ISACAニュースダイジェスト

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2025年12月9日　17:00(UTC)～60分、1CPE
「ウェビナー －人工知能の現状」
[Webinar—The State of Artificial Intelligence]
人工知能（AI）は急速に進化し、企業への導入が加速している。金融、小売、ヘルスケア、製造業など、多くの業界で効率性が大幅に向上している。何が現実で、何が単なるハイプ（過熱）なのか？ ビジネスリーダーは、組織を率いてこのテクノロジーを導入する際に、何を考慮すべきか？ なぜAIガバナンスが成功の鍵となるのか？ このウェビナーでは、2025年の人工知能の主要な進歩と、AIの方向性に関する重要な洞察を解説し、2026年に向けて講じるべき戦略的および戦術的なステップを提言する。

・2025年12月11日　17:00(UTC)～60分、1CPE
「ウェビナー - Salesloft/Drift の教訓: サードパーティおよびフォースパーティのソフトウェアセキュリティ問題」
[Webinar—Salesloft/Drift Lessons: The 3rd & 4th Party Software Security Problem]
Salesloft/Driftのセキュリティ侵害は、今日のソフトウェアサプライチェーンの脆弱性を改めて浮き彫りにした。サードパーティ製の商用ソフトウェアとそのフォースパーティ製コンポーネントを安全に実装することは、今日のアプリケーションセキュリティおよびリスク管理にとって必須事項である。多くの組織は、商用ソフトウェアのリスクへのアプローチを成熟させている段階にあり、拡張性のない旧式のプロセスに依存しているケースが少なくない。
このウェビナーは、成熟度曲線を理解し、自信を持って前進するための方法を学ぶのに役立つ。企業が効率を500%以上向上させ、コンプライアンスを大幅に強化した成功事例を紹介する。

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「リスク専門家のためのISACAリソーストップ10」
[Ten Top ISACA Resources for Risk Professionals]
リスク管理の専門家は、企業における人工知能（AI）などの新興技術の導入増加によって加速する、絶えず変化するデジタルエコシステムへの対応という大きな課題に直面している。
以下は、ITリスク管理の専門家が最新情報を把握し、リスク環境の継続的な変化に備えるために役立つ、ISACAが提供している10の主要リソースである。

① リスクITフレームワーク 第2版
リスクITフレームワークは、リスク、機会、セキュリティ、そしてビジネス価値を最適化するためのガイドラインと実践例を提供し、実務家があらゆるレベルの企業でITリスクに関する意思決定の合意形成を行うことを支援する。

② ITリスクスターターキット
このスターターキットは、組織におけるITリスクプログラムの構築を支援する。キットに含まれる詳細なテンプレートとガイドを活用することで、実務家は一貫性のある統合的なリスク管理アプローチを確立し、リスク監視のためのガバナンス構造を整備し、リスクを把握・報告するためのエスカレーションプロセスを構築することができる。

③ AI時代におけるリスク選好度とリスク許容度の適用
この@ISACAニュースレターの記事では、リスク専門家のMary Carmichaelが、特にAIの導入におけるリスク選好度とリスク許容度の違いについて解説している。

④ リスクIT実務者ガイド 第2版
実務者がリスク管理手法を日常業務で活用するための役立つ様々なハウツー情報を掲載した「リスクIT実務者ガイド」は、ビジネスコンテキストと具体的なI&T資産を結び付けること、共通のリスク言語の使用に重点を置いていること、そして企業が重要な管理権限を持つ活動に焦点を移していることが特徴である。このリソースは、「リスクITフレームワーク」に記載されている活動をどのように達成するかについて、実践的なガイダンスを提供する。

⑤ リスクシナリオツールキット
リスクシナリオを活用することで、リスクチームがリスクを理解し、ビジネスプロセスオーナーやその他の関係者に説明できるようになるため、リスク管理の取り組みを強化できる。このツールキットには、87のリスクシナリオと、リスクシナリオを理解するための詳細なガイドが含まれている。

⑥ 見落とされがちな新興テクノロジー関連のリスク8つとその軽減方法
この@ISACAニュースレターの記事では、新興テクノロジーに関連する見落とされがちなリスクと、それらを軽減するための効果的な戦略について解説している。

⑦ IT Risk Fundamentals認定資格
ITリスク基礎認定資格は、リスク管理のキャリアをスタートさせたばかりの専門家が、企業リスク担当者やITリスク担当者との円滑なコミュニケーションに必要な知識を習得するのに役立つ。この認定資格は、リスク入門、リスク評価と分析、リスク特定、リスクガバナンスとマネジメント、リスク対応、リスク監視・報告・コミュニケーションの6つのトピック領域を網羅している。

⑧ COBIT重点分野：COBIT 2019を用いた情報技術リスク
このリソースは、COBITをITリスク実務に適用する方法についてのガイダンスを提供する。ガバナンスとマネジメント目標に関するCOBITコアガイダンスに基づき、リスク固有の実務と活動に焦点を当て、リスク固有の指標を提供している。

⑨ サイバーリスク戦略を強化する実証済みの施策
このISACA Now Blog記事では、著者のMaman Ibrahimが、サイバーリスクのための戦略的かつ常時稼働のコマンドセンターであるリスクオペレーションセンターを構築するための、独自の綿密なロードマップを概説している。

⑩ 公認情報システムリスク管理者認定（CRISC）
ISACAが認定する世界的に評価の高い公認情報システムリスク管理者認定（CRISC）は、組織のビジネスレジリエンス（事業回復力）を強化し、企業全体のリスク管理を最適化する方法を実務者が習得するのに役立つ。CRISC試験は、リスク環境の最新の動向を反映するため、2025年11月から改訂された。

※10個の番号は分かり易いように文責者が付けました。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「サイバーリスク管理簿を戦略的資産として再配置」
[Repositioning Cyberrisk Registers as Strategic Assets]
サイバーインシデントの規模とコストは劇的に増大している。実際、Cyentia Instituteによると、2008年以降、攻撃の頻度は7.5倍、コストは15倍に増加し、平均コストは300万米ドルに達している。すべての侵害が企業の倒産につながるわけではないが、この増加傾向は、現代の企業にとってサイバーリスクがいかに深刻化しているかを反映している。
この傾向に立ち向かい、サイバーセキュリティが市場の安定において中心的な役割を果たしていることを認識し、世界中の規制当局は、組織のステークホルダーがサイバーリスクを統制・管理する方法を再構築しようとする法律を導入している。例えば、欧州連合のNIS 2指令などの規制では、経営幹部に対し、サイバーリスク管理戦略を監督することだけではなく、さらに重要な点として、戦略を理解し承認することについての直接的な説明責任を課している。
このように経営幹部の責任水準が引き上げられたことは、コーポレートガバナンス慣行におけるより広範な変革を反映している。組織が実際に新しい法令の対象となるかどうかに関わらず、世界中のステークホルダーは、取締役会によるサイバーセキュリティ問題への関与が、投資家の信頼と長期的な競争力を維持するための基本的な期待となっていることを認識し始めている。
しかしながら、経営幹部による関与の多くは、依然として限定的である。取締役会はガバナンス、リスク、コンプライアンス（GRC）チームとのより定期的なコンタクトを取っているかもしれないが、こうしたやり取りの実質的な内容は、洞察を深めるためではなく、文書化のために構築された従来のスプレッドシートベースのリスク管理簿に依存している。
これらのリスク管理簿は通常、主観的な発生可能性と曖昧な分類ラベルに依存しており、リスクを具体的に評価する能力を低下させている。その結果、コミュニケーションが停滞し、どのサイバー損失シナリオが最大の脅威となるのか、どの緩和戦略が最も効果を発揮するのか、あるいはサイバーセキュリティリソース全体をどのように最適化するのかについて、リーダー間で真の理解が得られないことがよくある。

・「元従業員データの安全な管理：実践的なアプローチ」
[Secure Management of Former Employee Data: A Practical Approach]
従業員が組織を退職した瞬間から、情報セキュリティと規制遵守に関する一連の重要な対応が始まるが、これらの対応はしばしば見過ごされてしまう。
経営陣、人事部、IT部門はしばしば軽視しているが、退職した従業員のアカウント、メールボックス、デジタルファイルの管理は、合法性、プライバシー、追跡可能性といった厳格な基準に基づいて管理されなければ、重大なリスク要因となる。しかし、組織は著者の実環境での経験に基づいて開発された実用的な手順を導入することができる。この手順は、EU一般データ保護規則（GDPR）、ITガバナンス基準、倫理的データ保護原則などのガイダンスと整合が取れており、組織が退職した従業員のデータを安全に管理するプロセスを支援することができる。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「私が考えを変えて、もう一つの認定試験：AAISMを受けた理由」
[Why I Changed My Mind and Took Yet Another Certification Exam: AAISM]
壁一面に資格を積み上げているサイバーセキュリティのプロフェッショナルとして、まさかまた資格を取得することになるとは思ってもいなかった。しかし今、私はAdvanced in AI Security Management (AAISM) の深みに浸っている。そして、これは一味違う。
ISACAのAAISMは、AIに特化したセキュリティ管理認定資格として世界初かつ唯一の資格である。経験豊富なITプロフェッショナルがAI特有のリスクを管理できるよう特別に設計されている。この資格を取得することで、企業のセキュリティ体制を強化し、従来のツールやトレーニングでは十分に対応できないAI特有の脅威から企業を守れるようになる。
AAISMを取得することで、組織全体で責任を持って効果的にAIを活用できるようになる。これは、インフラストラクチャのセキュリティ確保だけでなく、インテリジェンスそのもののセキュリティ確保にもつながる。

・「性別と人種だけで判断するとAIのバイアスが悪化する理由」
[Why Stopping at Gender and Race Makes AI Bias Worse]
AIのバイアスに関する見出しは、多くの場合、性別や人種について触れている。しかし、ほとんどの議論はそこで終わる。しかし、AIにおけるバイアスはより広範囲に及び、複雑で、微妙なニュアンスを帯びている。性別や人種だけに固執するのは、たった2ページだけを見て本を読むようなもの。
アルゴリズムバイアスは、AIシステムが、AIが学習するデータ、モデルの構築方法、あるいはその両方に基づいて、不公平または偏見のある決定を下すときに発生する。AIは、雇用者、融資を受ける人、さらには医療提供方法にまで影響を与えるようになっているため、これらのバイアスは重要であり、人々の生活や未来を形作っている。
バイアスは、社会経済的地位、地理、年齢、障害、言語、そして複雑に絡み合ったアイデンティティの網の中に潜んでいる。このブログ記事では、AIに潜む目に見えないバイアスを明らかにし、デジタルトラストの専門家がどのように対処できるかを解説する。

・「人工知能時代のオペレーショナル・レジリエンス」
[Operational Resilience in the Age of Artificial Intelligence]
オペレーショナル・レジリエンスは、組織の機能と業務オペレーションを支える、静かで力強い柱である。グローバル金融の重要な銀行業務、通信業界のバックルーム、重要インフラのコントロールセンターなど、あらゆる場面でレジリエンスが、企業がショックに耐え、災害発生時に価値を創出し続けられるかどうかを左右する。
2025年には、レジリエンスはもはや従来のリスク管理簿や緊急時対応ファイルでは定義されない。いま私たちは、人工知能（AI）が業界だけでなく、未来の手法や予測をも定義するという時代にいる。混乱を予測し、対応し、適応する方法は、AIのサポートによって形作られるようになった。このブログ記事では、AI時代におけるオペレーショナル・レジリエンスの新たな意味と、それが組織にとってなぜ重要なのかを考察する。さらに、リーダーが自動化、リスク、そして機会という曖昧な境界線を乗り越えるために、どのように戦略を再考すべきかについても触れる。

・「ISO 42001: AIのスピードと安全性のバランス」
[ISO 42001: Balancing AI Speed & Safety]
ISO 42001は、世界初の認証可能なAIマネジメントシステム規格であり、AIを安全かつセキュアに、そして大規模に運用するためのプレイブックである。AI版ISO 27001は、イノベーションと監視を融合させた、反復利用可能で、かつ監査可能なフレームワークである。
ISO 42001への準拠は、構築するLLMモデルや採用するAIベンダーに関わらず、組織がイノベーションと監視のバランスを取りながら、責任あるAI管理を実現するのに役立つ。重要なのは、リスク管理、データガバナンス、文書化、監視、セキュリティ、安全性など、EU AI法の重要な要件の一部に対応していることである。これにより、ISO 42001は、場所や特定の技術に依存しない上位の管理フレームワークとして機能するだけでなく、コンプライアンスに向けてのツールキットとしても機能する。
実用的な観点から見ると、ISO 42001は、EU AI法のリスクベース、透明性、そして人的監視の期待と密接に連携しており、規制当局やサプライチェーンのAI監査人が期待するマネジメントシステムの基盤を備えている。また、当該規格は、計画、実行、リスクチェック、パフォーマンス追跡、そして継続的な改善に至るまで、AIのあらゆる段階に倫理、透明性、公平性、そしてセキュリティを組み込むための、繰り返し使用でき監査可能なプレイブックを提供する。
ISO 42001は準備段階への近道となるかもしれないが、法的保護にはならない。EU AI法の厳格な規制が施行される前に、AIセキュリティとガバナンスの基盤を構築する。整合性があれば十分な場合もある。ビジネスリスク許容度によっては認証が必須ではない場合もあるが、認証取得はAIセキュリティとガバナンスの成熟度を示すメッセージとなる。

・「ISACA財団奨学金受給者がサイバーセキュリティの未来に目を向ける」
[ISACA Foundation Scholarship Recipients Look to the Future of Cybersecurity]
編集者注：ISACA財団は、サイバーセキュリティ分野の学部または大学院課程を目指す世界中の学生を支援するため、毎年サイバーセキュリティ月間奨学金を提供している。受賞者は、学費の支援に加え、専門能力開発を促進するためのキャリア構築支援パッケージを受け取る。
不安定なサイバー脅威環境、サイバー防御者と攻撃者双方にとっての人工知能（AI）の影響力の増大、そしてデジタル中心のビジネスエコシステム。これらにより、サイバーセキュリティ分野への参入は今、非常に魅力的な時代となっている。ISACA財団サイバーセキュリティ月間奨学金受賞者は、この挑戦に意欲的に取り組んでいる。
サイバーセキュリティ分野の将来像を展望する中で、多くの奨学金受賞者がAIの急速な影響力を最も強く意識している。

・「エアギャップが消えるとき：ITとOTの連携」
[When Air-Gaps Vanish: Making IT and OT Play Nice]
数年前、ある顧客の工場近代化を支援していた友人が、心に深く刻まれたエピソードを語ってくれた。顧客は、IoTセンサーと予測アルゴリズムを用いて最適な生産効率を目指し、現場からのリアルタイム分析をクラウドベースのダッシュボードに統合する計画を立てていた。
何が問題だったのか？ OTチームはシステムをパブリッククラウドに接続したことがなく、そのことに不安を感じていた。
友人はためらいを理解できた（そして今、私も理解できる）。PLC（プログラマブルロジックコントローラー）と産業用制御システムは、製造業の目標（安定性、稼働率、安全性）を満たすために構築されたもので、サイバーレジリエンス（回復力）は考慮されていなかった。しかし、経営陣はすでにデジタルトランスフォーメーションの導入を決定し、その責任を彼に負わせていた。このシナリオで得られた重要な教訓は、単なる技術的な問題ではなく、企業文化の変革が必要だということである。
この話に触発され、私はISACA Journal（※この記事の 閲覧にはログインが必要です。）で、ITとOTの融合と、それが主要な「非ハイテク」産業（製造業、エネルギー、物流、さらには日用消費財セクター）におけるサイバーセキュリティの優先順位をどのように再設定しているかについて考察した。本記事では、現実世界でこの隔たりを埋める方法について、重要な実践的な学びをいくつか紹介したいと思う。

<<ISACA Journal>>

「2025年第５号 コンプライアンスの難問」
[2025 Volume5 Compliance Conundrum]

・「コンプライアンス債務の増大するコスト」
[The Growing Cost of Compliance Debt]
急成長を遂げるあるテクノロジー企業は、クラウド移行の期限に間に合わず苦戦していた。新プラットフォームの導入を急ぐあまり、本来であれば導入後に修正する予定だった重要なコンプライアンス活動を怠ってしまった。そして6ヶ月後の監査で不合格となり、企業は評判の失墜を含む深刻な問題に直面した。
このような状況は、このケースでは仮定の話だが、決して珍しいことではない。コンプライアンス債務は静かに蓄積され、突如として予期せぬ問題を引き起こす。これらの問題は、罰金、評判の失墜、監査不合格といった結果につながるまで、気づかれないまま放置されることがしばしばある。こうしたミスは、適切な作業（リスクアセスメント、コントロールマッピングなど）を完了するよりも、最終的に大きなコストを負担することになりかねない。
コンプライアンス債務とその影響を回避するには、まずそれがどのように発生し、どのような形をしているのか、そしてどのようなリスクをもたらすのかを理解することから始まる。そうすることで、企業はコンプライアンスの達成、顧客の信頼の構築（そして維持）、そして市場におけるリーダーとしての地位を確立するための態勢をより強固なものにすることができる。

・「集合知：サイバーセキュリティコミュニティにおけるシステム的負債」
[Collective Intelligence: A Systemic Debt in the Cybersecurity Community]
集合知（CI）とは、個人から成る集団が、個々のメンバーが持つよりも優れた理解力、創造性、そして問題解決能力を発揮できる、創発的な能力と定義される。しかしながら、サイバーセキュリティの分野では、CIの発展を促進する実践は依然として多くなく、断片化している。この概念は、学際的な視点から理解し、サイバーセキュリティの防御エコシステムにおける「システム的負債」として分析する必要がある。
ソフトウェア開発の専門家であるMartin Fowler は、「技術的負債」を、長期的な品質よりも迅速なデリバリーを優先する開発上の意思決定の蓄積された結果と定義している。 
ますます巧妙化する攻撃に直面する中、サイバー専門家間のCIの欠如は「システム的負債」となる。構造的、文化的、そして技術的な欠陥の蓄積は、サイバー防御コミュニティの連携の可能性を十分に発揮することを妨げている。「技術的負債」の概念と同様、CIの欠如はサイバー防御戦略の効率性、回復力、そして適応性を損なう負債となる。
この概念をさらに推し進めると、「システム的CI負債」は、防御者間の効果的な知識共有を可能にする協調的なインフラ、プロセス、そして文化への投資不足であると定義される。この負債は時間の経過とともに蓄積され、敵対者に対する防御をますます阻害してしまう。
※この記事は、昨今増々脅威となるランサムウェア等のサイバー攻撃に対応する上で、貴重なヒントになると考えます。攻撃者のCIに対して、防御者のCIが弱いことが問題で、このシステム的負債を戦略的資産にシフトするための事例や考え方が含まれています。

・「自動化を活用したリスク評価の強化」
[Leveraging Automation for Enhanced Risk Assessment]
金融機関におけるガバナンス、リスク、コントロール（GRC）チームは、潜在的なリスク要因を特定、評価、軽減するためのアプリケーションリスク評価を実施する上で不可欠である。このプロセスは、組織資産の保護と規制要件へのコンプライアンス維持に不可欠である。
このプロセスにおける大きな弱点の一つは、アプリケーションに関する知識不足である。アプリケーションの特性を十分に理解していないと、潜在的な脆弱性を見落とし、不完全または不正確な評価につながる可能性がある。その結果、リスクへのエクスポージャーが増大し、規制基準へのコンプライアンスが阻害される可能性がある。
ヨーロッパの大手金融機関で実施された監査では、アプリケーションに関する知識不足が潜在的な問題として特定された。監査人は、アプリケーション所有者が実行する不正確なリスク評価への依存を減らすために、金融機関に対してデータ ポイントを活用した自動化を導入することを推奨した。