英国 NCSC サイバーアセスメントフレームワーク 4.0 (2025.08.06)

こんにちは、丸山満彦です。

英国のNational Cyber Security Centreが、Cyber Assessment Framework 4.0を公表しています。。。このフレームワークのポイントは、達成できているとはどういうことかということを示しているということですね...

 

● U.K. NCSC

・Cyber Assessment Framework

Introduction to the CAF Collection	CAFコレクションの概要
Introduction to the Cyber Assessment Framework	サイバーアセスメント枠組みの序論
CAF Objective A - Managing Security Risk	CAF目標A - セキュリティリスクの管理
Principle A1 Governance	原則A1 ガバナンス
Principle A2 Risk Management	原則A2 リスクマネジメント
Principle A3 Asset Management	原則A3 資産管理
Principle A4 Supply Chain	原則A4 サプライチェーン
CAF Objective B - Protecting against cyber attacks	CAF目標B - サイバー攻撃からの防御
Principle B1 Service protection policies, processes and procedures	原則B1 サービス保護の方針、プロセス、手順
Principle B2 Identity and Access Control	原則B2 識別とアクセス制御
Principle B3 Data security	原則B3 データセキュリティ
Principle B4 System security	原則B4 システムセキュリティ
Principle B5 Resilient networks and systems	原則B5 回復力のあるネットワークとシステム
Principle B6 Staff awareness and training	原則B6 スタッフの意識向上およびトレーニング
CAF Objective C - Detecting cyber security events	CAF目標C - サイバーセキュリティ事象の検知
Principle C1 Security monitoring	原則C1 セキュリティ監視
Principle C2 Threat Hunting	原則C2 脅威ハンティング
CAF Objective D - Minimising the impact of cyber security incidents	CAF目標D - サイバーセキュリティインシデントの影響最小化
Principle D1 Response and recovery planning	原則D1 対応と復旧計画
Principle D2 Lessons Learned	原則D2 教訓の共有
Supplementary information	補足情報
Consolidated view of CAF Guidance	CAFガイダンス統合ビュー
CAF Terms and Definitions	CAF用語と定義
Cyber Assessment Framework (CAF) changelog	サイバーアセスメントフレームワーク（CAF）変更履歴

 

 

 

 

例えば、A1.a 取締役会の指示の場合...

A1.a 取締役会の指示
取締役会レベルで主導され、対応する方針で明確に示された、効果的な組織セキュリティ管理を実施している。
未達成	達成
以下の記述のうち、少なくともひとつは正しい：	以下の記述はすべて正しい：
必要不可欠な機能の運営に関連するネットワークや情報システムのセキュリ ティについて、取締役会レベルで定期的に議論したり報告したりすることはない。	必須機能の運用を支援するネットワーク及び情報システムのセキュリ ティに関する組織のアプローチ及び方針は、取締役会レベルで所有・管理さ れている。これらは、組織全体のリスクマネジメントの意思決定者に有意義な方法で伝達される。
ネットワークや情報システムのセキュリティに関する取締役会レベルの議論は、専門家の指導の恩恵にあずかることなく、部分的な情報や古い情報に基づいて行われている。	重要な機能の運営を支えるネットワークと情報システムのセキュリテ ィについて、取締役会レベルで定期的な議論を行い、タイムリーで正確な 情報に基づき、専門家の指導を受ける。
必須機能を支えるネットワークや情報システムのセキュリ ティが、取締役会レベルで設定された方向性によって効果 的に推進されていない。	ネットワークと情報システムのセキュリティについて全体的な責任を負い、取締役会レベルで定期的な議論を推進する取締役会レベルの個人がいる。
上級管理職やその他の組織の一部は、自分たちがいくつかの方針から免除されると考えたり、特別な便宜を図ってもらうことを期待したりする。	取締役会レベルで設定された方向性は、重要な機能を支えるネットワークと情報システムのセキュリティを指揮・管理する効果的な組織的慣行に変換される。
	理事会は、ネットワークと情報システムのセキュリティと回復力が、重要な機能の提供にどのように寄与しているか、また、これらのシステムの危殆化による潜在的な影響はどのようなものかについて、効果的に議論するために必要な情報と理解を有している。
	セキュリティは、必須機能の回復力を高める重要な要素であると認識し、関連するすべての議論において考慮する。

 

 

例えば、B4.d. 脆弱性管理 

B4.d. 脆弱性管理
ネットワークや情報システムの既知の脆弱性を管理し、必須機能への悪影響を防ぐ。
未達成	一部達成	達成
以下の記述のうち、少なくともひとつは正しい：	以下の記述はすべて正しい：	以下の記述はすべて正しい：
公に知られている脆弱性に対して、自社の重要な機能がさらされていることを理解していない。	あなたは、公に知られた脆弱性に対するあなたの必須機能の露出について、最新の理解を維持している。	あなたは、公に知られた脆弱性に対するあなたの必須機能の露出について、最新の理解を維持している。
外部から暴露された脆弱性を迅速に緩和しない。	お客様の重要な機能をサポートするために使用されるすべてのソフトウェアパッケージ、ネットワーク、情報システムに関して公表された脆弱性を追跡し、優先順位を付け、外部に暴露された脆弱性を（パッチ適用などにより）速やかに緩和する；	お客様の重要な機能をサポートするために使用されるすべてのソフトウェアパッケージ、ネットワーク、情報システムに関して発表された脆弱性を追跡し、優先順位を付け、（パッチを当てるなどして）速やかに緩和する；
必須機能をサポートするネットワークや情報システムの脆弱性を理解するためのテストを最近行っていない。	外部に露出していない脆弱性の中には、一時的な緩和策を長期間講じているものもある。	必須機能の運用を支えるネットワークと情報システムの脆弱性を完全に理解するために定期的にテストを行い、この理解を第三者テストによって検証する。
サポートが終了したシステムやソフトウェアに対して、適切な緩和策を講じていない。	サポートされているテクノロジーへの移行を進めている間、サポートされていないシステムやソフトウェアに対する一時的な緩和策がある。	必須機能をサポートするネットワークや情報システムにおいて、サポートされているソフトウェア、ファームウェア、ハードウェアを積極的に最大限に活用する。
サポートされていないシステムやソフトウェアの交換を求めることはできない。	必須機能の運用を支えるネットワークや情報システムの脆弱性を十分に理解するために、定期的にテストを行う。

 

 

 

例えば、C2.a 脅威ハンティング

C2.a 脅威ハンティング
未達成	一部達成	達成
以下の記述のうち、少なくともひとつは正しい：	以下の記述はすべて正しい：	以下の記述はすべて正しい：
脅威ハンティングに必要なリソースを知らない。	脅威ハンティングを実施するために必要なリソースを特定し、それらを適時、臨時に配備することができる。	脅威ハンティングの実施に必要なリソースを理解し、通常業務の一環として配備する。
効果的な脅威ハンティング能力を利用できない。	効果的な脅威ハンティング機能を導入しているが、必要不可欠な機能をサポートするネットワークや情報システムにもたらされるリスクに見合うほど頻繁には脅威ハンティングを実施していない（例えば、信頼できる情報源からのタレコミに応じて脅威ハンティングを実施している）。	必要不可欠な機能を支えるネットワークや情報システムにもたらされるリスクに見合った頻度で、脅威ハンティングのリソースを投入する。
あなたの脅威狩りは構造に従っておらず、記録が作成されたとしてもほとんどない。	脅威の探索は、自動検出では検出されない有害な活動を特定するために、事前に決定され文書化された方法（仮説駆動型、データ駆動型、エンティティ駆動型など）に従って行われます。	脅威の探索は、自動検出では検出されない有害な活動を特定するために、事前に決定され文書化された方法（仮説駆動型、データ駆動型、エンティティ駆動型など）に従って行われます。
	あなたは脅威狩りの詳細と狩りの後の分析を文書化します。	脅威の探索を自動化し、必要に応じて警告を発する。
		過去に実施した脅威ハントやハント後の活動の詳細を日常的に記録している。これらの記録は、脅威ハントやセキュリティ態勢の改善に役立てられます。
		脅威ハントの有効性には正当な自信があり、脅威ハントのプロセスは、重要な機能をサポートするネットワークや情報システムにもたらされるリスクに合わせて見直され、更新されます。
		適切な場合には、自動化を活用して脅威ハントを改善する（脅威ハントプロセスの一部の段階を自動化するなど）。
		あなたの脅威ハントは、原子 IoC (ハッシュ、IP アドレス、ドメイン名など) 上の脅威の戦術、技術、手順 (TTP) に焦点を当てています。

 

 

例えば、D1.b 対応と復旧能力

D1.b 対応と復旧能
必須機能の運営への影響を効果的に制限することを含め、インシデント対応計画を実施する能力を有している。 インシデント発生時、対応の意思決定の基礎となる情報をタイムリーに入手できる。
未達成	達成
以下のうち少なくとも1つが当てはまる：	以下の記述はすべて正しい：
対応策を実施するための適切なリソースの手配が不十分であった；	必要な対応活動を実施するために必要と思われるリソースを理解し、これらのリソースを利用できるよう手配している；
対応チームのメンバーには、的確な対応策を決定し、実行に移す能力がない；	あなたは、対応決定に情報を提供するために必要とされる可能性の高い情報の種類を理解し、この情報を利用できるように手配している；
インシデント発生時に必要不可欠な機能を継続的に運用するためのバックアップ体制が不十分である。	対応チームのメンバーは、被害を最小限に抑えるために必要な対応行動を決定するために必要な技能と知識、そしてそれを実行する権限を持っている；
	主要な役割は重複しており、業務提供に関する知識は、必要不可欠な機能の運用と復旧に関わるすべての個人と共有されている；
	プライマリ・ネットワークや情報システムに障害が発生したり、利用できなくなったりした場合でも、重要な機能を継続的に運用できるよう、容易に起動できるバックアップ・メカニズムが用意されている；
	必要であれば、外部の支援（サイバーインシデント対応の専門家など）を受けて、組織のインシデント対応能力を増強するための取り決めがある。

 

 

---

 

ちなみに、もう少し概要を書くと...

CAF Objective A - Managing Security Risk	CAF目標A - セキュリティリスクの管理
The CAF is a collection of cyber security guidance for organisations that play a vital role in the day-to-day life of the UK, with a focus on essential functions.	CAFは、英国の日常生活において重要な役割を担う組織向けのサイバーセキュリティガイダンスの集合体であり、特に重要な機能に焦点を当てている。
Principle A1 Governance	原則A1 ガバナンス
Appropriate organisational structures, policies, processes and procedures in place to understand, assess and systematically manage security risks to network and information systems supporting essential functions.	重要機能を支えるネットワークと情報システムのセキュリティリスクを理解し、評価し、体系的に管理するための適切な組織構造、方針、プロセス、手順が整備されていること。
Principle	原則
The organisation has appropriate management policies, processes and procedures in place to govern its approach to the security of network and information systems.	組織は、ネットワークと情報システムのセキュリティへの取り組みをガバナンスするための適切な管理方針、プロセス、手順を整備している。
A1.a Board Direction	A1.a 取締役会による指示
You should have and maintain a strategy for ensuring the continuity of your essential service in the event of a physical failure in the network and information systems. This can be achieved through measures such as contingency plans for critical systems, including clear steps and procedures for common threats, triggers for activation, and recovery time objectives.	ネットワークと情報システムに物理的な障害が発生した場合に、重要サービスの継続性を確保するための戦略を策定し維持すべきである。これは、共通の脅威に対する明確な手順や対応策、発動のトリガー、復旧時間目標を含む重要システム向けの緊急時対応計画などの措置を通じて達成できる。
A1.b Roles and Responsibilities	A1.b 役割と責任
Your organisation has established roles and responsibilities for the security of network and information systems at all levels, with clear and well-understood channels for communicating and escalating risks.	組織は、ネットワークと情報システムのセキュリティに関して、全レベルで役割と責任を確立し、リスクの伝達およびエスカレーションのための明確で十分に理解されたチャネルを設けている。
A1.c Decision-making	A1.c 意思決定
You have senior-level accountability for the security of network and information systems, and delegate decision-making authority appropriately and effectively. Risks to network and information systems related to the operation of the essential function(s) are considered in the context of other organisational risks.	ネットワークと情報システムのセキュリティに対する上級管理職の責任が明確であり、意思決定権限は適切かつ効果的に委譲されている。重要機能の運用に関連するネットワークと情報システムへのリスクは、他の組織リスクとの関連性の中で考慮されている。
Principle A2 Risk Management	原則 A2 リスクマネジメント
Appropriate organisational structures, policies, processes and procedures in place to understand, assess and systematically manage security risks to network and information systems supporting essential functions.	重要な機能を支えるネットワークと情報システムに対するセキュリティリスクを理解し、評価し、体系的に管理するための適切な組織構造、方針、プロセス、手順が整備されている。
Principle	原則
The organisation takes appropriate steps to identify, assess and understand security risks to network and information systems supporting the operation of essential functions. This includes an overall organisational approach to risk management.	組織は、重要機能の運用のためのネットワーク及び情報システムに対するセキュリティリスクを識別、アセスメント、理解するための適切な措置を講じている。これにはリスクマネジメントに対する組織全体のアプローチが含まれる。
A2.a Risk Management Process	A2.a リスクマネジメントプロセス
Your organisation has effective internal processes for managing risks to the security and resilience of network and information systems related to the operation of your essential function(s) and communicating associated activities.	組織は、重要機能の運用に関連するネットワーク及び情報システムのセキュリティとレジリエンスに対するリスクを管理し、関連するコミュニケーションを行うための効果的な内部プロセスを有している。
A2.b Understanding Threat	A2.b　脅威の理解
You understand the capabilities, methods and techniques of threat actors and what network and information systems they may compromise to adversely impact your essential function(s). This information is used to inform security and resilience risk management decisions, adjusting, enhancing or adding security measures to better defend against threats.	脅威アクターの能力、手法、技術、および重要機能に悪影響を及ぼすために侵害する可能性のあるネットワークと情報システムを理解している。この情報は、脅威に対する防御を強化するため、セキュリティおよびレジリエンスのリスクマネジメント判断に活用され、セキュリティ対策の調整・強化・追加に用いられる。
A2.c Assurance	A2.c 保証
You have gained confidence in the effectiveness of the security of your technology, people, and processes relevant to the operation of network and information systems supporting your essential function(s).	貴組織は、重要機能を支えるネットワークと情報システムの運用に関連する技術、人材、プロセスのセキュリティ効果について確信を得ている。
Principle A3 Asset Management	原則A3 資産管理
Appropriate organisational structures, policies, processes and procedures in place to understand, assess and systematically manage security risks to network and information systems supporting essential functions.	重要機能を支えるネットワークと情報システムに対するセキュリティリスクを理解・評価し、体系的に管理するための適切な組織構造、方針、プロセス、手順が整備されている。
Principle	原則
Everything required to deliver, maintain or support networks and information systems necessary for the operation of essential functions is determined and understood. This includes data, people and systems, as well as any supporting infrastructure (such as power or cooling).	重要機能の運用に必要なネットワークと情報システムを提供、維持、またはサポートするために必要なすべての要素が特定され、理解されている。これにはデータ、人員、システムに加え、電力や冷却などの支援インフラも含まれる。
A3.a Asset Management	A3.a　資産管理
Principle A4 Supply Chain	原則 A4 サプライチェーン
Appropriate organisational structures, policies, processes and procedures in place to understand, assess and systematically manage security risks to network and information systems supporting essential functions.	重要機能を支えるネットワークと情報システムに対するセキュリティリスクを理解、評価し、体系的に管理するための適切な組織構造、方針、プロセス、手順が整備されている。
Principle	原則
The organisation understands and manages security risks to networks and information systems supporting the operation of essential functions that arise as a result of dependencies on suppliers. This includes ensuring that appropriate measures are employed where third party services are used.	組織は、サプライヤーへの依存関係から生じる、重要機能の運用のためのネットワークと情報システムに対するセキュリティリスクを理解し管理する。これには、サードパーティのサービスを利用する際に適切な措置を講じることが含まれる。
A4.a Supply Chain	A4.a サプライチェーン
You understand and effectively manage the risks associated with suppliers to the security of network and information systems supporting the operation of your essential function(s).	貴組織は、重要機能の運用のためのネットワークと情報システムのセキュリティに関連する、サプライヤーに関連するリスクを理解し効果的に管理する。
A4.b Secure Software Development and Support	A4.b セキュアなソフトウェア開発とサポート
You actively maximise the use of secure and supported software, whether developed internally or sourced externally, within network and information systems supporting the operation of your essential function(s).	自組織の重要機能の運用を支えるネットワークと情報システムにおいて、内部開発・外部調達を問わず、セキュアでサポート対象のソフトウェアを積極的に最大限活用している。
CAF Objective B - Protecting against cyber attacks	CAF目標B - サイバー攻撃からの防御
Proportionate security measures are in place to protect the networks and information systems supporting essential functions from cyber attack.	重要機能を支えるネットワークと情報システムをサイバー攻撃から保護するため、適切なセキュリティ対策が講じられている。
Principle B1 Service protection policies, processes and procedures	原則B1 サービス保護方針、プロセスおよび手順
B1.a Policy, Process and Procedure Development	B1.a ポリシー、プロセス及び手順の策定
You have developed and continue to improve a set of cyber security and resilience policies, processes and procedures that manage and mitigate the risk of adverse impact on your essential function(s).	貴組織は、重要機能への悪影響リスクを管理・緩和する一連のサイバーセキュリティ及びレジリエンシーに関するポリシー、プロセス及び手順を策定し、継続的に改善している。
B1.b Policy, Process and Procedure Implementation	B1.b ポリシー、プロセス及び手順の実施
You have successfully implemented your security policies, processes and procedures and can demonstrate the security benefits achieved.	貴組織はセキュリティポリシー、プロセス及び手順を適切に実施し、達成されたセキュリティ上の効果を実証できる。
Principle B2 Identity and Access Control	原則 B2 識別とアクセス制御
Proportionate security measures are in place to protect network and information systems supporting essential functions from cyber attack.	重要な機能を支えるネットワークと情報システムをサイバー攻撃から防御するため、適切なセキュリティ対策が講じられている。
Principle	原則
The organisation understands, documents and manages access to networks and information systems and supporting the operation of essential functions. Users (or automated functions) that can access data or services are appropriately verified, authenticated and authorised.	組織は、重要な機能の運用を支えるネットワークと情報システムへのアクセスを理解し、文書化し、管理している。データやサービスにアクセスできるユーザー（または自動化された機能）は、適切に検証、認証、認可されている。
B2.a Identity Verification, Authentication and Authorisation	B2.a 身元確認、認証および認可
You robustly verify, authenticate and authorise access to the network and information systems supporting your essential function(s).	重要機能を支えるネットワークと情報システムへのアクセスを堅牢に検証、認証、認可している。
B2.b Device Management	B2.b デバイス管理
You fully know and have trust in the devices that are used to access your networks, information systems and data that support your essential function(s).	重要機能を支えるネットワーク、情報システム、データへのアクセスに使用されるデバイスを完全に把握し、信頼している。
B2.c Privileged User Management	B2.c 特権ユーザー管理
You closely manage privileged user access to network and information systems supporting the essential function(s).	重要機能を支えるネットワーク及び情報システムへの特権ユーザーアクセスを厳格に管理する。
B2.d Identity and Access Management (IdAM)	B2.d 識別とアクセス管理（IdAM）
You closely manage and maintain identity and access control for users, devices and systems accessing the network and information systems supporting the essential function(s).	重要機能を支えるネットワーク及び情報システムにアクセスするユーザー、デバイス、システムに対する識別とアクセス制御を厳格に管理・維持する。
Principle B3 Data security	原則B3 データセキュリティ
Proportionate security measures are in place to protect network and information systems supporting essential functions from cyber attack.	重要機能を支援するネットワークと情報システムをサイバー攻撃から防御するため、適切なセキュリティ対策が講じられている。
Principle	原則
Data stored or transmitted electronically is protected from actions such as unauthorised access, modification, or deletion that may cause an adverse impact on essential functions. Such protection extends to the means by which authorised users, devices and systems access critical data necessary for the operation of essential functions. It also covers information that would assist an attacker, such as design details of networks and information systems.	電子的に保存または伝送されるデータは、重要機能に悪影響を及ぼす可能性のある不正アクセス、改ざん、削除などの行為から保護される。この保護は、重要機能の運用に必要な重要データにアクセスする権限のあるユーザー、デバイス、システムが使用する手段にも及ぶ。また、ネットワークや情報システムの設計詳細など、攻撃者を支援する可能性のある情報も対象となる。
B3.a Understanding Data	B3.a データの理解
You have a good understanding of data important to the operation of the essential function(s), where it is stored, where it travels and how unavailability or unauthorised access, modification or deletion would adversely impact the essential function(s). This also applies to third parties storing or accessing data important to the operation of essential function(s).	重要機能の運用に重要なデータ、その保存場所、移動経路、および利用不能化や不正アクセス・改ざん・削除が重要機能に及ぼす悪影響について、十分な理解を有している。これは重要機能の運用に重要なデータを保存またはアクセスするサードパーティにも適用される。
B3.b Data in Transit	B3.b 転送中のデータ
You have protected the transit of data important to the operation of network and information systems supporting your essential function(s). This includes the transfer of data to third parties.	重要機能を支援するネットワークと情報システムの運用に重要なデータの転送を防御している。これにはサードパーティへのデータ転送も含まれる。
B3.c Stored Data	B3.c 保管データ
You have protected stored soft and hard copy data important to the operation of network and information systems supporting your essential function(s).	重要機能を支援するネットワークと情報システムの運用に重要な、ソフトコピー及びハードコピーの保管データを防御している。
B3.d Mobile Data	B3.d モバイルデータ
You have protected data important to the operation of network and information systems supporting your essential function(s) on mobile devices (e.g. smartphones, tablets and laptops).	貴組織の重要な機能を支援するネットワークと情報システムの運用に重要なデータを、モバイル端末（例：スマートフォン、タブレット、ノートパソコン）上で防御している。
B3.e Media/Equipment Sanitisation	B3.e 媒体／機器の消去
Before reuse and / or disposal you appropriately sanitise devices, equipment and removable media holding data important to the operation of network and information systems supporting your essential function(s).	再利用及び／又は廃棄前に、貴組織の重要な機能を支援するネットワークと情報システムの運用に重要なデータを保持する端末、機器、リムーバブル媒体を適切に消去している。
Principle B4 System security	原則 B4 システムセキュリティ
Proportionate security measures are in place to protect network and information systems supporting essential functions from cyber attack.	重要機能を支援するネットワークと情報システムをサイバー攻撃から保護するため、適切なセキュリティ対策が講じられている。
Principle	原則
Network and information systems and technology critical for the operation of essential functions are protected from cyber attack. An organisational understanding of risk to essential functions informs the use of robust and reliable protective security measures to effectively limit opportunities for threat actors to compromise networks and systems.	重要機能の運用に不可欠なネットワーク・情報システムおよび技術は、サイバー攻撃から保護されている。重要機能に対するリスクに関する組織的な理解に基づき、堅牢かつ信頼性の高い保護セキュリティ対策を採用し、脅威アクターがネットワークやシステムを侵害する機会を効果的に制限する。
B4.a Secure by Design	B4.a 設計段階でのセキュリティ確保
You design security into the network and information systems that support the operation of the essential function(s). You minimise their attack surface and ensure that the operation of the essential function(s) should not be impacted by the exploitation of any single vulnerability.	重要機能の運用を支えるネットワークと情報システムにセキュリティを設計段階から組み込む。攻撃対象領域を最小化し、単一の脆弱性の悪用によって重要機能の運用が影響を受けないことを保証する。
B4.b Secure Configuration	B4.b セキュアな構成
You securely configure network and information systems that support the operation of your essential function(s).	重要機能の運用を支えるネットワークと情報システムを安全に構成する。
B4.c Secure Management	B4.c セキュアな管理
You manage your organisation's network and information systems that support the operation of your essential function(s) to enable and maintain security.	組織の重要機能の運用を支えるネットワークと情報システムを管理し、セキュリティの実現と維持を図る。
B4.d. Vulnerability Management	B4.d 脆弱性管理
You manage known vulnerabilities in network and information systems to prevent adverse impact on your essential function(s).	ネットワークと情報システムにおける既知の脆弱性を管理し、重要機能への悪影響を防止する。
Principle B5 Resilient networks and systems	原則 B5 レジリエンスのあるネットワーク及びシステム
Proportionate security measures are in place to protect network and information systems supporting essential functions from cyber attack.	重要機能を支えるネットワークと情報システムのセキュリティをサイバー攻撃から防御するため、適切なセキュリティ対策を実施する。
Principle	原則
The organisation builds resilience against cyber attack and system failure into the design, implementation, operation and management of systems that support the operation of your essential function(s).	組織は、重要機能の運用を支えるシステムの設計、実装、運用、管理に、サイバー攻撃やシステム障害に対するレジリエンスを組み込む。
B5.a Resilience Preparation	B5.a レジリエンス準備
You are prepared to restore the operation of your essential function(s) following adverse impact to network and information systems.	ネットワークと情報システムへの悪影響発生後、重要機能の運用を復旧する準備を整える。
B5.b Design for Resilience	B5.b レジリエンスを考慮した設計
You design the network and information systems supporting your essential function(s) to be resilient to cyber security incidents. Systems are appropriately segregated and resource limitations are mitigated.	重要機能を支えるネットワークと情報システムは、サイバーセキュリティインシデントに対するレジリエンスを考慮して設計されている。システムは適切に分離され、リソース制約は緩和されている。
B5.c Backups	B5.c バックアップ
You hold accessible and secured current backups of data and information needed to recover operation of your essential function(s) following an adverse impact to network and information systems.	ネットワークと情報システムへの悪影響発生後、重要機能の運用を回復するために必要なデータ及び情報の、アクセス可能かつ安全な最新のバックアップを保持している。
Principle B6 Staff awareness and training	原則 B6 スタッフの意識向上およびトレーニング
Proportionate security measures are in place to protect network and information systems supporting essential functions from cyber attack.	重要機能を支えるネットワークと情報システムのセキュリティをサイバー攻撃から防御するため、適切なセキュリティ対策が講じられている。
Principle	原則
Staff have appropriate awareness, knowledge and skills to carry out their organisational roles effectively in relation to the security of network and information systems supporting the operation of your essential function(s).	スタッフは、重要機能の運用を支えるネットワークと情報システムのセキュリティに関して、組織内の役割を効果的に遂行するための適切な認識、知識、技能を有している。
B6.a Cyber Security Culture	B6.a サイバーセキュリティ文化
You develop and maintain a positive cyber security culture and a shared sense of responsibility.	積極的なサイバーセキュリティ文化と責任の共有意識を醸成し維持する。
B6.b Cyber Security Training	B6.b サイバーセキュリティ研修
The people who support the operation of network and information systems supporting your essential function(s) are appropriately trained in cyber security.	重要機能を支えるネットワークと情報システムの運用を支援する要員は、サイバーセキュリティに関して適切な研修を受けている。
CAF Objective C - Detecting cyber security events	CAF目標C - サイバーセキュリティ事象の検知
Capabilities exist to ensure security defences remain effective and to detect cyber security events affecting, or with the potential to affect, essential functions.	重要機能に影響を及ぼす、または及ぼす可能性のあるサイバーセキュリティ事象を検知し、セキュリティ防御が効果を維持することを保証する能力が存在する。
Principle C1 Security monitoring	原則 C1 セキュリティ監視
Capabilities exist to ensure security defences remain effective and to detect cyber security events and incidents adversely affecting, or with the potential to adversely affect, essential function(s).	セキュリティ防御が効果を維持し、重要機能を悪影響する、または悪影響する可能性のあるサイバーセキュリティ事象やインシデントを検知する能力が存在する。
Principle	原則
The organisation monitors the security status of network and information systems supporting the operation of essential function(s) in order to detect  security events indicative of a security incident.	組織は、セキュリティインシデントを示すセキュリティ事象を検知するため、重要機能の運用を支えるネットワークと情報システムのセキュリティ状態を監視する。
C1.a Sources and Tools for Logging and Monitoring	C1.a ログ記録と監視のためのソースとツール
The data sources that you include in your logging and monitoring allow for timely identification of events which might adversely affect the resiliency of network and information system(s) supporting the operation of your essential function(s).	ログ記録と監視に含めるデータソースは、重要機能の運用を支えるネットワークと情報システムのレジリエンシーに悪影響を及ぼす可能性のある事象をタイムリーに特定できるようにする。
C1.b Securing Logs	C1.b ログの保護
You hold log data securely and grant appropriate user and system access only to accounts with a business need. Log data is held for a suitable retention period, after which it is deleted.	ログデータを安全に保持し、業務上の必要性があるアカウントにのみ適切なユーザーおよびシステムアクセスを許可する。ログデータは適切な保持期間を経て削除される。
C1.c Generating Alerts	C1.c アラートの生成
Evidence of potential security incidents contained in your monitoring data is reliably identified and where appropriate triggers alerts.	監視データに含まれる潜在的なセキュリティインシデントの兆候は確実に識別され、必要に応じてアラートをトリガーする。
C1.d Triage of Security Alerts	C1.d セキュリティアラートのトリアージ
You contextualise alerts with knowledge of the threat and your systems, to identify those security incidents as well as responding to all alerts appropriately.	脅威と自組織のシステムに関する知見に基づきアラートを文脈化することで、セキュリティインシデントを特定するとともに、全てのアラートに適切に対応する。
C1.e Personnel Skills for Monitoring Tools and Detection	C1.e 監視ツールと検知のための要員スキル
Monitoring and detection personnel skills and roles, including those outsourced, reflect governance and reporting requirements, expected threats and the complexities of the network or system data they need to use. Monitoring and detection personnel have sufficient knowledge of network and information systems and the essential function(s) they need to protect.	監視および検知要員のスキルと役割（外部委託分を含む）は、ガバナンスおよび報告要件、想定される脅威、ならびに彼らが使用する必要のあるネットワークまたはシステムデータの複雑性を反映している。監視および検知要員は、ネットワークと情報システム、ならびに防御すべき本質的な機能について十分な知識を有している。
C1.f Understanding User's and System's Behaviour, and Threat Intelligence (within Security Monitoring)	C1.f ユーザーおよびシステムの行動、ならびに脅威インテリジェンスの理解 （セキュリティ監視内）
Threats to the operation of network and information systems, and corresponding user and system behaviour, are sufficiently understood. These are used to detect cyber security incidents.	ネットワークおよび情報システムの運用に対する脅威、ならびに対応するユーザーおよびシステムの行動が十分に理解されている。これらはサイバーセキュリティインシデントの検知に活用される。
Principle C2 Threat Hunting	原則 C2 脅威ハンティング
Capabilities exist to ensure security defences remain effective and to detect cyber security events and incidents adversely affecting, or with the potential to adversely affect, essential function(s).	セキュリティ防御が効果を維持し、重要機能を損なう、または損なう可能性のあるサイバーセキュリティイベントやインシデントを検知するための能力が存在する。
Principle	原則
The organisation proactively seeks to detect, within networks and information systems, adverse activity affecting, or with the potential to affect, the operation of essential functions even when the activity evades standard security prevent/detect solutions (or when standard solutions are not deployable).	組織は、標準的なセキュリティ防止/検知ソリューションを回避する活動（または標準ソリューションが展開不可能な場合）であっても、ネットワークと情報システム内で、重要機能の運用に影響を与える、または影響を与える可能性のある有害な活動を積極的に検知しようとする。
C2.a Threat Hunting	C2.a 脅威ハンティング
CAF Objective D - Minimising the impact of cyber security incidents	CAF目標D - サイバーセキュリティインシデントの影響最小化
Capabilities exist to minimise the adverse impact of a cyber security incident on the operation of essential function(s), including the restoration of those function(s) where necessary.	必須機能の運用に対するサイバーセキュリティインシデントの悪影響を最小化する能力が存在し、必要に応じて当該機能の復旧を含む。
Principle D1 Response and recovery planning	原則 D1 対応および復旧計画
Capabilities exist to minimise the adverse impact of a cyber security incident on the operation of essential functions, including the restoration of those function(s) where necessary.	サイバーセキュリティインシデントが重要機能の運用に及ぼす悪影響を最小限に抑える能力が存在する。これには、必要に応じて当該機能を復旧させることも含まれる。
Principle	原則
There are well-defined and tested incident management processes in place, that aim to ensure continuity of essential function(s) in the event of system or service failure. Mitigation activities designed to contain or limit the impact of compromise are also in place.	システムまたはサービスの障害発生時に重要機能の継続性を確保することを目的とした、明確に定義されテスト済みのインシデント管理プロセスが整備されている。侵害の影響を封じ込めまたは制限するための緩和活動も実施されている。
D1.a Response Plan	D1.a 対応計画
You have an up-to-date incident response plan that is grounded in a thorough risk assessment that takes account of network and information systems supporting the operation of your essential function(s) and covers a range of incident scenarios.	必須機能の運用を支えるネットワークと情報システムを考慮した徹底的なリスクアセスメントに基づき、多様なインシデントシナリオを網羅した最新のインシデント対応計画を有している。
D1.b Response and Recovery Capability	D1.b 対応・復旧能力
You have the capability to enact your incident response plan, including effective limitation of impact on the operation of your essential function(s). During an incident, you have access to timely information on which to base your response decisions.	インシデント対応計画を実行する能力を有しており、これには重要機能の運用への影響を効果的に制限する能力が含まれる。インシデント発生時には、対応判断の根拠となるタイムリーな情報にアクセスできる。
D1.c Testing and Exercising	D1.c テストと演習
Your organisation carries out exercises to test response plans, using past incidents that affected your (and other) organisation, and scenarios that draw on threat intelligence and your risk assessment.	組織は、自組織（および他組織）に影響を与えた過去のインシデントや、脅威インテリジェンスとリスクアセスメントに基づくシナリオを用いて、対応計画をテストする演習を実施している。
Principle D2 Lessons Learned	原則 D2 教訓の活用
Capabilities exist to minimise the adverse impact of a cyber security incident on the operation of essential functions, including the restoration of those function(s) where necessary.	重要機能の運用に対するサイバーセキュリティインシデントの悪影響を最小限に抑える能力が存在する。これには必要に応じて当該機能を復旧させることも含まれる。
Principle	原則
When an incident occurs, steps are taken to understand its causes and to ensure remediating action is taken to protect against future incidents.	インシデント発生時には、その原因を把握し、将来のインシデント防御に向けた是正措置を確実に講じるための手順が実行される。
D2.a Post Incident Analysis	D2.a インシデント後の分析
When an incident occurs, your organisation takes steps to understand its causes, informing appropriate remediating action.	インシデント発生時、組織はその原因を把握し、適切な是正措置を講じるための手順を実行する。
D2.b Using Incidents to Drive Improvements	D2.b インシデントを活用した改善
Your organisation uses lessons learned from incidents to improve your security measures.	組織はインシデントから得た教訓を活用し、セキュリティ対策の改善に役立てる。

 

・[PDF]