PC ログ取得システム導入仕様書 1．はじめに本仕様書は、原子力発電環境整備機構（以下「機構」という）が導入する PC ログ取得システム（以下「本システム」という）の導入仕様を定めたものである。 2．目的機構内のセキュリティ対策として情報漏えい及び外部記録機器利用を制御し、また機構内の IT 機器及びソフトウェアの利用状況を管理するシステムを導入する。 3．調達品目 (1)ソフトウェア項番項目数量 1 システム運用支援ソフトウェア SS1 基本機能ライセンス 2 システム運用支援ソフトウェア SS1 オプション機能ライセンス 1式 3 ソフトウェア保守 1 年 1式 160 ライセンス ※ソフトウェア仕様は「添付-1 ソフトウェア詳細仕様」のとおりとする。 (2)ハードウェア項番項目数量 1 PC ログ管理サーバ 1台 2 ハードウェア保守 5 年 1式 ※ハードウェア仕様は「添付-2 ハードウェア詳細仕様」のとおりとする。 4．導入作業 (1) 導入作業項番項 1 事前設計 2 導入作業 3 機構の管理担当者への操作教育目 ※導入作業内容は「添付‐3 導入作業詳細仕様書」のとおりとする。 5．納入期日 2016 年 12 月 23 日 6．作業場所東京都港区芝 4-1-23 三田 NN ビル原子力発電環境整備機構執務室およびサーバ室 1 7．検収条件 (1) 納入期日までに本システムの構築作業を完了していること。 (2) 納入期日までに管理対象機器への 1 次導入作業を実施し、SS1 サーバとの通信を確認していること。 (3) 機構の管理担当者への操作教育を 1 回以上終了していること。上記項目について、機構の確認をもって検収とする。なお、導入作業及び操作教育の実施にあたっては、必要関係箇所と事前に日時等を打合わせ、機構の業務に支障を来さないように実施すること。 8．提出図書項番項目数量 1 ソフトウェア(導入に必要なメディア) １式 2 取扱説明書１式 3 ライセンス証書１式 4 設定書(パラメータシート) １式備考電子ファイルでも可電子ファイルでも可その他必要な成果物、納品物があれば提供すること。 9．保守 (1)ソフトウェア保守内容は「添付‐1 ソフトウェア詳細仕様書」のとおりとする。 (2)ハードウェア保守内容は「添付‐2 ハードウェア詳細仕様書」のとおりとする。 10．その他本仕様書に疑義が生じた場合は、その都度協議し、打合わせ議事録等の書面をもって決定する。以上 2 添付-1 ソフトウェア詳細仕様書ソフトウェア詳細仕様書 1．ライセンス構成下の構成でソフトウェアライセンスを調達すること。 (1)システム運用支援ソフトウェア SS1 基本機能ライセンス 160 ライセンス (2)システム運用支援ソフトウェア SS1 オプション機能ライセンス ①デバイス制限管理オプション 1 ライセンス ②電子メール送受信ログオプション 1 ライセンス ③PC 操作ログオプション 1 ライセンス ④ログレポートオプション 1 ライセンス ⑤サーバログ管理オプション基本セット 1 ライセンス ⑥Active Directry 連携オプション 1 ライセンス ⑦ソフトウェア資産管理オプション 1 ライセンス 2.ソフトウェア保守 (1)本システム用ソフトウェアライセンスの標準保守初年度分を添付すること。 (2)保守内容 ①電話・電子メール・FAX による問い合わせ対応 ②障害時のオンサイト対応 ③製品の更新情報や運用に関する情報提供 ④製品に自然破損が生じた場合の代替製品提供 ⑤製品のバージョンアップ版の無償提供 (3)サポート体制 ①サポートデスク対応時間：月曜～金曜９：００～１７：３０土日祝及びメーカ休業日を除く ②障害デスク対応時間：月曜～金曜９：００～１７：３０土日祝及びメーカ休業日を除く 3.データベース (1)Microsoft SQL server 2014 Express 以上 1 添付-2 ハードウェア詳細仕様書ハードウェア詳細仕様書 1.PC ログ管理サーバ (1)OS ①OS は、WindowsServer2012R2 Standard がインストールされていること。 ②OS インストール CD 及び OS インストールに必要なドライバ類が添付されていること。 (2)筐体 ①筐体はラックマウント型であること。 ②寸法は、1U であること。 (3)電源 ①電源は一般商用電源 AC100V（50／60Hz）、最大消費電力はおおよそ 500W 以下であること。 ②電源系統は 1 系統とし、冗長構成を持たないこと。 ③2m 以上の電源ケーブルを添付すること。 (4)CPU ①インテル(R)Xeon(R)プロセッサーであること。 ②CPU の動作周波数は、3GHz 以上であること。 ③4 個以上の物理コアを持つこと。 ④4 スレッド以上の並列処理が可能であること。 ⑤L3 キャッシュは、8MB 以上であること。 (5)メモリ ①主記憶容量 8GB 以上であること。 (6)LAN インターフェース ①本体内蔵型 LAN インターフェースを 2 個以上有すること。 ②10BASE-T/100BASE-TX/1000Base-T のイーサネットポートに対応していること。 ③ツイストペアケーブル（カテゴリ 5e 以上）でモジュラージャック方式（RJ-45）により接続可能であること。 (7)内蔵ハードディスク装置 ①ハードディスク容量は、実記録容量が 3.5TB 以上（1TB=1012 バイト換算時）であること。また、サーバ標準で必要な管理機能エリアを除き、ハードディスクの全領域を利用できること。 ②パーティションは OS 領域として先頭から 150GB を確保し、残りを 1 パーティションとして確保できること。 ③ハードウェア方式の RAID-1 または 5 構成であること。 ④ディスクアレイコントローラの I/F を内蔵すること。 ⑤ホットスペア・プラグ対応のリザーブディスクを 1 つ有すること。 1 添付-2 ハードウェア詳細仕様書 (8)DVD-ROM 装置 ①内臓 DVD-ROM ドライブを１つ以上有すること。 (9)電源管理ソフトウェア ①無停電電源装置とサーバの通信に必要な管理ソフトウェア(PowerChute Network Shutdown Standard)を添付し、インストールすること。 (10)ディスプレイ・キーボード・マウス ①ディスプレイ出力は一般的な D-Sub15 ピンコネクタであること。 ②キーボード・マウスは一般的な USB 接続のものを使用できること。 2.ハードウェア保守本システム用ハードウェアについて、下のとおり保守を受けられること。 (1)保守期間は 5 年間とすること。 (2)保守作業はオンサイトで行うこと。 (3)一般的な障害状況による保守に係る部品・作業費用は保守範囲とし、追加費用が発生しないこと。 (4)祝祭日を除く平日に 9:00～17:00 を受付時間とし、受付後 4 時間以内の対応を行うこと。以上 2 添付-3 導入作業詳細仕様書導入作業詳細仕様書 1. 導入作業 (1) 規模範囲・本システム用サーバ 1台・管理対象機器 160 台（すべての管理対象機器は単一のネットワークセグメントにあるものとする。） (2) 作業項目・事前設計設計のため必要であれば打ち合わせを設けること。・導入作業管理対象機器への一次展開を行うこと。展開に失敗した機器へのフォローは作業対象外とする。・機構の管理担当者への操作教育 2. システム機能要件 (1) ログ管理機能管理対象機器において行われた操作をエージェントソフトにより自動取得し管理できること。 a. 以下のログ管理が可能であること。・機構内ネットワーク上で行われたファイルコピーや削除、ファイル名変更など操作ログの取得（操作日時/ユーザ名/クライアント PC 名/ファイル情報/操作内容が表示されること）（ファイル情報は絶対パスで表示されること）（ファイルコピーなどの操作途中で中断した場合も操作ログを取得できること）・外部記録装置へファイルコピーした操作ログの取得・メール送受信ログの取得（Windows Live Mail、Outlook について対応していること）（送受信したすべてのメールについて、ヘッダ/本文/添付ファイルを含む状態で取得できること） b. 特定の操作やファイルを起点に情報漏えいにつながる操作を時系列で追跡できること。 c. 管理対象機器内のメールデータが消失、破損した場合、本システムで取得したメール送受信ログからデータを管理対象機器に取り込むことができるようなサポート機能があること。 d. ログを長期保管できる仕組みを有していること。古いログの参照は手間をかけず平易にできること。 e. 管理対象機器の起動、シャットダウンの時間を毎日自動的にファイル出力できる機能を有していること。（出力するファイル形式は問わない。） f. PC を社内ネットワークから切り離した場合もログ収集は継続して動作すること。また、切り離した際のログの保存期間を任意に指定できること。 (2) 外部記憶機器管理機能管理対象機器においてエージェントソフトにより自動取得し管理できること。 a. 外部記憶機器を使用禁止及び読込許可にする制御ができること。 1 添付-3 導入作業詳細仕様書（対象機器は CD/DVD/USB メモリ/USB HDD/MO/SD/スマートフォン/タブレット/デジタルカメラとする） b. 部門、端末、ユーザ単位で、複数のポリシーが設定できること。 c. ＵＳＢメモリ、USBHDD に関してはシリアル番号等による利用制御ができること。 d. 運用の初期段階においては、監視、警告、禁止と段階を追って制御設定ができること。 e. 外部記憶機器制御の一時許可を期間、日数、時間等で指定できること。また、一時許可設定時はユーザ側に解除されたことが通知される仕組みを有していること。 f. 外部記憶機器の使用状況のログ取得及びログ検索が可能であること。 g. 管理対象機器に接続した機器のシリアル番号、製品コードの情報が自動収集できること。 h. Wi-Fi/Bluetooth、赤外線、モデムなどの通信機器に対する利用制御設定ができること。 i. 社内ネットワークに接続していない管理対象機器でも利用制御設定ができる仕組みを有していること。また、緊急を要する場合にユーザ操作により制御を一時解除できる機能を有していること。 (3) IT 機器管理機能機構内の IT 機器について、エージェントソフトによる自動取得によらずハードウェア、ソフトウェア、ネットワーク情報等を登録し管理ができること。 a. 管理対象機器に関しては以下の情報をエージェントにより自動取得し、管理及び検索ができること。 (コンピュータ名/IP アドレス/MAC アドレス/サブネットマスク/ DNS サーバ情報/デフォルトゲートウェイ情報/ドメイン・ワークグループ名/ログオンユーザ名/OS 名、OS サービスパック、OS バージョン/ 本システム用エージェントバージョン/IE バージョン/ローカルドライブ名および容量情報/CPU 情報（クロック数、コア数）/メインメモリサイズ/PC の製品名、型番/インストールソフトウェア情報/マイクロソフトのセキュリティパッチの適用状況/その他、任意に設定する各種レジストリ情報) b. 情報の収集タイミングは任意で設定できること。 c. 使用者情報など自動で取得できない情報は、機構内 ActiveDirectory と連携し、情報を自動反映できること。 d. 長期間未使用となっている管理対象機器を検出し、管理台帳から除却ができること。 e. 機器の故障による交換や、廃棄機器の情報を、ライセンスを追加することなく管理できること。 f. 機器情報の指定期間内の変更履歴（本システムで管理している各種機器の情報の変更履歴）が機器単位で確認できる機能を有すること。 g. 各機器の設置場所を視覚的にわかりやすく管理できること。（各機器の設置図、画像を管理できること） h. 各機器の設置場所が変わった場合、移動先の情報が自動的に更新されること。 i. ネットワーク監視機能を有すること。またネットワーク機器毎に異常があった場合、影響範囲を視覚的に確認、判断できる機能を有すること。 j. ネットワーク機器の経路図作成機能を有すること。 2 添付-3 導入作業詳細仕様書 k. 管理対象機器以外の機器の情報をライセンスに関わらず登録、管理ができること。 l. 機器情報は直接 Excel ファイルとしてエクスポートできること。また CSV ファイルから一括してインポートできること。 m. 機器単位で保守、リースとの契約期間の情報を登録し、契約期間満了日前の任意のタイミングで通知メールを送信できること。 (4) ソフトウェア管理機能管理対象機器にインストールされたソフトウェアをエージェントソフトにより自動取得し管理できること。 a. 特定のソフトウェアの利用状況が把握できること。（ソフトウェアの使用時間／最終使用日時／使用ユーザ情報など） b. ソフトウェアのブラックリストを作成し、該当するソフトウェアの使用を禁止できること。該当するソフトウェアを利用した場合、ユーザに任意のメッセージを表示し、注意喚起ができること。 c. 各種ソフトウェアの以下のライセンス管理に関する機能を有していること。・ソフトウェアライセンスのグルーピング機能（パッケージ管理）・ダウングレードやアップグレードライセンス管理・ライセンス形態別管理・ライセンスと機器の紐づけ管理・過不足の集計機能・ライセンスの棚卸機能 d. 管理対象機器から取得したソフトウェアについて、区分やライセンス形態等の情報取得を支援するソフトウェア辞書機能があること。（定期的な更新があり、辞書にマッチングしないソフトウェア情報を調査依頼できること） (5) リモートメンテナンス機能エージェントソフトを通じ、管理対象機器のソフトウェア、セキュリティパッチ、設定等を配信できること。 a. 指定した管理対象機器に、任意のソフトウェアを配信し、自動的にインストールが可能であること。また、インストールはユーザの権限には依存しないこと。 b. 非対話インストールに対応しないソフトウェアについてもユーザの操作を必要とせずインストールできること。 c. 自動インストールスクリプト作成機能を有していること。インストールスクリプトは、対象端末の画面解像度によらず実行できること。 d. 配信されたソフトウェアのインストール実行タイミングは管理者指定とユーザ任意とを選択できること。 e. レジストリの設定を一括で変更できる機能を有していること。 f. マイクロソフトのセキュリティパッチを自働配信する機能を有していること。 (6) 権限管理機能本システムの管理画面を利用するにあたり、複数の ID を設定し、権限を制御できること。 a. 本システムを利用する利用 ID に応じて、操作、閲覧の権限設定が機能単位で設定できるこ 3 添付-3 導入作業詳細仕様書と。 b. ログの閲覧範囲を所属部門単位で設定し、関係者のみ必要範囲のログが閲覧できること。 c. 本システムの利用 ID は既存の ActiveDirectory サーバと連携し、シングルサインオンができること。 (7) その他 a. 管理対象機器へインストールするエージェントの種類は１つであること。 b. エージェントの展開が簡単に一括配信できる仕組みを有していること。 c. ライセンス体系がわかりやすく明確でること。 d. ネットワーク監視機能を有すること。 e. 本システム導入後に新たにオプション追加し、機能拡張ができること。また、その際にはエージェントのインストール等、管理対象機器への操作は不要とすること。 3. その他 (1) 導入作業にあたりソフトウェアメーカサポートと連携、協力のもと作業を実施すること。 (2) 本仕様書に記載のない事項については、必要に応じて協議の上決定するものとする。 (3) 本システムの構築、導入に当たり他システム及び危機に影響を与える可能性がある場合は事前に機構に報告し、その了解を得ること。以上 4