ISACAニュースダイジェスト Vol.75

【ISACAからのお知らせ】

<<会員および資格の更新とCPE報告>>

2021年の会員および資格(CISA/CISM/CGEIT/CRISC)の更新手続き忘れにご注意ください。資格更新に必要な取得CPEの報告はISACA本部のホームページから可能です。（ログインが必要です。）
https://www.isaca.org/myisaca
資格のCPE報告の方法に関しては、初めて報告する資格者にも分かりやすいビデオチュートリアル（英語）があります。
http://sas-origin.onstreammedia.com/origin/isaca/CPE/Reporting/index.html

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。

・2021年3月31日（水）（日本時間午前1:00～60分、1CPE）
「テックを超えてテストしよう」
[Test Beyond the Tech]
2020年において要求された急速なデジタルトランスフォーメーションは、組織がビジネスをする手段（及び場所）、そしてそれら新しい環境を安全に維持するために行うことにたくさんの変化をもたらした。一つの明確な結果であるが、リモート労働力の突然の成長から、例えば、EDR（エンドポイント検知と初動対処）ソリューションの採用が生まれた。過去一年のオペレーショナルな変化に伴い、あなたのセキュリティ態勢は進化したか？ あなたの環境のセキュリティを維持するために、あなたは、関係する人々・プロセス・技術が、拡大する脅威の状況やデジタル化イニシアチブに起因する潜在的な脆弱性より先行していることを確認しなければならない。
自動化されたツールは、階層化されたセキュリティ態勢において重要な役割を果たすけれども、それらは、人間主導のテストと一緒になされる時ほどに効果的にはならない。このWebinarでは、テストソリューションであなたの現在のセキュリティ技術の積み重ねを増やすことにより、まったく新しい視野が広がることを解説する。

・2021年4月2日（金）（日本時間午前1:00～60分、1CPE）
「2021　サイバー脅威　傾向と軽減」
[2021 Cyber Threats, Trends & Mitigation]
このWebinarでは、エマージングテクノロジーズアンドイノベーション社シニアディレクターで人気のある話し手、ダスティン ブリューワーが、現在のサイバー脅威の情景に触れ、あなたの企業にとってどんなサイバー対策が重要で、どのように実践策を改善していけば良いのか、実用的なアドバイスを提供する。

・2021年4月14日（水）（日本時間午前1:00～60分、1CPE）
「企業がサイバー・セキュリティ説明責任を果たすことを可能にするもの
[Enabling Cybersecurity Accountability for the Enterprise]
セキュリティに前向きな文化を作ることが、サイバー脅威に対するあなたの最初の防御ラインとなる。階層化するセキュリティ戦略は、最も弱いレイヤーに依存する。リスクに気づく従業者を育成することは、CISOsチームで組織全体の当事者意識を確立し、彼らのサイバー・セキュリティプログラムのすべてのレイヤーで説明責任を果たすことを可能にする。このWebinarでは、「サイバー・セキュリティ説明責任」における実用的なアドバイス－（すなわち）それらリスクについて対処できる個々人にリスクオーナーシップを割り当てる学びを提供する。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※以下にご紹介しているカンファレンスは一部です。

・ISACA Conference North America 2021（バーチャルイベント　2021/5/5-7（日本日付））
https://www.isaca.org/conferences/isaca-conference-north-america
Register before 1 April with Promo Code NAC21SP and save US$250!
※参加登録受付中。3月中にプロモコード（NAC21SP）を使って登録すると250ドル割引き

【専門領域】

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下1例をご紹介します。

・「ハッカーの視点から見たリモートアクセスツール」
[Remote Access Tools From a Hacker Perspective]
リモートアクセスツールはITの恩恵として、テクニカル・サポートが、混乱した従業員との長い会話の必要なく、迅速にリモートでコンピュータ問題のトラブルシューティングを行うことを可能にする。しかし、リモートアクセスが良いことに活用できるのと同様に、悪意に満ちたサイバー行為者は、金融やバイオロジカルに害を及ぼすことに利用する。本ポッドキャストのエピソードにおいて、セキュリティエキスパートであるダスティン ブリューワーとフランク ダウンズは、種々の方法のリモートアクセスツールを悪用したり、その悪用を避けられるか、探求する。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「真実への攻撃」
[The Assault on Truth]
真実。それは事実－すなわち真実 かどうかによらない、ある声明である。「もう一つの事実」の助長があろうがなかろうが、 一見したところ取るに足りない嘘の正常化であろうがなかろうが、現実を誤解した半面だけの真理の共有であろうがなかろうが、あるいは事実と意見の混同であろうがなかろうが、長年、真実への攻撃が行われている。ゆっくりと、整然とした真実への攻撃は、社会への明確で存在感のある脅威を提供する。それはシステムを不安定にし、行動を妨害し、信頼を侵食し、現実の表明を裁定する私達の判断能力を妨げる。
※筆者は、知覚することで、人々、場所、物や出来事といった個々の解釈を行うレンズが形成され、レンズを通して現実の認知が行われ、人の行動を動機づけるといいます。また、「真実への攻撃」は、そうした知覚により現実の認知の方向づけが変更され、現実（真実）とのギャップが広がっていく懸念が生じるといいます（例を言えば、昨年11月のアメリカ大統領選挙における投票の疑義問題の事件発生など）。この懸念は、社会システムのみならずサイバーセキュリティの世界における影響についても言えることで、とりわけサイバー・セキュリティのプロフェッショナルの知覚が及ぼす影響に関して重要な問いかけを行っています。

・「USプライバシーとID犯罪に関する法律の重要性の理解」
[Understanding the Importance of US Privacy and Identity Theft Laws]
※筆者は、個人情報保護やサイバー・セキュリティ強化のためには、州、連邦、および国際法に従うことが必須であるといいます。プライバシーとID犯罪に関する各種法律を紹介するとともに、そうした法律が要求する技術的な対策等も解説しています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「グローバルネットワークにおける女性メンバーを祝福しよう」
[Celebrating the Women in our Global Network of Engaged Members]
国際的なWomen’s Dayに敬意を表し、ISACA Now Blog では、ISACAでのボランティアの役割を通して専門性を高めることを助け、関わりを得るアドバイスを行う女性３人（ジョイス チュア、メルシー オモロ、セリーヌ テルツ）に質問した。

・「IT監査は‘退屈’？ 今や退屈という認識を正すに相応しい時」
[IT Audit is ‘Boring’? Time to Fix the Perception Problem]
IT監査は世間で退屈だと聞くことが多いが、本当にそうなのだろうか、筆者は疑問に持っている。殊にリスクベースのIT監査機能は、斬新であり、挑戦的であり、学びの機会になると、これから見直されていくよう期待を込めて紹介している。

・「ダークウェブと安全な人間行動を考える」
[Contemplating the Dark Web and Secure Human Behaviors]
セキュリティ専門家に対して衝撃的な貢献となるには、ダークウェブと安全な人間行動の役割を含む高度なトピックについてあなたの考え方をシフトし学ぶことが有益である。ダークウェブについて学ぶことにより、コンピューティング環境に対するユニークな視点が提供される。安全を確保する行動とファクトベースの決定を行うことは、人々とセキュリティ専門家により良い導きをもたらすと紹介している。

・「デジタルトランスフォーメーション実践事例をレビューする」
[Reviewing Digital Transformation Practices]
競合からのプレッシャー、新しい市場、そして新しいデジタルテクノロジーは、デジタルトランスフォーメーションの主要なドライバーである。しかしながら、デジタルトランスフォーメーションは、企業のビジネス活動にかなりの効果を起こしうる複雑な問題である。実のところ、すべてのデジタルトランスフォーメーションイニシアチブの70パーセントはそれらのゴールに到着せず、昨年はデジタルトランスフォーメーションに1兆3000億米ドルが使われ、9000億米ドルが無駄になっていたことが見積もられたという。著者らは、デジタルトランスフォーメーションと関連した参照事例を識別してデジタルトランスフォーメーションプロセスを簡素化するために、体系的なテキストレビューを実施し得られた示唆を紹介している。