入札情報は以下の通りです。

件名第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託契約に係る総合評価一般競争入札を実施します。
種別役務
公示日または更新日2026 年 5 月 15 日
組織佐賀県
取得日2026 年 5 月 15 日 19:06:10

01_公告02_入札説明書04_【別添1】調達仕様書05_【別添2】要件定義書07_【別添3】サービスレベル定義書09_【別添5】仕様書適応書10_【別添6】落札候補者選定基準11_【別添7】プレゼンテーションシナリオ13-1_別記1_個人情報の管理体制等報告書

公告内容

1次のとおり総合評価一般競争入札を行います。令和8年5月15日収支等命令者佐賀県総務部行政デジタル推進課長 土 井 慎 一1 競争入札に付する事項(1) 調達名称及び数量 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託 1式(2) 契約の仕様等 入札説明書のとおり(3) 履行期間 契約の日から令和14年3月31日まで(4) 履行場所 佐賀県総務部行政デジタル推進課長が認めた場所2 入札参加者の資格に関する事項(1) 本調達は、単独企業又は共同企業体による総合評価一般競争入札とする。なお、共同企業体の結成は自主結成とし、この場合は、次の内容を規定した協定を結ぶこと。ア 目的イ 企業体の名称ウ 構成員の住所及び名称エ 代表者の名称オ 代表者の権限カ 構成員の出資の割合キ 構成員の責任ク 取引金融機関ケ 決算コ 利益金の配当の割合2サ 欠損金の負担の割合シ 業務履行途中における構成員の脱退に対する措置ス 業務履行途中における構成員の破産又は解散に対する処置セ 解散後の契約不適合責任及びその他必要な事項(2) 入札に参加する者の資格は、単独企業にあっては次のアに掲げる要件の全てを、共同企業体にあっては次のイに掲げる要件の全てを満たすこと。なお、資格要件確認のため、佐賀県警察本部に照会する場合がある。ア 単独企業の資格要件(ア) 地方自治法施行令(昭和 22 年政令第 16 号)第 167 条の4の規定に該当する者でないこと。(イ) 会社更生法(平成14年法律第154号)に基づき更生手続開始の申立てがなされている者でないこと。(ウ) 民事再生法(平成11年法律第225号)に基づき再生手続開始の申立てがなされている者でないこと。(エ) 開札の日の6か月前から開札の日までの間、金融機関等において手形又は小切手が不渡りとなった者でないこと。(オ) 佐賀県発注の契約に係る指名停止措置若しくは入札参加資格停止措置を受けている者又は佐賀県発注の請負・委託等契約に係る入札参加一時停止措置要領に該当する者でないこと。(カ) 自己又は自社の役員等が次のいずれにも該当する者でないこと及び次のbからgまでに掲げる者がその経営に実質的に関与していないこと。a 暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第 77 号)第2条第2号に規定する暴力団をいう。以下同じ。)3b 暴力団員(暴力団員による不当な行為の防止等に関する法律第2条第6号に規定する暴力団員をいう。以下同じ。)c 暴力団員でなくなった日から5年を経過しない者d 自己、自社若しくは第三者の不正な利益を図る目的又は第三者に損害を与える目的をもって暴力団又は暴力団員を利用している者e 暴力団又は暴力団員に対して資金等を提供し、又は便宜を供与する等直接的又は積極的に暴力団の維持運営に協力し、又は関与している者f 暴力団又は暴力団員と社会的に非難されるべき関係を有している者g 暴力団又は暴力団員であることを知りながらこれらを利用している者(キ) 共同企業体の構成員でないこと。イ 共同企業体の資格要件(ア) 共同企業体の構成員数は、3社以内であること。(イ) 共同企業体の代表構成員は、出資比率が最大の構成員であること。(ウ) 全ての構成員が、構成員数による均等割の10分の6以上の出資比率を有すること。(エ) 構成員の全てがアの(ア)から(カ)までの要件を満たすこと。(オ) 全ての構成員は、他の共同企業体の構成員でないこと。(3) 第一次又は第二次自治体情報セキュリティクラウドを元請として構築し、1年以上運用した実績を有すること。(4) 運用保守を実施する組織・部門において、ISMS、ISO/IEC27017、JIS Q 27017のいずれかに関する情報セキュリティに係る認証を競争入札参加資格確認申請書の提出時点で取得していること。43 入札手続等に関する事項(1) 担当部局郵便番号 840-8570佐賀市城内一丁目1番59号佐賀県総務部行政デジタル推進課 情報監理担当(新館6階)電話番号 0952-25-7038電子メールアドレス network@pref.saga.lg.jp(2) 入札関係様式等の交付期間及び方法令和8年5月15日(金)から同年6月12日(金)まで佐賀県ホームページ(https://www.pref.saga.lg.jp/)に掲載するとともに、(1)の部局において随時交付する(土曜日及び日曜日を除く。)。(3) 入札説明書等に対する質問書の受付等本業務の内容及び入札手続等に関する質問については、質問書により行うこと。ア 質問書の提出期間 令和8年5月 15 日(金)から同月 29 日(金)までの午前9時から午後5時までとする。イ 質問書の提出方法 (1)の部局に郵送、又は電子メールアドレスへ送信すること。なお、令和8年6月5日(金)までに質問のあった者に電子メールで回答し、県のホームページ上で閲覧に供する。(4) 競争入札参加資格の確認ア 入札に参加しようとする者(以下「入札参加者」という。)は、イの提出期限までに別に定める競争入札参加資格確認申請書、会社概要資料(パンフレット等)、誓約書、担当者届、履行実績調書及び情報セキュリティ認証規格証明書の写しを添付した上で、(1)の部局まで郵送し、5又は持参すること。イ 提出期限令和8年6月12日(金)午後5時(郵送の場合は、書留郵便により提出期限までに必着のこと。)競争入札参加資格がないと認められた者は、入札に参加することができない。ウ 競争入札参加資格の確認結果は、令和8年6月 19 日(金)までに通知する。(5) 入札者の資格の喪失入札参加者は、入札日時までにおいて、次のいずれかに該当することとなったときは、入札者の資格を失うものとする。ア 入札参加者について、仮差押え、仮処分、競売、破産、更生手続開始、特別清算開始又は再生手続開始の申立てがなされたとき。イ 電子交換所による取引停止処分、主要取引先からの取引停止等の事実があり、入札者の業務執行が困難と見込まれるとき。ウ 自己又は自社の役員等が2の(2)のアの(カ)のいずれかに該当する者であることが判明したとき、又は2の(2)のアの(カ)のbからgまでに掲げる者がその経営に実質的に関与していることが判明したとき。エ 佐賀県発注の契約に係る指名停止措置を受けたとき。オ その他本契約について、契約を履行することが困難になるとみられる事由が発生したとき。(6) 提案書の提出期限「第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する提案書」(以下「総合評価のための提案書」という。)は令和8年6月19日(金)午後5時までに(1)の部局に郵送し、又は持参すること。(郵6送の場合は、書留郵便により提出期限までに必着のこと。

)(7) 入札及び開札の日時及び場所ア 日時令和8年6月25日(木)午前10時(入札を郵送で行う場合には、外封筒に「第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する入札書在中」と表書きし、内封筒に入札書を封入して簡易書留で郵送すること。また、同月24日(水)午後5時までに(1)の部局に必着のこと。)なお、変更の場合は、入札参加者に対し別途連絡する。イ 場所佐賀市城内一丁目1番 59 号 佐賀県庁新館6階 行政デジタル推進課内会議室なお、変更の場合は、入札参加者に対し別途連絡する。(8) 開札に関する事項開札は、入札者又はその代理人を立ち会わせて行うものとする。この場合において、入札者又はその代理人が立ち会わないときは、当該入札事務に関係のない職員を立ち会わせて行う。(9) プレゼンテーションの日時及び場所ア 日時 令和8年6月26日(金)プレゼンテーションの順番及び時間については、入札参加者及び入札者に対し別途連絡する。なお、変更の場合は、入札参加者及び入札者に対し別途連絡する。イ 場所 佐賀市堀川町1番1号 佐賀県市町会館 小会議室なお、変更の場合は、入札参加者及び入札者に対し別途連絡する。(10) プレゼンテーションに関する事項7プレゼンテーションについては、総合評価のための提案書に基づき、入札者ごとに行う。(11) 入札保証金ア 入札書の提出期限までに、佐賀県財務規則(平成4年佐賀県規則第35号。以下「規則」という。)第 103 条第1項の規定に基づき、見積金額(取引にかかる消費税額及び地方消費税額を含む金額)の100分の5以上に相当する金額の入札保証金を納付すること。ただし、同条第3項第1号から第3号までのいずれかに該当する場合は入札保証金の全部を免除し、又は一部を減額する。イ 入札保証金の納付に代えて、規則第104条第1項の規定に基づき、次の(ア)から(カ)までに掲げる価値の担保を供することができる。(ア) 国債又は地方債 額面金額(割引債券にあっては、時価見積額)(イ) 日本政府の保証する債券又は確実と認められる社債 額面金額又は登録金額(発行価額が額面金額又は登録金額と異なるときは、発行価額)の10分の8以内で換算して得た金額(ウ) 銀行又は確実と認められる金融機関が振り出し、又は支払保証をした小切手(電子交換所に参加している金融機関のものに限る。) 券面金額(エ) 銀行又は確実と認められる金融機関が引き受け、又は保証し、若しくは裏書をした手形 券面金額(手形の満期の日が当該手形を提供した日から1月を経過した日以後であるときは、提供した日の翌日から満期の日までの期間に応じ、券面金額を一般の金融市場における手形の割引率によって割り引いて得た金額)(オ) 銀行又は確実と認められる金融機関に対する定期預金債権 債権証書に記載された金額8(カ) 銀行又は確実と認められる金融機関の保証 その保証する金額(12) 契約条項を示す場所(1)に同じ。(13) 入札方法に関する事項ア 落札候補者の決定は総合評価一般競争入札方式をもって行うので、入札書及び総合評価のための提案書を提出しなければならない。必要書類の種類、部数、提出時期等については、入札説明書による。イ 入札は、入札書により、本人又はその代理人が行うものとする。ただし、代理人が入札をする場合は、入札前に別に定める委任状を提出するものとする。ウ 入札書に記載する金額(以下「入札価格」という。)は 100 分の 110を乗じて得た金額(当該金額に1円未満の端数があるときは、その金額を切り捨てた金額)をもって落札金額とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望額に110分の100を乗じて得た金額を入札書に記載すること。エ 入札価格の表示はアラビア数字を用い、頭初に「金」を、末尾に「円」を記入し、又は頭初に「¥」の記号を、末尾に「―」の記号を付記すること。(14) 落札者の決定方法ア 有効な入札書を提出した者であって、規則第105条の規定により作成された予定価格に110分の100を乗じて得た額の範囲内の価格を入札した者でなければならない。イ 第1回目の開札の結果、入札価格のうち予定価格の制限の範囲内の価格の入札がない場合は、2回を限度とし、直ちに再度入札を行う。ただ9し、開札に立ち会っていない者は、2回目以降の入札を辞退したものとみなす。ウ 総合評価のための提案書の提案内容が、別に定める落札候補者選定基準における提案項目を全て満たしているかを審査する。また、落札候補者選定基準に示す各項目の加点の上限の範囲内(加点総点数の上限は、技術点1,500点)で提案内容の評価に応じて加点を与える。なお、落札候補者選定基準における提案項目を一つでも満たさない場合は、落札者となり得る資格を失う。エ 入札価格については次の式により換算し、入札価格に対する点数(以下「価格点」という。)を与える。なお、価格点の上限は500点とする。価格点=500 点×(1-{提案価格-[予定価格/2]}/{予定価格/2})オ 総合評価の方法及び落札者の決定方法(ア) アの要件を満たす者のうち、ウ及びエで算出された各項目の加点及び価格点の合計点数が最も高い者を落札者とする。なお、価格点の算出においては、小数点以下は切り捨てるものとする。(イ) 各項目の加点及び価格点の合計点数の最も高い者が2人以上あるときは、合計点数が最も高い者のうちプロジェクト審査の点数が最も高い者を落札者を決定する。(ウ) 落札候補者選定基準に記載されていない提案内容は評価の対象とならない。(エ) 落札者となるべき者の当該入札価格によっては、その者により当10該契約の内容を適合した履行がなされないおそれがあると認めるとき、又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認めるときは、調査の上、その者を落札者としないことがある。なお、調査に当たっては、見積内訳書等の資料の提出を求めるものとする。(15) 入札の無効次のいずれかに該当する者が行った入札は、無効とする。なお、無効入札とされた者は、再度の入札に加わることができない。

ア 参加する資格のない者イ 競争入札参加資格確認において虚偽の申告を行った者ウ 当該競争入札について不正行為を行った者エ 入札書の金額及び氏名について誤脱又は判読不可能なものを提出した者オ 入札書の文字及び記号について消滅しやすい方法で記入されたものを提出した者カ 入札価格の記載において(13)のエの要件を満たさない入札書を提出した者キ 入札書の金額を訂正したものを提出した者ク 入札書の誤字、脱字等により意思表示が不明瞭であるものを提出した者ケ 民法(明治29年法律第89号)第95条(錯誤)により取り消すことが認められるものを提出した者コ 1人で2以上の入札をした者サ 代理人でその資格のないもの11シ 上記に掲げるもののほか、競争の条件に違反した者(16) 入札の撤回等入札者は、その提出した入札書の撤回、書換え又は引替えをすることができない。(17) 入札又は開札の中止天災その他やむを得ない理由により、入札又は開札を行うことができない場合は、これを中止する。なお、この場合における損害は、入札参加者及び入札者の負担とする。(18) 入札の辞退入札参加者は、入札書提出前までいつでも入札を辞退することができるが、辞退する場合は、速やかに別に定める入札辞退届を提出すること。なお、入札を辞退した者は、これを理由として以後に不利益な取扱いを受けるものではない。(19) 落札の無効落札者は、落札の通知を受けた日から原則として2週間以内に契約書を提出しなければ、その落札は無効とする。4 その他(1) 入札及び契約の手続において使用する言語及び通貨は、日本語及び日本国通貨に限る。(2) 契約書の作成の要否 要(3) 契約保証金ア 契約締結の際に、契約金額の 100 分の 10 以上に相当する金額を納付すること。ただし、規則第115条第3項第1号に該当し証書を提出する場合は契約保証金の全部を免除し、又は一部を減額する。イ 契約保証金の納付に代えて、規則第116条の規定に基づき、3の(11)12のイに掲げる価値の担保を供することができる。(4) 入札参加者及び入札者は、参加にあたって知り得た個人情報、事業者の情報、その他県の情報(公知の事実を除く。)を漏らしてはならない。(5) 談合情報があった場合は、談合の事実の有無にかかわらず、その全てを公表することがある。(6) 談合情報どおりの開札結果となった場合は、談合の事実の有無にかかわらず、契約を締結しないことがある。なお、この場合は、原則として改めて公告し、入札を行うものとする。(7) 佐賀県政府調達苦情検討委員会から調達手続の停止等の要請があった場合は、調達手続を停止することがある。(8) 個人情報取扱特記事項に違反した場合は、入札参加資格停止等の措置を講ずることがある。(9) 本業務に従事する者又は従事していた者が、当該業務に関して知り得た個人情報を不正に提供又は盗用した場合などは、佐賀県個人情報保護条例(平成13年佐賀県条例第37号)上の罰則規定(第44条及び第45条)及びこれらの違反行為に関する両罰規定(第 47 条)に基づき処罰されることがある。(10) 本入札執行については、地方自治法(昭和 22 年法律第 67 号)、地方自治法施行令、地方公共団体の物品等又は特定役務の調達手続の特例を定める政令(平成7年政令第 372 号)、規則及び佐賀県特定調達契約規則(平成7年佐賀県規則第64号)の定めるところによる。(11) 詳細は入札説明書による。(12) 仕様書及び附属書類の記載内容を無断転載し、及び総合評価のための提案書作成以外の目的で使用することを禁止する。5 この調達契約は、地方公共団体の物品等又は特定役務の調達手続の特例を13定める政令第4条に規定する特定調達契約である。6 Summary(1) Nature and quantity of the services to be required:Operation of Saga Prefecture's information security cloudsystems (third term), 1 set(2) Fulfillment period:From the day of the contract to March 31, 2032.

(https://www.pref.saga.lg.jp/)(4) Date and time for the opening bids and tenders:The meeting for tenders will begin promptly at 10:00 a.m. onThursday, June 25, 2026.

Bring tenders with you or send it by mail. If sending by mail,tenders must be sent by registered post and received by 5:00 p.m.

on Wednesday, June 24, 2026.

(5) Contact information:Administrative Digitalization Division, Department of GeneralAffairs, Saga Prefectural Government, 1-1-59 Jonai, Saga City,Saga Prefecture, 840-8570, JapanTel:0952-25-7038

1総合評価一般競争入札 入札説明書【第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託】(内 訳)1 入札関連様式(1) 別記様式1 誓約書(2) 別記様式2 質問書(3) 別記様式3-1 競争入札参加資格確認申請書(4) 別記様式3-2 競争入札参加資格確認申請書(共同企業体用)(5) 別記様式4-1 誓約書(6) 別記様式4-2 誓約書(共同企業体用)(7) 別記様式5 担当者届(8) 別記様式6 同種業務の履行実績調書(9) 別記様式7 総合評価のための提案書(10) 別記様式8 入札書(11) 別記様式9 委任状(12) 別記様式10 入札辞退届2 別添1 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託調達仕様書3 別添2 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託要件定義書4 別添3 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託サービスレベル定義書5 別添4 質問受付及び総合評価のための提案実施要領6 別添5 仕様書適応表7 別添6 落札候補者選定基準7 別添7 プレゼンテーションシナリオ8 別添8 契約書(案)※ 本説明書の記載内容の無断転載及び入札参加資格申請書の作成以外の目的で使用することを禁止する。2佐賀県 総務部 行政デジタル推進課この入札説明書は、第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する入札執行及び契約締結について、入札参加者及び契約締結者が留意すべき事項を記したものであり、入札参加希望者は次の事項を熟知の上、入札書等を提出されるようお願いします。公告日 令和8年5月15日1 競争入札に付する事項(1) 調達名称及び数量 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託 1式(2) 契約の仕様等 第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託調達仕様書(別添1)、第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託要件定義書(別添2)、第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託サービスレベル定義書(別添3)のとおり。(3) 履行期間 契約の日から令和14年3月31日まで(4) 履行場所 佐賀県総務部行政デジタル推進課長が認めた場所2 入札参加者の資格に関する事項(1) 本調達は、単独企業又は共同企業体による総合評価一般競争入札とする。なお、共同企業体の結成は自主結成とし、この場合は、次の内容を規定した協定を結ぶこと。ア 目的イ 企業体の名称ウ 構成員の住所及び名称エ 代表者の名称3オ 代表者の権限カ 構成員の出資の割合キ 構成員の責任ク 取引金融機関ケ 決算コ 利益金の配当の割合サ 欠損金の負担の割合シ 業務履行途中における構成員の脱退に対する措置ス 業務履行途中における構成員の破産又は解散に対する処置セ 解散後の契約不適合責任及びその他必要な事項(2) 入札に参加する者の資格は、単独企業にあっては次のアに掲げる要件の全てを、共同企業体にあっては次のイに掲げる要件の全てを満たすこと。なお、資格要件確認のため、佐賀県警察本部に照会する場合がある。ア 単独企業の資格要件(ア) 地方自治法施行令(昭和 22 年政令第 16 号)第 167 条の4の規定に該当する者でないこと。(イ) 会社更生法(平成14年法律第154号)に基づき更生手続開始の申立てがなされている者でないこと。(ウ) 民事再生法(平成11年法律第225号)に基づき再生手続開始の申立てがなされている者でないこと。(エ) 開札の日の6か月前から開札の日までの間、金融機関等において手形又は小切手が不渡りとなった者でないこと。(オ) 佐賀県発注の契約に係る指名停止措置若しくは入札参加資格停止措置を受けている者又は佐賀県発注の請負・委託等契約に係る入札参加一時停止措置要領に該当する者でないこと。(カ) 自己又は自社の役員等が次のいずれにも該当する者でないこと及び次のbからgまでに掲げる者がその経営に実質的に関与していないこと。a 暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第 77 号)第2条第2号に規定する暴力団をいう。以下同じ。)4b 暴力団員(暴力団員による不当な行為の防止等に関する法律第2条第6号に規定する暴力団員をいう。以下同じ。)c 暴力団員でなくなった日から5年を経過しない者d 自己、自社若しくは第三者の不正な利益を図る目的又は第三者に損害を与える目的をもって暴力団又は暴力団員を利用している者e 暴力団又は暴力団員に対して資金等を提供し、又は便宜を供与する等直接的又は積極的に暴力団の維持運営に協力し、又は関与している者f 暴力団又は暴力団員と社会的に非難されるべき関係を有している者g 暴力団又は暴力団員であることを知りながらこれらを利用している者(キ) 共同企業体の構成員でないこと。イ 共同企業体の資格要件(ア) 共同企業体の構成員数は、3社以内であること。(イ) 共同企業体の代表構成員は、出資比率が最大の構成員であること。(ウ) 全ての構成員が、構成員数による均等割の10分の6以上の出資比率を有すること。(エ) 構成員の全てがアの(ア)から(カ)までの要件を満たすこと。(オ) 全ての構成員は、他の共同企業体の構成員でないこと。(3) 第一次又は第二次自治体情報セキュリティクラウドを元請として構築し、1年以上運用した実績を有すること。(4) 運用保守を実施する組織・部門において、ISMS、ISO/IEC27017、JIS Q 27017のいずれかに関する情報セキュリティに係る認証を競争入札参加資格確認申請書の提出時点で取得していること。3 入札手続等に関する事項(1) 担当部局郵便番号 840-8570佐賀市城内一丁目1番59号佐賀県総務部行政デジタル推進課 情報監理担当(新館6階)5電話番号 0952-25-7038電子メールアドレス network@pref.saga.lg.jp(2) 入札関係様式等の交付期間及び方法令和8年5月15日(金)から同年6月12日(金)まで佐賀県ホームページ(https://www.pref.saga.lg.jp/)に掲載するとともに、(1)の部局において随時交付する(土曜日及び日曜日を除く。)。(3) 関係資料の閲覧関係資料は、「佐賀県公共ネットワーク再整備(機器更新)及び運用保守業務委託納品図書」、「第2次佐賀県情報セキュリティクラウドサービス運用業務委託納品図書」(以下「納品図書」という。)とする。ア 納品図書(ア) 納品図書の閲覧を希望する場合は、閲覧の前日までに、閲覧の予約を行うこと。予約なく来庁した場合は閲覧を許可しない。なお、当日の予約は空きがある場合のみ受け付ける。(イ) 初めて閲覧する際に誓約書(別記様式1)を提出すること。誓約書を提出しない者には閲覧を許可しない。(ウ) 納品図書の写しは一切交付しないが、写真撮影は差支えない。

(エ) 入札参加資格確認通知後においては、入札参加資格を有すると認めた者のみ閲覧を許可する。(オ) 閲覧期間 令和8年5月15日(金)から令和8年6月24日(水)までの平日10時から17時まで(カ) 閲覧時間閲覧は次の時間帯内で行う。なお、定員はそれぞれ2名とする。a 10:00~12:00b 13:00~15:00c 15:00~17:00(キ) 閲覧場所(1)に同じ(4) 入札説明書等に対する質問書の受付等本業務の内容及び入札手続等に関する質問については、質問書により行6うこと。ア 質問書の提出期間 令和8年5月 15 日(金)から同月 29 日(金)までの午前9時から午後5時までとする。イ 質問書の提出方法 (1)の部局に郵送、又は電子メールアドレスへ送信すること。なお、令和8年6月5日(金)までに質問のあった者に電子メールで回答し、県のホームページ上で閲覧に供する。(5) 競争入札参加資格の確認ア 入札に参加しようとする者(以下「入札参加者」という。)は、イの提出期限までに別に定める競争入札参加資格確認申請書(別記様式3-1、又は別記様式3-2)に会社概要資料(パンフレット等)、誓約書(別記様式4-1、又は別記様式4-2)、担当者届(別記様式5)、履行実績調書(別記様式6)及び情報セキュリティ認証規格証明書の写しを添付した上で、(1)の部局まで郵送し、又は持参すること。イ 提出期限令和8年6月12日(金)午後5時(郵送の場合は、書留郵便により提出期限までに必着のこと。)競争入札参加資格がないと認められた者は、入札に参加することができない。ウ 競争入札参加資格の確認結果は、令和8年6月 19 日(金)までに通知する。(6) 入札者の資格の喪失入札参加者は、入札日時までにおいて、次のいずれかに該当することとなったときは、入札者の資格を失うものとする。ア 入札参加者について、仮差押え、仮処分、競売、破産、更生手続開始、特別清算開始又は再生手続開始の申立てがなされたとき。イ 電子交換所による取引停止処分、主要取引先からの取引停止等の事実があり、入札者の業務執行が困難と見込まれるとき。ウ 自己又は自社の役員等が2の(2)のアの(カ)のいずれかに該当する者であることが判明したとき、又は2の(2)のアの(カ)のbからgまでに掲げる者がその経営に実質的に関与していることが判明したとき。7エ 佐賀県発注の契約に係る指名停止措置を受けたとき。オ その他本契約について、契約を履行することが困難になるとみられる事由が発生したとき。(7) 提案書の提出期限「第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する提案書」(以下「総合評価のための提案書」という。)は令和8年6月19日(金)午後5時までに(1)の部局に郵送し、又は持参すること。(郵送の場合は、書留郵便により提出期限までに必着のこと。)(8) 入札及び開札の日時及び場所ア 日時令和8年6月25日(木)午前10時(入札を郵送で行う場合には、外封筒に「第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する入札書在中」と表書きし、内封筒に入札書を封入して簡易書留で郵送すること。また、同月24日(水)午後5時までに(1)の部局に必着のこと。)なお、変更の場合は、入札参加者に対し別途連絡する。イ 場所佐賀市城内一丁目1番 59 号 佐賀県庁新館6階 行政デジタル推進課内会議室なお、変更の場合は、入札者に対し別途連絡する。(9) 開札に関する事項開札は、入札者又はその代理人を立ち会わせて行うものとする。この場合において、入札者又はその代理人が立ち会わないときは、当該入札事務に関係のない職員を立ち会わせて行う。(10) プレゼンテーションの日時及び場所ア 日時 令和8年6月26日(金)プレゼンテーションの順番及び時間については、入札参加者及び入札者に対し別途連絡する。なお、変更の場合は、入札参加者及び入札者に対し別途連絡する。イ 場所 佐賀市堀川町1番1号 佐賀県市町会館 小会議室なお、変更の場合は、入札参加者及び入札者に対し別途連絡する。8(11) プレゼンテーションに関する事項プレゼンテーションについては、総合評価のための提案書に基づき、入札者ごとに行う。(12) 入札保証金ア 入札書の提出期限までに、佐賀県財務規則(平成4年佐賀県規則第35号。以下「規則」という。)第 103 条第1項の規定に基づき、見積金額(取引にかかる消費税額及び地方消費税額を含む金額)の100分の5以上に相当する金額の入札保証金を納付すること。ただし、同条第3項第1号から第3号までのいずれかに該当する場合は入札保証金の全部を免除し、又は一部を減額する。イ 入札保証金の納付に代えて、規則第104条第1項の規定に基づき、次の(ア)から(カ)までに掲げる価値の担保を供することができる。(ア) 国債又は地方債 額面金額(割引債券にあっては、時価見積額)(イ) 日本政府の保証する債券又は確実と認められる社債 額面金額又は登録金額(発行価額が額面金額又は登録金額と異なるときは、発行価額)の10分の8以内で換算して得た金額(ウ) 銀行又は確実と認められる金融機関が振り出し、又は支払保証をした小切手(佐賀県内に置かれた手形交換所に加入している金融機関のものに限る。) 券面金額(エ) 銀行又は確実と認められる金融機関が引き受け、又は保証若しくは裏書をした手形 券面金額(手形の満期の日が当該手形を提供した日から1月を経過した日以後であるときは、提供した日の翌日から満期の日までの期間に応じ、券面金額を一般の金融市場における手形の割引率によって割り引いて得た金額)(オ) 銀行又は確実と認められる金融機関に対する定期預金債権 債権証書に記載された金額(カ) 銀行又は確実と認められる金融機関の保証 その保証する金額(13) 契約条項を示す場所(1)に同じ。(14) 入札方法に関する事項ア 落札候補者の決定は総合評価一般競争入札方式をもって行うので、入9札書及び総合評価のための提案書(別記様式7)を提出しなければならない。必要書類の種類、部数、提出時期等については、質問受付及び総合評価のための提案実施要領(別添4)による。イ 入札は、入札書(別記様式8)により、本人又はその代理人が行うものとする。ただし、代理人が入札をする場合は、入札前に別に定める委任状(別記様式9)を提出するものとする。ウ 入札書に記載する金額(以下「入札価格」という。)は 100 分の 110を乗じて得た金額(当該金額に1円未満の端数があるときは、その金額を切り捨てた金額)をもって落札金額とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望額に110分の100を乗じて得た金額を入札書に記載すること。

エ 入札価格の表示はアラビア数字を用い、頭初に「金」を、末尾に「円」を記入し、又は頭初に「¥」の記号を、末尾に「―」の記号を付記すること。(15) 落札者の決定方法ア 有効な入札書を提出した者であって、規則第105条の規定により作成された予定価格に110分の100を乗じて得た額の範囲内の価格を入札した者でなければならない。イ 第1回目の開札の結果、入札価格のうち予定価格の制限の範囲内の価格の入札がない場合は、2回を限度とし、直ちに再度入札を行う。ただし、開札に立ち会っていない者は、2回目以降の入札を辞退したものとみなす。ウ 総合評価のための提案書の提案内容が、別に定める落札候補者選定基準における提案項目を全て満たしているかを審査する。また、落札候補者選定基準に示す各項目の加点の上限の範囲内(加点総点数の上限は、技術点1,500点)で提案内容の評価に応じて加点を与える。なお、落札候補者選定基準における提案項目を一つでも満たさない場合は、落札者となり得る資格を失う。エ 入札価格については次の式により換算し、入札価格に対する点数(以10下「価格点」という。)を与える。なお、価格点の上限は500点とする。価格点=500 点×(1-{提案価格-[予定価格/2]}/{予定価格/2})オ 総合評価の方法及び落札者の決定方法(ア) アの要件を満たす者のうち、ウ及びエで算出された各項目の加点及び価格点の合計点数が最も高い者を落札者とする。なお、価格点の算出においては、小数点以下は切り捨てるものとする。(イ) 各項目の加点及び価格点の合計点数の最も高い者が2人以上あるときは、合計点数が最も高い者のうちプロジェクト審査の点数が最も高い者を落札者を決定する。(ウ) 落札候補者選定基準に記載されていない提案内容は評価の対象とならない。(エ) 落札者となるべき者の当該入札価格によっては、その者により当該契約の内容を適合した履行がなされないおそれがあると認めるとき、又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認めるときは、調査の上、その者を落札者としないことがある。なお、調査に当たっては、見積内訳書等の資料の提出を求めるものとする。(16) 入札の無効次のいずれかに該当する者が行った入札は、無効とする。なお、無効入札とされた者は、再度の入札に加わることができない。ア 参加する資格のない者イ 競争入札参加資格確認において虚偽の申告を行った者ウ 当該競争入札について不正行為を行った者エ 入札書の金額及び氏名について誤脱又は判読不可能なものを提出した者オ 入札書の文字及び記号について消滅しやすい方法で記入されたものを提出した者11カ 入札価格の記載において(14)のエの要件を満たさない入札書を提出した者キ 入札書の金額を訂正したものを提出した者ク 入札書の誤字、脱字等により意思表示が不明瞭であるものを提出した者ケ 民法(明治29年法律第89号)第95条(錯誤)により取り消すことが認められるものを提出した者コ 1人で2以上の入札をした者サ 代理人でその資格のないものシ 上記に掲げるもののほか、競争の条件に違反した者(17) 入札の撤回等入札者は、その提出した入札書の撤回、書換え又は引替えをすることができない。(18) 入札又は開札の中止天災その他やむを得ない理由により、入札又は開札を行うことができない場合は、これを中止する。なお、この場合における損害は、入札者の負担とする。(19) 入札の辞退入札参加者は、入札書提出前までいつでも入札を辞退することができるが、辞退する場合は、速やかに別に定める入札辞退届(別記様式10)を提出すること。なお、入札を辞退した者は、これを理由として以後に不利益な取扱いを受けるものではない。(20) 落札の無効落札者は、落札の通知を受けた日から原則として2週間以内に契約書を提出しなければ、その落札は無効とする。4 その他(1) 入札及び契約の手続において使用する言語及び通貨は、日本語及び日本国通貨に限る。(2) 契約書の作成の要否 要(3) 契約保証金12ア 契約締結の際に、契約金額の 100 分の 10 以上に相当する金額を納付すること。ただし、規則第115条第3項第1号に該当し証書を提出する場合は契約保証金の全額を免除、又は一部を減額する。イ 契約保証金の納付に代えて、規則第116条の規定に基づき、3の(12)のイに掲げる価値の担保を供することができる。(4) 入札参加者及び入札者は、参加にあたって知り得た個人情報、事業者の情報、その他県の情報(公知の事実を除く。)を漏らしてはならない。(5) 談合情報があった場合は、談合の事実の有無にかかわらず、その全てを公表することがある。(6) 談合情報どおりの開札結果となった場合は、談合の事実の有無にかかわらず、契約を締結しないことがある。なお、この場合は、原則として改めて公告し、入札を行うものとする。(7) 佐賀県政府調達苦情検討委員会から調達手続の停止等の要請があった場合は、調達手続を停止することがある。(8) 個人情報取扱特記事項に違反した場合は、入札参加資格停止等の措置を講ずることがある。(9) 本業務に従事する者又は従事していた者が、当該業務に関して知り得た個人情報を不正に提供又は盗用した場合などは、佐賀県個人情報保護条例(平成13年佐賀県条例第37号)上の罰則規定(第44条及び第45条)及びこれらの違反行為に関する両罰規定(第 47 条)に基づき処罰されることがある。(10) 本入札執行については、地方自治法(昭和 22 年法律第 67 号)、地方自治法施行令、地方公共団体の物品等又は特定役務の調達手続の特例を定める法律(平成7年政令第 372 号)、規則及び佐賀県特定調達契約規則(平成7年佐賀県規則第64号)の定めるところによる。(11) 仕様書及び附属書類の記載内容を無断転載し、及び総合評価のための提案書作成以外の目的で使用することを禁止する。

第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託仕様書令和8年 月佐賀県行政デジタル推進課別添11目次1 業務の名称.. 22 本業務の概要.. 23 本業務の方針.. 34 本業務の要件.. 35 本業務のサービスレベル.. 46 本業務の範囲.. 4(1)サービス提供に向けた準備・移行.. 4(2)サービス提供.. 47 本業務の契約期間.. 4(1)契約期間.. 48 受託者.. 4(1)実績.. 5(2)規格.. 59 プロジェクト管理.. 5(1)プロジェクト体制.. 5(2)プロジェクト管理.. 510 留意事項.. 5(1)機密保持.. 5(2)その他の注意事項.. 611 成果物.. 6(1)成果物(ドキュメント)一覧.. 6(2)納入媒体、部数.. 7(3)納入場所.. 72本仕様書は、本提案公募において、提案者が提案を行うための前提条件を規定したものである。

契約に係る仕様書については、提案公募における契約候補者の提案内容を踏まえ、協議により別途規定するので留意すること。1 業務の名称第3次佐賀県情報セキュリティクラウド構築及び運用保守業務(以下、「本業務」という)2 本業務の概要情報セキュリティクラウドは、マイナンバー制度の施行及び日本年金機構の事案を踏まえ、総務大臣から自治体に対し、情報セキュリティ対策の抜本的強化に取り組むこと、特に都道府県においては、「情報セキュリティクラウド」の構築をはじめ、都道府県内市区町村における必要な情報セキュリティ水準の確保のための支援に努めるよう要請がなされたことにより、都道府県単位で整備されたものである。佐賀県内では、「佐賀県情報セキュリティクラウド」を平成 29 年度から運用し、令和3年度には、第2次佐賀県情報セキュリティクラウド(以下、「現行SC」という。)に移行している。令和8年度末に、現行セキュリティクラウドの保守期限を迎え、令和7年5月 23 日に総務省から「自治体情報セキュリティクラウド機能要件一覧」(以下、「標準要件」という)が示されたことを踏まえ、第3次佐賀県情報セキュリティクラウド(以下、「次期SC」という)の調達を行うものである。※ 次期SCは、次表図「全体構成図」を想定している。なお、要件定義書の要件を満たすことができれば、別の案を提案することも可とする。3【全体構成図(想定)】3 本業務の方針佐賀県では次期SCの調達にあたり次の方針を掲げるものとする。・ セキュリティ水準の確保とコストの抑制を図る観点から、次期SCに係る要件は、原則として、総務省から示された「地方公共団体サイバーセキュリティ対策事業費補助金交付要綱、地方公共団体サイバーセキュリティ対策事業実施要領(自治体情報セキュリティクラウド更新事業)等の策定について」(令和7年5月23日総行サ第9号総務大臣通知)に準拠するものとする。事業者は、以下 URL に示す「自治体情報セキュリティクラウド機能要件一覧」に示されている必須要件を満たすサービスを提供すること。

(URL https://www.soumu.go.jp/main_content/000702974.pdf)ただし、本調達仕様書及び要件定義書に具体的な記載がある場合はその限りではない。・ 現行SCにおいて実現しているセキュリティ水準の確保と各利用団体個別のセキュリティ要件に柔軟に対応できる環境を維持しながら、クラウドサービス利用増加等に伴うトラフィック増加やサイバー攻撃の複雑化・巧妙化による新たな脅威に対応していく。・ 次期SCへの移行にあたり、利用団体側の負担や影響を最小限に抑制する。・ 次期SCの運用において、利用団体職員に過大な負荷がかからないよう配慮する。4 本業務の要件本業務に関する要件については、「第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託要件定義書(以下、「要件定義書」という。)」を参照すること。なお、更新にお4いてクラウド型(データセンターやパブリッククラウドにセキュリティクラウドを構築し、ハードウェアやソフトウェアはマネージドサービスやベンダー所有のサービスを利用する形式)を採用する場合は、以下の内容を遵守すること。・ 自治体情報セキュリティクラウドを構成するハードウェアやソフトウェアについては事業者所有のサービスを活用する形で更新事業を行うこと。・ 県の負担する更新費用の算出にあたっては、ハードウェアやソフトウェアを購入する経費を含めないこと。5 本業務のサービスレベル本稼働後については、「第3次佐賀県情報セキュリティクラウドサービスレベル定義書」に示すサービスレベル以上の水準のサービスを提供すること。6 本業務の範囲以下に示す (1)、(2)を本業務の範囲とする。(1)サービス提供に向けた準備・移行① 設計(各機能要件実現方式、ネットワーク・セキュリティ関連設定項目、各機能設定方式、ポリシー制御、非機能要件等)② 設定(設計内容の反映、開発環境、検証環境の構築、監視/バックアップ環境の構築等)③ テスト(テスト計画書の作成、各種テストの実施等)④ 移行(並行稼動、本番環境へのデータ移行の実施等)(2)サービス提供要件定義書に基づくサービス提供。7 本業務の契約期間(1)契約期間・ 契約締結日から令和14年3月31日までとする。なお、システムの構築及び移行については令和9年3月31日までとする。想定スケジュールは以下のとおり。- 契約締結時期:令和8年6月- サービス提供に向けた準備:令和8年6月~令和8年12月- 移行作業:令和9年1月~令和9年3月- サービス提供:令和9年4月1日開始・ サービス提供については、令和14年度以降もサービス利用を延長する可能性も考えられることから、延長が可能なサービスであることが望ましい。・ なお、一部のオプション機能については、サービス提供の開始日を利用団体単位で変更することを認める。8 受託者5(1)実績・ 第一次又は第二次自治体情報セキュリティクラウドを元請として構築し、1年以上運用した実績を有すること。(2)資格・ 運用保守を実施する組織・部門において、ISMS、ISO/IEC27017、JIS Q 27017のいずれかの情報セキュリティに係る資格を取得していること。9 プロジェクト管理(1)プロジェクト体制・ 受託者は、本業務の遂行を確実とする履行体制を確保すること。・ 十分な知識を有する者が責任ある立場でプロジェクトにあたること(以下、「プロジェクトマネージャ」という。)・ 本業務におけるプロジェクトマネージャは、安全性・信頼性の高いITサービスの提供や利用団体間の各種調整及び情報セキュリティに係る十分な知識・能力が必要なことから以下の要件についてのいずれかに該当すること。(ア)経済産業省情報処理技術者試験のプロジェクトマネージャ試験の合格者。(イ)プロフェッショナルマネジメント協会(PMI)が認定するプロジェクトマネジメントプロフェッショナル(PMP)の資格保有者。(ウ)自治体情報セキュリティクラウド構築のプロジェクトマネージャの経験者。(エ)上記(ア)~(ウ)と同等以上の者。・ プロジェクト管理責任者であるプロジェクトマネージャと副責任者を配置すること、連絡体制はプロジェクト計画書に明記すること。(2)プロジェクト管理・ 受託者は、プロジェクト計画書を佐賀県に提出し、佐賀県の承認を得ること。・ プロジェクト計画書には業務スケジュールと進捗確保のための取り組みを記載し、計画書に従って作業を実施すること。・ 基本設計等の各工程については、佐賀県の承認後に中間成果物を提出すること。・ プロジェクト計画書の内容変更が必要となる場合は、佐賀県と協議し承認を得ること。・ 必要に応じて進捗報告等を実施し、佐賀県に対し報告及び作業内容の説明・協議を行うこと。10 留意事項(1)機密保持・ 受託者は、業務上知り得た情報を、委託した業務以外の目的で利用せず、第三者に開示しないこと。・ 受託者の責に起因する情報セキュリティインシデントが発生するなどの万一の事故があった場合、受託者は佐賀県に直ちに報告し、損害に対する賠償等の責任を負うこと。・ 受託者は、業務の履行中に受け取った情報を適切に管理し、業務終了後は返却又は抹消等を行い復元不可能な状態にすること。6・ 契約の終了時のほか、保存されたデータを別のシステムに移行する必要が発生する場合は、サーバ上に保存されたデータについて、汎用性のあるデータ形式に変換して提供するとともに、一時的なものも含めて、不要になった記憶媒体上のデータは復元できないよう抹消し、その結果を県に書面で報告すること。なお、実施方法等の詳細については、県と協議するものとする。(2)その他の注意事項・ 本業務の実施にあたり、契約書及び仕様書に明示されていない事項であってもその履行上当然必要な事項については、受託者が責任を持って対応すること。・ 受託者は、サービス利用開始までの作業スケジュールを佐賀県と協議の上、決定すること。・ 本仕様書に定めのない事項が発生した場合及び疑義が発生した場合は、佐賀県と協議の上、定めるものとする。・ 各利用団体の現行システムまたはネットワークの停止を伴う作業は、閉庁日もしくは夜間での実施を前提とすること。11 成果物(1)成果物(ドキュメント)一覧・ サービス提供に向けた準備・移行期間における納入成果物は表1のとおり。・ 成果物について、必要に応じて、統合・分割し作成することも可とするが、その際は事前に佐賀県と協議するとともに、仕様書に記載の成果物と対応が確認できる一覧表を作成すること。

・ 成果物の内容や項目についての追加・変更や、納入期限の変更に関しては佐賀県と協議のうえ、決定すること。表1 成果物一覧項番 成果物名 概要 納入期限(予定)1 プロジェクト計画書 プロジェクト実施方針・体制、スケジュール、プロジェクト管理方法等受託者決定後速やかに納入すること2 テスト計画書 移行作業実施前の動作試験内容、試験スケジュール等令和8年9月30日3 テスト結果報告書 動作試験結果報告書 令和8年10月31日4 移行計画書 移行作業の実施体制、スケジュール、実施方法等令和8年11月30日5 移行作業報告書 移行作業の実施結果 移行作業終了後速やかに納入すること7項番 成果物名 概要 納入期限(予定)6 利用手引き利用団体のシステム管理担当者向けのサービス利用手引きシステム構成概要、サービス概要、運用・保守概要、各種手続き概要等令和9年2月1日7 各種完成図書・納品物一覧表・基本設計書・詳細設計書・テスト計画書/報告書・移行作業計画書/報告書・議事録令和9年3月5日8 議事録 契約期間中の会議体における本業務に係る事項の議事記録随時提出すること9 完了届 業務が完了し、全ての成果物を納品した旨を届けるもの。令和9年3月15日(2)納入媒体、部数・ 各成果物について、紙媒体で1部、電子媒体(PDF 形式及び PDF 変換前の編集可能なMicrosoftOffice等のデータ形式の2種類)で1部納入すること。・ 電子媒体で納品する際は、事前にウィルスチェックを行うこと。(3)納入場所佐賀県庁行政デジタル推進課を納入場所とする。

1第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託要件定義書令和8年 月佐賀県行政デジタル推進課別添22目次1 概要.. 42 前提条件.. 4(1)総務省の標準要件.. 4(2)利用団体.. 5(3)機能一覧.. 5(4)利用規模.. 53 全体構成に関する要件.. 5(1)次期SCの構成.. 5(2)インターネット回線について.. 6(3)次期SCと公共ネットワークとの通信回線について.. 6(4)実施場所について.. 74 機能に関する要件.. 7(1)Webサーバ監視.. 7(2)メールリレーサーバ.. 7(3)プロキシサーバ.. 7(4)外部DNSサーバ.. 8(5)ファイアウォール.. 9(6)IDS/IPS.. 9(7)マルウェア対策.. 10(8)通信の復号対応.. 10(9)URLフィルタ.. 10(10)アンチウイルス/スパム対策.. 11(11)振る舞い検知.. 12(12)メール無害化/ファイル無害化.. 12(13)WAF.. 13(14)CDN.. 14(15)コンテンツ改竄検知.. 15(16)EDR.. 155 移行に関する要件.. 16(1)設計・設定.. 16(2)テスト.. 17(3)移行.. 176 セキュリティ運用に関する要件.. 17(1)セキュリティオペレーションセンター.. 17(2)マネージドセキュリティサービス.. 183(3)ログ収集・分析.. 19(4)セキュリティ管理.. 207 運用に関する要件.. 21(1)体制・役割.. 21(2)運用業務管理者.. 22(3)ヘルプデスク機能.. 22(4)障害管理(問題管理、変更管理、復旧対応).. 22(5)維持管理.. 23(6)システム・サービス構成管理.. 23(7)バックアップとリストア.. 238 定例会議等の運営.. 24(1)各種報告書.. 24(2)利用団体毎への運用説明会.. 24(3)全利用団体への運用説明会.. 25(4)利用団体とのコミュニケーション.. 25(5)監視業務.. 2541 概要第3次佐賀県情報セキュリティクラウド構築及び運用保守業務 (以下、「本業務」という)は、令和8年度末に、佐賀県情報セキュリティクラウド(以下、「現行SC」という)の機器等の保守期限を迎えることや総務省から「自治体情報セキュリティクラウド機能要件一覧」が示されたことを踏まえ、第3次佐賀県情報セキュリティクラウド(以下、「次期SC」という)の調達を行うものである。次期SCの全体構成イメージは、下図「全体構成図」に示すとおり。なお、本要件定義書に記載する要件を満たすことができれば、別の案を提案することも可とする。【全体構成図(想定)】2 前提条件(1)総務省の標準要件次期SCに係る要件は、総務省から示された「地方公共団体サイバーセキュリティ対策事業費補助金交付要綱、地方公共団体サイバーセキュリティ対策事業実施要領(自治体セキュリティクラウド更新事業)等の策定について」(令和7年5月23日総行サ9号総務大臣通知)に準拠する。事業者は、以下URLに示す「自治体情報セキュリティクラウド機能要件一5覧」に示されている必須要件を満たすサービスを提供すること。(URL https://www.soumu.go.jp/main_content/000702974.pdf)ただし、本要件定義書に具体的な要件の記載がある場合はその限りではない。(2)利用団体次期SCは佐賀県及び佐賀県内の20市町(以下「利用団体」という。)が利用する。(3)機能一覧本業務により実現する必須機能及びオプション機能は別紙2-1「機能要件一覧」のとおりとする。また、オプション機能は利用を希望する団体にプレゼンテーションで提示した利用料以下の価格で提供すること。なお、機能要件一覧に記載される機能に加えて、ベンダーが独自に提供可能なメール原本保管等のサービスについても、プレゼンテーションで提示した利用料金以下の価格で提供すること。(4)利用規模ア 利用団体の状況は、別紙2-2「利用団体の現況等一覧」のとおり。イ 現行セキュリティクラウド全体に係る利用帯域や件数等の数値は、別紙2-3「現行セキュリティクラウドに係るデータ」のとおり。3 全体構成に関する要件(1)次期SCの構成ア 機器やネットワークについては、原則として冗長性を考慮した構成とすること。イ 最小限のコストで必要十分な機能及び性能を提供できる構成とすること。ウ 移行にあたって、利用団体側の負担が極力小さい構成とすること。エ 導入する機器やソフトウェアは、本稼働の時点で、公開されている脆弱性対策が完了していること。オ サーバ及びネットワーク機器の不要なサービスは停止すること。カ 次期SCの機能を十分に発揮するために設計上やむを得ず必要となる利用団体側の機器等の設定変更の改修想定範囲については、明示すること。キ 現行SCおける令和2年度と令和7年度の通信量実績比較が約2倍に増加していることから、次期SCは、令和7年度通信実績より通信量が2倍に増えた場合においても、性能が低下することなく安定したサービスを提供可能構成とすること。6(2)インターネット回線についてア 次期SCをインターネットに接続するための回線(以下、「インターネット回線」という)を準備し設定すること。イ インターネット回線は、可用性確保のため冗長構成とすること。回線帯域は、常時安定して1.5Gbps以上の通信帯域を利用でき、冗長構成を構成する各回線のいずれか一方に障害が発生した場合でも1Gbps以上の通信帯域を利用できること。上記要件を満たす構成例として、以下を想定する。ただし、これらに限定するものではない。・ 主系回線1.5Gbps(帯域保証)、従系回線1Gbps(帯域保証)・ 主系回線1.5Gbps(帯域保証)、従系回線 10Gbps(ベストエフォート)・ 主系回線及び従系回線においてトラフィックの自動分散(ロードバランシング)を行う構成とした上で、主系回線1Gbps(帯域保証)、従系回線1Gbps(帯域保証)(3)次期SCと公共ネットワークとの通信回線(以下、「専用線等」という。)についてア 専用線等は広域イーサネットまたは専用線とする。イ 次期SCの接続概要を別紙2-4に示す。この内容に沿った責任分界点や接続形態で専用線等を準備すること。回線の構成及び帯域は、インターネット回線と同等以上の性能とすること。ウ 公共ネットワーク(※)との接続に際して、事前に設計内容及び仕様、現地環境を把握し、且つ、公共ネットワーク運用業者と密接にして漏れなく調整を行うこと。なお佐賀県及び公共ネットワーク運用事業者と協議の上、必要となった作業費用、機器費用及びラック利用料等は原則受託者が負担すること。エ 運用開始後に公共ネットワークに関連する調整及び調査が必要になった場合、受託者の責任のもと、公共ネットワーク運用事業者と協力し、各種調整及び調査を行うこと。オ 責任分界点は、別紙2-4のとおりであり、障害が発生した場合、その状況によっては、現地対応できるような体制を整備すること。

カ セキュリティの観点から、閉域網を用いた接続方式とすること。キ 専用線等の障害監視及び運用は24時間365日行うこと。ク 保全作業等でやむを得ず通信回線の停止作業を行う場合、停止日及び停止時間の調整が出来るようにすること。ケ 安定した通信を実現するために専用線等の通信速度等を監視し、必要に応じて状況をグラフ等で提示できること。7※公共ネットワークとは、佐賀県庁、県現地機関、県立学校、市町等の146施設を結ぶ情報通信基盤として佐賀県内で整備されたネットワーク。情報系ネットワーク、防災系ネットワーク、国保連ネットワーク、総合行政ネットワーク(LGWAN)、教育系ネットワーク等のさまざまな通信に使用されている。(4)実施場所について次期SCの収容場所は、セキュリティ面を考慮し、国内のデータセンターとすること。4 機能に関する要件(1)Webサーバ監視ア Webサーバへの攻撃の監視や脆弱性の情報を取得し対応すること。イ ログ分析を行うため、アクセス情報(アクセス日時、接続元IP等)を記録すること。ウ 監視対象はWAFとCDNを契約した利用団体のWebサーバとする。(2)メールリレーサーバア 利用団体とインターネットのメールを中継するメールリレーサーバを設置し、通信内容を監視すること。イ 不正中継を防止すること。ウ なりすましメールに対する対策を講じること。エ 受信メール1通あたりのサイズ上限値を、利用団体毎に設定できること。オ 利用団体毎のマルチドメインをサポートすること。カ 中継を許可するドメインは、利用団体が管理するドメインのみとすること。キ なりすましメールに対する対策として、送信ドメイン認証方式は、SPF方式による送信ドメイン元IPアドレスの認証、及びDKIM方式/DMARC方式による送信ドメイン認証に対応すること。ク 外部サービスを利用する場合は同等の機能を有すること。ケ メール中継時における暗号化通信(SMTPSやSTARTTLS等)に対応すること。コ メールアドレスのホワイトリスト登録については、ドメイン単位での設定が可能であること。(3)プロキシサーバア 利用団体に対し、プロキシ接続機能を提供すること。イ HTTP及びHTTPSを制御可能であること。ウ プロキシモード、または透過モード等による中継が利用できること。エ 利用団体の端末は、パソコン、リモートデスクトップ・VDIを問わず、プロキシサ8ーバを利用できること。オ 利用団体のプロキシサーバとの多段構成に対応可能であること。カ 利用団体の各端末の代理でインターネット閲覧を行い、その通信内容を監視すること。キ 不正通信を行っている端末を特定するため、少なくとも利用団体が特定できること。ク 利用団体のプロキシサーバでHTTPヘッダー領域の送信元IPアドレス情報(X-Forwarded-For)を設定しており、次期SC側で端末IPアドレスを特定できる場合、インシデント発生時に発生元の端末IPアドレスを利用団体へ通知すること。ケ セキュリティを考慮し、次期SCからインターネットへ通信を行う際は、端末情報を削除すること。コ 暗号通信内の不正アクセスを検証するため、復号化機能を有すること。サ インターネットアクセス時の送信元特定のため、利用団体から次期SCに接続されるIPアドレスを識別し、利用団体毎の一意な送信元IPアドレスに変換する機能を有すること。シ 必要に応じて中間証明書を更新すること。(4)外部DNSサーバア DNSプロトコルを使用したDNS機能を提供すること。イ 利用団体のDNSコンテンツサーバとしてドメイン情報(サーバのホスト名(URL)とグローバルIPアドレスの変換)をインターネットに公開し、通信内容を監視すること。ウ 利用団体のDNSキャッシュサーバとしてクライアントからの再帰問合せに対応し、インターネットに対しての通信内容を監視すること。エ DNSサーバにおけるキャッシュ機能とコンテンツ機能に関しては、論理的に分離した状態で運用すること。オ C&Cサーバ等へのDNS問合せ等不正な通信を監視し、検知すること。カ DNS逆引きの名前解決による送信ドメイン認証を行っているメールサーバからのメール受信可能とするため、逆引きの名前解決を行うこと。キ ゾーン転送は許可されたサーバに対してのみ行うこと。ク IPv6の正引きレコード(AAAAレコード)や逆引きレコードの登録が可能で、IPv4/IPv6両方のクエリ対応できること。ケ 送信ドメイン認証方式として普及率が最も高いSPF情報をTXTレコードとして提供できること。また、DKIM及びDMARCに対応できること。コ 利用団体毎のマルチドメインをサポートすること。サ 外部DNSサーバ(DNSコンテンツサーバ)に障害が発生した場合、利用団体の公9式HPが閲覧できなくなるなど特に影響が大きいため、通常の冗長化に加えて、早期復旧の為の対策を行うこと。シ 利用団体からのDNS設定変更依頼に基づき、ゾーン情報及び各種DNSレコードの追加・修正・削除の対応を可能とすること。(5)ファイアウォールア IPアドレス、ポート番号またはアプリケーション識別によって許可、拒否のルールを設定し、通信を制御すること。(3)にて配置されるプロキシサーバと組み合わせて、IPアドレスのかわりにドメイン名またはFQDNによる通信先特定も可とする。イ 管理する利用団体毎に独立した通信を可能とし、相互に干渉することのないよう、適切な通信制御を行うこと。ウ インターネットとDMZ、内部ネットワークをファイアウォールで分離すること(別途、設計によって必要なセグメントがある場合は対応すること)。エ 通信許可/拒絶のルールは利用団体で共通のルール及び、利用団体で個別のルールを定義すること。オ ポリシー作成日時と更新日時を確認できること。カ 許可ルールについてはIPアドレスやポート番号等を可能な限り範囲を限定すること。キ 利用帯域、接続数に応じた処理性能を有すること。ク IDS/IPS、マルウェア検知、振る舞い検知機能、通信の復号対応等にも対応可能な統合製品を実装する場合は、特にアクセス集中時等におけるスループット低下の影響を考慮した上で必要な処理能力を確保すること。ケ 利用団体からのファイアウォールポリシー設定変更依頼に基づき個別通信許可設定及び個別通信禁止設定の対応を可能とすること。

(6)IDS/IPSア インターネットとの通信においてパケットを監視し、シグネチャや異常検出により不正通信を検知及び遮断すること。イ ワーム、トロイの木馬、ウイルス等の脅威から、サーバ、端末及びネットワーク機器を防御すること。ウ シグネチャの更新時に継続してセンサーが稼動し、非監視時間が発生しないこと。(基本的に、リブートやサービスの再起動が行われないこと)エ 管理する利用団体毎の詳細な設定は実施せず、全団体共通の設定を行うこと。オ シグネチャの更新は、セキュリティベンダが、シグネチャを公開してから1日以内に10更新すること。カ 特定のしきい値を超えてアイドル状態が続いている接続を削除すること。キ 利用団体毎に十分なアプリケーションを識別し、かつ制御可能であること。(7)マルウェア対策ア Web通信を監視し、ベンダーが提供するパターンファイルに基づき、マルウェア等の不正プログラムの検知及び遮断処理を行うこと。イ メール通信を監視し、ベンダーが提供するパターンファイルに基づき、マルウェア等の不正プログラムの検知及び遮断処理を行うこと。ウ パターンファイルは、自動更新により常に最新のものを保持すること。エ 閲覧するページ内のHTML、画像、ファイルについて、ウイルススキャンを行うこと。オ メールの本文(HTMLメール)、画像、添付ファイルについて、ウイルススキャンを行うこと。カ インバウンド方向及びアウトバウンド方向のメールを検査すること。キ C&Cサーバへの不正な通信を検査すること。(8)通信の復号対応ア SSL/TLSで暗号化された通信内容を復号し通信内容を監視可能とすること。イ 通信の復号対応が必要となる箇所にて、復号を実施すること。ウ クライアントへインストールする中間証明書を提供可能であること。エ TLS1.3 についても復号後にセキュリティ検査できること。オ 復号通信のセッション数や暗号方式が確認可能であること。カ 通信先が信頼できると判断される場合は、復号処理の対象外としてよい。キ TLS1.3を利用する場合、利用団体のクライアントにてTLS1.3を利用するために必要なクライアントへの設定は、利用団体側で設定を行う。ク 通信を復号する性能について、検証結果等にて提示すること。ケ 通信の復号処理により業務に支障が出る場合は迂回方法を検討すること。(9)URLフィルタア 拒否リスト方式、許可リスト方式に対応すること。イ 拒否リストにより不正なIPアドレス及びURLへの接続を検知及び遮断すること。ウ 全利用団体が共通して接続を制限するべきURL等の設定が可能であること。エ 利用団体毎に接続を制限するべきURL等の設定が可能であること。オ 利用団体が定義したリストによるアクセス制限が可能であること。11カ 規制カテゴリは70以上で、Webメールや掲示板を含み、カテゴリ毎にアクセス制限可能なこと。キ 規制カテゴリは自動メンテナンスされ、新サイトにも自動的に対応すること。ク 特定のWebサイト(掲示板等)に対して、書き込み制限できること。ケ C&Cサーバや悪意のあるWebサイトへのアクセスを検知及び遮断すること。コ Webサイトがブロックされた際に、アクセスしたユーザへ警告画面を表示すること。また、警告画面はカスタマイズ可能であること。サ 運用にて利用団体毎のURLフィルタリングルールを変更可能とすること。シ URL単位でのフィルタリングを行うため、WebサービスにおけるSSL通信の復号に対応することができ、あわせて、利用団体毎やURL毎にグループ化し、グループ単位での復号対象や復号除外を条件として設定可能なこと。ス 利用団体毎に任意の告知等を利用者のブラウザ上に表示するインフォメーション機能を有すること。セ 利用団体のプロキシサーバでHTTPヘッダー領域の送信元IPアドレス情報(X-Forwarded-For)を設定しており、次期SC側で端末IPアドレスを特定できる場合、インシデント発生時に発生元の端末IPアドレスを利用団体へ通知すること。ソ インターネットアクセス時の送信元特定のため、利用団体毎の一意な送信元IPアドレスに変換する機能を有すること。タ ウィルス/スパム対策機能で検知したメールの本文または添付ファイル内に記載されたURLは、危険なサイトとしてURLフィルタ機能と連携可能であること。チ 業務との関連性が低いWebページへのアクセスを制限できること。ツ カテゴリフィルタ設定(カテゴリルール)、閲覧禁止サイト設定(拒否リスト)及び閲覧許可サイト設定(許可リスト)などの変更依頼に対応できること。(10)アンチウイルス/スパム対策ア インターネットからのメールについて、ウイルス検査を行い、不正なメールの検知及び隔離若しくは削除を行うこと。イ インターネットからのメールについて、スパムメールの判別を行い、隔離、遮断を行うこと。ウ 業務に不要な広告メール等を検知し、隔離、遮断できること。エ 拒否リスト方式、許可リスト方式に対応すること。オ メール原本は隔離されたサーバに転送できること。なお、保存先はローカルディレクトリ上でもよいが、権限のあるアカウントでしか参照できないよう制限できること。カ 隔離されたメールは一定期間保存され、必要に応じて確認ができること。12キ 複数ルールを組み合わせルールセットとして管理し、ルールの有効/無効の切り替えが運用に合わせて可能なこと。ク 設定したルールとの照合結果を詳細なログとして記録し、不具合時に調査が可能なこと。ケ 隔離されたメールの一覧をダイジェストメールとして定期的にユーザに配信すること。コ 次期SC共通の迷惑メールフィルタリングを設定すること。サ メールフィルタ設定は「許可リスト、拒否リスト、フィルタリング対象外キーワード及び拒否リスト用キーワードリスト」などの変更依頼に対応すること。(11)振る舞い検知ア インターネットから不正通信の挙動をするファイル等については、クラウド型サンドボックス上で動作確認を行い、未知のマルウェアを検知及び遮断する機能を提供すること。イ C&Cサーバへのコールバック通信を検知及び遮断すること。ウ メールの本文に記載されるURLリンクをクラウド型サンドボックス上で検査すること。エ 新たに検出されたマルウェアに対してシグネチャを生成する機能を備えること。オ 外部と多大な通信をすることなくマルウェアを解析し、本来のインターネットトラフィックにインパクトを与えないこと。

カ ZIP等の圧縮形式の添付ファイルについても検査を行うこと。(12)メール無害化/ファイル無害化ア インターネットから受信したメールの添付ファイルの削除を行い、本文のみをLGWAN接続系へ転送できる機能を有すること。イ HTMLメールをテキスト化して転送できる機能を有すること。ウ メール本文に含まれるURLリンクを無効化できる機能を有すること。エ メール原本は隔離されたサーバに転送できること。なお、保存されたメールには、権限のあるアカウントでしか参照できないよう制限できること。オ インターネットから受信したメールの添付ファイルについては、ファイル無害化機能と連携して、自動的に無害化処理を行い、メール宛先(LGWAN接続系の転送先)へ送付する機能を有すること。カ 無害化処理したメールに対して、タイトル等(現行はメール本文の先頭)で無害化処理をしたことを容易に判断可能なこと。キ インターネットから受信したメールの添付ファイルがパスワード付ZIP形式の場13合、パスワード入力用URLの記載された案内通知メールを送信し、利用者からパスワード入力があった場合は解凍・無害化処理を行った上でメール宛先へ送付する等、利便性に考慮すること。ク 添付ファイルの拡張子やメール本文等を条件に、メールの受信拒否・メール本文への注意喚起の挿入・管理者への通知等のアクションを実施でき、拡張子はRLOの偽装が実施されている場合においても正しい拡張子で判定できる機能を有すること。ケ インターネットから受信したメールの添付ファイルについては、添付ファイルを削除できること。コ HTMLのテキスト化、URLリンクの無効化、添付ファイルの削除、添付ファイルの無害化の各種機能は、利用団体毎に機能毎の有効・無効を選択できる仕組みとすること。サ インターネットから受信されるファイルを検査し、サニタイズ処理により危険因子をファイルから除去し、LGWAN接続系に転送できること。シ サニタイズ処理ができないファイル(サニタイズ対象外ファイル等)については、未知の不正プログラムの検知及びその実行を防止する機能を有するソフトウェア等(マルチスキャンや不正プログラムが検知されたファイルを隔離する機能等を有する製品等)で危険因子が含まれていないことを確認した上で、LGWAN接続系へ転送できること。ス LGWAN接続系からインターネット接続系へのファイル転送ができること。セ LGWAN接続系からインターネット接続系へのファイル転送にあたっては、所属長等事前に指定された職員による承認機能を有すること。ソ ファイルを開かずに無害化処理を実施できること。タ 無害化ファイルの取り出し時、第三者承認を要求できる機能(決裁機能)を有すること。チ システム全体の設定に加えて、任意のグループに対する設定が行え、セキュリティクラウドにて利用団体が利用できること。ツ 無害化の履歴(ログ)を記録し、利用者が確認できること(利用者ID、ファイル名、無害化日時、承認者ID、承認日時等)。テ Microsoft Officeの各ファイル、PDF、画像ファイル、動画ファイル、圧縮ファイル、一太郎ファイル、CADファイル等、可能な限り多くのファイル形式に対応すること。ト 利用団体からの依頼に伴う管理者権限の付与・削除に対応すること。ナ 利用団体からの依頼に伴う承認機能の利用有無の変更に対応すること。(13)WAFア 利用団体が準備するWebサイトに対して、Webアプリケーションの脆弱性を狙14った不正な通信等を検知・防御すること。イ 利用団体の管理するWebサーバに合わせて必要なチューニング等を行うこと。ウ Webアプリケーションの脆弱性を突いた攻撃を防御すること。なお、次の攻撃に加えて、新たに発生する攻撃にも対応していくこと。「SQLインジェクション/OSコマンド・インジェクション/ディレクトリ・トラバーサル/セッション管理の不備/クロスサイト・スクリプティング/CSRF(クロスサイト・リクエスト・フォージェリ)/HTTPヘッダー・インジェクション/メールヘッダー・インジェクション/クリックジャッキング/バッファオーバーフロー/アクセス制御や認可制御の欠落」等エ HTTP及びHTTPSを制御可能であること。オ 利用団体の環境でオリジンサーバを運営しているケースやクラウドサービスなどの外部サービスを利用しているケースなど、次期SC外の環境に設置した Webサーバについても、検知・防御できること。カ WAFを利用するWebサーバは原則として利用団体の公式Webサーバ及びそれに準ずるアクセス集中が想定されるサーバを対象とすること。(14)CDNア 大規模なリクエストが発生した場合でも継続的な情報発信ができるようWebサーバの負荷分散を行うこと。イ 利用団体のWebサイト(Webサーバ)に急激なアクセスがあった場合においても、住民に対してWebサイトから情報が継続的に発信可能なサービスであること。ウ コンテンツキャッシュサーバは、インターネット上の複数のサーバで構成され高速な配信を実現すること。エ HTTPSでコンテンツを配信可能であること。オ HTTPSの場合はサーバ証明書も提供できること。カ アクセス元のIPアドレスに応じたアクセスの拒否、許可の設定が可能であること。キ アクセスログを取得可能であること。ク 利用団体の状況を踏まえ固定課金でのサービス提供が可能であること。その際、Webサイトへのアクセス数が急増した場合にサービスが止まらないようベンダー側で配慮されていること。ケ 転送量の状況等を確認できること。コ IPv6でコンテンツ配信可能であること。サ HTTP、HTTPS毎にキャッシュルールを設定可能であること。シ 利用団体の環境でオリジンサーバを運営しているケースや外部サービスを利用するなど、次期SC外に利用団体が設置したWebサーバも対象とできること。ス DDoS対策機能を備えていること。15セ CDNを利用するWebサーバは原則として利用団体の公式Webサーバ及びそれに準ずるアクセス集中が想定されるサーバを対象とすること。ソ CDNでキャッシュを有効とするコンテンツは利用団体と協議し、登録を修正すること。(15)コンテンツ改竄検知ア 外部サービスを利用して公開している場合もコンテンツ改竄の検知を行うこと。イ 利用団体の管理するWebサーバ上のコンテンツが第三者によって不正に書き換えられた場合、検知すること。

ウ 利用団体の管理するWebサーバ上のコンテンツが第三者によって不正に書き換えられた場合、修復する機能もしくは安全なコンテンツに切り替える機能を有すること。エ アラートはメール等で指定した管理者に通知できること。オ Webサーバアプリケーション(IIS、Apache等)に限定されず改竄を検知できること。カ エージェントを用いて機能を実現する場合は利用団体の了解を得ること。キ 制限事項がある場合は、その条件等を明記すること。ク コンテンツ更新時に誤検知が可能な限り少ない機能提供を行うこと。(16)EDRア エンドポイントのアクティビティを監視し、ランサムウェアやファイルレスマルウェア等に起因する悪意ある活動を示す異常な挙動を監視・検出すること。イ 不審な挙動を示す端末のホスト名やIPアドレス等の情報を通知できること。ウ EDRのログを収集するサーバについて、国内の事業所またはデータセンターに設置され、収集するログデータについて国内法令が適用されること。エ 通信先のドメインやIPアドレスを基に検索が可能であること。オ 追加モジュールの配信なしに、全てのOSにおいて管理者が管理コンソールから、ファイルの削除/取得/配置/実行やプロセスの終了ができること。カ 管理コンソールが日本語化されており、ダッシュボードページをカスタマイズできること。キ 端末上で表示するポップアップをカスタマイズでき、日本語にも対応していること。ク エンドポイントの監視状況の可視化を提供する機能があることが望ましい。ケ テレワーク等に用いる持ち出し端末についても監視の対象とするコ 不審な挙動を示す端末を特定するため、次期SCのSOCで運用することができるEDRを導入すること。16サ 攻撃の評価が行えるように脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースを有しており、アラートに情報が付与されていること。シ 脅威への迅速な対応のために、クラウド型のEDRサービスの利用を前提とすること。ス 端末と管理サーバは通信が確立したら、セッション継続が発生しないこと。セ 遠隔からの運用で、インシデント発生時の詳細な調査・対処ができること。ソ 遠隔からの運用で、侵害された端末のみに対してネットワークからの論理的な隔離等の対処が可能なこと。また、不審な挙動を検知して端末を論理的に隔離した後、利用団体への速やかな通知を行うとともに、一次対応(端末の物理的な隔離及び他の端末への影響確認等)を実施すること。タ アラートを通知する際は、被疑端末情報としてセキュリティ機器等により取得した『端末情報(検知時刻、IPアドレス、ホスト名)』、『検知した事象の概要』及び『隔離または対処実施の判断依頼』を含めること。チ 利用団体からの依頼に基づき、被疑端末の隔離・隔離解除できること。なお、緊急度・危険性が高いと判断され、かつ、事前に取り決めがある場合は利用団体等からの依頼を待つことなく被疑端末の隔離または対処を実施すること。ツ EDRにより被疑端末上の不審なプロセスの停止、ファイルの隔離・削除等の対処方法が選択可能な場合には、状況に応じて適切な対処を実施すること。テ 端末を管理する際は、各利用団体のPC保守運用業者と連携すること。ト 利用団体からの依頼により、マルウェアの疑いあるファイルが実行された端末を調査すること。当該ファイルの実行が確認された場合は、少なくとも『IPアドレス』、『ホスト名』及び『ファイル名、保存先』を報告できること。5 移行に関する要件(1)設計・設定ア 利用団体毎の現行の設計、ネットワーク構成、システム構成等を十分に把握の上、既存の環境に影響を与えないよう十分に留意し、設計を行うこと。イ 各機能要件は、現行の設計を考慮し実現方式を設計すること。ウ 利用団体個別のネットワーク設定(個別許可通信、プロキシ除外等)は、原則として現行の設定を引き継ぐこと。エ 利用団体個別のセキュリティ設定(ファイアウォールポリシー、URLフィルタ・ウイルス/スパム対策ルール等)は、原則として現行の設定を引き継ぐこと。オ 利用団体の要望で既存構成からの変更依頼があった場合、可能な限り柔軟に対応すること。17カ 現行の設計、設定等は、佐賀県と協議の上、現行の設計書や設定情報から把握すること。(2)テストア 各要件や設計、設定の内容を十分踏まえたテスト計画書の作成を行うこと。イ テスト計画書に基づき、本番環境と同等の環境において利用団体を含めてテストを実施すること。ウ テストにおいて問題が発見された場合、佐賀県に対応案を提示し、移行作業開始前までに解決すること。エ テスト期間は3か月以上確保すること。(3)移行ア 利用団体の負担が極力小さい移行方法を検討すること。イ 利用団体の担当者や関係事業者に対して、移行に係る説明会を行うこと。ウ 移行に係る調整等を円滑に行うため、移行専用窓口を準備すること。エ 利用団体毎に移行手順書を作成すること。オ 移行作業は、原則業務時間外とすること。カ 切り替え翌日は、万が一の切り戻し等に備えた体制を準備すること。キ 移行完了後、令和9年4月の本番稼働までの期間についても、本要件定義書の要件に準じた運用や監視等を行うこと。ク 次期SCへの移行にあたっては、全ての利用団体担当者に対してヒアリングを行うこと。ケ 現行SC及び佐賀県公共ネットワークの管理事業者と密接に連携して漏れなく移行を行うこと。なお佐賀県及び事業者と協議の上、必要となった作業費用は原則受託者が負担すること。6 セキュリティ運用に関する要件(1)セキュリティオペレーションセンターア セキュリティオペレーションセンター(以下、「SOC」という)を設置すること。なお、遠隔での対応も可能とする。イ SOCは、情報処理推進機構(IPA)の情報セキュリティサービス基準適合サービスリスト 「サービス分野:セキュリティ監視・運用サービス」に登録されている事業者が実施すること。ウ SOCは自治体情報セキュリティクラウドのSOCの運用実績、もしくは同等の実18績を有すること。エ 不正アクセス等の内容について詳細に説明できること。オ SOCに対する各種問合せ対応や、SOCからの連絡時には、全て日本語で対応すること。カ 障害発生等の連絡は、メールやSNS等を活用したプッシュ型であること。(2)マネージドセキュリティサービスア セキュリティ専門家によるログ監視、分析によりインシデントの発生を予防すること。

イ インシデント発生時には次の事項について24時間365日対応できること。・ ログを解析し、セキュリティインシデントが発生した場合は迅速に報告すること。・ 専門のアナリストによるログ分析及びログ監視・ セキュリティインシデントの発生またはそれが疑われる場合に、利用団体への通知・ セキュリティインシデントの発生またはそれが疑われる場合に、原因の速やかな特定・ セキュリティインシデント発生時に、監視対象システムに対して直接またはシステムの保守担当者と連携してACL追加等、被害拡大防止のための技術的な一次対応ウ 脅威情報を用い、監視対象システムの環境に応じた重大度の判定及び利用団体への通知ができること。エ インシデント重要度は、「利用団体環境において実害が発生しているか」を基準に判定し、メーカで付与されている重要度ではなく、セキュリティ専門家が攻撃内容や影響を調査した結果を基に、独自に重要度を判断すること。また、重要度は次の例のように複数段階に分類すること。区分 内容Emergency(緊急)攻撃が成功しており、緊急事態であると判断したインシデントCritical(重要)攻撃が成功した可能性が高いと判断したインシデントWarning(警告)利用団体が影響を受ける可能性は低いが、経過観察が必要と判断したインシデントInformational(情報)攻撃ではないと判断したインシデントオ 監視対象システムが発報するアラートをそのまま通知するのではなく、分析を行い、誤検知を排除した上で利用団体へ通知すること。19カ セキュリティインシデント検知後、利用団体へ通知するまでの時間等のSLAを定めること。キ 監視対象システムの設定に不備が見られる場合、利用団体に連絡・確認し、必要に応じて利用団体にシステムへの対応について指示できること。ク 利用団体のCSIRT又は利用団体のCSIRTを直接サポート(ヘルプデスクに相当)する事業者に対して、障害・インシデントに対する助言や問合せの対応を行うこと。ケ 監視対象システムの環境にある監視用の機器またはソフトウェアのメンテナンスを実施すること。コ 次期SCの環境を想定したリスクアセスメントを実施し、収集対象とするセキュリティ機器等のログ情報を考慮するとともに、佐賀県と協議の上、攻撃検知用ルールを設計し、マネージドセキュリティサービスに実装及び分析可能とすること。サ 利用団体からの問合せや回答等の記録、及びインシデント対応履歴を記録し、対応記録を事例として管理(問合せ、一覧表示、検索、追記等)すること。シ セキュリティインシデント連絡先として複数の担当者が登録可能で、利用団体の申請により登録内容を変更できること。ス マネージドセキュリティサービスの実績(セキュリティインシデント内容)に関して取り纏めを行い「セキュリティ月次レポート」として提供すること。セ ISO/IEC 27017クラウドサービスセキュリティ管理策の認証又はプライバシーマークを取得していること。ソ ログ分析システムと監視センターに対する不正アクセス及びマルウェア感染等についても、セキュリティ機器による検知/監視/対策を実施していること。タ サービス提供事業者の監視センター内に設置された端末は、すべての操作ログを取得すること。チ 監視センターのある建物が法定停電となった場合でも、サービスの提供を継続することが可能なこと。ツ 本業務の調達において情報を作成する者は、作成途上の情報についても、紛失や流出防止対策を講じること。また、情報の作成途上で不要になった場合は、当該情報を消去すること。テ 佐賀県情報セキュリティ基本方針を順守すること。ト サプライチェーン・リスクの管理をはじめとして、「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月版)」に準拠した情報セキュリティ対策を実施の上、事業を行うこと。(3)ログ収集・分析ア 次期SCの機器やサービスが出力したログを原則リアルタイムで収集すること。20イ インシデントの兆候がみられた場合は、ログの調査を実施し、不正な現象を検知すること。ウ 収集するログは原則Syslog転送形式に対応していること。なお、Syslog転送に対応していない場合、エージェントソフトウェア等を用いてログ収集を行うこと。エ セキュリティ機器やサーバ等のバージョンアップによりログフォーマットが変更された場合は、正常に収集・分析できるよう正規化及びルールの修正対応を行うこと。オ ファイアウォールのログについて、拒否(deny)だけでなく、許可(Allow)ルールが適用された際のログを収集・分析すること。カ ログは、原則1年分以上を保存できることとし、県に各機器やサービス毎に保存期間を提案し協議すること。キ 必要な分析ルールを個別に作成できること。ク ログ収集の対象となる機器との間に動作実績があること。ケ 収集されたデータを効率的に保存及び圧縮できること。コ 要求する運用に対応可能な機器、機能を提供できること。サ 複数の機器のログから関連するログを抽出して、相関関係の分析を行い、インシデントの兆候をつかむことで迅速な対応をすること。シ ログ分析精度を上げるため、外部の脅威情報を活用可能とするとともに、脅威情報との連携において、STIX(脅威情報構造化記述形式)、TAXII(検知指標情報自動交換手順)等のサイバー攻撃観測事象や脅威情報等に係る標準化された記述形式に対応していること。ス 監視対象機器からのアラート及びログを正常に収集していることを確認すること。セ 監視機器ログから想定される脅威や不正行為等を考慮し分析ルールを作成すること。ソ ログ分析ルール設定について、検知精度の水準を保つため必要なルールチューニングを定期的に行うこと。タ 移行時には、現行保守業者から提供される現行セキュリティクラウドのログを1年分保存できることチ リアルタイムでのログ取込みが困難な場合は、佐賀県と協議すること。(4)セキュリティ管理ア 脆弱性情報の入手と該当製品への対応・ 安全なシステム運用を実現するために、構成する機器、ソフトウェアの脆弱性情報を常時注視し、以下の作業を実施すること。「ファームウェアアップデート/不具合修正パッチ適用/セキュリティパッチ適用/緩和等の実施」・ 脆弱性情報はJPCERT等公開情報を適宜参照すること。

21・ システム停止等が困難な場合、システム全体への影響を考慮した上で設定変更等による脆弱性の回避策についても検討すること。イ 不正通信の対応を行う運用体制の確立(CSIRTへの支援)・ セキュリティインシデント発生時の対応を迅速に行うため運用体制(各利用団体のCSIRTへの支援体制)を構築すること。・ 運用体制を書面にて関係者に共有すること。・ 運用フローを1回以上検証すること。・ インシデント発生時、必要に応じてファイアウォールのポリシー追加、変更により通信を遮断すること。ポリシー変更は関係者と協議の上、決定すること。また、事前決定された対応案に基づいて実施すること。・ 利用団体及び関係者を含め、セキュリティインシデントの発生を想定した訓練を年1回以上行うこと。また、利用団体から訓練の要望があれば応じること。ウ セキュリティレベルの自己点検の実施・ サービス導入時、年1回及び設定変更時等に、インターネットに接続する可能性がある機器に対しての脆弱性診断を実施して脆弱性がないか検証すること。・ 脆弱性が検知された場合、速やかに佐賀県に報告し、緊急性や影響度を鑑みて佐賀県と協議すること。・ 脆弱性への対応はセキュリティパッチ適用等による恒久対応が望ましいが、その対応が困難な場合、システム全体への影響を考慮した上で設定変更等による脆弱性の回避策についても検討すること。・ 本業務で提供するサービスの範囲において、第三者の監査を受け、その結果を県に報告すること。また、利用団体からの監査に応じること。・ 自己点検の結果とその対応は報告すること。7 運用に関する要件(1)体制・役割ア 通常時、障害発生時において、円滑に作業を遂行するための連絡体制や作業体制、指揮系統を整備すること。イ 次期SCのシステムの運用管理業務の実施に当たっては、運用の責任者として運用業務管理者を配置し、運用体制の統制と品質管理を行うこと。ウ 開庁日日勤の時間帯における利用団体毎からの受付窓口を設置すること。エ 運用業務管理者が対応出来ない場合に備え、サービス機能やシステム構成を把握した担当者複数名を、開庁日8:30~17:30に配置すること。オ 障害対応や緊急の設定変更等に対応できる体制を用意すること。カ システムは24時間365日運用・監視を行うこと。22(2)運用業務管理者ア 運用業務管理者は佐賀県及び利用団体と連携し、本業務の履行に責任を持って取り組むこと。イ 運用業務管理者の変更が必要になった場合、同等以上の知識、技能を有するものに業務を行わせることとし、速やかに佐賀県に届け出を行うこと。ウ 運用業務管理者は、下記資格のいずれかを有するものであること。・ 経済産業省情報処理技術者試験の情報処理安全確保支援士試験の合格者。・ 経済産業省情報処理技術者試験のネットワークスペシャリスト試験の合格者。・ 経済産業省情報処理技術者試験のITサービスマネージャ試験の合格者。・ シスコシステムズが認定するCCNPの保有者。・ 上記と同等以上の資格を有する者。(3)ヘルプデスク機能ア 利用団体からの各種問合せや不具合の連絡及び設定変更の依頼等を受付し、必要な設定変更やエスカレーション等を行うこと。イ 質問、依頼・相談、障害、セキュリティインシデント等の問合せは、電話、ポータルサイト又はメールにて、自治体の開庁日に受付対応が可能とすること。なお、問合せ方法はポータルサイトだけに限定することなく、メール、電話等複数を想定し、準備すること。ウ 問合せを行う利用者は利用団体毎のセキュリティクラウド管理者とする。エ 受付時間は開庁日8時30分~17時30分を基本とする。ただし、サービスの継続を損なう障害や重大なセキュリティインシデントは、24時間365日で受付対応すること。オ 受付けた問い合わせは、一元管理を行うこと。カ 利用団体のシステム更新、システム変更に対し柔軟に対応すること。キ 利用団体にてシステム更新、システム変更が行われた際、利用団体のネットワーク接続情報を都度更新すること。(4)障害管理(問題管理、変更管理、復旧対応)ア 機器障害等を検知した場合、関係者への通報を行うこと。イ 障害検知の通報時は、機器の稼働状況やアラートの発生原因を早急に確認すること。ウ 障害管理の体制・手法を確立し、迅速なインシデント対応を可能とすること。エ 障害管理では、計画(障害管理目標の設定)、実行(運用、障害対応、再発防止)、点検(障害記録の確認)、処置(障害の予防・プロセス改善)を繰り返し、サービスの23改善、最適化を行うことで、安全性や可用性の維持を可能にすること。オ 常時、監視を行い、障害検出時は速やかに復旧対応することで、サービスの安定稼働を可能とすること。カ サービスに深刻な影響を与えるような大規模障害が発生した場合は、非常時の緊急体制を取り緊急時の対応フローに従い、障害対応が可能であること。また、定期報告によらず、遅滞なく佐賀県に報告し、回復措置を実施すること。回復までの間定期的に報告を行うこと。回復後は、早急に対応記録、再発防止策を報告すること。キ セキュリティクラウドを構成する機器から稼働ログ、エラーログを収集し、障害発生の根本原因の特定が可能であること。また、ログ分析を行うことにより、障害を未然に回避できること。ク 次期SCを構成する機器、ソフトウェア等に関してベンダー保守を締結すること。(5)維持管理ア 佐賀県が必要と認める設定変更等の作業を実施すること。イ 提供するサービス内容等に変更が発生した場合、仕様書等を更新し対象となる利用団体にアナウンスを行うこと。ウ 運用で利用する統合管理ツールや監視ツールのカスタマイズや設定変更ならびに障害時の対応等を適切に行うこと。(6)システム・サービス構成管理ア 次期SCを安定的に稼働させるため、構成する各機器、ソフトウェア、サービスのバージョン情報、ベンダー情報等を管理すること。イ 利用団体毎に、構成する各機器、ソフトウェア、サービスにおける許可・拒否ルールを管理すること。ウ サービスのシグネチャが定期的にアップデートされていることを確認すること。エ 利用団体毎に、利用しているサービス内容を管理すること。オ 利用団体のサービス内容変更の対応を実施した場合は管理情報を更新すること。(7)バックアップとリストアア 機器障害等により次期SCの運用が停止することを防ぐためバックアップを取得すること。

イ 次期SCで管理するログデータ、ファイルのデータバックアップを日次で行うこと。ウ 機器及びサーバの設定の変更時、OS、ソフトウェアの更新時にシステムバックアップを行うこと。エ バックアップからのリストアを検証すること。オ バックアップは本体とは別の場所に保管し本体障害時に復旧できること。24カ 機器及びサーバの復旧が必要な場合は、システム又は設定のリストアを行うこと。キ 「第3次佐賀県情報セキュリティクラウドサービス運用業務委託サービスレベル定義書」に記載のRTO(目標復旧時間)で復旧を行うこと。8 定例会議等の運営(1)各種報告書ア 運用サービス品質の維持管理を行うことを目的とし、佐賀県に対して各種報告書を提出すること。イ 報告書は、対象期間に合わせて「月次運用報告書」「年次運用報告書」を作成し、佐賀県に提出すること。ウ 各種報告書には概ね以下の内容を記載すること。・ 実績報告(トラフィック、各種実績)・ セキュリティレポート・ 問題対応結果の報告・ 再発防止策の提案・ 計画・予防施策の提案・ 実施対策の報告・ 事前に設定したサービスレベル管理状況・ 課題管理状況エ 報告内容に基づき、必要に応じて実績の評価、問題対応結果の評価及び実施対策の評価を行い、再発防止策の検討及び計画・予防施策実施の検討を行うこと。(2)利用団体毎への運用説明会ア 円滑で安定した運用及び利用団体との情報共有のため、各利用団体と年1回は個別の運用説明会を開催すること。イ 個別の運用説明会は、原則として各利用団体を運用業務管理者が直接訪問し、利用団体毎に運用状況の説明を行うこと。但し、佐賀県や利用団体と協議の上、リモートで開催も可とする。個別訪問のスケジュールに関しては、利用団体と協議のうえ決定すること。ウ 運用説明会には概ね以下の内容を記載すること。・ 利用団体毎の利用状況(トラフィック、Web利用状況、問合せ件数等)・ 問合せ・依頼対応状況(件数・内容等)・ サービスレベル達成状況・ セキュリティレポート25(3)全利用団体への運用説明会ア 円滑で安定した運用及び利用団体との情報共有のため、全利用団体向けの集合型運用説明会を年2回程度開催すること。イ 運用説明会は運用業務管理者が行い、原則として佐賀県内の会場にて対面集合型で開催すること。但し、佐賀県や利用団体と協議の上、リモートで開催も可とする。ウ 運用説明会には概ね以下の内容を記載すること。・ 問合せ・依頼対応状況(件数・内容等)・ サービスレベル達成状況・ セキュリティレポート(4)利用団体とのコミュニケーションア 利用団体とのコミュニケーションを目的として、利用団体からの要望があった場合や佐賀県が必要と判断した場合は、運用業務管理者と利用団体で打合せを行うこと。イ 利用団体との打合せは、原則として運用業務管理者が直接利用団体を訪問し行うこととするが、利用団体が希望する場合は電話やリモートでの開催を可とする。(5)監視業務ア ファイアウォール、IDS/IPSといったセキュリティ機器や監視対象サーバ(Webサーバ・メールリレーサーバ・プロキシサーバ・外部DNSサーバ等)のイベントを監視し、異常を検知した際に通知できること。イ パターンマッチングやしきい値等のルールに基づき、許可していないイベントの発生を検知できること。ウ OSのシステムイベント、アプリケーションの起動や停止、エラー通知といったイベントを監視できること。エ 検知したイベントはログとして保存すること。オ インシデントの兆候をつかむために有用でないイベントは除外(フィルタリング)できること。カ 監視内容及び障害判定条件は原則、下表「監視内容及び障害判定条件」と同等以上とする。ただし、監視業務により有効な監視メニューや設定を提示した場合はこの限りではない。【監視内容及び障害判定条件】監視メニュー監視内容監視周期(おおむね下記とする)障害判定条件監視対象機器サーバネットワーク26機 器Ping監視監視システムから、監視対象機器へのPingによる状態監視5分間隔連続3回応答がないとき○ ○Syslog監視監視システムにて、監視対象機器のSyslogファイルを監視リアルタイム予め登録したメッセージが出力されたとき○ ○リソース監視監視システムから、サーバ機器のCPU使用率、ディスク使用率等を監視5分間隔使用率が警告閾値を超えたとき○プロセス監視監視システムから、プロセスの稼働状況を監視5分間隔プロセス障害を検知したとき○パフォーマンス監視監視システムから、ネットワーク機器の破棄パケット率及びエラーパケット率を監視5分間隔予め設定した閾値を超えたとき○

第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託サービスレベル定義書令和8年 月佐賀県行政デジタル推進課別添31目次1 本書の目的.. 22 サービスレベル.. 3(1) 評価対象.. 3(2) サービス指標.. 4(3) 評価項目の管理方法.. 53 結果対応.. 6(1) サービスレベルの改善.. 621 本書の目的「サービスレベル定義書」(以下、「本書」という。)は、第3次佐賀県情報セキュリティクラウド(以下、「本サービス」という。)の品質を継続的に確保及び改善していくために、佐賀県行政デジタル推進課(以下、「発注者」という。)及びサービス提供者(以下、「受託者」という。)のサービス品質に対する定義内容を定めるものである。32 サービスレベル(1) 評価対象サービスレベル管理の評価対象となる機能及び運用は以下のとおりとする。表1 評価対象となるサービス(機能)の一覧標準機能 オプション機能Webサーバ監視 構成団体ADサーバメールリレーサーバ 通信の復号対応プロキシサーバ メール無害化外部DNSサーバ ファイル無害化ファイアウォール コンテンツ改竄検知IDS/IPS リモートデスクトップマルウェア対策 EDRURLフィルタアンチウイルス/スパム対策振る舞い検知WAFCDN表2 評価対象となる運用の一覧運用(1)体制・役割(2)ヘルプデスク機能(3)サービス開通・解約対応(4)セキュリティ管理(ア)脆弱性情報の入手と該当製品への対応(イ)不正通信の早期検知を行う運用体制の確立(CSIRTへの支援)(ウ)セキュリティレベルの自己点検の実施(5)障害管理(6)維持管理4(7)システム・サービス構成管理(8)バックアップとリストア(9)定例会議等の運営(利用団体)(ア)定例運営会議(ウ)利用団体との情報共有(エ)運用説明会(オ)結果対応(カ)内容の見直し(10)サービス品質改善表3 評価対象となるSOC運用サービスの一覧SOC運用サービス(1)ログ収集・分析(2)イベント監視(3)マネージドセキュリティサービス(2) サービス指標サービスレベルを評価するための評価項目と評価項目の設定値については、以下のとおりとする。表4 サービス指標一覧表区分 評価項目 設定値サービス(機能)年間サービス稼働率99.9%(年間(4月~翌年3月)の停止時間約8時間45分)重要なインシデント検知から利用団体への連絡30分以内(緊急電話連絡の1コール目までの時間)運用保守窓口提供時間・問い合わせ対応開庁日 8時30分~17時30分・障害及びセキュリティインシデント対応24時間365日RTO(目標復旧時間) 12時間以内5(3) 評価項目の管理方法評価項目の数値の算出方法については、以下のとおりとする。表5 サービス(機能)における評価項目の管理方法No. 評価項目 管 理 方 法1年間サービス稼働率評価の時間帯 24時間評価期間 年間評価内容 サービスを提供するシステムの稼働時間計算式((年間の稼働予定時間 - 年間のサービス停止時間) ÷ 年間の稼働予定時間) × 100%計算式の定義年間の稼働予定時間年間(4月1日~翌年3月31日)の稼働予定時間は日数×1,440分とする。年間のサービス停止時間サービス停止時間は、月間の監視サービスにおけるシステム停止時間(死活監視及びプロセス監視)の合計を分単位で算出し、12か月分の総数とする。ただし、冗長構成においてサービス提供が継続している場合は、停止時間に含めない。達成基準各サービスの計算結果より、設定値以内の場合は達成とする。除外条件・計画されたシステムメンテナンス時の停止時間・利用団体からデータセンターへのアクセス回線に関わる停止・利用団体個別のサービス停止時間2重要なインシデント検知から利用団体への連絡評価の時間帯 24時間評価期間 月間評価内容セキュリティインシデント判定において、重要度2(重要) ~ 3(緊急)と判定された重要なインシデント発生の際、発注者へ連絡するまでの時間達成基準緊急電話連絡が必要と判断し、1コール目をかけた時間が設定値以内の場合は達成とする。除外条件 発注者へ電話連絡を実施した際における不通時6表6 運用における評価項目の管理方法No. 評価項目 管 理 方 法1 窓口提供時間評価の時間帯 24時間評価期間 月間評価内容 電話及びメールによる窓口の提供時間達成基準連絡種別に応じて、設定値の時間帯に窓口を提供している場合は達成とする。除外条件一時的に窓口へ連絡が集中した際における電話連絡の不通時2RTO(目標復旧時間)評価の時間帯 24時間評価期間 随時評価内容各機能を提供する仮想サーバにおいて障害が発生した際、サービスに影響を与えたと判断した時間から、リストア後の正常動作を確認するまで要した時間。達成基準 設定値内に正常動作が確認できた場合は達成とする。除外条件佐賀県情報セキュリティクラウドの機能を提供する物理機器において、サービス影響の無い障害に対する復旧時間。3 結果対応(1) サービスレベルの改善受託者は、サービスレベルが未達成の場合、速やかに原因を究明し、業務への影響や緊急性等の重要性に基づき、リソースの増強や代替手段の適用など、暫定的、中長期的に必要な措置を講じること。なお、原因が本サービス以外の外部的なものである場合は、その理由及び対策案を可能な限り発注者に提示し、発注者の指示を受けること。

全体構成要件仕様書適応表,別添5,提案業者において、適合可否を記入してください。,仕様書要件,適合可否(〇、×),3 全体構成に関する要件,(1) 次期SCの構成,(2) インターネット回線について,(3) 次期SCと公共ネットワークとの通信回線について,(4) 実施場所について,4 機能に関する要件,(1) Webサーバ監視,(2) メールリレーサーバ,(3) プロキシサーバ,(4) 外部DNSサーバ,(5) ファイアウォール,(6) IDS/IPS,(7) マルウェア対策,(8) 通信の復号対応,(9) URLフィルタ,(10) アンチウイルス/スパム対策,(11) 振る舞い検知,(12) メール無害化/ファイル無害化,(13) WAF,(14) CDN,(15) コンテンツ改竄検知,(16) EDR ,5 移行に関する要件,(1) 設計・設定,(2) テスト,(3) 移行,6 セキュリティ運用に関する要件,(1) セキュリティオペレーションセンター,(2) マネージドセキュリティサービス,(3) ログ収集・分析,(4) セキュリティ管理,7 運用に関する要件,(1) 体制・役割,(2) 運業務管理者,(3) ヘルプデスク機能,(4) 障害管理(問題管理、変更管理、復旧対応),(5) 維持管理,(6) システム・サービス構成管理,(7) バックアップとリストア,8 定例会議等の運営,(1) 各種報告書,(2) 利用団体毎への運用説明会,(3) 全利用団体への運用説明会,(4) 利用団体とのコミュニケーション,(5) 監視業務,

●落札候補者選定基準(第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託)1)技術点 満点1500点必須 得点1 10 02 10 03 20 04 20 05 30 06 30 ○ 07 30 08 30 09 20 ○ 010 30 011 30 ○ 012 30 ○ 013 30 ○ 014 30 ○ 015 30 ○ 016 30 ○ 017 30 ○ 018 30 ○ 019 30 ○ 020 30 ○ 021 30 ○ 022 30 ○ 023 30 ○ 024 30 ○ 025 30 ○ 026 30 ○ 027 80 028 5 029 5 030 5 031 5 032 40 033 40 034 40 035 40 036 40 037 40 038 40 039 30 040 30 041 30 042 30 043 30 ○ 044 30 ○ 045 40 ○ 046 30 ○ 047 40 ○ 048 30 049 30 050 30 051 30 01500 23 0500 00※技術点の最低基準点は900点とする580(2)メールリレーサーバ(1)次期SCの構成・機器やネットワークは冗長性及び拡張性を考慮されているか。

・設計上やむを得ず必要となる場合、利用団体の改修想定範囲について具体的に明示されているか別添6・メール原本保管・計算の結果、500点を超えるものは500点とする。

評価全体の評価提案書・具体的かつ合理的な提案であり、実現のための工夫が示されているか。

・使用されている用語・表現は、伝わりやすく、必要に応じて注釈が付けられているか。

20実績・これまでに構築したセキュリティクラウドの年間サービス稼働率はどの程度か。

なお、運用メンテナンスの停止時間は別途提示すること。

4)機能に関する要件(1)Webサーバ ・仕様書要件を満たしている・仕様書要件を満たしている。

(7)マルウェア対策 ・仕様書要件を満たしている。

(8)通信の復号化対応 ・仕様書要件を満たしている。

(9)URLフィルタ ・仕様書要件を満たしている。

(10)アンチウイルス対策/スパム対策(15)コンテンツ改竄検知 ・仕様書要件を満たしている。

No 大項目 中項目・小項目 評価内容 配点170(2)インターネット接続回線・1.5Gbpsの帯域保障がされている。

・1.5Gbpsを超える帯域保障がされている。

(3)利用団体と次期SC間の通信回線・接続回線の通信遅延は極力少ない方式が提案されているか。

・利用団体毎のトラフィック状況を加味した回線仕様を具体的に示されているか。 等【別紙1】調達仕様書9)プロジェクト管理(1)プロジェクト体制・プロジェクトマネージャーの資格、能力、経験等は適切であるか。

・構成員の役割分担が明確に記述され、かつ適切であるか。

40(2)プロジェクト管理・提案されたスケジュールは適切か。

・進捗を担保する工夫があるか。

(4)実施場所・次期SCと利用団体間の通信回線を国内のデータセンタに収容する。

・データセンタの評価3)全体構成に関する要件(13)WAF ・仕様書要件を満たしている。

(14)CDN ・仕様書要件を満たしている。

・仕様書要件を満たしている。

(3)プロキシサーバ ・仕様書要件を満たしている。

(4)外部DNSサーバ ・仕様書要件を満たしている。

(5)ファイアウォール ・仕様書要件を満たしている。

(6)IDS/IPS(18)上記の他、提供可能なサービス・仮想ブラウザ【別紙2】要件定義書5)移行に関する要件(1)設計・設定・利用団体毎の現行の設計、ネットワーク構成、システム構成等を十分に把握しているか。

・利用団体現環境に影響を与えないよう十分に留意し、設計を行う計画等が具体的に提案されているか。

・ログ監視、分析によるインシデントの発生を予防する方法について、具体的に提案されているか・セキュリティインシデント発生の際に、利用団体のCSIRT等に対しての助言や問合わせへの対応方法について、具体的に提案されているか。

(3)ログ収集・分析【別紙2】要件定義書7)運用に関する要件(1)体制・役割 ・本業務を確実かつ円滑に行う為の実施体制について、具体的に提案されているか。

・仕様要件を満たしている。

・仕様書要件を満たしている。

(11)振る舞い検知 ・仕様書要件を満たしている。

・脆弱性診断・そのほか提供可能なサービス(16)EDR ・仕様書要件を満たしている。

(17)機能に対する評価 ・機能に関する要件(1)から(16)について、県の仕様を超えて有益で具体的な提案があるか。

(12)メール無害化/ファイル無害化・仕様書要件を満たしている。

120 (2)テスト・各要件や設計、設定の内容を十分踏まえたテスト計画書について、作成方針等を具体的に提案されているか。

・テスト期間の確保は十分か。

(3)移行・移行に関するリスクや負担が最小限となる方法及びスケジュールについて、具体的な提案がなされているか。

・各利用団体の移行に係る設定変更等の対応について、支援内容及び調整事項が具体的に提案されているか。

6)セキュリティ運用に関する要件(1)SOC・必要な体制、機能、認証規格、実績、体制に配置する高度な人材について具体的に提示しており、セキュリティ対策・運用上で有効だと判断できるか。

160(2)マネージメントセキュリティサービス・分析ルールの作成について、作成方針等を具体的に提案されているか。

(4)セキュリティ管理・セキュリティインシデントの発生を想定した訓練を年1回以上行うことが具体的に提案されているか。

・第三者の監査を受けることが具体的に提案されているか。

・セキュリティインシデント発生時の各団体のCSIRTへの支援方法が、具体的に提案されているか。

290(2)運用業務管理者・運用業務を円滑に行う為、運用業務管理者等の業務形態(人員配置場所や人数等)について、具体的に提案されているか。

(3)へルプデスク機能 ・利用団体からの問合せや不具合の連絡及び設定変更の依頼等への対応方針は具体的に提案されているか。

(4)障害管理・障害発生時の速やかな復旧のため、各種関係者(利用団体の管理者及び保守業者、公共ネットワーク保守業者等、現行セキュリティクラウド運用保守業者)との連携に関するリスクについて考慮されており、また、連携を円滑かつ密接に行う為の体制や仕組み、工夫について、具体的に提案されているか。

(5)維持管理 ・仕様要件を満たしている。

(6)システム・サービス構成管理(7)バックアップとリストア ・仕様要件を満たしている。

(8)定例会議等の運営 ・仕様要件を満たしている。

(9)監視業務 ・仕様要件を満たしている。

技術点価格点合計点 ・必須項目に「×」がある場合は「失格」とする。

60(3)評価項目の管理方法 ・定義書で示しているサービス指標以外で有効な指標(評価の管理方法含む)を追加で提案されているか。

4)結果対応 (1)サービスレベルの改善・定義書で示している指標以上の数値で提案されているか。

60・提案したサービスレベルが未達成の場合の対応方法について、具体的な提案がなされているか。

【別紙3】サービスレベル定義書3)サービスレベル(2)サービス指標 ・定義書で示している指標以上の数値で提案されているか。

1別添7プレゼンテーションシナリオ1 方法web会議(teams)によるプレゼンテーション2 時間配分(1) 仕様の提案、プレゼンテーション 20 分(2) 質疑応答 20 分3 プレゼンテーションに使用する機器及び環境必要となる機材等は各社で準備すること。4 プレゼンテーションシナリオシナリオ番号 プレゼンテーションの内容シナリオ1プロジェクト全般以下の内容について提案すること・ プロジェクト全体の要件を実現するための体制と計画について・ プロジェクト管理の具体的な実施方法について・ プロジェクトマネージャの業務経験、技能、資格についてシナリオ2全体構成に関すること以下の内容について提案すること・ 次期SCの構成・ インターネット回線について・ 次期SCと公共ネットワークとの通信回線について・ 実施場所についてシナリオ3機能に関すること以下の内容について提案すること・ 利用団体の業務効率化等を考慮した製品選定について・ セキュリティ機能・性能について・ 利用料の単価についてシナリオ4移行に関すること以下の内容について提案すること・ 設計・設定・ テスト・ 移行シナリオ5セキュリティ運用に関すること以下の内容について提案すること・ セキュリティオペレーションセンター・ マネージドセキュリティサービス・ ログ収集・分析・ セキュリティ管理2シナリオ6運用に関すること以下の内容について提案すること・ 体制・役割・ 運用業務管理者・ ヘルプデスク機能・ 障害管理(問題管理・変更管理・復旧対応)・ 維持管理・ システム・サービス構成管理・ バックアップとリストア・ サービス開通・解約対応についてシナリオ7定例会議等の運営・ 各種報告書・ 利用団体毎への運用説明会・ 全利用団体への運用説明会・ 利用団体とのコミュニケーション・ 監視業務シナリオ7サービスレベル以下の内容について提案すること・ サービス指標及び評価項目の管理方法について・ サービスレベルの改善について※提案書及び提案資料等に記載した提案事項について、プレゼンテーションを省略することも可能とする。

個人情報取扱特記事項(基本的事項)第1 乙は、個人情報(個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第2条第1項で定めるものをいう。以下同じ。))の保護の重要性を認識し、この契約による事務の実施に当たっては、個人の権利利益を害することのないよう、個人情報を適正に取り扱わなければならない。

(秘密の保持)第2 乙は、この契約による事務に関して知り得た個人情報を他に漏らしてはならない。この契約が終了し、又は解除された後においても、同様とする。

(個人情報の収集)第3 乙は、この契約による事務を処理するために個人情報を収集するときは、その目的を明確にし、目的を達成するために必要な範囲内で、適法かつ適正な手段により行わなければならない。

(目的外利用・提供の禁止)第4 乙は、この契約による事務に関して知り得た個人情報を当該事務の目的以外の目的のために利用し、又は第三者に提供してはならない。

(適正管理)第5 乙は、この契約による事務に関して知り得た個人情報について、漏えい、滅失又はき損の防止その他の個人情報の適正な管理のために、個人情報の管理に関する責任者及び作業現場の責任者の設置等の管理体制の整備など、必要な安全管理措置を講じなければならない。

2 乙は、前項の目的を達成するために、個人情報を取り扱う場所及び保管する場所(以下「作業場所」という。)において、入退室の規制、防災防犯対策その他の安全対策を講じなければならない。

(事務取扱担当者の明確化)第6 乙は、個人情報を取り扱うにあたって、部署名(●●課、●●係等)、事務名(●●事務担当者)等により、担当者を明確にしなければならない。ただし、部署名等により担当者の範囲が明確化できない場合には、事務取扱担当者を指名しなければならない。

(複写又は複製の禁止)第7 乙は、甲の承諾があるときを除き、この契約による事務を処理するために甲から提供された個人情報が記録された資料等を複写し、又は複製してはならない。

(作業場所の外への持出の禁止)第8 乙は、あらかじめ甲の指示又は承諾があった場合を除き、この契約による事務を処理するために甲から貸与され、又は乙が収集し、複製し、若しくは作成した個人情報が記録された資料等(複写及び複製したものを含む。)について、作業場所の外へ持ち出してはならない。

(再委託の禁止)第9 乙は、甲の書面による承諾があるときを除き、この契約による事務を第三者に委託してはならない。

2 乙は、甲の書面による承諾により、第三者に個人情報を取り扱う事務を委託する場合は、甲が乙に求める個人情報の保護に関する必要な安全管理措置と同様の措置を当該第三者に講じさせなければならない。

3 乙は、再委託先の第1項に規定する事務に関する行為及びその結果について、乙と再委託先との契約の内容にかかわらず、甲に対して責任を負うものとする。

4 乙は、本件委託事務を再委託した場合、その履行を管理監督するとともに、甲の求めに応じて、その状況等を甲に報告しなければならない。

(資料等の返還等)第10 乙は、この契約による事務を処理するために、甲から提供を受け、又は乙自らが収集し、若しくは作成した個人情報が記録された資料等は、この契約の終了後直ちに甲に返還、廃棄又は消去しなければならない。ただし、甲が別に指示したときはその指示に従うものとする。

2 乙は、前項の個人情報を廃棄する場合、記録媒体を物理的に破壊する等当該個人情報が判読、復元できないように確実な方法で廃棄しなければならない。

3 乙は、パソコン等に記録された第1項の個人情報を消去する場合、データ消去用ソフトウェア等を使用し、通常の方法では当該個人情報が判読、復元できないように確実に消去しなければならない。

4 乙は、第1項の個人情報を廃棄又は消去したときは、甲に完全に廃棄又は消去した旨を証する書面を速やかに提出しなければならない。

(事務従事者への周知及び指導監督)第11 乙は、この契約による事務に従事している者に対して、次の事項を周知するとともに、この契約による事務を処理するために取り扱う個人情報の適切な管理体制が図られるよう、必要かつ適切な指導監督を行わなければならない。

(1)在職中及び退職後においても当該事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならないこと(2)前号に違反した場合は法の罰則規定に基づき処罰される場合があること(3)その他この契約による事務を処理するために取り扱う個人情報の保護に関して必要な事項2 乙は、前項の目的を達成するために、非正規職員を含めた従業者に対し、個人情報を取り扱う場合に従事者が遵守すべき事項について研修等の教育を実施しなければならない。

(報告及び検査)第12 甲は、必要があると認めるときは、乙がこの契約による事務を処理するに当たり、取り扱っている個人情報の管理状況及び委託業務の履行状況について、報告を求めることができる。

2 甲は、必要があると認めるときは、乙がこの契約による事務を処理するに当たり、取り扱っている個人情報の管理状況及び委託業務の履行状況について、随時実地に検査することができる。

(事故発生時の対応)第13 乙は、個人情報の漏えい、滅失、き損及び改ざん等この契約に違反する事態が生じ、又は生じるおそれのあることを知ったときは、速やかに甲に報告し、甲の指示に従うものとする。この契約が終了し、又は解除された後においても、同様とする。

(指示)第14 甲は、乙がこの契約による業務を処理するために取り扱っている個人情報について、その取扱いが不適当と認められるときは、乙に対して必要な指示を行うものとする。

(契約解除及び損害賠償)第15 甲は、乙が特記事項の内容に反していると認めたときは契約の解除又は損害賠償の請求をすることができるものとする。

(注)1「甲」は委託者を、「乙」は受託者をいう。

2 委託の事務の実態に即して適宜必要な事項を追加し、又は不要な事項は省略して差し支えないものとする。

個人情報の管理体制等報告書 年 月 日委 託 者 名 様住所又は所在地受託者名 氏名又は商号 代表者氏名第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する個人情報の管理体制等について、下記のとおり報告します。

1 管理責任体制に関する事項個人情報管理責任者(所属・役職)(氏名)作業責任者(所属・役職)(氏名)2 事務取扱担当者に関する事項部 署 名事 務 名(事務担当者)※事務担当者は、個人情報の取得から廃棄までの事務に従事する全ての者が該当となります。

3 個人情報の保管、管理に関する事項作業場所保管場所及び保管方法盗難、紛失等の事故防止措置等(具体的に記入すること)別記1個人情報の管理体制等変更報告書 年 月 日委 託 者 名 様住所又は所在地受託者名 氏名又は商号 代表者氏名第3次佐賀県情報セキュリティクラウド構築及び運用保守業務委託に関する個人情報の管理体制等について、下記のとおり変更しましたので報告します。

1 管理責任体制に関する事項個人情報管理責任者(所属・役職)(氏名)作業責任者(所属・役職)(氏名)2 事務取扱担当者に関する事項部 署 名事 務 名(事務担当者)※事務担当者は、個人情報の取得から廃棄までの事務に従事する全ての者が該当となります。

3 個人情報の保管、管理に関する事項作業場所保管場所及び保管方法盗難、紛失等の事故防止措置等(具体的に記入すること)