----------------------------------------------------------------------
米CISA、CVEプログラムへの資金継続を発表　CVE財団設立により独立運用の検討も（4/22配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国政府、2024年度に実施したサイバーセキュリティ侵害調査結果を公表
・米国NIST、プライバシーフレームワークの改訂草案を公開
・シンガポールサイバーセキュリティ庁、サイバーセキュリティ認証制度を改定
・米CISA、CVEプログラムへの資金継続を発表　CVE財団設立により独立運用の検討も

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年4月10日 英国政府、2024年度に実施したサイバーセキュリティ侵害調査結果を公表
英国政府は、2024年8月から12月にかけて実施した「サイバーセキュリティ侵害調査2025（Cyber Security Breaches Survey 2025）」の結果を公表した。本調査は、英国のサイバーレジリエンスの現状を把握し、国家のサイバーセキュリティ政策策定に資する目的で実施されたものである。
調査結果によれば、企業全体の43%、慈善団体は30%が過去12か月間に何らかのサイバーセキュリティ侵害または攻撃を報告した。これは、前年の2024年の調査結果における50%から減少を示しており、特に小規模の企業におけるフィッシング攻撃の減少が影響している。一方で、中規模および大規模企業においては依然として高い侵害率が報告されている。
加えて、中小企業におけるサイバー衛生の取り組みが進展している。サイバーリスク評価の導入率は41%から48%、サイバー保険の加入率は49%から62%、正式なサイバーセキュリティポリシーの策定率は51%から59%、事業継続計画の策定率は44%から53%へと上昇した。さらに、サイバーセキュリティに対する経営層の関与も高まりを見せており、小規模の企業を含む全体で72%がサイバーセキュリティを優先事項に挙げ、中規模の企業では92%、大企業では96%に達した。
https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2025/cyber-security-breaches-survey-2025

2025年4月15日 米国NIST、プライバシーフレームワークの改訂草案を公開
米国国立標準技術研究所（NIST）は、「プライバシーフレームワーク（Privacy Framework：PFW）」の改訂版となるPFW 1.1の草案を公開した。
本草案は、2024年2月に改訂された「サイバーセキュリティフレームワーク（Cybersecurity Framework：CSF）2.0」との整合性を高め、組織がプライバシーとサイバーセキュリティの両面にわたるリスクを包括的に管理できるようにすることを目的としている。
PFWはCSFと同一の基本構造を採用しており、両フレームワークを併用することで、統一的かつ体系的なガバナンスの実装が可能となる。今回の改訂では、特に「ガバナンス機能（GV）」の強化が図られており、リスク管理戦略およびポリシー策定に関する明確な指針が追加された。
さらに、AI技術の導入拡大を受け、AIツールに関連するプライバシーリスクをPFWを通じて管理するためのセクションが新設された。これにより、AIがもたらす固有のリスクにも対応可能な枠組みとなっている。
また、PFWの利用者支援策として、フレームワークの使用ガイドラインがFAQ形式でオンライン提供されることとなった。これにより、ユーザーは必要な情報に迅速にアクセス可能となり、最新情報への即時反映も可能である。
NISTは本草案に対するフィードバックを広く募っている。
https://www.nist.gov/news-events/news/2025/04/nist-updates-privacy-framework-tying-it-recent-cybersecurity-guidelines

2025年4月16日 シンガポールサイバーセキュリティ庁、サイバーセキュリティ認証制度を改定
シンガポールサイバーセキュリティ庁（CSA）は、同国のサイバーセキュリティ認証制度である「サイバートラストマーク」を改定した。
サイバートラストマークはデジタル化された事業運営を行う組織を対象とした制度で、今回の改訂には組織が従来のITシステムリスクに加え、新たなサイバーリスクにも対応できるよう支援する目的がある。
今回新たに追加されたセキュリティカテゴリは、次の通り。
・クラウドセキュリティ（安全なクラウドの導入・管理を保証し、重要なデータとサービスを保護）
・OTセキュリティ（サイバー脅威からの産業制御システムの保護）
・AIセキュリティ（AI駆動型アプリのセキュリティの確保・AI特有の脆弱性を緩和するのためのベストプラクティスの導入）
https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust

2025年4月16日 米CISA、CVEプログラムへの資金継続を発表　CVE財団設立により独立運用の検討も
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、MITRE社が運営する脆弱性情報データベース「CVE（Common Vulnerabilities and Exposures）」プログラムに関して、11か月間の契約延長を決定した。これにより、CVEプログラムの継続的な運用が確保され、サービスの中断が回避される見通しとなった。背景として、前日の4月15日にMITRE副社長バルスーム氏が、CVEプログラムへの資金が期限切れとなり、連邦政府に契約を更新する意向がみられないと警告する書簡をCVE理事会へ提出したことで、サイバーセキュリティ関係者の多くが懸念を表明していた。
CISA広報担当者は声明の中で「CVEプログラムはCISAの優先事項であり、サイバーコミュニティにとって極めて重要である」と強調し、MITRE社との取り組みを再確認したという。延長期限後の運営に関しては不確定要素が残るが、CISAはその点についての明言を避けている。
CISAの発表と平行し、CVE理事会の有志メンバーらによって非営利団体「CVE財団（CVE Foundation）」の設立が発表された。CVE理事会は、CVEプログラムの運営が単一政府の資金に依存していることは長年の懸念点であったと述べ、CVE財団の設立によって中立的かつ持続可能なガバナンス体制を確立することを目指すとしている。財団の共同設立者でありCVE理事のランドフィールド氏は、CVEプログラムの重要性を強調し、国際的に信頼されるコミュニティ主導の取り組みであり続けることための取り組みだと説明した。財団の体制等の詳細は今後明らかにされる予定。
両者の発表をうけ、MITRE社は、引き続き政府・CVE委員会・セキュリティコミュニティと連携していく予定であるとコメントしている。
https://x.com/CISAgov/status/1912522040935850445
https://www.thecvefoundation.org/
https://therecord.media/cisa-extends-cve-program-contract-with-mitre
https://www.nextgov.com/cybersecurity/2025/04/mitre-backed-cyber-vulnerability-program-lose-funding-wednesday/404585/

----------------------------------------------------------------------
【3】4月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年4月3日 Hornetsecurity、仏大手メールセキュリティプロバイダーAltospamを買収
2025年4月15日 インドInfosys、オーストリアのセキュリティ企業The Missing Linkを買収