サイバーセキュリティとは？

サイバーセキュリティとは、不正アクセスやマルウェア感染から電子データとして保存している機密情報の盗取・改ざん・破損などを防ぐ仕組みを整えることです。企業が保有する社員の個人情報・企業の蓄積した事業ノウハウ・顧客情報は犯罪者にとって利用価値の高い情報ばかりです。ビジネス上の重要なデータや個人情報はダークウェブで売却すると多額の金銭的見返りを期待できるだけでなく、クレジットカードや銀行口座から不正にお金を引き出すこともできます。

情報流出が起きると取引先や消費者から信用を失い、今後のビジネスが大変厳しくなります。自社にとって貴重な情報資産を守るためにも、サイバーセキュリティを強化していく必要があります。

情報漏洩が起きた場合の影響

	狙われる情報資産	影響
内容	従業員の個人情報 企業の技術・商品データ 顧客情報	莫大な経済的利益の損失 蓄積してきたノウハウの流出 ダメージを受けたシステムを復旧させるまでのコスト増大 取引先との取引量減少 消費者離れ 社員からの不信感

サイバーセキュリティへの助成金とは？

東京都中小企業振興公社が実施した令和2年度におけるサイバーセキュリティ対策促進助成金の内容を紹介します。 助成金を申請できる条件としては、情報処理推進機構IPAが創設したサイバーセキュリティに関する取り組みであるSECURITY ACTIONの「★★二つ星」宣言と手続きが完了しているのが条件です。

また、既に今年度の受付は終了しており、令和3年の1月22日～29日の対象期間で申し込んだ企業の審査のみを残すだけとなっています。令和3年度のスケジュールや助成金の規模は未発表ですが、国全体でDX(Digital transformation)と情報セキュリティの強化を推進していることもあり、引き続き助成金制度は継続されるでしょう。

対象企業

IPAが定めたSECURITY ACTIONの二つ星を宣言している都内の中小企業・団体が条件になります。 下の表は各業種における中小企業に該当する企業規模の定義です。

業種	中小企業基本法の定義
製造業・建設業・運輸業	資本金又は出資総額が3億円以下 常時稼働している社員が300名以下の企業又は個人
卸売業	資本金又は出資総額が1億円以下 常時稼働している社員が100名以下の企業又は個人
小売業	資本金又は出資総額が5,000万円以下 常時稼働している社員が50名以下の企業又は個人
サービス業	資本金又は出資総額が5,000万円以下 常時稼働している社員が100名以下の企業又は個人

対象外の企業・団体

• 特定非営利活動法人
• 財団法人
• 学校法人
• 社団法人
• 宗教法人
• 社会福祉法人
• 医療法人
• 政治・経済団体

SECURITY ACTIONとは？

IPAが定めたサイバーセキュリティの取り組みに関してのガイドラインです。 ただし、SECURITY ACTIONはサイバーセキュリティ対策を促す枠組みであり、取り組み状況を認定する制度ではありません。 あくまで企業が自社のセキュリティ環境を見直して自発的に情報セキュリティの基本方針を定め、方針に向かって取り組むことを促します。

また、各企業は取り組むべき目標を設定した後、外部に公開したことを自己宣言する「★★二つ星」段階に到達して初めて助成金の申請が可能になります。

一つ星 ( 情報セキュリティ5か条)

IPAが定めた中小企業の情報セキュリティ対策ガイドラインである「情報セキュリティ5か条」に取り組むことを宣言した企業が取得できます。

1. OSとソフトウェアは常に最新の状態を維持
2. ウイルスソフトの導入
3. パスワードの強化・複雑化
4. 共有設定の見直し
5. マルウェアやサイバー攻撃についての知識取得

★★二つ星

情報セキュリティ対策ガイドラインの付録にある「5分でできる！情報セキュリティ自社診断」で自社の状況を確認後、情報セキュリティに関する目標や方針を定めます。 内容が決まったら外部に公開と宣言をすることで、「★★二つ星」のロゴマークが取得できます。

助成金が受け取れる製品の対象範囲とは？

企業の情報資産を保護する仕組みを強化するためのセキュリティツールの導入が対象になります。 最大1,500万円助成金を受け取れますので、上手に活用してセキュリティ環境の安全性を強化してください。

助成金の対象範囲

種類	内容
統合型アプライアンス	UTMの導入
ネットワーク対策品	ファイアウォールの設置 IPS/IDSの導入 VPNの設置
セキュリティ対策	ウイルスソフト導入 スパムメール対策
アクセス管理	シングルサインオン導入 IDaaS導入
システムセキュリティ	SOCの活用 SOARの導入
暗号化	暗号化ソフトの導入 電子署名の導入 クラウドサービスの導入
サーバー	最新のセキュリティ対策実施済み商品限定
標的型攻撃への社員教育	ビジネスメール詐欺などの対処・知識講習

助成率＆助成額

助成対象経費の1/2位内で、最低30万円～最大1,500万円

助成金申請に必要な申請書類とは？

東京都中小企業振興公社に申請する申請書類一覧をまとめました。 申請を検討している企業は全ての書類を揃えクリップ留めにして、申請してください。

申請書類一覧

	詳細	部数
申請前確認書	公社ホームページからダウンロード	1部
助成金申請書	公社ホームページからダウンロード	1部
履歴事項全部証明書	法人：発行後 3 か月以内の登記簿謄本(原本) 個人：開業届(コピー) 中小企業団体：登記簿謄本・定款・組合員名簿（コピー）	1部
見積書	同じ仕様で2社以上の見積書が必要 有効期限内の見積書を申請 単価、積算根拠が明確な見積書を提出	各1部
助成対象設備・導入検討の仕様を明確化した書類	仕様書 カタログ 商品説明書	機種ごとに1部ずつ
発注先	委託費・クラウドサービス利用時に必要 パンフレット パンフレットが無ければ、ホームページ印刷でも代用可能	1部
設置場所関連書類	設計図・平面図 敷地内に設置物を明確化した書類を提出 データセンターの場合でも提出が必須	1部
直近 3 期分の 確定申告書（コピー）	法人：貸借対照表・損益計算書・株主資本等変動計算書・販売費・一般管理費明細・製造原価報告書・勘定科目内訳書・法人事業概況説明書（両面） 個人：青色申告・白色申告問わず、所得税申告書・貸借対照表・損益計算書・販売費・一般管理費・勘定科目の内訳 ※税務署の受付印または電子申告の受信通知が記載された書類 ※税務署へ提出したものを一式コピーしてください。	各期1部ずつ
納税証明書	法人：直近の法人事業税・都民税の納税証明書(原本) 個人：直近の個人事業税・都民税の納税証明書(原本) 個人事業税が非課税の場合は、所得税及び 住民税の納税証明書（原本）	1部
会社案内	会社の事業内容・経歴記載のある書類 パンフレットが無い場合、上記内容が記載されたホームページの印刷物でも代用可能	1部
営業に必要な許認 可証(コピー)	事業活動を行うにあたり必要な許認可証(工場設置認可など) ※許認可取得等の要否が不明な場合は管轄窓口に相談	1部
SECURITY ACTION	（★★ 二つ星）のロゴマーク使用の手続きが完了した旨のＩＰＡからのメール（コピー）	1部
情報セキュリティ 基本方針（コピー）	会社案内に記載が無い場合は、別途印刷が必要 ホームページに記載がある場合は該当ページを印刷物での提出も可能	1部
工程表(コピー)	各工事の実施日ごとに工事内容と人工数の記載が必要 ※工事を行う場合のみ必要	1部
建物所有者の承諾書	該当建物内で工事の承諾をする記載と貸主の押印がある書類 ※自社所有でない建物（賃借契約）で工事を行う場合に必要	1部
導入設備・製品リスト	導入設備が多く、申請書の購入品明細の欄に書き切れない場合使用	1部
別途公社が指定する書類	直近の試算表等、申請受付前後で別途提出を依頼する場合のみ提出	1部

助成金対象者を決定する5つの審査ポイントとは？

表にまとめた5つの視点で妥当性が認められた法人・個人の方のみ、助成金を支援します。

種類	内容
申請資格	資格要件に合致しているか
経営面	財政内容、企業概要から助成金を支援するべきか妥当性を判断
計画の中身	サイバーセキュリティの状況・課題を把握できているか判断 課題を克服するために選択したセキュリティツールの妥当性を判断
設備計画	設備のスペック・数量が現在のセキュリティ環境に適性 導入する設備の妥当性
導入効果	設備導入後の効果の有無

助成金を受け取るまでのスケジュールは？

SECURITY ACTIONの「★★二つ星」取得宣言後から、助成金が支払われるまでの流れをまとめました。 申請を行う場合は電話による事前予約が必要である点と先着順での受付となっているため、助成金を検討している場合は早急に書類を揃える必要があります。

交付までの流れ

1. SECURITY ACTIONの★★二つ星の取得宣言
2. 申請予約
3. 申請
4. 交付決定
5. 事業実施
6. 完了報告
7. 助成金確定・請求
8. 助成金支払

申請についての注意点

• 助成金交付申請書は中小企業振興公社のホームページから入手
• 申請日を電話で予約し、対面で必要書類を提出
• 全ての提出書類が揃った段階で申請を実施
• 代理申請は対応不可
• 国や地域の助成金と両方の受領は不可
• 交付決定前に助成対象設備の発注・契約をした場合、助成対象外

サイバーセキュリティに関して経営層が認識しておくべき3つの内容とは？

情報漏洩の被害総額は年々深刻化しており、大企業に留まらず中小企業がターゲット企業となる機会も増加していることがポイントです。

情報漏洩の被害総額は年々深刻化

日本IBMが発表した調査によると、2019年8月から2020年4月にかけて情報漏洩が発覚した日本企業の被害総額が1件あたり約4億5000万円に上ると発表しました。 情報漏洩の内容はシステムダウンによるビジネス機会の停滞、顧客からの信用失墜などあらゆる内容を含めた調査で昨年の調査から約1割被害総額が上がっています。

被害総額増加の要因としては、サイバー攻撃を仕掛ける犯罪者の技術向上と攻撃の多様化にあります。 例えば、近年被害が増えているファイルレス・マルウェアはWindows PowerShellを利用して情報盗取を行うため、ファイルへの書き込みを行わず不正なプログラムも残しません。

そのため、ウイルスソフトやファイアウォールでは検知されず不正が行われたことに気付かないため、対応が遅れてしまいます。 また、社員が使用しているPCや社内システムを制御不可能な状態にさせ、元に戻す代わりに多額の身代金を要求するランサムウェアの被害も世界各国で増加傾向にあります。 ランサムウェアは攻撃の予兆が無く復旧に多大な時間を必要とするため、企業にとって深刻なダメージを与えるサイバー攻撃の1つです。

ランサムウェアの被害増加は、クラウドサービスの普及で料金さえ払えばランサムウェアを購入できるRaaS（Ransomware as a Service)の普及が、大きな要因となっています。 上記のように新しい攻撃が次々と生み出されていきますので、各企業は変化に遅れず情報漏洩を防ぐためのセキュリティツールの導入や脆弱性の有無をチェックし続けなくてはいけません。

売上に反映する政策ではない

セキュリティツールの導入やセキュリティ業務の経験豊富な人材の確保など、サイバー攻撃への対策や情報資産を守る仕組み作りの強化は、売上には直結しません。 サイバーセキュリティ対策は情報資産漏洩を防ぐことが目的であるのに加え、社員の作業効率改善や安心して仕事に打ち込める環境を整備することだからです。

そのため、導入効果がわかりにくく売上に直結しない＝投資の優先順位は後回しという現状の考えでは、サイバー攻撃に対する防御は脆弱なままです。 サイバーセキュリティ対策は一度に全てを行う必要はありません。 自社のシステム環境を見直し、最優先に取り組むべき内容から段階的に進めていくことが大切です。

中小企業もターゲット対象になる機会が増加

近年のサイバー攻撃はサプライチェーン攻撃に代表されるように、中小企業がターゲットになることも増えています。 犯罪者からすると大企業にいきなり攻撃を仕掛けて情報資産を盗取するのはリスキーだと判断しているからです。 資金面・人材登用に余裕のある大企業は積極的にセキュリティ対策の強化を行い、自社の情報資産を守る仕組みを年々強化しています。

そのため、大企業に比べるとセキュリティ対策・意識が甘い中小企業を起点にして、ターゲット企業へ不正アクセスを試みる形が増えています。 つまり、中小企業から攻めた方が成功確率が高いと判断しているのです。

自社のセキュリティ対策が不十分で取引先から情報漏洩が起きた場合、取引打ち切りだけでなく損害倍書を要求されるケースも想定されます。 セキュリティ対策にこれまで力を入れてこなかった企業も本格的に対策を検討する時期に差し掛かっていることを認識してください。

まとめ

助成金を上手に活用してセキュリティツールを導入することも重要ですが、最も大切なのは自社のセキュリティ環境や課題を把握することです。 状況がわからないと正しいサイバーセキュリティ対策を行えません。 システム管理者だけでなく、組織全体でセキュリティに対しての意識を高める必要があります。

今後は場所を問わない働き方が多様化し、デジタルツールの導入加速が予想されます。 多様な働き方に対応するためにもサイバーセキュリティ対策を強化し、社員が安心して仕事に打ち込める環境づくりを整備することが大切です。