JCIC logo

JCIC海外ニュースクリップ

----------------------------------------------------------------------
JCICコラム 「【2025年度】海外サイバーセキュリティ・プライバシー政策動向の解説」(5/19配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム 「【2025年度】海外サイバーセキュリティ・プライバシー政策動向の解説」
・米国NSAおよびファイブ・アイズ当局、エージェント型AI導入の共同ガイダンスを公表
・米国CISA、地政学的紛争下の重要インフラ運用継続イニシアチブ「CI Fortify」を発表
・欧州ENISA、4組織を新たにENISA Root配下のCVE採番機関として承認
・イラン国家支援型攻撃グループ、ランサムウェア攻撃に偽造した情報窃取作戦を展開
・各国セキュリティ当局、Linuxカーネルの「Dirty Frag」脆弱性の悪用を警告
・中国当局、AIエージェントの規範的応用と革新発展に関する実施意見を発表
・米国NIST、CUI保護強化セキュリティ要件SP 800-172を改定

----------------------------------------------------------------------
【2】JCICコラム 「【2025年度】海外サイバーセキュリティ・プライバシー政策動向の解説」
----------------------------------------------------------------------
【2025年度】海外サイバーセキュリティ・プライバシー政策動向の解説
今回のコラムでは、2025年度(2025年4月〜2026年3月、一部2026年4月配信分を含む)に配信した174件のJCIC
海外ニュースを分析し、2026年度の政策動向を占う重要な出来事を解説する。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2026年4月30日 米国NSAおよびファイブ・アイズ当局、エージェント型AI導入の共同ガイダンスを公表
米国国家安全保障局(NSA)は、ファイブ・アイズ当局と共同でエージェント型AI(Agentic AI)の安全な導入に関するガイダンス「Careful Adoption of Agentic AI Services」を公表した。ファイブ・アイズ当局からは、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)、豪州信号局サイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、英国国家サイバーセキュリティセンター(NCSC)、ニュージーランドサイバーセキュリティセンター(NCSC)の5カ国6機関が参加し、重要インフラ・防衛分野で十分な安全対策なくエージェント型AIの導入が進む現状に警鐘を鳴らす内容となっている。
本ガイダンスは、LLM(大規模言語モデル)ベースのエージェント型AIに固有な5つのリスクカテゴリーを特定している。それぞれ(1)特権リスク(過剰権限による被害拡大)(2)設計・構成リスク(導入前段階の脆弱性)(3)行動リスク(意図しない目的追求)(4)構造リスク(連鎖的障害)(5)説明責任リスク(不透明な意思決定)である。
組織への主要な推奨事項は、エージェント型AIを既存サイバーセキュリティ枠組みに統合し、ゼロトラスト・多層防御・最小権限の原則を適用すること、暗号学的に保護されたID付与とクレデンシャルの短期運用、影響度の高い操作には人間の承認を必須化することなどである。「セキュリティ運用が成熟するまでは、効率より回復力・可逆性・リスク封じ込めを優先せよ」と強調している。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4475134/
https://cyberscoop.com/cisa-nsa-five-eyes-guidance-secure-deployment-ai-agents/

2026年5月5日 米国CISA、地政学的紛争下の重要インフラ運用継続イニシアチブ「CI Fortify」を発表
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、重要インフラ事業者が地政学的危機・武力紛争時においても基幹サービスの提供を継続できるよう備えるための新イニシアチブ「CI Fortify」を発表した。中国・ロシア・イラン等の国家支援サイバー攻撃が通信網・インターネット接続・上流依存先を遮断するシナリオを想定し、対応能力の構築を要請する。
CI Fortifyは2つの主要目標を掲げる。第一に「分離(Isolation)」として、通信事業者・インターネット接続・サードパーティ・ベンダー等の上流依存からの能動的な切断と運用技術(OT)ネットワークへの攻撃者侵入を前提とした運用継続。第二に「復旧(Recovery)」として、システム文書化・重要ファイルバックアップ・システム置換または手動運用への移行の演習である。
最優先対象は「防衛重要インフラ」、すなわちダム・レーダー・兵器システム・衛星通信等の軍事作戦に不可欠な施設・システムである。CISA代理長官のAndersen氏は「短期的な成功は、対象を絞った重要インフラ事業者との評価活動から生まれる」と述べた。CISAは地域・コミュニティ単位の緊急対応計画策定者および軍事施設との連携も奨励している。
https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
https://federalnewsnetwork.com/cybersecurity/2026/05/cisa-tells-critical-organizations-to-prepare-for-cyber-outages/

2026年5月6日 欧州ENISA、4組織を新たにENISA Root配下のCVE採番機関として承認
欧州連合サイバーセキュリティ機関(ENISA)は、新たに4組織をENISA Root配下の共通脆弱性識別子(CVE)採番機関として承認・運用開始したと発表した。これによりENISA Root配下の採番機関は、MITRE Rootから移管された既存7組織と合わせ計11組織に拡大した。
ENISAは2025年11月に欧州地域のCVE Rootとして指定され、欧州CSIRTネットワーク加盟機関およびEU各国当局の中心連絡窓口として、CNAの新規登録・教育研修・運用管理を担う役割を獲得した。今回新たに承認された採番機関は、ENISA独自の教育プログラムを完了した最初の事例となる。
ENISA最高サイバーセキュリティ・運用責任者Vries氏は「ENISA Root配下での最初のCVE採番機関の登録と研修は、欧州サイバーセキュリティにとって重大な節目である。グローバルCVEプログラムへの欧州の運用面での貢献を強化し、EU全体での脆弱性ハンドリングの信頼性・適時性・調整を改善する」と述べた。NIS2指令の脆弱性開示義務とも連動し、欧州独自の脆弱性管理エコシステムを整える狙いがある。
https://www.enisa.europa.eu/news/new-cve-numbering-authorities-under-enisa-root

2026年5月6日 イラン国家支援型攻撃グループ、ランサムウェア攻撃に偽造した情報窃取作戦を展開
米Rapid7社は、イラン国家支援サイバー攻撃グループMuddyWaterが、ソーシャルエンジニアリングを通じて認証情報窃取と多要素認証(MFA)回避を行う「フォルスフラグ型」ランサムウェア攻撃を展開していると報告した。観測時期は2026年初頭であるという。
攻撃はMicrosoft Teamsの外部チャット要求と画面共有機能を悪用する。攻撃者は標的従業員に対し対話的な画面共有セッションを開始し、その過程で認証情報の収集とMFA操作の妨害を行う「ハイタッチ型ソーシャルエンジニアリング」を実施する。侵入後はDWAgentやAnyDesk等の正規リモートツールを使用して持続性を確保する。
本作戦の特徴は、ランサムウェアサービス(RaaS)グループ「Chaos」を装った偽装にある。実際にはファイル暗号化を行わず、認証情報窃取・データ持ち出し・長期持続的アクセスの確保に専念しており、Rapid7は「金銭目的を装った国家による諜報活動」と分析している。国家アクターが犯罪グループのブランドを利用して帰属困難化を図る新たな手口として注目される。
https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/
https://thehackernews.com/2026/05/muddywater-uses-microsoft-teams-to.html

2026年5月8日 各国セキュリティ当局、Linuxカーネルの「Dirty Frag」脆弱性の悪用を警告
カナダサイバーセキュリティセンターはLinuxカーネルに影響する2件の脆弱性CVE-2026-43284およびCVE-2026-43500について警告を発出した。また、フランス国家情報システムセキュリティ庁傘下のCERT-FRも週次速報CERTFR-2026-ACT-021(5月11日付)で同案件を取り上げ、各国CERTの注意喚起が連鎖した。
CVE-2026-43284はLinuxカーネルにおける「Write-what-where(任意位置書込み)」条件の脆弱性で、ローカル攻撃者による任意コード実行を可能とする。CVE-2026-43500はRxRPCサブシステムにおけるローカル特権昇格の脆弱性である。両者は組み合わせて利用することで、非特権ユーザがroot権限を奪取できる「Dirty Frag」と呼称される攻撃手法を構成する。実証コード(PoC)は既に公開されており、リモートコード実行脆弱性と連鎖された場合のリスクが特に懸念される。
影響範囲は広く、Red Hat Enterprise Linux、Rocky Linux、AlmaLinux、Oracle Linux、Fedora、CentOS Stream、Debian、Ubuntu、SUSE Linux Enterprise、openSUSE等、主要なエンタープライズLinuxディストリビューションに及ぶ。各ベンダーから5月8日以降順次パッチが公開されているが、全安定版カーネルへの統一的修正は未完了のため、CCCSはモジュール無効化とアクセス制限による暫定緩和策の即時適用を推奨している。
https://www.cyber.gc.ca/en/alerts-advisories/al26-011-vulnerabilities-affecting-linux-cve-2026-43284-cve-2026-43500
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-021/

2026年5月8日 中国当局、AIエージェントの規範的応用と革新発展に関する実施意見を発表
中国国家インターネット情報弁公室(CAC)は、国家発展改革委員会、工業情報化部と連携し、「智能体規範応用与創新発展実施意見」(AIエージェントの規範的応用と革新発展に関する実施意見)を共同発表した。AIエージェント(智能体)に特化した国家レベルの規範枠組みとしては世界初である。
実施意見は4つの基本原則(安全管理可能、有序規範、創新駆動、応用牽引)を掲げ、リスク階層別の差別的監督を採用する。金融、医療画像、交通・緊急ディスパッチ、公共安全、司法、エネルギー・重要インフラ等の「敏感領域・重点産業」では届出・テスト・製品リコール措置を伴う厳格な管理を、エンターテインメント・オフィスツール等の低リスク領域では自己評価とプラットフォーム管理を求める。
利用者の権利として「AIエージェントの自律的決定に関する知る権利と最終決定権」を明文化し、エージェントの行動が付与された権限の範囲を超えないことを要求している。西側がエージェント型AIに「破滅的な制御喪失シナリオ」を懸念する論調が強いのに対し、本実施意見は計算資源クォータ・与信上限・アクセス権限・システムシャットダウン等の現実的制約による自律性の境界に焦点を当てる点で対照的である。
https://www.cac.gov.cn/2026-05/08/c_1779979789523320.htm

2026年5月13日 米国NIST、CUI保護強化セキュリティ要件SP 800-172を改定
米国国立標準技術研究所(NIST)は、NIST SP 800-172 Revision 3「Enhanced Security Requirements for Protecting Controlled Unclassified Information」を正式リリースした。
SP 800-172r3は、非連邦システム上で取り扱われる管理対象非機密情報(CUI:Controlled Unclassified Information)のうち、「重要プログラム」および「高価値資産(HVA:High Value Asset)」に関連する情報を対象とする強化セキュリティ要件を規定する。前版(r2)からはアクセス制御・ネットワーク分離・資産管理・サプライチェーンセキュリティに関する要件が拡張され、SP 800-160防護戦略および敵対者効果へのマッピングが新たに追加された。サイバーレジリエンス目標を支援する設計となっており、SP 800-53r5由来の管理策との整合性も維持されている。
本文書は連邦調達規則補完規則(DFARS)およびサイバーセキュリティ成熟度モデル認証(CMMC)の上位層認証要件と密接に連動するため、防衛サプライチェーンに関わる事業者は早期の要件分析と対応計画策定が求められる。
https://csrc.nist.gov/News/2026/nist-releases-sp-800-172r3-and-sp-800-172ar3
https://csrc.nist.gov/pubs/sp/800/172/r3/final

----------------------------------------------------------------------
【4】M&A/IPO情報詳細
----------------------------------------------------------------------
2026年5月6日 独Allianz、商業サイバー保険ポートフォリオを米Coalitionへ全面移管
2026年5月11日 イスラエルのサイバースタートアップFrame、シリーズAで5,000万ドル(約77億円)調達
2026年5月14日 英Howden、米国のサイバーアナリティクススタートアップCybetaを買収