ISACAニュースダイジェスト Vol.127

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2026年2月17日　 17:00 (UTC)～60分、1CPE
「現代のクラウドにおける監査の盲点：監査で見逃されがちなリスク」
[Audit Blind Spots in Modern Cloud: Risks Audits Keep Missing]

組織がクラウドプラットフォームを急速に導入する中で、従来の監査アプローチでは、最も重要なリスクを特定できないケースが少なくない。このウェビナーでは、設定ミス、アイデンティティの無秩序な拡散、過剰な権限、効果のない継続的な監視など、現代のクラウド環境における一般的な監査の盲点を検証する。参加者は、チェックリストベースの監査が動的クラウド環境で不十分な理由、そしてクラウド・セキュリティ・ポスチャ管理（CSPM）とリスクベースの監査手法を活用することで、アシュアランスを大幅に向上できる方法を学ぶ。監査担当者とリスク管理担当者が可視性を高め、発見事項の優先順位付けを行い、経営陣に強力なアシュアランスを提供できる方法を、実例を交えて説明する。

・2026年2月24日　 17:00 (UTC)～60分、1CPE
「サイバーセキュリティ成熟度モデル認定（CMMC）：求められる要件、担当者の役割、およびプロフェッショナル資格について」
[CMMC: Requirements, Roles, and Professional Credentials]

このウェビナーでは、サイバーセキュリティ成熟度モデル認定（CMMC）の目的、対象者、評価基準など、実践的な概要を重点的に解説し、専門職やキャリアパスとの関連性についても解説する。参加者は、CMMCが個々の基準や期待値をどのように形成しているかを理解し、CCP、CCA、CCI、LCCAの各資格の違いや資格要件を把握するとともに、推奨トレーニングとリソース、試験および評価の準備、そして米国国防省（DoW）関連業務に従事するための資格維持に関するガイダンスなど、実践的な次のステップを習得できる。

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「ISACA、CMMCエコシステム全体にわたるトレーニング、認証機関として認可される」
[ISACA Authorized to Manage Training Certification Across CMMC Ecosystem]

ISACA は、米国国防省(DoW) のサイバーセキュリティ成熟度モデル認証 (CMMC) プログラムの新しい CMMC アセッサーおよびインストラクター認証機関 (CAICO) として認可された。これにより ISACA は、世界最大のサイバーセキュリティ認証プログラムである CMMC エコシステム内の個人のトレーニング、試験、専門認証を管理する、信頼できる資格認定リーダーとなった。

ISACA が CMMC プログラムに対して管理する資格は、CMMC 認定プロフェッショナル (CCP)、CMMC 認定アセッサー (CCA) およびリード CCA、CMMC 認定インストラクター (CCI) である。 
CMMCは、米国国防省（DoW）の主要プログラムであり、米国国立標準技術研究所（NIST）標準に基づき、防衛産業基盤（DIB）を保護するために構築され、国内外の何十万もの組織に影響を及ぼす。

米国国防省（DoW）と取引を行う組織は、防衛関連請負業者のサイバーセキュリティ慣行を評価・認証し、連邦政府の情報を適切に保護するためのCMMC（Common Security Council for Defense and Security Management Center）の一定レベルの認証を取得する必要がある。CMMCの正式な導入は2025年11月10日に開始され、その後3年間ごとに要件が強化され、2028年11月までの完全導入を目指す。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「AIガバナンス時代の現状：組織にとって重要な考慮事項とガイドライン」
[The Time for AI Governance is Now: Key Considerations and Guidelines for Organizations]

急速に進化する今日のテクノロジー環境において、リスク管理の専門家は、従業員が大規模言語モデル（LLM）やその他の人工知能（AI）対応ツールを使用して業務を自動化していることを認識している。また、従業員がプロンプトに機密情報を含める可能性を常に痛感している。サイバーセキュリティの専門家は、これらのテクノロジーのほとんどのユーザーが、生成型AIシステムが際限なく拡大し続ける機密情報のデータベースであることに気づいていないことを認識している。専門家がこれらのツールを利用するには、そのリスクも理解し、軽減する必要がある。しかし、ここで重要な問いかけがある。私たちは、AIのより大きな脅威、つまり、AIの無秩序な使用が批判的思考という人間にとって不可欠な要素を危険にさらし、不健全なビジネスリスクにつながる可能性があるという脅威に対処しているのか？

AIツールは急速に事実上の回答源となりつつあり、一部の人々はそれを真理のように扱っている。 AIシステムの急速な進化は広く認識されているが、より大きな懸念は、その応答に付随するコンテキスト(※情報を正しく理解するために必要な背景・状況・前提・意図・条件のこと)の欠如にある。AIへの究極の期待は、斬新（ユニーク）かつ収益化可能（商業的に実行可能）な情報を提示できるようになることである。現在のAIシステムは、通常、どちらか一方を非常にうまく実現しているが、両方を同時に実現することは困難である。
リスク管理の専門家や AI ガバナンス ポリシーを策定する人にとって、いくつかの重要な論点を理解することが重要である。

• AIの現在の限界
• AIシステムのセキュリティに関する透明性の欠如
• これらのツールの導入と並行して、人間のスキルと批判的思考を優先することの重要性

リスクの影響と可能性の評価などの企業のリスク管理活動にこれらの要素を考慮しなければ、リスク モデリングは不正確になり、タイムリーな対応をサポートできなくなる。
AIの能力を慎重かつ安全に活用しようとする組織にとって、堅牢なAIガバナンス・ポリシーの策定は不可欠である。AIはデータ分析やパターン認識において高い評価を得ており、大きな可能性を秘めているが、一方で人間による推論は、有意義な関係性を構築し、組織にとって影響力のある意思決定を導く上で依然として不可欠である。リスク軽減とシステムセキュリティを優先するガバナンスフレームワークを確立することで、AIを効果的かつ倫理的に活用できるようになる。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「2026年に監査専門家が答えなければならない5つの質問」
[Five Questions That Audit Professionals Will Need to Answer in 2026]

2026 年には、取締役会からの質問は、監査と保証の状況を大きく左右する 5 つの主要な質問に集約されるだろう。

1. ストレス下における当社のサイバーおよび運用の回復力にどの程度自信があるか?
2. AI と自動化のリスクについて独立した保証を提供できるか?
3. 監査とリスク管理の労力は適切な対象に費やされているか?
4. あなたの意見と当社の開示内容が確かなデータに基づいていることをどのように確認しているか?
5. AI を多用する監査機能において、当社の信頼、倫理、独立性、人材を守るためにどのような取り組みを行っているか?

1月までに5つの質問すべてをマスターする必要はない。しかし、これらを避けて2026年が穏やかな年になるよう願うことはできない。
実践的なスタートとして、まずは最も不安な質問を一つ選ぼう。それをプロジェクトにしよう。知識を蓄え、計画を練り直し、率直な会話を始めよう。
次の危機が訪れ、皆があなたの方を向いたとき、誰もあなたがどれだけの監査を実施したかを尋ねることはないだろう。彼らは、あなたが本当に準備ができているかどうかに耳を傾けるだろう。

<<ISACA Journal>>

「2026年第1号 サイバーフロンティアを航海する」
[2026 Volume1 Navigating The Cyber Frontier]

・「AIを活用したサイバー防衛：戦略プレイブックを公開」
[AI-Powered Cyberdefense: Strategic Playbooks Unveiled]

脅威の状況は急速に進化しており、サイバーセキュリティの最新動向を常に把握することは極めて重要である。データとシステムを保護する対策の持続的な有効性を確保するには、こうした継続的な認識が不可欠である。サイバーセキュリティ・プレイブックは、こうした対策を標準化し、テクノロジーと人材が効果的に連携できるようにする。また、新たな脅威に合わせて進化できる柔軟なプロセスを概説することで、俊敏性を高める。これにより、セキュリティ運用は、構造や統制を損なうことなく、迅速に方向転換することが可能になる。

これらの取り組みは、防御を強化し、ますます高度化するサイバー脅威に適応するために人工知能 (AI) を使用することで強化される。AIは、リアルタイムの脅威検出を可能にし、マルウェアやフィッシングの検出、ユーザー行動分析 (UBA) などのシステムを改善することで、サイバーセキュリティを大幅に強化する。

今日のサイバー環境では、人材、プロセス、そしてAIなどの新興テクノロジーを統合し、一貫性と回復力に優れたサイバーセキュリティ戦略を構築するプレイブックが求められている。ここでは、ランサムウェア、クラウドの脆弱性、フィッシング、ソーシャルエンジニアリング、パッチ管理リスクといった主要なサイバーセキュリティの脅威に対応する5つのプレイブックを紹介する。