【教育局教職員課】市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務（令和7年5月30日入札）

【教育局教職員課】市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務（令和7年5月30日入札） 公告地方自治法(昭和22年法律第67号)第234条第１項の規定により、市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務の調達について、一般競争入札を次のとおり行う。なお、この入札に係る調達は、地方公共団体の物品等又は特定役務の調達手続の特例を定める政令(平成７年政令第372号)第１条に規定する協定その他の国際約束の適用を受ける。令和７年３月28日山形県知事 吉 村 美 栄 子１ 入札の場所及び日時(1) 場所 山形市松波二丁目８番１号 山形県庁入札室(２階)(2) 日時 令和７年５月30日(金)午前10時30分２ 入札に付する事項(1) 調達をする役務の名称及び数量 市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務 一式(2) 調達をする役務の仕様等 入札説明書及び仕様書による。(3) 契約期間 契約締結の日から令和12年３月31日まで(4) 入札方法 契約期間の総額により行う。落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。３ 入札参加者の資格(1)から(9)までに掲げる要件を全て満たす者であること。ただし、共同企業体にあっては、(10)から(14)までに掲げる要件を全て満たす者であること。(1) 地方自治法施行令(昭和 22年政令第 16号)第 167条の４第１項各号に規定する者に該当しないこと。(2) 令和７年度山形県物品等及び特定役務の調達に係る競争入札の参加者の資格等に関する公告(令和７年１月31日付け県公報第574号)により公示された資格を有すること。(3) 山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと。(4) 次のいずれにも該当しないこと(地方自治法施行令第 167条の４第１項第３号に規定する者に該当する者を除く。)。イ 役員等(入札参加者が個人である場合にはその者を、入札参加者が法人である場合にはその役員又はその支店若しくは契約を締結する事務所の代表者をいう。以下同じ。)が暴力団員による不当な行為の防止等に関する法律(平成３年法律第 77 号)第２条第６号に規定する暴力団員(以下「暴力団員」という。)又は暴力団員でなくなった日から５年を経過しない者(以下「暴力団員等」という。)であること。ロ 暴力団(暴力団員による不当な行為の防止等に関する法律第２条第２号に規定する暴力団をいう。以下同じ。)又は暴力団員等が経営に実質的に関与していること。ハ 役員等が自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員等を利用する等していること。ニ 役員等が、暴力団又は暴力団員等に対して資金等を供給し、又は便宜を供与する等直接的あるいは積極的に暴力団の維持及び運営に協力し、又は関与していること。ホ 役員等が暴力団又は暴力団員等と社会的に非難されるべき関係を有していること。(5) 情報セキュリティマネジメントシステム適合性評価制度に関してJIS Q 27001(ISO/IEC27001)の基準に適合することによる認証を受けていること。(6) 国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、USBトークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が350以上の規模を指す。)の設計及び構築の業務を履行した実績があること。(7) 国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、デスクトップ仮想化基盤を利用した仮想デスクトップ機能を提供するシステム(システムを利用するユーザ数が350以上のものに限る。)の設計及び構築の業務を履行した実績があること。(8) 過去５年以内に国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、USB トークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が350以上の規模を指す。)の運用保守管理業務を受託した実績があること。(9) 過去５年以内に国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、デスクトップ仮想化基盤を利用した仮想デスクトップ機能を提供するシステム(システムを利用するユーザ数が350以上のものに限る。)の運用保守管理業務を受託した実績があること。(10) 共同企業体の構成員として本件入札に参加していないこと。(11) 共同企業体の全ての構成員が(1)から(5)までの要件を満たしていること。(12) 共同企業体のいずれかの構成員が(6)から(9)の要件を満たしていること。(13) 共同企業体は、自主結成されたものであり、共同企業体協定書を締結していること。(14) 共同企業体の各構成員は、他の共同企業体の構成員として又は単独で本件入札に参加していないこと。４ 契約条項を示す場所、入札説明書及び仕様書の交付場所等並びに契約に関する事務を担当する部局等(1) 契約条項を示す場所及び契約に関する事務を担当する部局等山形市松波二丁目８番１号 山形県教育局教職員課給与担当電話番号 023(630)3125(2) 入札説明書及び仕様書の交付場所等 山形県教育局教職員課給与担当で交付するほか、山形県のホームページ(https://www.pref.yamagata.jp/)からもダウンロードできる。５ 入札保証金及び契約保証金(1) 入札保証金 免除する。(2) 契約保証金 契約金額の100分の10に相当する金額(当該金額に１円未満の端数があるときは、その端数金額を切り上げた金額)以上の額。ただし、山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)第135条各号のいずれかに該当する場合は、契約保証金を免除する。６ 入札の無効入札に参加する者に必要な資格のない者のした入札、入札に関する条件に違反した入札その他規則第122条の２の規定に該当する入札は、無効とする。７ 落札者の決定の方法規則第120条第１項の規定により作成された予定価格の範囲内で最低の価格をもって入札(有効な入札に限る。)をした者を落札者とする。 ８ 契約の手続において使用する言語及び通貨日本語及び日本国通貨９ その他(1) この公告による入札に参加を希望する者は、競争入札参加資格者名簿に登載されている者にあっては一般競争入札参加資格確認申請書を、競争入札参加資格者名簿に登載されていない者にあっては競争入札参加資格審査申請書提出書及び競争入札参加資格審査申請書を令和７年５月９日(金)午後３時までに山形県教育局教職員課給与担当に提出するとともに、併せて次の書類を提出すること。イ ３の(5)から(9)までに係る事項を証明する書類(共同企業体にあっては、３の(11)及び(12)に係る事項を証明する書類)ロ ２の(1)の役務の仕様に適合するものとして作成した応札に係る役務の仕様書(以下「応札役務仕様書」という。)及び競争入札に係る応札役務仕様書等審査申請書(2) (1)により提出された応札役務仕様書については、２の(1)の役務の仕様に適合しているかどうかを審査し、審査の結果適合しないと認められた場合は、当該応札役務仕様書を提出した者は、この入札に参加することができない。(3) この入札は、山形県低入札価格調査制度実施要綱の規定による低入札価格調査制度を適用する。(4) この契約においては、契約書の作成を必要とする。この場合において、当該契約書には、談合等に係る契約解除及び賠償に関する定め、個人情報の保護に関する定め、再委託の禁止に関する定め並びにこの契約に係る次年度以降の歳入歳出予算が成立しない場合の契約解除に関する定めを設けるものとする。(5) この入札及び契約については、県の都合により調達手続の停止等があり得る。(6) この入札に係る契約期間において、契約金額の変更に係る協議を行う場合がある。(7) 詳細については、入札説明書による。10 Summary(1) Nature and quantity of the service to be required: Construction of infrastructurefor Prefectural Business System Connection Network for Municipal school: 1set(2) Time-limit for tender: 10:30 A.M. May 30,2025(3) Contact point for the notice: Yamagata Prefectural Board of Education, YamagataPrefectural Government,8-1 Matsunami 2-chome,Yamagata-shi,Yamagata-ken 990-8570 JapanTEL 023(630)3125 入札説明書等配布一覧表調達する役務の名称［市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務］No 名 称 部数等１ 入札説明書 １部２ 仕様書 １部３ 山形県情報システムセキュリティポリシー １部４ 契約書(書式) １部５様式集(添付様式)・一般競争入札参加資格確認申請書・競争入札参加資格審査申請書提出書・競争入札に係る応札役務仕様書等提出書・競争入札に関する質問書・入札書・委任状１部６ 応札役務仕様書 １部(注)上記内容について、落丁等がないか確認してください。山形県教育局教職員課入 札 説 明 書市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務の調達に係る入札公告に基づく一般競争入札については、関係法令及び山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)に定めるもののほか、この入札説明書によるものとする。１ 担当部局〒990－8570 山形市松波二丁目８番１号山形県教育局教職員課 給与担当 電話番号 023-630-3125メールアドレス ykyoshoku@pref.yamagata.jp２ 入札参加者の資格(1) 「山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと」とは、入札参加資格審査日(一般競争入札参加資格確認申請書又は競争入札参加資格審査申請書(以下「申請書」という。)の提出期限の日)から開札日までの期間中のいずれの日においても指名停止措置を受けていないことをいう。(2) 公告で指定された期限までに申請書を提出しない者及び入札参加資格が無いと認められた者は、本件入札に参加することができない。３ 入札参加者資格及び応札役務仕様書の審査等(1) 本件入札に参加を希望する者は、入札公告の「入札参加者の資格」を有することを証するための申請書及び添付書類(以下「申請書等」という。)並びに本件調達役務に係る応札役務仕様書、その他必要な書類(以下「応札役務仕様書等」という。)を、公告で指定された提出場所へ提出し、入札参加資格並びに応札役務仕様書の審査を受けなければならない。(2) 提出書類ア 入札参加者の資格に関する書類(ｱ) 競争入札参加資格者名簿(物品及び役務の調達)に登載されている者ａ 一般競争入札参加資格確認申請書(別紙様式１)(ｲ) 競争入札参加資格者名簿(物品及び役務の調達)に登載されていない者ａ 競争入札参加資格審査申請書提出書(別紙様式２)ｂ 競争入札参加資格審査申請書及び添付書類(会計局が別に定める物品等競争入札参加資格審査申請要領による)(ｳ) 公告の３の(5)から(9)までを証明する書類については次のとおりとし、全て代表者氏名印のあるものとする。a 情報セキュリティマネジメントシステム適合性評価制度に関してJIS Q27001(ISO/IEC27001)の基準に適合することによる認証を受けていることを証明する書類(写し可)b 国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、USBトークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が350以上の規模を指す。)の設計及び構築の業務を履行した実績があることを証明する書類として、当該業務の概要(業務名称、発注者、契約金額、契約期間、システムの概要・規模等)を記載した書面及び契約書の写しc 国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、デスクトップ仮想化基盤を利用した仮想デスクトップ機能を提供するシステム(システムを利用するユーザ数が350以上のものに限る。)の設計及び構築の業務を履行した実績があることを証明する書類として、当該業務の概要(業務名称、発注者、契約金額、契約期間、システムの概要・規模等)を記載した書面及び契約書の写しd 過去５年以内に国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、USBトークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が350以上の規模を指す。)の運用保守管理業務を受託した実績があることを証明する書類として、当該業務の概要(業務名称、発注者、契約金額、契約期間、システムの概要・規模等)を記載した書面及び契約書の写しf 過去５年以内に国、都道府県又は地方自治法第252条の19第１項に規定する指定都市において、デスクトップ仮想化基盤を利用した仮想デスクトップ機能を提供するシステム(システムを利用するユーザ数が350以上のものに限る。)の運用保守管理業務を受託した実績があることを証明する書類として、当該業務の概要(業務名称、発注者、契約金額、契約期間、システムの概要・規模等)を記載した書面及び契約書の写しイ 応札する役務の仕様に関する書類(ｱ) 競争入札に係る応札役務仕様書等審査申請書(別紙様式３)(ｲ) 応札役務仕様書本件調達役務の仕様に適合するものとして応札する役務の内容について別紙様式により作成すること。① 調達をする役務の仕様書の内容を網羅していること。② 調達をする役務の実施に必要な人員体制、機材等設備状況を明示していること。③ 調達をする役務に従事する職員の氏名及び必要な資格を有することを明示していること。④ 緊急時の連絡体制を明示していること。(ｳ) 調達をする役務に直接従事する職員に必要な資格を有することを証する書類(写し可)(ｴ) 工程表準備、実施及び報告書作成に係る各期間及び納期を明示したもの。(3) 上記(2)の書類を郵送で提出する場合は、書留郵便に限る。電子メールで提出する場合は、PDF形式で送付すること。(4) 申請書を提出した者は、入札日の前日までに添付書類に関し説明又は協議を求められた場合はこれに応じるものとし、必要な場合には添付書類の追加に応じるものとする。なお、その指示に応じないときは、入札参加資格がないものとみなす。(5) 応札役務仕様書の審査については、当該仕様書等が入札公告で示した仕様書に基づき作成され、その内容及び実施体制等が役務の適格な実施に必要な要件を具備しているかを判断するものとし、必要に応じその内容の補正等を指示する場合があり、提出者はこれに応じるものとする。(6) 申請書及び応札役務仕様書の作成及び提出に係る費用は、申請者の負担とする。４ 入札参加資格審査結果及び応札役務仕様書の審査結果の通知(1) 入札参加資格及び応札役務仕様書の審査は、その提出期限の日を基準日として行うものとし、その結果は令和７年５月16日(金)までに通知する。 (2) 本件入札への参加は、前項の通知により、入札参加資格を有し、かつ、応札役務仕様書の審査においてその内容等が本件調達役務の実施要件に適合すると認められたものについてのみ行うことができるものとする。５ 仕様書に関する質問等(1) 仕様書に関し質問がある場合は、令和７年５月９日(金)午後３時までに担当部局に別紙様式４により持参、郵送(書留郵便に限る。)又は電子メール(ＰＤＦ形式)で提出すること。なお、郵送による場合は、上記期限まで担当部局に到達しなければならない。(2) (1)の質問に対する回答は、質問者あて書面により行うとともに、その回答書は、当該回答を行った日の翌日から入札執行の日時までの期間、担当部局において閲覧に供する。６ 入札の辞退等(1) 入札参加者は、入札書を提出するまでの間は、いつでも入札を辞退することができる。入札を辞退する場合は、書面により行うものとする。この場合は、辞退する役務の名称、入札日、辞退する者の氏名又は名称、辞退する理由を記載した書面に代表者印を押印し、入札を執行する日時までに提出するものとする。(2) 入札参加者が入札執行時刻に遅れた場合は、本件入札を棄権したものとみなす。７ 入札(1) 入札書の様式は、入札書(別紙様式５)による。(2) 入札書は入札公告の「入札の場所及び日時」に持参するものとするが、郵送による提出も認める。(書留郵便に限る。)(3) 入札書は封筒に入れて厳封し、表に「氏名又は名称」及び「物品等の名称」を記載すること。(4) 入札書を郵便により提出する場合は二重封筒とし、入札書を中封筒に厳封の上、上記(3)の内容を記載し、表封筒に「入札書在中」と朱書きすること。なお、令和７年５月29日(木)午後５時までに担当部局に必着とし、当該日時までに到達しなかった場合は棄権とみなす。(5) 入札者は名刺を提出し、代理人をして入札に関する行為をさせようとする者は、委任状(別紙様式６)を作成し提出させること。(6) 入札者又は入札者の代理人は、当該入札に関する他の入札者の代理をすることはできない。また、法人の代表者(支店長等の受任者を含む。)が自ら入札する場合は、当該入札に関して他の入札者となることはできない。(7) 入札価格には、役務の遂行に必要な打合せ等の付随業務に係る旅費、日当、使用料、その他一切の諸経費を含む総額とする。８ 開札入札者又はその代理人は開札に立ち会うものとする。入札者又はその代理人が立ち会わない場合においては、入札事務に関係のない山形県職員を立ち合わせて開札を行う。開札に立ち会わない入札者は、開札結果の通知に必要な返信用封筒に、受取人の住所、氏名又は名称等を明記のうえ、所定の料金の切手を貼ったものを入札書とともに提出しなければならない。９ 入札の無効次に掲げる入札は無効とする。(1) 入札公告に示した入札参加資格のない者(入札参加資格があることを確認された者で、開札時において入札公告に示した入札参加資格を満たさなくなった者を含む。)のした入札(2) 申請書に虚偽の記載をした者のした入札(3) 委任状を持参しない代理人のした入札(4) 入札の公正な執行を妨げ、又は公正な価格の成立を害し、若しくは不正の利益を得るため連合したと認められる入札(5) 同一の事項につき２通以上の入札書を契約担当者に提出した入札(6) 金額、氏名等の入札要件が確認できない入札書、記名押印を欠く入札書又は入札金額を訂正した入札を契約担当者に提出した入札(7) その他入札に関する条件に違反した入札10 再度入札予定価格の制限の範囲内の価格の入札がないときは、直ちに再度の入札を行う場合がある。再度の入札を辞退するときは、入札書に「辞退」と記載し、提出すること。入札を一度辞退した者は，当該入札案件の再度の入札に参加することはできない。11 落札者の決定方法(1) 規則第120条第１項の規定により作成された予定価格の範囲内で、かつ、全ての入札が公告９の(3)の山形県低入札価格調査制度実施要綱(以下「低入札調査要綱」という。)第3条による調査基準価格(以下「基準価格」という。)以上である場合は、最低の価格をもって入札(有効な入札に限る。)を行った者を落札者とする。(2) 基準価格を下回る価格の入札(有効な入札に限る。)があった場合は、入札を終了し、最低価格の入札者について、低入札調査要綱第６条第２項による本件調達役務の内容に適合した履行がなされるか否かを調査(以下「履行適合調査」という。)したうえで落札を決定することとし、この場合、入札結果は、後日、書面で通知する。(3) 履行適合調査の結果、当該最低価格によっても契約の内容に適合した履行がなされると認められる場合は、その入札を行った者を落札者に決定する。また、当該最低価格によっては、契約の内容に適合する履行がなされない恐れがあると認められる場合は、当該最低価格の入札者を落札者とせず、予定価格の範囲内での価格をもって入札(有効な入札に限る。)を行った次順位の者(以下「次順位者」という。)を落札者に決定する。この場合において、次順位者が基準価格を下回る入札者であった場合は、前項及び本項の規定を準用し落札者を決定するものとし、次順位者の変更は、予定価格の制限の範囲内で入札を行った者において落札者が決定するまで繰り返すものとする。(4) 前２項により履行適合調査の対象となった者が落札者になった場合は、低入札調査要綱第９条に基づき契約履行の状況等について報告を求める場合があり、落札者はこれに応じるものとする。(5) 落札となるべき同価の入札をした者が二人以上あるときは、直ちに当該入札者にくじを引かせて落札者を決定する。この場合において、当該入札者のうち立ち会わない者又はくじを引かない者があるときは、当該入札執行事務に関係のない山形県職員にこれに代わってくじを引かせ落札者を決定する。(6) 落札者の決定の時までに入札参加資格を満たさなくなった者は落札者としない。12 その他(1) 申請書に虚偽の記載をした場合においては、山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を行うことがある。(2) 入札参加者の連合、その他の理由により入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取り止めることがある。(3) 入札をした者は、入札後、契約条項又は入札条件等の不明を理由として異議を申立てることができない。(4) 落札者は予約完結権を他に譲渡することができない。 (5) 入札者又はその代理人は、即日口頭落札決定通知を受領するための印鑑(入札書に使用する印鑑に限る。ただし、代理人の場合は当該代理人の印鑑とする。)を持参すること。なお、当該印鑑を持参できない場合は、入札執行時の指示により落札決定を通知する。(6) 本件契約の条項は、別に示す契約書(書式)による。(7) この契約は、地方自治法第234条の３の規定による長期継続契約とする。(8) 落札者は、落札決定後、速やかに入札書に記載した入札金額及び契約期間における月ごとに対応した積算内訳書を提出すること。なお、契約書に記載する契約金額及び毎月の支払金額については、落札した入札書に記載された金額及び積算内訳書に基づき、仕様書で示す資産の譲渡の時期に適用される消費税及び地方消費税の額を加算した金額とする。(9) 契約締結にあたっては、４により通知を受けた応札役務仕様書の内容を変更することはできない。(10) その他必要とする入札に関する条件については、入札執行時の指示による。 市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務委託仕様書令 和 ７ 年 ３ 月山形県教育委員会1１ 委託業務の名称市町村立学校向け県業務システム接続用ネットワーク構築及び運用保守管理業務委託２ 委託期間(構築期間)契約締結日から令和７年12月31日まで(運用保守期間)令和８年１月１日から令和12年３月31日まで３ 委託業務の概要市町村立小中学校(以下、「学校」という。)に勤務する県費負担教職員の給与及び旅費事務については県の給与等システム及び財務会計システム(以下、「県業務システム」という。)により管理・執行している。平成25年度まで、県業務システムを利用する場合は、学校事務職員が４校に１校の割合で設置されている県専用端末設置校へ出張し自校分のデータ入力作業を行っており、県専用端末不足に起因する学校事務職員の入力作業負荷が大きな課題となっていた。また、給与明細等の県庁で一括出力される帳票については、県教育事務所経由で各市町村教育委員会等へ郵送したうえで、市町村教育委員会等が更に学校へ配送するか、学校職員が受け取りに出向いている状況であり、紙ベースでの帳票事務は県職員及び学校職員の大きな負担となっていた。そこで、平成 26 年度より行われた給与等システムの再構築により、従来は県庁で一括出力し配送していた帳票をネットワーク経由で各学校へ配信する機能が追加されたのに併せ、SSL-VPN 装置等を導入し各学校が県業務システムへ直接アクセス可能なネットワークを構築することで、データ入力作業や帳票出力作業を各学校から行える環境を整備し、前述の課題解決を図ったところである。この構築されたネットワークについて、令和８年１月から導入機器のメーカー保守等が行われなくなる。このため、SSL-VPN 装置等の機器更新等を行い、システムの再構築を行うのに加え、安定した稼働を図るため、運用保守管理業務を行うものである。2４ 委託業務の内容本委託業務は、各学校に市町村が設置している端末とインターネット接続環境を利用し、山形県基幹高速通信ネットワーク(以下、「基幹ネットワーク」という。)経由で県業務システムにセキュアにアクセス可能なネットワークを構築するとともに、各学校への展開を行うものである。構築にあたっては、各学校の端末やインターネット接続環境について事前に十分な調査を実施した上で、全ての学校が接続可能なように適切なネットワーク設計を行うこと。また、多種多様な環境にある各学校において遅滞なく接続するための様々な接続パターンやＱ＆Ａを網羅した接続手順書及び操作マニュアル(以下、「マニュアル」という。)を作成すること。更に、各学校へのネットワーク展開前に説明会を開催し学校事務職員への十分な情報提供、接続試験期間中の問合せ対応や接続不良校への対策作業等の導入支援作業も業務委託内容となる。また、保守運用管理にあたっては、ネットワークを適切に維持するために、ネットワーク機器の維持保守管理を行うとともに、県からの問い合わせ対応等ネットワークの運用保守管理業務を行うこと。3(1) ネットワークシステムの構築及び接続支援構築するネットワークシステムの概要は以下のとおり(全体構成図)学校に市町村が設置している端末とインターネット接続環境を利用し、基幹ネットワーク経由で県業務システムサーバへのアクセス環境を構築する。インターネットを介した学校端末から基幹ネットワークへの通信には SSL-VPN 装置を導入しSSL-VPN通信を採用することで、セキュアで安全な通信経路を確立する。SSL-VPN 通信を確立する際の認証は電子証明書を利用した認証方式とし、電子証明書は物理デバイス(USB トークン)にセキュアに格納することで PIN 番号(暗証番号)と物理デバイス(USB トークン)による二因子認証の仕組みを採用する。電子証明書の発行や失効管理はPKIプライベートCAサーバを構築し証明書を管理し、SSL-VPN装置と連携し証明書の登録・失効管理を実施すること。SSL-VPN 装置を配備するインターネット系セグメントからは、LGWAN 接続系セグメントに配備された県業務システムサーバへ直接アクセスできない。このため、LGWAN 接続系セグメントにデスクトップ仮想化基盤を導入し、学校端末がSSL-VPN通信の確立後、デスクトップ仮想化基盤で稼働するWindows Serverのリモートデスクトップ機能経由で県業務システムを利用できる構成とする。 なお、県業務システムはクライアント OS を Windows とする仕様であるため、デスクトップ仮想化基盤上のリモートデスクトップ機能は、Windows Server のリモートデスクトップサービスによって実現することを想定している。必要となる仮想サーバ等をデスクトップ仮想化基盤に構築すること。利用にあたっては極力、クライアントにソフトをインストールすることなく、既存のWebブラウザ(主にMicrosoft Edge)のみでの利用が可能なこと。なお、② 構築作業要件 の「(参考)各学校の端末・インターネット接続環境の概要」の内容に基づき、利用ユーザ数は350、同時利用可能ユーザ数は150を想定している。4① 導入機器ネットワークシステム構築のために受託者が導入する機器及び数量等は次のとおりとする。＜県が買取とし保守が必要な物品＞ ※ 保守サービスレベルは平日の日中時間帯(9:00～17:00)とするア SSL-VPN装置(１式)・ SSL-VPN接続機能を提供できること。・ SSL-VPN接続時に、端末のOSの種類やバージョン、セキュリティ対策ソフトの種類やウィルス定義ファイルの更新日付等で接続可否を管理できること。・ SSL-VPN 接続時に発生したキャッシュやダウンロードファイルを接続終了時に一括して削除させることで情報漏えいを防止する機能を有すること。・ 電源ユニット等の搭載部品について冗長化構成が可能であること。・ 委託期間中有効なSSL用サーバ証明書を購入すること。・ その他の仕様は「別紙１ SSL-VPN装置仕様」のとおり。イ PKIプライベートCAサーバ(１式)・ 自組織内で認証局の運営・管理機能を提供できること。・ 証明書の要求・作成・失効・有効期限切れまでの証明書ライフサイクル全体を管理できること。・ 認証局は厳重に管理できる機能を有すること。例えば、管理者の利用は専用のUSBトークンを利用し二因子認証以上の認証を経て許可されること。・ 管理者の操作履歴は全て記録され削除できないこと。・ 現環境で発行された証明書を継続利用できるようにするため、導入に際しては現在稼働中のPKIプライベートCAサーバ(JCCH・セキュリティ・ソリューション・システムズ社製「Gleas」)からの証明書データ移行をおこなうこと。・ その他の仕様は「別紙２ PKIプライベートCAサーバ仕様」のとおり。ウ デスクトップ仮想化基盤(１式)・ Windows Serverのリモートデスクトップサービスによるリモートデスクトップ機能を提供できること。なお、Windows Serverについては、適宜ウィルス対策を施すこと。・ 電源ユニット等の搭載部品について冗長化構成が可能であること。・ その他の仕様は「別紙３ デスクトップ仮想化基盤仕様」のとおり。エ ネットワークセキュリティパッケージ(１式)・ ログ監視サービスを提供できること。・ ログ監視サービスに対応するために必要なUTMおよびライセンスを提供すること。・ UTM故障時、現地対応による保守を行えること。・ その他の仕様は「別紙４ ネットワークセキュリティパッケージ仕様」のとおり。＜県が買取とし保守が不要な物品＞オ USBトークン(50本)・ USB 端子を有し、電子証明書を格納でき高度な暗号アルゴリズムによる認証機能を有し5ていること。・ 耐タンパー性を有し、米国FIPS 140-2Level3認証を取得している製品であること・ RSA公開鍵暗号方式について2048ビット鍵長に対応していること。また楕円曲線暗号方式にも対応が可能なものであること。・ 端末のOSがWindows 11の場合、ミドルウエアやドライバ等のソフトウェアは自動でインストールされること。・ 本件で導入する認証局との連携が可能なこと。・ 現在県が保有するSafenet eToken5110と互換可能であること② 構築作業要件主な作業要件は下記のとおり。ア 事前調査学校の端末・インターネット接続環境、県業務システムのネットワーク設計情報等について事前調査を行うこと。・ 調査の実施は県が行うが、調査票の作成や調査結果の集計・分析作業を行う・ 調査の結果、端末やインターネット接続環境に問題がある場合には解決策を提示すること(問題を解決するための設定変更費用は県の負担を予定している)・ 調査や問題解決のために学校(現地)での作業を行うこともある(参考)各学校の端末・インターネット接続環境の概要なお、当該情報は全学校の一部についての情報であり、これら以外の環境もあることが考えられるので留意すること。項目 摘要 備考接続予定学校数 約 310 校(山形県内の全市町村立小中学校)Ｒ６.４.１ 時点。対象OS Windows 11対象ブラウザ Microsoft Edgeセキュリティ対策ソフト TrendMicro ウィルスバスターMcafee アンチウィルスFsecure Client SecuritySymantec Endpoint ProtectionNOD32 AntiVirusDoctor Web AntiVirusMicrosoft Security EssentialsWindows Defenderインターネット接続環境 ・学校独自に民間プロバイダと契約・公共LAN(役場等の拠点まではフレッツVPN等の事業者通信網、自治体整備の光回線等により接続)6イ 認証方式の詳細検討認証方式は二因子認証以上を予定しているが、詳細は県と協議して決めること。ウ SSL－VPN ネットワーク及びデスクトップ仮想化基盤の設計、機器の導入及び設定、基幹ネットワークとの接続上記ア、イを踏まえ、全ての学校が接続可能なネットワーク及びデスクトップ仮想化基盤の設計を行い、必要となる機器を調達し、所要の設定を施したうえで基幹ネットワークへ接続する。設計及び接続にあたっては県情報主管課及び基幹ネットワーク運用管理業者と事前に十分な協議を行い、基幹ネットワークに大きな変更をあたえないようにすること。基幹ネットワークの変更が必要となる場合、基幹ネットワーク運用管理業者による変更作業費用は受託者が負担する事。なお、機器は県が指定する場所へ設置し、県が提供する基幹ネットワーク機器のポートへ接続(結線)を行うこと。設置・接続に際して必要なLANケーブルは受託者が用意するものとする。エ SSL－VPN ネットワーク及びデスクトップ仮想化基盤のテスト上記ウの設計に基づき、構築したネットワーク及びデスクトップ仮想化基盤について接続テスト、セキュリティ要件テスト等を行うこと。オ 関係者との連携必要に応じて県業務システム主管課や関係事業者と調整し本業務を遂行すること。カ 簡便な運用管理環境の構築ネットワークシステムの監視作業は県職員が行う可能性がある。専門知識を有しない職員でも監視や障害の発見・対応が可能な環境及び業務フローを構築すること。キ 進捗管理下記の方針に基づいた進捗管理を行うこと。・ 進捗報告会を定期的に開催すること。開催後は速やかに議事録を作成、提出し、活動内容や進捗状況、課題・解決方法などを共有すること。 頻度については関係者の合意に基づき、開発の各フェーズで適宜見直すものとする。・ 進捗状況を的確に把握するため進捗管理表及び課題管理表を作成し、進捗報告会等において定期的に報告すること。・ 喫緊の問題が発生した場合などは、状況を把握したうえで適宜報告すること。・ 障害発生時及び緊急事態に備えた連絡体制を整備し、システム開発・保証期間中に委託業務の遂行上問題・事故等が発生した場合、受託者は速やかに県に報告すること。 なお、実際には接続試験の状況等により変わる場合がある。(2) ネットワーク機器の維持保守管理及びネットワークの運用保守管理① ネットワーク機器の維持保守管理等ア ネットワーク機器の維持保守管理(1)の②により導入した機器について、維持及び保守管理を行うこと。なお、保守管理する機器について、ハードウェアの保守サービスレベルは平日の日中時間帯(9:00～17:00)とする。また、機器一覧内のSSL-VPN装置について委託期間中、有効なSSLサーバ証明書を適宜購入し配備すること。イ ネットワーク機器の設定基幹ネットワークの構成変更が発生した場合等、県からの依頼に基づいてネットワーク機器の設定変更に必要な設計・設定を適宜実施すること。ただし、大規模な変更となる場合、対応について県と受託者が別途協議すること。② 運用保守管理以下の要件に基づき、運用保守管理業務を実施すること。なお、ネットワークシステムは下記ウ、エで対応している間を除き、原則 24 時間 365 日稼働させるものとする。ア 問合せ対応県からの問合せに対応すること。対応する時間は原則、県庁舎開庁日の開庁・時間(08:30～17:15)とする。(小中学校からの直接の問合せ対応は予定していない)イ 小中学校現地対応問合せ対応の内、小中学校での動作不具合について必要に応じ、小中学校を訪問しての対応を行うこと。対応に際しては、県が事前に対象の小中学校と協議して決定した日程等に基づいて行うこと。ウ 障害復旧作業維持保守管理対象機器に障害が発生した場合、原則として障害の発見又は連絡受付(障害把握)から概ね4時間以内に技術者が対応を開始し、障害把握後概ね8時間以内に障害を復旧すること。ただし、ハードウェア障害等の事由のため復旧に時間を要する場合は、対応を県と協議すること。対応する時間は原則、県庁舎開庁日の開庁時間(08:30～17:15)とする。ただし、ネットワークが機能しなくなる等の重大な障害が発生した場合または発生が見込まれる場合は速やかに対応すること。エ 計画停止対応作業年１回程度予定している県庁舎電源設備点検時に機器の停止、起動作業を行うこと。オ ネットワーク変更支援学校側のネットワーク環境に変更が発生した場合の相談対応、接続支援を行うこと。カ セキュリティ対策9定期的に維持保守管理対象機器のセキュリティ情報等を入手し、ネットワークへの影響度を調査し、県とセキュリティパッチの適用についての検討を行うこと。県が必要と判断した場合にはパッチの適用を行うこと。キ ログ監視サービスログ監視サービスにより常時システムの稼働状況等について監視すると共に、インシデント発生時には速やかに対応を行うこと。また、UTM故障時には必要に応じて現地より保守を行うこと。５ 導入スケジュール県で予定している導入スケジュールは次のとおり。詳細は県と協議して決めること。No. 作業概要 実施時期1 SSL-VPNネットワークの構築 契約締結から 令和７年10月中旬 まで2 説明会の開催 令和７年10月下旬 から 令和７年11月末 まで3 小中学校接続試験 令和７年11月 から 令和７年12月末 まで4ネットワークシステム経由での県業務システムの利用及び運用保守令和８年１月 から令和12年３月末まで６ 受託者の要件・ 本委託業務を行う受託者は、次の要件を満たしていること。情報セキュリティマネジメントシステム適合性評価制度に関してJIS Q 27001(ISO/IEC27001)の基準に適合することによる認証を受けていること。・ 国、都道府県又は地方自治法第 252 条の 19 第 1 項に規定する指定都市において、USBトークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が350以上の規模を指す。)の設計及び構築を履行した実績があること。・ 国、都道府県又は地方自治法第252条の19第1項に規定する指定都市において、デスクトップ仮想化基盤を利用した仮想デスクトップ機能を提供するシステム(システムを利用するユーザ数が350以上のものに限る。)の設計及び構築を履行した実績があること。・ 過去５年以内に国、都道府県又は地方自治法第 252条の 19第1 項に規定する指定都市において、USB トークンを利用した本委託業務と同等のネットワークシステム(システムを利用するユーザ数が 350 以上の規模を指す。)の運用保守管理業務を受託した実績があること。・ 過去５年以内に国、都道府県又は地方自治法第 252条の 19第1 項に規定する指定都市において、デスクトップ仮想化基盤を利用したリモートデスクトップ機能を提供するシステム(システムを利用するユーザ数が 350 以上のものに限る。)の運用保守管理業務を受託した実績があること。７ 成果品(1) 成果品の内容受託者は、本委託業務に関する成果品の内容、体裁及び数量について、県と協議し、その承認を受けたのち、指定された様式等で作成すること。10なお、成果品の内容、体裁及び数量について、現在想定している内容は下記のとおり。また、下記成果品を更新する場合、更新箇所を明示して、更新後のドキュメントを作成すること。① 構築資料(紙媒体で一式、電子ファイルで一式)ア 操作マニュアル・ USB トークンの取扱い、SSL-VPN 接続方法、障害発生時の対応方法等が記載されていること。イ 運用管理マニュアル・ システム監視方法、障害発生時の運用、セキュリティ運用等が記載されていること。ウ 各種設定資料・ ネットワーク構成図・ 導入機器構成・諸元・ ラック設置図・ 各種設定情報・ 各種テスト仕様書・ 各種テスト結果報告書エ 説明会用資料・ 説明会で利用する講師用スライドやテキスト等オ 接続試験支援時の資料・ 問合せ対応票等・ 接続支援時に作成した資料等カ 仕様確認・進捗報告資料・ 打合せ議事録・ プロジェクト進捗管理表② プロジェクト計画書(紙媒体で一式、電子ファイルで一式)作業に先立ち以下の事項等を記載したプロジェクト計画書を提出し、県の了解を得ること。・ 基本方針(ネットワーク機器の更新業務の目的、受託者の責任範囲、遵守すべきルール等)・ 作業工程とスケジュール(ネットワーク機器の更新作業手順等を含む)・ 業務実施体制(統括責任者、チームリーダー、情報取扱責任者等)・ 進捗情報の確認方法(定例会議の開催間隔、報告内容等)・ 記録管理の方法(議事録、課題管理票等の承認者と様式等)・ 成果品③ 運用保守管理事業計画書運用スケジュールや体制、作業内容等を記載した事業計画書を提出すること。④ 運用保守管理報告書(紙媒体で一式、電子ファイルで一式)ア 運用状況報告運用状況の報告を行うこと。 イ 改善策提案必要に応じて、運用上の課題事項の抽出及び改善策の提言等を行うこと。ウ 操作マニュアルの改訂11システムの操作マニュアル(別添「市町村立学校向け県業務システム接続用ネットワーク接続操作マニュアル」)について、運用による変更が生じた場合は改訂版を作成すること。(2) 納入期日① 構築資料県と協議のうえ、県が指定する期日までに納入すること。また、当該資料を更新した場合は、随時納入すること。② プロジェクト計画書契約後速やかに提出すること。③ 運用保守管理事業計画書令和７年12月末(令和８年１月１日より運用開始を想定)④ 業務完了報告書ア 運用状況報告当月の業務完了報告書を翌月の10日までに納入すること。ただし、令和12年3月分は令和12年3月31日までに提出すること。イ 改善提案随時(3) その他上記のほか、必要な書類等については、県と協議して定めるものとする。８ その他特記事項・ 委託業務の作業場所及び業務の実施に必要な一切の設備・機器等については、県から別途指示がない限り、受託者の責任において確保すること。・ 本契約期間終了後に本業務で構築した SSL-VPN ネットワーク等の運用保守管理を受託する事業者がいる場合は、次期受託事業者へ運用保守管理等に係る引継ぎ等を行うこと。・ 受託者は、本仕様書の解釈、本仕様書に定めのない事項又は本委託業務の実施に必要な詳細事項に関する疑義が生じたときは、遅滞なく県と協議して定めるものとする。・ 本業務の遂行にあたっては「山形県情報セキュリティポリシー」を遵守すること。・ 県庁舎及び学校において作業を行う場合は、「山形県庁内管理規則」等の県庁舎等管理に係る規定を遵守し、場所の使用に係る一切の事項について県の指示に従うとともに、業務従事者の品位の保持に努めること。12別紙１ SSL-VPN装置仕様(物理) 19インチサーバラック(EIA規格)に搭載可能な1Uサイズ以下のラックマウント型であること。 サービス用ネットワークインターフェースとして、1000BASE-T に対応するポート(コネクタ形状はRJ-45)を1ポート以上有していること。 スループットが1Gbps以上であること。 ハードウェアの動作状態を LCD/操作パネル、または SSH、GUI によってモニタリングする機能を有すること。またこれを利用してハードウェア電源管理、管理用 IP アドレスの設定が可能なこと。 管理用インターフェースとして1000BASE-Tポート(コネクタ形状はRJ-45)、シリアルコンソールおよびWebインターフェースを有すること。 電源ユニットが冗長化されていること。 サービス用とは別に管理用インターフェースに対し、デフォルトゲートウェイが設定できること。 SSLサーバ証明書をバックアップファイルに含められること。 バックアップファイルからリストアすることにより、SSLサーバ証明書も復元できること。 設定アーカイブを暗号化可能であること。 設定ファイルの入出力として、下記のいずれか１つ以上の方法に対応していること。 アーカイブファイルとしてのインポート/エクスポート テキストファイルとしてのインポート/エクスポート 機器自体のディスクに保存されたファイルからのインポート/エクスポート Web GUIからのインポート/エクスポート CLIを利用したインポート/エクスポート 機器に対応が必要な異常が発生した場合、SNMP及びメールで警告を送信できること。 マルチテナント等の環境で、接続対象サーバの IPアドレスが重複する環境でも、サーバの IPアドレスを変更することなく、対応が可能なこと。 複数のルーティングテーブルを保持できること。 3台以上の機器間で設定の同期が可能なこと。 同時に150ユーザの接続に対応できること。 クライアント環境としてWindows、macOS、Linux、Android、iOSのOSに対応すること。 SSL-VPN接続の際に、ユーザID / パスワードだけでなく、クライアントデバイスのOSの種類やバージョン、セキュリティソフトの種類やウィルス定義ファイル更新日付、クライアントデバイスの持つ固有の ID や、予め管理者が配布したファイルが指定のディレクトリに配置されていることなどを確認して、接続可否を管理できること。 アクセス方式として、トンネルモード、リバースプロキシ方式による内部Webアプリケーションへの接続、ブラウザベースのRDP接続をサポートすること。これらのリソースに対してユーザ/グループ毎に接続可否の設定が可能であること。 SSL-VPN通信時にはインターネットやローカルネットワークとの接続を遮断できること但し、ローカルネットワーク内でもプリンター等のリソースへのアクセス許可は可能とするなどの柔軟な設定が可能なこと13 Windowsクライアントの場合には、クライアントと SSL-VPNのトンネル内でデータ圧縮などを用いた高速通信が可能であること。 認証、クライアントチェック、利用環境定義などの接続ポリシーを管理者がGUIで設定可能であること。 LDAP等の認証サーバと連携して、内部サーバに対してシングルサインオンが可能なこと。 IPv6でのサービスにも対応すること ネットワーク遅延の影響を低減するため、同一筐体にてWAN最適化機能を提供する仕組みを提供可能であること。 導入後の追加的な要件に柔軟に対応できるよう、スクリプトベース(TCL 等)で動作のカスタマイズが可能であること。14別紙２ PKIプライベートCAサーバ仕様(認証局について) 自組織内部でのプライベート認証局の運営を前提とする。共用サービス(マネージド)型の認証局は不可。 認証用クライアント証明書といったエンドエンティティ向け電子証明書のライフサイクル管理(ユーザ登録、証明書発行、失効／有効期限管理)ができる製品であること。 発行済み証明書の失効や有効期限到達における再発行の際に、ライセンスなどの再購入コストが発生しないこと。 証明書の失効確認は、失効リスト(CRL)、及びオンライン証明書状態プロトコル(OCSP)に対応するものであること。 暗号の2010年問題に対応可能なものであること(RSA鍵長2048bit以上、ダイジェストアルゴリズムSHA-2に対応可能なもの)。また、楕円曲線暗号にも対応すること。 システム内で、認証局の追加が可能なこと。これは認証局の筺体を増やすことを意味するのではなく、筺体内部で論理的に複数の認証局を持てるということを指す。 万単位の証明書管理に対応できること。規模に応じてハードウェアの拡張・変更はあってもよいが、その場合には既存のデータを継続利用できること。 認証局の秘密鍵の生成・保護に専用装置(Hardware Security Module)を使うとなった場合にも対応が可能なこと。  発行されたクライアント証明書は以下デバイスでの利用が可能なこと。 パソコン：Windows、macOS スマートデバイス：iPhone / iPad、Android、Windows 10タブレット 認証デバイス：USBトークン、ICカード Windowsドメイン用のユーザ証明書、コンピュータ証明書の発行が可能なこと。(管理機能について) 認証局の管理操作はWEB GUIでおこなえること。また、日本語に対応していること。 管理画面へのログインは、多要素認証による高セキュリティな方法を採用していること。 管理者によるユーザアカウント登録と証明書発行は、以下の対応が可能なものとする。 WEB GUIによる逐次登録・発行 CSVファイルアップロードによる一括登録・発行 ディレクトリサービス(LDAP/Active Directory)からの一括登録・発行 外部システムとのAPI連携による登録・発行 証明書の発行プロファイルは、テンプレートなどのしくみにより管理者が容易に操作できること。 発行した証明書について、PKCS#12フォーマットでのダウンロードが可能なこと。 証明書失効に関し、失効リスト(CRL)の更新は失効時自動更新でも手動更新でも可能なこと。 多様な条件でのユーザアカウントや証明書の検索が可能なこと。また検索結果はファイル出力が可能なこと。15 証明書の発行や有効期限の到達を、利用者や管理者に通知する機能を有すること。 単独管理者による運用も、複数管理者による合議制操作(デュアルコントロール)も可能なこと。 USB トークン・IC カードといった認証デバイスへの証明書インポート機能があること。また、それら認証デバイス情報の管理機能を有すること。 管理者操作ログなどの監査機能を有すること。(その他) 認証局はアプライアンス提供で、かつWindowsベースのものではないこと。 アプライアンスのハードディスクや電源ユニットは冗長化されていること。 機器障害に備え、ユーザデータ、証明書データ、設定情報等のデータバックアップ機能を有していること。 障害により本サーバが停止しても、SSL-VPN 装置を経由した業務システムの利用には直ちに影響がないような構成とすること。16別紙３ デスクトップ仮想化基盤仕様(物理)(機器等数量について) ハードウェア デスクトップ仮想化基盤用サーバ : 2台 デスクトップ仮想化基盤用ストレージ装置 : 1台 L2スイッチ : 1台 無停電電源装置 : 1台 コンソールユニット : 1台 コンソールスイッチ : 1台 ソフトウェア オペレーティングシステム : 1式 Officeソフト : 1式(ハードウェアの仕様について)1. デスクトップ仮想化基盤用サーバ・ 19 インチサーバラック(EIA 規格)に搭載可能な 1U サイズ以下のラックマウント型であること。・ ハードウェアの動作状態を LCD/操作パネル、または SSH、GUI によってモニタリングする機能を有すること。またこれを利用してハードウェア電源管理、管理用IPアドレスの設定が可能なこと。・ 下記のプロセッサに関する仕様をすべて満たしていること。 Intel Xeon Goldプロセッサ5416 2.0GHz(コア数16) CPUを2基搭載していること。 1プロセッサあたり、L3キャッシュメモリとして、24MB以上を搭載していること。・ 下記のメモリに関する仕様をすべて満たしていること。 デュアルランクレジスタ付きDIMM (RDIMM) DDR4 2666MHz以上のメモリ を計128GB以上搭載していること。 RDIMMメモリを最大768GB以上搭載可能であること。 空きメモリスロットを16スロット以上有していること。・ CD/DVD-ROMの読み取りが可能な本体内蔵型CD/DVDドライブを有すること。・ 下記のディスクドライブに関する仕様を全て満たしていること。 本体内蔵型ハードディスクドライブ(12Gb SAS以上に対応した2.5型10krpm以上のドライブ)であること。 RAID1構成時(スペア1台)において300GB以上の記憶容量を確保していること。 2GB 以上のフラッシュバックアップ式書き込み/読み込みキャッシュを有するハードウェアRAIDコントローラを有していること。 ディスクドライブ障害発生時にサーバ本体の電源を切断することなく、電源を入れたままの状態で交換が可能であること。 ディスクドライブスロットを標準8スロット以上有していること。17・ ネットワークインターフェースとして、10BASE-T/100BASE-TX/1000BASE-Tに対応するポート(コネクタ形状はRJ-45)を4ポート以上有していること。・ デスクトップ仮想化基盤用ストレージ装置との接続用に、下記の仕様を満たすファイバチャネルホストバスアダプターを有していること。 32Gb/s の ポートを搭載した ファイバチャネルホストバスアダプター を2枚搭載していること(マルチパス構成、コネクタ形状はDual-LCコネクタであること)。・ 下記のインターフェースを有すること。 PS/2又はUSBキーボードインターフェース PS/2又はUSBマウスインターフェース モニターインターフェース USB 2.0/3.0インターフェース リモート管理用として、前述のネットワークインターフェースとは独立したインターフェース(コネクタ形状はRJ-45)・ 下記の電源ユニットに関する仕様を全て満たしていること。 電源ユニットが冗長化されており、ユニットの障害時にサーバの電源を停止することなくユニットの交換が可能なこと。 電源ユニットは、100V電源及び200V電源で動作すること。 消費電力は、筐体1台当たり最大505W以下であること。・ 下記のオペレーティングシステムでの動作をサポートしていること。 Windows Server 2025・ 付属品または添付品として下記を有すること。 ケーブル長 2m以上の C13電源コード(コンセント側プラグ形状は 100V用 NEMA5-15P、プラグ形状を変換するためのアダプタが必要な場合は変換アダプタを添付すること) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要なスライド式ラックレール及び部品 ケーブル長2m以上のファイバチャネルケーブル(デスクトップ仮想化基盤用ストレージ装置と前述のファイバチャネルホストバスアダプターとの接続用、両端にLCコネクタが付いていること)2. デスクトップ仮想化基盤用ストレージ装置・ 19 インチサーバラック(EIA 規格)に搭載可能な 2U サイズ以下のラックマウント型であること。・ 下記のコントローラ及びキャッシュに関する仕様を全て満たしていること。 デュアルコントローラ構成であること。 コントローラあたり、読み込み/書き込みデータキャッシュとして利用可能な8GB以上のキャッシュメモリを備えていること。 時間制限のないキャッシュのバックアップが可能なこと。・ 下記のディスクドライブに関する仕様を全て満たしていること。  SAS 2.5型 SSD 複数台構成の RAID6 (スペア2台) による 実効5.76TBの領域を確保できること。 ディスクドライブ障害発生時にサーバ本体の電源を切断することなく、電源を入れたままの状態で交換が可能であること。18 ディスクドライブスロットを標準24スロット以上有していること。・ 下記の性能及び機能に関する仕様をすべて満たしていること。 最大325,000IOPS以上の性能を有すること。 64以上のスナップショットを取得可能であること。 SSDボリューム、HDDボリュームの混在が可能なこと。 筐体障害対策として筐体間コピーの機能を有すること。・ 下記のホストインターフェースに関する仕様をすべて満たしていること。 コントローラあたり 4 ポート以上の 16Gb FC ポートを備えていること。また、別途SFP+トランシーバーが必要な場合は全てのポートに用意すること。 最大4台のサーバと直接接続によりデュアルコントローラーマルチパス構成が可能であること。・ ストレージのマルチパスについて、OSが提供する標準冗長パス機能での構成が可能であること。・ 下記の電源ユニットに関する仕様を全て満たしていること。 電源ユニットが冗長化されており、ユニットの障害時にサーバの電源を停止することなくユニットの交換が可能なこと。 電源ユニットは、100V電源及び200V電源で動作すること。 消費電力は、最大450W以下であること。・ 付属品または添付品として下記を有すること。 ケーブル長 2m以上の C13電源コード(コンセント側プラグ形状は 100V用 NEMA5-15P、プラグ形状を変換するためのアダプタが必要な場合は変換アダプタを添付すること) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要なスライド式ラックレール及び部品3. L2スイッチ・ 19 インチサーバラック(EIA 規格)に搭載可能な 1U サイズ以下のラックマウント型であること。・ 下記の性能及び機能に関する仕様をすべて満たしていること。 48Gbps以上のスイッチ容量を有していること。 最大で35Mpps以上のパケット処理能力を有すること。 8000以上のMACアドレスに対応可能であること。 IEEE802.3ad Link Aggregation Protocol (LACP)に対応していること。 IEEE802.1q VLANタギング機能に準拠していること。 SNMP による管理機能を有すること。また、トラフィック管理のための RMON 機能を有していること。・ 下記のネットワークインターフェースに関する仕様を全て満たしていること。 10BASE-T/100BASE-TX/1000BASE-T に対応するポート(コネクタ形状は RJ-45)を 24 ポート以上有していること。 Gigabit Ethernet SFPポートを2ポート以上有すること。・ 下記の電源ユニットに関する仕様を全て満たしていること。 電源ユニットは、100V電源で動作すること。 消費電力は、最大20W以下であること。19・ 付属品または添付品として下記を有すること。 100V用電源コード(コンセント側プラグ形状は100V用NEMA5-15P、プラグ形状を変換するためのアダプタが必要な場合は変換アダプタを添付すること) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要な部品4. 無停電電源装置・ 19 インチサーバラック(EIA 規格)に搭載可能な 2U サイズ以下のラックマウント型であること。・ 入力側の電圧は単相100Vで、プラグ形状はNEMA L5-30Pであること。・ 出力側として NEMA 5-15R のコンセントを 6 つ以上有すること。また、入力側プラグ形状が NEMA L5-30P のパワーディストリビューションユニットを付属品として使う場合は、NEMA L5-30Rのコンセントを1つ以上有すること。・ 2250W以上の最大出力容量を有すること。・ 下記の性能及び機能に関する仕様をすべて満たしていること。 停電時、最大出力で3分以上の電力供給が可能であること。 低電圧及び過電圧状態を調整できる機能を備えていること。 セルフテストにより、無停電電源装置の動作異常やバッテリ電圧の低下等を確認することが可能であること。 動作状態をLCD/操作パネルによってモニタリングする機能を有すること。 ネットワーク経由で無停電電源装置の電源切断及び電源投入を行えること。 ネットワーク経由で無停電電源装置のセルフテストの実行、スケジュール管理を行えること。・ 下記のバッテリに関する仕様をすべて満たしていること。 本体内蔵型であること。 装置の電源を切断することなく、電源を入れたままの状態でバッテリの交換が可能であること。・ ネットワークインターフェースとして、10BASE-T/100BASE-TXに対応するポート(コネクタ形状はRJ-45)を1ポート以上有していること。・ 停電発生時にサーバをネットワーク経由で自動シャットダウンするために必要なオプションおよびソフトウェアを有すること。・ 付属品または添付品として下記を有すること。 合計16口のコンセントを提供可能なパワーディストリビューションユニット(入力側プラグ形状はNEMA L5-30P、出力側コンセント形状はNEMA 5-15R)、もしくは外付コンセントユニット(出力側コンセント形状はNEMA 5-15R) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要なスライド式ラックレール及び部品5. コンソールユニット・ 19 インチサーバラック(EIA 規格)に搭載可能な 1U サイズ以下のラックマウント型であること。・ ディスプレイ部分に関する下記の仕様を全て満たしていること。 18.0インチ以上のTFTフラットパネルであること。20 解像度1600×1200以上の入力解像度に対応していること。 ディスプレイバックライトが、ディスプレイ部を閉じたときに自動消灯し、開いたときに自動復帰するものであること。・ キーボード部分に関する下記の仕様を全て満たしていること。 日本語版106キー配列(OADG109準拠含む)であること。 タッチパッド又はトラックボールのいずれか(本体内蔵型)を備えていること。・ 下記のインターフェースを有すること。 VGAインターフェース PS/2又はUSBキーボードインターフェース PS/2又はUSBマウスインターフェース・ 下記の電源ユニットに関する仕様を全て満たしていること。 電源ユニットは、100V電源及び200V電源で動作すること。 消費電力は、最大50W以下であること。・ 付属品または添付品として下記を有すること。  C13 電源コード(コンセント側プラグ形状は 100V 用 NEMA5-15P、プラグ形状を変換するためのアダプタが必要な場合は変換アダプタを添付すること) PS/2又はUSBケーブルもしくはその両方(キーボード/マウス接続用) VGAケーブル(ディスプレイ接続用) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要なスライド式ラックレール及び部品6. コンソールスイッチ・ 19 インチサーバラック(EIA 規格)に搭載可能な 1U サイズ以下のラックマウント型であること。・ 下記のインターフェースを有すること。 モニターインターフェース PS/2又はUSBキーボードインターフェース PS/2又はUSBマウスインターフェース・ サーバ側インターフェースとしてのポート(コネクタ形状は RJ-45)を 8 ポート以上有していること。・ 下記の電源ユニットに関する仕様を全て満たしていること。 電源ユニットは、100V電源及び200V電源で動作すること。 消費電力は、最大50W以下であること。・ デスクトップ仮想化基盤用サーバ及びコンソールユニットとの接続ができるよう、接続用ケーブル及び接続用インターフェースアダプタを用意すること。・ 付属品または添付品として下記を有すること。 C13 電源コード(コンセント側プラグ形状は 100V 用 NEMA5-15P、プラグ形状を変換するためのアダプタが必要な場合は変換アダプタを添付すること) 県が別に指定する19インチサーバラック(EIA規格)へサーバを搭載するために必要なスライド式ラックレール及び部品(ソフトウェアの仕様について)211. オペレーティングシステム・ オペレーティングシステムはWindows Server (バージョンは2025以降)であること。・ デスクトップ仮想化基盤用サーバ1台につき、Windows Server の仮想マシンを4台分利用可能な権利を有するCPUコア数ベース分のアカデミック版サーバライセンスを用意すること。・ 小中学校PC接続用として、Windows Serverアカデミック版ユーザークライアントアクセスライセンスを350ユーザ分、Windows RDSアカデミック版ユーザークライアントアクセスライセンスを350ユーザ分用意すること。2. Officeソフト・ Microsoft Excel (バージョンは2024以降) を導入すること。・ 350端末分が利用可能なアカデミックオープンライセンスを用意すること。22別紙４ ネットワークセキュリティパッケージ仕様(機器等数量について) ハードウェア UTM : １台 ソフトウェア UTMライセンス : 1式(ハードウェアの仕様について)1. UTM・ Gigabit Ethernet対応のWANポート(コネクタ形状はRJ-45)を1ポート有すること。・ Gigabit Ethernet対応のLANポート(コネクタ形状はRJ-45)を3ポート以上有すること。・ IP アドレス/ポート番号ベースのパケットフィルタリングによるファイアウォール機能を有すること。・ アンチウィルス、Webフィルタ、アプリケーション制御、IDS/IPS等のUTM機能を有すること。・ タグVLAN(IEEE802.1Q)の機能を有すること。・ SNMPエージェントの機能を有すること。・ GUIにより各種機能の設定等の運用管理が可能であること。・ 後述のログ監視サービスとの連携が可能な機種であること。(ソフトウェアの仕様について)1. UTMライセンス・ UTM の機能(AV/IPS/Web フィルタ/アンチスパム)を利用するためのライセンスであること。(ログ監視サービスの仕様について)・ 本調達で導入するUTMのログを収集し、セキュリティインシデントの有無や関係するイベントを監視および分析を行うこと。・ UTM のログをネットワーク経由で収集すること。ただし、ログ内容を第三者に読み取られるリスクを低減させるため、ログまたは通信を暗号化して収集すること。・ UTM のログは、データセンター内のサーバルームにあるネットワークセキュリティパッケージサービス専用の設備で収集すること。また、サービス設備があるサーバルーム並びにサーバラックは入退室と施錠の管理がされており、本業務と無関係の第三者が、無断でアクセスできないようなセキュリティ対策が施されていること。・ サービス設備があるデータセンターは、ISO/IEC27001の認証を取得しており、現在も認証が有23効であること。・ サービス設備があるデータセンターは、災害や障害発生時などの緊急時に発注者が現場の状況を迅速に確認できるよう、山形県庁から車で1時間以内に移動可能な場所に立地していること。・ 過去5年以内に地方自治体における業務実績がある、または本調達時点で業務履行中であること。・ セキュリティインシデントまたはその可能性があるイベントを検知した際は、発注者または発注者が委託する事業者が指定したメールアドレスに、24時間 365日メールで通知できること。・ セキュリティインシデントまたはその可能性があるイベント等についての分析結果をまとめた分析レポートを、サービスが提供するポータルサイト等において、発注者または発注者が委託する事業者が過去分含め任意月の分をダウンロードできるようにすること。・ 上述の分析レポートをダウンロードするポータルサイト等は、IDとパスワードによる認証制限が設けられており、認証情報を知る者以外は分析レポートを閲覧およびダウンロードできないこと。 山形県情報セキュリティ基本方針本県は、自らＩＴ社会の模範たる構成員となり、ＩＴ社会の健全な発展に寄与するとともに、本県が保有する県基幹高速通信ネットワークをはじめとする情報システム及び電子情報(以下「本県の情報資産」という。)の管理を適正に実施し、県民の権利、利益を守り、行政の安定的継続的な運営を実現するため、ここに山形県情報セキュリティ基本方針を制定する。１ 職員一人一人がＩＴ社会における模範となるよう努める。２ 適切な技術的施策を講じ、本県の情報資産に対する不正な侵入、改ざん、破壊、利用妨害などが発生しないよう、また、これが漏えいなどすることのないよう努める。３ 外部の情報資産に対して不正な侵入、改ざん、破壊、利用妨害などをすることがないよう努める。４ 本県の情報資産にセキュリティ上問題が発生した場合、その原因を迅速に究明し、その被害を最小限に止めるよう努める。５ 本県の情報資産のうち特に重要なものについては、必要なとき確実に利活用できるよう十分な備えに努める。６ 上記の活動を継続的に実施し、かつ、新たな脅威にも対応できるよう、情報セキュリティ管理体制を確立する。平成14年4月1日 施行平成20年4月1日 改正施行-1-山形県情報セキュリティ対策基準目次第１章 総則第２章 組織体制第３章 情報資産の分類と管理第４章 情報システム全体の強靭性の向上第５章 物理的セキュリティ第６章 人的セキュリティ第７章 技術的セキュリティ第８章 遵守状況の確認第９章 障害時の対応第10章 業務委託と外部サービスの利用第11章 法令遵守第12章 違反時の対応等第13章 評価・見直し第14章 例外措置第15章 実施手順第16章 委任-2-第１章 総則１．１ 目的山形県情報セキュリティ対策基準(以下「本対策基準」という。)は、山形県情報セキュリティ基本方針(以下「基本方針」という。)に基づき、本県が保有する情報資産を脅威から保護するための情報セキュリティ対策を実施するにあたっての組織体制、管理方法、遵守すべき事項及び判断基準等について基本的な事項を定めることを目的とする。１．２ 用語の定義本対策基準における主な用語の定義は以下のとおりとする。(１)情報セキュリティポリシー基本方針及び本対策基準をいう。(２)情報資産次に掲げるもので、本県が保有又は契約により使用等するものをいう。① 下記(３)から(７)に掲げるもの② ①で取り扱う情報(これらを印刷した帳票及び文書を含む。)③ ①にアクセス又は管理区域へ出入りするために用いるICカード、USBトークン及びこれらに類するもの(以下「ICカード等」という。)④ 情報システムの仕様書、ネットワーク構成図及び開発・保守に関する資料等の文書(３)パソコン等機器パソコン、モバイルノートパソコン、スマートフォン及びタブレット型コンピュータ等の機器並びにこれらに含まれる電磁的記録媒体をいう。(４)サーバ等機器情報を格納しているサーバ及びこれに含まれる電磁的記録媒体並びに通信回線装置等のネットワークを構成する基幹機器をいう。(５)電磁的記録媒体磁気ディスク、光学ディスク、磁気テープ及びフラッシュメモリ記憶装置等(スマートフォン及びタブレット型コンピュータ等の機器に含まれるものを含む。)のデータを記録・保持するための媒体又は装置全体をいう。(６)ネットワークパソコン等機器又はサーバ等機器(以下「パソコン・サーバ等」という。)を相互に利用するための通信回線網及びこれを構成する基幹機器をいう。(７)情報システムパソコン・サーバ等、電磁的記録媒体、ネットワーク、クラウドサービス(インターネット上で利用できるアプリケーション等のサービスをいう。)及びソフトウェアで構成された情報処理又は通信に用いる機器及び仕組みをいう。(８)脅威次に掲げるもの及びこれに類するもので、情報資産に係るものをいう。① 部外者等の無断侵入、窃取、不正アクセス、不正プログラム(不正かつ有害な動作を行う意図で作成された悪意のあるプログラム等をいう。)による攻撃及び標的型攻撃等の意図的要因並びに委託-3-事業者等の過失等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等② 職員等の情報セキュリティポリシーに係る違反行為等の意図的要因並びにプログラム上の欠陥、人為的ミス(誤操作、電子メールの誤送信、紛失等をいう。)及び故障等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等③ 地震、落雷及び火災等の災害並びにサービス不能攻撃等の予期しない大量アクセス等による情報システムの停止等(９)情報セキュリティ情報資産について、次に掲げるものを維持することをいう。① 機密性(Confidentiality)情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。② 完全性(Integrity)情報が破壊、改ざん又は消去されていない状態を確保することをいう。③ 可用性(Availability)情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。(10)情報セキュリティインシデント単独又は一連の脅威のうち、情報セキュリティを脅かす又はその確率が高い事象をいう。(11)職員常勤の職員をいう。(12)職員等職員、非常勤職員をいう。(13)事業継続計画自然災害等の問題発生シナリオに基づいて具体的な作業手順を定め、事業などが停止する時間を可能な限り少なくする目的で作られる管理策や計画をいう。(14) マイナンバー利用事務系(個人番号利用事務系)個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。(15) LGWAN 接続系人事給与、財務会計及び文書管理等LGWAN に接続された情報システム及びその情報システムで取り扱うデータをいう。(16) インターネット接続系インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。(17) 通信経路の分割LGWAN 接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。(18) 無害化通信インターネットメール本文のテキスト化や端末への画面転送等により、コンピューターウィルス等の不正プログラムの付着がない等、安全が確保された通信をいう。 -4-１．３ 適用範囲(１)組織の範囲本対策基準が適用される行政機関は、知事部局、教育委員会、議会事務局、選挙管理委員会、人事委員会、監査委員、公安委員会、警察本部、労働委員会、収用委員会、海区漁業調整委員会、内水面漁場管理委員会、企業局及び病院事業局(以下「各部局」という。)とする。(２)情報資産の範囲本対策基準は、各部局が管理する情報資産を対象とする。ただし、第３章以下の規定は、警察本部が管理する情報資産について、及び山形県県立学校教育情報セキュリティ対策基準が対象とする情報資産は、第６章の６．６情報セキュリティインシデントの報告及び対応等を除き適用しない。第２章 組織体制２．１ 組織・管理体制山形県デジタル化推進本部設置要綱により設置された山形県デジタル化推進本部(以下「本部」という。)を情報セキュリティポリシーに関する最高意思決定機関として、本県における情報セキュリティに係る方針を決定し、その維持及び向上を図るとともに、次の体制により情報セキュリティ対策を推進する。(１)最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」という。)副知事を、CISOとする。CISOは、次に掲げる権限と責任を有する。① 本県における情報セキュリティ対策全般に関する統括的な権限と責任を有する。② 情報セキュリティを含む情報管理全般に関する専門的な知識及び経験を有する専門家をアドバイザーとして置くことができる。③ CISOが不在の場合は、統括情報セキュリティ責任者がその権限を代行する。(２)統括情報セキュリティ責任者みらい企画創造部長を、統括情報セキュリティ責任者とする。統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① CISOを補佐する。② 情報セキュリティ責任者に対して、情報セキュリティに関する指導及び助言を行う。③ 情報セキュリティインシデント(軽微なものを除く。)が発生した場合は、CISOの指示のもと、必要かつ十分な措置を行う。(３)副統括情報セキュリティ責任者みらい企画創造部次長を、副統括情報セキュリティ責任者とする。副統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① 統括情報セキュリティ責任者を補佐する。② 情報セキュリティインシデント(軽微なものを除く。)が発生した場合において、CISO及び統括情報セキュリティ責任者が不在の場合はこれに代わり必要かつ十分な措置を行う。(４)情報セキュリティ責任者本部の本部員(以下「部局長」という。)を、情報セキュリティ責任者とする。情報セキュリティ責任者は、次に掲げる権限と責任を有する。-5-① 各部局の情報セキュリティに関する統括的な権限と責任を有する。② 各部局の情報セキュリティ管理者及び情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う。(５)情報セキュリティ管理者各所属長を、各所属における情報セキュリティ管理者とする。情報セキュリティ管理者は、各所属における情報セキュリティについて次に掲げる権限と責任を有する。① 各所属における情報セキュリティ対策に関して、適切な運用及び管理を行う。② 所管する情報資産を適正に管理するとともに、情報セキュリティポリシーの適切な運用に関して、所属する職員等に指導を行う。(６)情報システム管理者各情報システムを所管する所属の長を、情報システム管理者とする。情報システム管理者は、所管する情報システムについて次に掲げる権限と責任を有する。① 著しく不適切な利用等が認められる者がある場合は、その者の利用を制限又は停止する事ができる。② 所管する情報システムの情報セキュリティに関する維持管理を行う。③ 情報システムに関する実施手順の策定及び維持管理を行うとともに、情報主管課長と連携し、緊急時の連絡体制について利用する職員等に周知徹底を図る。(７)情報主管課長等情報セキュリティポリシーの運用を適切に実施するため、情報主管課を定めるものとし、みらい企画創造部ＤＸ推進課を情報主管課とし、同部ＤＸ推進課長を情報主管課長とする。情報主管課長は、次に掲げる権限と責任を有する。① 県としての情報セキュリティの考え方・取組みを明確にする。② 情報セキュリティポリシーに基づき、山形県として満たすべき情報セキュリティの基準を明確にし、それを実現し、維持するため、本対策基準に基づき実施手順を整備する。③ 情報セキュリティインシデントが発生した際に迅速な対応ができるよう、各部局との連携のもとに山形県としての組織体制や連絡網を確立するとともに、山形県全体の情報セキュリティ管理体制の統括事務を所掌する。④ 軽微な情報セキュリティインシデントが発生した場合は、自らの判断により必要かつ十分な措置を行うことができる。(８)山形県情報セキュリティ等監査員班統括情報セキュリティ責任者は、情報資産における情報セキュリティ対策状況について確認するため、山形県情報セキュリティ等監査員班長を指名し、山形県情報セキュリティ等監査員班を組織するものとする。(９)情報化推進・セキュリティ委員会情報セキュリティ責任者は、情報セキュリティポリシーを各部局の日常業務の中で具体的に運用するため、各部局、各総合支庁ごと情報化推進・セキュリティ委員会を組織するものとする。(10)情報セキュリティインシデント対策班(Computer Security Incident Response Team、以下「CSIRT」という。)情報セキュリティインシデントの防止に向けた取組みを行うとともに、発生時において、その状況等を正確に把握し、被害拡大の防止、復旧及び再発防止等の対策を迅速かつ的確に行うため、次に掲-6-げるところによりCSIRTの体制を整備するものとする。① 統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報主管課長及び情報主管課をCSIRTとする。② 統括情報セキュリティ責任者をCSIRT責任者、副統括情報セキュリティ責任者をCSIRT副責任者、情報主管課長をCSIRT管理者とする。③ CSIRT責任者は、情報セキュリティインシデントに対し必要かつ十分な措置をCSIRT管理者に指示する。④ CSIRT副責任者は、CSIRT責任者を補佐する。また、情報セキュリティインシデントの公表について、情報セキュリティインシデントが発生した部局(以下「インシデント発生部局」という。)に対し指示及び支援を行う。⑤ CSIRT管理者は、CSIRT責任者の指示のもと、情報セキュリティインシデントに対し必要かつ十分な措置を行う。⑥ CSIRT管理者は、情報セキュリティに関して県内市町村、関係機関及び委託事業者等との情報共有を行う。 ⑦ CSIRT管理者は、県内市町村から情報セキュリティインシデントの報告を受けた場合は、必要に応じ回復のための支援を行う。第３章 情報資産の分類と管理３．１ 情報資産の管理責任情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について管理責任を有する。３．２ 情報資産の分類情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について、別に定める実施手順に基づき、表１、表２及び表３に定める機密性、完全性、可用性に関する基準により分類を行うものとする。表１ 機密性による情報資産の分類分類 分類基準機密性３ 行政事務で取り扱う情報資産のうち、秘密文書に相当する情報資産機密性２ 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産機密性１ 機密性２又は機密性３の情報資産以外の情報資産表２ 完全性による情報資産の分類分類 分類基準完全性２ 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される、又は行政事務の適正な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産-7-完全性１ 完全性２の情報資産以外の情報資産表３ 可用性による情報資産の分類分類 分類基準可用性２ 行政事務で取り扱う情報資産のうち、滅失、紛失、又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産可用性１ 可用性２の情報資産以外の情報資産３．３ 情報資産の管理情報セキュリティ管理者及び情報システム管理者は、所管する情報資産の取り扱いについて管理方法を定め、情報資産の分類又はその内容に応じその取り扱いを制限しなければならない。また当該情報資産について、所属する職員等に対し、次に掲げるところ及び別に定める実施手順により取り扱うよう指導しなければならない。(１)取り扱い制限の遵守取り扱い制限のある情報資産を取り扱う場合は、これを遵守すること。(２)情報の秘匿情報をパソコン等機器又は電磁的記録媒体に保存する場合は、当該情報の情報資産の分類等に応じて、パスワード等による暗号化又は当該機器等の管理区域への保管等の方法によりこれを秘匿すること。(３)作成途中の情報の管理機密性２以上の情報について、作成途中であっても紛失や流出等を防止し、作成途中で不要になった場合は、これを消去すること。(４)他所属が所管する情報資産の取り扱い他の所属が所管する情報資産について、当該他所属が定めた情報資産の分類に基づき取り扱うこと。(５)情報資産の廃棄等情報資産を廃棄やリース返却等を行う場合は、次に掲げるところにより行うこと。① 当該媒体を所管する情報セキュリティ管理者又は情報システム管理者の許可を得ること。② 記録されている情報の機密性に応じ、情報資産の情報を復元できないように処置すること。③ 行った処理について、日時、担当者及び処理内容等を記録すること。３．４ パソコン等機器、電磁的記録媒体及びソフトウェアの管理(１)パソコン等機器、電磁的記録媒体及びソフトウェアの管理情報セキュリティ管理者及び情報システム管理者は、所管するパソコン等機器、電磁的記録媒体及びソフトウェアの管理について、次に掲げるところにより行うものとする。① パソコン等機器及び電磁的記録媒体の貸出及び返却について、記録を作成し保管しなければならない。-8-② ソフトウェアについて、そのライセンスを適切に管理しなければならない。また、開発元のサポートが終了したソフトウェアについては、原則として速やかにその使用を終了しなければならない。 また、緊急性及び重要性に応じて情報セキュリティ責任者に報告しなければならない。④ 情報主管課長は、情報セキュリティインシデントを認知した場合は、その状況を確認し、緊急性及び重要性に応じて統括情報セキュリティ責任者及び副統括情報セキュリティ責任者に報告を行うとともに、統括情報セキュリティ責任者の指示又は自らの判断のもと、当該インシデントに係る情報セキュリティ管理者及び情報システム管理者に対し、被害拡大防止及び復旧のための対策を指示し、又は自らこれを講じなければならない。⑤ 統括情報セキュリティ責任者は、情報セキュリティインシデントの報告を受けた場合はその状況を確認し、被害拡大防止及び復旧のための対策について情報主管課長に対し指示しなければならない。また、その内容についてCISOに報告しなければならない。(２)情報セキュリティインシデントの公表情報セキュリティインシデントについて外部公表を行う場合は、次に掲げるところにより行うものとする。① 副統括情報セキュリティ責任者は、インシデント発生部局における「山形県広報広聴事務取扱要綱」の規定による報道監(以下「発生部局の報道監」という。)に対し、外部公表に係る指示及び支援を行わなければならない。② 外部公表は、発生部局の報道監が行うものとし、その内容について副統括情報セキュリティ責任者に報告しなければならない。③ 副統括情報セキュリティ責任者は、公表した内容について統括情報セキュリティ責任者に報告しなければならない。(３)関係機関等との連携情報主管課長は、当該情報セキュリティインシデントが不正アクセス禁止法違反等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との密接な連携に努めなければならない。(４)情報セキュリティインシデントの原因究明・記録等情報主管課長並びに発生した情報セキュリティインシデントに係る情報セキュリティ管理者及び情報システム管理者は、互いに連携して当該インシデントの原因を究明するとともに、その内容、原因、処理結果等を記録し、適切に保存しなければならない。-14-(５)情報セキュリティインシデントの再発防止① CISOは、情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、統括情報セキュリティ責任者に対し再発防止策を実施するために必要な措置を指示しなければならない。② 統括情報セキュリティ責任者は、CISO の指示のもと、再発防止のための対策について情報セキュリティ責任者に対し指示し、又は自らこれを行わなければならない。また、その内容についてCISOに報告しなければならない。③ 情報セキュリティ責任者は、再発防止の対策について指示を受けた場合はこれを実施し、その内容について統括情報セキュリティ責任者へ報告しなければならない。６．７ ＩＤ及びパスワード等の取り扱い職員等は、ID、パスワード及びICカード等の取り扱いについて、次に掲げるところにより行うものとする。(１)ID及びパスワードの取り扱い① 自己の管理するＩＤ及びパスワードを、他人に利用させてはならない。② 情報システム等でやむを得ずＩＤ及びパスワードを共用利用する場合は、共用利用者以外に利用させてはならない。③ パスワードは秘密にし、パスワードを記載したメモ等を第三者が容易に閲覧できる場所に掲示等してはならない。また、業務上必要がなくなった場合は速やかにこれを廃棄しなければならない。④ パスワードは十分な長さとし、文字列は他人が容易に想像できないものにしなければならない。⑤ ID及びこれに係るパスワードが流出した、又はそのおそれがある場合は、速やかにパスワードを変更するとともに、「6.6.情報セキュリティインシデントの報告及び対応」に掲げるところにより報告等を行わなければならない。⑥ 情報システム管理者から与えられた仮のパスワード(初期パスワード含む)について、情報システムへ初めてログインした時点で変更しなければならない。⑦ パソコン等機器のパスワードの記憶機能について、情報主管課より提供された以外のものを使用してはならない。(２)ICカード等の取り扱い① ICカード等を業務上必要のない者に貸し出してはならない。② ICカード等をパソコン等機器に接続したまま離席してはならない。③ ICカード等を紛失した場合は、「6.6.情報セキュリティインシデントの報告及び対応」に掲げるところにより報告等を行わなければならない。第７章 技術的セキュリティ７．１ 機器及びネットワークの管理(１)機器及びネットワークの管理情報システム管理者は、所管する情報システムについて、次に掲げるところにより機器及びネットワークの管理等を行うものとする。① サーバ等機器に記録された情報について、当該機器の冗長化対策に関わらず、必要に応じて定期的-15-にバックアップを実施しなければならない。② 情報システムの運用において実施した作業について、作業記録を作成し適切に管理しなければならない。③ 情報システムの変更等の作業を行った場合は、作業内容について記録を作成するとともに、これを漏えいし、又は改ざん若しくは消去等されないよう適正に管理しなければならない。④ 情報システムの仕様書及びネットワーク構成図について、記録媒体に関わらず、業務上必要とする者以外の者の閲覧、紛失等がないよう、適正に管理しなければならない。⑤ 各種ログ及び情報セキュリティの確保に必要な情報を取得するとともに、これを改ざん及び誤消去されないよう必要な措置を講じた上で、一定の期間保管しなければならない。⑥ ログとして取得する項目、保存期間及び取り扱い方法等について定め、適正にログを管理しなければならない。⑦ 悪意ある第三者等からの不正侵入及び不正操作等の有無について、取得したログを必要に応じて点検又は分析しなければならない。⑧ 職員等からの情報システムに関する障害の報告及びその処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。⑨ フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等の設定情報を管理しなければならない。⑩ 不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。７．２ 外部ネットワーク等との接続(１)外部ネットワーク等との接続情報システム管理者は、所管する情報システムについて外部のネットワーク及び情報システム(以下「外部ネットワーク等」という。 )との接続を行う場合は、次に掲げるところにより行うものとする。① 基幹ネットワークを外部ネットワーク等と接続する場合は、情報主管課長の承認を得た上でこれを行わなければならない。② 接続しようとする外部ネットワーク等に係るネットワーク構成、機器構成及び情報セキュリティ技術等を調査しなければならない。③ 接続した外部ネットワーク等の管理者の瑕疵によりデータの漏えい・破壊・改ざん・消去等又は情報システムの停止等による業務への影響が生じた場合に対処するため、当該外部ネットワーク等の管理者による損害賠償責任を契約上担保しなければならない。④ ウェブサーバ等をインターネット上に公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部のネットワークとの境界に設置した上で接続しなければならない。⑤ 接続した外部ネットワーク等のセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合は、速やかに当該外部ネットワークを遮断しなければならない。７．３ 無線LANの盗聴対策情報システム管理者は、所管する情報システムにおいて無線LANを利用する場合、解読が困難な暗号化及び認証技術を使用しなければならない。-16-７．４電子メールのセキュリティ管理及び利用制限情報主管課長が所管する電子メールのセキュリティ管理及び利用制限は、次に掲げるところによるものとする。(１)電子メールのセキュリティ管理情報主管課長は、電子メールのセキュリティ管理等について、次に掲げるところにより行うものとする。① 権限のない利用者により、基幹ネットワークを経由した外部から外部への電子メールの中継処理が行われることを不可能とするよう、メールサーバの設定を行わなければならない。② スパムメール等が内部から送信されていることを検知した場合は、必要に応じてメールサーバの運用を停止しなければならない。③ 電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。④ 所管するドメインについて、外部の者により詐称されないよう送信ドメインの認証を行わなければならない。⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取込む場合は無害化しなければならない。(２)電子メールの利用制限情報システムの開発、運用又は保守等のため庁舎内に常駐している委託事業者等による電子メールアドレスの利用は原則禁止とする。ただし、業務上やむを得ないと情報主管課長が認めた場合はこの限りではない。７．５ Web会議サービスの利用時の対策Web 会議サービスの利用にあたっては、別に定める実施手順に従い、情報セキュリティ対策を実施しなければならない。７．６ ソーシャルメディアサービスの利用ソーシャルメディアサービスの利用にあたっては、別に定める実施手順を遵守しなければならない。７．７ アクセス制御(１)情報システム管理者によるアクセス制御等情報システム管理者は、所管する情報システムへのアクセス制御等について、次に掲げるところにより行うものとする。① 情報システムで取り扱う情報資産の分類又はその内容に応じ、アクセス権限を有する職員等及びその権限の内容を、必要最小限としなければならない。② アクセスする権限のない職員等がアクセスできないよう、ICカード等又はユーザID等によりシステム上制限しなければならない。③ 利用者の登録、変更及び抹消等の情報管理並びに職員等の異動、出向及び退職等に伴うユーザ IDの取り扱い等の方法を定めなければならない。④ 管理者権限等の特権を付与されたID を利用する者を必要最小限にし、当該ID及びこれに係るパ-17-スワードの漏えい等が発生しないよう厳重に管理しなければならない。⑤ 職員等の認証に関する情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。⑥ 認証情報の不正利用を防止するための措置を講じなければならない。⑦ 所管する情報システムの情報資産の分類又はその内容に応じて、適正な強度のログインパスワードを設定し、定期的に変更しなければならない。⑧ 外部のネットワークからのアクセスを認める場合、通信途上の盗聴を防御するために通信の暗号化等の措置を講じなければならない。⑨ 特権によるネットワーク及び情報システムへの接続時間を必要最小限とするよう努めなければならない。(２)職員等による外部からのアクセス等の制限情報セキュリティ管理者は、職員等による外部のネットワークからのアクセス等について、次に掲げるところにより行わなければならない。① 職員等に外部からネットワーク又は情報システムへアクセスさせる場合は、当該システムを所管する情報システム管理者の承認を得なければならない。② ネットワーク又は情報システムに対する外部からのアクセスを、これを必要とする合理的理由を有する最小限の者に限定しなければならない。７．８ システム開発・導入・保守等情報システム管理者は、情報システムの開発・導入・保守等について、次に掲げるところにより行うものとする。(１)情報システムの調達① 情報システムに係る開発・導入・保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。② 機器又はソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。(２)情報システムの開発① 開発に使用するIDを適切に管理し、開発完了後に不要となる場合は、これを消去しなければならない。② 開発に用いるハードウェア及びソフトウェアについて、情報セキュリティ上問題のないことを確認しなければならない。③ 利用を認めた以外のソフトウェアが情報システムに導入されている場合は、これを消去しなければならない。(３)情報システムの導入① 情報システムの開発、保守及びテスト環境と運用環境を可能な限り分離しなければならない。② 情報システムの開発・保守計画の策定時にシステム運用環境への移行の手順を明確にしなければならない。 ③ 移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う業務への影響が最小限になるよう配慮しなければならない。-18-④ 導入する情報システム又はサービスに求められる可用性を満たすことを確認した上で導入しなければならない。⑤ 導入する情報システム又はサービスを既に稼動している情報システムに接続する前に十分な試験を行わなければならない。またこの場合において、機密性２以上の情報を試験に使用してはならない。(４)情報システムの開発・保守に関する資料の保管情報システムの開発・保守に関する資料を適正に整備・保管しなければならない。(５)入出力データの正当性の確保① 情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列の入力を除去する機能が組み込まれるよう、情報システムを設計しなければならない。② 故意又は過失による情報の漏えい・破壊・改ざん・消去等のおそれがある場合に、これを検出するチェック機能が組み込まれるよう、情報システムを設計しなければならない。③ 情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるよう、情報システムを設計しなければならない。(６)変更管理情報システムの変更をした場合は、プログラム仕様書等の変更履歴を作成しなければならない。(７)開発・保守用のソフトウェアの更新等開発・保守用のソフトウェアを更新又はこれにパッチを適用する場合は、関連する他の情報システムへ影響を与えることがないよう、その整合性を確認しなければならない。(８)システム更新又は統合時の検証等情報システムを更新又は統合する際は、長時間停止や誤作動による業務への影響が生じないよう、更新等の前にその体制及び計画等について検証等を行わなければならない。７．９ 不正プログラム対策(１)情報主管課長による対策情報主管課長は、不正プログラム対策について、次に掲げるところにより行うものとする。① 外部ネットワーク等から送受信するファイルは、基幹ネットワークのゲートウェイにおいて不正プログラムのチェックを行い、これの基幹ネットワークへの侵入及び外部への拡散を防がなければならない。② 不正プログラムに関する情報を収集し、必要に応じ職員等に対して注意喚起を行わなければならない。(２)情報システム管理者による対策情報システム管理者は、所管する情報システムの不正プログラム対策について、以下に掲げるところにより行うものとする。① ネットワーク接続を要する情報システムにおいて、パソコン・サーバ等に、不正プログラム対策ソフトウェアを常駐させるとともに、不正プログラムのパターンファイル等を常に最新の状態に保たなければならない。② ネットワークに接続しない情報システムにおける電磁的記録媒体の使用について、使用を認めた以外のものを職員等に利用させてはならない。③ ネットワークに接続しない情報システムにおいて、不正プログラムの感染及び侵入が生じる可能-19-性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。④ 不正プログラム対策ソフトウェアを導入しているパソコン・サーバ等に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。⑤ 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。７．10 不正アクセス対策(１)基幹ネットワークの不正アクセス対策情報主管課長は、基幹ネットワークの不正アクセス対策について、次に掲げるところにより行うものとする。① 使用されていないポートを閉鎖しなければならない。② 不要なサービスについて、機能を消去又は停止しなければならない。③ 情報システムに攻撃を受けることが明確になった場合は、「5.6.情報セキュリティインシデントの報告及び対応等」に準じ、報告等及び情報システムの停止を含む必要な措置を講じるとともに、関係機関と連絡を密にして情報の収集、提供を行わなければならない。④ 基幹ネットワーク内のパソコン・サーバ等に対する攻撃及びこれらからの外部ネットワーク等に対する攻撃を監視しなければならない。(２)サービス不能攻撃対策情報システム管理者は、外部のネットワークからアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。(３)標的型攻撃対策電子メールに係る情報システムを所管する情報システム管理者は、所管するネットワークについて、標的型攻撃による不正プログラムの侵入を防止するために、自動再生無効化等の入口対策を講じなければならない。また、侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。７．11 セキュリティ情報の収集(１)セキュリティ情報の収集情報主管課長及び情報システム管理者は、セキュリティ情報の収集について、次に掲げるところにより行うものとする。① セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。② 情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認知した場合は、情報セキュリティインシデントを未然に防止するための対策を速やかに講じなければならない。(２)不正プログラム情報の収集情報主管課長は、不正プログラムに関する情報等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。-20-第８章 遵守状況の確認８．１ 情報システムの監視(１)情報システムの監視情報システム管理者は、所管する情報システムの監視について、次に掲げるところにより行うものとする。① セキュリティに関する事案を検知するため、情報システムを常時監視し、その記録を保存しなければならない。② 重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。 ８．２ 情報セキュリティポリシー遵守状況の確認(１)情報セキュリティポリシー遵守状況の確認① 情報セキュリティ管理者は、定期的又は必要に応じ所属職員等の情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかに情報主管課長に報告しなければならない。② 情報主管課長は、発生した問題について、適正かつ速やかに対処しなければならない。③ 情報システム管理者は、ネットワーク及びサーバ等機器のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的又は必要に応じ確認を行い、問題がある場合は適正かつ速やかに対処しなければならない。(２)機器等の利用状況調査情報主管課長は、不正アクセス及び不正プログラム等の確認のため、パソコン等機器、電磁的記録媒体のログ及び電子メールの送受信記録等の利用状況を調査することができる。第９章 障害時の対応９．１ 緊急時対応計画の策定情報システム管理者は、緊急時対応計画の策定について、次に掲げるところにより行うものとする。(１)緊急時対応計画の策定情報セキュリティインシデントが発生した場合において連絡、証拠保全、被害拡大の防止、影響範囲の特定、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、発生時には当該計画に従って適正に対処しなければならない。(２)緊急時対応計画に定める事項緊急時対応計画には、次に掲げる内容を定めなければならない。① 関係者の連絡先② 発生した事案に係る報告すべき事項③ 発生した事案への対応措置-21-④ 再発防止措置の策定(３)緊急時対応計画の見直し情報セキュリティを取り巻く状況の変化や組織体制の変動等に対し、必要に応じて緊急時対応計画の規定を見直さなければならない。９．２ 事業継続計画との整合県が事業継続計画を整備する場合、本部は、当該計画と情報セキュリティポリシー等の整合性を検討し、必要に応じ情報セキュリティポリシーの見直しを行うものとする。第10章 業務委託と外部サービスの利用10．１ 業務委託等情報システム管理者は、業務委託等について、次に掲げるところにより行うものとする。(１)委託等事業者の選定① 委託等事業者の選定にあたり、委託等の内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。② 情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、委託等事業者を選定しなければならない。(２)契約時のセキュリティ要件情報システムの運用等を業務委託等する場合は、委託等事業者との間で必要に応じて次の情報セキュリティ要件を契約に含めなければならない。① 山形県情報セキュリティポリシー及び実施手順の遵守② 当該事業者の責任者、委託等の内容、作業者の所属、作業場所の特定③ 提供されるサービスレベルの保証④ 当該事業者にアクセスを許可する情報の種類と範囲、アクセス方法⑤ 業務従事者に対する情報セキュリティ教育の実施⑥ 提供された情報の目的外利用及び当該事業者以外の者への提供の禁止⑦ 業務上知り得た情報の守秘義務⑧ 再委託等に関する制限事項の遵守⑨ 業務終了時の情報資産の返還、廃棄等⑩ 業務の定期報告及び緊急時報告義務⑪ 県による情報セキュリティに関する監査・検査の受け入れ⑫ 情報セキュリティインシデント発生時の県による公表に対する同意⑬ 情報セキュリティポリシーを遵守しなかったこと及び当該事業者の瑕疵による損害賠償等10．２ 外部サービスの利用(機密性２以上の情報を取り扱う場合)外部サービスの利用(機密性２以上の情報を取り扱う場合)にあたっては、別に定める実施手順を遵守しなければならない。-22-10．３ 外部サービスの利用(機密性２以上の情報を取り扱わない場合)外部サービスの利用(機密性２以上の情報を取り扱わない場合)にあたっては、別に定める実施手順を遵守しなければならない。第11章 法令遵守11．１ 法令遵守(１)法令遵守職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか、関係法令を遵守し、これに従わなければならない。① 地方公務員法(昭和25年12月13日法律第261号)② 著作権法(昭和45年法律第48号)③ 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)④ 個人情報の保護に関する法律(平成15年5月30日法律第57号)⑤ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第27号)⑥ サイバーセキュリィティ基本法(平成26年法律第104号)⑦ 山形県個人情報保護条例(平成12年10月県条例第62号)⑧ 特定個人情報の保護に関する条例(平成27年７月県条例第40号)第12章 違反時の対応等12．１ 違反時の対応及び処分等(１)違反時の処分職員等の情報セキュリティポリシーに係る違反行為が認められるときは、当該職員等は発生した事案の状況等に応じて、懲戒処分その他の処分の対象となる。(２)違反時の対応違反行為への対応は、次に掲げるところによるものとする。① 職員等は、他の職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに当該職員等が所属する情報セキュリティ管理者に報告し、適正な措置を求めなければならない。② 情報セキュリティ管理者は、所属する職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに情報主管課長及び当該違反行為に係る情報システム管理者に報告するとともに、当該職員等に是正の指導を行わなければならない。③ 情報主管課長及び当該違反行為に係る情報システム管理者は、所管する情報システムに関して職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、当該職員等が所属する情報セキュリティ管理者に通知し、適正な措置を求めなければならない。④ 情報セキュリティ管理者の指導によっても改善されない場合、情報システム管理者は、所管する情報システムについて、当該職員等の利用を停止することができる。-23-第13章 評価・見直し13．１ 情報セキュリティ監査(１)情報セキュリティ監査の実施情報セキュリティ監査は、次に掲げるところにより行うものとする。① 山形県情報セキュリティ等監査員班は、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、定期的に又は必要に応じて監査を行わなければならない。② 山形県情報セキュリティ等監査員班は、情報セキュリティ監査に係る実施要綱を定めなければならない。 ③ 被監査所属の情報セキュリティ管理者及び監査対象の情報システムを所管する情報システム管理者は、情報セキュリティ監査の実施に協力しなければならない。13．２ 自己点検(１)自己点検の実施情報セキュリティ対策に関する自己点検は、次に掲げるところにより行うものとする。① 情報セキュリティ管理者は、情報セキュリティポリシーの運用及び管理状況について、定期的又は必要に応じ自己点検を行わなければならない。② 情報システム管理者は、所管する情報システムについて、定期又は必要に応じ情報セキュリティ対策状況に関する自己点検を行わなければならない。③ 情報セキュリティ管理者及び情報システム管理者は、自己点検実施後は点検結果と改善策を取りまとめ、自己の権限の範囲内で改善を図った上で、情報主管課長に報告しなければならない。④ 情報主管課長は、報告を受けた点検結果について、情報セキュリティポリシーの見直しに活用しなければならない。13．３ 情報セキュリティポリシーの見直し本部は、必要があると認めた場合は、情報セキュリティポリシーの運用状況を確認するとともに、その結果及び情報セキュリティに係る環境の変化等を踏まえ、その見直しを行うものとする。第14章 例外措置14．１ 例外措置の許可情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合は、統括情報セキュリティ責任者の承認を得て、例外措置を講じることができる。14．２ 緊急時の例外措置-24-情報セキュリティ管理者及び情報システム管理者は、災害対応等行政事務の遂行に緊急を要し、例外措置をとることが避けられない場合は、事後速やかに統括情報セキュリティ責任者に報告しなければならない。14．３ 例外措置の記録統括情報セキュリティ責任者は、情報セキュリティ管理者又は情報システム管理者により例外措置がとられた場合は、その内容について記録し、一定期間保管しなければならない。第15章 実施手順15．１ 実施手順本対策基準に定める事項のほか、情報セキュリティポリシーの運用にあたって遵守すべき実施手順のうち情報主管課長が所管するものは、別表のとおりとする。15．２ 実施手順の公開等(１)実施手順の公開等① 実施手順は、公にすることにより本県の行政運営に重大な支障を及ぼすおそれがあることから原則として非公開とする。② 職員等以外の者がその業務の遂行上実施手順を参照する必要がある場合は、その者に対してのみこれを開示することができ、その者はこれに関して守秘義務を負うものとする。第16章 委任16．１ 情報主管課長への委任(１)情報主管課長への委任次に掲げる事項については、情報主管課長に委任する。① 県の組織に関する条例又は規則の改正に伴う本対策基準の規定の整備及び見直し② 本対策基準別表の整備及び見直し③ 本対策基準別表に掲げる実施手順の整備及び見直し附則本規程は、平成20年４月１日から施行する。附則本規程は、平成21年４月１日から施行する。附則本規程は、平成22年４月１日から施行する。附則本規程は、平成23年４月１日から施行する。-25-附則本規定は、平成28年４月１日から施行する。附則本規定は、平成29年４月１日から施行する。附則本規定は、平成31年４月１日から施行する。附則本規定は、令和２年４月１日から施行する。附則本規定は、令和３年４月１日から施行する。附則本規定は、令和４年10月25日から施行する。附則本規定は、令和５年４月１日から施行する。別表 実施手順大分類 小分類 実施手順情報資産 分類管理 情報資産の分類と管理に関する実施手順(H23.3.31(H29.4.1最終改正))電子情報の持ち出しに係る取扱基準(H20.12.1(R5.4.1最終改正))物理的セキュリティ人的セキュリティ技術的セキュリティ端末管理 情報系パソコン運用管理手順(H22.8.31(H29.11.6最終改正))イントラ情報システム山形県庁イントラ情報システム利用要綱(H20.8.14(R2.2.1最終改正))山形県庁イントラ情報システム「サービス利用者の認証」の利用手順(R2.4.1最終改正)山形県庁イントラ情報システム「電子メール」の利用手順(R2.2.1最終改正)山形県庁イントラ情報システム「インターネット」の利用手順(R4.12.22最終改正)山形県庁イントラ情報システム「文書管理」の利用手順(H26.4.1最終改正)山形県庁イントラ情報システム「共有ワークスペース」の利用手順(R2.2.1最終改正)イントラ情報システム「セキュアファイル交換」の利用手順(R2.2.1)インターネット接続に係る特定通信の利用手順(R2.2.1)-26-仮想ＰＣ運用管理手順(R2.2.1)ネットワーク管理山形県基幹高速通信ネットワーク外部機関利用要綱(H16.9.10(R3.4.1最終改正))山形県基幹高速通信ネットワーク外部機関接続要綱(H17.7.1(R3.4.1最終改正))テレワーク テレワークにおける情報セキュリティ対策実施手順(R2.12.14)在宅勤務制度(試行含む)に係るパソコン貸し出し要綱(H29.8.1(R2.1.1最終改正))山形県サテライトオフィス(試行含む)に係るパソコン貸し出し要綱(R29.8.1(R2.1.1最終改正))リモート接続システム利用要領(R2.1.1(R5.4.1最終改正))短期モバイル端末貸出要領(H29.9.14(R5.4.1最終改正))長期モバイル端末貸出要領(H29.8.1(R5.4.1最終改正))Web会議サービスWeb会議ツール「Zoom」利用要領(R2.5.12(R5.4.1最終改正))ソーシャルメディアサービス山形県ソーシャルメディアサービスの利用に関する実施手順(H28.4.1(H29.4.1最終改正))障害時の対応 情報システムの対応情報資産に関する危機管理方針(H14.3)山形県基幹高速通信ネットワーク障害対応マニュアル(H22.3.30(R3.4.1最終改正))外部サービスの利用外部サービス 外部サービスの利用(機密性２以上の情報を取り扱う場合)に関する実施手順(R4.10.25)外部サービスの利用(機密性２以上の情報を取り扱わない場合)に関する実施手順(R4.10.25)評価・見直し 情報セキュリティ監査山形県情報セキュリティ監査実施要綱(R4.7.11)-27-(参考資料)情報セキュリティポリシー関連規程について情報セキュリティの確保のため特に遵守又は参照すべき主な関連規程について、下記に示す。 (１)関連規程のうち、情報主管課が所管するもの(２)関連規程のうち、情報主管課以外が所管するもの大分類 小分類 関連規程情報資産 情報公開 山形県情報公開条例(H9.12.22(R4.12.23最終改正)、総務部)個人情報 個人情報の保護に関する法律施行条例(R4.12.23、総務部)文書管理 山形県公文書管理規程(R2.3.27(R5.4.1最終改正)、総務部)文書事務の手引(H7.3.31(R2.11最終改正)、総務部)総合行政ネットワークにおける電子公文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)電子メール及び電子掲示板を利用した電子文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)物理的セキュリティ人的セキュリティ技術的セキュリティインシデント対応 山形県広報広聴事務取扱要綱(H9.4.1(R5.4.1最終改正)、総務部)障害時の対応 危機管理 山形県危機管理要綱(H17.4.1(R4.4.1最終改正)、防災くらし安心部)山形県大規模災害発生時の災害対策本部事務局活動マニュアル(R4.6最終改正、防災くらし安心部)外部サービスの利用ソーシャルメディアサービスソーシャル・ネットワーキング・サービスを利用した山形県広報活動ガイドライン(H28.2.17総務部)違反時の対応懲戒処分 懲戒処分の基準(R2.10.1最終改正、総務部)懲戒処分の基準(R2.7.1最終改正、教育委員会)大分類 小分類 関連規程組織体制 山形県デジタル化推進本部設置要綱(H12.9.26(R2.11.19最終改正))情報資産 文書管理 山形県行政手続等における情報通信の技術の利用に関する条例(H18.12.19)物理的セキュリティ人的セキュリティ技術的セキュリティシステム調達 山形県情報システム導入標準ガイドライン(R3.4.1(R4.10.25最終改正)) (１)ネットワークシステムの構築①導入機器等②構築作業要件③学校への導入支援(ア)SSL-VPN装置(１式)(イ)PKIプライベートCAサーバ(１式)(ウ)デスクトップ仮想化基盤(１式)(ア)事前調査(イ)認証方式の詳細検討(ウ)SSL-VPNネットワーク及びデスクトップ仮想化基盤の設計、機器の導入及び設定、基幹ネットワークとの接続(エ)ネットワークセキュリティパッケージ(１式)(カ)簡便な運用管理環境の構築(キ)進捗管理応 札 役 務 仕 様 書評価欄４ 委託業務の内容会社名又は共同企業体名：記載欄この応札役務仕様書及び関係書類の内容については事実と相違ないことを誓約します。 項目(ク)留意事項(オ)USBトークン(50本)(ア)導入前作業(イ)説明会の開催(ウ)接続試験支援(エ)SSL－VPN ネットワーク及びデスクトップ仮想化基盤のテスト(オ)関係者との連携別紙評価欄 記載欄 項目(２)ネットワーク機器の維持保守管理及びネットワークの運用保守管理①ネットワーク機器の維持保守管理等②運用保守管理注)①機種が仕様書で定める仕様に合致しているかどうか、判断可能な資料を添付すること。 ②作業従事者はネットワーク技術者を複数名の体制とすること。 (ア)ネットワーク機器の維持保守管理(１式)(イ)ネットワーク機器の設定(１式)(ア)問合せ対応(イ)小中学校現地対応(ウ)障害復旧作業(エ)計画停止対応作業(オ)ネットワーク変更支援(カ)セキュリティ対策(キ)ログ監視サービス