令和7年度 第2回サイバーセキュリティ対策促進助成金(R72CYB)
基本情報
この補助金のまとめ
この補助金の特徴
最大1,500万円・補助率1/2の手厚い支援
サイバーセキュリティ対策に特化した助成金としては国内最大級の助成額です。UTM、ファイアウォール、EDR、WAFなど高額になりがちなセキュリティ機器の導入コストを半額に抑えられるため、本格的なセキュリティ基盤の構築が現実的になります。中小企業にとって数百万円規模のセキュリティ投資は大きな決断ですが、本助成金により投資判断のハードルが大幅に下がります。
SECURITY ACTION二つ星宣言が申請の入口
申請にはIPAの「SECURITY ACTION」二つ星宣言が必須です。これは情報セキュリティ5か条の実践と情報セキュリティ基本方針の策定・公開を意味します。宣言自体は無料で行えますが、自社のセキュリティ体制を棚卸しする良い機会となります。申請前に余裕を持って宣言手続きを完了させておくことが重要です。
標的型メール訓練単独でも申請可能
セキュリティ機器の導入だけでなく、従業員向けの標的型メール訓練サービスのみでの申請も認められています。この場合の上限額は50万円ですが、人的セキュリティ対策の第一歩として活用価値が高い選択肢です。機器導入と組み合わせれば、技術面・人的面の両方からセキュリティを強化できます。
関東圏8都県の中小企業が広く対象
東京都・神奈川県・千葉県・埼玉県・茨城県・栃木県・群馬県・山梨県に事業所を持つ中小企業が対象です。ただし、都内に登記簿上の本店または支店があることが条件となるため、都外のみに拠点がある企業は注意が必要です。業種制限は基本的になく、製造業からサービス業まで幅広い中小企業が申請できます。
ポイント
対象者・申請資格
企業規模・形態
- 中小企業基本法に定める中小企業者であること
- 個人事業主も対象(開業届を提出済みであること)
- 中小企業団体(組合等)も申請可能
- みなし大企業は対象外(大企業が実質支配する企業)
所在地要件
- 東京都内に登記簿上の本店または支店があること
- 都外のみに拠点がある場合は対象外
- 茨城県・栃木県・群馬県・埼玉県・千葉県・神奈川県・山梨県に事業所がある場合も、都内登記が必要
事業継続要件
- 登記簿上の本店または支店で1年以上事業を継続していること
- 創業1年未満の企業は対象外
- 税務申告を適正に行っていること
セキュリティ要件
- IPA「SECURITY ACTION」二つ星を宣言済みであること
- 宣言は申請時点で有効であること
- 自社の情報セキュリティ基本方針を策定・公開していること
ポイント
あなたは対象?かんたん診断
8問の質問に答えるだけで、この補助金の対象かどうかを簡易診断できます。
申請ガイド
ステップ1:SECURITY ACTION二つ星宣言
IPAのウェブサイトから「SECURITY ACTION」二つ星を宣言します。情報セキュリティ5か条の実践に加え、情報セキュリティ基本方針の策定・公開が必要です。宣言後に発行されるロゴマークの使用許諾番号を控えておきましょう。
ステップ2:セキュリティ対策計画の策定
導入するセキュリティ機器・サービスを選定し、見積もりを取得します。なぜその対策が必要なのか、自社のリスク分析に基づいた計画を策定します。複数社から見積もりを取ることで、経費の妥当性を示しやすくなります。
ステップ3:申請書類の作成・提出
公社の専用ポータルサイトから申請書類をダウンロードし、必要事項を記入します。事業計画書には、現状のセキュリティ課題と導入後の改善効果を具体的に記載します。登記簿謄本・確定申告書・見積書等の添付書類も準備します。
ステップ4:審査・交付決定
書類審査および必要に応じたヒアリングが行われます。交付決定通知を受領するまでは、機器の発注・契約を行わないよう注意してください。交付決定前の契約・支払いは助成対象外となります。
ステップ5:機器導入・実績報告
交付決定後、計画に沿ってセキュリティ機器・サービスを導入します。導入完了後、実績報告書を提出し、検査を経て助成金が確定・支払いとなります。
ポイント
審査と成功のコツ
リスク分析の具体性が採択の鍵
導入機器と課題の対応関係を明確に
見積もりの妥当性を担保する
運用体制の整備を計画に含める
標的型メール訓練との組み合わせ
ポイント
対象経費
対象となる経費
ネットワークセキュリティ機器(4件)
- UTM(統合脅威管理)機器
- ファイアウォール
- IDS/IPS(不正侵入検知・防御システム)
- VPN機器
エンドポイントセキュリティ(4件)
- EDR(エンドポイント検知・対応)ソフトウェア
- ウイルス対策ソフト(法人向け)
- 資産管理ソフト
- 暗号化ソフト
Webセキュリティ(3件)
- WAF(Webアプリケーションファイアウォール)
- SSL証明書関連費用
- Webサイト改ざん検知サービス
クラウドセキュリティ(3件)
- クラウド型セキュリティサービス利用料
- CASB(クラウドアクセスセキュリティブローカー)
- メールセキュリティサービス
監視・運用サービス(3件)
- SOC(セキュリティオペレーションセンター)サービス
- ログ管理・分析ツール
- 脆弱性診断サービス
人的セキュリティ対策(3件)
- 標的型メール訓練サービス
- セキュリティ研修サービス
- eラーニング教材
設置・構築費用(3件)
- セキュリティ機器の設置工事費
- ネットワーク構築費
- 初期設定・チューニング費用
対象外の経費
対象外の経費一覧(8件)
- パソコン・サーバー等の汎用機器の購入費用
- 既に導入済みのセキュリティ機器のリース料・保守料
- コンサルティングのみの費用(機器導入を伴わないもの)
- 人件費・旅費・交通費
- 消費税および地方消費税
- 交付決定前に契約・発注・支払いを行ったもの
- 他の助成金・補助金で助成を受けた経費
- 中古品の購入費用
よくある質問
QSECURITY ACTION二つ星宣言はどのように行えばよいですか?
IPAの公式サイト「SECURITY ACTION」ページから、オンラインで宣言手続きを行います。まず「情報セキュリティ5か条」(OSやソフトの更新、ウイルス対策ソフト導入、パスワード強化、共有設定の見直し、脅威情報の収集)に取り組むことを確認します。次に「情報セキュリティ基本方針」を策定し、自社ホームページ等で公開します。IPAのテンプレートを活用すれば比較的短期間で策定可能ですが、社内承認等も考慮し、申請の1か月前には着手してください。宣言完了後にロゴマークの使用許諾番号が発行されますので、申請書に記載します。
Q標的型メール訓練のみで申請できますか?
はい、標的型メール訓練サービスのみでの申請も可能です。ただし、この場合の助成上限額は50万円となります。標的型メール訓練は、実際の攻撃メールを模した疑似メールを従業員に送信し、開封率や報告率を測定するサービスです。従業員のセキュリティ意識向上に効果的で、比較的少額から始められるため、セキュリティ対策の第一歩として活用する企業も多くあります。機器導入と合わせて申請すれば、上限1,500万円の範囲で訓練費用も含めることができます。
Qリース契約での機器導入は対象になりますか?
リース契約による機器導入については、助成対象期間内のリース料が対象となる場合があります。ただし、既に契約済みのリース契約の継続分は対象外です。新規のリース契約で、交付決定後に契約を開始し、助成対象期間内の利用料であることが条件です。購入とリースのどちらが有利かは、機器の耐用年数や自社の資金計画を踏まえて判断してください。詳細な条件は公社の募集要項で確認することをお勧めします。
Q都外に本社がある場合でも申請できますか?
都外に本社(本店)がある場合でも、東京都内に登記簿上の支店があり、その支店で1年以上事業を継続していれば申請可能です。ただし、営業所や出張所など登記簿に記載されない拠点のみでは要件を満たしません。申請時には登記簿謄本で都内拠点の登記を確認されますので、事前に自社の登記状況を確認してください。なお、対象エリアに茨城県・栃木県等が含まれていますが、これは事業実施場所としての範囲であり、都内登記は必須要件です。
Q交付決定前に見積もりを取得しても問題ありませんか?
見積もりの取得は交付決定前に行って問題ありません。むしろ、申請書類に見積書の添付が求められるため、事前の見積もり取得は必須です。注意すべきは「契約・発注・支払い」であり、これらは必ず交付決定後に行う必要があります。ベンダーとの打ち合わせや製品デモの実施、要件定義なども事前に進めておくと、交付決定後にスムーズに導入を開始できます。
Qクラウド型セキュリティサービスの利用料は何か月分が対象ですか?
クラウド型セキュリティサービスの利用料については、助成対象期間内の利用料が対象となります。具体的な対象月数は募集回によって異なりますので、公募要項で助成対象期間を確認してください。一般的に初期導入費用に加えて、対象期間内の月額利用料が助成対象に含まれます。ただし、対象期間終了後の利用料は自社負担となりますので、ランニングコストも含めた中長期的な予算計画を立てることが重要です。
Q個人事業主でも申請できますか?
はい、個人事業主も中小企業者等に含まれるため申請可能です。ただし、開業届を税務署に提出済みであること、都内で1年以上事業を継続していることが条件となります。個人事業主の場合、確定申告書(青色・白色)の写しが必要書類となります。法人と同様にSECURITY ACTION二つ星宣言も必要ですので、事前に手続きを完了させてください。
Q他の補助金・助成金と併用できますか?
サイバーセキュリティ対策促進助成金は、同一の経費について他の公的助成金・補助金との二重受給はできません。ただし、異なる経費であれば他の制度との併用が可能な場合があります。例えば、本助成金でセキュリティ機器を導入し、IT導入補助金で業務システムを導入するといった使い分けは検討の余地があります。 関連する制度として、経済産業省の「IT導入補助金」ではセキュリティ対策推進枠が設けられており、クラウドサービス利用料を最大2年分支援する仕組みがあります。本助成金はハードウェア・初期導入に強く、IT導入補助金はクラウドサービスの継続利用料に強いため、自社のニーズに合わせて使い分けると効果的です。 また、東京都の「中小企業サイバーセキュリティ対策支援事業」では、専門家派遣によるセキュリティ診断を無料で受けられる場合があります。まず診断を受けて自社の脆弱性を把握し、その結果に基づいて本助成金で対策機器を導入するという流れが理想的です。申請前に公社の窓口で併用可否を必ず確認してください。
詳細説明
サイバーセキュリティ対策促進助成金とは
本助成金は、公益財団法人東京都中小企業振興公社が実施する、中小企業のサイバーセキュリティ対策を促進するための助成制度です。サイバー攻撃の脅威が年々増大する中、セキュリティ対策の遅れが経営リスクに直結する時代となっています。特に中小企業は、大企業と比較してセキュリティ投資が不足しがちであり、サプライチェーン攻撃の標的となるケースも増加しています。
助成内容の詳細
助成率は対象経費の1/2以内、助成限度額は1,500万円です。標的型メール訓練のみを実施する場合の上限額は50万円となります。助成対象期間内に契約・導入・支払いを完了する必要があります。
対象となるセキュリティ対策
- ネットワークセキュリティ:UTM、ファイアウォール、IDS/IPS、VPN機器など外部からの不正アクセスを防御する機器
- エンドポイントセキュリティ:EDR、法人向けウイルス対策ソフト、資産管理ソフトなど端末を保護するソリューション
- Webセキュリティ:WAF、SSL証明書、Web改ざん検知など自社サイトを保護するサービス
- クラウドセキュリティ:クラウド型セキュリティサービス、CASB、メールセキュリティなど
- 人的セキュリティ対策:標的型メール訓練、セキュリティ研修サービス
SECURITY ACTION二つ星宣言について
申請の前提条件として、IPA(独立行政法人情報処理推進機構)が推進する「SECURITY ACTION」の二つ星を宣言している必要があります。二つ星宣言には以下が求められます。
- 「情報セキュリティ5か条」に取り組むこと
- 「情報セキュリティ基本方針」を策定し、外部に公開すること
宣言はIPAのウェブサイトから無料で行えますが、基本方針の策定と公開が必要なため、申請の1か月前には手続きを開始することをお勧めします。
申請から助成金受領までの流れ
- 事前準備:SECURITY ACTION二つ星宣言、セキュリティ対策計画の策定、見積もり取得
- 申請:公社ポータルサイトから申請書類を提出
- 審査:書類審査、必要に応じてヒアリング
- 交付決定:交付決定通知の受領(この時点まで契約・発注は不可)
- 事業実施:機器の契約・導入・設定・支払い
- 実績報告:導入完了後、実績報告書を提出
- 助成金支払い:検査完了後、確定額が支払われる
申請時の注意事項
本助成金で最も注意すべき点は、交付決定前の契約・発注・支払いは一切助成対象外となることです。機器の選定や見積もり取得は事前に行えますが、正式な契約は必ず交付決定後に行ってください。また、以下の点にもご注意ください。
- 汎用的なパソコンやサーバーの購入は対象外
- 既存機器の保守料・リース料の継続分は対象外
- 同一経費について他の助成金との二重受給は不可
- 中古品の購入は対象外
中小企業のサイバーセキュリティの現状
警察庁の報告によると、ランサムウェア被害の約半数が中小企業で発生しています。被害額は数百万円から数千万円に及ぶケースもあり、事業継続に深刻な影響を与えます。サイバー攻撃は「対岸の火事」ではなく、すべての中小企業にとって現実的な脅威です。本助成金を活用し、被害を受ける前の予防投資として計画的にセキュリティ対策を進めることが重要です。