１

サプライチェーンリスク全体の確認
上記の通り、自組織のみならずサプライチェーン全体を俯瞰し、発生が予見さ
れるリスクを医療機関等自身でコントロールできるようにする必要があることか
ら、関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネット
ワーク接続点（特にインターネットとの接続点）をすべて管理下におき、脆弱性
対策を実施する。

２

リスク低減のための措置
〇パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除
しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
〇IoT 機器を含む情報資産の保有状況を把握する。
○VPN 装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性
は、攻撃に悪用される可能性があるので、セキュリティパッチ（最新のファーム
ウェアや更新プログラム等）を迅速に適用する。
○悪用が既に報告されている脆弱性については、ログの確認やパスワードの変更な
ど、開発元が推奨する対策が全て行われていることを確認する。
○VPN 機器に対する管理インターフェースのインターネット上の適切なアクセス
制限を実施する。
〇メールの添付ファイルを不用意に開かない、URL を不用意にクリックしないこと。
不審メールは、連絡・相談を迅速に行い組織内に周知する。

３

インシデントの早期検知
〇サーバ等における各種ログを確認する。
（例：大量のログイン失敗の形跡の有無）
〇通信の監視・分析やアクセスコントロールを再点検する。
（例：不審なサイトへ
のアクセスの有無）

４

インシデント発生時の適切な対処・回復
〇サイバー攻撃を受け、システムに重大な障害が発生したことを想定した事業継続
計画が策定する。
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
〇インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、
外部関係機関への連絡体制や組織内連絡体制等を準備する。
○インシデント発生時及びそのおそれがある場合には、速やかに厚生労働省等の関
係機関に対し連絡する。

５

金銭の支払いに対する対応
厚生労働省としては、サイバー攻撃をしてきた者の要求に応じて金銭を支払うこ