----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「セキュリティ対策の"はじめの一歩"をAIが支えるーSCS評価制度の普及に向けてー」
・米国MITRE、不正詐欺対策フレームワーク「Fight Fraud Framework」を公開
・米国NIST、非雇用型小規模事業者向けサイバーセキュリティガイド改訂草案を公開
・米国NIST、CVE提出数の急増を受けNVDの脆弱性エンリッチメント運用を大幅見直し
・欧州通信標準化機関、EU CSA2の「高リスク国企業排除」条項へ反対声明
・米国NIST、暗号鍵確立推奨事項（SP 800-56）にPQC対応の改訂方針

----------------------------------------------------------------------
【2】JCICコラム 「セキュリティ対策の"はじめの一歩"をAIが支えるーSCS評価制度の普及に向けてー」
----------------------------------------------------------------------
経産省が導入するSCS評価制度の普及に向けて、セキュリティリソースが限られる中小企業等が自己宣言や自己評価を進めるうえで、生成AIやAIエージェントがどのような役割を果たしうるか、その可能性を探った。あわせて、行政によるプロンプト例・活用ガイドラインの整備や専用ツールの提供など、制度の実効性を高めるための提言を行う。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2026年4月9日 米国MITRE、不正詐欺対策フレームワーク「Fight Fraud Framework」を公開
MITREの脅威情報防衛センター（CTID：Center for Threat-Informed Defense）は、金融詐欺対策を目的とした行動ベースの新フレームワーク「Fight Fraud Framework（F3）」を公開した。サイバー防御と詐欺調査という組織内で分断されがちな2つの機能に共通の分析言語と構造を提供するもので、実際の詐欺インシデントから導出された戦術・技術の体系をまとめたものである。
F3はMITRE ATT&CKと同様の構成を採りながら、詐欺特有の2戦術を新たに追加している。「Positioning」は初期アクセス後に攻撃者が被害者の環境でデータ収集や実行準備を行う段階を、「Monetization」は盗取した資産を実際の価値に換金・流用する行動を指す。偵察・リソース開発・初期アクセス等の戦術はATT&CKと共通化されており、既存のサイバーインテリジェンス基盤との連携が容易に設計されている。
シティグループ、JPMorganChase、ロイズ・バンキング・グループ、スタンダードチャータード銀行、CrowdStrike、FS-ISAC、全米小売業協会（NRF）等10以上の主要機関が共同で開発に参加し、GitHub上で無償公開されている。
https://ctid.mitre.org/blog/2026/04/09/fraud-fighters-unite-with-mitre-f3/
https://ctid.mitre.org/fraud

2026年4月14日 米国NIST、非雇用型小規模事業者向けサイバーセキュリティガイド改訂草案を公開
米国国立標準技術研究所（NIST）は、従業員を持たない非雇用型小規模事業者（non-employer firms）を対象としたサイバーセキュリティガイドの改訂公開草案「CSWP 50」（旧：NIST IR 7621 Rev.2）を公開した。本草案はNISTサイバーセキュリティフレームワーク2.0（CSF 2.0）に基づき、個人事業主・フリーランサー・独立系請負業者等が日常業務で実践できるサイバーセキュリティ対策を体系的に解説したものである。
改訂では対象範囲を専任IT担当者を持たない事業者に絞り込むとともに、情報セキュリティ一般からサイバーセキュリティに特化した内容に刷新した。米国では全中小企業の約82%（約3,480万社）が非雇用型事業者であり、サプライチェーンの末端を担うこれらの事業者のセキュリティ底上げを図る狙いがある。パブリックコメントは2026年5月14日まで受け付けている。
https://csrc.nist.gov/News/2026/small-business-cybersecurity-non-employer-firms
https://csrc.nist.gov/pubs/cswp/50/small-business-cybersecurity-non-employer-firms/ipd

2026年4月15日 米国NIST、CVE提出数の急増を受けNVDの脆弱性エンリッチメント運用を大幅見直し
米国国立標準技術研究所（NIST）は、国家脆弱性データベース（NVD：National Vulnerability Database）の運用方針を大幅に変更し、リスクベースのトリアージモデルへ移行することを発表した。CVE（共通脆弱性識別子）の提出件数が2020年から2025年の間に263%増加し、NISTが2025年に処理したCVEは4万2,000件にのぼるが、増加速度への対応が限界に達したことが背景にある。
新方針では、CISAの既知悪用脆弱性カタログ（KEV：Known Exploited Vulnerabilities Catalog）に掲載されたCVEを受領から1営業日以内に最優先でエンリッチメント（CVSSスコア付与・CPE情報追加等）する。次に連邦政府使用ソフトウェアおよび大統領令14028が定義する重要ソフトウェアのCVEを優先する。これらの基準を満たさないCVEは「最低優先度」に分類され、即座の処理は行われない。また2026年3月1日以前のバックログCVEは「未スケジュール」カテゴリに移行する。
本変更は組織のパッチ優先順位付けプロセスに直接影響する。NVDのエンリッチメントに依存して脆弱性管理ツールを運用している場合、KEVおよびCVE採番機関（CNA）が提供するスコアリングの参照に移行することが推奨される。優先対象外のCVEについては申請でエンリッチメントを要求できる。
https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
https://www.securityweek.com/nist-prioritizes-nvd-enrichment-for-cves-in-cisa-kev-critical-software/

2026年4月16日 欧州通信標準化機関、EU CSA2の「高リスク国企業排除」条項へ反対声明
欧州通信標準化機関（ETSI：European Telecommunications Standards Institute）は、欧州委員会（EC）に公式文書を提出し、EU新サイバーセキュリティ法（CSA2：Cybersecurity Act 2）の特定条項に反対意見を表明した。問題視されているのはArticle 100（4）（a）で、サイバーセキュリティ上のリスクがあると指定された国（中国等）の事業体を欧州標準化活動から排除する内容となっている。
ETSIは「この除外規定は、WTO技術的障壁協定および欧州規則No.1025/2012が要求する開放性・コンセンサス・利益団体からの独立性の原則と相反する」と指摘し、グローバルなICTサプライチェーンへの悪影響を懸念した。さらにArticle 18でENISAに技術仕様の起草権を付与する点についても、既存の標準化構造と並行的な仕組みを生み出すリスクがあるとして反対した。CSA2は2026年1月20日にECが提案した法案で、EU初のICTサプライチェーン安全保障の横断的枠組みを創設するものである。欧州議会および理事会での審議が続いており、ETSIの声明は今後の条項修正交渉に影響を与える可能性がある。
https://www.helpnetsecurity.com/2026/04/16/etsi-eu-cybersecurity-standards/

2026年4月17日 米国NIST、暗号鍵確立推奨事項（SP 800-56）にPQC対応の改訂方針
米国国立標準技術研究所（NIST）は、暗号鍵確立に関する推奨事項の特別刊行物（SP：Special Publication）800-56シリーズの改訂方針を発表した。2025年7月に実施したパブリックコメントの結果を踏まえ、3文書について対応方針を決定した。
SP 800-56Ar3は更新版の位置づけとし、楕円曲線暗号（ECC）におけるx座標のみの実装を承認するとともにSP 800-186との曲線要件の整合性を確保する。SP 800-56Br2は現時点では変更なしとし、他文書の更新後に参照情報を更新する予定とする。SP 800-56Cr2は改訂（Revision）とし、耐量子暗号（PQC）時代を見据えた鍵カプセル化メカニズム（KEM：Key Encapsulation Mechanism）から得られた共有秘密の組み込みを新たに許可する。ハイブリッド鍵共有秘密のフォーマット柔軟性も向上させるほか、KMACをランダム性抽出ステップでも承認する。企業のPQC移行計画において、鍵確立プロセスの見直しが必要となる可能性がある。
https://csrc.nist.gov/News/2026/nist-to-revise-key-establishment-recommendations

----------------------------------------------------------------------
【4】M&A/IPO情報詳細
----------------------------------------------------------------------
2026年4月14日 Palo Alto Networks、イスラエルAI Agentセキュリティ企業Koiを約3億ドル（約465億円）で買収