次の事項は、事前に決めておくべき項目の例となる。
① インシデント発生が疑われる不審な事象が確認された場合の対処の手順や
報告手順の整理
② 調査対象システムの保全方法（メモリダンプ、ディスクイメージの取得等）
の整備
③ システム停止やネットワーク遮断など、業務に大きな影響を与える対処の
判断方法の明確化
（３）データ・システムのバックアップ
事業継続のため、データやシステムのバックアップを行う。ランサムウェアの
影響は、感染端末のみならず、感染端末からアクセス可能な別の端末やクラウド
上のデータにも及ぶ可能性があるため、データをバックアップする際には、次の
点に留意する必要がある。
① 重要なファイルは、定期的にバックアップを取得する。
②

バックアップに使用する装置・媒体は、バックアップ時及びバックアップデ
ータの戻し時のみ対象機器と接続する。
③ バックアップ中に感染する可能性を考慮し、バックアップに使用する装置・
媒体は複数用意する。
④ バックアップの妥当性（バックアップが正常に取得できているか、現状のバ
ックアップ手法が攻撃に対して有効か）を定期的に確認する。
⑤ データのみならず、システムの再構築を含めた復旧計画を策定する。
（４）情報窃取とリークへの対策
情報が窃取され、公開される脅威については、次のような対策が考えられる。
① IRM（Information Rights Management）等の情報漏えい対策（情報が窃取さ
れても被害を限定的な範囲に留める対策）を導入する。
② 重要データを取り扱うコンピュータを接続するネットワークと一般職員が
扱うパソコンを接続するネットワークを別のネットワークアドレスにするな
どによりネットワーク経由での侵害範囲拡大に対するハードルを上げる。
（５）医療情報システム等のセキュリティ対策
医療情報システム等では、安定稼働が優先され、閉域ネットワークであること
を理由に、端末やアプリケーションへのセキュリティパッチの適用が見送られ
ることがある。しかし、過去には、業務上の必要性により持ち込んだ USB メモリ
を介した感染事例や保守のために持ち込んだ端末が既にコンピュータウイルス
に感染していて、そこから感染が拡大した事例がある。