ISACAニュースダイジェスト Vol.124

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2025年11月19日　16:00(UTC)～60分、1CPE
「会員限定：リーダーシップシリーズウェビナー - コミュニティという芸術」
[Member-Exclusive Leadership Series Webinar—The Art of Community]

人とのつながりが減り、共に過ごす時間も減る時代では、孤独は誰もが痛感する流行病となっている。にもかかわらず、何かを変えるために力強く行動するすべを知っている人はほとんどいない。
チャールズ・ヴォグルは、つながりと帰属意識の文化を創造するというテーマに関連して、求められる多くをもたらしている。彼の処女作『The Art of Community』は、Google が世界中でつながりを構築する方法の基礎となった。彼のユニークな仕事は、組織史上最も孤独な時代であるこの極めて重要な時期に、リーダーシップが痛みに対処できるよう支援するという使命を反映している。真のコミュニティを活用しようとするリーダーやそれぞれのブランドは、それが長い道のりであり、チャールズが賢明で実績のあるガイドとして役立つことを知っておく必要がある。3000年にわたる精神的伝統をもとに、組織内や世界中のイノベーションと誠実さを促進する深いコミュニティと強靭な関係を築くための知識と原則を聴衆に伝えている。

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「シャドー IT からシャドー AI へ: 企業 リスクの新たな境地を切り拓く」
[From Shadow IT to Shadow AI: Navigating the New Frontier of Enterprise Risk]

今日の急速に変化するデジタル環境では、俊敏性が何よりも重要である。従業員は、仕事を遂行するためのより迅速で効率的な方法を常に模索しており、IT/ICT部門の管轄外のツールやプラットフォームに目を向けることがよくある。シャドー IT として知られるこの現象は、イノベーションの兆候であると同時に、セキュリティ上の懸念の高まりでもある。
シャドー IT とは、中央の IT/ICT チームからの明白な承認や監視なしに、ソフトウェア、ハードウェア、またはクラウド サービスを使用することを指す。従業員が個人のパブリックストレージアカウントを使用してファイルを共有したり、マーケティングチームがIT/ICTに通知せずに新しいSEOや分析ツールを採用したりすることを考えてみよう。シャドーITの理由は、多くの場合、組織の緊急性、認識の欠如、IT/ICTサービス管理の欠如、およびその労働文化によりプロセスをスキップすることに関連している。これに伴うリスクは、IT/ICTチームが可視性と制御を失い、システムの管理とインシデント対応が困難になる運用の非効率性に関連する。コンプライアンス違反は、規制基準を満たさないツールやデータ侵害が原因である。
AI の世界では、シャドー AI とは、IT/ICT 部門や CISO/セキュリティ チームの認識や同意なしに企業に侵入する、不正な AI ツールやAIアプリケーションの増殖である。個々の従業員や部門によって導入されたこれらの不正な AI システムやAIツールは、組織に重大なリスクをもたらし、セキュリティ、コンプライアンス、利益に影響を及ぼすだけでなく、組織のブランド価値への脅威となる可能性がある。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「アプリ開発の新時代」
[A New Era of App Development]

バイブコーディングと呼ばれる革新的な開発手法が、最近テクノロジー分野を席巻している。バイブコーディングとは、生成AIシステムとエージェント型AIを活用し、自然言語による指示を用いてソフトウェアアプリケーションを開発する手法を指す。バイブコーディングでは、AIに「パスワードリセット機能付きのログイン画面を作成」や「トークンベース認証付きのREST APIを生成」といった指示を出すなど、自然言語による指示手法を用いてアプリケーションをゼロから構築したり、他者が構築した既存の開発成果を記録的な速さでコピーしたりすることができる。例えば、AIエンジニアのKehan Zhang氏は、ClaudeコードとCursorコーディングインターフェースを用いて、実際のアプリケーション、具体的にはLovable※を再現することに成功した。これは、AIエージェントが最小限の手動介入で完全に機能する製品を再構築できることを示す。つまりバイブコーディングの効率性を示すだけでなく、知的財産権・所有権への懸念、そして既存のソフトウェアが同意なしに容易に複製・再配布される可能性に関する懸念も引き起こしている。バイブコーディングでは、SuperWhisperなどの音声テキスト変換エンジンを用いた音声によるインタラクションが組み込まれる場合もあり、多くの場合、コードレビューは最小限の手動レビューで済む。強力な言語モデルと最小限の手動レビューの組み合わせにより、技術に詳しくないユーザーでも、従来の開発の厳密さを回避し、機能プロトタイプを迅速に作成できる。
※自然言語での指示だけでWebアプリを開発できる生成AIプラットフォーム

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「フィッシングからニューロフィッシングへ：認知技術戦争の新たな境地」
[From Phishing to Neuro Phishing: A New Frontier in Cognitive Tech Warfare]

「次のサイバー戦争は、ネットワークの中ではなく、私たちの心の中で戦われるだろう。新たな武器はニューロフィッシングである。」
フィッシングは、偽装技術を超えてエスカレートしている。従来の攻撃は、タイプミス、急ぎの行動、そしてそれほどはうまく偽装されていないソーシャルエンジニアリングに頼っていた。しかし、今日のハッカーは、WormGPT や FraudGPT などの生成 AI、さらにはディープフェイクさえも活用して、日常の企業メッセージに簡単に紛れ込ますことができる文脈を考慮した完璧なメッセージを作成している。Cofense社 は、AI で強化された悪意のある電子メールを 42 秒ごとに受信しており、そのペースは今後数か月で加速すると予想されていると述べている。この急成長は、フィッシングがもはや周辺的な問題ではなく、AI主導の精度を持つ主流のサイバー犯罪であることを示している。

・「経験よりも適応力：サイバーセキュリティにおけるトップ人材の資質が変化した理由と、それがリーダーシップにとり何を意味するか」
[Adaptability Over Experience: Why Cybersecurity’s Top Talent Trait Has Changed, and What It Means for Leadership]

今日のサイバーセキュリティにおける最も危険なギャップは技術的な能力ではなく、精神的な能力に大きく関係している。
それが、ISACAの2025年サイバーセキュリティ状況レポートをレビューしたとき、私が最初に思ったこと。サイバーセキュリティの専門家を採用するための 第一要件として「適応力」がランク付けされたのを見たのはこれが初めてである。考えてみてほしい：昔、私たちの多くは、必要な経験がなかったためにサイバー分野に足を踏み入れることができなかった。今では、適応力は実務経験さえも凌駕するほど重要になっている。

<<ISACA Journal>>

「2025年第５号 コンプライアンスの難問」
[2025 Volume5 Compliance Conundrum]

・「サイバーセキュリティ、モビリティ、そしてコネクテッドエコシステム」
[Cybersecurity, Mobility, and the Connected Ecosystem]

道路を走るシャーシに4つの車輪が接続された機械という従来の車両のイメージは時代遅れになった。今日の車両は、高度なセンサー、プロセッサ、そしてコネクティビティ機能を備えた車輪付きの洗練されたコンパクトなコンピューターであり、人や物を輸送するだけでなく、環境と動的に相互作用する。「モビリティ産業」という用語でより広義に捉えられるこの分野では、安全性、効率性、ユーザエクスペリエンス、そしてセキュリティを向上させるため、車両同士やインフラと通信するコネクティッドカーの概念が長年受け入れられてきた。「Vehicle to Everything」(V2X)は、もはや突飛な概念ではない。車両設計者と関係者は、送信メッセージの安全な通信を保証するために、車両からインフラストラクチャ (V2I)、車両からクラウド (V2C)、車両からその他の外部エンティティへの通信を考慮する必要がある。
コネクティビティと並んで、シェアードモビリティサービスの台頭と自動運転技術の急速な発展により、人々の交通に対する考え方が変わりつつある。これらのイノベーションは業界に大きな変革をもたらし、焦点は純粋な機械工学から持続可能性、パーソナライゼーション、効率性、新しいビジネス モデルを優先するソフトウェア主導のエコシステムに移行している。デジタル化と自動化が融合するにつれ、自動車業界は複雑に相互接続されたネットワークへと進化し、従来のパラダイムに挑戦し、世界中で新たなモビリティの境地を切り開いている。この複雑につながるエコシステムでは、サイバー攻撃からの保護がますます重要になっている。