ネットワークセキュリティシステムの賃貸借仕様書

ネットワークセキュリティシステムの賃貸借仕様書
平成25年11月
福知山市総務部情報推進課
1
件名
ネットワークセキュリティシステムの賃貸借
2
目的
本市の業務ネットワークとインターネット間の通信を監視、制御するシステムを導入
することにより、近年、急速に高度化している標的型攻撃をはじめとする各種サイバー
攻撃への対策を図る。
3
契約形態
賃貸借契約とする。また、入札価格は、機器及びその設定、設置、システムの動作試
験、導入、運用保守、職員への研修等、本システムに係る一切の付帯経費を含むものと
する。
4
賃貸借期間
平成 26 年 2 月 1 日から平成 31 年 1 月 31 日まで(60 か月)
5
納入期限
平成 26 年 1 月 31 日
6
担当部署
福知山市総務部情報推進課
7
賃貸借物件
13
8
システム内容のとおり
支払い方法
月額払いとし、物件を使用した月の翌月以降に賃借料の請求を受け支払うものとする。
9
かし担保責任
賃貸借期間の初日から 1 年間、賃貸借物件にかしがあった場合は、市は賃貸人に対し
て無償でかしの補修作業を求めることができるものとする。
10
公租公課
賃貸借期間中の公租公課については、賃貸人の負担とする。
11
権利義務の譲渡の禁止
この契約により生ずる権利又は義務を第三者に譲渡し、若しくは承継させ、又はそ
の権利を担保に供することはできない。
12
賃貸借期間満了後における物件の譲渡
賃貸借期間満了後、未払賃貸借料がないことを条件に、賃貸人は賃借人へ無償譲渡
する。
13
システム内容
(1)システムの機能要件
本市のネットワーク内に、ネットワーク用機器、セキュリティ用機器等を組み合
わせて、以下の機能を有するシステムを構築すること。
ア
Web プロキシサーバ
現行の老朽化した Web プロキシサーバ用機器を更新し、インターネット接続
への中継機能、Web ページのキャッシュ機能、有害な Web サイトへの接続制限
などの機能により、職員が安全にインターネットを利用できるようにすること
を目的とする。
イ
不正侵入検知、不正侵入防止システム(IDS/IPS)
ゼロディ攻撃などで業務ネットワーク内の端末、サーバがマルウェアに感染
してしまった場合や、P2P ソフトウェアをはじめとする利用許可していないソ
フトウェアが使用された際に、自動的にネットワーク内の不正な通信を検知、
遮断できるようにすることで情報漏えいを防止することを目的とする。
ウ
メールフィルタリング機能
本市が利用するメールアドレス宛に、ウイルスが添付された有害メールやス
パムメールが送信されてきた場合、庁内ネットワーク内の端末及びサーバがメ
ールを受信する前に、これらのメールを検知して隔離、駆除することを目的と
する。
(2)システムの構成
ア
システムを構成するための機器は、基本的に本市の管理するネットワーク内に
配置するものとする(システム構成イメージを参照)。システム構築作業のために、
既存のネットワーク機器の設定変更を行う必要がある場合は、本市及び本市のネ
ットワーク保守業者と協議、調整の上、実施することとし、変更範囲は最小限に
とどめること。ただし、新規のネットワークセグメント及び VLAN の追加、ネッ
トワークに接続する既存の端末の設定変更は認めない。
なお、既存ネットワーク環境の変更作業を要する場合、その作業及び費用につ
いては、本契約の範囲には含めないものとする。
イ
グローバル IP アドレスを使用する必要がある場合は、本市の管理するグローバ
ル IP アドレスの中から本市が指定したアドレスを使用すること。なお、本契約
で利用するグローバル IP アドレスは 1 個とすること。
【システム構成イメージ】
メールサーバ
インターネット
(OCN ホスティングサービス)
本市庁舎内
FW
DMZ
メールフィルタリング
IDS/IPS
L3SW
セキュリティ用
ネットワーク
業務用
ネットワーク
端末
端末
Web プロキシサーバ
サーバ
※ 本件で調達するネット
ワークセキュリティシ
ステム用機器
ウ
Web プロキシサーバの導入あたり、業務ネットワークから Web サイト閲覧をは
じめとするインターネットの利用を行う際に、現行の環境よりもレスポンスの低
下を招かないようにすること。なお、現行環境における Web プロキシサーバの詳
細は次のとおり。
【筐体】富士通 Primergy RX300 S2
【性能】CPU Xeon
3GHz:メモリ 2GB:HDD
73GB×3(RAID5)
【OS】Red Hat Enterprise Linux ES (V.3 for x86)
【ソフトウェア】Server Protect For Linux,InterScan Web Security Site
【構成】シングル構成
エ
Web プロキシサーバ用の機器は 2 台構成とし、機器障害やメンテナンス作業の
際にも業務を継続できるように冗長化方式はホットスタンバイ方式、又はアクテ
ィブ・アクティブ方式とする。
冗長化のために別途ネットワーク機器等が必要な場合、機器及び設定に関する
費用についても本契約に含めるものとする。
オ
不正侵入検知、不侵入防止システム用の機器については、1 台又は 2 台構成と
する。ただし、機器障害やメンテナンス作業の際にも業務を継続できるように、1
台構成の場合、その機器はフェイルオープン機能(バイパス機能)を有している
こと。2 台構成の場合は、ホットスタンバイ方式の構成とすること。
冗長化のために別途ネットワーク機器等が必要な場合、機器及び設定に関する
費用についても本契約に含めるものとする。
カ
不正侵入検知、不侵入防止システムを稼動させるために管理用端末が必要な場
合は、本市が仮想化基盤上に仮想デスクトップを構築して準備(OS ライセンス
の準備及びインストール、NIC 設定)するので、その仮想デスクトップに必要な
設定を実施すること。なお、仮想デスクトップについては、以下のリソースを割
り当てることができる。
メモリ
2GB
ハードディスク 100GB
キ
メールフィルタリングの処理については、メールサーバ(OCN ホスティングサ
ービス)にメールが届く前に行うこと(メールフィルタリングのイメージ図参照)。
【メールフィルタリングのイメージ図】
本市ネットワーク内の機器に向
けてメールを送信
メールサーバ
(OCN ホスティングサービス)
本市ネットワーク
サーバ又は端末
インターネット
メールフィルタリング
本市宛に
機能を持つ機器
メールを
送信
送信元 PC
有害メールを隔離してメール
サーバに転送
ク
メールフィルタリング用機器に障害が発生した場合、本市宛のメールは、直接
メールサーバに送られる設定とする。なお、この設定は、本市が DNS サーバに
て行い、本契約には含まないものとする。
ケ
システムを構成する各機器への電力は、本案件で調達する無停電電源装置
(UPS)により供給すること。なお、電源工事は不要。
コ
本案件で調達する機器については、19 インチラック(既設)に搭載可能である
こと。なお、システム用の機器の搭載スペースは 8U(連続)であり、本案件で
調達する機器はそのスペース内に収めて設置すること。
また、システムを構成する要素について、前述した不正侵入検知、不侵入防止
システムの管理用端末以外については、本市の仮想化基盤上での構築、運用は行
わないものとする。
サ
機器、ソフトウェア等の利用のために、ライセンス費用が必要な場合、賃貸借
期間中に必要なライセンス費用についても本契約に含めるものとする。
また、ネットワークを利用するユーザ数は 1,000 とし、ユーザ数が 1,000 を超
えた場合でも、ライセンスの追加購入が可能であること。なお、追加購入に必要
な費用については、本契約に含めないものとする。
(3)詳細仕様
Web プロキシサーバ
基本要件
機能
Web プロキシサーバとしての機能を有すること。
中継方式
プロキシモード、透過モードによる中継が可能であ
ること。
対応プロトコル
HTTP、HTTPS に対応していること。
Web フィルタリ Web ページの情報をカテゴリ毎に分類した URL デ
ング
ータベースを利用して、特定サイトへのアクセスを
制限できること。
URL データベー 機器ベンダーより URL データベースが提供される
ス
こと。
提供される URL データベースは、定期的に更新され
ること。
オンラインアップデート、ローカルアップデートが
可能であること。また、アップデート方法について、
自動又は手動に選択できること。
利用者によりデータベースへの URL の追加が可能
であること。
アンチウイルス
McAfee,Symantec,Kaspersky,Panda,Sophos,Webr
機能
oot のいずれかのエンジンを搭載していること。
オンラインアップデート、ローカルアップデートが
可能であること。また、アップデート方法について、
自動又は手動に選択できること。
出口対策機能
以下のサイトへの対策が可能であること
・マルウェアを配布するサイト
・フィッシングサイト
・不正に改ざんされたサイト
・C&C サーバなどの不正攻撃サイト
・ワンクリック詐欺などの悪質サイト
・標的型攻撃で使用される可能性のあるサイト
対象ユーザ規模
1,000 以上の製品であること。
ハードウ 形状
19 インチラックに搭載可能であること。
ェア
サイズ
2U 以下。
イーサネット
1,000Base-T を 2 ポート以上実装すること。
シリアル
管理用のシリアルポートを 1 ポート以上実装するこ
と。
運用機能
アクセス記録をテキストまたは CSV 形式のファイル
ログ機能
により保存することが可能であること。
Web ブラウザを用いた GUI による機器の設定、管
管理画面
理、リソース状態の確認等が可能であること。
言語
管理画面の言語は、日本語または英語であること。
レポート
Web アクセス状況などの稼動履歴についてレポート
出力機能を有すること。
ログファイル
外部機器へのログファイルの転送が可能であるこ
と。
Blue Coat ProxySG 600-20
想定製品例
Sophos UTM 425 Web Appliance
Cisco WSA S170
上記以外の製品についても、仕様を満たす製品であ
れば可とする。
不正侵入検知、不侵入防止システム
基本要件
製品仕様
アプライアンス製品であること。
対応プロトコル数
100 以上
スループット
最大値が 200Mbps 以上であること。
不正侵入 リアルタイムでの不正なアクセスの検知が可能であること。
検知機能
プロトコル異常による検知が可能であること。
パターンマッチングによる検知が可能であること。
検 知 用 パ タ ー ン デ ベンダーよりシグネチャが提供されていること。
ータ(シグネチャ) ベンダーより提供されるシグネチャは、定期的に
更新されること。
オンラインアップデート、ローカルアップデート
が可能であること。また、アップデート方法につ
いて、自動又は手動に選択できること。
利用者により、シグネチャのカスタマイズ、追加
が可能であること。
不正侵入 検知した不正アクセスのパケット及び関連する通信を遮断できること。
防止機能
検知した不正なアクセスについて、次の制御条件に基づく防御が継続し
て可能であること。
・攻撃元:IP アドレス、ポート番号
・被攻撃側:IP アドレス、ポート番号
・ICMP 情報
ハードウ 形状
19 インチラックに搭載可能であること。
ェア
サイズ
2U 以下。
イーサネット
1,000Base-T を 4 ポート以上実装すること。
シリアル
管理用のシリアルポートを 1 ポート以上実装するこ
と。
運用機能
ログ機能
不正アクセスに係る通信記録をテキストまたは CSV
形式のファイルにより保存することが可能であるこ
と。
管理画面
Web ブラウザを用いた GUI による機器の設定、管理、
リソース状態の確認等が可能であること。
言語
管理画面の言語は、日本語または英語であること
レポート
Web アクセス状況などの稼動履歴についてレポート
出力機能を有すること。
ログファイル
外部機器へのログファイルの転送が可能であること。
Proventia Network IPS GX4004C-V2-200
想定製品例
Juniper IDP 800
Sophos UTM 425 Network Protection
上記以外の製品についても、仕様を満たす製品であれ
ば可とする。
メールフィルタリング機能
基本要件
機能
電子メールの受信時、自動的にウイルスメール及び、
スパムメールを検出、隔離、駆除する機能(アンチウ
イルス、アンチスパム機能)を有すること。
本市のメール環
メールアカウント数
200
境
メールを利用するユーザ数 1,000
受信メール 5,000 通/時間
送信メール 1,000 通/時間
フィルタリング
本市宛にメールが送 信された場合、 メールサ ーバ
処理
(OCN ホスティングサービス)がメールを受信する
前に、メールのフィルタリングを実施すること。
アンチウイルス
McAfee,Symantec,Kaspersky,Panda,Sophos,Webroo
機能
t のいずれかのエンジンを搭載していること。
オンラインアップデート、ローカルアップデートが可
能であること。また、アップデート方法について、自
動又は手動に選択できること。
アンチスパム機
スパムメールの判定条件について次の内容を含んで
能
いること。
・メールの送信元
・タイトル
・メール本文内の言語、特定の文字列
・添付ファイルの種類
スパムメールの判定条件について、利用者によるカス
タマイズが可能であること。
運用機能
ログ機能
メールの送受信に係る記録をテキスト又は CSV 形式
のファイルにより保存することが可能であること。
管理画面
Web ブラウザを用いた GUI による機器の設定、管理、
リソース状態の確認等が可能であること。
言語
管理画面の言語は、日本語または英語であること。
レポート
Web アクセス状況などの稼動履歴についてレポート
出力機能を有すること。
ログファイル
外部機器へのログファイルの転送が可能であること
Meassaging Gear
想定製品例
Sophos UTM 425 Mail Appliance
上記以外の製品についても、仕様を満たす製品であれ
ば可とする。
UPS
ハードウ 形状
19 インチラックに搭載可能であること
ェア
サイズ
1U
消耗品
賃貸借期間中、定期的に交換が必要な部品については
適宜交換を実施すること。
保守・運用
機器保守
保証期間
機器メーカーが製品の利用開始から最低 5 年間の保守
期間を提供していること。
対応時間
機器障害に対して、機器メーカーによる 24 時間 365
日対応可能な電話窓口が設けてあること。また、メー
ルによる対応も可能であること。
着手時間
障害復旧に係る作業には、連絡から 2 時間以内に発送
手続き等に着手し、本市に報告をすること。
運用
サポート体制
平日、午前 8 時半から午後 6 時まで電話受付可能なサ
ポート窓口が設けてあること。
自動通知
障害発生の際は、自動的にメールによる本市及びサポ
ート窓口への通知を行うこと。
レポート
6 ヶ月に 1 回、本市庁舎内にて定例会を実施し、シス
テムの稼働状況について報告を実施すること
15
設置・設定について
(1)
調達物件に関しては、市が指定する場所に搬入し、各機器の設置及び試験等を
実施すること。その際に必要な輸送費、作業費等は落札業者の負担とする。なお、
機器の搬入に際して、物品の梱包に使われたダンボール箱、発泡スチロール等の
梱包材は落札業者において回収するものとする。
(2)
既存環境に影響を生じる可能性のある作業については、必ず作業実施前に本市
と実施時期、時間帯について協議して承認を得ること。
(3)
各機器、システムの設定内容については、事前にシステム設計書としてドキュ
メント化し、その内容について本市の承認を得ること。
(4)
システムの本番稼動前に試験項目を作成し、試験を実施すること。試験項目の
内容は、システム設計書に記載した要件について、原則、全て確認できることと
し、テスト前に本市の承認を得ること。
また、テスト完了後、速やかに本市にテスト実施結果を作成して本市に提示し
て承認を得ること。
(5)
本システムは、賃貸借開始日までに、試験運用を 5 日間程度経ていること。
(6)
システム設定完了後、システムの運用に必要な運用マニュアルを作成し、提示
すること。運用マニュアルの内容については、必ず次の内容を含めること。
ア
各機器の起動及び停止方法
イ
カスタマイズ可能な項目についての設定変更方法
ウ
アップデートの方法
エ
停電時の対応方法
オ
ログの管理方法
カ
サポート窓口連絡先、緊急時連絡先
(7)
システム設定完了後、本システムの運用管理に関する研修を、本市の担当者に
対して実施すること。
(8) 機器の納入、設置の際にはコンピュータウイルスの混入・環境情報の漏えい等、
セキュリティ対策には十分注意すること。
16
その他
(1)
契約の履行上疑義が生じた場合は、落札業者は協議のうえその指示に従うこと。
また、本仕様書に定めのない事項については、協議のうえ取り決めるものとする。
(2)
契約期間中、賃貸人を保険契約者とする動産総合保険を賃貸人の負担により付
保すること。なお、落札業者の出荷元から設置場所への移送期間についても付保
すること。
(3)
納入等に際しては、諸法令を遵守し、諸手続は落札業者が責任をもって代行す
ること。
(4)
本契約の作業において、落札業者の作業中に既存の環境に予期せぬトラブルが
発生し、本市の保守委託業者の出動要請が必要になった場合は、対応費用の全額
を受注業者が負担すること。。
(5)
落札業者は、運用開始日までの作業スケジュールを落札後、速やかに本市に提
示すること。
(6)
落札業者は、いかなる場合においても本契約の履行中に知り得た情報(業務に
係わる事項及び付随する事項)に関して機密保持を行うこと。