今や仕事や生活にはなくてはならないインターネット。
企業のサイバー攻撃被害のニュースを耳にする機会が増えていませんか?
昨今では、被害は政府機関や大手企業だけでなく中小企業にまで拡大しています。
被害を未然に防ぐためには、セキュリティ強化が必要です。
セキュリティ強化には費用が必要ですが、様々なセキュリティ対策を促進するための助成金制度があります。
今回は、2019年度に東京都の中小企業向けに実施されている「サイバーセキュリティ対策促進助成金」について紹介します。
本記事では、助成金を受け取るための7つを紹介します。
・サイバーセキュリティとは
・サイバーセキュリティ対策促進助成金とは
・助成対象となる事業者
・助成対象になるもの
・助成金額
・受給の流れ
・注意事項
次項で各要点の特徴を紹介します。
サイバーセキュリティとは
日常生活や仕事になくてはならないインターネットですが、昨今では、サイバー攻撃による被害が中小企業にまで拡大しています。
コンピューターやネットワークに対するサイバー攻撃を防ぐための対策がサイバーセキュリティです。
かつては、サイバーセキュリティといえば、大手企業やIT企業だけが必要になるものと考えている人も多かったですが、今では中小企業にとっても、サイバーセキュリティは重要な課題となっています。
サイバー攻撃被害による1件あたりの平均想定被害額は6億3,767万円(※)となり、中小企業にとっては致命的な数値になりかねません。
また、2020年には東京オリンピック開催されますが、オリンピックなどの世界的なイベントの際には、さまざまなサイバー攻撃が行われてきています。
実際に、2016年のリオデジャネイロオリンピック・パラリンピックでは、大会の関連サイトだけでなく、会場の建設に携わった業者まで攻撃対象となっています。
このような背景がある中、企業のサイバーセキュリティ対策が不可欠となっています。
※JNSA(日本ネットワークセキュリティ協会)「2018年 情報セキュリティインシデントに関する調査報告書」
サイバーセキュリティ対策促進助成金とは
しかし、サイバーセキュリティ対策が不可欠とは言え、対策を行うためには費用が必要です。
中小企業にとっては、費用をどうやって捻出するかが大きな課題となる場合も多く、サイバーセキュリティ対策が二の次になってしまっている企業も多数あります。
そんな状況を支援するため、都道府県や公益財団法人の助成金の中には、サイバーセキュリティ対策へ使うことのできるものがあります。
2019年現在では、東京都中小企業振興公社が「サイバーセキュリティ対策促進助成金」を実施しています。
この助成金は、中小企業が自社の企業秘密や個人情報などを保護するために、サイバーセキュリティ対策を実施するにあたって、設備などの導入を支援することを目的としています。
助成対象事業者
サイバーセキュリティ対策促進助成金を受給できるのは、以下の要件を全て満たす会社です。
・中小企業者又は中小企業団体のうち、法人にあっては東京都内に登記簿上の本店又は支店を有すること、個人にあっては東京都内で開業届又は青色申告をしていること
・東京都内で申請時までに1年以上事業を継続していること
・過去にこの助成金の交付を受けていないこと
・IPA(独立行政法人 情報処理推進機構)が実施しているSECURITY ACTIONの2段階目「★★二つ星」を宣言していること(標的型メール訓練に係る助成のみを申請する場合は不要)
SECURITY ACTIONとは?
「SECURITY ACTION」という言葉を初めて聞いたという方も多いと思います。
SECURITY ACTIONは、IPA(独立行政法人情報処理推進機構)が実施している情報セキュリティ対策に取組むことを自己宣言する制度です。中小企業が安全・安心なIT社会を実現するために創設されました。
サイバーセキュリティ対策促進助成金を受給するには、SECURITY ACTIONの2段階目「★★二つ星」を宣言する必要があります。
以下に宣言に向けた手順を記載しておりますが、決して難しい内容ではありません。
SECURITY ACTION「★★二つ星」の宣言方法
二つ星の宣言までには、以下の3つのステップがあります。
① 「★一つ星」ロゴマークを宣言する
中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組む。
※すでに同等の取組みができている中小企業等は二つ星から始めてください。
<情報セキュリティ5か条>
(1)OSやソフトウェアは常に最新の状態にしよう!
(2)ウイルス対策ソフトを導入しよう!
(3)パスワードを強化しよう!
(4)共有設定を見直そう!
(5)脅威や攻撃の手口を知ろう!
<IPA / SECURITY ACTION情報セキュリティ5か条(PDF)>
②「★★二つ星」ロゴマークを宣言する
中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開してください。
<情報セキュリティ基本方針の項目例>
(1)経営者の責任
(2)社内体制の整備
(3)従業員の取組み
(4)法令及び契約上の要求事項の遵守
(5)違反及び事故への対応
<IPA / 5分でできる!情報セキュリティ自社診断(PDF)>
<IPA / 情報セキュリティ基本方針(サンプル)(Word)>
③自己宣言の申請をする
以下ホームページの「自己宣言の新規お申込みはこちら」より、自己宣言の新規申し込みが可能です。
事業者情報や自己宣言の入力が必要になります。
<IPA / SECURITY ACTION 自己宣言事業者の申込方法>
助成対象になるもの
助成対象になるものは、IPA発行の「中小企業の情報セキュリティ対策ガイドライン」に基づいてサイバーセキュリティ対策を実施するために必要となる製品・サービスの導入または更新です。
助成対象となる製品・サービス
以下の製品・サービスの導入または更新が対象となります。
(1)統合型アプライアンス(UTM等)
(2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
※VPNは都内の事業所間を結ぶもののみ助成の対象となります。
(3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
(4)アクセス管理製品(シングル・サイン・オン、本人認証等)
(5)システムセキュリティ管理製品(アクセスログ管理等)
(6)暗号化製品(ファイルの暗号化等)
(7)サーバー(最新のOS塔載かつセキュリティ対策が施されたものに限る)
(8)標的型メール訓練
標準型メール訓練は、機器の導入・更新には当てはまりませんが、悪質なメールによるサイバー攻撃を避けるため助成の対象となっています。
助成対象とならないもの
以下のような費用などは対象外となります。
・セキュリティ機器の維持・保守費用
・サイバーセキュリティ対策導入のためのコンサルティング費用
・導入した機器の操作を学ぶための教育費用
・中古品の購入費用
・通常業務にも使用できる設備の購入費用(officeソフト、パソコンなど)
助成金額
助成金額は上限1500万円(下限30万円)、助成対象経費の1/2以内です。
※ただし、対象がメール訓練のみの場合は、上限50万円(下限10万円)となります。
受給の流れ(2019年度版)
受給の流れは、「標的型メール訓練」のみの場合と、それ以外を含む場合で異なります。
「標的型メール訓練」のみの場合
(1)SECURITY ACTIONの二つ星宣言を行う
(2)サイバーセキュリティ対策促進助成金の申請を行う(2020年1月27日まで)
(3)情報セキュリティ診断、審査会が行われ、問題がなければ交付が決定される(交付決定は2020年3月1日の予定)
(4)セキュリティ対策を実施する(交付決定日~2020年6月30日)
(5)セキュリティ対策が完了したら、完了報告を行う
(6)完了報告の検査を受け、結果に基づいて助成金額が確定する。
(7)助成金を請求する。
(8)助成金の支払いを受ける。
<東京都中小企業振興公社 / サイバーセキュリティ対策促進助成金の申請案内>
「標的型メール訓練」以外を含む場合(2019年度は受付終了)
(1)サイバーセキュリティ対策促進助成金の申請を予約する(2019年6月24日~2019年7月8日)
(2)サイバーセキュリティ対策促進助成金の申請を行う(2019年7月22日~2019年7月26日)
(3)情報セキュリティ診断、審査会が行われ、問題がなければ交付が決定される(交付決定は2019年10月1日の予定)
(4)セキュリティ対策を実施する(交付決定日~2020年1月31日)
(5)セキュリティ対策が完了したら、完了報告を行う(完了後~2020年2月14日)
(6)完了報告の検査を受け、結果に基づいて助成金額が確定する。
(7)助成金を請求する。
(8)助成金の支払いを受ける。
注意事項
サイバーセキュリティ対策完了し、無事に助成金の受け取れた場合は「5年間」、対策のために導入・更新した機器・サービスの稼働状況を報告する義務があります。
ただし、標的型メール訓練だけの場合には、助成金を受給した後の報告義務はありません。
サイバーセキュリティ対策は導入したらおしまいというものではなく、継続した対策や更新が必ず必要になります。
報告義務のためだけでなく、報告に合わせてサイバーセキュリティ対策の状況を棚卸しするとともに、必要に応じて見直しを実施することをおすすめします。
まとめ
以上、サイバーセキュリティ対策促進助成金について解説しましたが、いかがでしたでしょうか?
「サイバー攻撃に備えて対策をしたいけど費用が…」と困っていた方は、ぜひ利用してみてください。
2019年度は、標的型メール訓練以外の助成金受付が終了していますが、サイバー攻撃は、いつどこからやってくるかわかりません。
来年度の申請に向けた準備も兼ねて、今のうちからSECURITY ACTION「★★二つ星」の宣言の準備を進め、サイバー攻撃に備えておくことをおすすめします。