----------------------------------------------------------------------
ENISA、2025年版「脅威動向レポート」を公表（10/8配信）
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・デンマーク当局、EU全域におけるGDPRの経済的価値を強調
・米国CISA、国際パートナーとOTアーキテクチャに関する共同ガイダンスを発表
・米カリフォルニア州プライバシー保護庁、CCPA違反で小売業者に過去最大135万ドルの罰金
・ENISA、2025年版「脅威動向レポート」を公表
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年9月29日 デンマーク当局、EU全域におけるGDPRの経済的価値を強調
デンマークのデータ保護監督機関は、フランス国家情報自由委員会（CNIL）が実施した調査結果について、EU全域に適用可能な知見であるとの見解を発表した。CNILの報告によれば、一般データ保護規則（GDPR）を単なる遵守義務ではなく「投資」として捉える企業が、長期的に最大の利益を享受する可能性が高いとされる。特に、なりすまし防止策の強化により、EU域内の企業は最大で14億ユーロ規模の損害を回避したと報告されている。さらに、データ活用を主軸とする産業では顕著な経済的利益が確認され、中小企業においても公共調達の機会増加や顧客からの信頼獲得といった形でGDPRの恩恵を受けている。市民にとっても、個人データの管理体制が強化されることで信頼性が向上し、GDPRが社会全体にポジティブな影響を及ぼしていると結論づけられている。
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/gdpr-indebaerer-ogsaa-gevinster-for-virksomheder-og-borgere
2025年9月29日 米国CISA、国際パートナーとOTアーキテクチャに関する共同ガイダンスを発表
米国CISAは、FBIや英国、カナダ、オーストラリア、ドイツ、オランダ、ニュージーランドの国際パートナーと協力して、運用技術 (OT) アーキテクチャの明確なビューの作成と維持に関する共同ガイダンスを公開した。この共同ガイダンスは、 OT組織がシステムの理解を構築、維持、保存するために活用できる原則に基づくアプローチを定義している。これは、グリーンフィールドおよびブラウンフィールド導入におけるOT組織で働くサイバーセキュリティ専門家を対象としており、以下の原則が含まれている。
原則1：確定的な記録を確立し維持するためのプロセスを定義する
原則2：OT情報セキュリティ管理プログラムの確立
原則3：情報に基づいたリスクベースの意思決定を支援するために資産を特定し、分類する
原則4: OTシステム内の接続性の識別と文書化
原則5: OTシステムに対するサードパーティのリスクを理解し、文書化する
https://www.cisa.gov/resources-tools/resources/creating-and-maintaining-definitive-view-your-operational-technology-ot-architecture
https://www.ncsc.gov.uk/collection/operational-technology/definitive-architecture-view
https://www.cyber.gc.ca/en/news-events/joint-guidance-creating-maintaining-definitive-view-your-operational-technology-architecture
2025年9月30日 米カリフォルニア州プライバシー保護庁、CCPA違反で小売業者に過去最大135万ドルの罰金
カリフォルニア州プライバシー保護庁（CPPA）は、米国の小売業者であるトラクターサプライ社に対し、カリフォルニア消費者プライバシー法（CCPA）違反を理由に135万米ドルの罰金を科した。これはCPPAがこれまでに科した制裁金としては最大規模である。調査によれば、同社は消費者および求職者に対して、適切なプライバシー通知の提供や、権利に関する告知を行っていなかった。また、オプトアウト手段が不十分であったほか、プライバシー保護条項を含む契約の締結も怠っていたことが判明した。
加えて、CPPAは再発防止のための是正措置として、同社に対し今後4年間にわたり、毎年の技術監査およびコンプライアンス認証を含む厳格な監視義務を課している。
https://cppa.ca.gov/announcements/2025/20250930.html
2025年10月1日 ENISA、2025年版「脅威動向レポート」を公表
欧州連合サイバーセキュリティ機関（ENISA）は、「脅威動向レポート（ENISA Threat Landscape）」の2025年版を公表した。複数の脅威グループがツールや手法を再利用しながら新たな攻撃モデルを導入し、EUのデジタルインフラの脆弱性を悪用するための協力体制をとっていると警告を発している。
今回のレポートでは、2024年7月1日から2025年6月30日までの間に発生した4,875件のインシデントを対象に、より脅威中心のアプローチと状況に基づいた分析が行われた。EUが現在直面しているサイバー脅威の最も顕著な傾向とトレンドが網羅的にまとめられている。
インシデントの種類としては、DDoS攻撃が最も多く、報告されたインシデントの77%を占めた。その大部分はハクティビスト（政治的・社会的目的で活動するハッカー）によるものである。また、最も影響が大きい脅威は、ランサムウェアと特定された。また、侵入経路として、フィッシング（60%）と脆弱性の悪用（21.3%）が主な手段として報告されている。セクター別分析では、EUの重要インフラにおける構造的な標的ポイントが明らかになった。
公共行政（38.2%）、運輸（7.5%）、デジタルインフラ・サービス（4.8%）、金融（4.5%）、製造業（2.9%）と続き、これらの上位セクターは、EUのNIS2指令（サイバーセキュリティに関する指令）で定義された「重要事業体」に該当し、全体のインシデントの53.7%に関連している。
https://www.enisa.europa.eu/news/etl-2025-eu-consistently-targeted-by-diverse-yet-convergent-threat-groups#contentList
----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年9月3日 イスラエルCato Networks、同国のAIセキュリティ企業Aim Securityを買収
2025年9月9日 三菱電機、OT/IoTサイバーセキュリティソリューションを提供するNozomi Networksを買収
2025年9月16日 Check Point、米国とスイスを拠点とするAI企業Lakeraを買収
2025年9月16日 レッドチーム向けトレーニングを提供するHack The Box、ブルーチーム向けトレーニングを提供するLetsDefendを買収
2025年9月22日 ブラジルUnico、パスキー認証の拡大のためサンフランシスコに拠点を置くOwnIDを買収