令和４年11月10日事務連絡
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起）(抜粋)
１ サプライチェーンリスク全体の確認
関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点（特にインターネットとの接続点）をすべて管理下におき、
脆弱性対策を実施する。

２ リスク低減のための措置
・パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
・IoT 機器を含む情報資産の保有状況を把握する。
・VPN 装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性は、攻撃に悪用される可能性があるので、セキュリティパッチ（最新
のファームウェアや更新プログラム等）を迅速に適用する。
・悪用が既に報告されている脆弱性については、ログの確認やパスワードの変更など、開発元が推奨する対策が全て行われていることを確認する。
・VPN 機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施する。
・メールの添付ファイルを不用意に開かない、URL を不用意にクリックしないこと。不審メールは、連絡・相談を迅速に行い組織内に周知する。

３ インシデントの早期検知
・サーバ等における各種ログを確認する。（例：大量のログイン失敗の形跡の有無）
・通信の監視・分析やアクセスコントロールを再点検する。（例：不審なサイトへのアクセスの有無）

４ インシデント発生時の適切な対処・回復
・サイバー攻撃を受け、システムに重大な障害が発生したことを想定した事業継続計画が策定する。
・データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
・インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、外部関係機関への連絡体制や組織内連絡体制等を準備する。
・インシデント発生時及びそのおそれがある場合には、速やかに厚生労働省等の関係機関に対し連絡する。

５ 金銭の支払いに対する対応
サイバー攻撃をしてきた者の要求に応じて金銭を支払うことは、犯罪組織に対して支援を行うことと同義と認識しており、以下の観点により金銭の支
払いは厳に慎むべきである。
・金銭を支払ったからと言って、不正に抜き取られたデータの公開や販売を止めることができたり、暗号化されたデータが必ず復元されたりする保証が
ないこと。
・一度、金銭を支払うと、再度、別の攻撃を受け、支払い要求を受ける可能性が増えること。

50