サイバー攻撃の被害に遭ってしまったら御活用を！　―中小企業のためのセキュリティインシデント対応の手引き―

●インシデントを検知したら、速やかに情報セキュリティ責任者および経営者に連絡してください。
経営者は、インシデントの発生を確認した場合、速やかに対応方針を指示し、被害を拡大させないための初動対応（ネットワークの遮断、情報や対象機器の隔離、システムやサービスの停止など）を実施してください。
※対象機器の電源を切るなどの不用意な操作は、システム上に残された記録を消さないよう注意が必要です。

●被害拡大を防ぐため、二次的な被害が想定される場合は、被害者本人にその事実を報告してください。本人への報告が困難な場合や、インシデントの影響が広く一般に及ぶ場合には、ウェブサイトやメディアを通じて公表することも必要です（※）。 また、必要に応じて問い合わせ窓口も開設してください。
※公表によって被害の拡大を招かないよう、時期、内容、対象などを慎重に考慮する必要があります。
検討の際には、「サイバー攻撃被害に係る情報の共有・公表ガイダンス（令和５年３月８日 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会 策定）」も活用ください。

●インシデント対応が完了した後は、関係者（被害者や取引先、顧客など）に対して、対応状況や再発防止策について報告する必要があります。また、必要に応じて以下の行政機関にも届け出てください。
●個人情報の漏えいの場合：個人情報保護委員会
●業法などで求められる場合：所管省庁
●犯罪性がある場合：警察
●ウイルス感染や不正アクセスの場合：独立行政法人情報処理推進機構（IPA）

●復旧にあたっては、原因を調査し、情報（発覚・発生日時、表面化している事象・被害・影響、時系列での対応経過、想定される原因など）を整理してください。

●原因に応じて、必要な対応（修正プログラムの適用、設定変更、機器の入替、データの復元など）を実施してください（※）。
※自社で調査や対応が難しい場合は、外部専門組織（IT製品のメーカー、保守ベンダーなど）や公的機関の相談窓口に支援や助言を依頼してください。

●インシデント発生の根本的な原因を分析した上で、再発防止策（新たな技術的対策の導入、ルールの策定、教育の徹底、体制整備、運用の改善など）を実施してください。