ISACAニュースダイジェスト Vol.74

【ISACAからのお知らせ】

<<会員および資格の更新とCPE報告>>

2021年の会員および資格(CISA/CISM/CGEIT/CRISC)の更新手続き忘れにご注意ください。資格更新に必要な取得CPEの報告はISACA本部のホームページから可能です。（ログインが必要です。）
https://www.isaca.org/myisaca
資格のCPE報告の方法に関しては、初めて報告する資格者にも分かりやすいビデオチュートリアル（英語）があります。
http://sas-origin.onstreammedia.com/origin/isaca/CPE/Reporting/index.html

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。

・2021年2月24日 （水）（日本時間午前2:00～60分、1CPE）
「スムーズなサイバーセキュリティ監査への5つの簡単なステップ」
[Five Easy Steps to a Smoother Cybersecurity Audit Experience]
このWebinarでは、サイバーセキュリティ監査における一般的な問題点と解決策、SOC2等の監査を支援する技術等、監査プロセスを簡素化する5つのステップを解説する。

・2021年2月26日（金）（日本時間午前2:00〜60分、1CPE）
「クラウドファースト組織のためのデータ保護」
[Data Protection for Cloud-first Organizations]
このWebinarでは、クラウドサービス活用時の機密データの検知・保護の方法、意図しないデータの移動を防ぐ方法、リモートワーク時のデータ保護の方法等を論点として、クラウドファースト環境にある企業における最新のデータ保護戦略と実装方法について説明する。

・2021年3月10日（水）（日本時間午前2:00〜60分、1CPE）
「敵対的な機械学習から企業を保護する方法」
[How to Protect Against Adversarial Machine Learning]
このWebinarでは、機械学習・ディープラーニング・AIによって変化しているサイバー攻撃と防御の種類、実環境における攻撃の状況、ディープラーニングによる脅威への対応方法について説明する。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※以下にご紹介しているカンファレンスは一部です。

・ISACA Conference North America 2021（バーチャルイベント　2021/5/5-7（日本日付））
https://www.isaca.org/conferences/isaca-conference-north-america
※参加登録受付中。2月中にプロモコード（NAC21KEY）を使って登録すると350ドル割引き

【専門領域】

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下1例をご紹介します。

・「物理的セキュリティを見落とす危険」
[The Perils of Overlooking Physical Security]
今日の高度なクラウド機能により、サイバーセキュリティは多くの組織で優先されている。その一方で物理的セキュリティを低下させたり、完全に無視したりする可能性がある。本ポッドキャストでは企業が物理的資産を保護すべき理由と、その効果的実施方法について説明する。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「サプライチェーンの脅威とサイバーセキュリティソリューション」
[Supply Chain Threats and the Cybersecurity Solution]
※筆者は中小企業を狙った攻撃によるサプライチェーン全体の停止リスクについて述べ、中小企業でセキュリティ対策を促進する手段としてBIA（ビジネスインパクト分析）によるリスク提示と対策費用の明確化の必要性を解説しています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「サイバーセキュリティの必須要素：継続的監視、ヒューマンインテリジェンス、コミットメント」
[Essential Cybersecurity Components: Continuous Monitoring, Human Intelligence and Commitment]
セキュリティ投資からのROIを確保する手段として継続的監視の重要性について述べている。また継続的監視の実現方法として、セキュリティオペレーションセンター（SOC）の実装、従業員の教育を含む4つの考慮事項について紹介している。

・「他人事にはできないクラウドのセキュリティ」
[Security in the Cloud: Not Somebody Else’s Problem]
設定ミスによりクラウド内のデータが公開されてしまう事例が繰り返されている。いくつかはユーザのミスに起因しており、そこには「クラウドのセキュリティ」はクラウド事業者の責任だと誤解している文化的問題がある。記事では「AWS管理者アカウントでログインしたパソコンを放置してコーヒーを飲みに行く」ことを例に、責任共有モデルとユーザの責任について紹介している。

・「サイバーセキュリティと取締役会」
[Cybersecurity and the Board of Directors]
サイバーリスクをビジネスリスクとしてとらえ内部統制を確実に実施することの取締役会の責任と、CISOが取締役会とのギャップを埋めサイバー技術を企業のビジネス要件に橋渡しするためのサイバーリスクモデルの開発とその際の考慮事項を紹介している。

・「変化する状況に対応するためのサイバー保険」
[Cyber Insurance for a Changing Landscape]
在宅勤務者の急増等の大きな変化に伴うリスク増加を背景として、サイバー保険の重要性と保険専門家を活用したリスク評価実施の重要性について紹介している。