サイバーセキュリティとは?
サイバーセキュリティとは、不正アクセスやマルウェア感染から電子データとして保存している機密情報の盗取・改ざん・破損などを防ぐ仕組みを整えることです。企業が保有する社員の個人情報・企業の蓄積した事業ノウハウ・顧客情報は犯罪者にとって利用価値の高い情報ばかりです。ビジネス上の重要なデータや個人情報はダークウェブで売却すると多額の金銭的見返りを期待できるだけでなく、クレジットカードや銀行口座から不正にお金を引き出すこともできます。
情報流出が起きると取引先や消費者から信用を失い、今後のビジネスが大変厳しくなります。自社にとって貴重な情報資産を守るためにも、サイバーセキュリティを強化していく必要があります。
情報漏洩が起きた場合の影響
狙われる情報資産 | 影響 | |
内容 |
|
|
サイバーセキュリティへの助成金とは?
東京都中小企業振興公社が実施した令和2年度におけるサイバーセキュリティ対策促進助成金の内容を紹介します。 助成金を申請できる条件としては、情報処理推進機構IPAが創設したサイバーセキュリティに関する取り組みであるSECURITY ACTIONの「★★二つ星」宣言と手続きが完了しているのが条件です。
また、既に今年度の受付は終了しており、令和3年の1月22日~29日の対象期間で申し込んだ企業の審査のみを残すだけとなっています。令和3年度のスケジュールや助成金の規模は未発表ですが、国全体でDX(Digital transformation)と情報セキュリティの強化を推進していることもあり、引き続き助成金制度は継続されるでしょう。
対象企業
IPAが定めたSECURITY ACTIONの二つ星を宣言している都内の中小企業・団体が条件になります。 下の表は各業種における中小企業に該当する企業規模の定義です。
業種 | 中小企業基本法の定義 |
製造業・建設業・運輸業 |
|
卸売業 |
|
小売業 |
|
サービス業 |
|
対象外の企業・団体
SECURITY ACTIONとは?
IPAが定めたサイバーセキュリティの取り組みに関してのガイドラインです。 ただし、SECURITY ACTIONはサイバーセキュリティ対策を促す枠組みであり、取り組み状況を認定する制度ではありません。 あくまで企業が自社のセキュリティ環境を見直して自発的に情報セキュリティの基本方針を定め、方針に向かって取り組むことを促します。
また、各企業は取り組むべき目標を設定した後、外部に公開したことを自己宣言する「★★二つ星」段階に到達して初めて助成金の申請が可能になります。
一つ星 ( 情報セキュリティ5か条)
IPAが定めた中小企業の情報セキュリティ対策ガイドラインである「情報セキュリティ5か条」に取り組むことを宣言した企業が取得できます。
★★二つ星
情報セキュリティ対策ガイドラインの付録にある「5分でできる!情報セキュリティ自社診断」で自社の状況を確認後、情報セキュリティに関する目標や方針を定めます。 内容が決まったら外部に公開と宣言をすることで、「★★二つ星」のロゴマークが取得できます。
助成金が受け取れる製品の対象範囲とは?
企業の情報資産を保護する仕組みを強化するためのセキュリティツールの導入が対象になります。 最大1,500万円助成金を受け取れますので、上手に活用してセキュリティ環境の安全性を強化してください。
助成金の対象範囲
種類 | 内容 |
統合型アプライアンス |
|
ネットワーク対策品 | |
セキュリティ対策 |
|
アクセス管理 |
|
システムセキュリティ |
|
暗号化 | |
サーバー |
|
標的型攻撃への社員教育 |
|
助成率&助成額
助成対象経費の1/2位内で、最低30万円~最大1,500万円
助成金申請に必要な申請書類とは?
東京都中小企業振興公社に申請する申請書類一覧をまとめました。 申請を検討している企業は全ての書類を揃えクリップ留めにして、申請してください。
申請書類一覧
詳細 | 部数 | |
申請前確認書 |
| 1部 |
助成金申請書 |
| 1部 |
履歴事項全部証明書 |
| 1部 |
見積書 |
| 各1部 |
助成対象設備・導入検討の仕様を明確化した書類 |
| 機種ごとに1部ずつ |
発注先 |
| 1部 |
設置場所関連書類 |
| 1部 |
直近 3 期分の 確定申告書(コピー) | 各期1部ずつ | |
納税証明書 |
| 1部 |
会社案内 |
| 1部 |
営業に必要な許認 可証(コピー) |
| 1部 |
SECURITY ACTION |
| 1部 |
情報セキュリティ 基本方針(コピー) |
| 1部 |
工程表(コピー) |
| 1部 |
建物所有者の承諾書 |
| 1部 |
導入設備・製品リスト |
| 1部 |
別途公社が指定する書類 |
| 1部 |
助成金対象者を決定する5つの審査ポイントとは?
表にまとめた5つの視点で妥当性が認められた法人・個人の方のみ、助成金を支援します。
種類 | 内容 |
申請資格 |
|
経営面 |
|
計画の中身 |
|
設備計画 |
|
導入効果 |
|
助成金を受け取るまでのスケジュールは?
SECURITY ACTIONの「★★二つ星」取得宣言後から、助成金が支払われるまでの流れをまとめました。 申請を行う場合は電話による事前予約が必要である点と先着順での受付となっているため、助成金を検討している場合は早急に書類を揃える必要があります。
交付までの流れ
申請についての注意点
- 助成金交付申請書は中小企業振興公社のホームページから入手
- 申請日を電話で予約し、対面で必要書類を提出
- 全ての提出書類が揃った段階で申請を実施
- 代理申請は対応不可
- 国や地域の助成金と両方の受領は不可
- 交付決定前に助成対象設備の発注・契約をした場合、助成対象外
サイバーセキュリティに関して経営層が認識しておくべき3つの内容とは?
情報漏洩の被害総額は年々深刻化しており、大企業に留まらず中小企業がターゲット企業となる機会も増加していることがポイントです。
情報漏洩の被害総額は年々深刻化
日本IBMが発表した調査によると、2019年8月から2020年4月にかけて情報漏洩が発覚した日本企業の被害総額が1件あたり約4億5000万円に上ると発表しました。 情報漏洩の内容はシステムダウンによるビジネス機会の停滞、顧客からの信用失墜などあらゆる内容を含めた調査で昨年の調査から約1割被害総額が上がっています。
被害総額増加の要因としては、サイバー攻撃を仕掛ける犯罪者の技術向上と攻撃の多様化にあります。 例えば、近年被害が増えているファイルレス・マルウェアはWindows PowerShellを利用して情報盗取を行うため、ファイルへの書き込みを行わず不正なプログラムも残しません。
そのため、ウイルスソフトやファイアウォールでは検知されず不正が行われたことに気付かないため、対応が遅れてしまいます。 また、社員が使用しているPCや社内システムを制御不可能な状態にさせ、元に戻す代わりに多額の身代金を要求するランサムウェアの被害も世界各国で増加傾向にあります。 ランサムウェアは攻撃の予兆が無く復旧に多大な時間を必要とするため、企業にとって深刻なダメージを与えるサイバー攻撃の1つです。
ランサムウェアの被害増加は、クラウドサービスの普及で料金さえ払えばランサムウェアを購入できるRaaS(Ransomware as a Service)の普及が、大きな要因となっています。 上記のように新しい攻撃が次々と生み出されていきますので、各企業は変化に遅れず情報漏洩を防ぐためのセキュリティツールの導入や脆弱性の有無をチェックし続けなくてはいけません。
売上に反映する政策ではない
セキュリティツールの導入やセキュリティ業務の経験豊富な人材の確保など、サイバー攻撃への対策や情報資産を守る仕組み作りの強化は、売上には直結しません。 サイバーセキュリティ対策は情報資産漏洩を防ぐことが目的であるのに加え、社員の作業効率改善や安心して仕事に打ち込める環境を整備することだからです。
そのため、導入効果がわかりにくく売上に直結しない=投資の優先順位は後回しという現状の考えでは、サイバー攻撃に対する防御は脆弱なままです。 サイバーセキュリティ対策は一度に全てを行う必要はありません。 自社のシステム環境を見直し、最優先に取り組むべき内容から段階的に進めていくことが大切です。
中小企業もターゲット対象になる機会が増加
近年のサイバー攻撃はサプライチェーン攻撃に代表されるように、中小企業がターゲットになることも増えています。 犯罪者からすると大企業にいきなり攻撃を仕掛けて情報資産を盗取するのはリスキーだと判断しているからです。 資金面・人材登用に余裕のある大企業は積極的にセキュリティ対策の強化を行い、自社の情報資産を守る仕組みを年々強化しています。
そのため、大企業に比べるとセキュリティ対策・意識が甘い中小企業を起点にして、ターゲット企業へ不正アクセスを試みる形が増えています。 つまり、中小企業から攻めた方が成功確率が高いと判断しているのです。
自社のセキュリティ対策が不十分で取引先から情報漏洩が起きた場合、取引打ち切りだけでなく損害倍書を要求されるケースも想定されます。 セキュリティ対策にこれまで力を入れてこなかった企業も本格的に対策を検討する時期に差し掛かっていることを認識してください。
まとめ
助成金を上手に活用してセキュリティツールを導入することも重要ですが、最も大切なのは自社のセキュリティ環境や課題を把握することです。 状況がわからないと正しいサイバーセキュリティ対策を行えません。 システム管理者だけでなく、組織全体でセキュリティに対しての意識を高める必要があります。
今後は場所を問わない働き方が多様化し、デジタルツールの導入加速が予想されます。 多様な働き方に対応するためにもサイバーセキュリティ対策を強化し、社員が安心して仕事に打ち込める環境づくりを整備することが大切です。