HKSブログ
サイバーセキュリティはIT導入補助金「セキュリティ対策推進枠」で賢く対策
ランサムウェア、エモテット、ビジネス詐欺メール・・・・
中小企業がサイバー攻撃の対象になっている、そんなニュースをたびたび目にするようになりました。
今回のブログでは、サイバー攻撃に対する中小企業の被害や対策の現状をお伝えし、合わせて、対策を進める必要を感じながらも二の足を踏んでいた事業者様にとって、IT導入補助金「セキュリティ対策推進枠」がサポートになることをご紹介します。
(ブログ中の図表は、クリックすると拡大しますので、必要に応じ拡大してご覧ください)
急拡大するサイバー攻撃の脅威とリスク
<事実1> ランサムウェアの被害件数は中小企業が50%以上
みなさんは、次にような事件の報道を聞いたことがあるのではないでしょうか。
「ランサムウェア」というマルウェアに感染して自社のサーバにアクセスできなくなり、マルウェアの作成者からアクセス制限の解除と引換に身代金を要求された。
※マルウェア: 不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。コンピュータウイルスやワームなどが含まれる。(Wikipediaより)
2022年4月の経済産業省の資料(図表1)によると、令和3年、全国の企業・団体等から警察に届け出のあったランサムウェア被害は146件。
令和3年の下半期(7~12月)は、令和2年の下半期と比べると4倍増だそうです。
そして、146件の内訳は中小企業が79件と過半数を占めています。
<事実2> 影響・被害は自社に止まらない
帝国データバンクが、2022年3月に発表した「サイバー攻撃に対する実態についてアンケート」の結果をお伝えしましょう。(図表2)
1か月以内にサイバー攻撃を受けたと回答した企業が28%、1年以内が36%にのぼっています。(アンケートの有効回答企業数は1,547社)
サイバー攻撃を受けた企業からは、次のような声が届いているそうです。
- 不正メール受信によるウイルス感染し顧客情報が流出。顧客あてに不審メールが届いた。
- セキュリティソフトを導入しているが、自社を名乗るなりすましメールが 10 数件客先へ行ってしまった。そのためお客さまよりお叱りを受けた。
今日のサイバー攻撃の怖さは、自社内の情報システムやネットワークがダメージを受けるだけでなく、被害がサプライチェーン(含む、お客様)に及ぶ恐れがあることです。
<事実3> 被害者が加害者に
大阪商工会議所による「サプライチェーンにおけるサイバーセキュリティ対策等に関する調査」(2019年)は、従業員100名以上の中堅企業と大企業に対してアンケートを行っています。(118社から回答)
その中の質問項目「取引先がもしサイバー攻撃を受け、その被害が自社にも及んだ場合、(その取引先に対して)採りえる対処は?」に対し、中堅企業や大企業の回答ベスト5は図表3のとおりでした。
「損害賠償請求」(47%)、「取引停止」(29%)など、大手企業の厳しい姿勢が目立つ結果となっています。
<事実4> 従来型の対策は浸透
中小企業のサイバーセキュリティ対策の現状は、どのような状況になっているのでしょうか。
2020年に、経済産業省近畿経済産業局が行った「関西におけるサイバーセキュリティ対策の実態把握」のアンケート調査の結果をご紹介します。
1,522社から回答があり、82%の企業(1,254社)がセキュリティ対策を実施していると答えています(図表4)。
実施している企業の、対策内容に関する回答のトップ5を示したのが図表5です。
アンチウイルス対策ソフトの導入は94%、ファイアウォールの導入は69%の企業が実施済です。
ただ今日の問題は、アンチウイルス対策ソフトやファイアウォールなど従来型の対策では、高度化するサイバー攻撃を防ぎきることが難しい点にあります。
<事実5> 予算が足りない、人材がいない
では、前述の近畿経済産業局の調査で、175社が対策を実施していない理由はどのようなものでしょうか。
図表6をながめると、「重要な情報を扱っていない」とする回答(36%)に続いて、「予算が確保できない」(21%)、「人材が不足している」(19%)ことを挙げる企業が多いのが分かります。
予算と人材の不足は、サイバーセキュリティ対策が実施できている中小企業にとっても、悩みの種ではないでしょうか。
IT導入補助金に「セキュリティ対策推進枠」登場
新枠設定の狙いはサプライチェーンの強靭化
2022年度、政府は中小企業支援策として「IT導入補助金」の拡充を図っています。
「デジタル化基盤導入枠」の新設がその一つですが、6月からは新枠「セキュリティ対策推進枠」の公募が始まりました。
(IT導入補助金の詳しい説明はコチラへ)
経済産業省は、この施策の目的を次のように説明しています。
国際情勢の緊張などによりサイバー攻撃事案の潜在リスクが高まっていることを踏まえ、中小企業等のサイバーセキュリティ対策を強化することにより、サイバーインシデントによってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることを防ぎます。
新枠の補助は対象サービス利用料2年分・上限100万円・補助率1/2
ここからは、「セキュリティ対策推進枠」の概要を説明しましょう。
(公募要領の取得はコチラへ)
公募の骨格は以下の表のとおりです。
よって、「サイバーセキュリティお助け隊サービスリスト」に掲載されているサービスの2年間の利用料が230万円だとすると、上限の100万円が国から補助されます。
受付開始予定は、2022年8月。
複数回の締切が設けられ、締切日までに受け付けられた申請が、審査され交付決定される予定です。
補助額 | 5万円~100万円 |
補助率 | 1/2以内 |
対象ITツール | 独立行政法人 情報処理推進機構(IPA)が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているいずれかのサービス |
補助対象 経費 | サービス利用料(最大2年分) |
交付申請期間 | 2022年8月申請受付開始(予定) ※以後の受付締切スケジュールは順次公開 |
事業実施期間 | 交付決定後~6か月程度 ※詳細日時は別途定める |
導入しやすい対策パッケージを中小企業に
では、「サイバーセキュリティお助け隊サービスリスト」に掲載されているサービスとは、どのようなものでしょうか。
短くまとめると、「公的機関であるIPAが設定した、中小企業向けサイバーセキュリティ対策支援サービスの基準をクリアしたお墨付きのパッケージ・サービスのリスト」となります。
図表7に示すとおり、「サイバーセキュリティお助け隊サービス」として登録されるには、7要件を満たすことが必要です。
抑えた価格設定であるとともに、事業者が相談できる窓口があり、企業内に専門知識がある担当者がいなくても運用できるサービスであることが求められています。
生産性向上の目標設定が必要
「セキュリティ対策推進枠」の申請要件を、IT導入補助金の他の枠と比較して示したのが図表8です。
通常枠と比べ低めの目標ではありますが、新枠でも労働生産性の向上目標を設定をする必要があることに留意が必要です。
生産性向上の実績は、3年経過後に報告が求められます。
審査では生産性向上の取組状況も問われる
補助金ですので、審査を経て、採択・交付決定がなされます。
事業面の審査項目は図表9のとおりです。政策面の審査項目もありますので、公募要領でお確かめください。
「お助け隊サービス」にIT導入補助金を活用するもう一つの方法
「サイバーセキュリティお助け隊サービス」を単独で導入するための枠が「サイバーセキュリティ対策推進枠」。
一方、「通常枠」及び「デジタル化基盤導入枠」において、オプションとして選択し、「サイバーセキュリティお助け隊サービス」をメインのITツールと組み合わせて申請することも可能です。
この場合、審査において加点対象となります。
これらの枠で申請予定の事業者の方は、セキュリティ対策ツールを合わせて導入することを検討されてはどうでしょうか。
特に「デジタル化基盤導入枠」は補助率が3/4以内または2/3以内であるため、「セキュリティ対策推進枠」で申請するよりも高補助率で支援を受けることが可能です。
おわりに
今日、人手不足への対応、生産性の向上のために、ビジネスや業務のデジタル化(デジタル・トランスフォーメーション)の必要性が叫ばれています。
サイバーセキュリティに強い環境を構築することは、中小企業がデジタル化を進めるうえでの必要条件であると考えます。
この機会に、中小企業のサイバーセキュリティ強化を後押しする補助金を活かし、セキュリティ環境の整備を図るのも良いのではないでしょうか。
HKS(補助金活用支援会合同会社)は、IT導入補助金の申請支援もしておりますので、ご興味があればお問合せください。
最後までお読みいただき、ありがとうございました。
HKSパートナー、中小企業診断士
ひとこと:HKSブログを通じて、補助金の勘どころを分かりやすくお伝えして参ります!