ISACAニュースダイジェスト

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2027年4月7日　12:00pm (CT) まで視聴可能　60分、1CPE
「LeadHERshipウェビナー—ルールを書き換える：Z世代はサイバーセキュリティの未来をどのように形作るか」
[LeadHERship Webinar—Rewriting the Rules: How Gen Z is Shaping the Future of Cybersecurity]

Z世代（※1990年代後半〜2010年前後生まれ：生まれた時からスマホ・SNSが前提）はオンラインで育ち、AIの普及などを経験する中で、サイバーセキュリティに対する独自の視点を持っている。 NPO設立やスタンフォード大サイバーチームでの優勝経験を持つカイラ氏は、自身の経験を活かして実践的な戦略を共有する。 現在Anthropicで活躍する彼女の講演は、若手プロフェッショナルや次世代育成を目指すリーダーに向けたものである。 講演では、サイバーセキュリティの影響力や、Z世代が将来の労働力ニーズを満たす準備がいかに整っているかを探求する。 さらに、判断力やコミュニケーション能力、適応力といった人間的なスキルがこれまで以上に重要であることを強調している。

・2027年4月16日まで視聴可能   60分、1CPE
「マルチアプリケーション環境におけるエンタープライズ・アクセスリスクの管理」
[Webinar—Managing Enterprise Access Risk in a Multi-Application World]

業務アプリケーションの拡大に伴い、企業のアクセスガバナンスは分散化し、ますます複雑化している。 単一のERP環境向けに設計された従来のアクセス制御モデルでは、現代の運用環境に対応しきれなくなっている。 現代の企業ガバナンスの期待に応えるため、アクセスガバナンスがどのように適応すべきかを本セッションで検証する。

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「デジタルサプライチェーンにおける効率性と回復力のバランス」
[Balancing Efficiency and Resilience in Digital Supply Chains]

2025年、ジャガー・ランドローバー（JLR）は前例のないサイバー攻撃に見舞われ、英国史上最悪の事態となった。この攻撃は、収益の大幅な減少、生産停止、サプライチェーンの混乱を引き起こした。この甚大な混乱は、攻撃そのものだけでなく、JLRのシステム設計にも起因していた。システムは高い効率性を備えていたものの、十分な障害対策が欠けていたのだ。

これらのシステムは、通常の運用効率を最適化するために設計されていたものの、攻撃時に影響を受けたシステムを隔離するために必要な機能が欠けていた。その結果、システムが侵害された際、JLRに残された唯一の選択肢はシステム全体の停止だった。

ISACAの実務担当者にとって、この事例はガバナンスとシステム設計に関する重要な教訓となる。ガバナンスモデルは、システムがストレス下でどのように動作するかに焦点を当て、すべてのトレードオフが可視化され、十分に検討されていることを確認する必要がある。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「市販製品では不十分な場合：アイデンティティガバナンスにおけるカスタムコネクタの構築」
[When COTS Is Not Enough: Building Custom Connectors in Identity Governance]

※ 本稿は「IGA（アイデンティティ・ガバナンス＆アドミニストレーション）の標準コネクタでは、現実のアプリケーションに対応しきれない」という前提説明であり、対策リストではありません。日本では 標準コネクタの例としたAD(Active Directory) を含め、カスタマイズを前提とする場合が多く、IGA においても製品（COTS）任せにせず、“基盤”として設計する視点が必要です。

1. 標準コネクタが前提とする統制モデルは、実際の企業環境では成立しない。
2. その結果、アクセスが手作業で付与される“ガバナンスの空白領域”が発生する。
3. 空白領域では、孤立アカウント（※原文 orphan account）や過剰権限など、統制上の重大な問題が生じる。
4. IGA を“完成品”として扱うと、統制の実効性が確保できない。
5. IGA は“基盤”として扱い、組織側で統制を補完する必要がある。
6. 標準コネクタが対応できない領域では、統制が手作業に戻り、ガバナンスが弱体化する。
7. 結論として、IGA は“拡張して使うこと”を前提にしないと、ガバナンスが維持できない。

※なお、原文ではこの後に「持続可能なカスタムコネクタ開発」に関する 6 つの注意点が示されていますが、いずれも「こうしないと破綻する」という前提条件の説明であり、個別環境に応じた具体策ではありません。カスタムコネクタは組織固有の要件に左右されるため、一般化された“ベストプラクティス”として扱うことはできず、IGA も製品任せではなく“基盤”として設計する視点が必要です。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「組織の上層部がAIリスクを過小評価している5つの兆候」
[Five Signs your Organization is Underestimating AI Risk at Senior Levels]

責任あるリーダーシップの試金石としてのAI
AIは、リーダーシップの責任（アカウンタビリティ）を問う「ストレステスト」になりつつある。AIシステムが失敗した時、取締役会が技術的な原因に注目することは稀である。「誰が承認したのか」「誰が監視していたのか」「なぜ警告サインを見逃したのか」という点である。
上層部がAIリスクを過小評価している可能性がある5つの兆候を以下に挙げる。

1. ガバナンスの成熟よりもAIの導入が先行している
取締役会はAIリテラシーと競争力のある導入を求めているが、ガバナンス構造は後手に回りがちである。
リーダーはAI開発に遅れまいと「迅速に動く」ことにプレッシャーを感じる一方で、同時に安全性、コンプライアンス、回復力を保証することも期待されている。
設計から配備、継続的な利用に至るライフサイクル全体で、監視、テスト、レビューを行う能力よりもAIのユースケースが急速に拡大しているなら、すでにガバナンスのギャップが生じている可能性がある。

2. AIの稼働後、リスクの所有者が不明確になる
従来のリスクモデルは、配備前のチェックポイントや承認ゲートに依存することが多い。
しかし、AIは従来のシステムとは異なる挙動を示す。確立されたリスク管理原則を、より厳格かつ継続的に適用することが必要であり、「プロセスがテクノロジーを支配」しなければならない。
配備後のAIリスクを誰が所有し、どのように監視されているかを明確に説明できないのであれば、責任の所在はすでに曖昧になっている。

3. AIリスクを「ビジネスリスク」ではなく「技術的問題」として扱っている
AIの失敗はIT部門内だけにはとどまらない。レピュテーションの毀損、当局による調査、取締役会レベルの責任問題を引き起こす。
もしAIリスクの報告が、取締役会レベルの全社的リスク管理（ERM）に統合されず、技術部門の中だけで完結しているなら、リスクの露出を過小評価している可能性が高い。

4. ガバナンス枠組みが「書類上」は立派だが、実効性に欠ける
多くの組織が「責任あるAIの原則」や高度なポリシー、倫理声明を掲げているが、それらを完全に実運用に落とし込んでいる組織は少数である。

• 配備前にAI関連の脆弱性を評価する定義済みのプロセスがない
• モデルのパフォーマンスや意図しない結果に対するモニタリングが限定的
• サードパーティ製AIに対する明確なデューデリジェンスの手法がない
• 文書化や監査証跡が不一貫である

ガバナンスがプロセスではなく、主に文書としてのみ存在する場合、AIリスクは管理不十分なままである。

5. 経験豊富な実務者が、自社のAIリスク態勢を明確に説明できない
規制への期待は世界的に加速している。ステークホルダーは組織に対し、AIを責任を持って使っているという主張だけでなく、その「具体的な方法」を示すことを求めている。

• AIがどこで使用されているか
• ライフサイクル全体でリスクがどのように評価されているか
• サードパーティのAIリスクがどのように管理されているか
• 倫理的考慮事項がどのように監視体制に組み込まれているか

CRO、CISO、リスクディレクター、あるいは内部監査部門長など、リスクとガバナンスに直接の責任を持つ者にとって、これらの質問に答えられることは「任意」ではなく、弁明可能なAIリスクリーダーシップの「最低条件」である。

<<ISACA Journal>>

「2026年第２号 サプライチェーンにおける信頼の構築」
[2026 Volume2 Building Trust in the Supply Chain]

・「M&Aにおけるサイバーリスク・エージェントの価値」
[The Value of the Cyberrisk Agent in M&A]

M&Aにおけるデジタル・インテグリティの重要性
合併・買収（M&A）において、デジタルの完全性（デジタル・インテグリティ）への依存度はますます高まっている。サイバーセキュリティ・デューデリジェンス（CSDD）は標準化しつつあるが、多くの場合、依然として手作業で断片的なままである。サイバーリスク・エージェント（CRA）は、AIを活用したツールとしてこのギャップを埋める存在である。インベントリ（資産目録）、ログ、コンプライアンスデータなどのデューデリジェンス文書をレビューし、ISO/IEC 27001:2022、COBIT®、SWIFT、NISTサイバーセキュリティフレームワーク（CSF）などの標準規格に基づいて解釈する。

サイバーリスク・エージェント（CRA）の構造
CRAは、CSDDを「静的な文書確認」から「動的な自動解釈」へと変貌させる。RAG（検索拡張生成）と説明可能性メカニズム（出典の引用、推論ステップの可視化）を組み合わせることで、検証可能な証拠に基づいたアウトプットを提供する。

1. 入力層（Input layer）：
   ITデューデリジェンスで収集されるポリシー、インベントリ、ネットワーク図、監査証跡などの構造化・非構造化データを集約し、意味的解釈のために正規化する。
2. 分析エンジン（Analysis engine）：
   サイバーセキュリティやM&Aに関連したデータセットで微調整された大規模言語モデル（LLM）を核とし、管理策の成熟度とリスク露出シナリオを相関させ、異常値や「レッドフラッグ（警告）」を特定する。
3. 出力層（Output layer）：分析結果を、ステークホルダーがすぐに判断に使える形式で提供する。
4. 検証ループ（Validation loop）：
   「人間が介在する（Human-in-the-loop）」原則に基づき、ITおよびサイバーセキュリティの専門家がCRAの発見事項を検証する。これにより、説明責任を維持しながらアセスメントサイクルを加速させる。

実務において、CRAは技術専門家と意思決定者の間の「知的な翻訳者」として機能する。複雑なITドキュメントの解釈を加速させ、買い手と買収対象企業との対話を強化し、サイバーセキュリティの調査結果を取引の経済性やガバナンスと一致させる。

CRAアプローチの真の意義は、単なる財務数値ではなく、企業価値を反映するデジタル資産を基盤としている点にある。これにより、買い手にとってテクノロジー面の資産と負債がより具体化され、評価が極めて明快になる。