CAF は、NCSC が開発した、部門にとらわれないツールです。組織が適切なレベルのサイバーレジリエンスを評価し、達成し、実証するための構造化されたアプローチを提供します。
重要ポイント
サイバーレジリエンスは公共サービスに不可欠なものです。国家主体の攻撃が増加すると、重要インフラと機微な情報が脅かされます。成果ベースのフレームワークを採用することで、持続的で巧妙な脅威があっても、組織は重要なサービスを維持することができます。
資産の可視化は、CAF の Objective(目標)A の基盤です。組織がインフラを完全に把握していなければ、セキュリティリスクを管理できません。コア資産管理の原則を満たすには、シャドウ API と資産の自動探索が不可欠です。
ゼロトラストは、CAF の Objective B 達成の中核となるものです。サイバー攻撃から保護するために、組織は、境界防御から、重要なシステム内でのラテラルムーブメント(横方向の移動)を防止するきめ細かなアイデンティティベースのアクセスとマイクロセグメンテーションに移行する必要があります。
CAF v4.0 は、事後対応型の監視ではなく事前対応型の検知を義務付けています。Objective C を達成するには、基本的なログ分析から高度な脅威ハンティングやふるまい観察へと移行し、重要な機能に影響を及ぼす可能性がある隠れた攻撃者を特定する必要があります。
- サプライチェーンの整合性は、CAF のセキュリティ上の重要な成果です。セキュリティは、コンポーネントの出所と市民データの安全性を保護するために、ソフトウェアのライフサイクル全体およびサードパーティのスクリプトに組み込まれている必要があります。
よくある質問(FAQ)
NIS 規制の対象となる組織、国家重要インフラ(Critical National Infrastructure、CNI)を管理する組織、および主要な政府機関の機能をサポートする公共部門の組織や公共安全リスクを管理する組織向けに設計されています。
サイバー評価フレームワークのバージョン 4.0 は、2025 年 8 月に公開されました。
このフレームワークは、4 つの高い目標と 14 の原則に基づいて構築されています。これらは 41 の成果と優れた事例の具体的な指標によって測定されます。
各目標(Objective)の内容は次のとおりです。Objective A:セキュリティリスクの管理、Objective B:サイバー攻撃からの保護、Objective C:サイバーセキュリティイベントの検知、Objective D:インシデントの影響の最小化。
更新後のフレームワーク(Principle A2.b)では、組織が特定の脅威インテリジェンスをリスク管理の意思決定に統合しながら、脅威アクターの能力とテクニックを理解することが求められています。
Principle C1.f では、組織が従来のログ分析を超えて、ユーザーとシステムのふるまいを把握し、悪性アクティビティを示す異常を特定できるようにすることが求められています。
初期段階は、「ニーズを理解する」ことです。この段階では、重要な IT システムに依存する重要な機能を特定し、潜在的な脅威や脆弱性に基づいてリスクを優先する必要があります。