意見招請回答「端末セキュリティシステム(不正プログラム ...※windows,...
TRANSCRIPT
意見招請回答「端末セキュリティシステム(不正プログラム対策システム)構築及び監視・運用保守業務」
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
1 2 0
2.システムの要件
特にOSの記載がない場合には、対応する全てのOSで実現可
能なこと。「要否」の欄に加点と記載のないものは必須とす
る。
「対応する全てのOSで実現可能なこと。」の文言を外してい
ただくか、Windows以外のOSにつきましては、一部実現可
能としていただくことは可能でしょうか?
Mac端末やLinux端末、iOS、Androidまでの要件となると、
対応できる製品が少ないかと思いますので、意見を提出させ
ていただきます。
スマートフォン/タブレット(iOS、Android)については、
別途調達するモバイルデバイス管理システムで対応しますの
で、本システムの要件からは外します。
農研機構のパソコンの多くはWindowsですが、MacやLinux
もありますので、全てのOSに対応することが望ましいもの
の、対応OSの制限がかかりやすい機能については、機能の重
要性も考慮の上で対応必須OSを決定・明記し、それ以外の
OSに対応する場合には加点要素とすることも含めて記載を見
直します。
2 2 1
クラウドのサービスモデルは「SaaS(Software as a
Service)」であること。
「クラウドのサービスモデルはSaaS(Software as a
Service)」の文言を外していただくが、または「パブリック
クラウド環境上に構築」の変更にしていただくことは可能で
しょうか?
「SaasS」サービスに限定した場合、対応できるメーカー、
販売店が少なくなると思うためです。ただし、AWSやAzure
環境のパブリッククラウド環境にて、構築をしているお客様
の実績はございます。
IaaSやPaaSでは、農研機構側のシステムの構築及び運用のた
めの業務負担が重くなります。限られたリソースを本来業務
に集中するため、SaaSを前提とします。なお、政府方針のク
ラウド・バイ・デフォルトの原則を尊重するものでもありま
す。
3 3 5~17
「2-2.管理コンソールに関する全般的な要件」 「2-2.管理コンソールに関する全般的な要件」について、
「要否については、Windowst端末のみで構わない」と記載い
ただくことは可能でしょうか?
管理コンソールに関する全体的な要件につきまして、弊社と
してはブラウザではなく、exeを使った「管理コンソール」を
利用しています。こちらはWindows端末のみインストールが
可能のためです。
緊急時には外部から管理コンソールへアクセスすることも考
えられるため、アクセスする端末の仕様はできるだけ制限し
たくありません。このためブラウザベースである調達仕様書
のままとします。
4 3 5
Microsoft Edge、Mozilla Firefox、Google Chromeに対応し
ていること。
管理コンソールについて「Microsoft Edge、Mozilla
Firefox、Google Chrome」のブラウザに絞った文言を削除い
ただけませんでしょうか?
または、「端末にインストールした管理コンソールにて、接
続が可能なこと」と追記いただくことは可能でしょうか?
ブラウザのみに絞られた場合、対応できる製品が限られるか
と思うためです。
ブラウザベースの管理コンソールであることは必要ですので
ブラウザに絞った文言は削除しませんが、全てのブラウザに
対応する必要性は低いため、記載を見直します。
5 3 7
ID及びパスワードによる認証に加えて、モバイルデバイスへ
のワンタイムパスコード送信を使った多要素認証機能を備え
ていること。
文言から外していただくことは可能でしょうか? モバイルデバイス(iPhoneやAndroid想定でしょうか)に対して
のワンタイムパスワードの記載をした場合、製品が限られる
かと思うためです。
SaaSは認証強化のため多要素認証が必須と考えますので多要
素認証の文言は削除しませんが、他の多要素認証も可能なよ
う、記載を見直します。
6 3 8
IPアドレスによるアクセス制限機能を備えている場合には加
点する。
文言から外していただくことは可能でしょうか?
または、「IPアドレスによる」の箇所を削除いただくことは
可能でしょうか?
管理コンソールにつきましては、管理機インストーラーを実
施した端末のみに、インストールがされます。かつ、管理コ
ンソール機能がないものも作成することが可能です(端末機と
呼称)。
よって、IPアドレスではないですが、「アクセス制限」とい
う観点では制御ができると思うためです。
ご指摘のように端末認証もアクセス制限手段としては有効で
すので、端末認証も加点要素とすることも含めて記載を見直
します。
7 3 9
通信の暗号化による盗難防止及びサーバ運営者の真正性確保
のため、管理サーバにはサーバ証明書を実装していること。
「管理サーバにはサーバ証明書を実装していること。」の文
言を外していただくことは可能でしょうか?
サーバーとクライアントの接続について、アプリケーション
間で電子証明書を利用し、通信の暗号化をしております。
前半の「通信の暗号化による盗難防止及びサーバ運営者の真
正性確保」の箇所の要望は上記叶えられると思われるためで
す。
「サーバー証明書」の文言では、製品が限られてしまうかと
思い、意見を提出させていただきます。
SaaS前提・ブラウザベースの管理コンソール前提ですので、
調達仕様書のままとします。
8 3 10日時、アクセス元IPアドレス、ユーザーID、ログイン成否を
記録できること。
「ログイン成否」の文言を外していただけないでしょうか。 「否」についてのログが表示することができる製品が少な
く、製品が絞られるかと思うからです。
ログイン失敗ログの取得については、必須とせず加点要素と
することも含めて記載を見直します。
1
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
9 3 10~11 あたり
大項目「操作ログ」 【追加提案】
収集したログに基づいて、事前定義されたルールに反した際
に、その操作ログはアラートログとして、ログ閲覧画面およ
び検索画面にて、アラート項目の優先順位に応じて3段階以上
に色分けして表示できること。
拡張性の一つとして、特定の端末操作をした際に「アラート
検知」ができる機能がございます。その対象となった「ア
ラート」のログについて、レベルを決めることができ、色分
けをすることが可能です。緊急度の高いアラートが発生した
場合や、注目するアラートに対して、色付けをすることによ
り、見落としをする可能性を減らすことが可能です。運用に
て使える機能のため、提案をさせていただきます。(管理コン
ソールでの機能のため、対応OSはWindowsのみです。)
有効なご意見と考えますので、提案の文言を元に、加点要素
とすることも含めて記載を見直します。
10 3 12
システム管理者とシステム担当者の所掌を分離するため、
ユーザー毎に権限設定が可能であること。
「ユーザー毎」の文言を外すか、「ユーザー毎、または端末
毎に権限設定が可能であること。」に変更は可能でしょう
か。
管理機毎に、利用できる機能(資産管理・ログ管理など)を設
定をすることが可能でございます。ユーザーが利用する端末
での設定になり、要件にはかなうかと思いますので、ご検討
ください。
SaaSはユーザー/ロールベースでの権限付与が一般的と考え
ます。SaaSを前提としますので、調達仕様書通りとします。
11 3 14
一定期間、管理サーバとの通信が行われていない端末は利用
ライセンス数から除外されること。
「利用ライセンス数から除外されること」ではなく、「利用
ライセンス数から除外できるように、手動で設定変更が可能
なこと」に変更は可能でしょうか。
自動的に利用ライセンスを減らす機能はございませんが、数
日ログインしていない端末についてはアラート検知をさせる
ことが可能です。
アラート検知したものを手動で、SKYSEAの利用ライセンス
数から外れる処理をすることは可能です。
また、ライセンスオーバーをした際も、即時に機能が制限さ
れるということはございません。それをふまえて、ご検討く
ださい。
ご提案の内容でも廃棄端末によるライセンスの無駄使いを避
けることはできますので、手動除外も可能なように修正しま
すが、自動除外できることで運用効率が向上するため、自動
除外は加点要素とすることも含めて記載を見直します。
12 3 16
端末が80/443ポートを使ってインターネット上の管理サーバ
と通信できれば、端末のIPアドレスがグローバルIPアドレス
かプライベートIPアドレスかネットワーク接続が無線か有線
かに関わらず、管理コンソールから管理可能であること。
「端末が80/443ポートを使って」の文言を外すことは可能で
しょうか。
80/443 と限られると、対応できる製品が少ないかと存じま
す。
弊社でも HTTP/HTTPSで管理コンソールに接続させるよう
な構成はございますが、社内からクラウド環境へVPN接続を
し、直接接続できる環境もある場合は、ポート
(TCP/UDP:52300前後)であります。
外部での端末利用もありますので、多くのネットワークで許
可している80/443での制御を要件とする調達仕様書のままと
します。
13 3~4 18
以下のOSで動作可能であること。ただしOSメーカのサポー
ト期限が終了したものについてはこの限りではない、また新
たにリリースされるバージョンについても順次対応するこ
と。
・windows 8.1以降、windows 10 Version 1909 以降、
windows server 2012(R2を含む)以降
・macOS 10.14 以降
・Red Hat Enterprise Linux 6 以降、CentOS 7以降、Ubuntu
18.04以降(ただしLTSのみでよいこととする)
・iOS及びiPadOS 13以上、Android 8以上
以下の文言を外していただけないでしょうか。
CentOS 7 以降
iOS及びiPadOS 13以上
Android 8 以上
Ubuntu 18.04以降 ⇒ Red Hat Enterpriseと同等機能対応と
記載をお願い致します。
CentOSはオープンソースであり、正式に対応する文言がある
場合、対応できる製品は少ないかと存じます。
また、iOS, Androidにつきましては、不正プログラム対策シ
ステム側ではなく、モバイルデバイス管理システム調達側か
と思いますので、3つのOSについては外していただけないで
しょうか?
Ubuntuについては、Red Hat Enterpriseと同様機能を有する
事が現実的で要件にも叶えられると思うため、意見させてい
ただきます。
スマホ/タブレット(iOS、Android)については、別途調達
するモバイルデバイス管理システムで対応しますので、本シ
ステムの要件からは外します。
農研機構のパソコンの多くはWindowsですが、MacやLinux
もありますので、全てのOSに対応することが望ましいもの
の、対応OSの制限がかかりやすい機能については機能の重要
性も考慮の上で対応必須OSを決定・明記し、それ以外のOS
に対応する場合には加点要素とすることも含めて記載を見直
します。
14 4 21
大項目:インストーラー
GUI、CLI双方で動作すること。
「GUI、CLI双方で動作すること」を外していただくことは可
能でしょうか?
例えば、RHELは基本、CLIなので、GUIでの実行文言がある
と、要件に叶えられないと思うためです。
GUIはWindows、macOSのみ必須とし、Linuxで対応してい
る場合には加点要素とすることも含めて記載を見直します。
CLIはWindows、Linuxのみ必須とし、macOSで対応している
場合には加点要素とすることも含めて記載を見直します。
2
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
15 4 22
CLIを利用してインストールする場合には引数を与えることで
GUIを立ち上げずにサイレントインストールが可能であるこ
と。
「Windowsにおいて、CLIを利用してインストールする場合
には引数を与えることでGUIを立ち上げずにサイレントイン
ストールが可能であること。」
のように、Windows端末のみにすることは可能でしょうか?
インストーラーは、GUI/CLI関係なく、サイレントでインス
トールがされる。
アンインストーラーは、管理コンソール上からアンインス
トーラーを展開することで
サイレントでアンインストールが可能。
サイレントインストールは現行システムを利用して実施しま
すが、現行システムでのサイレントインストールはWindows
に限定されるため、ご指摘のように本機能はWindowsに限定
するよう記載を見直します。
16 4 23
グループに紐付くインストーラーの作成が可能で、インス
トール後には端末が自動的にグループに登録される機能を有
すること。
「Windows、Macにおいて、グループに紐付くインストー
ラーの作成が可能で、インストール後には端末が自動的にグ
ループに登録される機能を有すること。」
のように、Windows端末、Mac端末のみにすることは可能で
しょうか?
Windows, Macにはご用意がございますが、他のOSまで加え
ると、対応できる製品は絞られてしまうかと思うためです。
パソコンの入れ替えなどに伴ってクライアントプログラムの
インストールは恒常的に発生するため、インストール後のグ
ループへの自動登録は運用効率化への貢献度の高い機能で
す。このため、Windows、Macに限定せず、Linuxも含めた
調達仕様書のままとします。
ただしインストーラ自体に対象のグループが紐づいている必
然性は低いので、インストール時の引数などでグループに紐
づけできる場合にも要件を満たすこととし記載を見直しま
す。
17 4 24
エージェントプログラムのアンインストールパスワードを設
定可能なこと。
「エージェントプログラムのアンインストールパスワードを
設定可能なこと。」を
Windowsのみに指定させることは可能でしょうか?
または、パスワードと同様に、何かしらの値を入れることに
よって、アンインストールができる方法でも問題ございませ
んでしょうか?
Mac端末、RHELにつきましては、パスワードを付けることは
できません。
ただし、シリアルNoを入力する必要がありますので、一般の
ユーザーが、シリアルNoを知りえない限り、アンインストー
ルをすることはできません。
よって、要件には叶えられると思うため、文言の修正を依頼
させていただきます。
Linuxについては、サーバやAI研究など利用者による設定の自
由度が高い使い方が多く、本機能の必要性は低いため対象か
ら外します。
一方Macは日常的に一般業務の端末として使う場合も多いた
め本機能の対象とします。Windows及びMacを対応必須OSと
する内容に記載を見直します。
18 4 25
システム管理者がアンインストールパスワードを不要とする
グループに端末を移動させることで、端末利用者がパスワー
ドを知ることなく、アンインストールが可能なこと。(障害対
応や端末廃棄など業務上エージェントプログラムのアンイン
ストールが必要になった場合のため)。
Windowsのみに指定されることは可能でしょうか? 管理サーバーから、端末に対して、アンインストーラーの展
開が可能です、その際、アンインストールパスワードが不要
です。
そのアンインストーラーを展開するグループを作っていただ
き、そのグループのみに展開いただくようにすることで運用
が可能です。
上記については、Windowsのみの機能であるため、意見を提
出させていただきます。
Linuxについては、サーバやAI研究など利用者による設定の自
由度が高い使い方が多く、本機能の必要性は低いため対象か
ら外します。
一方Macは日常的に一般業務の端末として使う場合も多いた
め本機能の対象とします。Windows及びMacを対応必須OSと
する内容に記載を見直します。
19 4 26
クライアントプログラムはカーネルモードで動作すること。 「カーネルモードで動作すること。」の文言を外していただ
くことは可能でしょうか?
または、ウイルス対策ソフトウェアやEDR製品についての文
言かと思いますので、「ウイルス対策ソフトウェア、または
EDR製品については、カーネルモードで動作すること。」と
追記いただくことは可能でしょうか?
Windowsでのほとんどのプログラムが、ユーザーモードで動
作しているためであり、ユーザーモードで実現できない機能
に関しては、ドライバとしてカーネルモードで動作させてい
ます。
そのため「カーネルモードで動作すること」と指定した文言
を外していただけたらと思います。
挙動を検知するためにはOSからより多くの情報を収集できる
カーネルモードが有効と考えますので、調達仕様書のままと
します。
20 5 46
指定した端末をネットワーク的に隔離する機能があること。
ただし隔離後も管理サーバとの通信機能のみ継続して管理コ
ンソールから管理が可能であること。
「Windowsにおいて、指定した端末をネットワーク的に隔離
する機能があること。ただし隔離後も管理サーバとの通信機
能のみ継続して管理コンソールから管理が可能であるこ
と。」
のように、Windowsのみに指定されることは可能でしょう
か?
EDR製品、ウイルス対策ソフトウェア側での機能かと存じま
すが、弊社製品では、Windowsでのみ隔離が可能です。
もし資産管理製品にて、隔離(遮断)機能を入れようとしてい
る場合、対応できる製品が少ないとかと思うため、意見を提
出させていただきます。
ネットワークからの隔離機能は、攻撃拡大を抑止するEDRの
コア機能であるため、全てのOSを対象とした調達仕様書のま
まとします。
3
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
21 5 48
以下に示す端末の情報を取得し、管理コンソールで確認でき
ること。
1.OSの種類
2.OSのメジャーバージョン(windows10 1909、macOS
10.15等)
3.モデル名(機器名)
4.ホスト名またはNetBIOS名
5.端末に設定されているIPアドレス。端末がルータに接続
されている場合にはルータのIPアドレス(グローバルアドレ
ス)も取得できること
6.Macアドレス
7.端末が最後に管理サーバと接続した日時
「5.端末に設定されているIPアドレス。端末がルータに接
続されている場合にはルータのIPアドレス(グローバルアドレ
ス)も取得できること」について、文言からはずして頂くこと
は可能でしょうか?
資産管理製品につきましては、端末に対して直接、グローバ
ルIPアドレスが付与されている場合でしたら、取得が可能で
す。
ただし、接続している側のルータについて取得をする場合、
対応できる製品が少ないかと存じます。よって、意見を提出
させていただきます。
端末がNAPT装置の配下にいる状態で不審通信を検知した場
合には、端末を特定するため、本機能が有効であると考えま
すので、調達仕様書のままとします。
22 6 50~52あたり
大項目:USBメモリ制御 【追加提案】
・USB外部ストレージの管理台帳に登録されているUSBメモ
リについてその有無をシステムを利用して確認できること。
・所在の有無は各USBメモリの利用者もしくは管理責任者が
確認し、USBメモリをクライアントコンピューターに挿入す
ることでその有無を一括管理でき、管理台帳に反映できるこ
と。
USBメモリの運用の観点での提案内容です。セキュリティの
観点上、USBの棚卸の対応する機会はあるかと存じますの
で、その際にご活用いただける機能かと存じます。
※USBメモリの制御についてはWindows, Mac端末のみで
す。
当機構においては、USBデバイス台帳は別ツールにて管理し
ていますので、ご提案の機能を改めて採用する必要性は高く
ありません。このため調達仕様書のままとします。
23 6 50
端末に接続されたUSBデバイスのデバイスインスタンスパス
を取得し、その記録を管理コンソールにアップロードするこ
と。
「USBデバイスのデバイスインスタンスパスを取得」につい
て、デバイスインスタンスパスではなく、取得できる情報
「シリアルNo、ベンダーID、プロダクトID」に変更いただく
ことは可能でしょうか?
また、Windows端末、Mac端末のみに絞っていただくことは
可能でしょうか?
サーバーに対して、USBデバイスのシリアルNoなどの情報を
送付することは可能です。ただし、デバイスインスタンスパ
スから直接取得しているものではなく、Windowsでいうと、
USBInfoというWindowsのツールで取得する方法と同様の動
きをするものでデバイスの情報を取得しています。
なので、実際に取得する情報「シリアルNo、ベンダーID、プ
ロダクトID」などを記載いただきたく存じます。
かつ、アップロードにつきましては、端末に対してUSBデバ
イスを接続をした場合、自動的にサーバーへシリアル情報な
ど、取得した情報がアップロードいたしますので、要件には
叶えられる機能かと思います。
また、デバイス制御はRHELなどのLinux製品は対応しておら
ず、対応できる製品も少ないかと思いますため、対応OSを絞
らせていただく意見を提出させていただきます。
現行のIT資産管理システムでは接続済みのUSBデバイスのデ
バイスインスタンスパスを取得しています。このデータを移
行できると、本システムでのUSBデバイスの登録工数を削減
できるため、調達仕様書のままとします。
また本機能は対応OSの制限がかかりやすい機能と考えます。
このため対象OSをWindowsに限定することで対象製品の幅を
広げ、Windows以外のOSでも対応可能な場合は加点要素とす
ることも含めて記載を見直します。
24 6 51
接続されたデバイス(CDやDVD、BDを含む)の自動起動を停
止して実行させない機能を持つこと。
「Windowsにおいて、接続されたデバイス(CDやDVD、BDを
含む)の自動起動を停止して実行させない機能を持つこと。」
とWindowsのみの要件にすることは可能でしょうか?
Windows以外のOSも要件にある場合、対応できる製品は少な
いかと思い、意見を提出させていただきます。
※Autorunの禁止にて対応しております。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
25 6 52
パーミッションレベルでのUSBデバイス制御が可能であるこ
と。具体的にはリストに登録されているUSBデバイスは全て
の操作可能であること。登録されていないUSBデバイスの場
合には読み込みと実行のみを許可し、書き込み禁止する運用
が可能であること。
「Windows, Macにおいて、パーミッションレベルでのUSB
デバイス制御が可能であること。具体的にはリストに登録さ
れているUSBデバイスは全ての操作可能であること。登録さ
れていないUSBデバイスの場合には読み込みと実行のみを許
可し、書き込み禁止する運用が可能であること。」と
Windows, Macのみの要件にすることは可能でしょうか?
Linuxもあるとなると、対応できる製品が少ないため、意見を
提出させていただきます。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
4
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
26 6 53
Hash値を持ちにした起動制御が可能なこと。 「Windowsにおいて、Hash値を持ちにした起動制御が可能な
こと。」
のように、Windowsのみの要件にすることは可能でしょう
か?
Windows以外の他OSも要件の場合、対応できる製品が少ない
かと思うため、意見だしをさせていただきます。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
27 6 55
ファイル名を元にした起動制御が可能なこと。 「Windowsにおいて、ファイル名を元にした起動制御が可能
なこと。」
のように、Windowsのみの要件にすることは可能でしょう
か?
加点項目ではございますが
すべてのOSで対応が必要かの観点で意見を出させていただい
ております。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
28 6 56
ファイル名制御について、ファイル名の変更禁止処理をかけ
ることが可能な場合は加点する。
「Windowsにおいて、ファイル名制御について、ファイル名
の変更禁止処理をかけることが可能な場合は加点する。」
のように、Windowsのみの要件にすることは可能でしょう
か?
加点項目ではございますが
すべてのOSで対応が必要かの観点で意見を出させていただい
ております。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
29 6 57
起動制御方式は、プロセス起動前に実行を防げる事前対処方
式であること。定期的に起動しているプロセスを監視し該当
があった場合に当該プロセスを停止する事後処理対処方式は
認めない。
「Windowsにおいて、起動制御方式は、プロセス起動前に実
行を防げる事前対処方式であること。定期的に起動している
プロセスを監視し該当があった場合に当該プロセスを停止す
る事後処理対処方式は認めない。」
のように、Windowsのみの要件にすることは可能でしょう
か?
加点項目ではございますが
すべてのOSで対応が必要かの観点で意見を出させていただい
ております。
起動制御ができるのは、Windowsのみでございます。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
30 6 58
OSのセキュリティパッチの適用状況を取得する機能があるこ
と。
「Windows において、OSのセキュリティパッチの適用状況
を取得する機能があること。」とWindowsのみの要件にする
ことは可能でしょうか?
Windowsのセキュリティパッチの要件かと思いますが、現状
ですと、ほかのMac端末やLinux端末についても、機能要件と
なってしまい、叶えられる製品がないかと思うためです。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
31 6 59
CVE番号等の脆弱性番号から該当するソフトウェアがインス
トールされている端末を検索できること。
【確認項目】
脆弱性番号ではなく、CPE製品名でもよろしいでしょうか?
また、Mac端末、RHELにつきましては必須でしょうか?
JVNより脆弱性情報を取得し、CPE製品名として端末を検索
いたします。CPE製品名での検索でよろしいのであれば、〇
です。
(Mac, RHELにつきましては、No.60の対応次第です)
脆弱性対策の運用は、JVNサイトで公開される脆弱性情報の
CVE番号を元に該当端末を検索する流れになりますの、誤解
を生じないように「CVE番号等」は「CVE番号」に記載を見
直します。
また本機能は対応OSの制限がかかりやすい機能と考えますの
で、対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
32 6 60
脆弱性のCVSS基本値が表示され、管理コンソール上で把握可
能であること。
【確認項目】
Mac/RHELのアプリケーションについては、JVNの脆弱性情
報と紐づけるCPE製品名がSAMAC辞書にないため、脆弱性の
情報を紐づけることが厳しいが、手動でCPE製品名を入力す
ることも可能であるため、対応することは可能です。
よって、工数が掛かる項目でありますので、Windowsのアプ
リケーションのみでも問題ないでしょうか?
確認ができる「管理コンソール」はWindows端末でのみ導入
が可能。
脆弱性情報の対応可否については、SAMACのライセンス情報
と掛け合わせて、CPE製品名管理にてインストール対象のPC
の確認が行えます。ただし、Mac/RHELのアプリケーション
については、JVNの脆弱性情報と紐づけるCPE製品名が
SAMAC辞書にないため、脆弱性の情報を紐づけることが厳し
いが、手動でCPE製品名を入力することも可能であるため、
対応することは可能のためです。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
但し、脆弱性の特定にはCVE番号を想定しており、CPE製品
名は想定していません。
5
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
33 6 61
同じサブネット内に繋がっている機器等(パソコン、スマー
トフォン、タブレットに限らない)を探索して、クライアン
トプログラムがインストールされていない端末を管理コン
ソール上で確認できること。
【確認項目】
こちらの検知役としては、SKYSEA単体でも確認することは
可能ですが、別途サードパーティ製などを利用する想定の文
言なのでしょうか?
また、検知役の端末はWindows端末のみでもよろしいでしょ
うか?
同セグメント内で検知をするためには、SKYSEAのエージェ
ントがインストールされた端末があることと、端末の電源が
入っている状態(かつ有線LAN)であることが必要です。その
ため、24時間検知をする場合、各セグメントに検知用の端末
の用意が必要となります。
よって、PCにて検知をすることが難しい場合は、弊社と連携
しているサードパーティ製の検知製品を導入していただくこ
ともございますので、運用に合わせたご提案をするべく、確
認をさせていただいている次第でございます。
また、弊社の製品は、同セグメントで検知できるのは
Windows端末であるため、確認をさせていただいておりま
す。
サードパーティ製の検知専用端末を別途設置して24時間検知
することまでは想定していません。エージェントがインス
トールされている端末の電源が入っている時間内で検知でき
れば要件に合致します。
また本機能は対応OSの制限がかかりやすい機能と考えます。
このため対象OSをWindowsに限定することで対象製品の幅を
広げ、Windows以外のOSでも対応可能な場合は加点要素とす
ることも含めて記載を見直します。
34 6 62
SNMP等でさらに機器の種類を類推可能(例えばmacアドレ
スから複合機と思われる等)な場合には加点する。
【確認項目】
SNMPのパケットを投げられるのはWindows端末からでござ
います。
本件は、SNMPの発信元のOSの制限はございますでしょう
か?
加点項目ではございますが
すべてのOSで対応が必要かの観点で意見を出させていただい
ております。
SNMPの通信発生端末として動作ができるのは、Windowsの
みでございます。
Windowsは必須とし、Windows以外のOSでも対応可能な場
合は加点します。なお、方式は特に限定しませんので記載を
見直します。
35 6 63
CLIを使ったコマンドの実行や PowerShell のスクリプト実行
が可能なこと。これにより、 レジストリの変更が可能なこと
。
「Windowsにおいて、CLIを使ったコマンドの実行や
PowerShell のスクリプト実行が可能なこと。これにより、
レジストリの変更が可能なこと 。」
のようにWindows端末のみの要件することは可能でしょう
か?
レジストリの変更、という箇所で、
要件がWindows限定に限られるため、意見を提出させていた
だきます。
本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
36 6 64
全端末に対する同一のコマンド実行や PowerShell スクリプ
ト 実行を自動化するため、当該機能を API 経由で利用可能な
こと 。
文言から外していただくことは可能でしょうか? 全端末に対して、ソフトウェア配布機能を利用することによ
り、同一のコマンド実行(batファイルにて)や、PowerShell
スクリプト 実行を実行させることは可能ですが、APIでの実
行方法を記載すると、対応できる製品が限られるかと思うた
めです。
全端末に対する同一のコマンド実行や PowerShell スクリプ
ト実行を自動化は、セキュリティ運用の効率化のために重要
な機能ですので調達仕様書のままとします。
なお実運用においては条件にマッチした複数の端末に処理を
実施することが現実的なため、記載を見直します。
但し対応OSの制限がかかりやすい機能であることを考慮し、
対象OSをWindowsに限定することで対象製品の幅を広げ、
Windows以外のOSでも対応可能な場合は加点要素とすること
も含めて記載を見直します。
またAPI経由と制限する必要性は低いため、API以外の実装も
仕様を満たす形に記載を見直します。
37 6 65
大項目「リモートコントロール」についてCLIに加えてにGUI
による操作が可能な場合には加点する。
「CLI」のリモートコントロールを外していただくことは可能
でしょうか?
別の製品(セキュリティ製品側)の可能性もございますが、資
産管理製品の場合、CLIでのリモートコントロール機能がある
製品が少ないと思うためです。
CLIにより、ユーザの作業に影響を与えずに遠隔で設定変更や
インシデントの調査を行うことを想定していますので、調達
仕様書のままとします。
38 6 65あたり
大項目:リモートコントロール 【追加提案】
・複数のクライアントコンピューターをリモート操作できる
こと。
・パスワード入力など、セキュリティの観点からクライアン
トコンピューターに表示したくない遠隔操作を行う場合は、
クライアントコンピューターに対して操作画面を隠しながら
遠隔操作を行えること。
複数の端末に対してリモートをする際や、リモート時にユー
ザーに対して操作内容が見られたくない場合が運用時にある
かと思いますので、提案をさせていただきます。
※Windows, Mac端末にリモート機能は対応しております。
有効なご意見と考えますので、記載を見直します。
6
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
39 7 68~71あたり
2.7. 端末の運用に関する機能 【追加提案】
クライアントコンピューターから収集したログデータをバッ
クアップし、またバックアップデータを管理コンソール上で
閲覧できること。
バックアップの操作ログを確認する際に、バックアップ先の
ファイルパスを指定することで、リストアせずにログを確認
することがSKYSEAでは可能です。バックアップのログを見
る際は緊急性の高い場合があると思いますので、提案をさせ
ていただきます。
有効なご意見と考えますので、記載を見直します。
40 7 70
単一の管理コンソールで運用が可能なこと。 【確認項目】
管理コンソール自体に対応OSの要否はございますか?
また、単一の管理コンソール
可否がある場合、Windows端末のみの要件することは可能で
しょうか?
EDRなどの部分についても要件として単一のものを指定され
ておりますでしょうか?
そうであれば、こちらの項目も加点項目にしていただくこと
は可能でしょうか?
管理コンソールを導入できるOSはWindows端末のみのため、
回答次第で要否が変わるためです。
概要はOSの話ではないと思いますが、確認をさせてくださ
い。
また、単一の管理コンソールにつきましては、EDRにつきま
しては弊社製品ではないかと思うため、単一では管理するこ
とができず、ほかの製品も同様かと思われます。
要件を見直すか、加点項目にしていただくように意見をいた
します。
NGAV、EDR、IT資産管理の各機能を、ブラウザベースの単
一の管理コンソールで利用することを想定しています。管理
コンソールが複数になると情報の分散や操作の習得により作
業効率の低下が懸念されますので、単一の管理コンソールと
する調達仕様書のままとします。
41 7 70
単一のクライアントプログラムと単一のコンソールにて実現
可能な製品の場合には加点する。
【確認項目】
単一のクライアントプログラムと単一のコンソ-ル自体に対
応OSの要否はございますか?
可否がある場合、Windows端末のみの要件することは可能で
しょうか?
EDRなどの部分についても要件として単一のものを指定され
ておりますでしょうか?
管理コンソールOSはWindows端末のみのため、回答次第で要
否が変わるためです。
概要はOSの話ではないと思いますが、確認をさせてくださ
い。
また、加点項目のため、意見としては難しいかもしれません
が、すべての要件を叶えられる単一の製品は少ないと思うた
め、対応できる製品が絞られてしまうかと思います。
OSに依存しないブラウザベースの管理コンソールを想定して
います。クライアントプログラムは、指定した全てのOS
(Windows、Mac、LINUX)への対応を原則としますが、機
能によってはOSを限定し、それ以外でも対応可能な場合は加
点要素とすることも含めて記載を見直します。
NGAV、EDR、IT資産管理の機能を備えた単一のクライアン
トプログラムと単一の管理コンソールでシステムを構成でき
れば、運用の簡素化による作業効率の向上が期待できますの
で調達仕様書のままとします。
42 7 0
2-8-1.エンドポイントセキュリティ製品としての評価
「以下に示す第三者機関の評価を複数受けていること。」
【確認項目】
こちらはEDR製品やウイルス対策ソフトウェア製品に対して
の記載でしょうか?
資産管理ソフトウェアのため、「MITRE ATT&CK, SE Labs,
AV Comparatives」についての評価は受けておりません。
ウイルス対策ソフトウェア側の要件だと思いますが、認識が
異なる場合もあると思い、確認をさせていただきます。
NGAVとEDRの機能についての記載となります。IT資産管理
に関する評価ではありませんが、ご提案いただく製品には
NGAVとEDR機能は必須ですので、本要件を満たす製品は必
要となります。
43 9 5
ホワイトリスト(またはブラックリスト)へのデバイスインス
タンスパスの追加
「デバイスインスタンスパス」の文言を変更いただくことは
可能でしょうか?
(シリアルNoなどの情報 )
6ページのNo.50と同様の理由のため。 現行のIT資産管理システムでは接続済みのUSBデバイスのデ
バイスインスタンスパスを取得しています。このデータを移
行できると、本システムでのUSBデバイスの登録工数を削減
できるため、調達仕様書のままとします。
44 2
1-7.
作業スケ
ジュール
管理サーバ設定・・・1月 管理サーバに設定する内容を設計する期間がないため、設計
作業を含めて長くしていただきたい。
設計する期間がないため、「2.システムの要件」に合わせ
た設計が難しい。
現行システムの利用期限を踏まえて記載を見直します。
45 29
ファイルをバイナリ解析し、不正プログラムとの類似性を機
械学習で自動比較して危険度を判定する機能を持つことで、
亜種の不正プログラムにも対応できること 。
要件の修文をご提案します。
ファイルをバイナリ解析し、不正プログラムとの類似性を機
械学習で自動比較して危険度を判定する機能、若しくは、ホ
ワイトリストの制御の機能を持つことで、亜種等の不正プロ
グラムにも対応できること。
未知或いは亜種の不正プログラムに対応する機能として、不
審なファイルは実行させないホワイトリスト型のアプリケー
ション制御は非常に効果的です。製品選定の幅を広げ、より
よい構成をご提案するため、修文のご検討をお願い致しま
す。
有効なご意見と考えますので、記載を見直します。
7
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
46 30
不正プログラムを検出した場合には端末内にてファイルを隔
離すると共に、管理サーバにアップロードすること。合わせ
てこれを通知する機能を持つこと 。
要件の修文をご提案します。
不正プログラムを検出した場合には端末内にてファイルを隔
離すると共に、管理サーバにアップロードすること。合わせ
てこれを通知する機能を持つこと 。他のEDR機能やIT資産管
理機能を使っての対応も可とする。
ファイルをアップロードするなどファイルを操作する機能は
NGAVに限定されないと考えるためです。
有効なご意見と考えますので、記載を見直します。
47 31
端末で動作しているプログラムの振る舞いから攻撃の兆候を
検知することで、ファイルレス攻撃・マルウェアレス攻撃・
正当なプログラムへの不正コードのインジェクション攻撃に
も対応できること 。
要件の修文をご提案します。
ファイルレス攻撃・マルウェアレス攻撃・正当なプログラム
への不正コードのインジェクション攻撃にも対応できるため
に、端末で動作しているプログラムの振る舞いから攻撃の兆
候を検知する機能、或いは、未然に感染を防止するホワイト
リストの機能を持つこと。
不審なファイルは実行させないホワイトリスト型のアプリ
ケーション制御は非常に効果的です。また、兆候の検知より
制御(ブロック)の方が運用負担を軽減することが可能で
す。製品選定の幅を広げ、よりよい構成をご提案するため、
修文のご検討をお願い致します。
有効なご意見と考えますので、記載を見直します。
48 41
Windows において 、 未検知のイベントデータはサーバに 30
日間保持して即時可能とし、 30 日を超える 未検知の イベン
トデータは、 CSV 若しくは XML 若しくはJSON のテキスト
ベースのデータ形式でエクスポートできること 。
要件の修文をご提案します。
Windows において 、 未検知のイベントデータはサーバに 30
日間保持して即時可能とし、 30 日を超える 未検知の イベン
トデータは、 CSV 若しくは XML 若しくはJSON のテキスト
ベースのデータ形式でエクスポートできること 。
エクスポートが出来ない場合は検知されたイベントデータと
同様に90日間サーバに保存して、即時検索可能なこと。
インシデント対応において、検知の時間はできるだけ短くす
ることが望ましいと考えるためです。
エクスポートしたテキストデータを検索するよりも、インシ
デント対応に最適化されたクラウド技術を活用するほうがよ
り早くデータへアクセスすることが可能になるため、より長
くサーバに保存できることは検知時間の短縮に寄与できるも
のと考えます。製品選定の幅を広げ、よりよい構成をご提案
するため、修文のご検討をお願い致します。
インシデント発生後の調査に備えて、できるだけ多くのログ
を長期に保存しておけるエクスポート機能は残しておきたい
と考えます。ご提案の方式ではエクスポートできないことを
認めることになりますので、調達仕様書のままとします。
49 1 1-3-1
Windows/Mac/Linux(特にUbuntu)/iOS/Androidに対応可能
であること
変更案「クラウドサービスはWindows/Mac/Linux(特に
Ubuntu)/iOS/Androidに対応可能であること。監視・運用
サービスはWindows/Mac/Linux(特にUbuntu)に対応可能で
あること。」
監視・運用サービスではiOS,iPadOS,Androidは費用対効果が
見合わない為。
スマホ/タブレット(iOS、Android)については、別途調達
するモバイルデバイス管理システムで対応しますので、監
視・運用サービスからは外します。
50 8 2-12No.3
受付時間 平日9時~17時 変更案「受付時間 平日9時~17時(年末年始などは要相
談)」
基本的には平日9時~17時で大丈夫ですが、保守提供会社の
年末年始休暇などが公的組織の休暇と1日程度ズレが生じる場
合があります。
有効なご意見と考えますので、記載を見直します。
51 8 2-12No.4
受付方法
受付者は受付窓口を用意し、メール、電話による受付を行
い、必要に応じてベンダへの問い合わせや保守作業依頼を行
うこと。受付後、通し番号、受付件名、回答見込み日時を指
定のメールアドレスへ通知すること。
変更案「受付者は受付窓口を用意し、メールによる受付を行
い、必要に応じてベンダへの問い合わせや保守作業依頼を行
うこと。受付後、通し番号、受付件名を指定のメールアドレ
スへ通知すること。」
電話の受付は基本的には行わず、メールによる受付になりま
す。また回答見込日時は受付直後に予測することは難しい
為、ご連絡に時間を要することがあります。
有効なご意見と考えますので、記載を見直します。
ただし回答目途については案件の進捗管理の観点に基づき、
記載を見直します。
52 9 3-2 No.1224時間365日監査サービスを提供すること。 変更案「アラート監視と端末隔離は24時間365日行うこと。
アラート調査、任意調査は平日9時~17時で行うこと」
アラート調査、任意調査を24時間365日行うと莫大な金額に
なる為。
有効なご意見と考えますので、記載を見直します。
53 10 3-2 No.18
監視サービスの内容について、毎月報告書を提出すること。
報告書には以下の内容を含むこと。
・アラートの件数と調査結果
・任意調査の件数と調査結果
・直近のサイバー攻撃の動向を踏まえた専門的知見に基づく
注意喚起や対策の提案
変更案「アラート調査、任意調査の結果は、調査の都度報告
書を提出すること。また下記内容を含む月次例告書を提出す
ること。
・アラート件数
・任意調査件数
・直近のサイバー攻撃の動向を踏まえた専門的知見に基づく
注意喚起や対策の提案」
調査の都度、詳細な報告を提出すれば、それを集めた厚い月
例報告書とするよりも、月例報告書は統計情報やサマリー情
報にした方がよりよいと考えます。
有効なご意見と考えますので、提案の文言を元に修正しま
す。
ただし月次報告においても報告内容の概要について説明いた
だきたいため、記載を見直します。
54 10 3-2 No.19
導入ユーザー向けに無料のハンズオンセミナーを開催してい
る場合には加点する。
変更案「導入ユーザー向けにセミナーを開催している場合に
は加点する。それがハンズオンセミナーの場合にはより加点
する。」
ユーザー向けセミナーのないサービスもある為。 有効なご意見と考えますので、記載を見直します。
8
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
55 10 4-1 No.9
監視サービス 月例報告書
納品期日 毎月末まで
変更案「納品期日 翌月5営業日まで」 月末最終日にアラート調査を行い、その報告をすることがあ
りえますので、月末日にそれも含めた月例報告書を提出する
ことは時間的に厳しく5営業日頂きたく。
翌月にすることで当月末までのまとめが可能となりますの
で、記載を見直します。なお、実施期限は余裕を見て翌月10
営業日までとします。
56 2 1-6
【作業スケジュール】
ライセンス :2021 年4月1日から 2026 年3月 31 日
実際に提供するライセンスの期間は、2021年1月1日から2026
年3月31日でもよろしいでしょうか。
EDR製品によっては、構築フェーズからライセンスを要する
ため。
提案製品の提供期間は契約開始日からを前提としておりま
す。ただし契約開始前から提供期間までの間は展開期間とし
て農研機構の端末に展開が可能な形でご提案願います。
57 2 1-7
【契約期間】
図で示された作業スケジュール(システム利用が4月開始と
なっている点)について
EDRの運用開始には、通常業務として使用しているにも関わ
らず不正なスクリプトと判断する事象の排除(例外設定)等
のチューニングが必要になりますが、その作業は、2021年4
月1日より開始する想定でも問題ないでしょうか。
問題無い場合は、その旨を明示いただくことを希望します。
適切なチューニングを実施するためには、エージェントプロ
グラムの展開が完了する3月31日以降に実施する必要がある
ため。
ご指摘の通り、クライアントプログラムの展開が完了した段
階からチューニングを開始すると網羅性が高まって効果的と
考えますので、記載を見直します。
58 5 2-5. No.47
【専門部隊による 脅威分析】
本システムを導入している組織のエージェントプログラムか
ら収集したデータ を 24 時間 365 日で調査する専門部隊が存
在し、地域や業態を横断して脅威情報 を検出・共有する体制
を有していること。
本要件は、EDR機能の要件として記載されていますが、監
視・運用支援のサービスとして提供する方法でもよろしいで
しょうか。
もし想定されている機能の前提があれば、要件として明示い
ただくことを希望します。
見積前提を正しく理解するため。 本機能はEDR製品の要件となります。EDR製品として検知能
力を高めるための組織的機能を備えていることを確認するも
のです。
59 9 3-2. No.12
【稼働時間/24時間365日対応】
24時間365日監査サービスを提供すること。
EDR製品及びNGAV製品のアラート検知をもとに、監視・運
用を行うサービスとして、対象の機能を限定してもよろしい
でしょうか。
弊社の監視・運用サービスは、EDR製品及びNGAV製品のア
ラート検知をもとに、監視・運用を行うサービスです。その
ため、本調達での調達対象機能のうち、EDR及びNGAVにつ
いてのみ監視・運用サービスのご提供が可能です。
スマホ/タブレット(iOS、Android)については、別途調達
するモバイルデバイス管理システムで対応しますので、監
視・運用サービスからは外します。
60 9 3-2. No.13
【アラート対処/端末の隔離】
危険度が高いアラートが発報された場合には、自動でメール
通知が行われ、予め農研機構と受注者で取り決めた基準に
従って1時間以内に端末のネットワーク からの端末の隔離を
実施すること。 ※月間の隔離実施件数に上限がある場合には
明記すること。
製品が生成したアラートを起点に1時間以内に隔離する旨の
記載がありますが、2時間以内に変更いただくことは可能で
しょうか。
弊社の監視サービスでは、隔離までの対応時間を2時間以内で
実施することを目標水準としています。EDR製品のアラート
の危険度レベルだけで判断してしまうと誤った隔離(誤検知
による対応)をしてしまうケースが度々生じ、弊社の運用経
験においても、お客様側での負担が増える事例が少なくあり
ません。
弊社では、上記の点を考慮し、隔離を行う前にアナリストに
よる調査を十分実施し、その結果をもって、隔離を実施して
おります。
なお、サービス仕様書上は時間に関する保証を定めておりま
せんが、実績値としては1時間以内で対処できているケースも
ございます。
アラート検知後、端末隔離前にアナリストの調査が入る場合
には誤検知を抑制する効果が期待できますので、記載を見直
します。
その場合、アナリストによる調査を経てから端末隔離を実施
することが前提となりますので、農研機構で調査結果を確認
出来る必要があるのでその点も記載を見直します。
また自動メール送信は監視・運用サービスのメニューではな
くEDR製品の機能となることから、記載を見直します。
61 9 〃 〃
加点対象として、以下の記載を追加することを推奨します。
-----
アラートをトリガーに対処を行う当機構の運用負荷を低減す
ることに繋がる工夫や通知手順等、監視サービスを提供する
上で取り組んでることがあれば、提案書にて示すこと。
製品が発報するアラートの重要度のみに依存した監視サービ
スであれば、インシデント通知は、サービスの機能ではな
く、製品の機能で実装可能です。
監視・運用サービスをご利用いただく目的は、お客様に代わ
り「人」が判断すべきインシデントの内容を分析するところ
にあると考えます。
貴機構が要求される運用・監視サービスが単に製品のアラー
ト機能を利用した画一的なサービスではなく、ある一定の品
質を維持したものであることを評価するために、調達時の評
価軸として、この「人」や「プロセス」のスキル・ナレッジ
についても言及されるべきだと考えます。
有効なご意見と考えますので、記載を見直します。
9
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
62 9 〃 〃
「自動でメール通知が行われ」を改め、「メールによる通知
を実施し」への変更を希望します。また、「緊急度が高い場
合は電話連絡すること」を加点対象として追記することを希
望します。
EDR製品の基本機能として自動メール通知を有しています
が、弊社サービスでは、No.5及び6に記載した「人(アナリ
スト)が判断すべき」点を踏まえ、通知先は弊社監視セン
ターとしており、貴機構への通知は、弊社監視センターから
のチケット発行(チケットシステムの該当事象のURLが記載
されたメール通知)又は電話連絡が第一報になります。
オオカミ少年では御座いませんが、貴機構への通知から対処
不要なものを排除することが、監視サービスの価値と考えて
います。
自動メール送信はEDRの機能を想定していますので、監視・
運用サービスからは「自動で」は削除します。また、緊急度
が高い場合の電話連絡については、インシデント対応力の向
上が期待できますので、加点要素とすることも含めて記載を
見直します。
63 9 3-2. No.14
【アラート対処/10分以内の端末 隔離】
アラート検知後、端末のネットワークからの隔離が10分以内
に実施できる場合には加点する。
弊社監視要員による対応ではなく、EDR製品による自動隔離
が可能な場合は、その対応でも加点対象になりますでしょう
か。
弊社が選定する予定の製品にて、自動的に隔離まで実現でき
る機能を実装する計画があるため、ご質問させていただきま
す。
場合によっては、EDR機能の要件として記載する選択肢もあ
ると考えます。
人的作業かプログラムによる自動作業かに関わらず、緊急度
の高い事象を検知した場合に短時間で端末隔離ができれば被
害拡大の抑制が期待できますので、記載を見直します。
64 9 3-2. 追加
※ 本件は、新たな要件として追加することの意見になりま
す。(大項目:アラート対処/中項目:対処要員のスキル)
以下の要件を記載いただくことを提案します。
-----
アラート対処を実施する要員は、技術的に高度なセキュリ
ティの資格を有していることが望ましい。
以下のような資格を持った要員が、アラート対処要員に含ま
れる場合は、加点対象とする。
OSCP:Offensive Security Certified Professional
アラート対処を実施する要員は、単純なオペレーションを行
う要員ではなく、分析・判断を行える技術者であり、保有資
格等で疎明できることが望ましいと考えます。
調達仕様書の「3-3. 監視・運用サービスに関する第三者機関
による評価」で、IPAの「情報セキュリティサービス基準適合
サービスリスト」のサービス分野「セキュリティ監視・運用
サービス」登録済みであることを要件としています。同制度
により、組織としての一定の資格保有者の在籍が確認できま
すので、調達仕様書のままとします。
65 10 4-1. No.9
【成果物】
監視サービスの月例報告書の納品期日が毎月末までになって
いる点について。
月次報告は、毎月1日から末日までの期間を対象に各種事象の
取りまとめや集計を実施することを想定しています。十分な
作業期間を確保するため、「翌月10業務日以内」を納品期日
とすることを希望します。
今回の調達に際して、弊社のEDRに特化した監視サービスに
よるご提案を予定しています。本サービスでは、10業務日以
内での報告を標準仕様(集計期間は1日から末日まで)として
おり、標準外のご希望がある場合は、サービス仕様のカスタ
マイズ(別途費用を加算)を検討する必要があります。当該
要件の緩和が可能か、ご検討いただくことを希望します。
翌月にすることで当月末までのまとめが可能となりますの
で、記載を見直します。
66 14 5-3-2. No.3
【監視・運用サービ ス月例報告会】
アラートや調査に関する報告及び提案
月例報告会は、Web会議ツールを用いたリモート形式による
実施でもよろしいでしょうか。
新型コロナウィルスの影響もありますが、月例報告会の参加
メンバーには、弊社監視センター内で実際の監視業務を担う
要員が参加することが想定されます。
監視業務への影響を最小化することも考慮し、リモート形式
による実施も可能とすることを希望します。
Web会議ツールも可とし、記載を見直します。
67 3 10
日時、アクセス元 IP アドレス、ユーザーID、ログイン成否を
記録できること。
「アクセス元IPアドレス」の文言を削除頂きたい。 Sophosの仕様上、「アクセス元IPアドレス」の記録は未対応
のため。
アクセス元IPアドレスは不正アクセスの有無を特定するため
に有効な機能ですが、多要素認証を用いることで不正アクセ
ス防止が期待できますので、製品選択の幅を広げるため、ア
クセス元IPアドレスの記録は必須ではなく、加点要素とする
ことも含めて記載を見直します。
68 3 11
日時、アクセス元 IP アドレス、ユーザーID、操作した機能を
記録できること。
「アクセス元IPアドレス」の文言を削除頂きたい。 Sophosの仕様上、「アクセス元IPアドレス」の記録は未対応
のため。
アクセス元IPアドレスは不正アクセスの有無を特定するため
に有効な機能ですが、多要素認証を用いることで不正アクセ
ス防止が期待できますので、製品選択の幅を広げるため、ア
クセス元IPアドレスの記録は必須ではく、加点要素とするこ
とも含めて記載を見直します。
10
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
69 3 17
設定パラメータのエクスポートとインポートが可能であるこ
と。
本項目を削除頂きたい。 Sophosの仕様上、未対応のため。 設定パラメータは管理画面で確認できれば実用上問題ありま
せんが、エクスポートとインポートできればシステムの運用
の効率化が期待できますので加点要素とすることも含めて記
載を見直します。
また、APIを利用したデータの取得や設定でも同様の効果が得
られますので記載を見直します。
70 4 30
不正プログラムを検出した場合には端末内にてファイルを隔
離すると共に、管理 サーバにアップロードすること。合わせ
てこれを通知する機能を持つこと。
「管理 サーバにアップロードすること」の文言を「管理者が
ファイルのコピーを取得できること」に修正頂きたい。
Sophosの仕様上、ファイル隔離はするが、管理サーバにアッ
プロードする機能は実装していないため。
管理サーバへの不正プログラムのアップロード(検体取得)
はセキュリティ運用上重要な機能であるため、調達仕様書の
ままとします。
ただし検体の取得についてはWindows、macOSにおいての必
須項目とします。
71 5 38
Windows において、検体を取得できること。 本項目を削除頂きたい。 Sophosの仕様上、未対応のため。 検体の取得はセキュリティ運用上重要な機能であるため、調
達仕様書のままとします。
ただし検体の取得については重要性の観点から、Windows、
macOSにおいての必須項目とします。
72 6 60脆弱性のCVSS 基本値が表示され、管理コンソール上で把握
可能であること。
本項目を削除頂きたい。 Sophosの仕様上、未対応のため。 CVSS値を使った脆弱性の特定と対処は、セキュリティ運用上
重要な機能であるため、調達仕様書のままとします。
73 6 61
同じサブネット内に繋がっている機器等(パソコン、スマー
トフォン、タブレッ トに限らない)を探索して、クライアン
トプログラムがインストールされていな い端末を管理コン
ソール上で確認できること。
本項目を削除頂きたい。 Sophosの仕様上、未対応のため。 同じサブネット内に繋がっているクライアントプログラム未
導入機器等の探索は、クライアントプログラム導入の徹底に
よる組織LANのセキュリティレベル向上に有用な機能である
ため、調達仕様書のままとします。
74 6 64
全端末に対する同一のコマンド実行や PowerShell スクリプ
ト実行を自動化する ため、当該機能を API 経由で利用可能な
こと。
本項目を削除頂きたい。 Sophosの仕様上、未対応のため。 全端末に対する同一のコマンド実行や PowerShell スクリプ
ト実行を自動化は、セキュリティ運用の効率化のために重要
な機能ですので調達仕様書のままとします。
なお実運用においては条件にマッチした複数の端末に処理を
実施することが現実的なため、記載を見直します。
但し対応OSの制限がかかりやすい機能であることを考慮し、
対象OSをWindowsに限定することで対象製品の幅を広げ、
Windows以外のOSでも対応可能な場合は加点要素とすること
も含めて記載を見直します。
またAPI経由と制限する必要性は低いため、API以外の実装も
仕様を満たす形に記載を見直します。
75 7
2-8-2. クラ
ウドサービ
スとしての
評価
管理サーバが置かれるクラウドサービスは、以下に示す第三
者機関の認定を受けてい ること。なお、複数受けている場合
には加点する。 ・FedRAMP ・SOC2 TYPEⅡ ・ISO/IEC
27017
「管理サーバが置かれる クラウドサービスは 、 以下に示す
第三者機関のいずれかの認定を受けているか認定が予定され
ている」に変更頂きたいです。
・FedRAMP
・SOC2TYPE
・ISO/IEC 27017
Sophosにて「SOC2 Type II」を 2020年末までに取得予定の
ため。
文言が分かりにくいため記載を見直します。
ただし予定では客観的な評価を確認できませんので、この点
に関しては調達仕様書のままとします。
76 177-3. 受注実
績
②入札参加者は、12,000台以上または 6 000人以上の規模に
おけるEDRの24時間 365日の監視サービスを実施した実績を
有すること。その証明として、発注名、業務名称(非開示の
場合にはそ旨明記)、業務内容の概要を記載した一覧表(任
意様式) を提出すること。
24時間365日の監視サービスの実績ではなく、EDRの運用支
援の実績と変更頂きたいです。
弊社で6000人以上のEDR運用実績がありますが、お客様予算
の関係上、24365監視ではなく平日営業時間内の運用支援と
なっています。入札の公正性を考え、弊社で応札できるよう
に変更頂きたいです。
裁量労働をはじめとした柔軟な働き方の推進や海外勤務の拡
大を考慮すると、24時間365日対応による監視・運用サービ
スのレベルを向上は重要な要件であるため、調達仕様書のま
まとします。
77 2 1-7
作業スケジュール 2021年4月1日からのシステム利用については、段階的なリ
リース等も検討可能でしょうか?
全数展開完了までの期間に余裕を持つことで、プロジェクト
進行のリスクを低減するため。
現行のシステム利用終了日を踏まえて、記載を見直します。
ただし利用終了日までにクライアントプログラムの配布を完
了している必要があります。
11
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
78 32-2
表中17
設定パラメータのエクスポートとインポートが可能であるこ
と。
本要件を必須要件から除外することは可能でしょうか。 APIを利用した設定等、別の手段も考えられるため。 設定パラメータは管理画面で確認できれば実用上問題ありま
せんが、エクスポートとインポートできればシステムの運用
の効率化が期待できますので加点要素とすることも含めて記
載を見直します。
また、APIを利用したデータの取得や設定でも同様の効果が得
られますので記載を見直します。
79 42-3
表中18
Red Hat Enterprise Linux 6 以降、CentOS 7 以降、 Red Hat Enterprise Linux 7.2移行、CentOS 7.2移行に変更い
ただく事は可能でしょうか。
SaaSの特性上、古いOSのサポートをサポートできないた
め。
ご指摘のように、Red Hat Enterprise Linux 6は2020年11月
30日でメンテナンスサポート期間が終了しますので記載を見
直します。
80 62-6
表中52
パーミッションレベルでの USB デバイス制御が可能である
こと。具体的にはリス トに登録されている USB デバイスは
全てのファイル操作が可能であること。登録 されていない
USB デバイスの場合には読み込みと実行のみを許可し、書き
込みを 禁止する運用が可能であること。
登録されているUSBデバイスのみ利用可能とし、登録されて
いないUSBデバイスの利用を禁止する運用で問題ないでしょ
うか。
プラットフォーム標準の機能を利用し、実現にかかるコスト
を低減するため。
近年の学会では、出席者に対して要旨集をUSBメモリで配布
するケースも増えているため、未登録のデバイスでも読み込
みだけは許可させるパーミッションレベルの制御ができない
と要旨集のパソコンへの取り込みができず、研究活動に支障
が生じかねないため、調達仕様書通りとします。
81 2 2
2. システムの 要件
特にOS の記載が ない場合には、対応する全ての O S で実現
可能なこと。
「要否」の欄に加点と記載のないものは必須とする。
システム要件をPC系(Window、MacOS)、スマートホン・
タブレット系(iOS, Android)に分けて定めるようお願いし
ます。
現在の要件であると、PC系(Window、MacOS)、スマート
ホン・タブレット系(iOS, Android)に対して同一の要件を
求めているが、例えば「OS
のセキュリティパッチの適用状況を取得する機能があること
。」などスマートホン・タブレット系では実現できない要件
も複数含まれているため
スマホ/タブレット(iOS、Android)については、別途調達
するモバイルデバイス管理システムで対応しますので、本シ
ステムの要件からは外します。
農研機構のパソコンの多くはWindowsですが、MacやLinux
もありますので、全てのOSに対応することが望ましいもの
の、対応OSの制限がかかりやすい機能については、機能の重
要性も考慮の上で対応必須OSを決定・明記し、それ以外の
OSに対応する場合には加点要素とすることも含めて記載を見
直します。
82 7 2-8-2
クラウドサービスとしての評価
管理サーバが置かれる クラウドサービスは 、 以下に示す第
三者機関の 認定 を受けていること 。 なお、複数受けている
場合には加点する。
クラウドサービスを利用しない場合には、当該認定は要求外
に変更お願いします。
クラウドサービスを利用せずに、個別に管理サーバ環境を構
築し、それをサービスとして提供する場合も想定されるため
個別に管理サーバ環境を構築する場合には(IaaSやPaaSも含
めて)、農研機構側のシステムの構築及び運用のための業務
負担が重くなります。限られたリソースを本来業務に集中す
るため、提案するEDR製品に関してはSaaSを必須とします。
なお、政府方針のクラウド・バイ・デフォルトの原則を尊重
するものでもあります。
83 8 2-11
受け入れ テストに関する事項
受け入れ テスト (シナリオテスト に関する要件を満たすこ
と。
シナリオテストとは、無害の不正プログラムを用いた検知デ
ストを実施する、端末の隔離テストを実施するなど、シナリ
オテストの要件を明示お願いします。
対応可否および費用算出をするために必要な情報であるた
め。
シナリオテストは、クライアントプログラムのインストー
ル・アンインストール、無害の不正プログラムを用いた検
知、調査、端末の隔離など本システムを使った正常運用を想
定した動作確認です。この点について記載を見直します。
84 8 2-11
受け入れ テストに関する事項
受け入れ テスト (シナリオテスト に関する要件を満たすこ
と。
受注者の役割として「支援」とありますが、これはテストシ
ナリオを作成することを求めているのか、または機構が作成
するテストシナリオをレビューすることなのか、支援内容を
明示お願いします。
対応可否および費用算出をするために必要な情報であるた
め。
シナリオテストの支援は、農研機構が作成したシナリオのレ
ビューを想定しています。受注者には、専門的見地からテス
ト項目の抜け洩れや実施方法に関するアドバイスを期待して
います。この点について記載を見直します。
85 8 2-12
保守に関する事項
メンテナンス )バージョンアップ作業等による管理サーバの
メンテナンス を行うこと。緊急の場合
を除き、システム停止を伴う作業は予め農研機構に連絡を行
うこと。
当該項目の削除を検討お願いします。 仕様書案1-3-2.においてクラウド( SaaS)型システムでの提
供を前提とするため、管理サーバのバージョンアップ作業は
提供者側設備であるため、提供者の判断による実施となるた
め。
「2-12. 保守に関する事項」における保守は、監視・運用支
援チームではなく、システムベンダによる作業を想定してい
ます。大項目の2は「システムの要件」となっており、誤解
は生じないと考えますので、調達仕様書のままとします。
86 8 2-12
保守に関する事項
障害対応)本システムに障害が発生した場合は、農研機構へ
の 暫定対策に関する助言を行うと共に
ベンダに対して迅速な復旧に向けた要請を行うこと。
当該項目の削除または対象範囲を端末に導入するエージェン
トに限定お願いします。
障害対応の範囲を明確化するため。 障害対応の範囲は本調達のシステムに限定されますので、そ
の旨明確します。
なお、本調達はSaaSを前提としているため、端末プログラム
だけでなくクラウド上の管理サーバも含まれます。
12
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
87 1 1-2
本調達範囲は、クラウド型の管理サーバ及び端末にインス
トールするエージェントプログラム(以下、「本システム」
という)に加え、~
以下””の記述を加えることをご提案いたします。
本調達範囲は、”現状のシステムの健全性(状態)を確認する
侵害調査に加えて、”クラウド型~
情報システムは、日々の運用において脅威の侵入、感染や見
逃されているソフトウェアの脆弱性などシステムを取り巻く
脅威にさらされている。その中で、現行のセキュリティ対策
で見逃されている事象など、セキュリティを確保、維持する
上で、情報システムの健全性(状態)を確認する必要がある。
そこで、次期の情報セキュリティシステムを効果的に導入、
運用を行うために現状のセキュリティ状況(状態)を確認し
有効な対処策を明確にする侵害調査を行うことをご提案させ
ていただきます。
スケジュール・予算を考慮して、侵害調査は実施しないこと
とします。
88 1 1-3 1-3-4
記載なし 【新規追加】
調査用ツールは、EDRだけではなくファストフォレンジック
も行える機能を備えていること
調査方法としては、エンドポイントから調査用ツールで収集
するデータや脅威情報などを活用し、調査開始後の脅威の痕
跡(未来)と調査開始以前(過去)に侵害を受けた痕跡をフォレン
ジック手法で調査し、過去と未来の侵害の痕跡調査を実施す
る。
上記に同じ スケジュール・予算を考慮して、侵害調査は実施しないこと
とします。
89 1 1-4
記載なし 【新規追加】表への追加
No. 3
調達単位:侵害調査
内容:「2-9 規模に関する事項」に記載のあるWindows /
macOS、サーバOSについて調査用ツールを用いて全台調査
を行う。
上記に同じ スケジュール・予算を考慮して、侵害調査は実施しないこと
とします。
90 - -
記載なし 【新規追加】
侵害調査に関する要件
(「侵害調査に関する要件」参照)
上記に同じ スケジュール・予算を考慮して、侵害調査は実施しないこと
とします。
91 2 2
2. システム要件
特にOSの記載がない場合には、対応する全てのOSで実現可
能なこと。
以下””の記述を追記願いたい。
”2-3. クライアントプログラムに関する全般的な要件以降”特
にOSの記載がない場合には、対応する全てのOSで実現可能
なこと。”(iOS / iPadOS / Androidは、「モバイルデバイス
脅威対策の機能要件」参照)”
管理コンソール以外の機能についてモバイルデバイス用の機
能を明確にするため。
スマホ/タブレット(iOS、Android)については、別途調達
するモバイルデバイス管理システムで対応しますので、本シ
ステムの要件からは外します。
農研機構のパソコンの多くはWindowsですが、MacやLinux
もありますので、全てのOSに対応することが望ましいもの
の、対応OSの制限がかかりやすい機能については、機能の重
要性も考慮の上で対応必須OSを決定・明記し、それ以外の
OSに対応する場合には加点要素とすることも含めて記載を見
直します。
92 3 5
Microsoft Edge、Mozilla Firefox、Google Chrome に対応し
ていること。
以下””の記述を追記願いたい。
Microsoft Edge、Mozilla Firefox、Google Chrome ”のいずれ
か”に対応していること。
弊社システムのブラウザの推奨環境がございますので、最適
なブラウザにて運用していただけるように、”いずれか”とい
う表記を追記いただきたい。
ブラウザベースの管理コンソールであることは必要ですが、
全てのブラウザに対応する必要性は低いため、いずれか一つ
に対応することとします。
93 3 15
一度利用ライセンス数から除外された端末も、管理コンソー
ル上では削除されずに残り、管理サーバとの通信が再開され
ば、除外前のデータを引き継いで再び管理コンソールで管理
可能になること。
以下に修文いただきたい。
一度利用ライセンス数から除外された端末も、管理サーバと
の通信が再開されれば、再び管理コンソールで管理可能にな
ること。
ライセンス数から除外された端末は、エージェントの再イン
ストールの必要ありませんが除外された端末のデータについ
ては、ある一定期間で削除されるため、記述を修文いただき
たい。
除外された端末のデータを永久に残しておく想定はしていま
せんので、記載を見直します。
13
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
94 3 17
設定パラメータのエクスポートとインポートが可能であるこ
と。
加点対象としていただきたい。 弊社の管理コンソールの設定は、クラウド上にデータを持つ
のでサーバ故障などで設定パラメータのバックアップ・リス
トアが必要となる機会がありません。そのため、標準で必要
ないため、加点対象としていただきたい。
設定パラメータは管理画面で確認できれば実用上問題ありま
せんが、エクスポートとインポートできればシステムの運用
の効率化が期待できますので加点要素とすることも含めて記
載を見直します。
また、APIを利用したデータの取得や設定でも同様の効果が得
られますので記載を見直します。
95 4 21-1
記載なし 【新規追加】
エージェントプログラムのインストール後に再起動が必要な
いこと
エージェントプログラムのインストール時のエンドユーザ及
びサーバ側の負担を軽減することができるため、重要な機能
だと考えます。
有効なご意見と考えますので、記載を見直します。
96 4 24
エージェントプログラムのアンインストールパスワードを設
定可能なこと。
以下””の記述を追記願いたい。
”Windows、macOSの”エージェントプログラムのアンインス
トールパスワードを設定可能なこと。
機能の対象となるOSを明確にするため。 Linuxについては、サーバやAI研究など利用者による設定の自
由度が高い使い方が多く、本機能の必要性は低いため対象か
ら外します。一方Macは日常的に一般業務の端末として使う
場合も多いため本機能の対象とします。
97 4 25
システム管理者がアンインストールパスワードを不要とする
グループに端末を移動させることで、端末利用者がパスワー
ドを知ることなく、アンインストールが可能なこと。(障害
対応や端末廃棄など業務上エージェントプログラムのアンイ
ンストールが必要になった場合のため)。
以下””の記述を追記願いたい。
”Windows、macOSの”システム管理者がアンインストールパ
スワードを不要とするグループに端末を移動させることで、
端末利用者がパスワードを知ることなく、アンインストール
が可能なこと。(障害対応や端末廃棄など業務上エージェン
トプログラムのアンインストールが必要になった場合のた
め)。
機能の対象となるOSを明確にするため。 Linuxについては、サーバやAI研究など利用者による設定の自
由度が高い使い方が多く、本機能の必要性は低いため対象か
ら外します。
一方Macは日常的に一般業務の端末として使う場合も多いた
め本機能の対象とします。
98 4 27
端末のパーソナルファイアーウォール機能が利用できるこ
と。
製品独自の機能に限らず、OS標準若しくはミドルウェア設定
での機能の実現も可とする 。
以下””の記述を追記願いたい。
”Windowsにおいて”端末のパーソナルファイアーウォール機
能が利用できること。
製品独自の機能に限らず、OS標準若しくはミドルウェア設定
での機能の実現も可とする
機能の対象となるOSを明確にするため。 有効なご意見と考えますので、記載を見直します。
99 4 28
端末のパーソナルファイアーウォールを集中監視する機能が
ある場合には加点する。
以下””の記述を追記願いたい。
”Windowsにおいて”端末のパーソナルファイアーウォールを
集中監視する機能がある場合には加点する。
機能の対象となるOSを明確にするため。 有効なご意見と考えますので、記載を見直します。
100 4 28-1
記載なし 【新規追加】
大項目「ファイアウォール」の機能について、Windows以外
のOSで対応できれば加点する。
上記で対象OSをWindowsとして明確にすることにより、それ
以外のOS対応可能な場合も加点対象としていただきたい。
有効なご意見と考えますので、記載を見直します。
101 4 30
不正プログラムを検出した場合には端末内にてファイルを隔
離すると共に、管理サーバにアップロードすること。合わせ
てこれを通知する機能を持つこと。
以下””の記述を追記願いたい。
”Windows及びmacOSにおいて”不正プログラムを検出した場
合には端末内にてファイルを隔離すると共に、管理サーバに
アップロードすること。合わせてこれを通知する機能を持つ
こと。
機能の対象となるOSを明確にするため。 有効なご意見と考えますので、記載を見直します。
102 5 38
Windowsにおいて、検体を取得できること。 以下””の記述を追記願いたい。
Windows”及びmacOS”において、検体を取得できること。
機能の対象となるOSを明確にするため。 有効なご意見と考えますので、記載を見直します。
14
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
103 5 44
サンドボックス環境を利用して検体を簡易的に解析可能であ
る場合には加点する。検体はシステム管理者のみが確認可能
であること。
以下””の記述を追記願いたい。
サンドボックス環境を利用して検体”(対象OS:Windows、
Linux、Android)”を簡易的に解析可能である場合には加点す
る。検体はシステム管理者のみが確認可能であること。
機能の対象となるOSを明確にするため。 別システムで対応するAndroidは外します。
また、本機能は対応OSの制限がかかりやすい機能と考えま
す。このため対象OSをWindowsに限定することで対象製品の
幅を広げ、Windows以外のOSでも対応可能な場合は加点要素
とすることも含めて記載を見直します。
104 5 45
大項目「調査」の機能について、Windows以外のOSで対応で
きれば加点する。
以下””の記述を追記願いたい。
大項目「調査」の機能について、Windows以外の”複数のOS
かつ、複数機能(4項目以上)で対応できれば加点する。
「調査」の機能は、複数にわたるため、加点対象となる項目
が複数実現できる必要があると考えます。(内1つだけできる
場合と、複数できる場合では、加点レベルが異なると考えま
す。)
有効なご意見と考えますので、記載を見直します。
105 5 47
本システムを導入している組織のエージェントプログラムか
ら収集したデータを24時間365日で調査する専門部隊が存在
し、地域や業態を横断して脅威情報を検出・共有する体制を
有していること。
以下の記述を追記願いたい。
合わせて、検知された脅威を即座にアラートとして管理コン
ソールに反映する仕組みを有していること。
専門家によって検知された脅威を運用監視、管理者が判断で
きる機能が必要だと考えます。
有効なご意見と考えますので、記載を見直します。
106 6 50
端末に接続された USB デバイスのデバイスインスタンスパ
スを取得し、その記録を管理コンソールにアップロードする
こと。
以下””の記述を追記願いたい。
”Windows”端末に接続された USB デバイスのデバイスイン
スタンスパスを取得し、その記録を管理コンソールにアップ
ロードすること。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
107 6 51
接続されたデバイス(CD や DVD、BD を含む)の自動起動
を停止して実行させない機能を持つこと。
以下””の記述を追記願いたい。
”Windows端末に”接続されたデバイス(CD や DVD、BD を
含む)の自動起動を停止して実行させない機能を持つこと。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
108 6 52
パーミッションレベルでのUSBデバイス制御が可能であるこ
と。具体的にはリストに登録されているUSBデバイスは全て
のファイル操作が可能であること。登録されていないUSBデ
バイスの場合には読み込みと実行のみを許可し、書き込みを
禁止する運用が可能であること。
以下””の記述を追記願いたい。
”Windows端末における”パーミッションレベルでのUSBデバ
イス制御が可能であること。具体的にはリストに登録されて
いるUSBデバイスは全てのファイル操作が可能であること。
登録されていないUSBデバイスの場合には読み込みと実行の
みを許可し、書き込みを禁止する運用が可能であること。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
109 6 58
OSのセキュリティパッチの適用状況を取得する機能があるこ
と。
以下””の記述を追記願いたい。
”Windows端末の”OSのセキュリティパッチの適用状況を取得
する機能があること。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
110 6 59
CVE 番号等の脆弱性番号から該当するソフトウェアがインス
トールされている端末を検索できること。
以下””の記述を追記願いたい。
”Windows端末における”CVE 番号等の脆弱性番号から該当す
るソフトウェアがインストールされている端末を検索できる
こと。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
111 6 60
脆弱性のCVSS基本値が表示され、管理コンソール上で把握可
能であること。
以下””の記述を追記願いたい。
”Windows端末において検出された”脆弱性のCVSS基本値が
表示され、管理コンソール上で把握可能であること。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
15
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
112 6 64
全端末に対する同一のコマンド実行やPowerShellスクリプト
実行を自動化するため、当該機能をAPI経由で利用可能なこ
と。
以下の記述に変更願いたい。
Windows、macOSに対する同一のコマンド実行や
PowerShellスクリプト実行を自動化するため、当該機能を
API経由で利用可能なこと。
機能の対象となるOSを明確にするため。 本機能は対応OSの制限がかかりやすい機能と考えます。この
ため対象OSをWindowsに限定することで対象製品の幅を広
げ、Windows以外のOSでも対応可能な場合は加点要素とする
ことも含めて記載を見直します。
なお実運用においては条件にマッチした複数の端末に処理を
実施することが現実的なため、記載を見直します。
113 P9 3-2
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
マネージドEDRサービスの提供実績を踏まえて加点とするよ
う、ご検討願います。
例1:提案時点において、当該製品を利用したマネージド
EDRサービスを2年以上提供している場合には加点する。
例2:提案時点において、当該製品を利用したマネージド
EDRサービスを10顧客以上に提供している場合には加点す
る。
マネージドEDRサービスの提供実績は、御機構が当該サービ
スの品質を評価する上で参考情報になると考えます。
マネージドEDRサービスの品質担保については、「情報セ
キュリティサービス基準適合サービスリスト」のサービス分
野「セキュリティ監視・運用サービス」に登録されているこ
とで一定以上の品質は担保されていることから、調達仕様書
のままとします。
114 P9 3-2
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
EDR製品による検知だけでなくSOC自体がもっている調査(ベ
ンダ独自のスレット・インテリジェンスによる調査)機能によ
り、検知が強化できる場合は加点とする。
EDR製品自体の検知やEDR製品ベンダのスレット・インテリ
ジェンスによる検知の他に、運用監視ベンダのノウハウ/ス
レッド・インテリジェンスでの検知ができると、より高品質
な運用監視サービスになるので加点要素としていただきた
い。
有効なご意見と考えますので、記載を見直します。
115 P93-2-12
~3-2-18
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
検知した内容について技術的な相談を含め24/365で問い合わ
せ回答ができる体制を有すること
やり取りについてはメールと電話にて対応可能であること。
アラートが発生した場合、各社状況の報告をしますが、それ
を確認したお客様が内容についてご質問をされることがある
と思います。
その際に24/365で技術的な内容を含み回答できる体制である
かが重要になります。
さらに急を要する場合、電話にて問い合わせができるかも重
要になります。
有効なご意見と考えますので、記載を見直します。
116 P93-2-12
~3-2-18
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
万が一事故が発生した場合、事象全体の詳細な分析をした上
で報告資料を作成し(月次報告書とは別)、報告会を実施で
きる場合は加点とする。
万が一事故が発生した場合、状況によっては通常のアラート
報告以上の詳細情報に加え、全体感を視覚的に把握可能なレ
ポートが必要となるケースもあるかと存じます。そのような
ご要望に対応できる場合は加点要素としていただきたく存じ
ます。
有効なご意見と考えますので、記載を見直します。
117 P93-2-12
~3-2-18
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
EDR製品のログとセキュリティデバイス(FWやIDSなど)のロ
グを相関的に分析できる場合は加点とする
セキュリティログ監視は、ソースとなる情報が多ければ多い
ほど高品質な監視や状況分析が提供できます。将来的に他デ
バイス(FWやIDSなど)も監視してEDRのログも含め統合的に
監視することを視野にいれ、これができる場合は加点とする
のはいかがでしょうか。
農研機構では、外部機関のFWやIDSなどの境界防御装置を利
用しているため、対外調整が必要になるご提案の要件につい
ては採用を見送り、調達仕様書のままとします。
118 P93-2-12
~3-2-20
3. 監視・運用支援 の要件
3-2. 監視 ・運用 サービス について
監視・運用サービスを構成するメンバのスキル状況による加
点
監視・運用サービスを構成するメンバのスキルは、サービス
の品質の観点において重要な要素の一つになります。
高度セキュリティ資格を保有していたり、セキュリティ業務
従事の経験が数年以上であったり、運用体制に組み込まれて
いるメンバのスキルによって加点をするのはいかがでしょう
か。
調達仕様書の「3-3. 監視・運用サービスに関する第三者機関
による評価」で、IPAの「情報セキュリティサービス基準適合
サービスリスト」のサービス分野「セキュリティ監視・運用
サービス」登録済みであることを要件としています。同制度
により、組織としての一定の資格保有者の在籍が確認できま
すので、調達仕様書のままとします。
16
No 頁 項目番号 仕様書記載内容 意 見 意見の理由 回答
119 P9 3-2-13
危険度が高いアラートが発報された場合には、自動でメール
通知が行われ、予め農研機構と受注者で取り決めた基準に
従って1時間以内に端末のネットワークからの端末の隔離を
実施すること。
記載内容の修正をご検討願います。
例:
端末の隔離に関する対応基準、連絡方法、対応フロー、対応
目安時間が明確であること。
端末隔離の対応は、今後取り決める基準にもよりますが、い
くつかの条件に分岐する可能性が高いと考えられます。
「自動メール通知」「一時間以内の隔離」と一律化すること
による弊害が想定されるため、本項目は本対応のサービスレ
ベルを確認できる情報の提供に留めた方がよろしいかと存じ
ます。
予め農研機構と受注者でアラートのレベルや遮断対象外グ
ループといった運用基準を取り決め、その基準に基づく遮断
を行うのであれば、それほど複雑な条件分岐にはならないよ
うに思いますので、端末隔離までのリードタイムは設定しま
す。
但しリードタイムは2時間に延ばし、アナリストによる調
査・判断を実施する余地を持たせます。
120 P10 3-2-17
農研機構の依頼に基づいて、本システムを使った調査を行う
こと。
以下条件を追記いただくよう、ご検討願います。
例:対応時間帯は平日日中帯(9時~17時)とする。
対応時間帯についての記載がありません。当該項目は任意調
査であり、本システムのアラート起因の調査でないため、貴
機構営業時間帯でのご依頼となる認識です。
有効なご意見と考えますので、記載を見直します。
121 P10 3-2-18
・ 直近のサイバー攻撃の動向を踏まえた専門的知見に基づく
注意喚起や対策の提案
月次報告書の当該項目について、品質に応じて加点とするよ
う、ご検討願います。
例:以下の条件を満たす報告書の提供実績が3年以上あり、同
品質のサンプルレポートを提出可能な場合には加点する。
・複数のテーマ(国内外の脆弱性動向、国内外の不正アクセ
ス動向、国内外の業界・組織動向等)によるトピックが、文
字の説明だけでなく、表や図などを用いて動向や手法がわか
りやすく解説され、毎月コンスタントに合計10トピック以
上、掲載されていること。
当該項目は必須要件ですが、詳細の条件がなく、品質が問わ
れていないように見受けられました。
御機構が期待する記載レベルと齟齬が生じないよう、提供実
績と共に内容を評価いただければと存じます。
有効なご意見と考えますので、記載を見直します。
122 P10 3-3
監視・運用サービスに関する第三者機関による評価 IPAが公開する「 情報セキュリティサービス基準適合サービ
スリスト 」の サービス分野 「セキュリティ監視・運用サー
ビス」への登録以外にも、認定/評価を受けている場合は加点
とするよう、ご検討願います。
複数の第三者組織による評価結果は、御機構がセキュリティ
監視サービスの品質を評価する上での参考情報になると考え
られます。
また、IPAが公開する「 情報セキュリティサービス基準適合
サービスリスト 」のサービス分野 「デジタルフォレンジック
サービス」なども御機構がマネージドEDRサービスの品質を
評価する上で参考になると考えられます。
有効なご意見と考えますので、ご提案の文言を元に修正しま
す。「デジタルフォレンジックサービス」も加点要素とする
ことも含めて記載を見直します。
17