ISACAニュースダイジェスト Vol.69

【教育・CPE獲得の機会】

<<Webセミナー (Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。

・2020年9月15日 (火)　(日本時間9月16日（水）午前1:00～60分、1CPE)
「2020年のセキュリティテスト：古いものと新しいもの」
[Security Testing in 2020: The Old and the New]
セキュリティテストは、セキュリティ保護指向のすべての組織で定着しており、規制当局のガイドラインを充足すること、組織への攻撃に係るプロファイルを低減すること、攻撃者に気づかれる前に弱点を特定することに大変役立つ。2020年のセキュリティテストの状況、「標準vs固有」アプローチのベネフィットその他の事項が企業の顧客とともに変化していることを学ぶ。

・2020年9月29日 (火)　(日本時間9月30日（水）午前1:00～60分、1CPE)
「クラウドにおけるデータ保護」
[Data Protection in the Cloud]
データ保護は、セキュリティ戦略の中核原則であり、情報漏洩防止（DLP）に係る効果的なポリシーと規則のために保存データと実行データについて見える化を要請する。この要請の目的を、事業部門とユーザが自由自在に採用して盛んに利用されているクラウドアプリ及び急増中のリモート・ワーカーと組合せて考えれば、スケーリングできる最新のDLPソリューションが必要であることがわかる。レガシー側ではオンプレ・ソリューションがクラウドアプリや大量のデータ移動に不知である以上、伝統的な各企業固有の領域を乗り越えて拡大するのに必要な新たな情報漏洩防止アプローチが必要である。これらのことを学ぶ。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<オンラインバーチャルサミット>>

https://www.isaca.org/training-and-events/online-training/virtual-summits
※ISACA会員は無料でCPEが獲得できます。

・2020年9月23日 (水)　(日本時間午後11:00～、最大４CPE)

「クラウドでのサイバーセキュリティとサイバーセキュリティの現状」

[CYBERSECURITY FOR THE CLOUD & STATE OF CYBERSECURITY]

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※以下にご紹介しているカンファレンスは一部です。

・CACS Conference Euro 2020 （2020/10/28-30 (現地日付)）

https://www.isaca.org/conferences/euro-cacs-csx-2020

※欧州で開催されるCACSです。

【専門領域】

<<ISACA Journal>>

2020 Volume 5

・「プライバシー文化を構築する」
[Building a Privacy Culture]
干渉や侵害からの自由という意味のプライバシーは汎用機やミニコンピュータ前提時代に情報処理に係るプライバシーと捉えられていたが、その後の多くの分野での専門家の努力により夥しい数のプライバシー規制が世界中で制定され運用されている。この点についての見解を示している。 ※閲覧にはログインが必要です。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「アジャイル監査についての誤解」
[Common Misconceptions About Agile Auditing]
アジャイル内部監査の実例は米国においても多くない現状を踏まえ、アジャイル内部監査に対する誤解と迷信を排除するために、ソフトウェア開発業界で蓄積されているアジャイル技法をしっかり確認しておくことを前提に、3つの誤解と迷信を解説し、アジャイル実務の勘所をCSM（認定スクラム・マスター）等によるトレーニング経験を介して掴むことの重要さを説明している。

・「データセキュリティ防衛を展開する」
[Deploying a Data Security Defense]
ISACAの調査結果では、3700の回答社のうち87%がリモートワークへの急激な移行でデータ保護とプライバシーリスクが増加したが、そのうち半数程度が急増中のサイバーセキュリティに対処できる準備が整っていない。そしてGDPR対策が急務であるにも関わらず世界中でその準備ができていない。しかしながら、冷静に振り返れば2013年からCOSOに沿ってデータセキュリティ防衛の仕組みそのものは着実に進んでおり、今日のリモートワークに係るデータセキュリティ保護に必要な各種管理策や施策が提唱・実装されつつある。COVID-19禍の現状でもデータセキュリティ保護の基本枠は変わらないが、新たなリスクファクターとして確実に分析・対策立案に進むべきことを説いている。

・「脅威インテリジェンスプログラムにGDPRを統合する」
[Integrating GDPR Into the Threat Intelligence Program]
2018年5月施行のGDPR対策、特に高額な制裁金を回避する目的で多くの企業がプライバシー・データ保護対策を講じている。上級管理者、監査者、データ管理者等が注力する領域は、①個人データ保管場所、②個人データへのアクセス権、③異常アクセス検知、④必要時の追加策、⑤リスクアセスメントのフォーカスエリアと実施頻度、⑥MITRE ATT&CK（MITRE社開発のAdversarial Tactics, Techniques, and Common Knowledge）フレームワークのうち、Enterprise MatrixとCloud Matrixへのフォーカスの集中、⑦データセキュリティインシデントについてのGDPR違反の影響度、である。これらを前提に、GDPRを脅威インテリジェンスプログラムに統合することによりリスク低減策を有効に実現することを解説している。

・「リスク回避メンタリティを変革する」
[Changing a Risk-Averse Mentality]
プロのポーカー・プレイヤーの経験から、「失敗への恐怖」で固まるよりも「失敗への健全な恐怖」が適度にあることでばかげたことや無謀なことから逃れて生き抜くことができる。永い間変える必要がないと皆さんが考えている「失敗への恐怖」は「リスク回避メンタリティ」と言い換えることができる。このメンタリティから抜け出すことで「失敗への健全な恐怖」が長期的な各自の目標達成における1つ1つの活動の積み重ねに対する障害にならなくなる。そのためのコツは、行動結果が無意識な意思決定から生じたものであることを知ること、直面する課題が厳しいものであってもそれを感情面ではなく前頭葉の意識域で捉えて分析すること、である。これによって、意思決定の進め方を変えることができる。そのための3つのステップを紹介している。
※関連する説明を下記のPodcastで聴取することができます。（Queen’s Englishで芝居風の言い回しが目立つため聞きなれない場合でも何回も聞きなおすことができるので、上記の背景理解の役に立つと思われます。）
https://www.isaca.org/resources/news-and-trends/isaca-podcast-library/creating-value-by-taking-risks-and-overcoming-fear-of-failure

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月1回～10回程度アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「ブロックチェーンを打ち破る（乗り越える）」
[Breaking Down Blockchain]
ブロックチェーンの中核がデータとシステムの完全性を維持する点にあることは周知だが、実際にどの場面でどのように役立つかについては不明なことが多いことを踏まえ、ブロックチェーンが暗号通貨及びクラウドに関係していることをあらためて示すとともに、ブロックチェーンが有効となるアプリケーションについて議論している。

<<COBIT Focusより>>

（抄訳：稲葉裕一（東京支部 基準委員会））

・「COBIT 2019を活用したオペレーショナルエクセレンスの実現」（2020年8月24日、Oluwaseyi Ojo, Ph.D., COBIT 5 Certified Assessor, ITBMC著）
オペレーショナルエクセレンスの取り組みのうち70％は失敗する。リーダーシップの欠如、不明確で一貫性のないリーダーシップ、効果的でないコミュニケーション、組織カルチャーの欠如、ビジネスプロセスの未成熟等いろいろな原因による。
COBIT 2019を活用し、達成目標カスケードによりガバナンスとマネジメントの目標の優先順位付けを行い、それらの7つのコンポーネントを整備して価値を創出する。デザインガイドに従いテーラリングしたガバナンスシステムを設計し、整備して、継続的改善を行う。
オペレーショナルエクセレンスを実現するためには、価値を提供する効果的、効率的なプロセス、設計、統制、改善のためのツールや技法の活用、マインドセットや行動規範、事業体全体の戦略や優先順位付け、方針や意思決定との整合性が必要となる。COBIT 2019が創出、獲得、提供という価値の流れの実現を支援する。そして、強力な一貫性のあるリーダーシップの下で、定期的なコミュニケーション、有能な労働力、定期的な成果管理により、継続的改善を行う。
https://www.isaca.org/resources/news-and-trends/industry-news/2020/achieving-operational-excellence-using-cobit-2019

・「コンプライアンスコストのダウンサイジングの方法」（2020年8月10日、Greet Volders, CGEIT著）
組織は製品やサービスの提供に必要な手作業に依存する内部統制評価等の業務の効率化、コスト削減を、マルチコンプライアンスフレームワーク（MCF）を使って実現できる。
MCFでは定義済みのコントロール群と対応すべき基準、規制、統制フレームワークとのマッピングが提供されている。これに、組織の方針、プロセス、文書をマッピングする。主要なISO基準やデータプライバシー/セキュリティ統制フレームワーク、COBIT 4.1/5/2019やITILの最新バージョンをカバーするCompliance as a Service（CaaS）である。一つのコントロールが異なる法規制を参照し、整備するコントロールは1つだけで、運用評価も一回だけで済ませられる。変化する法規制にタイムリーに追随し、監査カレンダーの機能によりエビデンス等の収集を効率的に行う。
これにより、正確で透明性の高い報告ができ、組織の法規制準拠の状況を見える化し、内部/外部監査を効率化し、GDPR対応を効果的に行い、将来の法規制準拠への強靱性を高める。これらにより、組織のコンプライアンスコストを劇的に削減する。
https://www.isaca.org/resources/news-and-trends/industry-news/2020/how-to-downsize-the-cost-of-compliance

※COBIT Focusは8月末で廃刊となりました。Vol.6以来、毎号全ての記事の抄訳を提供し続けていただいた稲葉様に感謝申し上げます。
（廃刊に伴い、過去記事のリンクが切れる可能性もあります。ご注意ください）