----------------------------------------------------------------------
米国ホワイトハウス、AI規制の連邦統一に向けた大統領令に署名（12/23配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国ホワイトハウス、AI規制の連邦統一に向けた大統領令に署名
・米国CISA、分野横断型サイバーセキュリティ目標の最新版「CPG 2.0」を公開
・英国NCSC、サプライチェーンを狙うサイバー脅威に備えるためにCyber Essentials導入実践ガイド
・米国NIST、AIサイバーセキュリティプロファイル「NISTIR 8596」草案を公表
・米国NIST、「テレヘルスとスマートホーム統合におけるサイバーセキュリティリスク軽減ガイドライン」を発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年12月11日 米国ホワイトハウス、AI規制の連邦統一に向けた大統領令に署名
米国トランプ大統領は、AIに関する規制を連邦全域で統一し、州ごとの異なる規制を排除するための大統領令に署名した。州法による規制の断片化が米国のイノベーションを阻害しているとの懸念を解消する狙いがある。
本大統領令に基づき、司法省には「AI訴訟タスクフォース」が設置され、過度に制限的な州法や違憲の疑いがある規制への法的対抗措置を主導する。また、商務省に対しては、連邦のAI政策と矛盾する規制を導入する州への連邦資金提供を制限するよう求めた。さらに、連邦取引委員会および連邦通信委員会に対し、州がAI企業に対して特定のイデオロギーや多様性・公平性・包括性（DEI）要件を強制することを防ぐための基準策定を指示している。
全米では1,000件以上のAI関連法案が提出されており、企業にとって対応コストの増大が課題となっていた。政権はこれを「常識的なAI政策（Common Sense AI Policy）」の一環と位置づけ、5月に成立したディープフェイク対策法「Take It Down Act」などの既存施策と同様に、統一された連邦基準の確立により国際的な競争力を維持する目論見。
https://www.whitehouse.gov/fact-sheets/2025/12/fact-sheet-president-donald-j-trump-ensures-a-national-policy-framework-for-artificial-intelligence/

2025年12月11日 米国CISA、分野横断型サイバーセキュリティ目標の最新版「CPG 2.0」を公開
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、分野横断型サイバーセキュリティ実践目標の最新版となる「Cross-Sector Cybersecurity Performance Goals（CPG）2.0」を公開した。
本改訂は、NISTサイバーセキュリティフレームワーク2.0（NIST CSF 2.0）との整合性を図るとともに、過去3年間の運用から得られた知見を反映したもの。中小規模の組織でも導入しやすいよう、リスク低減に高い効果が見込める対策に絞り込み、説明責任が担保しやすくなっている。
CPG 2.0 の実践目標には、新たに経営層の関与を重視する「統制（Govern）」機能が追加されたほか、IT・OT・IoTを統合した共通目標として再編された。さらに、サプライチェーンリスク、ゼロトラスト、インシデント対応や情報共有といった新たな脅威に対応するための指針も拡充された。これらには技術部門と経営層の橋渡し機能として、戦略的な投資判断と組織全体のサイバーレジリエンス強化を支援する狙いがある。
https://www.cisa.gov/news-events/news/cisa-unveils-enhanced-cross-sector-cybersecurity-performance-goals
https://www.cisa.gov/cybersecurity-performance-goals-2-0-cpg-2-0

2025年12月12日 英国NCSC、サプライチェーンを狙うサイバー脅威に備えるためにCyber Essentials導入実践ガイド
英国国家サイバーセキュリティセンター（NCSC）は、サプライチェーンを標的としたサイバー攻撃のリスクに対処するため、実践的ガイド「Cyber Essentials Supply Chain Playbook」を公開した。本ガイドは、英国政府が推奨する認証制度「Cyber Essentials」をサプライヤー要件として組み込むことで、組織全体のセキュリティ水準を確保することを目的としている。
NCSCの調査によると、直接の取引先が直面するサイバーリスクを把握している企業はわずか14％にとどまっており、サプライチェーンにおける対策の遅れが課題となっている。これを受け、本ガイドでは、リスク評価、サプライヤーのプロファイル化、要件設定、調達プロセスへの統合、導入状況の監視といった一連のプロセスを段階的に解説し、企業がサプライヤーに対してCyber Essentialsの取得を促すための具体的な手順を示している。
NCSCは、Cyber Essentialsを共通の保証基準として採用することで、攻撃リスクの低減だけでなく、調達時のデューデリジェンスの効率化や企業全体のレジリエンス向上に寄与すると説明している。また、これにより英国経済全体の信頼性が強化されることが期待されている。
https://www.ncsc.gov.uk/information/cyber-essentials-supply-chain-playbook

2025年12月16日 米国NIST、AIサイバーセキュリティプロファイル「NISTIR 8596」草案を公表
米国国立標準技術研究所（NIST）は、組織がAIを安全に導入するための指針として「サイバーAIプロファイル草案（NISTIR 8596）」を公表した。本草案は、NISTのサイバーセキュリティフレームワーク（CSF 2.0）をAI分野に適用し、AI導入に伴うサイバーリスクへの対応策を整理したものである。組織がAI活用とサイバーセキュリティ目標を整合させ、リスクを理解した上で戦略的に導入することを支援する狙いがある。
同ガイドラインは、以下の3つの重点領域を中心に構成されている。
（1）AIシステムの保護（Secure）：AI導入に伴う技術的なセキュリティ課題への対応
（2）AIを活用した防御（Defend）：AIを用いてサイバー防御を強化する方法
（3）AIを悪用した攻撃への対策（Thwart）：AIに起因する新たな脅威への備え
草案に対するパブリックコメントは45日間受け付けられ、寄せられた意見をもとに2026年に改訂版が公開される予定である。最終版では、AIリスク管理フレームワークなど他のNISTリソースとの整合性も強化される見通しとなっている。
https://www.nist.gov/news-events/news/2025/12/draft-nist-guidelines-rethink-cybersecurity-ai-era

2025年12月17日 米国NIST、「テレヘルスとスマートホーム統合におけるサイバーセキュリティリスク軽減ガイドライン」を発表
米国国立標準技術研究所（NIST）は、スマートスピーカーを利用した在宅医療（HaH：Hospital at Home）におけるサイバーセキュリティおよびプライバシーの脅威とその対策をまとめた新たなガイドラインを発表した。通院が困難な患者向けの在宅医療においてスマートホーム機器の活用が進む一方で、これらの機器は推奨されるデータ保護機能を備えていない場合が多く、患者の機密情報が攻撃者に漏洩・改ざんされるリスクが懸念されていた。
本ガイドラインでは、暗号化されていない音声データの傍受、データの改ざんによる情報の信頼性低下、サービス拒否（DoS）による利用停止、音声コマンドの改変、不正アクセスによるデバイス侵害などの具体的な脅威シナリオが想定されている。これらに対し、NISTサイバーセキュリティフレームワーク（CSF）2.0やプライバシーフレームワークに基づき、通信の暗号化、アクセス制御の徹底、機器間のネットワーク分離といった対策が推奨されている。
これらの内容は主に技術者を対象としたものであるが、患者が安全な遠隔医療環境を理解し利用する上でも有益な指針となると位置付けられている。
https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines
https://www.nccoe.nist.gov/healthcare/mitigating-cybersecurity-risk-telehealth-smart-home-integration

----------------------------------------------------------------------
【3】12月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年12月2日 ServiceNow、AIによるIDセキュリティ強化のためVezaを買収
2025年12月2日 イスラエルのフォレンジック企業Cellebrite、仮想化技術のCorelliumを1億7千万ドル（約264億円）で買収
2025年12月8日 Proofpoint、中小企業向けM365プロバイダのHornetsecurityを18億ドル（約2,800億円）で買収