my 楽天モバイル Office サイバーセキュリティ対策促進助成金とは?活用ポイントをゼロトラスト実現のために徹底解説
「取引先からセキュリティの強化を求められているが、予算がない」「ゼロトラストを導入したいが、コストがネックで踏み出せない」東京都内の中小企業の皆様、朗報です。 東京都内で1年以上事業を営む企業であれば、「サイバーセキュリティ対策促進助成金」を活用して、負担を大幅に抑えながらセキュリティを強化できる可能性があります。
この記事では、「サイバーセキュリティ対策促進助成金」の概要や活用するポイントに加えて、助成金を活用したゼロトラストの実現方法も解説します。
「サイバーセキュリティ対策促進助成金」とは?
この助成金は、資金確保が難しい中小企業に対し、サイバーセキュリティ対策にかかる費用の一部を東京都(公益財団法人 東京都中小企業振興公社)が助成する制度です。標的型攻撃やランサムウェアなどの脅威から、企業の機密情報や個人情報を守ることを目的としています。
助成金はいくら受け取れるか?
助成金は10~1,500万円の範囲で、かかった経費の半分以内の金額が助成されます。ただし「標的型メール訓練」のみの場合は、10~50万円の範囲で助成されます。
経費のなかに、消費税は含まれません。また、1,000円未満は切り捨てというルールがあります。
【例】
導入費用:999,800円(税抜)の場合
助成対象額(1/2):499,900円
実際の助成額:499,000円(千円未満の900円は切り捨て)
※消費税込みの支払総額(約110万円)から見ると、実質的な負担軽減率は50%を少し下回る点にご注意ください。
助成金を受け取るための主な要件
助成金を申請するためには、さまざまな要件を満たす必要があります。主な要件は、以下のとおりです。
- 東京都内に登記簿上の本店または支店を有し、1年以上都内で営業している
- 中小企業(従業員100人以下、または資本金5,000万円以下など)である
- 大企業が実質的な経営権を持っていないこと(みなし大企業は対象外)
- 事業税等の滞納(分納)をしていない
- 東京都や公社に対する賃料・使用料等の支払いが滞っていない
- 過去に「サイバーセキュリティ対策促進助成金」の交付を受けていない
- 同一の内容で、他の助成金や補助金、導入の支援を受けていない
複数の中小企業が集まって構成される「中小企業グループ」や、3社以上の中小企業が組合員となる「中小企業団体」も、申請可能です。詳しい要件は、募集要項をご参照ください。
なお、以下の業種や事業を営む法人は申請できません。
- 特定非営利活動法人(NPO法人)
- 社団法人
- 財団法人
- 学校法人
- 宗教法人
- 医療法人
- 社会福祉法人
- 政治団体
- 経済団体
- 任意団体
- 金融業
- 保険業(ただし、保険媒介代理業は助成金の対象)
- 農林水産業
2025年度(令和7年度)のスケジュール
2025年度の申請スケジュールは、以下のとおりです。
| 回 | 募集期間 |
|---|---|
| 第1回 | 2025年5月14日9時~2025年5月20日17時 ※募集期間は終了しております |
| 第2回 | 2025年9月10日9時~2025年9月17日17時 ※募集期間は終了しております |
| 第3回 | 2026年1月7日9時~2026年1月14日17時 ※募集期間は終了しております |
- ※ 出典:公益財団法人 東京都中小企業振興公社「令和7年度 中小企業における危機管理対策促進事業 サイバーセキュリティ対策促進助成金【募集要項】(第3回募集)」p9
交付決定や助成対象期間は、以下のとおりです。
| 回 | 交付決定・助成対象期間 |
|---|---|
| 第1回 | 交付決定:2025年7月下旬 助成対象期間:2025年8月1日~2025年11月30日 ※助成対象期間は終了しております |
| 第2回 | 交付決定:2025年11月下旬 助成対象期間:2025年12月1日~2026年3月31日 |
| 第3回 | 交付決定:2026年3月下旬 助成対象期間:2026年4月1日~2026年7月31日 |
- ※ 出典:公益財団法人 東京都中小企業振興公社「令和7年度 中小企業における危機管理対策促進事業 サイバーセキュリティ対策促進助成金【募集要項】(第3回募集)」p9
「サイバーセキュリティ対策促進助成金」が求められる理由
数ある助成金のなかで、「サイバーセキュリティ対策促進助成金」が求められる理由は2つあります。それぞれの理由を解説します。
サプライチェーン全体でのリスク対策が必要とされている
近年、セキュリティ対策が不十分な中小企業を介して大手企業が攻撃されるサプライチェーン攻撃が増加しており、経済産業省も以下の事例を紹介しています。
- 2022年10月末、国内の公立病院がランサムウェア攻撃を受け、電子カルテシステムに障害が発生し、緊急以外の手術や外来診療が一時停止する等通常診療ができない状況に。病院の給食を委託していた業者のサーバーからウイルスが侵入した可能性が高いとみられている。2カ月超にわたり通常診療を見合わせ。
- 大手自動車会社の取引先企業のサーバー等がランサムウェアに感染。更なる感染拡大を防ぐため、全サーバをネットワークから切断し、全てのシステムを停止し、受注困難になった。大手自動車会社は、部品供給の停止により、全国の工場で生産が困難になったため、1日間の稼働停止を余儀なくされた。
取引先がセキュリティ強化を求める背景には、自社が万全な対策を講じていても、取引先経由で被害を受ける事態を避けたいという意図があります。さきに紹介した経済産業省の資料では、「過去に取引先がサイバー攻撃の被害を受け、それが自社に及んだ経験」がある企業が、全体の17%におよぶことも公表されています。
セキュリティ対策をおろそかにすると、取引先にも被害をおよぼすおそれがあります。サプライチェーンネットワーク全体でのセキュリティ強化を行うためには、自社も率先してセキュリティ対策に取り組む必要があります。
中小企業はセキュリティ強化の予算を捻出しにくい
中小企業の資産は、大手企業ほど潤沢ではありません。少ない予算の中で、セキュリティ強化の予算を捻出する必要があるため、「セキュリティの強化は必要」とわかっていても、予算をつけられない企業もあります。
「サイバーセキュリティ対策促進助成金」はサイバーセキュリティ対策にかける予算の最大2分の1を受け取れるので、自社の負担を減らしてセキュリティ強化を実現できます。
「サイバーセキュリティ対策促進助成金」で実現できる主なセキュリティ対策
「サイバーセキュリティ対策促進助成金」は、以下に挙げる機器やサービス等の導入、更新に活用できます。導入に際しては、サイバーセキュリティの向上に貢献することが求められます。また自社製品や自社サービスの導入は、助成金の対象外です。
| 導入可能な機器やサービス | 説明 |
|---|---|
| 統合脅威管理(UTM) | ファイアウォールやウイルス対策、不正侵入検知システムなど、複数のセキュリティ機能を集約し運用・管理するシステム |
| ネットワーク脅威対策製品 | ファイアウォール、VPN、不正侵入検知システムなど |
| アクセス管理製品 | シングルサインオン、多要素認証など。適切な認証を行う目的で導入する |
| コンテンツセキュリティ対策製品 | ウイルス対策、スパム対策など |
| システムセキュリティ管理製品 | アクセスログ管理など |
| 暗号化製品 | ファイルの暗号化など |
| サーバーOSおよびインストール作業にかかる費用 | 最新OSであることが要件。サーバー入れ替えに伴うOSの更新を含む |
| 標的型メール訓練 | 標的型攻撃メールを疑似体験できる訓練。標的型攻撃メールとは特定の組織を狙い、ウイルスに感染させ重要な情報を盗み出す目的で送信されるメール |
上記に掲げた項目と同じ内容の製品やサービスを導入する場合も、助成金の対象となります。
なお助成の対象となる費用(助成対象経費)は、以下の項目に限られます。
- 物品購入費(新品であること。サーバー筐体は対象外)
- 機器の搬入や設置にかかる費用(物品購入費の25%が上限)
- クラウドサービス利用料(最長4カ月)
- UTMのライセンス料(最短期間のライセンス、または5年間のどちらか短い期間に限る)
- 標的型メール訓練の委託費
助成金の活用でゼロトラストの実現を!代表的な対策を紹介
いまや社内と社外の境界でのセキュリティのみ強化する「境界型防御」では、社内の情報を守れなくなっています。「サイバーセキュリティ対策促進助成金」は、ゼロトラストに基づくシステムに作り変える目的で活用することをおすすめします。
ここからは、ゼロトラストに基づき自社のセキュリティを高める代表的な対策を紹介します。ゼロトラストについては、「ゼロトラストセキュリティとは?求められる背景や導入のポイントなどを解説」記事もご参照ください。
【ZTNA】テレワークでも社内システムへ安全に接続
ZTNA(ゼロトラストネットワークアクセス)は、従来のVPNによる一括接続を見直し、「誰が(ID)・どの端末から」アクセスしているかを都度検証する次世代の接続方式です。これにより、ID/パスワード流出時の被害を最小限に抑え、安全なリモートワークを実現します。 楽天モバイルの「ゼロトラストセキュリティ」も、この考え方に基づくソリューションとして提供しています。
【SWG】Webアクセスの脅威をクラウドでブロック
SWG(セキュアWebゲートウェイ)、社員がインターネットを利用する際の「関所」です。クラウド上でWebサイトの安全性をチェックし、マルウェアのダウンロードや危険なサイトへのアクセスを防止します。出社・在宅問わず同じセキュリティポリシーを適用できるのが強みです。
【DLP】機密情報の持ち出し・漏えいを防止
DLP(データ損失防止)は、特定の機密情報(顧客リストや設計図など)を監視します。USBへのコピー、個人メールへの送信、クラウドへのアップロードといった「持ち出し操作」を検知し、ブロックすることで内部不正やうっかりミスによる漏えいを防ぎます。
【CASB】クラウドサービス(SaaS)の利用を可視化
今日では、サーバーやシステムを自社に置かずとも、SaaSなどのクラウドサービスを組み合わせて業務を進められる時代です。 SaaSのサーバーは社外にあるため、ルール無く使用を認めると大切な情報が社外に流出しかねません。
社員が会社に無断でクラウドストレージなどを使う「シャドーIT」対策として、クラウドへのアクセス制御を行う「CASB(キャスビー)」を導入することで、不正なアップロードなどを防ぎ、自社のセキュリティを向上させることが可能です。
【SASE】これらをまとめて導入
SASE(サシー)は、上記のZTNAやSWG、CASBなどの機能を一つのクラウドサービスとして統合したものです。製品ごとの相性を気にする必要がなく、一括でゼロトラスト環境を整えることができます。
ログの管理
ゼロトラストに基づくセキュリティの確保には、継続的なログの管理も欠かせません。情報漏えいや攻撃につながる動作、機器の脆弱性など、脅威につながる事象を迅速に検知することで、事業を安心して運営できます。万が一被害を被った場合は、ログを追うことで原因の調査と適切な対策につなげることが可能です。
ログの量はしばしば膨大となるため、リスクにつながる事象を効率的に拾い上げて可視化するシステムが求められます。このような「ログ管理システム」も、助成金を活用して導入できます。
「サイバーセキュリティ対策促進助成金」を活用するポイント
「サイバーセキュリティ対策促進助成金」を受給し、セキュリティ強化に生かすためには、以下のポイントを押さえることが重要です。
申請期間は1週間程度と短い。早めに募集内容を把握し準備する
「2025年度(令和7年度)のスケジュール」で解説したとおり、助成金の申請期間は1週間程度と短くなっています。加えて以下に挙げる、事前の準備も必要です。
| 項目 | 必要となる理由 |
|---|---|
| GビズIDプライムアカウントの取得 | Jグランツによる電子申請に限られるため、事前に専用アカウントの取得が必要。取得まで2週間程度を要する。 |
| SECURITY ACTION 二つ星の宣言 | 申請の際に、IPA(情報処理推進機構)からの「SECURITY ACTION 二つ星」ロゴマーク使用の手続きが完了したことを示すメールの画面コピーが必要。 |
申請の際には、以下の書類も準備してください。
- 申請する企業の会社案内(会社の事業概要、経歴記載があるもの)
- 営業に必要な許認可証(事業活動を行うに当たり必要な許認可証の写し)
- 情報セキュリティ基本方針
- 直近1期分の確定申告書
- 発行後3カ月以内の履歴事項全部証明書(登記簿謄本)
- 直近期における法人事業税および法人都民税の納税証明書発注先の会社案内
- 積算根拠書類(同一製品について、2社以上の見積書が必要)
- 助成対象・クラウドサービスの仕様が記された書類
- 設置場所関連書類(設計図、平面図など)
導入するシステムによっては、追加の書類提出を求められる場合もあります。詳細は、募集要項をご確認ください。
なお助成対象期間は、4カ月と短くなっています。期間中に発注から契約、検収、振込による支払まで済ませる必要があるため、交付決定を受けた際には速やかにシステムの導入に着手してください。
稟議書を作成する際にはコストだけでなく費用対効果も考慮する
助成金の稟議書を作る際には、上司や経営陣の承認を得やすくするため、つい「安く導入する」ことに注目しがちです。しかしサイバーセキュリティ対策の強化につながらなければ、いくら安くても無駄な投資になってしまいます。ROI(投資対利益率)の上昇やリスク低減、業務効率のアップなど、費用対効果も重視したうえで作成することをおすすめします。
実際に助成金の審査基準にも、「計画の妥当性」「設備導入の妥当性」「設備導入の効果」において、費用対効果を問う項目が設けられています。稟議書作成のポイントは、「稟議書を徹底解説!目的や必要性、書き方のポイントやテンプレートを紹介」記事もご参照ください。
保守費用など、助成対象外の費用がある
「『サイバーセキュリティ対策促進助成金』で実現できる主なセキュリティ対策」で解説したとおり、助成対象の費用は限定されています。以下の費用は、助成の対象外となることに注意してください。
- 消費税
- サーバー筐体やUPS(無停電電源装置)、ストレージなどの購入費用
- 保守費用
- 通信費
- 設計費や開発費
- LANの配線工事など、建物の補修工事に係る費用
- コンサルティング費用
- パソコンやスマートフォンに関するセキュリティソフトなど、企業で用意すべきセキュリティ対策製品
- 中古品の購入
最新の機器を導入する
「サイバーセキュリティ対策促進助成金」で導入できるOSは、最新版に限ります。業務ソフトが対応していないなどの理由で1つ前のOSにしたい場合、助成金は申請できません。
また機器を購入する際には、法定耐用年数で定められた期間内は稼働に耐え得る製品を選んでください。故障して使えなくなった場合でも、無断で処分すると助成金の返還を求められるおそれがあります。一例としてサーバーの法定耐用年数は、5年となっています。
サーバーの設置箇所には制限がある
サーバーは、東京都内で営業する事業所に設置することが原則です。ただし東京都内に本店がある企業の場合は、以下の場所にも設置できます。
- 関東1都6県または山梨県の事業所
- 関東1都6県または山梨県のデータセンター(完了検査時に立ち入りが可能であること)
なお自社のシステム管理者の住宅など、個人の家にサーバーを設置する場合は助成金を申請できません。
助成金を活用するならゼロトラストに基づく抜本的な対策を
助成金は現状のネットワークやセキュリティの仕組みを維持しながら、不足する内容を強化する目的で使うことも可能です。しかし、この方法では一時的な対策に過ぎません。 自社のセキュリティを抜本的に見直し強化するなら、ゼロトラストに基づく対策が必要です。
せっかく助成金を受け取るなら、ゼロトラスト実現への第一歩として用いることがおすすめです。弊社で提供できる製品やサービスは、「ゼロトラストセキュリティ」ページに記載しています。ぜひお読みのうえ、ゼロトラストの実現にお役立てください。
ゼロトラストで安心・安全なセキュリティ環境へ
楽天モバイルでは、ワンストップで快適で安全なネットアクセスを実現し、セキュリティ関連業務の一元管理によって企業のセキュリティレベルを向上させるとともに、大幅なコスト削減にも繋がる「ゼロトラストセキュリティ」の導入をサポートします。
