Home

英国の重要インフラを守る「NCSCサイバー評価フレームワーク(CAF) 4.0」とは?4つの目的と14の原則を解説

公開日

img of 英国の重要インフラを守る「NCSCサイバー評価フレームワーク(CAF) 4.0」とは?4つの目的と14の原則を解説
•••

2025年8月、英国の国家サイバーセキュリティセンター(NCSC)は、国の重要インフラや基幹サービスを保護するための指針である「サイバー評価フレームワーク(Cyber Assessment Framework、以下CAF)」をバージョン4.0に更新しました。このアップデートは、現代の複雑化・巧妙化するサイバー脅威環境を反映したものであり、組織がサイバーレジリエンスを確保するための重要な道しるべとなります。

本記事は、NCSCが公開した「Cyber Assessment Framework 3.2」および「Cyber Assessment Framework 4.0」の公式ドキュメントに基づいて、その更新内容、特にバージョン3.2からの主要な変更点に焦点を当てて徹底的に解説します。今回の改訂で何が追加され、どのような点が重視されるようになったのかを理解し、自組織のセキュリティ対策を見直すための一助としてください。

英国の重要インフラを支えるNCSCサイバー評価フレームワーク(CAF)とは?

CAFは、英国の電力、水道、交通、医療といった国民生活に不可欠なサービス(Essential Functions)を提供する組織が、サイバー攻撃のリスクを管理し、レジリエンスを向上させるためにNCSCが開発したフレームワークです。単なるチェックリストではなく、「何を達成すべきか」という成果(アウトカム)ベースのアプローチを取っているのが特徴で、各組織が自身の状況に合わせて柔軟に適用できるよう設計されています。

CAFの目的と構造:4つの目的と14の原則

CAFは、サイバーセキュリティ対策を包括的に網羅するため、以下の4つの高レベルな「目的(Objectives)」を柱として構成されています。

  • A. リスク管理(Managing security risk): セキュリティリスクを体系的に理解し、管理する。
  • B. サイバー攻撃からの保護(Protecting against cyber attack): ネットワークやシステムをサイバー攻撃から守る。
  • C. サイバーセキュリティイベントの検知(Detecting cyber security events): セキュリティイベントを検知し、防御が有効に機能しているか確認する。
  • D. インシデントの影響最小化(Minimising the impact of cyber security incidents): インシデント発生時の影響を最小限に抑え、復旧する。

これらの4つの目的の下に、合計14の「原則(Principles)」が配置され、組織が達成すべき具体的なセキュリティ成果を示しています。

CAF 4.0へのアップデート:全体像と主な変更ポイント

今回のCAF 4.0へのアップデートは、近年の脅威動向や技術の進展を踏まえた、実践的かつ包括的な内容への進化が図られています。

なぜ改訂されたのか?進化するサイバー脅威への対応

サイバー攻撃は年々巧妙化し、特にソフトウェアのサプライチェーンを狙った攻撃や、検知を回避する高度な攻撃が増加しています。CAF 4.0は、こうした新たな脅威に対応するため、サプライチェーンセキュリティや、攻撃の兆候を積極的に探し出す「脅威ハンティング」といった、よりプロアクティブなアプローチの重要性を明確に打ち出しています。

貢献的成果が41項目に増加、より包括的なフレームワークへ

CAFでは、各原則を達成するために満たすべき具体的な成果として「貢献的成果(Contributing Outcomes)」が定義されています。この数が、バージョン3.2の39項目から、バージョン4.0では41項目に増加しました。この2項目の増加は、主にリスク管理の領域で新設されたものであり、フレームワークがより具体的で網羅的な内容になったことを示しています。

【目的別】CAF 3.2から4.0への詳細な変更点

ここでは、4つの目的ごとに、バージョン3.2から4.0への主要な変更点を具体的に見ていきます。

目的A:リスク管理(Managing security risk)- 脅威理解とサプライチェーンを強化

リスク管理はセキュリティの土台であり、CAF 4.0では特に大きな変更が加えられました。

  • 「脅威の理解(Understanding Threat)」の原則を新設: これまでリスク評価プロセスの一部とされていた脅威の理解が、独立した原則(A2.b)として新設されました。これは、攻撃者の能力や手法、戦術を深く理解し、それに基づいてリスク評価を行うことの重要性を強調するものです。
  • 「安全なソフトウェア開発とサポート(Secure Software Development and Support)」の原則を新設: サプライチェーンセキュリティを強化するため、ソフトウェアのライフサイクル全体にわたるセキュリティ確保を求める原則(A4.b)が新たに追加されました。これにより、自社開発か外部調達かにかかわらず、ソフトウェアの構成要素や来歴を把握し、安全性を検証することが求められます。
  • 経営層の関与の明確化: ガバナンス(A1)において、取締役会がセキュリティを事業継続のための重要な要素として認識し、議論するために必要な情報と理解を持つべきであることが明記されました。

目的B:サイバー攻撃からの保護(Protecting against cyber attack)- 自動化技術とセキュリティ文化に焦点

保護の領域では、現代の技術動向と人的要因に関する記述が拡充されました。

  • 自動化された意思決定技術への言及: 「セキュアな設計(Secure by Design)」の原則(B4.a)に、AIなどの自動化された意思決定技術を使用する際のリスクを考慮し、適切な制限を設けるべきとの記述が追加されました。
  • ポジティブなセキュリティ文化の醸成を強調: スタッフの意識向上とトレーニング(B6)において、「共有された責任感(shared sense of responsibility)」という言葉が追加され、インセンティブがセキュリティ行動を阻害しないようにするなど、組織全体でポジティブな文化を育むことの重要性がより強調されました。

目的C:イベント検知(Detecting cyber security events)- プロアクティブな「脅威ハンティング」へシフト

検知の領域は、今回の改訂で最も大きく変化した部分の一つです。受動的な監視から、より能動的な脅威探索へのシフトが鮮明になりました。

  • 原則C2の名称を「脅威ハンティング(Threat Hunting)」へ変更: バージョン3.2の「プロアクティブなセキュリティイベントの発見(Proactive Security Event Discovery)」から、より具体的な「脅威ハンティング」へと原則名が変更されました。これは、標準的な検知ソリューションを回避するような巧妙な脅威を、仮説に基づいて積極的に探し出す活動の重要性を示しています。
  • ログ、監視、トリアージ能力の具体化: セキュリティ監視(C1)の原則が大幅に再編されました。ログのソースやツール、アラート生成、トリアージ、担当者のスキルといった項目がより具体的に定義され、検知活動全体のプロセスと能力向上が求められています。
  • 脅威インテリジェンスと内部挙動の理解を統合: ユーザーやシステムの通常時の振る舞いと、外部の脅威インテリジェンスを組み合わせて異常を検知することの重要性を示す原則(C1.f)が新設されました。

目的D:インシデントの影響最小化(Minimising the impact of cyber security incidents)- セクター横断的な学習を促進

インシデント対応と復旧の領域では、インシデントからの学びを次に活かすための仕組みが強化されました。

  • インシデント分析の深化: インシデント後の分析(D2.a)において、単に直接的な原因を特定するだけでなく、組織的・技術的・人的な背景要因まで含めた包括的な分析を行うことが求められるようになりました。
  • セクター全体でのインシデントからの学習: インシデントから得られた教訓の活用(D2.b)において、自組織のインシデントだけでなく、自身が属するセクターやより広範な社会基盤で報告されたインシデントからも学ぶことの重要性が追加されました。

CAF 4.0が示す、これからのサイバーセキュリティ対策の3つの要点

CAF 4.0へのアップデートは、単なる項目の追加や修正に留まりません。その変更点からは、現代の組織が取り組むべきサイバーセキュリティ対策の重要な方向性が見えてきます。

1. サプライチェーン全体のセキュリティ確保

ソフトウェアや外部サービスへの依存が高まる中、サプライチェーンを構成する全ての要素のセキュリティを確保することが不可欠です。「安全なソフトウェア開発とサポート」が新設されたことは、その象徴と言えます。自社の管理下だけでなく、取引先や利用する製品・サービスのセキュリティにも目を向ける必要があります。

2. 「検知」から「積極的な探索(ハンティング)」へ

巧妙な攻撃者は、従来のシグネチャベースの検知システムをすり抜けて侵入します。このような脅威に対抗するには、受動的にアラートを待つだけでなく、「侵入されているかもしれない」という前提に立ち、脅威の痕跡をプロアクティブに探し出す脅威ハンティングのアプローチが極めて重要になります。

3. 経営層のリーダーシップとポジティブな文化の確立

サイバーセキュリティは、もはやIT部門だけの問題ではありません。CAF 4.0が取締役会の役割を明確にし、ポジティブなセキュリティ文化の重要性を強調しているように、経営層の強いリーダーシップのもと、全従業員がセキュリティを自らの責任と捉える文化を醸成することが、組織全体のレジリエンスを高める鍵となります。

まとめ:CAF 4.0を組織のセキュリティ強化に活かすために

NCSCのサイバー評価フレームワーク(CAF)4.0は、進化し続けるサイバー脅威に対応するための、より実践的で包括的な指針へとアップデートされました。特に、脅威の深い理解、ソフトウェアサプライチェーンのセキュリティ、そしてプロアクティブな脅威ハンティングといった要素は、今後のセキュリティ対策を考える上で欠かせない視点です。

このフレームワークは英国の重要インフラ向けに開発されたものですが、その内容はあらゆる組織にとって有益なものです。今回の変更点を参考に自社のセキュリティ体制を見直し、どこに強みがあり、どこに課題があるのかを評価することで、より効果的でレジリエントなセキュリティ対策を構築していくことが可能になるでしょう。

Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!

参考資料:

Author: vonxai編集部

Google Scholarで開発生産性やチーム開発に関する論文を読むことが趣味の中の人が、面白かった論文やレポートを記事として紹介しています。