入札公告「情報システムに対するペネトレーションテスト実施業務」に係る一般競争入札

入札公告「情報システムに対するペネトレーションテスト実施業務」に係る一般競争入札 調達情報 トップページ 調達情報 入札 2025年度 入札公告「情報システムに対するペネトレーションテスト実施業務」に係る一般競争入札 入札公告「情報システムに対するペネトレーションテスト実施業務」に係る一般競争入札 公開日：2026年2月24日 独立行政法人情報処理推進機構理事長 齊藤 裕 次のとおり一般競争入札（最低価格落札方式）に付します。 1．競争入札に付する事項 件名 情報システムに対するペネトレーションテスト実施業務 調達内容等 入札説明書による 履行期限 入札説明書による 入札方法 入札説明書による 2．競争参加資格 予算決算及び会計令（以下「予決令」という。）第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 予決令第71条の規定に該当しない者であること。 令和7・8・9年度競争参加資格（全省庁統一資格）において「役務の提供等」で、「Ａ」、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者（理事長が特に認める場合を含む。）であること。 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 「情報セキュリティサービス基準適合サービスリスト（脚注1）」の脆弱性診断サービス分野に掲載されている者であること（新規掲載又は掲載継続のための更新の手続き中）。 入札説明書「６．役務リストの提出方法及び提出期限等」に記載の機器・役務リストを提出期限までに提出している者であること。 過去3年以内に情報管理の不備を理由に機構から契約を解除されている者ではないこと。 脚注1 経済産業省が策定した「情報セキュリティサービス基準」への適合性を審査登録機関により審査し、認められた、事業者の情報セキュリティサービスのリストで、IPAにより公開している。 3．入札者の義務 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。 入札者は、当機構が交付する仕様書に基づいて役務リストを作成し、これを役務リストの提出期限内に提出しなければならない。また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 入札者は、当機構が交付する仕様書に基づいて、入札書等を提出期限内に提出しなければならない。また、開札日の前日までの間において機構から提出書類に関して説明を求められた場合は、これに応じなければならない。 4．入札説明書 以下から入札説明書及びその他必要書類をダウンロードして下さい。 入札説明書(PDF:800 KB) 入札説明書(Word:158 KB) 入札書等記載例(PDF:118 KB) 5．入札書等の提出期間及び提出先 入札書等の提出期間 2026年3月23日（月曜日）から 2026年3月27日（金曜日） 17時00分まで 持参の場合の受付時間は、下記のとおりとする。月曜日から金曜日（祝祭日は除く）10時00分～17時00分（12時30分～13時30分の間は除く）郵送の場合は必着とする。 入札書等の提出先 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス 独立行政法人情報処理推進機構 経営企画センター デジタル改革推進部 担当 中井、大星 持参の場合は13階受付にお越しください。 6．開札の日時及び場所 開札の日時 2026年4月7日（火曜日）11時00分 開札の場所 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス独立行政法人情報処理推進機構 7．その他 入札保証金及び契約保証金 全額免除 入札の無効 競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 落札者の決定方法 機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、最低価格をもって有効な入札を行った者を落札者とする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、最低の価格をもって入札した者を落札者とすることがある。 契約書の作成 要。詳細は入札説明書による。 質問の方法等 質問書（入札説明書に記載の様式）に所定事項を記入の上、電子メールにて提出してください。受付期間については、入札説明書を確認してください。質問に対する回答に時間がかかる場合があるため、余裕をみて提出してください。 お問い合わせ先 入札説明書等に関する問い合わせ先 独立行政法人情報処理推進機構 経営企画センター デジタル改革推進部 担当 中井、大星 E-mail 入札行為に関する問い合わせ先 独立行政法人情報処理推進機構 経営企画センター 財務部 契約グループ 担当 中尾 E-mail 更新履歴 2026年2月24日 入札公告を掲載 「情報システムに対するペネトレーションテスト実施業務」に係る一般競争入札(最低価格落札方式)入 札 説 明 書2026年2月24日目 次Ⅰ．入札説明書.. .. .. .. .. 1Ⅱ．契約書(案).. .. .. .. 6Ⅲ．仕様書.. .. .. .. .. 16Ⅳ．その他関連資料.. .. .. .. 311Ⅰ．入札説明書独立行政法人情報処理推進機構(以下「機構」という。)の入札公告(2026年2 月24 日付公告)に基づく入札については、関係法令並びに機構会計規程及び同入札心得に定めるもののほか、下記に定めるところによる。 記１．競争入札に付する事項(1) 件名情報システムに対するペネトレーションテスト実施業務(2) 調達役務の内容等仕様書記載のとおり。 (3) 履行期限仕様書記載のとおり。 (4) 入札方法落札者の決定は最低価格落札方式をもって行うため、①入札に参加を希望する者(以下「入札者」という。)は「７．(3)提出書類」に記載の提出書類を提出すること。 ②上記①の提出書類のうち、入札書については仕様書及び契約書案に定めるところにより、入札金額を見積もることとする。 なお、入札金額は、総価とする。 総価には納入等に係る全ての費用を含むものとする。 ③落札者の決定に当たっては、入札書に記載された金額に 10 パーセントに相当する額を加算した金額(当該金額に 1 円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった金額の110分の100に相当する金額を記入すること。 ④入札者は、提出した入札書の引き換え、変更又は取り消しをすることはできない。 ２．競争参加資格(1) 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (2) 予決令第71条の規定に該当しない者であること。 (3) 令和7・8・9年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「Ａ」、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 (4) 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。 (5) 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 (6)「情報セキュリティサービス基準適合サービスリスト1」の脆弱性診断サービス分野に掲載されている者であること(新規掲載又は掲載継続のための更新の手続き中)。 (7)「６．役務リストの提出方法及び提出期限等」に記載の機器・役務リストを提出期限までに提出している者であること。 (8) 過去3年以内に情報管理の不備を理由に機構から契約を解除されている者ではないこと。 ３．入札者の義務(1) 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなけ1 経済産業省が策定した「情報セキュリティサービス基準」への適合性を審査登録機関により審査し、認められた、事業者の情報セキュリティサービスのリストで、IPAにより公開している。 2ればならない。 (2) 入札者は、当機構が交付する仕様書に基づいて役務リストを作成し、これを役務リストの提出期限内に提出しなければならない。 また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 (3) 入札者は、当機構が交付する仕様書に基づいて、入札書等を提出期限内に提出しなければならない。 また、開札日の前日までの間において機構から提出書類に関して説明を求められた場合は、これに応じなければならない。 ４．入札説明会の日時及び場所入札説明会は実施しない。 ５．入札に関する質問の受付等(1) 質問の方法質問書(様式1)に所定事項を記入の上、電子メールにより提出すること。 (2) 受付期間2026年2月24日(火)から2026年3月13日(金) 17時00分まで(3) 担当部署17.(4)のとおり６．役務リストの提出方法及び提出期限等サプライチェーン・リスクに係る確認のため、入札を希望する者は、次の所定事項に従い、 役務リストを電子メールにより提出すること。 (1) 受付期間2026年2月24日(火)から2026年3月6日(金)(2) 提出期限2026年3月6日(金) 17時00分上記期限を過ぎた役務リストはいかなる理由があっても受け取らない。 ただし、役務リストを提出済みの者が変更等して再提出する場合は、サプライチェーン・リスクに係る確認が入札書等の提出までに完了することを前提に、7(2)に示す期限までの再提出を可能とする。 (3) 提出先17.(4)のとおり。 (4) 提出書類No. 提出書類 部数1役務リスト(仕様書を参照のうえ、納入する予定の物件の製造元・型番等の情報を記載すること。)様式6(添付無し)1通(5) 提出方法17.(4)のメールアドレス宛に入札を希望する旨を連絡し、様式6(本入札説明書への添付無し)を入手すること。 様式6へ入力後、同メールアドレスへファイルを送信して提出すること。 (6) 提出後の対応提出後、必要に応じてヒアリングをWeb会議もしくはメールにて実施する。 ヒアリングについては、提案内容を熟知した実施責任者等が対応すること。 IPAとの調整の結果、IPAがサプライチェーン・リスクに係る懸念が払拭されないと判断した場合には、当該リスクに対応するため、代替品又はリスク低減対策の提出を求めることがあるので、速やかに役務リストを提出すること。 ７．入札書等の提出方法及び提出期限等(1) 受付期間2026年3月23日(月)から2026年3月27日(金)持参の場合の受付時間は、月曜日から金曜日(祝祭日は除く)の10時00分から17時00分(12時30分3～13時30分の間は除く)とし、郵送の場合は必着とする。 (2) 提出期限2026年3月27日(金) 17時00分必着上記期限を過ぎた入札書等はいかなる理由があっても受け取らない。 (3) 提出書類次の書類を持参又は郵送にて提出すること。 No. 提出書類 部数① 委任状(代理人に委任する場合) 様式2 1通② 入札書(封緘) 様式3 1通③令和7・8・9 年度競争参加資格(全省庁統一資格)における資格審査結果通知書の写し－ 1通④ 適合証明書(別添資料がある場合は、添付すること) 様式4 1通⑤「情報セキュリティサービス基準適合サービスリスト」の申請書の写し(新規掲載又は掲載継続のための更新手続中の場合に限り提出)- 1部⑥ 入札書等受理票 様式7 1通(4) 提出方法①入札書等提出書類を持参により提出する場合入札書を封筒に入れ封緘し、封皮に氏名(法人の場合は商号又は名称)、宛先(17.(4)の担当者名)を記載するとともに「情報システムに対するペネトレーションテスト実施業務 一般競争入札に係る入札書在中」と朱書きし、その他提出書類一式と併せ封筒に入れ封緘し、その封皮に氏名(法人の場合はその商号又は名称)、宛先(17．(4)の担当者名)を記載し、かつ、「情報システムに対するペネトレーションテスト実施業務 一般競争入札に係る提出書類在中」と朱書きすること。 ②入札書等を郵便等(書留)により提出する場合二重封筒とし、表封筒に「情報システムに対するペネトレーションテスト実施業務一般競争入札に係る提出書類在中」と朱書きし、中封筒の封皮には直接提出する場合と同様とすること。 (5) 提出先17.(4)のとおり※ 持参による提出の場合、事前に 17.(4)に示す担当者にメールで連絡し、訪問日時を調整したうえで文京グリーンコートセンターオフィス13階の当機構総合受付を訪問すること。 ８．開札の日時及び場所(1) 開札日時2026年4月7日(火) 11時00分(2) 開札の場所東京都文京区本駒込2－28－8 文京グリーンコートセンターオフィス13階独立行政法人情報処理推進機構 会議室C９．入札保証金及び契約保証金全額免除10．支払いの条件納入物件の検収合格の後、当機構が適法な支払請求書を受理した日の属する月の翌月末日までに支払うものとする。 11．契約者の氏名並びにその所属先の名称及び所在地〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス16階独立行政法人情報処理推進機構 理事長 齊藤 裕412．契約手続きにおいて使用する言語及び通貨日本語及び日本国通貨に限る。 13．入札の無効競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 14．落札者の決定方法機構会計規程第 29 条の規定に基づいて作成された予定価格の制限の範囲内で、最低価格をもって有効な入札を行った者を落札者とする。 ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、最低の価格をもって入札した者を落札者とすることがある。 15．契約書作成の要否要16. 契約条項契約書(案)による。 17．その他(1) 入札情報の開示契約に係る情報については、機構ウェブサイトにて機構会計規程等に基づき公表(注)するものとする。 (2) 入札内訳書の提出落札者は、機構担当者が別途指示する期限までに入札内訳書を提出しなければならない。 (3) 入札行為に関する照会先独立行政法人情報処理推進機構 経営企画センター 財務部契約グループ 担当 中尾電話番号：03－5978－7502電子メール：fa-bid-kt@ipa.go.jp(4) 仕様書に関する照会先〒113-6591東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス16階独立行政法人情報処理推進機構 経営企画センター デジタル改革推進部 担当：中井、大星電話番号：03－5978－7519電子メール：sysg-kobo@ipa.go.jp以上5(注)独立行政法人の事務・事業の見直しの基本方針(平成22年12月7日閣議決定)に基づく契約に係る情報の公表について独立行政法人が行う契約については、「独立行政法人の事務・事業の見直しの基本方針」(平成 22 年12月7日閣議決定)において、独立行政法人と一定の関係を有する法人と契約をする場合には、当該法人への再就職の状況、当該法人との間の取引等の状況について情報を公開するなどの取組を進めるとされているところです。 これに基づき、以下のとおり、当機構との関係に係る情報を当機構のウェブサイトで公表することとしますので、所要の情報の当方への提供及び情報の公表に同意の上で、応札若しくは応募又は契約の締結を行っていただくよう御理解と御協力をお願いいたします。 なお、案件への応札若しくは応募又は契約の締結をもって同意されたものとみなさせていただきますので、ご了知願います。 (1) 公表の対象となる契約先次のいずれにも該当する契約先① 当機構において役員を経験した者(役員経験者)が再就職していること又は課長相当職以上の職を経験した者(課長相当職以上経験者)が役員、顧問等として再就職していること② 当機構との間の取引高が、総売上高又は事業収入の3分の1以上を占めていること※ 予定価格が一定の金額を超えない契約や光熱水費の支出に係る契約等は対象外(2) 公表する情報上記に該当する契約先について、契約ごとに、物品役務等の名称及び数量、契約締結日、契約先の名称、契約金額等と併せ、次に掲げる情報を公表します。 ① 当機構の役員経験者及び課長相当職以上経験者(当機構ＯＢ)の人数、職名及び当機構における最終職名② 当機構との間の取引高③ 総売上高又は事業収入に占める当機構との間の取引高の割合が、次の区分のいずれかに該当する旨3分の1以上2分の1未満、2分の1以上3分の2未満又は3分の2以上④ 一者応札又は一者応募である場合はその旨(3) 当方に提供していただく情報① 契約締結日時点で在職している当機構ＯＢに係る情報(人数、現在の職名及び当機構における最終職名等)② 直近の事業年度における総売上高又は事業収入及び当機構との間の取引高(4) 公表日契約締結日の翌日から起算して原則として72日以内(4月に締結した契約については原則として93日以内)(5) 実施時期平成23年7月1日以降の一般競争入札・企画競争・公募公告に係る契約及び平成23年7月1日以降に契約を締結した随意契約について適用します。 なお、応札若しくは応募又は契約の締結を行ったにもかかわらず情報提供等の協力をしていただけない相手方については、その名称等を公表させていただくことがあり得ますので、ご了知願います。 6Ⅱ．契約書(案)○○○○情財第○○号契約書独立行政法人情報処理推進機構(以下「甲」という。)と○○○○○(以下「乙」という。 )とは、次の条項により「情報システムに対するペネトレーションテスト実施業務」に関する請負契約を締結する。 (契約の目的)第1条 甲は、別紙仕様書記載の「契約の目的」を実現するために、同仕様書記載の「情報システムに対するペネトレーションテスト実施業務」(以下、「請負業務」という。)の完遂を乙に注文し、乙は本契約及び関係法令の定めに従って誠実に請負業務を完遂することを請け負う。 2 乙は、本契約においては、請負業務またはその履行途中までの成果が可分であるか否かに拘わらず、請負業務が完遂されることによってのみ、甲が利益を受け、また甲の契約の目的が達成されることを、確認し了解する。 (再請負の制限)第2条 乙は、請負業務の全部を第三者に請負わせてはならない。 2 乙は、請負業務の一部を第三者(以下「再請負先」という。)に請負わせようとするときは、事前に再請負先、再請負の対価、再請負作業内容その他甲所定の事項を、書面により甲に届け出なければならない。 3 前項に基づき、乙が請負業務の一部を再請負先に請負わせた場合においても、甲は、再請負先の行為を全て乙の行為とみなし、乙に対し本契約上の責任を問うことができる。 (責任者の選任)第3条 乙は、請負業務を実施するにあたって、責任者(乙の正規従業員に限る。)を選任して甲に届け出る。 2 責任者は、請負業務の進捗状況を常に把握するとともに、各進捗状況について甲の随時の照会に応じるとともに定期的または必要に応じてこれを甲に報告するものとする。 3 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。 (納入物件及び納入期限)第4条 納入物件、納入期限及びその他納入に関する事項については、別紙仕様書のとおりとする。 (契約金額)第5条 甲が本契約の対価として乙に支払うべき契約金額は、○○，○○○，○○○円(うち消費税及び地方消費税○，○○○，○○○円)とする。 (権利義務の譲渡)第6条 乙は、本契約によって生じる権利又は義務を第三者に譲渡し、又は承継させてはならない。 7(実地調査)第7条 甲は、必要があると認めるときは、乙に対し、自ら又はその指名する第三者をして、請負業務の実施状況等について、報告又は資料を求め、若しくは事業所に臨んで実地に調査を行うことができる。 2 前項において、甲は乙に意見を述べ、補足資料の提出を求めることができる。 (検査)第8条 甲は、納入物件の納入を受けた日から30日以内に、当該納入物件について別紙仕様書に基づき検査を行い、同仕様書に定める基準に適合しない事実を発見したときは、当該事実の概要を書面によって遅滞なく乙に通知する。 2 前項所定の期間内に同項所定の通知が無いときは、当該期間満了日をもって当該納入物件は同項所定の検査に合格したものとみなす。 3 請負業務は、当該納入物件が本条による検査に合格した日をもって完了とする。 4 第1項及び第2項の規定は、第1項所定の通知書に記載された指摘事実に対し、乙が適切な修正等を行い甲に再納入する場合に準用する。 (契約不適合責任)第9条 甲は、請負業務完了の日から1年以内に納入物件その他請負業務の成果に種類、品質又は数量に関して仕様書の記載内容に適合しない事実(以下「契約不適合」という。)を発見したときは、相当の催告期間を定めて、甲の承認または指定した方法により、その契約不適合の修補、代品との交換又は不足分の引渡しによる履行の追完を乙に請求することができる。 但し、発見後合理的期間内に乙に通知することを条件とする。 2 前項において、乙は、前項所定の方法以外の方法による修補等を希望する場合、修補等に要する費用の多寡、甲の負担の軽重等に関わらず、甲の書面による事前の同意を得なければならない。 以下「独占禁止法」という。 )第3条又は第8条第1号の規定に違反する行為を行ったことにより、次のイからハまでのいずれかに該当することとなったときイ 独占禁止法第61条第1項に規定する排除措置命令が確定したときロ 独占禁止法第62条第1項に規定する課徴金納付命令が確定したときハ 独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知があったとき二 本契約に関し、乙の独占禁止法第89条第1項又は第95条第1項第1号に規定する刑が確定したとき三 本契約に関し、乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治40年法律第45号)第96条の6又は第198条に規定する刑が確定したとき(談合等の不正行為に係る通知文書の写しの提出)第2条 乙は、前条第1号イからハまでのいずれかに該当することとなったときは、速やかに、次の各号の文書のいずれかの写しを甲に提出しなければならない。 一 独占禁止法第61条第1項の排除措置命令書二 独占禁止法第62条第1項の課徴金納付命令書三 独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知文書11(談合等の不正行為による損害の賠償)第3条 乙が、本契約に関し、第1条の各号のいずれかに該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の 100 分の 10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。 2 前項の規定は、本契約による履行が完了した後も適用するものとする。 3 第 1 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。 この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。 4 第 1 項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。 5 乙が、第 1 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。 (暴力団関与の属性要件に基づく契約解除)第4条 甲は、乙が次の各号の一に該当すると認められるときは、何らの催告を要せず、本契約を解除することができる。 一 法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第2条第2号に規定する暴力団をいう。 以下同じ。 )であるとき又は法人等の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。 以下同じ。 )が、暴力団員(同法第 2条第6号に規定する暴力団員をいう。以下同じ。)であるとき二 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき三 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき四 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき(再請負契約等に関する契約解除)第5条 乙は、本契約に関する再請負先等(再請負先(下請が数次にわたるときは、すべての再請負先を含む。)並びに自己、再請負先が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。 以下同じ。 )が解除対象者(前条に規定する要件に該当する者をいう。 以下同じ。 )であることが判明したときは、直ちに当該再請負先等との契約を解除し、又は再請負先等に対し解除対象者との契約を解除させるようにしなければならない。 2 甲は、乙が再請負先等が解除対象者であることを知りながら契約し、若しくは再請負先等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負先等との契約を解除せず、若しくは再請負先等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。 12(損害賠償)第6条 甲は、第4条又は前条第2項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。 2 乙は、甲が第4 条又は前条第2 項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。 3 乙が、本契約に関し、第 4 条又は前条第2 項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の 100 分の 10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。 4 前項の規定は、本契約による履行が完了した後も適用するものとする。 5 第 2 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。 この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。 6 第 3 項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。 7 乙が、第 3 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。 (不当介入に関する通報・報告)第 7 条 乙は、本契約に関して、自ら又は再請負先等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は再請負先等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。 13本契約の締結を証するため、本契約書2通を作成し、双方記名押印の上、甲、乙それぞれ1通を保有する。 20○○年○月○日甲 東京都文京区本駒込二丁目28番8号独立行政法人情報処理推進機構理事長 齊藤 裕乙 ○○県○○市○○町○丁目○番○○号株式会社○○○○○○○代表取締役 ○○ ○○14(別添)個人情報の取扱いに関する特則(定義)第 1 条 本特則において、「個人情報」とは、業務に関する情報のうち、個人に関する情報であって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしくは音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘密であるか否かを問わない。 以下各条において、「当該個人」を「情報主体」という。 (責任者の選任)第2条 乙は、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。 2 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。 (個人情報の収集)第 3 条 乙は、業務遂行のため自ら個人情報を収集するときは、 「個人情報の保護に関する法律」その他の法令に従い、適切且つ公正な手段により収集するものとする。 (開示・提供の禁止)第 4 条 乙は､個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面による承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。 ただし、法令又は強制力ある官署の命令に従う場合を除く。 2 乙は、業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。 3 乙は、業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及びその退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。 (目的外使用の禁止)第5条 乙は､個人情報を業務遂行以外のいかなる目的にも使用してはならない。 (複写等の制限)第 6 条 乙は､甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはならない。 ただし、業務遂行上必要最小限の範囲で行う複写又は複製については、この限りではない。 (個人情報の管理)第 7 条 乙は､個人情報を取り扱うにあたり、本特則第 4 条所定の防止措置に加えて、個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的な安全対策を講じなければならない。 2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。 これを変更した場合も同様とする。 3 甲は、乙に事前に通知の上乙の事業所に立入り、乙における個人情報の管理状況を調査することができる。 4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならない。 5 乙は、業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは業務への利用の停15止を求められた場合、直ちに且つ無償で、これに従わなければならない。 (返還等)第8条 乙は、甲から要請があったとき、又は業務が終了(本契約解除の場合を含む)したときは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復元不可能な状態とし、その旨を甲に報告しなければならない。 ただし、甲から別途に指示があるときは、これに従うものとする。 2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できないよう必要な処置を施した上で廃棄しなければならない。 (記録)第9条 乙は、個人情報の受領、管理、使用、訂正、追加、削除、開示、提供、複製、返還、消去及び廃棄についての記録を作成し、甲から要求があった場合は、当該記録を提出し、必要な報告を行うものとする。 2 乙は、前項の記録を業務の終了後5年間保存しなければならない。 (再請負)第 10 条 乙が甲の承諾を得て業務を第三者に再請負する場合は、十分な個人情報の保護水準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見て本特則と同等以上の内容の契約を締結しなければならない。 この場合、乙は、甲から要求を受けたときは、当該契約書面の写しを甲に提出しなければならない。 2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担する義務を免れない。 (事故)第 11 条 乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにその旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応急措置を講じるものとする。 なお、当該措置を講じた後ただちに当該事故及び応急措置の報告並びに事故再発防止策を書面により甲に提示しなければならない。 2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用を含むがこれに限定されない)を求償することができる。 なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。 3 第 1 項の事故が乙の本特則の違反に起因する場合は、本契約が解除される場合を除き、 乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の別途の指示に従うものとする。 以上16Ⅲ.事業内容(仕様書)1. 件名「情報システムに対するペネトレーションテスト実施業務」2. 背景・目的サイバーセキュリティに対する脅威が年々複雑化・巧妙化している状況を踏まえ、独立行政法人情報処理推進機構(以下「IPA」という。)がIPA内の情報システム(以下「調査対象システム」という。)に対して、情報システム内部への侵入可否及び侵入後の被害状況について、攻撃者が実際に行う最新の攻撃手法を用いて客観的に検証するペネトレーションテストを実施する。 その検証結果に基づき、セキュリティ対策上の問題点についてIPA自身が評価し、IPAの情報セキュリティ水準を向上させることを本業務の目的とする。 3. 業務内容3.1. 業務概要本業務は、調査対象システムに対してペネトレーションテストを実施し、セキュリティ対策上の問題点について評価及び助言等を行う。 具体的な業務内容は3.2に記載する。 また、本仕様書で使用する「ペネトレーションテスト」に係る定義及び条件等について、以下に記載する。 なお、本仕様書中で「ペネトレーションテスト」を「テスト」又は「調査」と表記する場合がある。 (1) ペネトレーションテストに係る定義及び条件等IPA が想定しているペネトレーションに係る定義等は以下のとおりであり、テスト実施観点の作成及びペネトレーションテストの実施にあたっては、これらを参考とした上で実施すること。 ① ペネトレーションの定義ア 管理者権限を持つアカウントによるOS・ミドルウェア等へのログインイ 一般ユーザ権限を持つアカウントによるOS・ミドルウェア等へのログインウ 認証を回避してのOSに対するコマンドの実行エ ア～ウ以外での対象ホスト内の情報の窃取② 本業務におけるペネトレ―ションテストの内容いわゆる脆弱性診断は、システムやアプリケーションに潜むサイバーセキュリティ上の欠陥を脆弱性として、これを検出・優先付けして報告するものであるが、本業務におけるペネトレーションテストは、攻撃者の視点に立ち、検出された脆弱性や設定不備などを単独又は組み合わせることにより疑似攻撃を行い、多段階の疑似攻撃においては前段階の疑似攻撃で得られた情報を次の疑似攻撃に利用することで、システムのセキュリティを実際に迂回・突破を試みた結果を報告するものである。 17本業務におけるペネトレーションテストは、システム情報及び脆弱性情報等の収集、対象ホストへの侵入可否の調査及び分析、侵入可能な攻撃の実行、侵入後の攻撃活動(情報収集や攻撃の結果により判明した対象機器の脆弱性等を利用し、他の更に重要なホストへの侵入を試行すること等)を網羅するものであり、一般的な脆弱性診断ツールによる単なる脆弱性診断のみにとどまるものではないことに注意すること。 なお、メール不正中継の可否に関するテストは対象として含めるが、ソーシャルエンジニアリングやテスト対象への物理的な攻撃は、原則として実施しない。 一般的なペネトレーションテストのための方法論や疑似攻撃の手法には、NIST SP800-115 やPenetration Testing Execution Standard (PTES) などに示されたものがあるが、請負者は、近年のサイバー攻撃の動向や最新の攻撃手法を勘案し、攻撃者の視点に立ったより実践的なテストとなるよう攻撃手法や使用するツールを採用し、本業務を遂行すること。 ③ ペネトレーションテストの終了条件テスト対象とする各種サーバ、端末、通信回線装置(以下「ホスト」という。)に対し、上記①に示す侵入を達成できる可能性のある攻撃手法をすべて実施すること。 ただし、多数の攻撃手法が存在するなど、実施期間内にすべての攻撃手法を実施することが困難であると想定される場合には、本調達担当者と協議の上、実施する攻撃手法数を調整してもよい。 なお、調整により実施しない攻撃手法のうち、当該方法による攻撃に対する脆弱性が報じられているものについては、調査結果報告書に脆弱性に関する情報を記載すること。 なお、調査結果報告書は拠点毎に分けずに、まとめて作成をすること。 ④ 調査期間調査期間は5営業日程度(拠点が複数ある場合はすべての拠点でこの日数とする。移動がある場合は原則として移動時間を含む。)で実施すること。 なお、調査期間は、調査対象システムに対して侵入を試みる作業を行う期間であり、ペネトレーションテストの実施結果に関する分析及び評価を行う期間は含まない。 また、3.2(3)②オに記載するテスト実施観点作成のための事前ポートスキャン等を実施するための現地での作業期間は、当該調査期間の範囲に含めないものとする。 さらに、テスト当日に調査対象システムとの通信の疎通が取れないなどの不測の事態が発生した場合も、本調達担当者と協議の上、予定していたテストが実施できるよう、必要に応じてスケジュールを調整すること。 ⑤ ペネトレーションテストの攻撃手法調査において使用する攻撃手法は、稼動中のサービスに支障を与える可能性がある場合、その影響について本調達担当者に事前に説明し、承認を得てから調査を実施することとし、承認の無い場合は当該手法による調査は実施しないこととする。 3.2. 業務内容(1) 調査対象①調査対象システムのIPアドレス数は50IP以内とする。 IPAにおいて、想定している拠点ごとのIPアドレス数割り当ては以下を基本とするが、必要に応じて各拠点の割り当てIPアドレス数を調整するものとする。 なお、対象システムは１つになる。 18・Ａ拠点 35IPアドレス程度・Ｂ拠点 5IPアドレス程度詳細については、契約締結後に別途指示する。 ペネトレーションテストの対象は、各種サーバ、端末及び通信回線装置(以下あわせて「ホスト」という。)を想定しており、計上するIPアドレスは、テスト対象とする情報システムの各ホストに付与され、テストを実施する対象として選定したものとする。 なお、IPv6アドレスも対象となる場合があることに留意すること。 ② 調査実施場所は原則東京都内とする。 ③ 調査対象ホストの選定では、調査対象システム担当者及び本調達担当者と協議の上、資料の確認、選定支援及び調整等を行うこと。 (2) 実施計画書案の作成請負者は、次の事項を含む実施計画書案を本調達担当者と協議の上で作成すること。 ① 記載内容ア 全体スケジュールイ 事前説明会及びヒアリング内容ウ ペネトレーションテスト方法(使用する機材やツール等の内容を含む。)エ ペネトレーションテストの実施完了条件オ ペネトレーションテストの実施結果に関する分析、評価方法及び評価観点カ 本業務に係る管理者及び作業従事者に関する役割及び氏名を含む体制図キ 業務体制、管理者及び作業従事者の所属、氏名及び経歴の一覧表、情報セキュリティ対策に係る技術要件への対応業務体制として、本業務に係る管理者(プロジェクト責任者と品質管理者、ペネトレーションテスト責任者)及び作業従事者を必ず配置すること。 それぞれの役割、人数については「5.実施体制」に記載のとおり。 ② 期限本調達担当者と協議するための実施計画書案は契約締結日からおおむね2週間以内に提出すること。 (3) ペネトレーションテストの実施等① 事前説明会及びヒアリングの実施ア 請負者は、本調達担当者と協議の上、事前説明会及びヒアリングの時期について調整すること。 イ 事前説明会は原則として1回開催することとし、調査対象システム担当者又は本調達担当者の指定する場所で実施すること。 ウ 事前説明会では、調査日程、調査内容、依頼事項、調査実施における注意点等について説明すること。 ヒアリングシートは、以下の事項を含み、事前説明会及びヒアリングに先立って記入を依頼しておくこと。 (ア) 調査対象システムの概要(イ) システム利用形態(ウ) インターネット接続状況(エ) インターネット以外のテスト対象組織外ネットワークの接続状況(オ) OS及びサーバ用途19(カ) 事前ポートスキャン等やペネトレーションテストの実施時における連絡先及び連絡方法(キ) Web アプリケーションを監視対象とする侵入防御装置やウェブアプリケーションファイアウォールの有無(※)(※)テストの実施にあたり、侵入検知(または、防御)装置やウェブアプリケーションファイアウォールが有の場合は、当該機器等の状態を防御、検知のどちらの状態でテストを実施するのか検討が必要となる旨を、ヒアリングシートに記載すること。 エ 請負者は、回答されたヒアリングシートに基づき、Web 会議又は対面での打合せにより、調査対象システムに係るヒアリングを行うこと。 オ ヒアリングにおける調査対象ホストの選定では、請負者のこれまでの経験や知見を活用し効果的なペネトレーションテストが実施できるよう、必要な資料の閲覧(例えば、ネットワーク構成図等)や確認、助言等を行うこと。 カ 請負者は、調査対象システム側で必要となる事前準備・確認事項(例えば、データのバックアップの取得や、通信監視を委託している業者を始めとする関係先への連絡、調査実施時においてサービス障害等が発生した場合の技術的な対応、必要に応じた復旧支援態勢等)について、調査対象システム担当者及び本調達担当者へ説明すること。 キ 事前説明会及びヒアリング終了後、3 営業日を目処に議事録を作成し本調達担当者に提出すること。 ② 実施計画書の作成ア 請負者は、調査対象システムごとに、以下の事項を含めた実施計画書を作成すること。 (ア) ペネトレーションテストの概要(イ) ペネトレーションテストの実施方法(攻撃方法、使用するツール等の内容を含む。)(ウ) テスト実施観点(次項イ及びウを参照)(エ) ペネトレーションテスト期間中の作業スケジュール(オ) 業務体制、管理者及び調査対象システムのテストに従事する作業従事者の役割、所属、氏名の一覧表(カ) 事前説明会及びヒアリング等で決定した事項のうち、テスト実施に当たり共有すべき事項20イ ペネトレーションテストの実施における手続きの流れに沿って、テストの実施内容の観点をとりまとめた実施観点を作成し、実施計画書に含めること。 IPA において想定するテスト実施観点を表1に示す。 表1 テスト実施観点(想定)ウ 想定する侵入経路を表現した簡易なネットワーク図等を作成すること。 テスト実施観点には、以下の2つを含めること。 (ア) 外部起点(リモート)インターネットからの攻撃を想定し、公開サーバ及びWebアプリケーション等に対する侵入を模擬(イ) 内部起点(オンサイト)標的型攻撃等により職員用端末等が感染したことを想定し、内部ネットワークを起点としたサーバ、ネットワーク機器類(公開セグメントを含む)及びWebアプリケーションに対する侵入を模擬また、実施計画書の内容は、ヒアリングで確認した情報や事前ポートスキャン等の結果を踏まえ、必要に応じて追記又は修正すること。 なお、調査対象システムにおいて、クラウドメールサービスを利用している場合、メールの不正中継対策の観点から、詳細な攻撃シナリオを指示する場合があるため、対応すること。 エ 実施計画書については、調査対象システム担当者と協議の上で作成し、調査実施までに調項目1システム情報、脆弱性情報等の収集・ネットワーク情報の収集・システム情報の収集・脆弱性情報の収集・ユーザ情報の収集2対象ホストへの侵入可否の調査・分析・OS、ミドルウェアその他システム上に内在する脆弱性の調査・認証サービスの稼働状況の調査・ユーザ情報の調査・プロダクト固有のデフォルトユーザ情報の調査3侵入可能な攻撃の実行・ユーザID、パスワードを使用したログイン試行・OS、ミドルウェア、その他のシステム上の脆弱性を利用したコマンドの実行・OS、ミドルウェア、その他のシステム上の脆弱性を利用した情報の窃取4侵入後の活動・一般ユーザから管理者への権限昇格の実行・システム内部の情報収集・侵入に成功したホストと同様の手法で他ホストへの侵入・侵入に成功したホストを踏み台にした他ホストへの侵入21査対象システム担当者及び本調達担当者の承認を得ること。 ただし、承認が得られなかった場合は、実施計画書の問題点について意見聴取した上で再設計し再協議すること。 オ テスト実施観点を作成する上で、事前に調査対象ホストへのポートスキャン等が必要な場合は、対象ホスト、実施方法、実施希望日について調査対象システム担当者と協議の上、事前に調査対象システム担当者の承認を得ること。 なお、当該作業を調査対象システムの拠点で行い、端末の持込み、接続及びログ情報の持ち出しに当たって、申請書の提出等が必要な場合、調査対象システム担当者の指示に従うこと。 カ 調査において脆弱性等を利用して攻撃するためのプログラム(以下「調査用プログラム」という。)を利用する場合は、当該プログラムを利用することによって判明する問題点の詳細及び利用した際に想定されるリスクについて、本調達担当者に説明し承認を得ること。 キ テストにおいて使用する攻撃手法が、稼動中のサービスに支障を与える可能性がある場合、その影響について本調達担当者に説明し承認が得られた場合にテストを実施すること。 ③ ペネトレーションテストの実施請負者は、承認が得られた実施計画書及び以下の事項に基づきペネトレーションテストを実施すること。 ア 調査は原則として、月曜日から金曜日(祝祭日を除く。)の午前10時から午後5時までの時間帯で実施すること。 ただし、一部IPアドレス(10アドレス程度を想定)は休日又は平日の夜間に調査することを想定している。 その際は、調査対象システム担当者と調整の上、体制を整備すること。 イ 内部起点での調査は現地で実施することを基本とする。 なお、内部起点の調査を遠隔で実施する場合、実施計画書を作成する段階で、その手法、実績について本調達担当者に提示し承認を得ること。 ウ 調査期間の各日の作業開始時及び作業終了時には、調査対象システム担当者及び本調達担当者に連絡すること。 また、各日の作業終了後、作業進捗報告書(実施した作業内容及び調査対象ホストがわかるもの)を作成し、調査対象システム担当者及び本調達担当者に提出すること。 また、計画より早く調査を終了する場合は、その理由を本調達担当者に報告し、承認を得ること。 エ 調査において、検出した問題を利用して侵入できた場合、調査対象システム担当者及び本調達担当者に対して、その旨を速やかに連絡すること。 その後、調査対象システム担当者及び本調達担当者から情報提供依頼や状況の再現を求められた場合は協力すること。 なお、当該問題点が重大な影響を及ぼす可能性があると請負者が判断した場合、本調達担当者に報告すること。 オ 作業中は、IPA が運用しているシステムのサービスを停止させたり、又は阻害したりしていないか常に状況を確認すること。 カ IPA が運用しているシステムのサービスを停止させ、又は阻害した場合は、直ちに作業を中止し、調査対象システム担当者及び本調達担当者へ連絡すること。 具体的な報告基準は以下の通りとする。 ・調査を実施した結果、調査対象システムの全部又は一部の機能やサービスについて、利用者視点での何らかの影響が発生したことを認識した場合(サービス停止、無応答、性能劣化等)22・上記に示した事象が軽微なものであっても、当該事象を調査対象システム担当者が認識するに至った場合また、サービス復旧の際に協力を求められた場合には、調査対象システム担当者及び本調達担当者の指示に従うこと。 なお、中止した調査の再開については、調査対象システム担当者と再開に伴う影響も含め、十分に調整し、サービスへの影響が生じない対策を講じること。 キ 調査対象システム担当者からの指示及び問い合わせに速やかに対応できる体制を整備すること。 ク 現地での調査において、端末の持込み・接続及びログ情報の持ち出しに当たって、IPA に対して申請書等の提出が必要な場合、調査対象システム担当者及び本調達担当者の指示に従うこと。 ケ 蔵置した調査用プログラム、起動したプロセス及び作成したダンプファイルその他のペネトレーションテスト中に調査対象システムに加えた影響は、これを残留させないよう適切に処理(以下「残留物の除去処理」という。)すること。 なお、請負者のみで残留物の除去処理が出来ない場合にあっては、ペネトレーションテスト実施期間終了後直ちに調査対象システム担当者及び本調達担当者に報告し残留物の除去処理を依頼すること。 また、必要に応じて除去処理に係る対応を現地にて実施すること。 (4) ペネトレーションテストの実施結果に関する分析及び評価① 調査対象システムの調査結果報告書の作成ア 記載内容A)請負者は、調査結果から調査対象システムのセキュリティ対策の実施状況の分析・評価を行い、その結果について以下の項目を含めた調査結果報告書を作成すること。 併せて、IP アドレス等の機密情報をマスクしたバージョンも作成すること。 (ア) 調査の内容・調査で用いた調査実施手順・方法とテスト実施観点・調査対象システムについて調査を実施した範囲(イ) 調査の実施結果・検出した問題の内容及び危険度の一覧※一覧については、本調達担当者と調整の上、別表も作成すること・検出した問題を再現する方法・検出した問題に対して推奨する具体的な対策方法なお、根本的な対策方法が、期間及びコスト等の面から早期の実施が現実的に困難と想定される場合は、暫定的な対策についても併せて示すこと。 ・ペネトレーションテスト結果の全体を俯瞰し、国内外のサイバー攻撃の動向等を考慮したうえで、独立行政法人等全体の情報セキュリティ水準を向上させるための IPA に対する助言・今後のペネトレーションテストを実施するに当たっての助言(ウ) 調査結果全体の評価・全体的な調査結果のまとめ及び総論(エ) 問い合わせ窓口・質問対応連絡先(メールアドレス、電話番号)B) 調査結果報告書の内容は、図表やイメージ等を用いるなど、調査対象システム担当者が理解し、調査の再現が可能となるよう読み易さについて工夫すること。 また、調査対象シス23テム担当者がセキュリティ対策水準の向上に努められるよう、必要に応じて請負者の知見、助言等を適宜追加すること。 C) 侵入できた問題点については、問題点の重要性の認識が容易となるよう危険度のレベルを用いて説明すること。 また、侵入できた問題点については侵入が成功するまでの攻撃の流れが把握できるように、利用した脆弱性や設定の不備も含めて記載すること。 D) 調査対象システムの評価の認識が容易となるよう、検出した問題点のほか、侵入の過程において検出した脆弱性情報等を総合的に評価し、レベルを用いて説明すること。 イ 期限請負者は、調査対象システムに対するペネトレーションテスト終了後、概ね3 週間以内に調査結果報告書をIPAに提出すること。 ② 調査対象システムの調査結果の説明請負者は、必要に応じて、調査対象システム担当者及び本調達担当者と調整の上、調査結果報告書について説明すること。 また、質疑応答を含む議事録を作成し、終了後1 週間以内を目処にIPAに提出すること。 (5) 付随作業① 進捗管理及び課題管理請負者は、作業の実施に当たり、本調達担当者と密に連絡を取るとともに、進捗管理表を作成して臨むこと。 また、1 ヵ月に 1 回は情報を集約し、作業の進捗状況について報告を行うこと。 なお、本業務の実施に当たり疑義や問題が生じた際には、速やかに本調達担当者と協議して決定・解決すること。 ② 問い合わせ等への対応請負者は、本業務に係る調査対象システム担当者及び本調達担当者からの問い合わせ等があった場合には速やかに対応すること。 ③ 打合せにおける記録の作成請負者は、調査対象システム担当者との打合せ終了後、3 営業日を目処に議事録を作成し、調査対象システム担当者及び本調達担当者に提出すること。 議事録には、決定事項、宿題事項、共有あるいは記録すべき議論内容を記載すること。 4. 業務期間及びスケジュール4.1 業務期間契約締結日から2026年11月30日4.2 スケジュール本業務では、表2の作業スケジュールを想定している。 具体的なスケジュールについては、本仕様書の業務内容を踏まえ、本調達担当者と協議の上、決定すること。 表2 作業スケジュール時期 ※仮スケジュール 主な作業内容242026年4月～2026年5月 ・キックオフ・実施計画書案の作成・体制、役割分担及びスケジュール等の確認・事前説明会及びヒアリングの日程調整・ペネトレーションテストの実施時期調整2026年5月～2026年7月 ・事前説明会及びヒアリングの実施・調査対象システムの情報収集・攻撃手法等の検討・実施計画書の作成・ペネトレーションテストの実施・調査結果の質疑対応2026年8月～2026年11月 ・調査結果報告書の作成及び報告5. 実施体制(1) 請負者の資格等① 「情報セキュリティサービス基準適合サービスリスト 2」の掲載ア 脆弱性診断サービス分野に掲載されている者であること(新規掲載又は掲載継続のための更新の手続き中を含む)。 イ ペネトレーションテスト(侵入試験)サービス分野に掲載されていることが望ましい。 ② 過去3年間において、情報システムにおけるペネトレーションテスト、プラットフォーム診断、ウェブアプリケーション診断のセキュリティ診断の実績を毎年5 件以上有することとし、うち年間3件以上はペネトレーションテストの実績を含むこと。 ③ 請負者の資本関係・役員等の情報、当該作業の実施場所についての情報を提出すること。 (2) 業務従事者の経歴業務従事者の経歴(氏名、所属、雇用形態、役職、言語、国籍、実績(経験年数、資格等)がわかる資料)を提出すること。 経歴提出のない者の本件業務従事は不可とする。 (3) 業務従事者の役割業務従事者として、プロジェクト責任者、ペネトレーションテスト責任者、品質管理責任者及び作業従事者を配置すること。 なお、作業従事者については、必ず4名以上配置すること。 なお、開札の際に、入札者又はその代理人が立ち会わなかった場合は、再度入札を辞退したものとみなす。 2 前項において、入札者は、代理人をして再度入札させるときは、その委任状を持参させなければならない。 (同価格又は同総合評価点の入札者が二者以上ある場合の落札者の決定)第 16 条 落札となるべき同価格又は同総合評価点の入札をした者が二者以上あるときは、 直ちに当該入札をした者又は第12 条ただし書きにおいて立ち会いをした者にくじを引かせて落札者を決定する。 2 前項の場合において、当該入札をした者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員にくじを引かせるものとする。 (契約書の提出)第 17 条 落札者は、契約担当職員等から交付された契約書に記名押印(外国人又は外国法人が落札者である場合には、本人又は代表者が署名することをもって代えることができる。)し、落札決定の日から5日以内(期終了の日が行政機関の休日に関する法律(昭和63年法律第91号)第1条に34規定する日に当たるときはこれを算入しない。 )に契約担当職員等に提出しなければならない。 ただし、契約担当職員等が必要と認めた場合は、この期間を延長することができる。 2 落札者が前項に規定する期間内に契約書を提出しないときは、落札はその効力を失う。 (入札書に使用する言語及び通貨)第 18 条 入札書及びそれに添付する仕様書等に使用する言語は、日本語とし、通貨は日本国通貨に限る。 (落札決定の取消し)第 19 条 落札決定後であっても、この入札に関して連合その他の事由により正当な入札でないことが判明したときは、落札決定を取消すことができる。 以上35(別記)暴力団排除に関する誓約事項当社(個人である場合は私、団体である場合は当団体)は、下記の「契約の相手方として不適当な者」のいずれにも該当しません。 この誓約が虚偽であり、又はこの誓約に反したことにより、当方が不利益を被ることとなっても、異議は一切申し立てません。 記1. 契約の相手方として不適当な者(1) 法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第2条第2号に規定する暴力団をいう。 以下同じ。 )であるとき又は法人等の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。 以下同じ。 )が、暴力団員(同法第2 条第6 号に規定する暴力団員をいう。以下同じ。)であるとき(2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき(3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき(4) 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき上記事項について、入札書の提出をもって誓約します。 36【資料２】予算決算及び会計令【抜粋】(一般競争に参加させることができない者)第 70 条 契約担当官等は、売買、貸借、請負その他の契約につき会計法第二十九条の三第一項の競争(以下「一般競争」という。)に付するときは、特別の理由がある場合を除くほか、次の各号のいずれかに該当する者を参加させることができない。 一 当該契約を締結する能力を有しない者二 破産手続開始の決定を受けて復権を得ない者三 暴力団員による不当な行為の防止等に関する法律(平成三年法律第七十七号)第三十二条第一項各号に掲げる者(一般競争に参加させないことができる者)第 71 条 契約担当官等は、一般競争に参加しようとする者が次の各号のいずれかに該当すると認められるときは、その者について三年以内の期間を定めて一般競争に参加させないことができる。 その者を代理人、支配人その他の使用人として使用する者についても、また同様とする。 一 契約の履行に当たり故意に工事、製造その他の役務を粗雑に行い、又は物件の品質若しくは数量に関して不正の行為をしたとき。 二 公正な競争の執行を妨げたとき又は公正な価格を害し若しくは不正の利益を得るために連合したとき。 三 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げたとき。 四 監督又は検査の実施に当たり職員の職務の執行を妨げたとき。 五 正当な理由がなくて契約を履行しなかつたとき。 六 契約により、契約の後に代価の額を確定する場合において、当該代価の請求を故意に虚偽の事実に基づき過大な額で行つたとき。 七 この項(この号を除く。)の規定により一般競争に参加できないこととされている者を契約の締結又は契約の履行に当たり、代理人、支配人その他の使用人として使用したとき。 2 契約担当官等は、前項の規定に該当する者を入札代理人として使用する者を一般競争に参加させないことができる。 37(様式１)質問書枚数 枚中／ 枚目年 月 日質 問 書独立行政法人情報処理推進機構 御中(担当部署：経営企画センター デジタル改革推進部 インフラサービスグループ 担当者殿)会 社 名：担当部署 ：担当者名 ：電 話 ：ファックス：電子メール：「情報システムに対するペネトレーションテスト実施業務」(2026年2月24日付公告)に関する質問書を提出します。 資料名ページ項目名質問内容(1) 質問書(様式)には、機構ウェブサイトにて公開している入札説明書の資料名、ページ及び項目名を記載すること。 (2) 質問は、本様式1枚につき1問とし、簡潔にまとめて記載すること。 (3) 質問者自身の既得情報(特殊な技術、ノウハウ等)、個人情報に関する内容については、質問書に公表しない旨を記入すること。 (4) 質問者の企業名等は公表しない。 38(様式２)年 月 日独立行政法人情報処理推進機構 理事長 殿所 在 地商号又は名称代表者氏名 印(又は代理人)委 任 状私は、下記の者を代理人と定め、「情報システムに対するペネトレーションテスト実施業務」の入札に関する一切の権限を委任します。 代 理 人(又は復代理人)所 在 地所属・役職名氏 名使用印鑑39(様式３)年 月 日独立行政法人情報処理推進機構 理事長 殿所 在 地商号又は名称代表者氏名 印(又は代理人、復代理人氏名)印入 札 書入札金額 ￥ (税抜)(※ 下記件名に係る費用の総価を記載すること)件 名 「情報システムに対するペネトレーションテスト実施業務」契約条項の内容及び貴機構入札心得を承知のうえ、入札いたします。 40(様式４)適 合 証 明 書年 月 日独立行政法人情報処理推進機構理事長 齊藤 裕 殿所 在 地会 社 名代表者氏名 印「情報システムに対するペネトレーションテスト実施業務」(2026年2月24日付公告)の入札に際し、別添のとおり、貴機構の仕様に適合することを証明するため、本証明書を提出いたします。 また、本証明書に示した以外の事項にあっても、貴機構の仕様の全ての事項を満たすことを証明します。 なお、落札した場合には、仕様書に従い、万全を期して業務を行いますが、万一不測の事態が生じた場合には、貴機構の指示の下、全社を挙げて直ちに対応いたします。 (本件に関する問い合わせ先)担当部署 ：担当者名 ：電 話 ：ファックス：電子メール：41(別紙)適合証明書詳細一覧表仕様書の要件 詳細内容 適合1仕様書「3.業務内容」の要件を満たす業務を提供すること。 2 仕様書「5.実施体制」の内容を確認しており、要件を満たす業務を提供すること。 3 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (1)取り扱う情報に対する措置及び本業務範囲外の利用の禁止4 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (2)情報セキュリティ対策実施5 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (3)本業務範囲外の操作の禁止6 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (4)作業履歴等の記録7 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (5)情報の保管42仕様書の要件 詳細内容 適合8 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (6)情報セキュリティ対策実施の報告9 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (7)情報の廃棄10 仕様書「6.情報セキュリティに関する要件」の以下の内容を確認しており、要件を満たす業務を提供すること。 (8)監査の受け入れ11 本業務に従事する全ての者において、業務を遂行する能力があることを証明できること。 具体的には、各業務従事者の略歴(氏名、所属、役職、学歴、職歴、業務経験、研修実績その他経歴、専門的知識その他の知見、母語及び外国語能力、国籍等)を提出し、業務遂行能力を証明すること。 また、仕様書「5実施体制」に定める実施体制を満たしていること。 12 受託者の情報管理体制及び情報を取り扱う者がわかる資料(仕様書「情報取扱者名簿」及び「情報管理体制図」)を契約締結時に提出できることを確約すること。 13 以下の資料が提出されているか。 ・情報管理に対する社内規則等(社内規則がない場合はその代わりとなるもの)(注１)適合欄には、仕様書の要件に適合している場合は「○」、不適合の場合は「×」を記載すること。 (注２)詳細内容欄には、適合の具体的な内容を記載すること。 記載内容を証明するもの(資格を証する書面、体制図等)を添付し、当該資料の該当箇所を詳細内容欄に記載すること。 43(様式7)入札書等受理票(控)受理番号件名：「情報システムに対するペネトレーションテスト実施業務」に関する提出資料【入札者記載欄】提出年月日： 年 月 日法 人 名：所 在 地： 〒担 当 者： 所属・役職名氏名TEL FAXE-Mail【ＩＰＡ担当者使用欄】No. 提出書類 部数 有無 No. 提出書類 部数 有無① 委任状(委任する場合) 1通 ② 入札書(封緘) 1通③資格審査結果通知書の写し1通④ 適合証明書 1通⑤「情報セキュリティサービス基準適合サービスリスト」申請書の写し(新規掲載又は掲載継続のための更新の手続き中の場合)1部⑥ 入札書等受理票 本通切り取り受理番号入札書等受理票年 月 日件 名 「情報システムに対するペネトレーションテスト実施業務」に関する提出資料法人名(入札者が記載)：担当者名(入札者が記載)： 殿貴殿から提出された入札書等を受理しました。 独立行政法人情報処理推進機構 経営企画センター デジタル改革推進部 インフラサービスグループ担当者名： ㊞