東京都内の中小企業がサイバーセキュリティ対策に投じた費用の最大1,500万円・1/2を補助してくれる制度がある。公益財団法人東京都中小企業振興公社が運営する「サイバーセキュリティ対策促進助成金」だ。UTMやEDR、ゼロトラスト系のクラウドセキュリティサービスなど、幅広いセキュリティ設備の導入費用が対象になる。
ランサムウェア被害は2025年上半期に前年同期比1.4倍に急増し、その約7割が資本金10億円未満の中小企業だったと警察庁が報告している。「うちには関係ない」では済まない時代になった。この助成金は、まさにそのリスクに正面から向き合いたい東京都内の事業者向けの制度だ。
令和7年度は年3回の公募が実施されたが、2026年3月時点では第3回(令和8年1月7日〜14日)の申請受付が終了している。令和8年度の公募スケジュールはまだ公式発表がない。ただ、申請には事前準備が必要なため、今のうちに制度の全体像を把握しておくことが採択への近道になる。
—
まず数字から入ろう。
| 項目 | 内容 |
|---|---|
| 制度名 | サイバーセキュリティ対策促進助成金(令和7年度) |
| 運営機関 | 公益財団法人 東京都中小企業振興公社 |
| 助成率 | 対象経費の1/2以内 |
| 助成上限額 | 1,500万円(下限10万円) |
| 標的型メール訓練のみの場合 | 上限50万円(下限10万円) |
| 対象者 | 都内の中小企業者・中小企業団体・中小企業グループ |
| 必須要件 | SECURITY ACTION ★★(二つ星)宣言済みであること |
| 申請方法 | エントリー登録 → Jグランツ(電子申請) |
| 公式サイト | 東京都中小企業振興公社 |
※上記は令和7年度の情報です。令和8年度の公募要領は公式サイトでご確認ください。
たとえばUTM(統合脅威管理)の導入に400万円かかる場合、助成金で200万円が戻ってくる計算になる。自社負担は半分で済む。これは中小企業にとって、「やりたいけど予算が出ない」という状況を打破できる水準だ。
各種DX補助金との比較や組み合わせ活用については、AI導入に使える補助金5選 徹底比較でまとめているので参考にしてほしい。
対象になるセキュリティ対策と対象外経費
助成対象となる製品・サービスのカテゴリは8種類ある。幅広く設定されているが、「何でもOK」ではない。対象外経費も把握しておくことが重要だ。
助成対象となる製品カテゴリ
- 統合型アプライアンス(UTM等) — ファイアウォール・IPS・アンチウイルス等を一体化したアプライアンス機器
- ネットワーク脅威対策製品 — FW(ファイアウォール)、VPN、不正侵入検知システム(IDS/IPS)等
- コンテンツセキュリティ対策製品 — ウイルス対策ソフト、スパム対策、Webフィルタリング等
- アクセス管理製品 — シングルサインオン(SSO)、多要素認証(MFA)、本人認証システム等
- システムセキュリティ管理製品 — アクセスログ管理、SIEM等
- 暗号化製品 — ファイル暗号化、メール暗号化等
- サーバーOS及びインストール作業費用 — サーバー入替に伴うOS更新を含む
- 標的型メール訓練 — 従業員への疑似フィッシングメール訓練(この単体の場合は上限50万円)
クラウド型のセキュリティサービス(SaaS)も対象に含まれる点が大きい。たとえば、ゼロトラストネットワークアクセス(ZTNA)やセキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)といった比較的新しい製品カテゴリも申請可能とされている。
助成対象にならない経費(要注意)
- 消費税(全額自己負担)
- 保守・運用費用(導入後の月額保守等)
- 通信費
- コンサルティング費用
- 中古品の購入
- 設置箇所が東京都外の事業所のみとなる場合
「導入できるOSは最新版に限る」という要件もある。古いOSのまま動かし続けることはそもそもセキュリティリスクなので、OS更新を含めたリプレース計画として申請するのが賢いやり方だ。
申請の前に必ずやること——SECURITY ACTION二つ星の取得
この助成金の申請条件として、IPA(独立行政法人情報処理推進機構)の「SECURITY ACTION★★(二つ星)」宣言が必須になっている。宣言していない状態では申請できない。
ただ、これは難しい話ではない。SECURITY ACTION自体は無料・オンライン完結で取得できる自己宣言制度だ。
SECURITY ACTION 二つ星とは
IPAのSECURITY ACTIONには一つ星と二つ星がある。
- ★一つ星:「情報セキュリティ5か条」に取り組むことを宣言(最も基本的なレベル)
- ★★二つ星:「情報セキュリティ基本方針」を定め、外部に公開したことを宣言(本助成金の必須要件)
二つ星宣言に必要なのは「情報セキュリティ基本方針」を作成して自社サイトや社内で公開すること。IPAのサイトにテンプレートがあり、それを参考に自社の方針文書を作成→宣言という流れになる。所要時間は30分〜1時間程度と見ておいていいだろう。宣言後、1〜2週間ほどでロゴマークのダウンロード案内がメールで届く。
申請エントリーとネットクラブ会員登録
SECURITY ACTION二つ星を取得した後、東京都中小企業振興公社の「ネットクラブ会員」として事前登録を行う必要がある。エントリー期間が始まってから登録しようとすると間に合わない可能性があるため、公募が始まる前に会員登録を済ませておくことを強く推奨する。
あわせて読みたい
- 東京都DX推進助成金|最大3,000万円 — DX推進と合わせて活用できる東京都の助成制度
- 東京都で使えるAI導入・DX推進の補助金・助成金まとめ — 東京都の支援制度を網羅的に比較
- Jグランツ完全ガイド|補助金電子申請の使い方 — 申請に使うJグランツの詳しい操作方法
- 事業承継・M&A補助金14次公募|全4枠の要件 — 事業承継に伴うセキュリティ投資にも活用
令和7年度の申請スケジュール(参考)
令和8年度の公募スケジュールはまだ公表されていない(2026年3月時点)。参考として令和7年度の実施スケジュールを示す。令和8年度もほぼ同様のパターンで年3回実施される可能性が高い。
| 回 | 申請エントリー期間 | 交付決定 | 助成対象期間 | 状況 |
|---|---|---|---|---|
| 第1回 | 2025年5月14日〜20日 | 7月下旬 | 2025年8月1日〜11月30日 | 終了 |
| 第2回 | 2025年9月10日〜17日 | 11月下旬 | 2025年12月1日〜2026年3月31日 | 終了 |
| 第3回 | 2026年1月7日〜14日 | 3月下旬 | 2026年4月1日〜7月31日 | 終了 |
注目すべきは申請期間のタイトさだ。各回とも申請受付はわずか1週間前後しかない。必要書類を事前に揃えていないと、開始と同時にエントリーしても間に合わないことがある。「公募が始まってから準備を始める」では手遅れになる典型的なパターンだ。
申請から助成金受取までの全工程
Step 1: SECURITY ACTION★★(二つ星)の宣言(所要: 1〜2週間)
IPAのSECURITY ACTIONサイトで情報セキュリティ基本方針を作成・公開し、二つ星を宣言する。宣言後にロゴマーク取得まで1〜2週間かかるため、公募開始の1ヶ月前には着手したい。
→ GビズID登録ガイド(Jグランツ申請に必要)も同時に進めておくこと
Step 2: ネットクラブ会員登録(公募前に完了)
東京都中小企業振興公社のネットクラブに会員登録する。登録自体は無料。エントリー期間が始まる前に済ませておくこと。
Step 3: 導入機器・サービスの選定と見積取得
申請する対象経費と導入機器を決め、ベンダーから見積書を取得する。「まず申請してから製品を決める」は不可。交付決定前の発注・契約は補助対象外になる。
Step 4: 申請エントリー(公募期間中)
ネットクラブ経由で申請エントリーを行う。エントリー期間は通常1週間程度。
Step 5: Jグランツによる電子申請(エントリー後)
GビズIDプライムを使い、電子申請ポータル「Jグランツ」上で申請書類一式を提出する。事業計画書、見積書、SECURITY ACTION二つ星の宣言書等が必要。
Step 6: 審査・交付決定(申請から約2ヶ月後)
審査結果が通知される。交付決定を受けて初めて対象期間内での発注・契約が可能になる。
Step 7: 設備導入・実績報告
助成対象期間内に機器を導入・設置し、実績報告書を提出する。支払いの証憑(請求書・振込明細等)の整理が重要。
Step 8: 助成金の交付(後払い)
実績報告の審査後、助成金が交付される。補助金・助成金は全て後払いのため、一時的に全額立て替えられる資金計画が必要だ。
申請でよくある不備——これで落ちる・対象外になる
不備1: 交付決定前に発注・契約してしまった
❌ 「採択通知が届いたので、先にベンダーと契約した」
⭕ 「交付決定通知を受け取ってから初めて発注・契約する」
採択と交付決定は別物だ。採択通知=「申請が通った」であり、交付決定=「補助金の支払いが確定した」。この違いを理解していないと、何百万円もの経費が対象外になる。
不備2: SECURITY ACTION宣言が申請時点で二つ星未満だった
❌ 「申請後に二つ星を取得した(申請時は一つ星だった)」
⭕ 「申請エントリー前に二つ星宣言を完了させる」
申請時点での★★宣言が必須要件。後から追加しても遡及されない。
不備3: 設置場所が東京都外だけの機器を申請した
❌ 「本社(埼玉)のサーバー更新費用を申請した」
⭕ 「東京都内の事業所に設置・利用される機器・サービスを申請する」
都外のみに設置される設備は対象外。ただし東京都内と都外両方に拠点がある場合は、都内分の経費を按分して申請できる可能性がある(要確認)。
不備4: 保守費用・月額費用を含めて申請した
❌ 「UTMの機器代+5年間の保守契約費用を合算して申請」
⭕ 「機器本体の導入費用のみを申請対象に計上する」
導入後の保守費用や運用費用は対象外。初期導入コストのみが助成される。
他の補助金との組み合わせは可能か
ここは正直に言うと、明確に「同一経費への重複申請は不可」という原則がある。同一の設備費用に対して複数の補助金・助成金を重複して申請することはできない。
ただし、セキュリティ対策費用は「デジタル化・AI導入補助金」のセキュリティ対策推進枠と目的が似ている部分もある。二制度の対象経費が完全に別であれば、別々に申請すること自体は可能なケースもある。いずれにせよ、各事務局に個別確認することが必要だ。
セキュリティ強化と併せてAI活用・DX推進を検討しているなら、デジタル化・AI導入補助金のセキュリティ対策推進枠も選択肢になる。詳しくはAI導入に使える補助金5選 徹底比較で制度比較をまとめている。
東京都の助成金が「最大1,500万円」にまで成長した背景
この助成金が現在の規模になったのは比較的最近のことだ。2018年に制度が開始された当初、助成上限は300万円だった。それが段階的に引き上げられ、現在の1,500万円になっている。背景にあるのは、サイバー攻撃の規模と手口が急速に進化しているという現実だ。
かつてのサイバー攻撃は「ウイルスに感染してデータが消える」という比較的わかりやすい被害が主流だった。しかし今は違う。ランサムウェアでシステム全体を暗号化→操業停止→身代金要求、というサプライチェーン攻撃が急増している。被害にあった企業が取引先の情報も流出させ、連鎖的な被害に発展するケースも出てきた。
300万円の助成額では、こうした脅威に対応するための多層防御(UTM + EDR + メールセキュリティ + 多要素認証 + 標的型メール訓練)をすべてカバーしきれない。東京都が上限を段階的に引き上げてきたのは、そうした現実への対応だと理解できる。
正直なところ、1,500万円という上限は「全ての企業がフルで使う」ことを想定した金額ではない。従業員20名以下の小規模企業であれば、UTMとEDRと標的型メール訓練を組み合わせても100〜200万円程度が相場だ。1,500万円まで使えるのは、複数拠点を持つ中規模企業や、多数の端末・サーバーを持つ企業の話になる。自社の規模と導入範囲を踏まえた現実的な計画を立てることが重要だ。
製品選定で迷ったとき——セキュリティ分野の主要製品カテゴリを整理する
「助成金が使える」と聞いても、どの製品を選べばいいかわからないという声が多い。セキュリティの専門用語は多く、製品カテゴリの整理だけでも一苦労だ。ここでは主要カテゴリの役割と、中小企業が最初に検討すべき優先度を整理しておく。
優先度 高:ランサムウェア・侵入対策の柱
UTM(Unified Threat Management / 統合脅威管理)
ファイアウォール・IPS・VPN・Webフィルタリング・アンチウイルスを一台の機器に統合したもの。中小企業のネットワーク入口対策として最も費用対効果が高い選択肢の一つだ。機器単体で30〜300万円程度と幅があるが、年間の保守契約が別途かかる。保守費用は助成対象外なので、総保有コストで判断すること。
EDR(Endpoint Detection and Response)
各PCやサーバー端末にエージェントをインストールし、不審な挙動をリアルタイムで検知・遮断するシステムだ。UTMが「玄関口」を守るとすれば、EDRは「室内の各部屋」を監視するイメージだ。ランサムウェアがネットワーク内部で横展開する動きを止めるには、EDRが不可欠になる。クラウド型のサービスが普及しており、端末1台あたり月数百円から導入できる製品もある。
優先度 中:フィッシング・メール経由の侵入対策
メールセキュリティ(スパム対策・マルウェア添付ファイルフィルタリング)
ランサムウェアの主な侵入経路の一つがフィッシングメールだ。悪意のある添付ファイルやURLリンクが含まれたメールを、受信前に遮断するサービス。Microsoft 365やGoogleWorkspaceを使っている企業でも、標準機能では防ぎきれない攻撃パターンに対応するため、専用のメールセキュリティサービスを追加するケースが増えている。
多要素認証(MFA)
VPNやクラウドサービスへのログイン時に、パスワードに加えてスマートフォンアプリや物理トークンで本人確認を行う仕組み。警察庁の報告によると、ランサムウェアの主な侵入経路はVPN機器(46%)とリモートデスクトップ(24%)だ。これらへのアクセスにMFAを導入するだけで、侵入リスクを大幅に下げられる。
優先度 補助:人的対策
標的型メール訓練
従業員に実際に近い疑似フィッシングメールを送り、クリックしてしまった社員を特定・教育するサービス。技術的対策をどれだけ強化しても、社員が不審なリンクをクリックしてしまえばセキュリティは崩れる。人的リスクへの対策として、標的型メール訓練は費用対効果が高い。この単体での申請は助成上限が50万円になる点は注意が必要だ。
申請書類の準備——事前に用意すべき書類リスト
Jグランツでの電子申請には、以下の書類が必要になる(令和7年度実績。令和8年度で変更の可能性あり)。
| 書類 | 内容 | 準備のポイント |
|---|---|---|
| 申請書 | 事業計画・対象経費の明細・期待する効果を記載 | 公式サイトの様式を使用。導入効果を具体的な数値で記述する |
| 見積書 | 導入する機器・サービスの見積書(ベンダーが発行) | 製品名・型番・数量・単価・合計金額が明記されたもの。複数ベンダーから取得しておくと価格の妥当性を示しやすい |
| SECURITY ACTION宣言証明 | 二つ星宣言を証明するスクリーンショット等 | 宣言ページのURLと宣言IDを保存しておく |
| 登記事項証明書(法人) | 法務局発行の現在事項全部証明書 | 発行から3ヶ月以内のものが有効。申請時期が近づいたら取得する |
| 確定申告書(直近1〜2期分) | 事業規模・業況を確認するための書類 | 法人は法人税申告書の写し、個人事業主は確定申告書の写し |
| 情報セキュリティ基本方針 | 二つ星宣言に使用した方針書 | IPAのテンプレートをもとに自社用にカスタマイズしたもの |
書類の詳細な要件は公募要領で確認すること。令和8年度の公募では追加や変更が生じる可能性があるため、要領が発表されたら必ず最新版を参照すること。
企業規模別の活用シナリオ——いくら投資すれば十分か
「1,500万円の上限があるといっても、自社はどのくらい使えばいいのか」という疑問を持つ方が多い。企業規模と事業形態によって必要な投資額が変わるため、典型的なパターンで整理する。
従業員20名以下の小規模企業(想定シナリオ)
オフィスが1拠点で、従業員が主にクラウドサービスとPCを使って業務を行う場合の例だ。
- UTM(中小規模向け機器): 50〜120万円(機器本体+初期設定費)
- EDR(エンドポイント保護): 20名 × 月額800円 × 12か月 = 約19万円(年間)
- 標的型メール訓練: 20万〜50万円(年1〜2回実施)
合計: 約90〜190万円 → 助成金で45〜95万円をカバー
この規模であれば、助成金を活用することで自己負担を50〜100万円以内に抑えられる。「予算がないからセキュリティ対策は後回し」という判断が変わる水準だ。
従業員50〜100名の中堅企業(想定シナリオ)
複数部署があり、一部リモートワークも実施している企業の例だ。
- UTM(中〜大規模向け機器、冗長構成): 200〜500万円
- EDR: 80名 × 月額1,200円 × 12か月 = 約115万円(年間)
- メールセキュリティサービス: 80名 × 月額1,000円 × 12か月 = 約96万円(年間)
- 多要素認証(MFA)導入: 30〜60万円(初期設定費)
- 標的型メール訓練: 40〜80万円
合計: 約480〜850万円 → 助成金で240〜425万円をカバー
この規模になると助成金の威力が実感できる。自己負担を半分に抑えられれば、役員会で予算承認を取りやすくなる。
いずれもあくまで想定シナリオであり、実際の費用はベンダーへの見積取得で確認いただきたい。製品の種類や会社の規模によって大きく変わる。
令和8年度の公募を待つ企業が今すぐやること
令和8年度の公募はまだ始まっていない。しかし準備は今から始めておく価値がある。具体的には3つのアクションだ。
- SECURITY ACTION★★(二つ星)の宣言を完了させる — 宣言は無料でいつでもできる。公募が始まる前から済ませておけばエントリー時にあわてない
- GビズIDプライムを取得する — Jグランツでの電子申請に必須。法人の場合は印鑑証明書が必要で取得に2週間前後かかる(GビズID登録ガイド参照)
- 東京都中小企業振興公社のネットクラブに会員登録する — 無料で登録できる。公募開始後にエントリーするためのアカウントを事前に作っておく
令和8年度の公募開始予定時期は、令和7年度の実績から推測すると2026年春〜夏ごろになる可能性が高い。公式サイトを定期的に確認しておくことをすすめる。
—
参考・出典
- サイバーセキュリティ対策促進助成金 — 公益財団法人東京都中小企業振興公社(参照日: 2026-03-13)
- 令和7年度サイバーセキュリティ対策促進助成金 募集のお知らせ — 東京都産業労働局(参照日: 2026-03-13)
- SECURITY ACTION — 独立行政法人情報処理推進機構(IPA)(参照日: 2026-03-13)
- 令和7年度サイバーセキュリティ対策促進助成金 第2回 — 補助金ポータル(参照日: 2026-03-13)
- 警察庁「2025年上半期国内サイバー犯罪レポート」 — トレンドマイクロ(参照日: 2026-03-13)
—
AI導入の計画策定やセキュリティ投資と補助金活用についてのご相談は、お問い合わせフォームからお気軽にどうぞ。どの制度が自社に合うか分からない場合も、お気軽にご連絡ください。
この記事は補助金ナビ編集部がお届けしました。
—
免責事項
本記事の情報は2026年3月13日時点の公益財団法人東京都中小企業振興公社および各機関の公表資料に基づく参考情報です。助成金の制度内容(助成率・上限額・対象経費・申請期間等)は予告なく変更される場合があります。申請にあたっては、必ず公式サイトで最新の公募要領をご確認ください。本記事の情報に基づく申請の結果について、当サイトは一切の責任を負いません。
