ISACAニュースダイジェスト Vol.86

ISACAニュースダイジェスト（日本語版）

Vol.86 2022/3/19

発行：ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会

ISACAニュースダイジェストについて

ISACA本部の発信する英語での情報をもっと活用しよう！との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。

＜目次＞

【教育・CPE獲得の機会】
　・Webセミナー(Webinar)
　・Webセミナー・アーカイブ
　・グローバルで開催されるISACA主催のカンファレンス
【専門領域】
　・ISACA Journal
　・ISACA Podcast
　・Industry News
　・＠ISACA
　・ISACA Now Blog

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。

・2022年03月24日(木)（日本時間午前9:00〜60分、1CPE）
「セキュリティのテーブルにプライバシーを着かせること」
[Bringing Privacy to the Security Table]
第4次産業革命が進むにつれて、プライバシーと情報セキュリティの規律が補完的なものであることがますます明らかになってきている。講演者は、プライバシーの概念とその情報セキュリティとの関係について説明し、リスクを評価する際にプライバシーとセキュリティの専門家がそれぞれ「テーブルに着く」ことを保証する機会にフォーカスしている。

・2022年03月29日(火) （日本時間午前1:00〜60分、1CPE）
「米国NISTにおける情報システムと組織のセキュリティおよびプライバシー管理の更新」
[Updates to NIST Security and Privacy Controls for Information Systems and Organizations]
米国のNISTは、更新されたセキュリティおよびプライバシー制御カタログ (Special Publication (SP) 800-53 Revision 5) 、評価ガイダンス (SP 800-53 A) 、および制御ベースライン (SP 800-53 B) を公開している。このウェビナーでは、エンタープライズレベルのプログラム管理、情報セキュリティ、プライバシー、およびサプライチェーンのリスクに関する考慮事項に対応する20のコントロールファミリ-への拡張を含め、これらの更新を確認する。

・2022年04月1日(金) （日本時間午前1:00〜60分、1CPE）
「サイバーセキュリティの状況2022」
[State of Cybersecurity 2022]
2021年第4四半期に実施されたISACA ®グローバルサイバーセキュリティ状況調査のレポートでは、サイバーセキュリティ人材の開発や人材配置、サイバーセキュリティ予算、脅威の状況、サイバーの成熟度に関する最近のトレンドにフォーカスしている。調査結果では、世界中で人材の確保や従業員の維持が依然として課題となっており、サイバーセキュリティ関連予算に対する楽観的な見方が後退した。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※ 以下にご紹介しているカンファレンスは一部です。

・2022 ISACA Conference North America
2022年5月4-6日（現地時間）、ニューオリンズ＋バーチャルにて開催（最大32CPE）
ハイブリッドアプローチであり、現地参加かバーチャル参加を選択可能。
※現地参加とバーチャル参加で参加費が違います。

【専門領域】

<<ISACA Journal>>

※閲覧にはログインが必要です
「2022年第2号：労働力と職場2025」
[2022 Volume 2: WORKFORCE AND WORKPLACE 2025]

・「マインドセットの問題:IT監査におけるニューノーマルへの恒久的なシフト」
[Mindset Matters: A Permanent Shift to the New Normal in IT Audit]
パンデミック前の状況に戻ることはできない。業界や個々の組織は、COVID-19を対処すべき問題と見なすのではなく、パンデミック後の世界で自分たちがどのように見え、どのように活動し、どのように栄えるのかを見極める必要がある。
IT監査を中心とする内部監査部門は、次の4つの領域にわたって組織の課題に対応するように進化する必要がある。
・リモート従業員
・監査計画
・テクノロジー
・内部監査人の能力

・「エンタープライズセキュリティを自宅に導入」
[Bringing Enterprise Security Home]
2021年5月にコロニアル・パイプラインがランサムウェア攻撃を受け、米国南東部で数日間にわたって燃料輸送が機能しなくなった事件は、米国企業がハッカーの人質にされた初めての事例ではない。ハッキングされたユーザーが1人でもいれば、ハッカーが組織 (今回の場合は組織のインフラ) に大混乱をもたらす可能性がある。コロニアル・パイプラインの重要な事業への攻撃は、COVID-19のパンデミックの発生で始まった大規模な在宅勤務の新時代が、潜在的なセキュリティ侵害を強化するための追加戦略を必要としていることを再認識させる役割を果たしている。

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「ゼロトラスト：Dr. ゼロトラストが登場するゲームで敵対者を打ち負かす方法」
[Zero Trust: How to Beat Adversaries at Their Own Game featuring Dr. Zero Trust]
※別名Dr.ゼロトラストといわれるDr. Chase氏が法律とゼロトラストの関係を意見し、また、悪者を出し抜く方法を含む攻撃の傾向についての考えを述べる。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「教育を受け、権限を与えられたデータ主体：プライバシーの前提条件」
[Educated and Empowered Data Subjects: A Privacy Prerequisite]
米議員らは最近、利用規約の透明性を高めることを目的とした法案を提出した。米国のTerms-of-service Labeling, Design and Readability (TLDR) Actは、ウェブサイトとアプリケーション (アプリ) に、簡単に読めるサービス利用規約の要約を提供することを提案している。この法案では特に、以下を含む要約文を要求している。

・収集される機密情報のカテゴリと、その情報が機能に必要かどうか
・コンシューマーがデータを削除できるかどうか、およびその方法に関する情報
・コンテンツに対する権利を含む、消費者の法的責任
・変更ログ
・過去3年間に発生したデータ侵害の記録

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「人工知能によるビジネスリスク」
[The Business Risk Posed by Artificial Intelligence]
AIによって、運用効率やコスト効率、戦略的な事業の変革、より高度できめ細かな顧客エンゲージメントの推進が可能になる一方で、見た目が素晴らしく、「驚き」の要素を持つこのようなソリューションを導入するという罠に陥らないようにすることも重要である。こういったことは、新技術がビジネス価値をどのように付加するのかについてほとんど考慮されていない。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「サイバーセキュリティ対策の強化を求める不安定な時代（最近のウクライナへの攻撃）」
[Volatile Times Call for Heightened Cybersecurity Preparedness]
最近のウクライナへの攻撃は、今日の戦いが物理的世界とデジタル世界の2つの面で起こっていることを思い知らされる気の遠くなるようなものだ。予想されていたように、ロシアを拠点とする攻撃者は、ウクライナの政府や企業のシステムに対してサイバー攻撃を仕掛けた。第1波はDDoS攻撃、第2波はランサムウェアを装ってデータを破壊するマルウェアだった。マルウェアに関する技術的な詳細を列挙した情報筋は多数存在しており、EUと米国のセキュリティ機関はサイバー攻撃に関する情報を提供するとともに、公共、民間、重要インフラ分野のさまざまな組織に対してセキュリティに関する推奨事項を提示している。
ISACAの専門家であり、CISOでもあるHold Security LLC創設者のAlex Holden氏は、重要インフラのセキュリティ分野を注視しており、今週公開されたISACAのビデオの中で、ウクライナだけでなく、攻撃のリスクレベルが現在ははるかに高いことを認めた。
ISACAは、グローバルなコミュニティがすべての人に安全でセキュアなインターネットを確保するのに役立つリソースにアクセスできるよう支援を約束しているため、近い将来、ISACAはメンバーにセキュリティ対策と対応資料のいくつかを無料提供する予定である。

＊＊ISACAニュースダイジェストご利用上のご注意＊＊

オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」のみの日本語化を基本としています。
主にISACA国際本部Webサイトに掲載された情報（メールマガジン等を含む）を対象にしています。
本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメントであることを示しています。
本文中に記載した各種コンテンツへのリンク（URL）については、リンク先サイトの都合等により、予告なく切れる場合があります。

（ Vol.86 文責伊集由明 (大阪支部)）

※次回発行予定　2022年4月中旬

このサイトは、ISACA日本支部協同推進機構が運営しています。

アーカイブス