ISACAニュースダイジェスト

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2026年1月20日　 17:00 (UTC)～60分、1CPE
「2026年のプライバシーの状況」
[State of Privacy 2026]
世界中のプライバシー専門家を対象とした第6回年次プライバシー状況調査の結果を掘り下げ、プライバシー人材、予算、意識向上トレーニング、侵害、プライバシー・バイ・デザインといったトレンドを取り上げる。これらの主要なプライバシー分野のトレンドを把握することで、参加者がプライバシープログラムを再検討、再評価し、改善を図る助けになるだろう。

・2026年2月10日　 17:00 (UTC)～60分、1CPE
「GRCエンジニアリングの活用：GRCにおける新たな分野」
[Embracing GRC Engineering: A New Discipline in GRC]
従来のGRCアプローチは、現代のクラウド環境のスピードと複雑さに対応しきれないことがよくある。GRCエンジニアリングは、エンジニアリングのプラクティスをガバナンス、リスク、コンプライアンスに直接統合する新たな分野である。このセッションでは、組織がチェックリスト主導のコンプライアンスから、継続的なコンプライアンス、セキュリティの向上、そしてビジネス成果との整合性を実現するエンジニアリングファーストのモデルへと移行する方法を解説する。

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「サードパーティのセキュリティ管理と監視における自己満足を避けるための5つの重要な考慮事項」
[Five Key Considerations for Avoiding Complacency in Third Party Security Management and Monitoring]

サードパーティのセキュリティ管理と監視は、ここ数年、多くの組織の情報リスク、セキュリティ、ベンダーのコンプライアンス プログラムの焦点となっているが、期待された結果は未だ得られていない。そして、攻撃者は、ターゲット組織がターゲット組織のデータおよび情報インフラストラクチャに直接的または間接的にアクセスできるサードパーティを多用しているところに弱点があることを認識している。
多くの組織にとって、サードパーティセキュリティプログラムの焦点は、有効性から効率性へと移行している。これは、組織が機密情報を共有したり、事業運営を支援するサービスプロバイダーとして利用したりするサードパーティの数が膨大になったためである。その結果、多くの組織は、サードパーティセキュリティリスクを効率的に特定、管理、監視する機能の手法と実践（業界認証やソフトウェアプラットフォームの利用など）に、無条件の信頼を置くようになっている。しかし残念ながら、これらの手法と実践が効果を発揮するのは、ベンダーの管理、成熟、そして定期的な連携に深く関与することにより、組織の情報リスクとセキュリティに関する期待と要件が適切に特定され、満たされる場合にかぎられる。
組織がサードパーティのセキュリティ管理と監視における自己満足を回避するために重要なことは、次の 5つである。

1. 包括的なレビューの代替として第三者認証を利用することは避けるべき
2. 調査票の枠を超え、証拠の要求と検証を行う
3. 管理体制だけでなく、文化も評価する
4. セキュリティガバナンスと監視に関する組織の保証方法と実践を評価する
5. 主要なサードパーティ サービス プロバイダーおよびベンダーとの継続的な関係とコミュニケーション チャネルを構築および維持する

サードパーティのセキュリティ管理と監視に対する現在のアプローチが効果的であれば、セキュリティ攻撃や侵害の頻度と重大な影響は増加せず、むしろ異常事態にとどまるだろう。残念ながら、多くのサードパーティプロバイダーは、自己満足に甘んじ、適切かつ十分な情報セキュリティ能力と管理策の提供よりも、審査に合格することに重点を置いている。認証やセキュリティ調査票への回答を、公式見解ではなく、能力の指標と捉えるリスクベースの哲学に従うことで、評価組織はサードパーティのセキュリティ管理と監視へのアプローチを改善し、成熟させることができる。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「ISO/IEC 42001とEU AI法：AIガバナンスのための実践的な組み合わせ」
[ISO/IEC 42001 and EU AI Act: A Practical Pairing for AI Governance]

人工知能（AI）に関する規制義務と規則が発効し、段階的適用が進んでいる中、組織は差し迫ったコンプライアンス期限に直面している。AIはもはや実験ではなく、生産能力の一つであり、それに応じて規制当局の注目を集めている。
欧州（EU）  AI 法は包括的に AI を規制するものであり、汎用AI（GPAI）の透明性とガバナンスに関する義務については、すでに適用が開始されている。そして、国際標準化機構および国際電気標準会議（ISO/IEC）が策定した初の認証可能なAIマネジメントシステム規格である42001:2023 は、EU AI 法の要件を運用可能にする。EU AI 法はルールブックであり、 ISO/IEC 42001 はコンプライアンスを繰り返し実行および監査可能にするオペレーティングシステムである。
コンプライアンス期限に迫られている組織は、ガバナンス・フレームワークを確立するための行動を今すぐ起こす必要があり、EU AI法とISO/IEC 42001を組み合わせれば、コンプライアンスを混乱から、取締役会と監査人が理解でき、エンジニアリングチームが運用できる、安定した監査可能なシステムへと変革することが可能になる。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「量子耐性とコンプライアンス重視のアイデンティティおよびアクセス管理ソリューションの構築」
[Building a Quantum-Resilient, Compliance-First Identity and Access Management Solution]

アイデンティティおよびアクセス管理（IAM）は常にサイバーセキュリティの中核を担っており、その役割はますます重要になっている。システムの安全を維持するには、セキュリティとコンプライアンスを結び付けた統合的なアプローチが必要である。「コンプライアンス第一」の考え方は、単に法的要件を満たすことだけではなく、信頼を獲得し、量子コンピューティングのような将来の脅威に備えるための堅牢なセキュリティ基盤を構築することにある。
そうしたシステムの構築は、まず、6つの主要コンポーネントを統合することから始まる。

1. 集中型アイデンティティプロバイダー（IdP）
2. フェデレーション
3. コンテキスト認証
4. アクセス制御モデル
5. アイデンティティガバナンスと管理（IGA）
6. カスタマーアイデンティティおよびアクセス管理（CIAM）

このアーキテクチャは、今日のコンプライアンスニーズに対応するだけでなく、量子コンピューティングがもたらす非常に現実的なリスク、特に量子コンピュータが従来の暗号化ベースのセキュリティを破るという脅威を含む、将来への備えにも役立つ。アクセスの継続的な監視と動的なポリシー適用に重点を置くことで、暗号化のみに依存しない防御を構築できる。
これら6つのコンポーネントを基盤とする、堅牢でコンプライアンス重視のIAMソリューションにより、変化する脅威環境に適応する柔軟なセキュリティ態勢が構築される。これらのコンポーネントをビジネスニーズに合わせて連携させることで、アイデンティティ保証を強化し、機密データを保護し、将来を見据えたセキュリティ基盤が構築できる。

<<ISACA Journal>>

「2025年第６号 明日のテクノロジーを今日」
[2025 Volume6 Tomorrow's Tech, Today]

・「ニューロテクノロジーとPET：認知データの保護」
[Neurotech and PETs: Securing Cognitive Data]

プライバシーは重大な局面を迎えている。デジタルファイルの保護や取引の匿名化といった従来の枠組みを超え、今やドキュメント化されていない精神活動、さらには個人の思考や記憶の保護までもが求められるようになってきている。
ニューロテクノロジーは、脳－コンピュータインターフェース（BCI）や神経インプラントを用いて、脳と機械の連携を可能にするが、この技術開発は画期的な機会の提供とともに、深刻な危険をもたらす可能性も秘めている。ニューロテクノロジーと日常生活の融合が進むにつれ、デジタルデータと認知プライバシーの両方を保護するという課題に直面することになる。
今日的なプライバシー強化技術（PET）で個人の思考を保護できないのであれば、個人の自由、自律性、そしてアイデンティティを尊重しながら認知データを保護するための新たなフレームワークが必要とされることになるだろう。
政府も、ニューロデータの取得、保存、利用から生じる特有の問題に対処するために、ニューロテクノロジーに特化した規制を制定しなければならない。
ニューロテクノロジーが継続的に進歩し、日常生活と融合するようになるには、社会全体を保護する効果的なニューロセキュリティ対策が不可欠になる。強力なニューロセキュリティ基盤と適切なプライバシー保護こそが、デジタル時代において個人の自律性と自由を守る唯一の防御策である。