英国NCSC CAF 4.0を読む：重要サービス評価の実務観点

このテーマを取り上げる理由

英国のNCSC Cyber Assessment Framework（重要サービス向けのサイバー評価枠組み、以下 CAF¹）は、英国の重要インフラや公的セクターで、サイバー resilience を説明する共通語として使われています。日本企業にとっては、英国拠点、公共案件、医療・交通・エネルギーなどのサプライチェーンに関わるとき、「ISO 27001を持っています」だけでは足りない場面を想定するための材料になります。

CAF 4.0は、NCSC²が2025年8月に公開した最新版です。個別コントロールの有無ではなく、重要な機能を止めないために、リスク管理、攻撃防御、検知、被害最小化をどう説明できるかを問う構造です。CAF自体は、すべての民間企業へ直接の罰則を課す法令ではありません。英国のNIS Regulations、CNI、GovAssure、各セクターの規制・調達要件と組み合わさって使われる評価枠組みとして読むのが安全です。

CAFとは何か

CAFは、組織が重要なサービスを守るためのサイバーセキュリティと resilience を評価し、改善するための枠組みです。NCSCは、CAFを「重要な機能」に対する cyber resilience の達成度を示すものとして位置づけています。主な対象は、エネルギー、医療、交通、デジタルインフラ、政府など、社会的影響が大きいサービスを運営する組織です。

日本企業が読むときのポイントは、CAFを「英国版チェックリスト」と見ないことです。CAFは、監査で丸を付ける表というより、重要サービスに対する成果を説明するための評価言語です。取引先や規制当局に対して、どの機能が重要で、どの脅威を想定し、どの水準を目指すのかを示す場面で効いてきます。

評価軸：4つの高レベル目標

CAFの中核は、4つの高レベル目標です。

• Objective A: Managing security risk: 重要機能³に対するサイバーリスクを理解し、組織として管理することです。
• Objective B: Protecting against cyber attack: システム、データ、ネットワークを攻撃から守るための技術的・組織的対策です。
• Objective C: Detecting cyber security events: 侵害や異常を検知し、分析できる状態です。
• Objective D: Minimising the impact of cyber security incidents: インシデント発生時に被害を抑え、重要機能を維持・復旧することです。

この4軸は、日本企業の説明資料にも転用しやすい構造です。経営層には「管理」、情シスには「防御」、SOCには「検知」、BCP担当には「被害最小化」と役割を分けて話せます。

法的拘束力と適用範囲

CAFを読むときは、枠組みそのものと、個別の規制・調達要件を分ける必要があります。CAFはNCSCが提供する評価枠組みであり、対象組織、提出期限、罰則はCAF単体から一律に出てくるものではありません。英国の重要インフラ、公共部門、規制当局が関与するセクターでは、NIS RegulationsやGovAssure、監督機関の運用と結びついて使われます。

時系列としては、CAF collectionの公開ページが2024年4月18日に公表され、CAF 4.0はNCSCのchangelogで2025年8月4日のリリースとして整理されています。したがって、日本企業が確認すべきなのは「CAF 4.0に法定期限があるか」ではなく、自社が関わる英国顧客・規制セクター・公共案件で、どのCAF Profile⁴や質問票が契約上求められているかです。

例外・除外の見方も同じです。CAF単体に全社一律の適用除外が列挙されているわけではなく、対象外かどうかは、該当セクターの規制、監督機関の運用、契約・調達文書で確認します。

公的調達で効く読み方

海外公的案件では、セキュリティ要件が「認証を持っているか」から「重要サービスへの影響を説明できるか」へ広がっています。CAFは、特に次の3点で調達・委託先評価と相性があります。

• 重要機能単位で説明する: システム名ではなく、止まると社会的・事業的影響が大きい機能を起点にします。
• 対象水準を明示する: CAF Profileには Basic と Enhanced の考え方があります。すべてを最高水準にするのではなく、脅威と重要度に応じて目標を置きます。
• 証跡で語る: ポリシー、リスク登録簿、監視ログ、訓練記録、委託先評価票など、成果を裏づける資料をそろえます。

日本企業が英国の公共・重要インフラ案件に関わる場合、CAFそのものへの準拠を求められなくても、質問票や契約条項の背後にCAF的な考え方が入る可能性があります。

日本企業への示唆

第一に、重要サービスの定義を先に決めることです。海外顧客向けSaaS、製造拠点のOT、医療・公共向けシステムなどは、通常の社内ITより説明責任が重くなります。

第二に、サプライヤーとしての説明資料を作ることです。CAFの4軸に沿って、リスク管理体制、技術対策、監視、インシデント対応、復旧訓練を1枚で示せると、調達側の質問に答えやすくなります。

第三に、ISO 27001やNIST CSFとの対応表を持つことです。CAFは英国文脈の枠組みですが、成果ベースの説明は他のフレームワークとも接続できます。既存のISMS文書を、CAFの4目標に並べ直すだけでもギャップが見えます。

一枚要約

• 英国NCSC CAF 4.0は、重要サービスのサイバー resilience を成果ベースで評価する枠組みです。
• 日本企業には、英国公共案件や重要インフラ顧客への説明責任として影響します。
• まず重要機能、目標水準、証跡の3点を整理し、ISO 27001やNIST CSFとの対応表を作るのが現実的です。

業種別影響

IT/SaaSでは、英国顧客に提供する管理画面、ID基盤、データ保管機能が重要機能として見られます。可用性、監視、委託先管理、インシデント通知の説明が必要になります。

製造業では、英国向け部品供給やOT保守を担う場合、工場停止やサプライチェーン遅延が評価対象になります。ITだけでなく、リモート保守、バックアップ、代替生産の証跡が重要です。

医療・公共向けベンダーでは、患者情報や住民サービスを扱うシステムの継続性が問われます。アクセス制御だけでなく、障害時の縮退運用と復旧手順を説明できる必要があります。

今日着手できる3アクション

• NCSCのCAF collectionを開き、Objective AからDを社内のセキュリティ説明資料の見出しに写します。公式ページは https://www.ncsc.gov.uk/collection/cyber-assessment-framework です。
• 重要機能の候補を3つ選び、service, owner, customer impact, evidence の4列でCSVを作ります。macOSなら printf "service,owner,customer impact,evidence\n" > caf-functions.csv から始められます。
• 既存のISMS管理策やNIST CSF対応表がある場合、A:管理、B:防御、C:検知、D:被害最小化のどこに証跡があるかを棚卸しします。NIST CSF 2.0との接続は https://www.nist.gov/cyberframework を参照します。

AI×セキュリティの観点

生成AIを重要サービスの運用に使う場合、CAF的には「AIを導入したか」ではなく、重要機能に対するリスクがどう変わったかを説明する必要があります。AIによる監視支援、問い合わせ対応、コード生成を使うなら、誤判定、権限過多、ログの機微情報、外部モデルへの送信範囲を、Objective AからDの証跡に落とすことが大切です。

用語ミニ解説

1. CAF: Cyber Assessment Framework の略で、重要サービスのサイバー resilience を評価・改善する枠組みです。 ↩
2. NCSC: 英国 National Cyber Security Centre の略で、英国のサイバーセキュリティ政策・助言を担う機関です。 ↩
3. 重要機能: 停止や侵害により、社会・顧客・事業に大きな影響を与える業務機能です。 ↩
4. CAF Profile: 想定する攻撃能力や重要度に応じて、CAFで目標とする水準を示す考え方です。 ↩

参考リンク

• NCSC Cyber Assessment Framework
• NCSC CAF changelog
• NCSC blog: CAF v4.0 released in response to growing threat
• NIST Cybersecurity Framework