----------------------------------------------------------------------
米国CISAら、OTへのAIの安全な統合に関する原則を発表（12/16配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISAら、OTへのAIの安全な統合に関する原則を発表
・ポルトガル政府、サイバー犯罪法を改正し「倫理的ハッキング」を適法化
・英国政府、中国拠点企業2社をサイバー攻撃への関与で制裁
・英国NCSC、生成AIの脆弱性に関する誤解に注意喚起

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年12月3日 米国CISAら、OTへのAIの安全な統合に関する原則を発表
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）とオーストラリア信号局（ASD）傘下のサイバーセキュリティセンター（ACSC）は、複数の国際パートナー機関と共同で「運用技術（OT）におけるAI安全統合のための原則」を公開した。重要インフラを支えるOT環境にAIを導入する際のリスク管理を支援することを目的としている。
ガイドラインでは、AIがOTのパフォーマンス向上に寄与する一方で、攻撃対象領域（アタックサーフェス）を拡大させるリスクがあるとし、4つの主要原則（理解・評価・統治・安全確保）を提示した。具体的には、AI特有のリスクに関する組織的な理解と教育、OT環境への適用可否やデータ管理の評価、適切なガバナンス体制の構築、そしてモデルの検証と透明性の確保などが求められる。
本ガイダンスは、特に大規模言語モデル（LLM）や機械学習（ML）の利用を念頭に策定された。組織は、AIシステムのライフサイクル全体を通じて、既存のインシデント対応計画への統合を行うなど、慎重かつ責任ある導入プロセスを経ることが不可欠であるとしている。
https://www.cisa.gov/news-events/news/new-joint-guide-advances-secure-integration-artificial-intelligence-operational-technology
https://www.cisa.gov/sites/default/files/2025-12/joint-guidance-principles-for-the-secure-integration-of-artificial-intelligence-in-operational-technology-508c.pdf

2025年12月4日 ポルトガル政府、サイバー犯罪法を改正し「倫理的ハッキング」を適法化
ポルトガル政府は、「2009年サイバー犯罪法」を改正し、一定の厳格な条件下における「倫理的ハッキング」を合法と定める措置を講じた。この改正は、EUのNIS2指令を参照したもので、善意のセキュリティ研究に法的保護を与え、責任ある脆弱性発見を促進することを目的としている。
新設された第8条A項では、脆弱性を特定・報告することを目的とする場合に限り、従来は違法とされていたシステムへのアクセスやデータ傍受などの一部行為の免責が規定された。免責の適用には、経済的利益の追求禁止（脆弱性の売買等）、個人データの保護、破壊的な手法の不使用、行為の最小化、および発見した脆弱性の迅速な報告と守秘義務の遵守といった厳格な条件が求められる。こうした倫理的ハッキングを保護する法的枠組みは、既に米国やドイツなどで導入されており、英国でも同様の免除規定が検討されている。
https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401 https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=pt

2025年12月9日 英国政府、中国拠点企業2社をサイバー攻撃への関与で制裁
英国政府は、世界80カ国以上の政府および民間ITシステムを標的とした無差別なサイバー攻撃に関与したとして、中国に拠点を置く技術企業「i-Soon」および「Integrity Tech」の2社に対する制裁措置を発表した。
発表によると、i-Soonは各国のネットワークへの直接的な攻撃に加え、第三者の悪意ある活動を支援していたとみられる。一方、Integrity Techは秘匿されたサイバーネットワークを運用し、攻撃活動に対する技術的な支援を行った疑いが持たれている。英国政府は、これらの企業が中国国家と連携するサイバー産業の一角を形成しており、その活動は国連の合意するサイバー空間の責任ある行動規範に違反し、国際社会の安定を脅かすものであると非難した。
今回の措置は、同年8月に明らかとなった攻撃グループ「Salt Typhoon」に関連する企業への追及に続くものである。英国は、中国企業による脅威が広範に及んでいる実態が浮き彫りになったとして、責任あるサイバー行動を求める国際的な枠組み作りを主導していく姿勢を改めて示した。
https://www.gov.uk/government/news/uk-clamps-down-on-china-based-companies-for-reckless-and-irresponsible-activity-in-cyberspace

2025年12月10日 英国NCSC、生成AIの脆弱性に関する誤解に注意喚起
英国の国家サイバーセキュリティセンター（NCSC）は、生成AIアプリにおけるプロンプトインジェクションの脆弱性が、従来のSQLインジェクションと同様に解決可能であると誤解されている現状について注意喚起をおこなった。
NCSCは、SQLインジェクションがデータと命令を明確に分離することで防止できるのに対し、大規模言語モデル（LLM）はこの区別が構造的に不可能であると指摘した。そのため、プロンプトインジェクションをSQLと同様の手法で完全に防止できるという誤った認識に基づく対策では、過去のSQL攻撃以上の被害を招き、企業や国民に長期的な影響を与える恐れがあるとしている。
この課題に対し、NCSCは「セキュア・バイ・デザイン」の原則に基づく設計と、AIサプライチェーン全体のレジリエンス強化を推奨した。AIシステムの設計者や運用者に対しては、制御可能な変数を適切に管理し、積極的なリスク管理基準を導入するよう求めている。
https://www.ncsc.gov.uk/news/mistaking-ai-vulnerability-could-lead-to-large-scale-breaches

----------------------------------------------------------------------
【3】12月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年12月2日 ServiceNow、AIによるIDセキュリティ強化のためVezaを買収
2025年12月2日 イスラエルのフォレンジック企業Cellebrite、仮想化技術のCorelliumを1億7千万ドル（約264億円）で買収
2025年12月8日 Proofpoint、中小企業向けM365プロバイダのHornetsecurityを18億ドル（約2,800億円）で買収