セキュリティ対策推進枠とは:他の申請枠との違い
デジタル化・AI導入補助金(旧:IT導入補助金)には複数の申請枠が設けられていますが、セキュリティ対策推進枠は中小企業・小規模事業者がサイバーセキュリティ対策を講じるための専用枠として位置づけられています。近年、ランサムウェアやサプライチェーン攻撃が中小企業にまで拡大している状況を受け、独立行政法人 情報処理推進機構(IPA)が認定するセキュリティサービスの導入を支援するために設計された枠です。
他の申請枠(デジタル化基盤導入枠・インボイス枠)が業務効率化やインボイス制度対応を主目的とするのに対し、セキュリティ対策推進枠はサイバーセキュリティに特化している点が最大の違いです。補助率・上限額・対象ツールの範囲がすべて異なるため、自社の導入目的に合わせて適切な枠を選ぶことが重要です。
| 比較項目 | セキュリティ対策推進枠 | デジタル化基盤導入枠(通常枠) | インボイス枠 |
|---|---|---|---|
| 補助率 | 1/2 | 1/2〜3/4 | 3/4〜4/5 |
| 補助上限額 | 100万円 | 350万円 | 50万円 |
| 補助下限額 | 5万円 | なし | なし |
| 主な対象ツール | EDR・UTM・SOC・お助け隊サービス | 会計・販売管理・CRM等の業務ソフト | インボイス対応ソフト |
| SECURITY ACTION | 必須(★一つ星以上) | 必須(★一つ星以上) | 必須(★一つ星以上) |
| IT導入支援事業者 | 必要 | 必要 | 必要 |
制度の位置づけ
セキュリティ対策推進枠は、経済産業省が推進する「サイバーセキュリティ経営ガイドライン」に基づく中小企業向けの支援策です。大企業と取引がある中小企業がサプライチェーン攻撃の踏み台とならないよう、エンドポイント対策・ネットワーク対策・監視体制の整備を促進することを目的としています。
なぜセキュリティ対策が急務なのか
IPAが公表する「情報セキュリティ10大脅威」では、ランサムウェアが組織向け脅威の1位を継続しています。2024〜2025年にかけて、中小企業をターゲットとした攻撃が急増しており、被害額が数千万円に達するケースも報告されています。セキュリティ対策推進枠は、こうした脅威に対して中小企業が最低限の対策を講じるための「最初の一歩」を支援する制度です。
この枠で導入できるのは、IPAの「サイバーセキュリティお助け隊サービスリスト」に掲載されたサービス、または登録されたセキュリティ製品に限定されます。市販のウイルス対策ソフト単体(例:個人用のノートン・マカフィー等)は対象外です。
補助率1/2・上限100万円:費用シミュレーション
セキュリティ対策推進枠の補助率は1/2、補助上限は100万円(下限5万円)です。以下に代表的な導入パターンごとの費用シミュレーションをまとめます。
費用シミュレーション:セキュリティ対策推進枠
EDR導入(10端末・2年間)
総額120万円 → 補助60万円(自己負担60万円)補助率1/2
UTM導入(小規模オフィス)
総額80万円 → 補助40万円(自己負担40万円)補助率1/2
SOCサービス(月額・2年間)
総額200万円 → 補助100万円(自己負担100万円)上限適用
お助け隊サービス(2年間)
総額50万円 → 補助25万円(自己負担25万円)補助率1/2
補助対象経費の上限に注意
補助上限は100万円のため、総額200万円を超える投資をしても補助金は100万円が上限です。逆に総額が10万円未満(補助金5万円未満)の場合は補助下限を下回り申請できません。最適な費用計画を立ててから申請しましょう。
SECURITY ACTION宣言:★一つ星・★★二つ星の違いと手順
セキュリティ対策推進枠に限らず、デジタル化・AI導入補助金の全枠でSECURITY ACTION宣言が申請要件として必須です。SECURITY ACTIONとは、IPAが推進する中小企業の情報セキュリティ対策自己宣言制度で、「★一つ星」と「★★二つ星」の2段階があります。
セキュリティ対策推進枠の申請には最低でも★一つ星の宣言が必要ですが、★★二つ星を取得していると採択審査で加点される場合があります。可能であれば二つ星の取得を推奨します。
★一つ星チェックリスト
★一つ星は、IPAの「情報セキュリティ5か条」に取り組むことを自己宣言するものです。以下の5項目を確認・実施するだけで宣言できます。
情報セキュリティ5か条(★一つ星の要件)
第1条
OSやソフトウェアは常に最新の状態にする自動更新推奨
第2条
ウイルス対策ソフトを導入する定義ファイル更新
第3条
パスワードを強化する使い回し禁止
第4条
共有設定を見直す不要な共有OFF
第5条
脅威や攻撃の手口を知るIPA公開情報活用
★一つ星の宣言手順は以下の通りです。
- IPAの「SECURITY ACTION」公式サイトにアクセス
- 自社の情報(企業名・代表者名・所在地等)を入力
- 「情報セキュリティ5か条」に取り組むことを宣言
- 宣言完了後、「SECURITY ACTION自己宣言ID」が発行される
- このIDをデジタル化・AI導入補助金の申請フォームに入力する
★一つ星は即日取得可能
★一つ星は自己宣言のみで完了するため、IPAの審査を待つ必要がありません。補助金申請の直前でも取得可能ですが、余裕を持って事前に宣言しておくことを推奨します。
★★二つ星:基本方針策定
★★二つ星は、IPAの「5分でできる!情報セキュリティ自社診断」を実施し、その結果に基づいて情報セキュリティ基本方針を策定・公開することで宣言できます。
★★二つ星の追加要件
自社診断
IPAの「5分でできる!情報セキュリティ自社診断」を実施25問の設問
基本方針策定
情報セキュリティ基本方針(ポリシー)を文書化テンプレートあり
基本方針公開
自社Webサイト等で基本方針を公開外部閲覧可能
宣言
IPA SECURITY ACTIONサイトで★★二つ星を宣言ID発行
二つ星のメリット
★★二つ星を取得しておくと、補助金申請時の審査で加点要素となるだけでなく、取引先からの信頼向上にもつながります。大手企業との取引ではセキュリティ対策状況の確認を求められることが増えており、SECURITY ACTION二つ星は対外的なアピール材料としても有効です。
基本方針のテンプレートはIPAが無料で公開しているため、ゼロから作成する必要はありません。自社の業種・規模に合わせて内容を修正し、自社のWebサイトの「情報セキュリティ基本方針」ページとして公開すれば要件を満たせます。
IPA認定サービスリスト:補助対象ツール一覧
セキュリティ対策推進枠で補助対象となるのは、IPAの「サイバーセキュリティお助け隊サービスリスト」に掲載されたサービス、または登録されたセキュリティ製品です。以下に代表的な製品カテゴリと具体的なサービスを紹介します。
必ずリスト掲載を確認
補助対象となるかどうかは「IPAのサービスリストに掲載されているか」が判断基準です。有名なセキュリティ製品であっても、リストに未掲載の場合は補助対象外です。申請前にIPAの公式サイトで最新のリストを必ず確認してください。
EDR製品と費用
EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイント(端末)をリアルタイムで監視し、サイバー攻撃の検知・対応を行うセキュリティ製品です。従来のウイルス対策ソフト(アンチウイルス)がパターンマッチング方式で既知のマルウェアをブロックするのに対し、EDRは振る舞い検知により未知の脅威やゼロデイ攻撃にも対応できます。
| 製品名 | 特徴 | 月額目安(1端末) | 中小企業向け適性 |
|---|---|---|---|
| CrowdStrike Falcon Go | クラウドネイティブ・軽量エージェント | 約700〜1,000円 | 高(管理画面がシンプル) |
| Microsoft Defender for Endpoint P1 | Microsoft 365連携・Windows統合 | 約380円(M365 E3に含む) | 高(既存M365利用企業に最適) |
| SentinelOne Singularity | AI自動対応・ロールバック機能 | 約600〜900円 | 中(やや高度な設定が必要) |
| Trend Micro Apex One SaaS | 日本語サポート充実・国内シェア高 | 約500〜800円 | 高(国内サポートが手厚い) |
| ESET PROTECT Advanced | 軽量動作・コスパに優れる | 約300〜500円 | 高(端末負荷が少ない) |
EDR導入費用の目安
10端末の中小企業の場合、EDR導入費用は年間で約36,000〜120,000円(月額3,000〜10,000円相当)です。2年間のクラウド利用料が補助対象となるため、総額72,000〜240,000円のうち半額が補助されます。導入初期設定費用(10〜30万円程度)も補助対象になる場合があります。
UTM比較
UTM(Unified Threat Management:統合脅威管理)は、ファイアウォール・IDS/IPS(侵入検知防止)・アンチウイルス・Webフィルタリング・VPN・アプリケーション制御などの複数のセキュリティ機能を1台の機器に統合したアプライアンスです。中小企業のネットワーク境界を包括的に防御できるため、1台導入するだけで多層防御を実現できる点が最大のメリットです。
| 製品名 | 特徴 | 導入費用目安 | 対象規模 |
|---|---|---|---|
| FortiGate 40F / 60F | 世界シェアNo.1・豊富な機能 | 機器10〜25万円+年額ライセンス8〜15万円 | 〜50名 |
| SonicWall TZ270 / TZ370 | SOHO〜中小企業向け・導入が容易 | 機器8〜20万円+年額ライセンス6〜12万円 | 〜30名 |
| WatchGuard Firebox T25 / T45 | 直感的な管理画面・レポート機能 | 機器10〜20万円+年額ライセンス7〜14万円 | 〜40名 |
| Check Point 1500シリーズ | ゼロデイ防御・脅威インテリジェンス | 機器12〜25万円+年額ライセンス10〜18万円 | 〜50名 |
| Sophos XGS 87 / 107 | クラウド管理・Synchronized Security | 機器10〜22万円+年額ライセンス8〜15万円 | 〜40名 |
UTM導入費用の目安
中小企業(従業員10〜30名)の場合、UTM導入費用は機器費用+初期設定費で30〜50万円、年間ライセンス費で8〜18万円が一般的です。2年間のライセンス費を含めると総額50〜90万円程度となり、補助率1/2で25〜45万円の補助が期待できます。
SOCサービス
SOC(Security Operation Center)は、ネットワークやシステムを24時間365日監視し、セキュリティインシデントの検知・分析・対応を行う運用サービスです。自社でセキュリティ専門人材を雇用する必要がないため、中小企業でもエンタープライズレベルのセキュリティ監視を実現できます。
SOCサービスの主な機能
24/365監視
ネットワーク・エンドポイントの常時監視リアルタイム
インシデント検知
不審な通信・マルウェア・不正アクセスの自動検知AI分析
初動対応
検知時の即時通知・遮断・隔離の対応支援専門スタッフ
月次レポート
セキュリティ状況・検知ログ・改善提案の報告経営層向け
中小企業向けのSOCサービスは月額5〜15万円程度で提供されています。2年間の利用料は120〜360万円となりますが、補助上限100万円のため、補助金は最大100万円です。SOCサービスは最も費用対効果が高い使い方のひとつで、補助上限を最大限活用できます。
SOCは「人材不足」の解決策
中小企業にとって最大の課題は「セキュリティ人材の確保」です。情報セキュリティ専門の社員を雇用すると年間500〜800万円の人件費がかかりますが、SOCサービスなら月額5〜15万円でプロの監視チームを活用できます。コストパフォーマンスの観点からも、中小企業にはSOCサービスの導入を強く推奨します。
お助け隊サービス
サイバーセキュリティお助け隊サービスは、IPAが中小企業向けに設計した包括的なセキュリティサービスの枠組みです。「相談窓口」「異常の監視」「緊急時の対応支援」「簡易サイバー保険」をパッケージ化したサービスで、月額1〜2万円程度の低コストで利用できる点が特徴です。
お助け隊サービスに含まれる機能
相談窓口
セキュリティに関する電話・メール相談平日対応
異常監視
ネットワーク/エンドポイントの監視と通知24時間
緊急対応
インシデント発生時の初動対応支援リモート
サイバー保険
簡易なサイバー保険が付帯損害補償
お助け隊サービスはセキュリティ対策推進枠で最も申請しやすい選択肢です。IPAのサービスリストに掲載されたサービスの中から、自社の規模・業種に合ったものを選択できます。費用が比較的低いため、補助金下限(5万円)の要件を満たすかどうかを確認してください。2年間で10万円以上(補助額5万円以上)が目安です。
お助け隊サービスリストの確認方法
IPAの公式サイト「サイバーセキュリティお助け隊サービス制度」のページで最新のサービスリストを確認できます。地域密着型のITベンダーから大手通信キャリアまで幅広いサービスが掲載されています。サービスによって対応地域が限定される場合があるため、自社の所在地で利用可能なサービスを確認してください。
申請方法と注意点
セキュリティ対策推進枠の申請手順は、他の枠と基本的に同じ流れですが、セキュリティ特有の確認事項があります。以下の手順に沿って準備・申請を進めてください。
セキュリティ対策推進枠 申請ステップ
ステップ1:GビズID取得
GビズIDプライムを取得する(未取得の場合)2〜3週間
ステップ2:SECURITY ACTION宣言
IPAサイトで★一つ星以上を宣言し、自己宣言IDを取得即日可能
ステップ3:IT導入支援事業者を選定
IPAリスト掲載のセキュリティサービスを扱うIT導入支援事業者に連絡公募期間中
ステップ4:共同申請
IT導入支援事業者と共同でポータルに申請情報を入力・提出締切日まで
ステップ5:交付決定後に導入
交付決定通知を受領後にセキュリティ製品・サービスを契約交付決定後
ステップ6:実績報告
導入完了・支払い完了後に実績報告書を提出完了後30日以内
セキュリティ対策推進枠の注意点
1. 交付決定前の契約・導入は対象外:交付決定通知を受け取る前にセキュリティ製品を購入・契約した場合、その費用は補助対象外となります。見積もり・商談は事前に進めて構いませんが、契約・支払いは交付決定後に行ってください。
2. 既存サービスの更新は原則対象外:現在契約中のセキュリティサービスの契約更新は「新規導入」とみなされず、補助対象外となる可能性があります。
3. ハードウェア単体は対象外:UTM機器などのハードウェアは、セキュリティサービス(ライセンス・保守)とセットで導入する場合に限り補助対象となります。ハードウェアのみの購入は対象外です。
4. 個人用ウイルス対策ソフトは対象外:家庭用のノートンやマカフィーなどの一般的なウイルス対策ソフトは補助対象に含まれません。法人向けのEDR・UTM・SOCサービスが対象です。
申請に必要な書類は、GビズID情報・SECURITY ACTION自己宣言ID・事業計画書・導入するセキュリティ製品の見積書・IT導入支援事業者との連携情報などです。事業計画書では、自社が直面するセキュリティリスクを具体的に記載し、導入するツールがどのようにリスクを低減するかを説明してください。
GビズIDの取得方法についてはGビズID申請ガイドで詳しく解説しています。
他の枠との組み合わせ
セキュリティ対策推進枠は、デジタル化・AI導入補助金の他の申請枠との関係について正しく理解しておく必要があります。
重要:同時申請は不可
セキュリティ対策推進枠は、デジタル化基盤導入枠やインボイス枠と同じ公募回で同時に申請することはできません。ただし、異なる公募回であれば別枠での申請が可能な場合があります。例えば、第1回公募でセキュリティ対策推進枠を申請し、第2回公募でデジタル化基盤導入枠を申請するというパターンは可能です(最新の公募要領で確認してください)。
| 組み合わせパターン | 可否 | 備考 |
|---|---|---|
| セキュリティ枠 + デジタル化基盤導入枠(同時申請) | 不可 | 同一公募回では1枠のみ申請可能 |
| セキュリティ枠 + インボイス枠(同時申請) | 不可 | 同一公募回では1枠のみ申請可能 |
| セキュリティ枠(第1回)+ 他枠(第2回以降) | 可能な場合あり | 公募要領を確認 |
| セキュリティ枠 + 他の補助金(小規模事業者持続化等) | 可能(経費重複不可) | 同一経費の二重計上は禁止 |
推奨:セキュリティ+SaaSの段階的導入
まずセキュリティ対策推進枠でEDR・UTM等のセキュリティ基盤を整備し、次の公募回でデジタル化基盤導入枠を使ってクラウドSaaS(会計・勤怠・CRM等)を導入するという段階的アプローチが最も効果的です。セキュリティ対策が不十分な状態でクラウドサービスを導入すると、かえってリスクが高まる可能性があります。詳しくはクラウドSaaS導入ガイドをご覧ください。
また、セキュリティ対策推進枠の補助上限100万円だけでは対策が不十分な場合は、都道府県独自のサイバーセキュリティ補助金を併用する方法もあります。東京都や大阪府などでは独自のセキュリティ対策補助制度を設けている場合がありますので、自治体の産業振興課に確認してみてください。
デジタル化・AI導入補助金の制度全体像については制度全体ガイドで詳しく解説しています。