----------------------------------------------------------------------
NIST、鍵確立推奨規格の見直しを決定—学術界でもQ-Day前倒しを示唆する論文（4/7配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・NIST、サイバーセキュリティフレームワーク2.0クイックスタートガイド2本を公開
・欧州委員会、Europaウェブプラットフォームへのクラウド攻撃でデータ流出を確認
・NIST、鍵確立推奨規格の見直しを決定——学術界でもQ-Day前倒しを示唆する論文
・FBI、中国系ハッカーによる国内監視システム侵害を「重大インシデント」認定

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2026年3月24日 NIST、サイバーセキュリティフレームワーク2.0のクイックスタートガイド2本を公開
米国国立標準技術研究所（NIST）は3月24日、サイバーセキュリティフレームワーク（CSF）2.0の実装を支援するクイックスタートガイドとして、SP 1308「CSF 2.0: Cybersecurity, Enterprise Risk Management, and Workforce Management Quick-Start Guide」最終版とSP 1347「Informative References Quick-Start Guide」初期公開ドラフトの2本を同時公開した。
SP 1308は、サイバーセキュリティリスク管理・全社的リスク管理（ERM）・人材管理の3概念を統合し、リスクに基づくコミュニケーション改善や要員計画の立案を支援するもの。
SP 1347は、CSF 2.0の各成果（Outcome）に対して参照情報がどのように貢献するかを解説するガイドで、AI活用ツールの概要と実用例2件を含む。SP 1347初期公開ドラフトは2026年5月6日まで意見公募中。
https://www.nist.gov/news-events/news/2026/03/nist-releases-two-new-csf-20-quick-start-guides

2026年3月24日 欧州委員会、Europaウェブプラットフォームへのクラウド攻撃でデータ流出を確認
欧州委員会（EC）はEuropa.euウェブプラットフォームをホスティングするAWSクラウドインフラに対してサイバー攻撃が発生し、一部のウェブサイトからデータが流出したことを確認した。脅威グループ「ShinyHunters」が犯行を主張し、350GB超のデータを窃取したと主張している。
ECによれば、委員会の内部システムへの影響はなく、攻撃は迅速に封じ込められEuropaウェブサイトの可用性も維持された。ECは影響を受けた可能性のあるEU機関への通知を進めており、EU機関・機構・団体向けコンピュータ緊急対応チーム（CERT-EU）が技術的な推奨事項を公表した。
本件はECにとって年内2度目の侵害事案となる。ECは引き続き本件に関する調査を継続している。
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_748
https://techcrunch.com/2026/03/27/european-commission-confirms-cyberattack-after-hackers-claim-data-breach/

2026年3月31日 NIST、鍵確立推奨規格の見直しを決定——学術界でもQ-Day前倒しを示唆する論文
米国立標準技術研究所（NIST）は3月、ポスト量子暗号（PQC）移行を見据え、鍵確立推奨規格SP 800-56シリーズ3本の見直しを決定した。SP 800-56Ar3（離散対数暗号を用いるペアワイズ鍵確立）は楕円曲線暗号（ECC）のx座標のみ実装を承認しSP 800-186との整合性を確保、SP 800-56Cr2（鍵導出方法）は承認済みの鍵カプセル化メカニズム（KEM）からの共有秘密の組み込みと二段階鍵導出でのKMAC（Keccakメッセージ認証コード）承認を追加する。いずれも暗号アジリティ強化を念頭に置いた対応で、NISTは2030年以降に量子脆弱アルゴリズムを非推奨化する方針をすでに示している。
こうした標準化の動きと並行して、学術・研究機関からもQ-Dayタイムラインの前倒しを示唆する論文が3本相次いで発表されている。Google Quantum AI（2025年5月）はRSA-2048解読に必要なqubit数を100万未満に、シドニーのIceberg Quantum（2026年2月）はさらに10万未満に圧縮。さらにGoogle Quantum AI（2026年3月）は楕円曲線暗号（256ビットECDLP）を50万qubit未満かつ数分以内に解読可能と示した。2019年時点の推定約2,000万qubitから10年余りで100分の1以下に圧縮されたことになる。3本目の論文は安全上の懸念から攻撃回路を非公開とし、正当性のゼロ知識証明のみを公開するという前例のない対応を取った。現時点では量子コンピュータは数千〜数万qubit規模にとどまり、即座の脅威ではないとされる。しかし各論文が示す進歩は量子誤り訂正・qubit密度・演算効率化といった独立した技術領域で同時に生じており、専門家は「残る障壁はエンジニアリング上の問題のみ」と警戒感を強めている。
https://csrc.nist.gov/News/2026/nist-to-revise-key-establishment-recommendations
https://thequantuminsider.com/2026/03/31/q-day-just-got-closer-three-papers-in-three-months-are-rewriting-the-quantum-threat-timeline/

2026年4月1日 FBI、中国系ハッカーによる国内監視システム侵害を「重大インシデント」認定
米連邦捜査局（FBI）は4月1日、同局の未分類の法執行監視システムが中国系ハッカーに侵害された事案を、連邦情報セキュリティ近代化法（FISMA）に基づく「重大インシデント（Major Incident）」に認定し、議会に正式通知した。異常なログ活動として最初に検知されたのは2026年2月17日。
侵害されたのはFBIのデジタル収集システムネットワーク（DCSNet）内のペンレジスタ・トラップ＆トレース監視業務を担うシステム「DCS-3000（通称：Red Hook）」とされる。法的令状に基づく通話・通信の監視に用いられる未分類インフラであり、流出した電話番号や個人情報から米国の諜報監視対象者が特定されるリスクがある。攻撃は商用インターネットサービスプロバイダのインフラを悪用したサプライチェーン型の手法が用いられ、過去に米国の主要通信事業者8社を侵害した「Salt Typhoon」と同様の戦術・技術・手順（TTPs）が確認されたとウォール・ストリート・ジャーナルが報じている。
本件は調査継続中。政府職員の大幅削減が進む中、専門家は連邦政府の攻撃対象領域が拡大していると指摘しており、中国系アクターがこの状況を認識しているとみている。
https://www.nbcnews.com/news/us-news/fbi-labels-suspected-china-hack-law-enforcement-data-major-cyber-incid-rcna266495
https://www.nextgov.com/cybersecurity/2026/04/suspected-chinese-breach-fbi-system-exposed-surveillance-targets-phone-numbers/412612/

----------------------------------------------------------------------
【3】M&A/IPO情報詳細
----------------------------------------------------------------------
2026年3月2日 Zurich保険グループ、英国Beazleyを約110億ドル（約1兆7,050億円）で買収へ。サイバー保険事業を強化
2026年3月17日 クラウドセキュリティスタートアップNative、4,200万ドル（約65億円）を調達（Ballistic Ventures主導）。AWSベテランが創業、マルチクラウド・AIインフラのセキュリティ統合制御基盤を開発
2026年3月23日 Airbus、英国Ultra Cyber Ltdの買収に合意。英国国防省向け暗号化・データセキュリティ事業を強化
2026年3月24日 Databricks、AntimatterおよびSiftD.aiを買収しAI対応SIEM「Lakewatch」を発表
2026年3月31日 AIセキュリティスタートアップのTenex.ai、Crosspoint Capital主導で2億5,000万ドル（約387億円）を調達