ISACAニュースダイジェスト Vol.67

【教育・CPE獲得の機会】

<<Webセミナー (Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。

・2020年8月7日 (金)　(日本時間午前1:00～60分、1CPE)
「在宅勤務におけるセキュリティとプライバシーの遵守」
[Security & Privacy Compliance in Work from Home Situations]
在宅勤務者の爆発的な増加は、長期にわたる既存のリスクと新たなリスクへ対処する必要性をビジネス上の最優先事項に押し上げている。在宅勤務者がアクセスする情報をリスクに晒していないか、彼らは在宅でも企業のセキュリティポリシーに準拠しているのか、デジタルスパイが隠れていないか。在宅勤務における情報セキュリティとプライバシーリスク管理を効果的に管理する方法について説明する。

・2020年8月12日 (水)　(日本時間午前1:00～60分、1CPE)
「これでサイバーセキュリティの資産管理をマスターする！」
[Mastering Cybersecurity Asset Management - Once and For All]
サイバーセキュリティへの対応はまず資産の状況を理解することが基本だが、IT環境が複雑化する中、チームは資産管理に苦慮している。自社資産の基本的な理解が、これまで以上に重要になってきている理由を説明する。

・2020年8月14日 (火)　(日本時間午前1:00～60分、1CPE)
「大規模な在宅勤務へのセキュアな移行」
[Securing the Mass Work-from-Home Transition]
セキュリティを維持しながら22,000人を在宅勤務に迅速に移行したアドビシステムズ社の経験を共有する。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※以下にご紹介しているカンファレンスは一部です。

・Asia Computer Audit, Control and Security Conference（2020/9/11-12 (現地日付)）
https://www.isaca.org/training-and-events/conferences/asiacacs-coming-soon
※インド チェンナイで開催されるCACSです。詳細情報は近日中に公開される予定です。

【専門領域】

<<ISACA Journal>>

2020 Volume 4:
「ガバナンスで得られるもの」
[Governance Gains]
※閲覧にはログインが必要です。

・「デジタルガバナンス：デジタル戦略実行時のGAPを埋める」
[Digital Governance: Closing the Digital Strategy Execution Gap]
COVID-19のパンデミックの影響でかつてない程デジタル－在宅勤務機能を提供するための事業継続性管理(BCM)－に重点がおかれている。事業継続計画(BCP)の実行に苦労していた組織は、事実上、デジタル実行ギャップ(事業継続への期待と現実の違い)を経験することになったが、組織全体でのデジタル戦略の実行ギャップ(BCPを組み込んでいる)も同様に存在している。本記事では、ガバナンスが組織でのデジタル戦略の実行ギャップを限りなく小さくし、最終的には組織の持続可能性をサポートすることを保証する方法について詳述している。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「組織に応じた情報セキュリティトレーニングとリモート業務のための意識」
[Tailoring Enterprise Information Security Training and Awareness for Remote Working]
COVID-19の流行により自宅からの作業を余儀なくされているが、これは時代の流れになるともいえる。在宅勤務はオフィスほどセキュリティが高くなく、サイバー攻撃を受けるリスクも高くなる。セキュリティトレーニングと意識向上プログラムが重要で、そのトレーニングに入れていきたい要素について述べている。

・「COVID-19を例にしたデータ所有権に関する疑問」
[Data Ownership Questions in Light of COVID-19]
ISACA Journal Vol3の記事「Data rights : Single vs. Multiple Ownership? (データの権利：単一の所有vs複数の所有)」の紹介。複数のデータソースからなる公的機関のCOVID-19マップを題材に、データの所有権、データソース、データの品質が、データの見える化と分析にとって重要であることを述べている。

・「COVID-19は弾力性のあるサプライチェーンの価値を浮き彫りにする」
[COVID-19 Underscores Value of Resilient Supply Chains]
パンデミックがサプライチェーンに与える可能性のある影響とその対応について述べたISACAのホワイトペーパ「Supply Chain Resilience and Continuity（サプライチェーンの弾力性と継続性）」をレビューした際の筆者の感想と、COVID-19により世界が変化し、このダイナミクスと得られた教訓のもとで、ビジネス継続性管理を進化させ続けるべきであることと同時に、サプライチェーンの弾力性の重要性を述べている。

・「COVID-19による業務中断におけるプライバシーに配慮したモニタリングの重要性」
[The Importance of Privacy-Focused Monitoring In Light of COVID-19 Work Disruption]
パンデミックにより従業員をモニタリングするソフトウェアの採用率が高まっているが、在宅で勤務する従業員は、カメラや画面の記録など監視されることに疑問を感じている。一方、リモートでの業務はサイバーセキュリティの脅威も増加させている。筆者は、インサイダーによる脅威の防止と従業員のプライバシーのバランスをとることの重要性を訴えている。

<<COBIT Focusより>>

（抄訳：稲葉裕一（東京支部 基準委員会））

・「ITガバナンスの価値」（2020年6月29日、Blake Curtis, CISA, CRISC, CISM, CGEIT, CISSP著）
効果的なガバナンスがないと、ビジネス整合性やリスク管理に相当な悪影響を及ぼす。多くの組織では有資格専門家の不足により、ITガバナンスの目的や価値が誤解されている。ガバナンスや監査の専門家が、戦略に即した効果的なITガバナンスやリスク軽減策へと変革できる。
ITガバナンスはビジネス成果と説明責任の遂行を保証する。GEITフレームワークにより、人・もの・金・知財を最大限活用し、GEIT価値を創出する。
達成目標カスケードに従った目標の展開によりビジネス価値を創出する。ビジネス戦略をIT戦略に変換し、エンタープライズアーキテクチャ管理、ポートフォリオ管理へと具体化する。
GRCの取組みにより、ITプロセスのリスクに対処し、法規制対応を支援する。リスク管理やサイバー対応、監査の間の冗長性を排除し、達成目標の実現とリスク軽減とのバランスを最適化する。
効果的なリスク管理は各分野のアシュアランス人材の能力と専門性を結びつけ実現する。
https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2020/the-value-of-it-governance

・「ITガバナンスの価値のコミュニケーション」（2020年6月15日、Sunil Sheen, CRISC, CGEIT,AWS Solutions Architect, PMP著）
貧弱なITガバナンスの組織は、経営幹部がIT投資やIT課題から距離を置く、取締役会でITが議題にならない、ITスタッフの不満、頻繁な転職、ビジネス目標理解不足、といった症状を示す。
ITガバナンス価値を高めるためには、IT目標をビジネス目標に整合させること。この橋渡しに関しリーダーシップを取って指示することを、ここではITガバナンスと定義する。「リーダーシップ×（フレームワーク＋指令＋価値最適化）＝ITガバナンス」である。COBIT 2019の5つのガバナンス目標を参考にする。フレームワークはEDM01、指令はEDM05、価値最適化はEDM02-04にその実践手法が記載されている。
政府機関は一般的に官僚組織として透明性や説明責任などガバナンスメカニズムがしっかりしているが、ICTの分野ではこのガバナンスの仕組みがなぜか考慮されない。理由は1つ。これまで、ITガバナンスがまさに必要とされるような壊滅的な事態に陥ったことがないため。IT専門家として我々の仕事は、適切な人に適切なタイミングで適切な方法でこの価値を説明することである。
https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2020/communicating-the-value-of-it-governance