中小企業のIT化やDXに対して、様々な補助金や助成金が準備されています。その中に、サイバーセキュリティ対策の助成金があります。
サイバーセキュリティは、「守り」の印象が強いため、企業として、予算化が遅れる傾向が見られる領域ですが、助成金をうまく活用することで、セキュリティレベルを上げるだけではなく、様々なコスト削減が可能になります。
今回は、2025年9月からはじまる「東京都中小企業振興公社サイバーセキュリティ対策促進助成金」に焦点をあてて解説します。(最新情報は公式サイト をご確認ください) なお、東京都以外にも、サイバーセキュリティ対策促進を助成する自治体もあります。また、サイバーセキュリティの名を冠していなくても、内容として、セキュリティ対策をサポートするものもありますので、下記リンク等を参考にしてください。
〉〉〉SECURITY ACTION 自己宣言を申請要件としている補助金・助成金一覧
サイバーセキュリティ対策が中小企業に不可欠な理由
近年、中小企業を狙ったサイバー攻撃が急増しています。それは、「IT化が進んだ反面、情報セキュリティのリスクが高まった」という矛盾と、「サイバーセキュリティ対策にまで手が回らない」という状況が背景にあります。とは言うものの、事業の成長にITは欠かせない要素ですので、サイバーセキュリティ対策も見逃せないものです。
サイバーセキュリティ対策促進助成金とは?2025年度の最新情報を徹底解説
ここから、東京都中小企業振興公社の「サイバーセキュリティ対策促進助成金」(以降は「助成金」と略します)について、詳しく解説します。ポイントは、助成金の目的、対象者、助成対象経費、助成率、限度額などです。
そして、最も重要なポイントは「2025年度の2回目募集は、2025年9月10日から17日までの短い間に、申請エントリー、電子申請を行わなければならないこと」、そして、「それまでに、申請の準備を整えないといけないこと」です(2025年度1回目募集は既に終了、3回目募集は2026年1月の予定)。
助成金の目的と対象者
IT化やDXによって企業の振興を実現できたとしても、サイバーセキュリティ対策が行われていなければ、情報資産が脅威にさらされることとなります。これでは、元も子もありません。この助成金は、その脅威から、情報資産を守るためのサイバーセキュリティ対策を支援しようとしています。
但し、どの企業でも助成金が受けられるというわけではありません。
募集要項には、事業の形態や規模についての申請要件が、細かく定義されていますので、確認が必要です。
また、真摯にセキュリティ対策を実施するという体制が必要です。その真摯さを表すものが、IPA(独立行政法人情報処理推進機構)が実施している「SECURITY ACTION」です。これには、一つ星レベルと二つ星レベルがありますが、この助成金を受けるためには、二つ星レベルが必要です。
二つ星は、IPAが提供する「5分でできる!情報セキュリティ自社診断」を行うとともに、「情報セキュリティ基本方針」を策定し、外部に公開した上で、情報セキュリティ対策に取り組むことを宣言するものですが、この宣言もIPAによって、公式に受理されなければなりません。
助成対象となる経費と具体的な製品例
助成対象は、サイバーセキュリティの向上を目的とした、以下のような、機器等の導入、およびクラウド利用に係る経費です。
①統合型アプライアンス(UTM等)
②ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
③コンテンツセキュリティ対策製品(ウイルス対策、スパム対策等)
④アクセス管理製品(シングル・サイン・オン、本人認証等)
⑤システムセキュリティ管理製品(アクセスログ管理等)
⑥暗号化製品(ファイルの暗号化等)
⑦サーバーOS及びインストール作業費用(サーバー入替に伴うOS更新を含む)
⑧標的型メール訓練
これらの対策によって、セキュリティリスクを除去、低減することが可能になりますし、脅威の発生を事前に察知することも可能になります。また、⑤や⑥のように、万一、セキュリティインシデントが発生した場合に、その原因を追跡したり、データを保護したりする機能も含まれます。なお、⑧は、他の技術的対策とは違い、人的対策の経費となります。
助成率と助成限度額、下限額
助成限度額は、上限が1,500万円、下限が10万円です。これは、2025年12月1日から2026年3月31日の間に、発注・契約・実施(購入)・支払(決済)が行なわれたものの2分の1の金額です。
例えば、「100万円のUTMを購入し、その導入を20万円で外注委託する。それとは別に、50名の社員に対して、2回コースの標的型メールへの対応訓練を30万円でコンサルティング会社に委託する」とした場合、合計150万円の半額75万円が助成金の対象になります。
なお、「標的型メール訓練」のみの申請の場合、助成上限額は、50万円、下限額は10万円です。
【超重要】申請から交付までの全ステップを徹底解説!見落としがちなポイントも
次に、申請から助成金交付までのステップをみていきます。下図の紫色の部分は申請者が行うもの、白い部分は公社が行うものです。
(出典:令和7年度「東京都中小企業振興公社サイバーセキュリティ対策促進助成金募集要項」)
この流れの中で、重要なポイントをStep1~Step4として解説します。
STEP1: SECURITY ACTION二つ星宣言ロゴマークの取得と自社診断
申請の前提条件となる「SECURITY ACTION二つ星宣言」を行い、IPAから二つ星のロゴマーク使用許可を得ます。なお、二つ星宣言をするためには、IPAが提供する「5分でできる!情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針」の策定、および、公開が必要です。
二つ星のロゴマーク使用許可と情報セキュリティ基本方針は、後のステップで申請書類として、必要になります。
STEP2: 申請予約と必要書類の準備
申請の準備には、次のような作業が必要です。
- 助成金交付申請書の入手
- gBizIDプライムアカウントの取得
- 申請書作成
- 必要書類の準備
- 申請予約(申請エントリー)
これらの内、「gBizIDプライムアカウントの取得」には、2週間程度の時間がかかることに注意が必要です。また、必要書類の準備にも、時間と労力が必要です。以下に、必要書類をリストアップしますので、早めに準備計画を立ててください。
- 助成金交付申請書
- 直近1期分の 確定申告書
- 履歴事項全部証明書
- 納税証明書
- 積算根拠書類 (見積書)
- 助成対象・クラウド サービスの仕様がわかる書類
- 会社案内
- SECURITY ACTIONの宣言に関する書面
- 情報セキュリティ基本方針
- 設置(使用)場所関連書類
- 発注先の会社案内
- 営業に必要な許認可証
- 工程表
- 建物所有者の承諾書
- 導入設備・製品リスト ・別途公社が指定する書類
STEP3: 電子申請と審査のポイント
電子申請は「jGrants(補助金電子申請システム)」で行います。操作手順の概要は以下の通りです。
- 取得しているgBizIDプライムアカウントで、jGrantsにログインします。
- 対象の補助金「サイバーセキュリティ対策促進助成金」を検索します。
- 申請フォームの画面に、必要情報の入力、必要書類の添付を行い、申請します。一旦、申請すると、修正ができないため、慎重な操作が必要です。
なお、申請書類は、「申請資格(本助成の資格要件に合致しているかどうか)」「経営面(財務内容、企業概要等から助成対象先として妥当性があるかどうか)」「計画の妥当性(自社のサイバーセキュリティの状況、課題を適切に把握しているか、課題に対する対策が適切であるかどうか)」「設備導入の妥当性 (導入する設備等の数量やスペック等が過剰でないかどうか、購入価格に妥当性があるかどうか、導入する設備、物品が公的資金を財源とする助成金の交付先として妥当性があるかどうか)」「設備導入の効果(課題、対策についての導入効果が認められるかどうか)」の5点を中心に審査されますので、知識、経験が自社内に不足している場合は、専門家のサポートを得ることも重要です。
Step4: 事業実施と完了報告
書類審査を通過し、助成金の交付が認められれば、対象期間内に、「発注・契約・実施(購入/導入)・支払」を行わなければいけません。それが終われば、完了報告の確認書類として、以下を提出します。
- 見積書、契約書(注文書・注文請書)、仕様書、納品(検収)書、設置完了届、シリアル番号が確認できる書類、請求書、振込控預金通帳もしくは当座勘定照合表等入出金が確認できる資料
- 工事写真帳、工事日報、工事完了報告書等の工事に係る書類
- ライセンス等、複数アカウントで導入するものは、アカウントリスト
- 海外で発行する証明書や経理関係書類については、その日本語訳
助成金を最大限に活用するための実践的アドバイスと成功事例
ここまで、助成金を得るための手続きを解説しました。ここから、一旦、本来の目的に戻りましょう。
本来の目的は、「助成金を得ること」ではなく、「サイバーセキュリティ対策を施し、情報資産、事業、社員、顧客を守ること」です。
助成金を活用した効果的なセキュリティ対策の考え方
本来の目的を達成するために必要なことは、「情報資産を洗い出し、そのリスクを分析し、優先順位をつけて、重点的にリスク対策を実施し、効果判定をもとに、より良い対策を行う」というPDCAサイクルです。そして、そのうちの、重点対策にこそ、助成金が使われるべきです。
重点対策は、企業規模や、業種、業態によって違いますが、その違いは、情報資産の違いとなって現れます。BtoCの場合は、顧客の個人情報を守ることが重点とされるかもしれません。社外で働く営業部隊が事業の中心であれば、そのためのセキュリティ対策や社員教育が必要でしょう。
IPAの「情報セキュリティ自社診断」は、それを判断するための第1歩となります。
【成功事例】助成金で未来を守った中小企業のストーリー
ここで、助成金を活用して、サイバーセキュリティ対策を実施した製造業A社の例を紹介します。
A社は社員約80名の製造業の会社ですが、大手企業のサプライチェーンの一角を担っており、自社のサイバーセキュリティインシデントが、自社だけではなく、他社にも迷惑をかけてしまうこと、また、他社のサイバーセキュリティインシデントが、自社の業務にも悪影響を与える可能性が懸念されていました。
特に、サプライチェーン内における、電子メールでの情報のやり取りが多く、そこにコンピュータウイルスやランサムウェアが紛れ込むと、あっという間に、事業の停止とサプライチェーンの崩壊を招いてしまいます。
A社では、この状況を鑑みて、ネットワークの「不正侵入検知システムの導入」「ファイアウォールの強化」「電子メールのウイルス対策」を行うことを決定し、併せて、全社員へのセキュリティ教育を実施しました。
この対策実施に、助成金を活用できたことが、A社としても幸いでした。対策の翌年、サプライチェーン内のB社がコンピュータウイルスの被害にあったのですが、A社は、即時に対応できただけではなく、サプライチェーン関係各社に、注意喚起を行うことができ、被害を最小限に抑えたことで、非常に感謝されることとなりました。
申請をスムーズに進めるためのQ&A
最後に、助成金申請について、よくある質問をQ&Aの形で紹介します。
Q1:ファイアウォールのOSをバージョンアップしなければいけませんが、その外部委託費は、助成金の対象になりますか。
A1:単にバージョンアップするだけでは、助成金の対象にはなりません。但し、バージョンアップにより、従来に無かった機能が追加され、具体的な対策の効果が、新たにもたらされる場合であれば、審査対象と考えられます。
Q2:Security Action二つ星宣言に必要な、「情報セキュリティ基本方針」の作成に、外部のコンサルタントを活用しましたが、その費用は、助成の対象になりますか。
A2:「直接的に、セキュリティを高めるという観点ではない」「契約、実施のタイミングが対象期間に合致していない」の2点で、対象にはなりません。
Q3:申請には全ての書類が必要ですか。
A3:法人/個人の違い、対策のための工事の有無等によって、準備する書類が違います。詳しくは、質問に答えると、必要な書類が示される下記資料が用意されていますので、参考にしてください。
〉〉〉必要書類について
まとめ
サイバーセキュリティ対策促進助成金の概要と申請方法について解説しました。
お伝えすべき情報が非常に多く、申請期限も迫っていますので、以下に、関連するリンクを、まとめて紹介します。
東京都中小企業振興公社 サイバーセキュリティ対策促進助成金(令和7年度)
SECURITY ACTION 自己宣言を申請要件としている補助金・助成金 一覧
弊社のTRUST DELETE Zeroも対象製品に入りますので、申請時に確認してみてはいかがでしょうか。