皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はiPhoneであっても注意した方が良いという話です。

ここ最近、IPAにこんな相談が寄せられているようです。

カレンダーに身に覚えのないイベント

まず、この問題の結論から書きます。

今回の問題は、iCloudカレンダーの『共有機能』や『出席依頼機能』が悪用され、自身のiCloudメールアドレスが何らかの方法で知られてしまい、そのアドレスが共有先として設定されると、不審なカレンダーやイベントが自身のiPhoneに登録される可能性があるとされています。

この具体的な手口は以下のようになります。

＜１．iPhoneのカレンダーに身に覚えのないイベントがある＞

・iPhoneに身に覚えのないカレンダーの通知が表示される。

・iPhoneのカレンダーに身に覚えのないカレンダーやイベントが登録されている。

・イベントのタイトルには「ウイルスに感染している可能性があります」、「あなたのiPhoneは保護されていません！」などと記載されている。

・イベントにはURLが記載されている。

＜２．イベント内のURLから不審なサイトへ誘導される＞

・イベントに記載されているURLをタップして、不審なサイトにアクセスする。

＜３．アクセスした不審なサイト経由で被害にあう＞

・アクセスしたサイト経由で、不審なセキュリティ対策アプリ等のインストールへ誘導される可能性がある。

・アクセスしたサイトで、メールアドレス、電話番号、クレジットカード情報などの個人情報を入力すると、情報を詐取される可能性がある。

そして、アクセス先のサイト経由でアプリをインストールしたり、サイトに個人情報等を入力すると被害が発生する可能性があるとされています。

このような事象への対処法は以下の通りで紹介されています。

・身に覚えのない共有カレンダーの参加依頼が届いた場合は、参加依頼のスパム報告をする

・身に覚えのない共有カレンダーがある場合は、共有カレンダーを削除する

・身に覚えのないイベントの参加依頼が届いた場合は、不審な参加依頼のスパム報告をする

これらの対策法としては、

・手口を知る

・不審なカレンダーやイベントの参加依頼は削除する

・URLを安易にタップしない

・アプリのインストールは慎重に

・パスワードや認証コード等を安易に入力しない

ということになります。

念のため、IPAが掲載している『安心相談窓口だより（PDF版）』のURLを記載しておきますので参考にしてください。

『iPhone に突然表示される不審なカレンダー通知に注意！（PDF）』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、2年数ヵ月ぶりに大幅改訂された『中小企業の情報セキュリティ対策ガイドライン（第3版）』がIPA（独立行政法人情報処理推進機構）から公開されましたので、それをお伝えします。

中小企業の情報セキュリティ対策ガイドライン第3版

＜概要＞

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。
　第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです。
　例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
　中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。 また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。
　本ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

このように、昨今の『サイバー攻撃の巧妙化』や『中小企業などにおけるIT環境の変化』などを受け、『経営者が認識し実施すべき指針』、『社内において対策を実施する際の手順や手法』などがわかりやすくまとめられています。

改めて確認し直す良い機会でもありますので、是非読んでみて下さい。

『中小企業の情報セキュリティ対策ガイドライン第3版（全62ページ、7.00MB） /PDF』

・付録1：『情報セキュリティ5か条（全2ページ、726KB） /PDF』

・付録2：『情報セキュリティ基本方針（サンプル）（全1ページ、34KB） /Word』

・付録3：『5分でできる！情報セキュリティ自社診断（全8ページ、3.9MB） /PDF』

・付録4：『情報セキュリティハンドブック（ひな型）（全10ページ、212KB） /PowerPoint』

・付録5：『情報セキュリティ関連規程（サンプル）（全50ページ、171KB） /Word』

・付録6：『クラウドサービス安全利用の手引き（全8ページ、2.8MB） /PDF』

・付録7：『リスク分析シート（全5シート、92KB） /Excel』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年も『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2019』を公表しましたのでご紹介します。

これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2019

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：ビジネスメール詐欺による被害（昨年順位：3位）

3位：ランサムウェアによる被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃の高まり（初）

5位：内部不正による情報漏えい（昨年順位：8位）

6位：サービス妨害攻撃によるサービスの停止（昨年順位：9位）

7位：インターネットサービスからの個人情報の窃取（昨年順位：6位）

8位：IoT機器の脆弱性の顕在化（昨年順位：7位）

9位：脆弱性対策情報の公開に伴う悪用増加（昨年順位：4位）

10位：不注意による情報漏えい（昨年順位：12位）

＜個人の10大脅威＞

1位：クレジットカード情報の不正利用（昨年順位：1位*1）

1位：フィッシングによる個人情報等の詐取（昨年順位：1位）

3位：不正アプリによるスマートフォン利用者への被害（昨年順位：4位）

4位：メール等を使った脅迫・詐欺の手口による金銭要求（初）

5位：ネット上の誹謗・中傷・デマ（昨年順位：3位）

6位：偽警告によるインターネット詐欺（昨年順位：10位）

7位：インターネットバンキングの不正利用（昨年順位：1位）

8位：インターネットサービスへの不正ログイン（昨年順位：5位）

9位：ランサムウェアによる被害（昨年順位：2位）

10位：IoT 機器の不適切な管理（昨年順位：9位）

（*1）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の『インターネットバンキングやクレジットカード情報等の不正利用』を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。

以上のような内容で公表されています。

また、今後の脅威に対する懸念として、AI（人工知能）を用いた新たなサイバー攻撃に対しても触れられています。

参考資料：『情報セキュリティ10大脅威 2019（PDFファイル：3.98MB）*2』

（*2）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末、内閣サイバーセキュリティセンター（NISC/National center of Incident readiness and Strategy for Cybersecurity）よりサイバー攻撃に関する注意喚起が発出されています。

今日はそれについてお伝えします。

NISCによるサイバー攻撃の注意喚起

以下、外務報道官談話です。

中国を拠点とするAPT10といわれるグループによるサイバー攻撃について（外務報道官談話）

１．サイバー空間の安全は、我が国を含む国際社会の平和と繁栄を確保する上で極めて重要です。

２．こうした中、12月20日から21日（現地時間）にかけて、英国及び米国等は、中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても、サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており、サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。

３．我が国においても，APT10といわれるグループからの民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認しており、かかる攻撃を断固非難します。

４．中国を含むG20メンバー国は、サイバー空間を通じた知的財産の窃取等の禁止に合意しており、国際社会の一員として責任ある対応が求められています。

５．今後とも、政府として国内のサイバーセキュリティ対策の徹底に関する注意喚起を実施する予定です。

６．我が国としては、今後も、国際社会と緊密に連携して、自由、公正かつ安全なサイバー空間の創出・発展のための取組を進めていきます。

また、IPA（独立行政法人情報処理推進機構）では『日常における情報セキュリティ対策』を紹介しています。

＜組織のシステム管理者向け＞

１．情報持ち出しルールの徹底

２．社内ネットワークへの機器接続ルールの徹底

３．修正プログラムの適用

４．セキュリティソフトの導入および定義ファイルの最新化

５．定期的なバックアップの実施

６．パスワードの適切な設定と管理

７．不要なサービスやアカウントの停止または削除

＜組織の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．パスワードの適切な設定と管理

４．不審なメールに注意

５．USBメモリ等の取り扱いの注意

６．社内ネットワークへの機器接続ルールの遵守

７．ソフトウェアをインストールする際の注意

８．パソコン等の画面ロック機能の設定

＜家庭の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．定期的なバックアップの実施

４．パスワードの適切な設定と管理

５．メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意

６．偽のセキュリティ警告に注意

７．スマートデバイスのアプリ導入時の注意

８．スマートフォン等の画面ロック機能の設定

まずは不審なメールや添付ファイルを開かず、WindowsなどのOSやプログラムのパッチ（修正プログラム）やアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策の一層の強化を行うよう注意喚起が発出されています。

参考１：APT10といわれるグループによるサイバー攻撃について（注意喚起）

参考２：日常における情報セキュリティ対策

では、情報漏えいを防ぐためにはどのような対策を行えば良いのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、モバイルデバイスは欠かせないものとなっていますが、紛失や盗難などを想定した情報漏えい対策は不十分なことが多いようです。

それに対してIPA（独立行政法人情報処理機構）のセキュリティセンターが解説などを行っています。

モバイルデバイスの情報漏えい対策

IPAが公開しているモバイルデバイスの情報漏えい対策としては以下のことが書かれています。

＜解説編＞

■　情報漏えい対策のために必要なこと
・端末ロックだけでは不十分（暗号化の必要性）
・暗号化のしくみ
・誤った対策により悪用されてしまうケース
■　正しい対策のために必要なこと
・なりすましを避けるための利用者認証
・端末を常に最新の状態に保つこと
■　情報漏えい対策の考え方 ・情報価値レベルと対策の最低水準(ベースライン)について
・端末、可搬媒体に対する対策のベースラインについて　など

＜解説編 PDF資料＞

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（解説編）

＜実践編＞

■　「Microsoft Windows7, 8」、「iOS6」、「Android4.x」
・端末ロックによる利用者認証の有効化
・端末ロックによる利用者認証の安全性強化
・ハードディスク / フォルダの暗号化設定
■　「Microsoft Office (Word, Excel, Powerpoint)」、「Adobe Acrobat (PDFファイル)」
・ファイルへの暗号化設定の有効化
■　「Windows 10」
・端末ロックによる利用者認証の有効化
・端末ロックによる利用者認証の安全性強化
・ドライブ / フォルダの暗号化設定 (EFS, BitLocker)
・デバイス暗号化の設定
■　「Office 2016 / Office 365」
・ファイルへの暗号化設定の有効化
■　「Acrobat DC / Acrobat 2017」
・ファイルへの暗号化設定の有効化

＜実践編 PDF資料＞

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-Windows10での設定方法）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-Office2016/Office365での設定方法）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-AcrobatDC/Acrobat2017での設定方法）

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日IPA（独立行政法人情報処理推進機構）が行った『偽口座への送金を促す「日本語」のビジネスメール詐欺（BEC）事例』に関するプレス発表は、今後、企業規模や業態を問わず国内のあらゆる企業・組織が標的になる可能性があるとしているものです。

今日はそれに関してお伝えします。

IPAがプレス発表したBECの注意喚起

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、標的型攻撃メールの情報共有の枠組み、J-CSIP（サイバー情報共有イニシアティブ）の参加企業から、2018年7月に日本語によるビジネスメール詐欺（以後、BEC）の情報提供を受けました。国内の企業・組織は、その規模、業態を問わず、標的として捉えられている可能性があると考えられます。
そこで、改めて“ビジネスメール詐欺”について注意喚起を行うと共に、新たな事例と手口を詳細に解説するレポートを公開しました。
※　BEC（Business E-mail Compromise）

今回発表されている事例では、メールの差出人に当該企業の実際のCEOの名前とメールアドレスが用いられ、詐称されてたことと、本文中に『金融庁の取り決めにより』や『弁護士にもカーボンコピーで送信』などの表現を用い、依頼に従わせるための巧妙な内容であったとされています。

情報提供者がこのメールに返信したところ、『国際送金の必要がある』と記載されており、内容はすべて日本語によるものであったようです。

この情報提供を受けIPAは、

BECは手口が悪質・巧妙なだけでなく、金銭被害が多額になる特徴があります。一方、システムやセキュリティソフトによる機械的防御、偽メールの排除が難しく、被害抑止が困難です。よって被害の防止には、決済処理を行う経理部門等がこの手口を認識することが重要です。また、決済のチェック体制の再確認と整備、および以下の対策の徹底が求められます。

としています。

このようなものへの対策として、以下の記載があります。

＜対策＞
１．普段と異なるメールに注意
・不審なメールは社内で相談・連絡し、情報共有する

２．電信送金に関する社内規程の整備（チェック体制の整備）
・急な振込先や決済手段の変更等が発生した場合、取引先へメール以外の方法で確認する

３．ウイルス・不正アクセス対策
・セキュリティソフトを導入し、最新の状態にする
・メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない
・メールシステムでの多要素認証、アクセス制限の導入を検討する

詳細に関しては、以下のレポート3章に記載の『ビジネスメール詐欺への対策』で確認できます。

ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）

皆さん、情報共有しながら注意しましょう！

これは、2008年より毎年発行されている、情報セキュリティ全般に関する状況をまとめた書籍です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）はこの時期、前年の4月から当年の3月までの間の情報セキュリティに関するまとめ本を出しています。

今日はその概要に少し触れてみます。

情報セキュリティ白書２０１８概要

情報セキュリティ白書2018概要を見る限りでは、以下の被害項目があげられています。

１．詐欺による金銭被害の増加

２．ランサムウェア被害件数が過去最多に

３．広く普及しているソフトウェアの脆弱性の問題

１は、偽の画面を表示させてユーザーの不安に付け込んだり、偽の電子メールを企業などの従業員に送りつけて金銭を騙し取る『金銭被害』の増加です。

後者の偽メールによるものは『ビジネスメール詐欺』と呼ばれ、今後も攻撃は続くことが予想されるため、注意が必要です。

２は、自己増殖機能をもったウイルスのことで、感染したパソコンに留まることなく、ネットワークを経由して他のデバイスへも影響を及ぼします。

引き続き注意は必要であるものの、現在は減少傾向にあると思われます。

３は今に始まったことではありませんが、Windowsに存在している脆弱性を狙った攻撃や、多くのWebサーバで使われているアプリケーションフレームワークなどの脆弱性を狙った攻撃が多く報告されており、個人情報漏えいなどにも繋がってもいるため、今後もアップデートなどの速やかな適用を行っていかなければなりません。

その他、政府を中心にサイバーセキュリティに対する取り組みはいくつか行われてはいますが、中小・零細企業、小規模事業者においてはそれらに追いついていない感じを受けます。

余裕のない現状とはギャップが生じることもありますが、もう少し情報セキュリティというものに目を向けるべきであるとも感じます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨日、IPAがとてもありがたいページをサイト上に公開してくれました。

今日はそれに関してお伝えします。

IPAのセキュリティ情報ページとは

IPAが公開した『セキュリティ情報』のページとは、ウェブサーバ上で動作しているサーバ用ソフトウェアのうち、日本で広く利用されているオープンソフトウェアを対象としてまとめてくれたものになります。

対象としているのはウェブサイト運営者、ウェブサイト・ウェブシステムを構築する事業者、システム管理者、ということになっています。

情報源はインターネット上で公開されている製品情報とセキュリティに関する情報にはなりますが、週1回程度の更新を予定しているため、定期的に当該ページをチェックすることである程度一括して情報把握ができます。

もちろん、従来の重要なセキュリティ情報は随時更新されます。

そして、このページでは以下のオープンソースソフトウェアに関する製品及びセキュリティ情報が掲載されます。

・Apache HTTP Server

・Apache Struts

・Apache Tomcat

・ISC Bind

・OpenSSL

・WordPress(日本語)

・Joomla!Japan

また、各オープンソースソフトウェアの掲載内容は以下のものが掲載されます。

・開発者情報（ウェブサイトへのリンク）

・ダウンロード情報

・セキュリティ情報

・最新バージョン情報

・脆弱性などに対する注意喚起情報などの参考情報

以上のような感じになっております。

ウェブ担当者の方などは是非活用されると良いです。

参考：『サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

はじめに、当ウェブサイトの新着情報『IT導入支援事業者採択のお知らせ（2018）』にてお知らせした通り、私どもは、『平成29年度補正　IT導入補助金（サービス等生産性向上IT導入支援事業）』においても昨年に続き『IT導入支援事業者』に採択されておりますので、当補助事業のご支援が可能であることを申し上げておきます。

さて、それでは早速『IT導入補助金』の説明に入ります。

IT導入補助金の概要（H29）

＜補助事業者の要件＞

本事業の補助対象者は、次のすべての要件に該当する者に限る。

（１）生産性の向上に資するＩＴツールを導入する中小企業・小規模事業者等であること。
（２）日本国内で事業を行う個人又は法人であること。
（３）風俗営業等の規制及び業務の適正化等に関する法律第２条に規定する「風俗営業」、「性風俗関連特殊営業」及び「接客業務受託営業」を営むものでないもの。ただし、旅館業法（昭和２３年法律第１３８号）第３条第１項に規定する許可を受け旅館業を営むもの（風俗営業等の規制及び業務の適正化に関する法律（昭和２３年法律第１２２号）第２条第６項に規定する店舗型性風俗特殊営業を営むものを除く。）を除く。
（４）申請者（中小企業・小規模事業者等）又はその法人の役員が、暴力団等の反社会的勢力でないこと。反社会的勢力との関係を有しないこと。また、反社会的勢力から出資等資金提供を受けている場合も対象外とする。
（５）申請者（中小企業・小規模事業者等）の労働生産性（※1）について、補助事業を実施することによって３年後の伸び率１％以上、４年後の伸び率１.５％以上、５年後の伸び率２％以上又はこれらと同等以上の生産性向上を目標とした計画を作成すること。原則として、労働生産性の向上を目標とした計画及び導入するＩＴツールによる生産性向上指数に類する独自の数値目標（※2）を作成すること。
（※1）労働生産性とは、粗利益（売上-原価）/（従業員数× 1 人当たり勤務時間（年平均））により算出された値を言う。
（※2）独自の数値目標例：従業員あたり顧客数、従業員あたりの外国人客数、営業員あたりの取引業者数、営業員あたりの取引品目数、従業員あたり診療報酬点数等、従業員あたり製造量又は生産量、時間あたりの顧客数（配送数・接客数等）等
（６）独立行政法人情報処理推進機構（IPA）が実施する「SECURITY ACTION」の「★ 一つ星」または「★★ 二つ星」いずれかの宣言を行うこと。また、宣言内容の確認に際し事務局が一部の交付申請情報を独立行政法人情報処理推進機構（IPA）と共有することに同意すること。
（７）補助金交付申請内容については、「ＩＴ導入支援事業者を含む“第三者”による総括的な確認」を受けること。
（８）ＩＴ導入支援事業者を通じて、生産性向上に係る情報（売上、原価、従業員数及び就業時間）等を事務局に報告すること。
（９）補助事業に係るすべての情報について、事務局から国に報告された後、統計的な処理等をされて匿名性を確保しつつ公表される場合があることについて同意すること。
（10）経済産業省から補助金等指定停止措置または指名停止措置が講じられていない者であること。
（11）本事業における「ＩＴ導入支援事業者」に登録されていない者であること（昨年度の事業においてのみ登録されている場合は、この限りではない）。

＜補助率、補助上限・下限額＞

補助対象経費の区分に対して、補助率を乗じて得られた額の合計について、補助上限・下限額の範囲内で補助されます。

※　補助金は、補助対象者に直接事務局より支払いされます。
※　補助金額の1円未満は切り捨てとなります。

＜導入ITツールの要件と補助対象経費＞

交付申請においては、ＩＴツールを（１つ又は複数）導入することで、フロント業務、ミドル業務およびバックオフィス業務のうちから、２つ以上の機能を持つことが必要条件となります。

＜補助対象経費＞

1.ソフトウェア、クラウドサービス
2.拡張機能／データ連携ソフト
3.HP利用料
4.アカウントID追加／クラウド年間利用料追加
5.保守・サポート費（最大1年分）
6.導入設定、業務コンサル、マニュアル作成、導入研修
7.セキュリティ対策

（※）上記全ての経費において、導入日から 1 年間の費用のみ補助対象。
（※）導入日とは、納品書や導入完了通知に記載の納品日が起点。
（※）導入日について事業実施期間内に開始している必要がある。
（※）1 年未満でＩＴツールの利用を停止した場合、補助金の返還を求められる場合がある。

＜補助対象外経費（体表的なもの）＞

・ハードウェア購入費
・ソフトウェア導入に係るレンタル、リース費用
・ソフトウェアを開発する際の開発基盤のみ
（業務機能を有する SaaS は対象となるが、PaaS、IaaS は対象外）
・OS費用
・特定の業務機能を持たない製品のみの導入
（ただし、業務に特化したアドオンやテンプレート等を付加することで、業務機能を発揮する場合は補助対象となる）
・導入するＩＴツールに大幅な変更を加えるカスタマイズ
・スクラッチ開発（ただし、ホームページ制作は除く）
・既存のホームページの一部機能強化及びコンテンツの追加等
・広告出稿料及びバナー広告購入費用
・補助金申請、報告に係る申請代行費
・公租公課（消費税）

＜一次公募期間＞

・交付申請期間：平成30年4月20日（金）から平成30年6月4日（月）まで

・事業実施期間：交付決定後から平成30年9月14日（金）

このような感じになっております。

また、申請は1申請のみですが、一次公募で不採択となった場合でも、二次公募以降の公募に申請することは可能です。

参考：『平成29年度補正 サービス等生産性向上IT導入支援事業 公募要領（第一次公募）』