory(2) Classification of the services to beprocured : 71, 27- 7 -(3) Nature and quantity of the services tobe required : Provision of operation,maintenance and cloud platform for ad-v-erse event reporting system, 1set(4) Fulfillment period : From 1 April,2026through 30 October, 2026(5) Fulfillment place : National Veterina-ry Assay Laboratory. (6) Qualification for participating in thetendering procedures : Suppliers eligi-ble for participating in the proposed t-ender are those who shall :① not come under Article 70 of the Ca-binet Order concerning the Budget, Au-diting and Accounting. Furthermore, m-inors, Person under Conservatorship orPerson under Assistance that obtainedthe consent necessary for concluding acontract may be applicable under casesof special reasons within the said cl-- 8 -ause. ② not come under Article 71 of the Ca-binet Order concerning the Budget, Au-diting and Accounting. ③ have the Grade "A" in terms of qual-ification "Provision of services" atKanto-Koshinetsu area for participat-ing in tenders by Ministry of Agric-ulture, Forestry and Fisheries (Sing-le qualification for every ministryand agency)in the fiscal year 2025,2026 and 2027. ④ meet the qualification requirementswhich the Obligating Officer may spec-ify in accordance with Article 73 ofthe Cabinet Order. ⑤ Prove not to be a period of receivi-ng nomination stop from the contracti-ng officer etc. (7) Time-limit for tender : 9:00 A.M.,24- 9 -March, 2026(tenders submitted by mail 5:00P.M., 23 March, 2026)(8) Contact point for the notice : Proc-urement Section of Accounting DivisionNational Veterinary Assay Laboratory, 2－1－22 Kannondai, Tsukuba city,Ibarakiprefecture 305－8535 Japan. T EL 029－811－6849 令和８年度 動物用医薬品等データベースの機能改修業務調達仕様書農林水産省2目次１ 調達案件の概要.. 4(１) 調達件名.. 4(２) 調達の背景.. 4(３) 調達目的及び調達の期待する効果.. 5(４) 業務・情報システムの概要.. 5(５) 契約期間.. 7(６) 作業スケジュール.. 8２ 調達案件及び関連調達案件.. 8(１) 調達範囲.. 8(２) 調達案件の一覧.. 8(３) 調達案件間の入札制限.. 9３ 情報システムに求める要件.. 9４ 作業の実施内容.. 10(１) 設計・開発実施計画書等の作成.. 10(２) 要件定義内容の調整・確定.. 10(３) 設計.. 11(４) 開発・テスト.. 11(５) 受入テスト支援.. 12(６) 情報システムの移行.. 12(７) 引継ぎ.. 12(８) 定例会等の実施.. 12(９) 契約金額内訳及び情報資産管理標準シートの提出.. 13(１０) 成果物の作成.. 13５ 作業の実施体制・方法.. 17(１) 作業実施体制.. 17(２) 作業要員に求める資格等の要件.. 18(３) 作業場所.. 20(４) 作業の管理に関する要領.. 20６ 作業の実施に当たっての遵守事項.. 20(１) 機密保持、資料の取扱い.. 20(２) 個人情報の取扱い.. 21(３) 法令等の遵守.. 22(４) 環境負荷低減に係る遵守事項.. 22(５) 標準ガイドラインの遵守.. 22(６) 成果物の取り扱いに関する事項.. 25(７) 検収.. 27７ 入札参加資格に関する事項.. 27(１) 競争参加資格.. 27(２) 公的な資格や認証等の取得.. 28(３) 受注実績等.. 28(４) 複数事業者による共同入札.. 28(５) 履行可能性審査に関する要件.. 29(６) 入札制限.. 293８ 再委託に関する事項.. 29(１) 再委託の制限及び再委託を認める場合の条件.. 29(２) 承認手続.. 30(３) 再委託先の契約違反等.. 30９ その他特記事項.. 30(１) 前提条件等.. 30(２) 入札公告期間中の資料閲覧等.. 30１０ 附属文書.. 31別紙１：令和7年度動物用医薬品等データベース改修に向けた要件定義書.. 31別紙２：情報セキュリティの確保に関する共通基本仕様.. 31別紙３：情報システムの経費区分.. 31別紙４：調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業 32別添１：AWS/Azure設定確認リスト.. 32別添２：webシステム/webアプリケーション.. 32別記様式１：閲覧申込書.. 32別記様式２：守秘義務に関する契約書.. 32別記様式３：質問書.. 324１ 調達案件の概要(１) 調達件名令和８年度 動物用医薬品等データベースの機能改修業務(２) 調達の背景農林水産省動物医薬品検査所が主管する「動物用医薬品等データベース」は、我が国で承認された動物用医薬品、動物用医薬部外品、動物用医療機器、動物用体外診断用医薬品及び動物用再生医療等製品(以下、「動物用医薬品等」という。)に関する情報や副作用に関する情報を収集し、国民に公開するデータベースである。「動物用医薬品等データベース」は、2018 年６月に決定した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(最終改訂：2025年５月27日)において政府方針として示された「クラウド・バイ・デフォルトの原則」を踏まえ、平成 30 年度(2018 年度)にクラウドサービス(NECCI)に移行した。農林水産省では、政府全体の動向や利用者視点に立った、あるべき農林水産行政の姿を踏まえ、令和４年６月７日に閣議決定された「デジタル社会の実現に向けた重点計画」を受けて、「デジタル社会の形成に向けた農林水産省中長期計画」(令和４年 10 月５日に農林水産行政情報化推進委員会決定)を策定した。同計画では、品質・低コスト・スピードを兼ね備えた行政サービスに向けて、 ガバメントクラウド、ガバメントソリューショ ンサービス(GSS)、ベースレジストリ等の共通機能について、農林水産省の各情報システムの状況を踏まえ、活用できるものについてはその活用を徹底するとしている。その上で、農林水産省では、クラウドの共通基盤を整備し、パブリッククラウドへの移⾏・運⽤に必要な最⼩限の共通機能を提供するとともに、情報システムの状況に応じて適切なクラウドへの移行方式を選択した上で円滑にクラウド移行できるよう支援を行っている。なお、当該共通機能を利用するパブリッククラウドをMAFFクラウドと言い、総合的な技術支援を行う組織をＭＡＦＦクラウドＣｏＥという。「動物用医薬品等データベース」は、令和７年度(2025 年度)から、MAFFクラウド(AWS)の利用を開始した。本システムは MAFF クラウドを利用しており、本調達期間においても引き続きMAFFクラウドを利用することを前提とする。本調達では、当該政府方針に従い、MAFF クラウド(AWS)上に構築された動物用医薬品等データベースの機能改修業務を調達する。「動物用医薬品等データベース」https://www.vm.nval.go.jp/「動物用医薬品等データベース」が収集する情報のうち、動物用医薬品等の副作用報告については、その報告項目や様式、電送方法について、日米欧の３極で協調する国際基準：動物用医薬品の承認審査資料の調和に関する国際協力(以下、「国際基準(VICH)」5という。)によりガイドラインが発出されており、このガイドラインに基づき、各国で副作用報告システムが運用されている。現在日本において、この国際基準(VICH)に基づき報告できるシステムとして、「農林水産省共通申請サービス(以下、「eMAFF」という。)」及び「有害事象報告システム」が稼働している。しかし、「有害事象報告システム」は、国際基準(VICH)の改正に伴い報告画面の改修が必要な状態であること、また、eMAFFについては、運用見直しにより、令和８年度をもって現在の申請機能の運用が終了する。そのため、現在のeMAFF 申請機能の提供が終了するまでに、現在の国際基準に準拠した副作用報告が可能となる報告機能を「動物用医薬品等データベース」に追加するために改修を実施する必要がある。今回の改修では、「国際基準(VICH)に準拠した副作用報告を行う機能の追加」だけではなく、「有害事象報告システムに実装されている報告機能や認証機能」についても、あわせて「動物用医薬品等データベース」に移行できるよう、令和７年度中に要件定義書を作成した。改修はこの要件定義書に基づき行うことを予定している。(参考)国際基準：動物用医薬品の承認審査資料の調和に関する国際協力(VICH)https://vichsec.org/en/home.html「有害事象報告システム」https://aer.nval.go.jp/mahs/login(３) 調達目的及び調達の期待する効果本業務は、「動物用医薬品等データベース」に、国際基準(VICH)に準拠した副作用報告画面を追加し、さらに「有害事象報告システム」の報告機能及び認証機能等も追加することで、国内の動物用医薬品等の副作用報告システムを一本化し、利用者の利便性を向上し、より迅速に、より容易に国内外からの副作用情報を収集し、国内の動物用医薬品等の安全対策に貢献する。 (４) 業務・情報システムの概要6令和８年度動物用医薬品等データベース機能改修業務、動物用医薬品等データベース及び有害事象報告システム(統合廃止予定)の概要は次のとおりである。図 1 副作用報告の流れ及び「動物用医薬品等データベース」の概要7図 2 「動物用医薬品等データベース」のシステム構成図(５) 契約期間令和８年４月１日から令和８年12月28日(予定)まで8(６) 作業スケジュール作業スケジュールは次のとおり想定している。図 3 作業スケジュール２ 調達案件及び関連調達案件(１) 調達範囲本調達では、動物用医薬品等データベースの機能改修業務及び付帯する業務を行うものとし、受注者の責任範囲は、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下、「薬機法」という。)及び国際基準(VICH)並びに関連する専門用語集を理解し、さらに eMAFF 及び有害事象報告システムに構築されるそれぞれの報告機能の特長を考慮し、提示された要件定義書に従って動物用医薬品等データベースの副作用報告に関わる改修を行う。(２) 調達案件の一覧調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は次の表のとおりであり、次期システムの運用開始は令和８年度を予定している。R7年度(2025年度) R8年度(2026年度)４月 ５月 ６月 ７月 ８月 ９月 10月 11月 12月 １月 ２月 ３月 ４月 ５月 ６月 ７月 ８月 ９月 10月 11月 12月 １月 ２月 ３月動物⽤医薬品等データベース運⽤・保守 調達運⽤・保守業務要件定義書(改修)調達要件定義書作成業務改修(副作⽤報告機能追加)調達改修業務有害事象報告システム運⽤・保守ソフトウェアサポート期限jQuery(未定)MySQL.NET8仕様書作成 PMO確認公示(官報掲載)(最低価格落札方式)終了旧副作⽤報告画面新副作⽤報告画面公示(総合評価)仕様書作成 PMO確認公示(官報掲載)(総合評価)運⽤・保守 運⽤・保守運⽤・保守 運⽤・保守要件定義書作成改修 終了9表 1 調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等の一覧(３) 調達案件間の入札制限調達案件間の入札制限はない。３ 情報システムに求める要件(１) 設計・開発の実施に当たっては、「別紙１ 要件定義書」の各要件を満たすこと。(２) 受注者は、以下を元に、本システムを設計・開発すること。ア 令和６年度の MAFF クラウド移行業務にて、「動物用医薬品等データベース」のサーバがMAFFクラウドへ移行している。その際に選定した、クラウドサービスプロバイダー(AWS)を利用すること。詳細については別途農林水産省が提示する最新の「農林水産省クラウド利用ガイドライン及び関係資料」を参照すること。また、本案件業務の実施において、農林水産省クラウド利用ガイドラインの改定があった場合は最新版を参照すること。イ 改修時のリリースにあたっては、令和６年度のMAFF クラウド移行業務にて作成した運用保守マニュアルに準拠して実施すること。また資産管理のため、以下のサービスを利用すること。・AWS CodeCommit・AWS CodePipelineウ 令和６年度の MAFF クラウド移行業務にて作成された標準コーディング規約に準拠すること。(３) 国際基準(VICH)が定める各種ガイドラインに準拠し、薬機法等関連法令に準拠した副作No. 調達案件名 調達の方式 契約締結日入札公告落札者決定契約期間1動物用医薬品等データベースMAFFクラウド移行最低価格落札方式2024/62024/42024/62024/6～2025/3/312動物用医薬品等データベース改修(画面改修)最低価格落札方式2024/62024/42024/62024/6～2025/3/313令和7年度動物用医薬品等データベース改修に向けた要件定義作成業務(副作用報告機能追加)総合評価方式 2025/7 2025/72025/7～2025/12/264動物用医薬品等データベース運用・保守、基盤提供総合評価方式 2026/4/12026/1(予定)2027/3(予定)2026/4/1～2027/3/31(予定)5有害事象報告システム運用・保守及び基盤提供業務最低価格落札方式2026/4/12026/2(予定)2027/3(予定)2026/4/1～2026/10/30(予定)6動物用医薬品等データベースの機能改修(副作用報告機能追加)最低価格落札方式2026/4(予定)2026/1(予定)2026/3(予定)2026/4(予定)～2026/12/28(予定)10用報告を可能とすること。(参考)国際基準(VICH)のガイドラインGL24https://vichsec.org/en/component/attachments/attachments/304.html?task=downloadGL29https://vichsec.org/en/component/attachments/attachments/305.html?task=downloadGL30https://vichsec.org/en/component/attachments/attachments/2703.html?task=downloadGL35https://vichsec.org/en/component/attachments/attachments/1523.html?task=downloadhttps://vichsec.org/en/component/attachments/attachments/2637.html?task=downloadGL42https://vichsec.org/en/component/attachments/attachments/2618.html?task=download専門用語集Veddrahttps://www.ema.europa.eu/en/documents/regulatory-procedural-guideline/combined-veterinary-dictionary-drug-regulatory-activities-veddra-list-clinical-terms-reporting-suspected-adverse-events-animals-humans-veterinary-medicinal-products-rev15_en.pdfATC Vet Codehttps://atcddd.fhi.no/atcvet/atcvet_index/４ 作業の実施内容(１) 設計・開発実施計画書等の作成受注者は、プロジェクト計画書及びプロジェクト管理要領と整合をとりつつ、担当部署の指示に基づき、プロジェクト管理支援事業者と調整の上、設計・開発実施計画書及び設計・開発実施要領の案を作成し、担当部署の承認を得ること。なお、設計・開発実施計画書及び設計・開発実施要領の記載内容は「デジタル・ガバメント推進標準ガイドライン」(デジタル社会推進会議幹事会決定。最終改定：2025年５月 27日以下「標準ガイドライン」という。)「第７章 設計・開発」で定義されているものとする。(２) 要件定義内容の調整・確定受注者は、設計・開発の実施に先立ち、「別紙 1 要件定義書」の内容を確認すること。その際、内容について調整すべき事項があれば、担当部署、関係部署、動物用医薬品等データベース運用・保守事業者と調整の上、結果に基づき要件定義書の修正を行うこと。要件の調整内容は、担当部署及び関係するステークホルダーに提示し、合意形成を図りつつ進めること。11(３) 設計ア 受注者は、「別紙 1 要件定義書」の機能要件及び非機能要件を満たすための基本設計及び詳細設計を行い、成果物について担当部署の承認を得ること。イ 受注者は、情報システムの移行の方法、環境、ツール、段取り等を記載した移行計画書を作成し、担当部署の承認を得ること。ウ 受注者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、担当部署の確認を受けること。 エ 受注者は、生成AI を活用したシステム構築を行う場合、インプットの定義、インプットの利用条件等について、基本設計で検討し、担当部署の承認を得ること。オ 受注者は、インフラの設定変更があった場合は設計書等の更新版(パラメータシート含む)を、担当部署に提出すること。カ 受注者は、農林水産省クラウド利用ガイドライン別紙 1_共通機能_利用申請書の内容(システム構成を含む)に変更がある場合、資料を更新し、担当部署と MAFF クラウドCoEの確認を受けること。(４) 開発・テストア 受注者は、開発に当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、プログラミング等のルールを定めた開発標準(標準コーディング規約、セキュアコーディング規約、データやデータ項目の命名規約等)を定め、担当部署の確認を受けること。イ 受注者は、開発に当たり、情報セキュリティ確保のためのルール遵守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定め、担当部署の確認を受けること。ウ 受注者は、単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、担当部署の承認を得ること。エ 受注者は、設計工程の成果物及びテスト計画書に基づき、アプリケーションプログラムの開発、テストを行うこと。オ 受注者は、テスト計画書に基づき、各テストの実施状況と実施結果について担当部署に報告すること。その際、セキュリティ関連のテストの実施結果が確認できるようにすること。カ 脆弱性検査については、「デジタル庁 政府情報システムにおける脆弱性診断ガイドライン」の実施基準を満たすように脆弱性診断実施事業者の選定、脆弱性診断の実施、検出された脆弱性への対応を行うこと。キ 受注者は、生成 AI を活用したシステム構築を行う場合、導入予定の生成 AI システ12ムが期待する品質を満たしているか確認し、担当部署の承認を得ること。なお、担当部署が品質が満たされていないと判断した場合、原因を特定し、改善措置を講じること。受注者は、本調達にて開発したプログラム一式を成果物として提出すること。(５) 受入テスト支援ア 受注者は、担当部署が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。イ 受注者は、担当部署が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。ウ 受注者は、担当部署の指示に基づき、PJMO以外の情報システム利用者のテスト実施も含めて、テスト計画書作成の支援を行うこと。(６) 情報システムの移行ア 受注者は、担当部署の移行判定を受けて、移行計画書に基づく移行作業を行うこと。イ 受注者は、データ移行に当たり、新規情報システムのデータ構造を明示し、保有・管理するデータの変換、移行要領の策定、例外データ等の処理方法等に関する手順書を作成し、担当部署の承認を得ること。ウ 受注者は、上記手順書に従い、データを変換・移行した後は、移行後のデータだけでなく、例外データ等についても確認を行い、データの信頼性の確保を図ること。(７) 引継ぎア 受注者は、設計・開発の設計書、作業経緯、残存課題等を文書化し、運用事業者及び保守事業者に対して確実な引継ぎを行うこと。イ 受注者は、運用・保守事業者に対し、システム改修で行った開発環境への設定変更等の環境に関する情報及びデプロイ方法等に更新があった場合にその情報を引継ぐこと。ウ 受注者は、担当部署が本システムの更改を行う際には、次期の情報システムにおける要件定義支援事業者及び設計・開発事業者等に対し、作業経緯、残存課題等に関する情報提供及び質疑応答等の協力を行うこと。(８) 定例会等の実施ア 受注者は、定例会を隔週開催するとともに、業務の進捗状況を作業実施要領に基づき報告すること。イ 担当部署から要請があった場合、又は、受注者が必要と判断した場合、必要資料を作成の上、定例会とは別に会議を開催すること。ウ 受注者は、会議終了後、３日以内(行政機関の休日(行政機関の休日に関する法律(昭和63年法律第91号)第１条第１項各号に掲げる日をいう。)を除く。)に議事録を作成し、担当部署の承認を得ること。13(９) 契約金額内訳及び情報資産管理標準シートの提出ア 受注者は、「デジタル・ガバメント推進標準ガイドライン」(デジタル社会推進会議幹事会決定。最終改定：2025年５月27日)の「別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容」に基づく情報資産管理を行うために必要な事項を記載した情報資産管理標準シートを提出すること。イ 受注者は、「デジタル・ガバメント推進標準ガイドライン 別紙２ 情報システムの経費区分」に基づき区分等した契約金額の内訳が記載されたエクセルの電子データを契約締結後速やかに提出すること。なお、人件費については人件費単価ごとに工数を提示すること。再委託先がある場合は再委託先の法人番号と再委託金額を提示すること。最大何次請負、再委託総額、累計契約額(前年度まで)、年度契約金額を提示すること。(１０) 成果物の作成ア 成果物名本業務の成果物を以下に示す。表 2 成果物一覧No. 成果物名 内容及び納品数量納品期日1 設計・開発実施計画書 一式 契約締結後10日以内(行政機関の休日を除く。)2 設計・開発実施要領 一式 契約締結後10日以内(行政機関の休日を除く。)3 設計・開発実施要領に基づく管理資料 一式 契約締結後10日以内(行政機関の休日を除く。)4 開発標準(標準コーディング規約等) 一式 契約期間最終日5 設計書 一式 契約締結後10日以内(行政機関の休日を除く。)6 ソースコード一式 一式 契約期間最終日147 ノンプログラミングによる画面生成等プロトタイピング用のツール等を使用する場合、設計書やソースコード一式の生成等に使用される設定情報その他の必要な情報一式一式 契約締結後10日以内(行政機関の休日を除く。)8 実行プログラム一式 一式 契約期間最終日9 外部サービスを利用する場合、当該サービスに係る設定情報その他の必要な情報一式一式 契約締結後10日以内(行政機関の休日を除く。 )10 テスト計画書 一式 テスト実施５営業日前11 テスト仕様書 一式 テスト実施７営業日前12 単体テスト結果報告書 一式 テスト実施後２週間以内(特に問題が認められた場合は速やかに提出すること)13 結合テスト結果報告書 一式 テスト実施後２週間以内(特に問題が認められた場合は速やかに提出すること)14 総合テスト結果報告書 一式 テスト実施後２週間以内(特に問題が認められた場合は速やかに提出すること)15 脆弱性検査結果報告書 一式 検査実施後２週間以内(特に問題が認められた場合は速15やかに提出すること)16 テストデータ 一式 契約期間最終日17 移行計画書 一式 移行実施５日前まで(行政機関の休日を除く。)18 移行手順書 一式 移行実施５日前まで(行政機関の休日を除く。)19 移行結果報告書 一式 移行実施後2週間(行政機関の休日を除く。)20 操作手順書(一般利用者向け及び情報システム管理者向け)一式 テスト実施後２週間以内(特に問題が認められた場合は速やかに提出すること)21 研修用資料 一式 研修実施２日前まで(行政機関の休日を除く。)22 要件定義書の改定案 一式 必要に応じて担当部署と決める23 契約金額内訳 一式 契約締結後10日以内(行政機関の休日を除く。)24 情報資産管理標準シート 一式 担当部署から依頼のあった提出期日まで25 情報セキュリティ管理計画書 一式 担当部署と別途協議1626 引継ぎ資料 一式 担当部署と別途協議27 クラウドサービスの利用実績 一式 契約期間最終日28 クラウドサービスの機能を利用したソフトウェア情報等の出力結果(コンテナ環境の場合は除く)一式 契約期間最終日29 パラメータシート 一式 契約期間最終日30 クラウド環境一式(管理者権限等のアカウント情報を含むこと。なお、アカウント情報については、必要な情報を記載した「アカウント情報一覧」を準備した上で、担当部署が指定する方法で納品すること。)一式 契約期間最終日農林水産省をエンドカスタマー(エンドユーザー)として登録していることを証明する書面一式 契約期間最終日注記：成果物については、設計・開発実施計画書で計画した時期に担当部署の承認を得ること。イ 成果物の納品方法・ 成果物は、全て日本語で作成すること。ただし、日本国内においても英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。・ 用字・用語・記述符号の表記については、「公用文作成の考え方(令和４年１月11日内閣官房長官通知)」を参考にすること。・ 情報処理に関する用語の表記については、日本産業規格(JIS)の規定を参考にすること。・ 作成した成果物は担当部署が指定したサーバへ納品(例：PrimeDrive又はSharePoint 等)すること。なお、納品の際は、検収が終了したファイル一式を時点がわかるような形式(例：zip等)で提出すること。・ サーバ納品について、Microsoft Office又はPDFのファイル形式で作成すること。・ 納品後、農林水産省において改変が可能となるよう、図表等の元データも併せて納品すること。・ 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。17・ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。・ 不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。・ 上記に加えて紙媒体についても作成し、担当部署から特別に示す場合を除き、原則紙媒体は１部を納品すること。・ 紙媒体による納品について、用紙のサイズは、原則として日本産業規格A列４番とするが、必要に応じて日本産業規格A列３番を使用すること。ウ 成果物の納品場所原則として、成果物は次の場所において引渡しを行うこと。ただし、担当部署が納品場所を別途指示する場合はこの限りではない。〒305-8535茨城県つくば市観音台２丁目１－22農林水産省 動物医薬品検査所 企画連絡室５ 作業の実施体制・方法(１) 作業実施体制本業務の推進体制及び本業務受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内の人員構成については想定であり、受注者決定後に協議の上、見直しを行う。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは18別に作成すること。図 4 本業務の推進体制及び本業務受注者に求める作業実施体制表 3 本業務における組織等の役割組織等 本業務における役割担当部署 動物用医薬品等データベースの管理組織として、本業務の進捗等を管理する。本業務受注者 本業務を実施する。運用及び保守事業者 担当部署を通じて、現行システムの情報提供に係る支援を行う。PMO 農林水産省の全体管理組織。クラウド利用を含む情報システムに関する担当部署からの問い合わせを受け、対応、助言・指導等を行う。MAFFクラウドCoE担当部署・受注者に対してパブリッククラウド全般及びMAFFクラウド利用に係る技術的な支援を行う。表 4 本業務受注者に求める作業実施体制の役割組織等 本業務における役割遂行責任者  本業務全体を統括し、必要な意思決定を行う。また、各関連する組織・部門とのコミュニケーション窓口を担う。 原則として全ての進捗会議及び品質評価会議に出席する。 本業務の委託期間中は可能な限り専任でこれに当たるものとする。チームリーダ 動物用医薬品等データベースの機能改修業務及びサブシステムに関する設計・開発において作業状況の監視・監督を担うとともに、チーム間の調整を図る。設計・開発担当者 動物用医薬品等データベースの機能改修業務及びサブシステムに関する設計・開発を担う。テスト担当者 動物用医薬品等データベースの機能改修業務及びサブシステムに関するテストを担う。品質管理者 本業務全体において所定の品質を確保するため、監視・管理を担う。情報管理責任者※ 本業務の情報取扱い全てに関する監督を担う。※個人情報を取り扱う責任者を別途設置することも妨げない。(２) 作業要員に求める資格等の要件受注者は、本業務の遂行責任者及び担当者等の役割に応じて次に示すスキル・経験を持つ人員を充て、プロジェクト全体として全ての要件を満たす作業実施体制とすること。ア 受注者における遂行責任者は、日本語で円滑なコミュニケーションが可能であること。 また、具体的な作業内容及び手順等については、「農林水産省クラウド利用ガイドラインの関係資料」を参考とすること。なお、農林水産省クラウド利用ガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。カ 情報システム監査(ア) 本調達において整備又は管理を行う情報システムに伴うリスクとその対応状況を客観的に評価するために、農林水産省が情報システム監査の実施を必要と判断した場合は、農林水産省が定めた実施内容(監査内容、対象範囲、実施者等)に基づく情報システム監査を受注者は受け入れること。(農林水産省が別途選定した事業者による監査を含む)。(イ) 情報システム監査で問題点の指摘又は改善案の提示を受けた場合には、対応案を担当部署と協議し、指示された期間までに是正を図ること。キ 情報システムの保護(ア) 情報システム、情報システムで取り扱うデータ等の情報資産の所有権その他の権利がクラウドサービスプロバイダーに帰属せず、また、発注者からクラウドサービスプロバイダーに移転されるものでないこと。(イ) 農林水産省の情報システムにおけるクラウドサービスの契約は、農林水産省をエンドカスタマーとしてクラウドサービスの再販を行うこと。ク データマネジメント・データ活用基本方針本業務の遂行に当たっては、「農林水産省データマネジメント・データ活用基本方針書(令和5年10月)に基づくこと。ケ ソフトウェア情報本システムのソフトウェア情報については、「別紙 1 要件定義書 3.11．情報システ25ム稼働環境に関する事項」の表3.11-2ソフトウェア一覧を参照すること。上記のソフトウェアの内、.NET8.0については、2026年11月10 日にサポート期限を迎えることから、.NET8.0から.NET10.0へのバージョンアップ対応及びそれに係る本システムの改修、改修後のリリース作業を本調達において実施すること。コ 行政の進化と革新のための生成AIの調達・利活用に係るガイドラインへの対応(ア) 本業務の遂行に当たっては、生成 AI を活用する場合、 「デジタル社会推進標準ガイドライン DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン 別紙３調達チェックシート」の基本項目を満たすこと。行政の進化と革新のための生成AIの調達・利活用に係るガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。(イ) 本業務においては、上記(ア)に加えて、「国民等による農林水産省外利用の場合」、「個人情報、プライバシー、知的財産を取り扱う場合」の項目もそれぞれ満たすこと。行政の進化と革新のための生成 AI の調達・利活用に係るガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。(６) 成果物の取り扱いに関する事項ア 知的財産の帰属(ア) 本業務における成果物の原著作権及び二次的著作物の著作権(著作権法第 21条から第 28条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書等にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。(イ) 受注者又は第三者に帰属する知的財産権を用いて成果物を作成(情報システムの構築等を含む。)する場合、当該知的財産権の利用における制約等を担当部署に説明するとともに、WEB サイトのコンテンツ利用規約にその内容を記載する等によりシステム利用者が意図せず知的財産権を侵害することがないよう、必要な措置を講じること。(ウ) 農林水産省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に開示できるものとする。また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるものとする。ただし、成果物に第三者の権利が帰属するときや、複製等により農林水産省がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。(エ) 本調達に係る成果物の権利(著作権法第21条から第28条に定める全ての権利を含む。)及び所有権は、検収に合格した成果物の引渡しを受けたとき受注者か26ら農林水産省に移転するものとする。(オ) 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の受注者は、当該既存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既存著作物等について当該許諾条件の範囲で使用するものとする。なお、本仕様に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら農林水産省の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。この場合、農林水産省は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。(カ) 受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。(キ) 受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。(ク) 生成 AI を活用したシステムを構築・運用する場合、生成 AI で作成したアウトプットや本業務で作成した生成AI向けの指示文については、農林水産省に権利が帰属するものとする。イ 契約不適合責任(ア) 農林水産省は検収(「検査」と同義。以下同じ。)完了後、成果物について調達仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができる。この場合において、受注者は、当該追完を行うものとする。 ただし、農林水産省が追完の方法を指定して追完を請求した場合であって、農林水産省に不相当な負担を課するものでないときは、受注者は農林水産省が指定した方法と異なる方法による追完を行うことができる。(イ) 前記(ア)の場合において、追完の請求にも関わらず相当の期間内に追完がなされないときは、農林水産省は、その不適合の程度に応じて支払うべき金額の減額を請求することができる。(ウ) 前記(イ)の規定にかかわらず、次に掲げる場合には、農林水産省は、相当の期間の経過を待つことなく、直ちに支払うべき金額の減額を請求することができる。a 追完が不能であるとき。b 受注者が追完を拒絶する意思を明確に表示したとき。c 特定の日時又は一定の期間内に履行をしなければ本調達の目的を達することができない場合において、受注者が追完をしないでその時期を経過した27とき。d a から c までに掲げる場合のほか、農林水産省が追完の請求をしても追完を受ける見込みがないことが明らかであるとき。(エ) 農林水産省は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができる。(オ) 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされない場合又は追完の見込みがない場合であって、当該契約不適合により本契約の目的を達することができないときは、農林水産省は本契約の全部又は一部を解除することができる。(カ) 前記アからオまでの規定にかかわらず、成果物の種類又は品質に関して契約不適合がある場合であって、農林水産省が検収完了後 1 年以内に当該契約不適合について通知しないときは、農林水産省は、本仕様書に定める契約不適合責任に係る請求をすることができない。ただし、検収完了時において受注者が当該契約不適合を知り、若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときはこの限りでない。(キ) 前記(ア)から(オ)までの規定にかかわらず、契約不適合が農林水産省の提供した資料等又は農林水産省の与えた指示によって生じたときは適用しないこと。ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。(７) 検収ア 本業務の受注者は、成果物等について、納品期日までに担当部署に内容の説明を実施して検収を受けること。イ 検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について担当に説明を行った上で、指定された日時までに再度納品すること。７ 入札参加資格に関する事項(１) 競争参加資格ア 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。イ 令和７、８、９年度全省庁統一資格の「役務の提供等」の「A」、「B」又は「C」の等級に格付けされ、競争参加資格を有する者であること。28(２) 公的な資格や認証等の取得ア 入札参加者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。(ア) 品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有しており、認証が有効であること。(イ) 上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。イ 入札参加者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。(ア) 情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。(イ) 一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。(ウ) 個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。(３) 受注実績等ア 応札者は、拠点数２以上のネットワークを構築した実績を過去３年以内に有すること。イ 応札者は、100 名以上が利用するデータベース機能を有する情報システムの設計・開発を行った実績を過去３年以内に有すること。ウ 応札者は、医薬品関連の情報システムにおける設計、開発、運用の実績を過去3年以内に有すること。(４) 複数事業者による共同入札ア 複数の事業者が共同提案する場合、その中から全体の意思決定、運営管理等に責任を持つ共同提案の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。イ 共同提案を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこと。事業者間の調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。また、解散後の契約不適合責任に関しても協定の内容に含めること。ウ 共同提案を構成する全ての事業者は、本入札への単独提案又は他の共同提案への参加を行っていないこと。29エ 共同事業体の代表者は、品質マネジメントシステム及び情報セキュリティに係る要件について満たすこと。その他の入札参加要件については、共同事業体を構成する事業者のいずれかにおいて満たすこと。(５) 履行可能性審査に関する要件ア 本業務及び情報セキュリティ管理の履行可能性を証明するため、以下の書類を提出すること。なお、提出された設計・開発実施計画書(案)及び情報セキュリティ管理計画書(案)において履行可能性を認めることができないと担当部署が判断した場合は、入札に参加することができない。イ 設計・開発実施計画書(案)とともに WBS を提出すること。WBS のワークパッケージは作業ではなく成果物を分解したものとし、ワークパッケージの粒度は概ね１週間程度とする。なお、WBSの作成にあたっては、以下の４点に留意すること。 (ア) 着手予定日と完了予定日…日付まで特定できていること(イ) 担当者…複数タスクの掛け持ちでないことを確認するため、原則は個人単位とすること(ウ) 成果物…ドキュメントとシステム両方で、完了判定・進捗基準が明確であること(エ) 工数及びボリューム…原則は両方とも記載、少なくともいずれか一方は必須で記載することウ 「セキュリティ要件」に基づいた情報セキュリティ管理計画書(案)。なお、本業務で取り扱う情報等の特性を十分に踏まえて作成したものであること。(６) 入札制限本業務を直接担当する農林水産省IT アドバイザー(デジタル統括アドバイザーに相当)、農林水産省全体管理組織(ＰＭＯ)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」 (昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。８ 再委託に関する事項(１) 再委託の制限及び再委託を認める場合の条件ア 本業務の受注者は、業務を一括して又は主たる部分を再委託してはならない。イ 再委託ができる業務は、原則として契約金額に占める再委託金額の割合(以下「再委託比率」という。)が50パーセント以内の業務とする。ウ 受注者における遂行責任者を再委託先事業者の社員や契約社員とすることはできない。30エ 受注者は再委託先の行為について一切の責任を負うものとする。オ 再委託先における情報セキュリティの確保については受注者の責任とする。カ 再委託を行う場合、再委託先が「8(6)入札制限」に示す要件を満たすこと。(２) 承認手続ア 本業務の実施の一部を合理的な理由及び必要性により再委託する場合には、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額等について記載した別添の再委託承認申請書を担当部署に提出し、あらかじめ承認を得ること。イ 前項による再委託の相手方の変更等を行う必要が生じた場合も、前項と同様に再委託に関する書面を担当部署に提出し、承認を得ること。ウ 再委託の相手方が更に委託を行うなど複数の段階で再委託が行われる場合(以下「再々委託」という。)には、当該再々委託の相手方の商号又は名称及び住所並びに再々委託を行う業務の範囲を書面で報告すること。(３) 再委託先の契約違反等再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、担当部署は、当該再委託先への再委託の中止を請求することができる。９ その他特記事項(１) 前提条件等ア 本調達仕様書と契約書の内容に齟齬が生じた場合には、本調達仕様書の内容が優先する。イ 本業務に関する契約の締結は、令和７年度の予算成立を条件とする。令和８年 10月から11月の期間は、担当部署の繁忙期に当たるため、担当職員のプロジェクトへの関与が十分にできなくなる恐れがあることに留意すること。ウ 本業務受注後に調達仕様書(別添要件定義書を含む。)の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって担当部署に申し入れを行うこと。エ 本業務に使用する言語(会話によるコミュニケーションを含む。)は日本語、数字は算用数字、単位は原則としてメートル法とすること。オ MAFFクラウドについて不明点等がある場合は、担当部署及びMAFFクラウドCoEと協議の上、作業を進めること。(２) 入札公告期間中の資料閲覧等31本業務の実施に参考となる過去の類似業務の報告書等に関する資料については、動物医薬品検査所内にて閲覧可能とする。なお、資料の閲覧に当たっては、必ず事前に担当部署まで連絡の上、閲覧日時を調整すること。ア 資料閲覧場所茨城県つくば市観音台２丁目１－22農林水産省動物医薬品検査所企画連絡室イ 閲覧期間及び時間(ア) 公告日から入札日前日まで(イ) 行政機関の休日を除く日の10時から17時まで。(12時から13時を除く。)ウ 閲覧手続最大３名まで。入札希望者の商号、連絡先、閲覧希望者氏名を別記様式「閲覧申込書」に記載の上、閲覧希望日の２日前までに提出すること。また、閲覧日当日までに別記様式「守秘義務に関する誓約書」に記載の上、提出すること。エ 閲覧時の注意閲覧にて知り得た内容については、提案書の作成以外には使用しないこと。また、本調達に関与しない者等に情報が漏えいしないように留意すること。閲覧資料の複写等による閲覧内容の記録は行わないこと。オ 連絡先農林水産省 動物医薬品検査所 企画連絡室電話029-811-6964Email：nval-shidouka@maff.go.jpカ 事業者が閲覧できる資料閲覧に供する資料の例を次に示す。(ア) プロジェクト計画書、プロジェクト管理要領(イ) 遵守すべき各府省独自の規定類a 農林水産省における情報セキュリティの確保に関する規則b 農林水産省における個人情報の適正な取扱いのための措置に関する訓令(ウ) 「動物用医薬品等データベース」の設計書(３) その他本仕様書について疑義等がある場合は、入札希望者は質問書により質問すること。なお、質問書に対する回答は適宜行うこととする。１０ 附属文書別紙１：令和７年度動物用医薬品等データベース改修に向けた要件定義書別紙２：情報セキュリティの確保に関する共通基本仕様別紙３：環境負荷低減のみどりチェック実施状況報告書32別紙４：情報システムの経費区分別紙５：調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業別添１：AWS/Azure設定確認リスト別添２：webシステム/webアプリケーション別記様式１：閲覧申込書別記様式２：守秘義務に関する契約書別記様式３：質問書以 上AWS・Azureセキュリティ設定確認リスト 凡例：〇：責任者、△：サポート※各リソースの詳細な設定についてご不明な点等ございましたら別途お問合せください。 その他のログについてはPJMOに一任。 AWS：Configの「Configsnapshot」「Confighistory」・CloudTrailの証跡ログ・VPCフローログ・GuardDutyの検出結果Azure：Microsoft Defender for Cloudの評価結果・Activity Log・VNetフローログ・AzurePolicyの評価結果ログの一元管理 △ 〇 同上ログの保護 △ 〇 同上ログの監視/通知の設定 〇 PJMOに一任ネットワークロードバランサの接続設定 〇 PJMOに一任DDoS対策 〇 PJMOに一任SSL/TLS証明書の設定・管理 〇 PJMOに一任AWSにおいて考慮すべき設定セキュリティグループの設定 ○ PJMOに一任Azureにおいて考慮すべき設定ネットワークセキュリティグループ(NSG)の設定 ○ PJMOに一任他セキュリティ全般不適切な設定を検知するサービスの導入 〇 △MAFFクラウド共通機能「不適切設定検知機能」により設定AWS：Config・Security HubAzure：Azure Policyクラウド環境内の脅威を検知するサービスの導入 〇 △MAFFクラウド共通機能「マネージド型脅威検出機能」により設定AWS：GuardDutyAzure：Microsoft Defender for Cloud攻撃対象となるネットワークポートへのアクセス制限 〇 PJMOに一任各サービスにおける不要な匿名/公開アクセスのブロック 〇 PJMOに一任各サービスにおけるデータ・通信の暗号化 〇 PJMOに一任不正プログラム対策ソフトウェアの導入 〇 IDS/IPS対策(※要否については応相談)脆弱性管理最新のOSパッチの適用確認 〇インベントリ収集機能の有効化 ○ △ MAFFクラウド共通機能「インベントリ収集機能」を有効化し、管理者アカウントで監視AWSにおいて考慮すべき設定Amazon Inspectorの有効化 ○ PJMOに一任コンテナにおける脆弱性対策 ○ ECR(基本スキャン)またはInspector(拡張スキャン)を利用Azureにおいて考慮すべき設定コンテナにおける脆弱性対策 ○Defender CSPMまたはDefender for Containersを利用※基本的にはDefender for Containersを利用(脆弱性診断の性能に差はほとんどない一方、Defender CSPMはサブスクリプション内のリソース毎に料金が発生するため、 Defender forContainersに比べコストが高くなりやすい)バックアップ各サービスのバックアップ設定 ○ PJMOに一任セキュリティ設定確認リスト(AWS/Azure)担当役割分担に関する補足Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.01 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1 認証・認可 1.1 ユーザー認証 1.1.1 特定のユーザーや管理者のみに表⽰・実⾏を許可すべき画⾯や機能、APIでは、ユーザー認証を実施すること特定のユーザーや管理者のみにアクセスを許可したいWebシステムでは、ユーザー認証を⾏う必要があります。また、ユーザー認証が成功した後にはアクセス権限を確認する必要があります。そのため、認証済みユーザーのみがアクセス可能な箇所を明⽰しておくことが望ましいでしょう。 リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。 OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。 必須1.1.2 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置しない)では、ユーザー認証を実施すること必須1.1.3 多要素認証を実施すること 多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password：時間ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。⼿法については NIST Special Publication 800-63B などを参照してください。 推奨1.2 ユーザーの再認証 1.2.1 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施することユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいでしょう。 推奨1.2.2 パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証を実施すること推奨1.3 パスワード 1.3.1 ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること 認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段として認証処理を⾏います。そのためパスワードを盗聴や盗難などから守ることが重要になります。 必須1.3.2 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であること パスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注意する必要があります。 必須1.3.3 パスワード⽂字列として使⽤可能な⽂字種は制限しないこと 任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤可能である必要があります。 必須1.3.4 パスワード⽂字列の⼊⼒フォームはinput type="password"で指定すること基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではありません。 必須1.3.5 ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと(hiddenフィールドなどのHTMLソース内やメールも含む)必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.02 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.3.6 パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること関数が存在しない場合にはパスワードは「パスワード⽂字列＋salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。(saltは20⽂字以上であることが望ましい)パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。 必須1.3.7 ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること 必須1.3.8 パスワードはユーザー⾃⾝に設定させることシステムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること推奨1.3.9 パスワードの⼊⼒欄でペースト機能を禁⽌しないこと ⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を禁⽌しないようにする必要があります。 推奨1.3.10 パスワード強度チェッカーを実装すること 使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。⼿法については NISTSpecial Publication 800-63B などを参照してください。 推奨1.4 アカウントロック機能について 1.4.1 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすることパスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。アカウントロックの試⾏回数、ロックアウト時間については、サービスの内容に応じて調整することが必要になります。 必須1.4.2 ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可能とすること推奨1.5 パスワードリセット機能について 1.5.1 パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。 使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必要最低限に設定してください。 必須1.5.2 パスワードはユーザー⾃⾝に再設定させること 必須1.6 アクセス制御について 1.6.1 Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。 画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。 これらはアクセス権限の⼀覧表に基づいて⾏います。 CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする⽅法もあります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.03 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.6.2 公開ディレクトリには公開を前提としたファイルのみ配置すること 公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要があります。 必須1.7 アカウントの無効化機能について 1.7.1 管理者がアカウントの有効・無効を設定できること 不正にアカウントを利⽤されていた場合に、アカウントを無効化することで被害を軽減することができます。推奨2 セッション管理2.1 セッションの破棄について 2.1.1 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。また、NIST Special Publication 800-63B などを参照してください。 必須2.1.2 ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッションを破棄することログアウト機能の実⾏後にその成否をユーザーが確認できることが望ましい。 必須2.2 セッションIDについて 2.2.1 Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤することセッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。 また、セッションIDは原則としてcookieにのみ格納すべきです。 必須2.2.2 セッションIDは認証成功後に発⾏すること認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること必須2.2.3 ログイン前に機微情報をセッションに格納する時点でセッションIDを発⾏または再⽣成すること必須2.2.4 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと 必須2.3 CSRF(クロスサイトリクエストフォージェリー)対策の実施について2.3.1 ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること正規ユーザー以外の意図により操作されては困る処理を⾏う箇所では、フォーム⽣成の際に他者が推測困難なランダムな値(トークン)をhiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。フォームデータを処理する際にトークンが正しいことを確認することで、正規ユーザーの意図したリクエストであることを確認することができます。 また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。 cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。 必須3 ⼊⼒処理 3.1 パラメーターについて 3.1.1 URLにユーザーID やパスワードなどの機微情報を格納しないこと URLは、リファラー情報などにより外部に漏えいする可能性があります。そのため URLには秘密にすべき情報は格納しないようにする必要があります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.04 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否3.1.2 パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないことファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定していないファイルにアクセスされてしまうなどの不正な操作を実⾏されてし まう可能性があります。 必須3.1.3 パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。サーバー側でパラメーターを受け取る場合、クライアント側での⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。 必須3.2 ファイルアップロードについて 3.2.1 ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うことファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要があります。画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイルにも注意が必要です。 必須3.2.2 アップロード可能なファイルサイズを制限すること 圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要です。 必須3.3 XMLを使⽤する際の処理について 3.3.1 XMLを読み込む際は、外部参照を無効にすること ⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。 https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html必須3.4 デシリアライズについて 3.4.1 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないことデシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証してください。 必須3.5 外部リソースへのリクエスト送信について 3.5.1 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server-Side Request Forgery)の脆弱性になる可能性があります。外部からの⼊⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。 推奨4 出⼒処理 4.1 HTMLを⽣成する際の処理について 4.1.1 HTMLとして特殊な意味を持つ⽂字( " ' &)を⽂字参照によりエスケープすること外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。「<」→「<」や「&」→「&」、「"」→「"」のようにエスケープを⾏う必要があります。スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。 XMLを⽣成する場合も同様にエスケープが必要です。 必須4.1.2 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」で始まるもののみを許可すること必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.05 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.1.3 .要素の内容やイベントハンドラ(onmouseover=””など)を動的に⽣成しないようにすること.要素の内容やイベントハンドラは原則として動的に⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。 必須4.1.4 任意のスタイルシートを外部サイトから取り込めないようにすること 必須4.1.5 HTMLタグの属性値を「"」で囲うこと HTMLタグ中のname=”value”で記される値(value)にユーザーの⼊⼒値を使う場合、「”」で囲わない場合、不正な属性値を追加されてしまう可能性があります。 必須4.1.6 CSSを動的に⽣成しないこと 外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。 必須4.2 JSONを⽣成する際の処理について 4.2.1 ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブジェクトをJSONに変換すること適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( " \, : { } [ ] )をUnicodeエスケープする必要があります。 必須4.3 HTTPレスポンスヘッダーについて 4.3.1 HTTPレスポンスヘッダーのContent-Typeを適切に指定すること ⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。これを防ぐためには、HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf-8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。 必須4.3.2 HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることHTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。これを防ぐためには、HTTPヘッダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須4.4 その他の出⼒処理について 4.4.1 SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。 静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(PreparedStatement)」と規定されているものです。 必須4.4.2 プログラム上でOSコマンドやアプリケーションなどのコマンド、シェル、eval()などによるコマンドの実⾏を呼び出して使⽤しないことコマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。コマンドを呼び出して使⽤しないことが望ましいでしょう。 必須4.4.3 リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすることリダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可能性があります。 必須4.4.4 メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることメールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.06 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.4.5 サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないことサーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。 外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。 また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。 必須5 HTTPS 5.1 HTTPSについて 5.1.1 Webサイトを全てHTTPSで保護すること 適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。次のような重要な情報を扱う画⾯や機能ではHTTPSで通信を⾏う必要があります。 ・⼊⼒フォームのある画⾯・⼊⼒フォームデータの送信先・重要情報が記載されている画⾯・セッションIDを送受信する画⾯HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。 必須5.1.2 サーバー証明書はアクセス時に警告が出ないものを使⽤すること HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。適切なサーバー証明書を使⽤する必要があります。 必須5.1.3 TLS1.2以上のみを使⽤すること SSL2.0／3.0、TLS1.0／1.1には脆弱性があるため、無効化する必要があります。使⽤する暗号スイートは、7.2.1を参照してください。 必須5.1.4 レスポンスヘッダーにStrict-Transport-Securityを指定すること Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザがHTTPSでアクセスするよう強制できます。 必須6 cookie 6.1 cookieの属性について 6.1.1 Secure属性を付けること Secure属性を付けることで、http://でのアクセスの際にはcookieを送出しないようにできます。特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。 必須6.1.2 HttpOnly属性を付けること HttpOnly属性を付けることで、クライアント側のスクリプトからcookieへのアクセスを制限することができます。 必須6.1.3 Domain属性を指定しないこと セッションフィクセイションなどの攻撃に悪⽤されることがあるため、Domain属性は特に必要がない限り指定しないことが望ましいでしょう。 推奨7 その他 7.1 エラーメッセージについて 7.1.1 エラーメッセージに詳細な内容を表⽰しないこと ミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエラーログなどに出⼒するべきです。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.07 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.2 暗号アルゴリズムについて 7.2.1 ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。 必須7.3 乱数について 7.3.1 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があります。 必須7.4 基盤ソフトウェアについて 7.4.1 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。 必須7.4.2 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対策が⾏えることが望ましいでしょう。 必須7.5 ログの記録について 7.5.1 重要な処理が⾏われたらログを記録すること ログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。認証やアカウント情報の変更などの重要な処理が実⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。 必須7.6 ユーザーへの通知について 7.6.1 重要な処理が⾏われたらユーザーに通知すること 重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早期に発⾒できる可能性があります。 推奨7.7 Access-Control-Allow-Originヘッダーについて7.7.1 Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤することクロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。不要な場合は指定する必要はありませんし、指定する場合も特定のオリジンのみを指定する事が望ましいです。 必須7.8 クリックジャッキング対策について 7.8.1 レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定することクリックジャッキング攻撃に悪⽤されることがあるため、X-Frame-OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。 Content-Security-Policyヘッダーフィールドに frame-ancestors 'none'または 'self' を指定する必要があります。 X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.08 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.9 キャッシュ制御について 7.9.1 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache-Control: no-store を指定すること個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧してしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。 必須7.10 ブラウザのセキュリティ設定について 7.10.1 ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような指⽰をしないことユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証局の証明書をインストールさせる操作は、他のサイトにも影響します。 必須7.11 ブラウザのセキュリティ警告について 7.11.1 ユーザーに対して、ブラウザの出すセキュリティ警告を無視させるような指⽰をしないことブラウザの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をしてしまう可能性が⾼まります。 必須7.12 WebSocketについて 7.12.1 Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施することWebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッダーを確認する必要があります。 必須7.13 HTMLについて 7.13.1 html開始タグの前にを宣⾔すること DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別フォーマットとして解釈されることを防ぎます。 必須7.13.2 CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パスを使⽤することlinkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定した場合にRPO (Relative Path Overwrite) が起きる可能性があります。 必須8 提出物 8.1 提出物について 8.1.1 サイトマップを⽤意すること 認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。そのためには上記の資料を⽤意することが望ましいでしょう。 必須8.1.2 画⾯遷移図を⽤意すること 必須8.1.3 アクセス権限⼀覧表を⽤意すること 誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望ましいでしょう。 必須8.1.4 コンポーネント⼀覧を⽤意すること 依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネントを把握しておく必要があります。 推奨8.1.5 上記のセキュリティ要件についてテストした結果報告書を⽤意すること ⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライン」などを参照してください。 推奨1【別紙】様式みどりチェック実施状況報告書事業名事業者名担当者・連絡先以下のア～カの取組について、実施状況を報告します。ア 環境負荷低減に配慮したものを調達するよう努める。具体的な事項実施した／努めた左記非該当・対象となる物品の輸送に当たり、燃料消費を少なくするよう検討する(もしくはそのような工夫を行っている配送業者と連携する)。☐ ☐・対象となる物品の輸送に当たり、燃費効率の向上や温室効果ガスの過度な排出を防ぐ観点から、輸送車両の保守点検を適切に実施している。☐ ☐・農林水産物や加工食品を使用する場合には、農薬等を適正に使用して(農薬の使用基準等を遵守して)作られたものを調達することに努めている。☐ ☐・事務用品を使用する場合には、詰め替えや再利用可能なものを調達することに努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )イ エネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。2具体的な事項実施した／努めた左記非該当・事業実施時に消費する電気・ガス・ガソリン等のエネルギーについて、帳簿への記載や伝票の保存等により、使用量・使用料金の記録に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、不要な照明の消灯やエンジン停止に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、基準となる室温を決めたり、必要以上の冷暖房、保温を行わない等、適切な温度管理に努めている。☐ ☐・事業実施時に使用する車両・機械等が効果的に機能を発揮できるよう、定期的な点検や破損があった場合は補修等に努めている。☐ ☐・夏期のクールビズや冬期のウォームビズの実施に努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )ウ 臭気や害虫の発生源となるものについて適正な管理や処分に努める。具体的な事項実施した／努めた左記非該当・臭気が発生する可能性がある機械・設備(食品残さの処理や堆肥製造等)を使用する場合、周辺環境に影響を与えないよう定期的に点検を行う。☐ ☐・臭気や害虫発生の原因となる生ごみの削減や、適切な廃棄などに努めている。☐ ☐・食品保管を行う等の場合、清潔な環境を維持するため、定期的に清掃を行うことに努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )3エ 廃棄物の発生抑制、適正な循環的な利用及び適正な処分に努める。具体的な事項実施した／努めた左記非該当・事業実施時に使用する資材について、プラスチック資材から紙などの環境負荷が少ない資材に変更することを検討する。☐ ☐・資源のリサイクルに努めている(リサイクル事業者に委託することも可)。☐ ☐・事業実施時に使用するプラスチック資材を処分する場合に法令に従って適切に実施している。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )オ 工事等を実施する場合は、生物多様性に配慮した事業実施に努める。具体的な事項実施した／努めた左記非該当・近隣の生物種に影響を与えるような、水質汚濁が発生しないよう努めている。☐ ☐・近隣の生物種に影響を与えるような、大気汚染が発生しないよう努めている。☐ ☐・施工にあたり使用する機械や車両について、排気ガスの規制に関連する法令等に適合したものを使用する。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )カ みどりの食料システム戦略の理解に努めるとともに、機械等を扱う場合は、機械の適切な整備及び管理並びに作業安全に努める。4具体的な事項実施した／努めた左記非該当・「環境配慮のチェック・要件化(みどりチェック)チェックシート解説書 －民間事業者・自治体等編－」にある記載内容を了知し、関係する事項について取り組むよう努める。☐ ☐・事業者として独自の環境方針やビジョンなどの策定している、もしくは、策定を検討する。☐ ☐・従業員等向けの環境や持続性確保に係る研修などを行っている、もしくは、実施を検討する。☐ ☐・作業現場における、作業安全のためのルールや手順などをマニュアル等に整理する。また、定期的な研修などを実施するように努めている。☐ ☐・資機材や作業機械・設備が異常な動作などを起こさないよう、定期的な点検や補修などに努めている。☐ ☐・作業現場における作業空間内の工具や資材の整理などを行い、安全に作業を行えるスペースを確保する。☐ ☐・労災保険等の補償措置を備えるよう努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )別紙２ 情報システムの経費区分経費区分 摘要1) 整備経費 情報システムの整備(新規開発、機能改修・追加、更改及びこれらに付随する環境の整備をいう。)に要する一時的な経費目的により、投資的整備と維持的整備のものに分けられる。 投資的整備国民・利用者の利便性向上・負担軽減や業務効率化、経済効果の創出、システムのスリム化などの面で積極的に効果を得ることを目的として行うもの(注１) 維持的整備外部環境の変更等により生じる障害の回避を目的として、義務的に行うもの(仕様変更を伴うが積極的に効果を得ることを目的としないもの)(注２)ア 調査研究等経費情報システムの整備に当たり、業務の設計、要件定義を行う目的で行う現状分析、プロトタイプ作成、ドキュメント作成支援、調査研究等に要する経費(最適化計画の策定に要する経費を含む。)イ 設計経費 情報システムの整備に際し、その開発に関する設計書の作成に要する経費ウ 開発経費 情報システムの整備に際し、情報システムのプログラミング、パラメータ設定等による情報システムの開発(単体テストを含む。 )に要する経費エ 据付調整経費ハードウェアやラックの搬入・据付け、ネットワークケーブルの敷設等、情報システムの物理的な稼働環境の整備に要する経費オ テスト経費 開発する情報システムの結合テスト、総合テスト及び受入テストに要する経費カ 移行経費 情報システムのシステム移行及びデータ移行に要する経費キ 廃棄経費 情報システムの廃止及び更改に伴う、ハードウェアやラック、ネットワークケーブル等の撤去及び廃棄に要する経費ク プロジェクト管理支援経費情報システムの整備に伴うプロジェクト管理支援事業者に要する経費ケ 施設整備等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の整備、改修等に要する経費コ ハードウェア買取経費情報システムを構成するハードウェアの買取りに要する経費サ ソフトウェア買取経費情報システムを構成するソフトウェア製品のライセンスの買取り又は更新に要する経費シ サービス利用料情報システムの整備に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費及び国の行政機関以外の者が提供するサービスの利用開始に要する経費ス その他整備経費アからシまでのいずれにも該当しない情報システムの整備に要する経費2) 運用等経費 情報システムの運用、保守等に要する経常的な経費経費区分 摘要ア システム運用経費情報システムの正常な稼働を保持するために行うハードウェアの状態ファイルの管理、アプリケーションの設定等の管理、障害に対する予防等の措置など、仕様変更や構成変更を伴わない情報システムの技術的及び管理的業務の実施に要する経費イ 業務運用支援経費情報システムの稼働に当たって、業務実施部門が行う業務(データ作成(Webサイトやeラーニングのコンテンツ作成等)、データ受付・登録等)の運用支援に要する経費ウ 操作研修等経費情報システムの利用に当たって、当該情報システム部門の担当者又は情報システムの利用者に対する操作研修等(教材作成・更新を含む。)に要する経費エ ヘルプデスク経費職員等の情報システム利用者からの問合せに対応するために行う業務に要する経費オ コールセンター経費国民や事業者等の情報システム利用者からの問合せに対応するために行う業務に要する経費カ アプリケーション保守経費開発した情報システムについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行うアプリケーションプログラムの改修、設定変更等に要する経費キ ハードウェア保守経費情報システムを構成するハードウェアについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ク ソフトウェア保守経費情報システムを構成するソフトウェア製品について、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ケ 監査経費 情報システムについて、システム監査又は情報セキュリティ監査の実施に要する経費コ 情報セキュリティ検査経費情報システムについて、ペネトレーションテスト、脆弱性診断等の情報セキュリティ検査・診断の実施に要する経費サ ハードウェア借料情報システムを構成するハードウェアについて、その使用に要する借料シ ソフトウェア借料情報システムを構成するソフトウェア製品について、その使用に要する借料ス サービス利用料情報システムの稼働又は利用に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費セ 通信回線料 情報システムを構成するネットワークにおいて必要となる通信回線の利用に要する経費ソ 施設利用等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の利用等に要する経費タ その他運用等経費アからソまでのいずれにも該当しない情報システムの運用等に要する経費3) その他経費 国の行政機関以外の情報システムに関係する経費及びデジタル・ガバメントの推進のための体制整備に要する経費(1) 情報システム振興等経費地方公共団体、独立行政法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金等の経費経費区分 摘要ア 地方公共団体情報システム関係経費地方公共団体に対する情報システムの整備・運用に関する補助金、交付金等の経費イ 独立行政法人等情報システム関係経費独立行政法人、国立大学法人(大学共同利用機関法人を含む。)、特殊法人、公益法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金(法人の運営に関する経費は除く。)等の経費(2) デジタル・ガバメントの推進のための体制整備関係経費高度デジタル人材の登用に要する経費、ＰＭＯの支援スタッフ等に要する経費、内部職員の育成に要する経費等、デジタル・ガバメントの推進のための体制整備に要する経費(注１)以下の例による。・ 紙による行政手続のオンライン化による国民の利便性向上に有効なもの・ ワンストップ化による国民の来訪回数の低減など国民の負担軽減に有効なもの・ 行政事務の自動化又は時間短縮などに有効なもの・ 運用等経費など将来の経費削減に有効なもの(注２)以下の例による。・ 法令改正等により現行の仕様のままでは法令等に違反する状態になることを避けるために行うもの・ 災害発生等の情報収集及び人々の避難等の行動につなげるなど国民の身体への悪影響又は経済的損失を回避するためのもの・ サイバー攻撃による基盤となる情報システムの停止などを回避するためのもの・ 重要インフラの停止など社会混乱を回避するためのもの・ パソコンやネットワークの更新など行政事務の停止を回避するためのもの別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容調達を行うときは、調達内容に応じ、少なくとも次の１．及び２．に定める作業内容を調達仕様書に盛り込むものとする。また、３．に掲げる項目については、必要に応じて、適宜様式を定めた上で適時に内容を記載することを調達仕様書に盛り込むものとする。契約金額内訳「別紙２ 情報システムの経費区分」に基づき区分等した契約金額の内訳を、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。 情報資産管理標準シートの提出情報資産管理標準シートを、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。その他1) ハードウェアの管理情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等2) ソフトウェアの管理情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等3) 回線の管理情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等4) 外部サービスの管理情報システムを構成するクラウドサービス等の外部サービスの外部サービス利用形態、使用期間等5) 施設の管理情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等6) 公開ドメインの管理情報システムが利用する公開ドメインの名称、ＤＮＳ名、有効期限等7) 取扱情報の管理情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等8) 情報セキュリティ要件の管理情報システムの情報セキュリティ要件9) 指標の管理情報システムの運用及び保守の間、把握すべきＫＰＩ注記)名、ＫＰＩ分類、計画値等の案注記)ＫＰＩ(Key Performance Indicator)とは、目標・戦略を実現するために設定した具体的な業務プロセスをモニタリングするために設定される指標(業績評価指標：Performance Indicators)のうち、特に重要なものをいう。10) 各データの変更管理情報システムの運用及び保守において、上記の各項目についてその内容に変更が生じる作業をしたときは、当該変更を行った項目11) 作業実績等の管理情報システムの運用及び保守中に取りまとめた作業実績、リスク、課題及び障害事由12) スケジュールや工数等の管理役務を伴う調達案件については、ＰＪＭＯの求めに応じ、スケジュールや工数等の計画値及び実績値(別添)- 1 -情報セキュリティの確保に関する共通基本仕様Ⅰ 情報セキュリティポリシーの遵守１ 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27 年農林水産省訓令第４号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。２ 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。３ 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。Ⅱ 応札者に関する情報の提供１ 応札者は、応札者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□％)等)を記載すること。また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。２ 応札者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)(１)ISO/IEC27001等の国際規格とそれに基づく認証の証明書等(２)プライバシーマーク又はそれと同等の認証の証明書等(３)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が４に達し、かつ各評価項目の成熟度が２以上であることが確認できる確認書Ⅲ 業務の実施における情報セキュリティの確保１ 受託者は、本業務の実施に当たって、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても、第三者に開示し、又は本業務以外の目的で利用しないこと。(別添)- 2 -(２)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。(３)本業務に係る情報を適切に取り扱うことが可能となるよう、情報セキュリティ対策の実施内容及び管理体制を整備すること。なお、本業務実施中及び実施後において検証が可能となるよう、必要なログの取得や作業履歴の記録等を行う実施内容及び管理体制とすること。(４)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。(５)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 26 条第１項第２号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。(６)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。(７)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。２ 受託者は、委託期間を通じて以下の措置を講ずること。(１)情報の適正な取扱いのため、取り扱う情報の格付等に応じ、以下に掲げる措置を全て含む情報セキュリティ対策を実施すること。 また、実施が不十分の場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。ア 情報セキュリティインシデント等への対処能力の確立・維持イ 情報へアクセスする主体の識別とアクセスの制御ウ ログの取得・監視エ 情報を取り扱う機器等の物理的保護オ 情報を取り扱う要員への周知と統制カ セキュリティ脅威に対処するための資産管理・リスク評価キ 取り扱う情報及び当該情報を取り扱うシステムの完全性の保護ク セキュリティ対策の検証・評価・見直し(２)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。(３)本業務において情報セキュリティインシデントの発生、情報の目的外使用等を認知した場合、直ちに委託事業の一時中断等、必要な措置を含む対処を実施すること。(４)私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。(別添)- 3 -(５)本業務において取り扱う情報が本業務上不要となった場合、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。３ 受託者は、委託期間の終了に際して以下の措置を講ずること。(１)本業務の実施期間を通じてセキュリティ対策が適切に実施されたことを書面等により報告すること。(２)成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。(３)本業務において取り扱われた情報を、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。４ 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。Ⅳ 情報システムにおける情報セキュリティの確保１ 受託者は、本業務において情報システムに関する業務を行う場合には、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務の各工程において、農林水産省の意図しない情報システムに関する変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。(２)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。２ 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。(１)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスやサ(別添)- 4 -ービス不能攻撃を監視する機能(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能(ウ)端末等の農林水産省内ネットワークの末端に位置する機器及びサーバ装置において不正プログラムの挙動を監視する機能(エ)農林水産省内通信回線への端末の接続を監視する機能(オ)端末への外部電磁的記録媒体の挿入を監視する機能(カ)サーバ装置等の機器の動作を監視する機能(キ)ネットワークセグメント間の通信を監視する機能(２)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。(３)開発する情報システムに意図しない不正なプログラム等が組み込まれないよう、以下を全て含む対策を本業務の成果物に明記すること。ア 情報システムで利用する機器等を調達する場合は、意図しない不正なプログラム等が組み込まれていないことを確認すること。イ アプリケーション・コンテンツの開発時に意図しない不正なプログラム等が混入されることを防ぐための対策を講ずること。ウ 情報システムの構築を委託する場合は、委託先において農林水産省が意図しない変更が加えられないための管理体制を求めること。(４)要安定情報を取り扱う情報システムを構築する場合は、許容される停止時間を踏まえて、情報システムを構成する要素ごとに、以下を全て含むセキュリティ要件を定め、本業務の成果物に明記すること。ア 端末、サーバ装置及び通信回線装置等の冗長化に関する要件イ 端末、サーバ装置及び通信回線装置並びに取り扱われる情報に関するバックアップの要件ウ 情報システムを中断することのできる時間を含めた復旧に関する要件(５)開発する情報システムのネットワーク構成について、以下を全て含む要件を定め、本業務の成果物に明記すること。ア インターネットやインターネットに接点を有する情報システム(クラウドサービスを含(別添)- 5 -む。 )から分離することの要否の判断及びインターネットから分離するとした場合に、分離を確実にするための要件イ 端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件ウ インターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成に関する要件エ 農林水産省外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件３ 受託者は、本業務において情報システムの構築を行う場合には、以下の事項を含む措置を適切に実施すること。(１)情報システムのセキュリティ要件の適切な実装ア 主体認証機能イ アクセス制御機能ウ 権限管理機能エ 識別コード・主体認証情報の付与管理オ ログの取得・管理カ 暗号化機能・電子署名機能キ 暗号化・電子署名に係る管理ク 監視機能ケ ソフトウェアに関する脆(ぜい)弱性等対策コ 不正プログラム対策サ サービス不能攻撃対策シ 標的型攻撃対策ス 動的なアクセス制御セ アプリケーション・コンテンツのセキュリティソ 政府ドメイン名(go.jp)の使用タ 不正なウェブサイトへの誘導防止チ 農林水産省外のアプリケーション・コンテンツの告知(２)監視機能及び監視のための復号・再暗号化監視のために必要な機能について、２(１)イの各項目を例として必要な機能を設けること。 また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。３ 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。４ 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。５ 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。６ ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)７ 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。８ 機器等の納品時に、以下の事項を書面で報告すること。(１)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験(別添)- 14 -の実施手順及び結果)(２)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)Ⅸ 管轄裁判所及び準拠法１ 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。２ 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とすること。Ⅹ 業務の再委託における情報セキュリティの確保１ 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの１、Ⅱの２、Ⅲの１及びⅣの１において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。２ 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。３ 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。Ⅺ 資料等の提出上記Ⅱの１、Ⅱの２、Ⅲの１、Ⅳの１、Ⅴの６、Ⅴの７、Ⅴの８、Ⅵの１(５)、Ⅵの１(６)、Ⅵの１(８)、Ⅷの１及びⅧの６において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式及び企画競争方式にあっては提案書等の評価のための書類に添付して提出すること。Ⅻ 変更手続受託者は、上記Ⅱ、Ⅲ、Ⅳ、Ⅴ、Ⅵ、Ⅶ、Ⅷ及びⅩに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。別添6本調達に含まれるソフトウェア情報項 番ソフトウェア名 バージョン メーカー名 サポート期限 備考1 Ubuntu 22.04.5 LTS Canonical 2027/4/12 ClamAV 0.103.12 OSS(Ubuntu ディストリビューションの最新)－3 Nginx 1.18.0 OSS(Ubuntu ディストリビューションの最新)－4 CloudWatchAgent1.300060.0b1248 AWS －5.Net８ 8.0.20 マイクロソフト 2026/11/106 MySQL 8.4.5 オラクル 2029/4/30 R7 年度運用保守でバージョンアップ予定。7 jQuery 4.0.0-rc1 OpenJSFoundation未定https://jquery.com/support/(2025/11/6 時点)R7 年度運用保守でバージョンアップ予定。8 bootstrap 5.3.8 Bootstrap CoreTeam(https://getbootstrap.com/docs/5.3/about/team/)未定https://github.com/twbs/release(2025/11/6 時点)R7 年度運用保守でバージョンアップ予定。R8 年度にjQuery のバージョンアップに伴いバージョンアップが必要な場合は行うこと。