ISACAニュースダイジェスト Vol.76

【ISACAからのお知らせ】

<<会員および資格の更新とCPE報告>>

2021年の会員および資格(CISA/CISM/CGEIT/CRISC)の更新手続き忘れにご注意ください。資格更新に必要な取得CPEの報告はISACA本部のホームページから可能です。（ログインが必要です。）
https://www.isaca.org/myisaca
資格のCPE報告の方法に関しては、初めて報告する資格者にも分かりやすいビデオチュートリアル（英語）があります。
http://sas-origin.onstreammedia.com/origin/isaca/CPE/Reporting/index.html

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。

・2021年4月28日（水）（日本時間午前1:00～60分、1CPE）
「現代のSOCの動向」
[Trend for the Modern SOC]
ランサムウェア、多様なマルウェアの重圧、ビッグゲームハンティングなどの高度な技術のサイバー犯罪の脅威は、金融サービス分野にSOCを管理する新しい方法を求めている。攻撃対象領域の拡大、セキュリティ人材の不足、膨大なアラートの発生の中、今こそ現代のSOCの特性を調べる時期である。このウェビナーでは、企業の SOC を次なるレベルに引き上げるうえで役立つ、人・プロセス・ツールに関する最善の方法について学ぶ。

・2021年5月14日（金）（日本時間午前1:00～60分、1CPE）
「新しいオペレーティングモデルでのリスクの定義」
[Defining Risk in A New Operating Model]
このウェビナーでは、新たなITコンプライアンスとリスク課題と落とし穴について以下を論じる： ビジネスの重要度に基づくITコンプライアンスの取り組みと実行計画の優先順位付け。自動化を使用したITコンプライアンスステータスの継続的監視の実行。 ITリスクを管理し、リスクを意識した文化を浸透させるための先取りアプローチの採用。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

・「特権過大なクラウドを飼いならせ」(2022/4/15まで閲覧可、1CPE)
[Tame that Overprivileged Cloud]
オンプレミスでの特権管理が公園の散歩とするなら、クラウドではジャングルの中を歩くようなもの。 企業は、寛容に過ぎるポリシーと相まって、IDの増大・アクセス情報の無秩序な広がり・膨大なIDからの特権蓄積に苦しんでいる。 Gartnerの警告では、2023年までにクラウドセキュリティ障害の75％は、ID・アクセス・特権の不適切な管理に起因するようになる。 野獣を飼いならす時が来た。 このウェビナーでは、アクセスリスクを軽減し、DevOpsを活用してクラウド環境で最小特権に移行するための課題・ユースケース・ベストプラクティスについて説明する。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※以下にご紹介しているカンファレンスは一部です。

・ISACA Conference North America 2021（バーチャルイベント　2021/5/5-7（日本日付））
https://www.isaca.org/conferences/isaca-conference-north-america
Register between 2 April and 30 April with Promo Code NAC21LC and save US$150!
※最大21CPE獲得可能、参加登録受付中。4月中にプロモコード（NAC21LC）を使って登録すると参加費用(ISACA会員1,300ドル)から150ドル割引き

【専門領域】

<<ISACA Journal>>

※閲覧にはログインが必要です
2021 Volume 2: Privacy in Practice
2021年第2号：机上ではなく、実用でプライバシーを学ぶ。

・「プライバシーフレームワークの選択と採用に関するガイド」
[A Guide to Selecting and Adopting a Privacy Framework]
2020年は、COVID-19パンデミック以上に、プライバシー保護の世界でも重要な年となった。 多くのプライバシー規制が施行され、世界中で多くの組織が複数のプライバシー規制へのコンプライアンスを管理している。それによって重複するコンプライアンスの取り組み・ポリシーの競合変更・運用コスト増・プロセスの違いなど、多くの新しい課題がもたらされた。企業はプライバシーフレームワークを導入することで、プログラムを成熟させて課題の解決を推進することができる。この記事では最初にプライバシーフレームワークのタイムラインを紹介。続いて5つの質問でフレームワーク選択の準備を促し、その上での評価・選択。最後にそれを組織に適用させる４つのステップについて紹介する。

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下1例をご紹介します。

・「暗号通貨の現状」
[The State of Cryptocurrency]
暗号通貨は、ブロックチェーンテクノロジーを主流にするのに役立ち、その分散機能とサイバーセキュリティ分野での完全性と自己監査性により一般の人々から賞賛されている。このエピソードでは、暗号通貨がこれほど広く採用されている方法と理由について話し合い、次にどこに向かうかを予測する。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「リスクガバナンスのスイートスポット」
[The Sweet Spot of Risk Governance]
野球で「スイートスポット」とは打者のスイングから最大量のエネルギーをボールに伝えるバット上の正確な位置である。 それはつり合いであり、同様の概念がリスク管理にも存在する。 ITプロフェッショナルは、リスク志向とリスク回避の間で可能な限り最良のバランスを見つけようとする。 リスク行動を野球のバットと考え、リーダーがリスク志向とリスク回避の間にあるスィートスポット（つり合い）を見つけるのを助けるのがリスクマネージャの仕事である。リーダーの言葉に耳を傾け、組織のリスク選好がどこにあるか学び、賢くリスクを意識した方法でコントロールを選択する。セキュリティとコントロールは非常に重要であるが、バランスが必要である。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「リモートチームの安全かつ効果的な管理」
[Managing a Remote Team Securely and Effectively]
COVID-19パンデミックが始まり1年以上経った今でも、世界中の組織がこの前例のない出来事への対応を続けている。多くの企業は従業員がリモートで働くようにすることを余儀なくされたが、以前の状態に戻っても組織はこのハイブリッドな働き方を受け入れる必要がある。ハイブリッド労働環境の実装に、組織は技術・プロセス・文化という3つの領域を考慮し、従業員への適切な境界とガイドラインの確立に役立てる。リモートにもセキュリティコントロールは必要であり、アクセス要件・利用規定・セキュリティコントロール・ホームテクノロジー・エンドユーザトレーニングという5つの領域で、データセキュリティを維持して利害関係者をサポートする環境を作成する。ハイブリッドな働き方へのシフトは事業全体を変化させるため、経営陣がそれに適応することを保証する。組織はもはやこの移転を避けることはできず、こうした変更を受け入れる必要がある。

・「プライバシーフレームワークを採用するための4段階のアプローチ」
[A Four-Step Approach to Adopting a Privacy Framework]
※前掲したプライバシーフレームワークに関するISACAジャーナルの記事が少し長いと感じられる方に、同じライターがNow Blogにその選定と導入と効果についての少し短めの記事を上げています。