----------------------------------------------------------------------
8カ国がAI/MLサプライチェーンのセキュリティに関する共同ガイダンスを公表（3/17配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、CIRCIA最終規則の公布を2026年5月以降に延期
・米GAO、サイバーセキュリティ規制の調和に関する報告書を公表
・ENISA、パッケージマネージャの安全な利用に関する技術アドバイザリを公表
・8カ国がAI/MLサプライチェーンのセキュリティに関する共同ガイダンスを公表
・Meta、Instagramのエンドツーエンド暗号化チャット機能を5月に廃止へ

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2026年3月3日 米国CISA、CIRCIA最終規則の公布を2026年5月以降に延期
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、重要インフラ事業者にサイバーインシデントの報告を義務付ける「サイバーインシデント報告法」（Cyber Incident Reporting for Critical Infrastructure Act: CIRCIA）の最終規則について、当初2025年9月を予定していた公布時期を2026年5月以降に延期した。提案規則に対して数百件の意見が寄せられ、「対象事業者」の定義の広さと「対象サイバーインシデント」の範囲に関する業界からの反発が主な要因である。
最終規則では、対象事業者はサイバーインシデント発見から72時間以内にCISAへ報告し、身代金の支払いについては24時間以内に通知することが求められる。報告には技術的詳細、不正アクセスの内容、タイムライン、業務への影響、悪用された脆弱性、攻撃者の戦術・技術・手順（TTPs）、侵害指標（IoC）、および対処措置の記載が必要となる。CISAの分析によれば、規模基準のみで約3万の事業者が対象に含まれる見込みであり、業界からはその広範さに懸念が示されている。なお、政府シャットダウンの影響で2026年3〜4月に予定されていた意見聴取会（タウンホール）も延期されている。
https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
https://www.dwt.com/blogs/privacy--security-law-blog/2026/02/cisa-seeks-input-cybersecurity-reporting-rules

2026年3月5日 米GAO、サイバーセキュリティ規制の調和に関する報告書を公表
米国会計検査院（GAO）は、サイバーセキュリティ規制の調和（ハーモナイゼーション）に関する業界の見解をまとめた報告書（GAO-26-108685）を公表した。同報告書は、業界関係者を招いたパネルディスカッションの結果をまとめたもので、複数の連邦規制枠組みが重複・矛盾することで企業に過大な負担が生じている実態を明らかにしている。
参加者からは、類似の管理策や報告要件を定めながら細部が異なる規制が併存し、冗長な作業や混乱を招いているとの指摘が相次いだ。特に、インシデント報告に関する詳細度・期限・閾値が機関ごとに異なる点が技術的な負担として挙げられた。また、コンプライアンス対応に費やす時間が、本来のインシデント対応やセキュリティ基盤の強化に充てるべきリソースを圧迫しているとの声もあった。小規模企業は専任のサイバーセキュリティチームを持たないことが多く、大企業と同等の要件を課されることで不利な立場に置かれるとの懸念も示された。改善策として、セクターごとに単一の報告窓口を設けることや、2015年サイバーセキュリティ情報共有法の更新・改正などが提案された。
https://www.gao.gov/products/gao-26-108685

2026年3月10日 ENISA、パッケージマネージャの安全な利用に関する技術アドバイザリを公表
欧州連合サイバーセキュリティ機関（ENISA）は、ソフトウェア開発におけるパッケージマネージャの安全な利用に関する技術アドバイザリを公表した。同文書は、開発者がサードパーティのパッケージを開発ワークフローに組み込む際のセキュリティリスクと対策を体系的にまとめたものである。
npmやpip、Mavenなどのパッケージマネージャーは、外部ライブラリやソフトウェア部品を容易に導入できることから、現代のソフトウェア開発に不可欠な存在となっている。一方で、第三者パッケージの利用はソフトウェアサプライチェーンの新たな攻撃経路となり得ることから、依存関係を通じた脆弱性拡散や悪意あるコードの混入などのリスクが指摘されている。
アドバイザリでは、サードパーティパッケージの利用に伴う一般的なリスクの特定、パッケージの選定・統合・監視における安全な実践方法、および依存関係に含まれる脆弱性への対処アプローチの3つを主な柱として提示している。EUのサイバーレジリエンス法（Cyber Resilience Act: CRA）の実装が進む中、ソフトウェアサプライチェーンの安全性確保は喫緊の課題となっており、本アドバイザリはその実務的な指針を提供するものである。
https://www.enisa.europa.eu/publications/enisa-technical-advisory-for-secure-use-of-package-managers

2026年3月13日 8カ国がAI/MLサプライチェーンのセキュリティに関する共同ガイダンスを公表
カナダ・サイバーセキュリティセンター（CCCS）を主導機関として、豪州、日本、ニュージーランド、韓国、シンガポール、英国、米国の8カ国のサイバーセキュリティ機関が、AI（人工知能）およびML（機械学習）のサプライチェーンに関する共同ガイダンスを公表した。同ガイダンスは、組織がAI技術を導入する際にサプライチェーン上で生じうる脆弱性を理解し、適切なリスク軽減策を講じるための指針を示すものである。
ガイダンスでは、訓練データ、モデル、ソフトウェアライブラリなどのサードパーティ由来のコンポーネントに潜むリスクを重点的に取り上げている。具体的には、データポイズニング（可用性・標的型・バックドア型）によるモデルの汚染、悪意あるモデルの混入、依存ライブラリの脆弱性などが挙げられている。AIツールは業務効率の向上に寄与する一方、管理が不十分なサプライチェーンは深刻なセキュリティリスクをもたらすと警告している。日本を含む8カ国の共同署名は、AI/MLセキュリティが国際的な政策課題として認識されていることを示すものである。
https://www.cyber.gc.ca/en/news-events/joint-guidance-supply-chain-risks-mitigations-artificial-intelligence-machine-learning
https://www.cyber.gov.au/business-government/secure-design/artificial-intelligence/artificial-intelligence-and-machine-learning-supply-chain-risks-and-mitigations

2026年3月13日 Meta、Instagramのエンドツーエンド暗号化チャット機能を5月に廃止へ
Meta Platforms（以下、Meta）は、Instagram のダイレクトメッセージ（DM）におけるエンドツーエンド暗号化（E2EE）機能のサポートを、2026年5月8日をもって終了すると発表した。同社は廃止の理由として「利用者のオプトイン率が非常に低い」ことを挙げ、暗号化メッセージの利用を希望するユーザーにはWhatsAppへの移行を推奨している。
Instagram DM向けのE2EE機能は、2021年にマーク・ザッカーバーグCEOが掲げた「プライバシー重視のソーシャルネットワーキング」構想の一環としてテスト導入されたものである。しかし、デフォルト設定ではなくオプトイン方式にとどまったことから普及が進まなかった。プライバシー擁護団体からは、暗号化機能の縮小はユーザーのプライバシー保護の後退にあたるとの批判が出ている。影響を受けるチャットの利用者には、メディアやメッセージのダウンロード方法に関する案内が送付される予定である。
https://help.instagram.com/491565145294150
https://thehackernews.com/

----------------------------------------------------------------------
【3】M&A/IPO情報詳細
----------------------------------------------------------------------
2026年3月2日 Zurich保険グループ、英国Beazleyを約110億ドル（約1兆7,050億円）で買収へ。サイバー保険事業を強化
2026年3月11日 Alphabet、クラウドセキュリティ企業Wizの買収を320億ドル（約4兆9,600億円）で完了
2026年3月11日 イタリアの防衛大手Leonardo、英国の防衛向けサイバーセキュリティ企業Becryptを買収へ