1. 本事業の目的

昨年度、当センターが地方公共団体を対象に実施したウェブアプリケーション脆弱性診断事業(以下、「ウェブ健康診断」という。)では、多くの自治体でさまざまな脆弱性が検出されました。昨年度は、ウェブサイトを狙ったSQLインジェクション攻撃が一昨年に比べて更に増えていると報じられているのみならず、実際に自治体のホームページの改ざん等の被害に関する報道もあり、引き続き、Webアプリケーションの脆弱性対策が急務となっています。

ウェブ健康診断は、人間に例えるなら、その名のとおり 「健康診断」に位置づけられます。診断の内容は重要な診断項目を選定しており、基本的な脆弱性対策が出来ているかどうかを診断し、脆弱性解消の支援をすることで、電子自治体全体のセキュリティレベル向上に寄与する事業です。

なお、本診断で脆弱性が発見された場合は、各地方公共団体で対策を検討いただくことになります。

 

2. 実施する業務について

業務概要

ウェブ健康診断では、Webアプリケーションの脆弱性についてインターネットを通じて診断(ペネトレーションテスト)します。脆弱性が検出された場合、その結果と対策を地方公共団体に報告し、一定期間、報告に関する質疑を受け付け、脆弱性解消の支援を行います。

診断対象市区町村

約200団体程度を予定

仕様詳細

本事業への応募を検討される方は、「8. 本件に関する問い合わせ・詳細情報の入手について」までご連絡ください。
本事業の仕様詳細を送付します。

提案書提出期限

平成21年7月10日(金曜日) 12:00 締切
※一部の提出物は、上記期限に依らない時間制限がありますのでご注意ください。

詳細は、「4. 提出方法」を参照してください。

 

3. 提案書に含める内容

提案書の様式については自由としますが、下記項目は漏れなく記載し、提出してください。

(1) 見積書について

  • 200団体にウェブアプリケーション脆弱性診断を実施することを前提とし、見積もりを提示してください。
  • 「7. 契約内容」にある内容の実施に要する経費総額を明記してください。
    なお、業務の詳細は別途配付の「ウェブ健康診断 仕様詳細 」も参照してください。

(2) 本事業の推進体制及び診断キャパシティについて

  • 推進体制には、本事業に携わる予定の診断作業担当者及び責任者の氏名、役職、所属を記載してください。
  • 上記予定を前提に1日当たりどのくらいの診断が実施できるか記載してください。その際、1団体当たりの診断に係る想定工数等を説明根拠として記載してください。
  • 5か月間(8月から12月)で200団体の診断を実施することができる体制(人数等)であることを根拠とともに記述してください。

(3) 診断方法・診断結果報告書・診断を実施するエンジニアについて

(3)は、必須項目と任意項目に分けて記述します。(任意項目)以下の記載について提案書に記載がある場合、その度合いに応じて加点評価対象とします。

必須項目
  1. どのような診断方法で実施する予定か記載してください。(自動診断ツールによる診断、SEの手動による診断、手動及び自動診断ツールの両方を取り入れた診断)
  2. 診断方法は絵図等を用いて具体的に詳細な説明をお願いします。なお、自動診断ツールを利用する場合はツールのメーカ名及び製品名、バージョン及び同ツールを利用して診断する診断項目を記述してください。
  3. 下記のような状況の下で、脆弱性の解消へ導くのに適切な方法だと考える具体的な貴社のヘルプデスク対応案を記述してください。なお、下記仮定の状況は本事業において発生したと想定してください(費用や事業実施条件等すべて本事業を前提としてください)。また、下記に記載がないことは想定や条件を設定しても結構です。

Webアプリケーションやその脆弱性に関する専門知識がない自治体担当者のウェブサイトを診断した結果、SQLインジェクション、クロスサイト・スクリプティング、クロスサイト・リクエスト・フォージェリの3種の脆弱性が検出された。診断結果報告書を提出したところ、電話にて同担当者からヘルプデスクへ今後の対応方法に関して問い合わせがあった。

任意項目
  1. 診断作業及び診断結果報告書作成のような属人的な作業の品質を一定の高さに保つ工夫があれば記載してください。
  2. 診断作業により診断対象に障害を発生させない方法、極力回避する方法、工夫があれば記載してください。
  3. 誤診断をできるだけ回避する方法、診断品質を向上するための工夫があれば、記載してください。
  4. 診断実績数を記載してください。(累積、年度単位)
  5. 通常のサービスにおいて提案事業者が顧客に提示している報告書のサンプルを提出してください。(報告書本体の中身を確認するため、提案書資料へのイメージ貼付等ではなく、サンプルレポート本体の提示が望ましい。)
  6. 診断を実施するエンジニアの診断実務経験、プロフィールに関して、特に優れた実績がある場合は記述してください。(自治体の業務に理解がある。Webアプリケーションの脆弱性に関する優れた執筆(雑誌・ウェブ等の記事)がある。IPAへWebアプリケーションに係る脆弱性の届け出経験がある等。)

(4) 会社概要、連絡先

  • 設立年月日、資本金、業務内容、組織、従業員数を含む会社概要を提出してください。会社案内のパンフレット等の提出も可とします。
  • 本提案に関する代表者の連絡先を明記してください。

(5) 技術審査問題の解答書

  • 本事業への応募を検討される方は、「8. 本件に関する問い合わせ・詳細情報の入手について」までご連絡ください。技術審査問題中にある「診断実技問題」の解答に必要な「実技問題CD-R」を送付します。実技問題CD-Rは、郵送又は当センターにて手渡しとするため、応募する事業者は十分に時間的余裕をもって実技問題CD-Rを入手してください。応募者指定の日時になりましたら、技術審査問題文及び実技問題CD-Rのパスワードを送付します。これらを送付した時点をもって、技術審査問題に取り組むことができるようになります。
  • 技術審査問題の解答には時間制限等のルールがあるので、「4. 提出方法」を熟読してください。
  • 解答分量の目安は、設問1つ当たり概ねA4 1枚以内としてください。
  • 解答書には会社名、所属部署名、解答者氏名を明記してください。
  • 手書きの解答は不可としますが、必要に応じた絵図等の利用、別資料からの絵図の流用は制限しません。
  • 実技問題CD-Rの実行環境として、VMware player(VMware Player 2.5.1)をインストールしたPCをご用意ください。環境や操作に関しては、実技問題CD-Rにreadme.txtを付けています。VMware Player は、http://www.vmware.com/jp/download/player/ からダウンロードできます。
  • 実技問題CD-Rの内容、実技問題CD-Rの動作確認、セットアップ方法、利用方法、操作その他実技問題CD-Rの構成にかかる質疑は受け付けません。
  • 技術審査問題文及び実技問題CD-Rの公表、第三者への開示、無断コピー・無断転用は禁止です。 解答終了後は、PCから削除してください。

 

4. 提出方法

(1) 3.(1)から (4)の内容を含む提案書について

  • 印刷物6部、CD-R(提案書を記録したもの)1枚を提出してください。
  • 電子ファイルはMicrosoft Word、Excel、PowerPoint、Adobe PDF形式のいずれかとします。
  • 提出は持参または郵送とします。提出先は、「9. 提案書の提出先」を参照してください。
  • 提出された印刷物、CD-R媒体は返却しません。

(2) 3.(5) 技術審査問題の解答書について

  • 技術審査問題は解答時間を制限しています。問題文及び空白の解答書(Word形式)の他、技術審査問題中にある「診断実技問題」の解答に必要な「実技問題CD-R」のパスワードを当センターが送付した時刻を解答開始時刻とし、同時刻から6時間以内に、「8. 本件に関する問い合わせ・詳細情報の入手について」にあるメール宛てに解答書を返送してください。
  • 実技問題のみ別日に解答するというような分離はできません。
  • 解答書はWordで作成し、編集できる状態で提出してください。
  • 3.(1) から (4)の内容を含む提案書と同時提出でなくとも結構です。
  • 解答書を返送した際は、必ず電話で返送した旨を連絡してください。当センターが解答書の添付されたメールの到着を確認した時点の時刻をもって提出完了とします。
  • 解答書は提案書に記載されている推進体制にある者が自身の会社のメールアドレスから解答してください。推進体制にある者以外が解答及び解答提出することは認めません。
  • 解答者は、解答における代表者であり、推進体制上の責任者と同一である必要はありません。
  • 解答書提出は、提出期限内の平日昼間であればいつでも結構です。なお、解答開始時刻が限られている場合は予めご連絡ください。
  • 解答書は制限時間を過ぎた場合、受付できません。
  • 会社名、所属部署名、氏名のない解答書はその送付元メールアドレスが明確である場合でも受付できません。
  • 解答書の受領後は一切の修正を受け付けません。
  • 配布した実技問題CD-Rは提案書提出時に当センターに返却してください。

 

5. 提案にかかる経費

提案に係る経費については、提案者の負担とします。

 

6. 提案の審査 

  • 提案審査については、第三者の審査員及び事務局が書類審査により行います。
  • 審査においては、見積金額を重視します。
  • 技術審査において一定の水準を満たしていない事業者は提案書や見積金額が他より優れていても、採用見送りとなります。
  • 提案時点で推進体制(人員)が確定しており、200団体分の診断をするに足る体制であることが説得力をもって説明されている事業者を優先的に検討します。なお、合理的な説明のない診断キャパシティ説明は減点の対象とします。
  • 診断方法に関しては、より安全な方法(サーバ障害等を発生させない)が取られる可能性が高いとわかる記述のある事業者を優先的に検討します。
  • その他、加点評価対象とした任意項目に関して、優れた特色を挙げる事業者を優先的に検討します。
  • 審査結果については原則として提案締め切り後2週間以内に、提案書を提出した事業者全員に対してメールで行います。

 

7. 契約内容

審査結果により決定した事業者と、事業実施に係る契約を締結するものとします。

(1) 契約期間

契約締結時から、平成22年3月末まで

(2) 委託業務内容

  • 各地方公共団体の担当者との診断実施スケジュール等の調整
  • Webアプリケーションの脆弱性診断作業
  • 診断結果報告書の作成及び提出
  • 診断結果報告書に関する問い合わせ対応
  • 全診断結果を取りまとめた統括報告書の作成
  • 地方公共団体向けのWebアプリケーションの脆弱性に関する説明会講師対応

(3) 成果物

  • 診断結果報告書(全診断団体分)【納期:平成22年1月上旬】
  • 診断結果を取りまとめた総括報告書【納期:平成22年1月下旬】
  • Webアプリケーションの脆弱性に関する説明会 資料【納期:平成22年2月】
  • 問合せ対応記録【納期:平成22年3月末日】

提出形態:各 印刷物 2部、CD-R 1枚

※納期に関して明示していないものについては別途協議とします。

(4) 成果物の納入及び費用の支払い

当センターは、上記のすべての成果物が納入されてから内容を確認した上で、費用を支払うものとします。

(5) 権利の帰属

成果物に係る一切の権利は、当センターに帰属するものとします。

 

8. 本件に関する問い合わせ・詳細情報の入手について

  • 質問は下記の期間に原則としてメールで受け付け、メールで回答します。
  • 技術審査問題の内容に関する質問は受付ません。
  • 「1.仕様詳細の送付希望」又は「2.技術審査問題文及び実技問題CD-Rの発送希望」の場合はその旨明記してください。
  1. 仕様詳細の送付希望の場合
    仕様詳細の書かれたPDFファイルを送付いたします。
  2. 技術審査問題文及び実技問題CD-Rの発送希望の場合は、以下をお知らせください。
    ・解答開始日時
    ・解答者名及び解答者のメールアドレス
    ・実技問題CD-Rの送付先

※解答開始日時に、技術審査問題文及び実技問題CD-Rのパスワードを送付します。

※実技問題CD-Rは、下記連絡先に直接お越しいただいて手渡しすることも可能です。地方発送の場合は時間がかかりますので予めご了承の上、余裕を持って準備してください。

質問受付締切

平成21年7月8日(水曜日) 12時まで

技術審査問題文及び実技問題CD-Rの発送希望締切

同上

連絡先(事務局)

財団法人地方自治情報センター 自治体セキュリティ支援室(LASC)
担当:百瀬、瀧川

連絡先メールアドレス

本ページ末尾、”このページに掲載されている情報の問い合わせ先“ 参照

 

9. 提案書の提出先

郵便番号102-8419 
東京都千代田区一番町25番地 全国町村議員会館 7階
財団法人 地方自治情報センター 自治体セキュリティ支援室 宛

※封筒に「ウェブ健康診断 提案書在中」と明記してください。

 

このページに掲載されている情報の問い合わせ先

自治体セキュリティ支援室

  • 電話番号:03-5214-8040
  • Fax番号:03-5214-8055
  • メールアドレス: lasc@lasdec.or.jp