ISACAニュースダイジェスト Vol.87

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）としていますのでご留意ください。

・2022年04月20日10:00 AM (UTC)～60分、1CPE
「Need to Have Availableの原則」
[The Need to Have Available Principle]
Need to Have Availableの原則は、次の一連の計画されたタスクを完了するために必要でない場合はデータに対するロールまたはアクセス権限を放棄することを意味する。これをneed to knowと比較し、分析により、前年からの主要なサイバー攻撃の60％以上の影響をどのように制限できたかを示している。また、ランサムウェアやより長いキャンペーンの場合、攻撃者はデータに対してより多くの作業を行う必要がある。結論として、この原則は現代の労働者のすべてのロールとランクに適用できるわけではなく、私たちはその長所と短所を評価することになる。

・2022年04月26日4:00 PM (UTC) ～60分、1CPE
「テクノロジーの未来：メタバース、Web3、ブロックチェーン」
[Future of Technology: Metaverse, Web3 and Blockchain]
2022年に流行ったバズワードを理解していますか？ このプレゼンテーションでは、メタバースとは何か（そして何がそうでないか）と、それがブロックチェーンとデジタル資産の現在のイノベーションにどのように関連しているかを説明する。 これらの新しい概念を理解するための基礎を提供した後、監査、税務、および規制コンプライアンスへの影響について説明する。

・2022年05月19日4:00 PM (UTC) ～60分、1CPE
「マインドシフト：リスクとコンプライアンスへの新しいアプローチ」
[Mindshift: A New Approach to Risk & Compliance]
リスクとコンプライアンスがビジネスの重要な側面をどのようにサポートするかについて異なる考え方をすることで、より大きな影響を与えることができる。 特定のリスクレジスターやコンプライアンス要件ではなく、望ましいビジネス成果に焦点を当てている人は、ビジネスイニシアチブによるリスクの影響を理解する能力を獲得し、可視性を拡張し、サイバーリスクのマネジメントを改善する。 このアプローチは、ビジネス用語でリスクを伝達するのに効果のある機会を提供し、ビジネスリーダーに対してリスクを具体化する。
このマインドシフトを探求するためのWebinarに参加すれば、あなたは次のことを学べるだろう。
・このマインドシフトは実際にどのようなものか
・このアプローチがビジネスイニシアチブの加速にどのように役立つか
・成果ベースのGRCを実装する方法

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※ 以下にご紹介しているカンファレンスは一部です。

・2022 ISACA Conference Africa
2022年7月20-22日（現地時間）、ウガンダのカンパラ＋バーチャルにて開催（最大32CPE）
ハイブリッドアプローチであり、現地参加かバーチャル参加を選択可能。
※現地参加とバーチャル参加で参加費が違います。

【専門領域】

<<ISACA Journal>>

「2022年第2号：労働力と職場2025」
[2022 Volume 2: WORKFORCE AND WORKPLACE 2025]

・「実践的なIT監査：モビリティの変革力」
[IT Audit in Practice: The Transformative Power of Mobility]
四半世紀の節目がほんの数年先にあるとは信じがたい。 テクノロジーのペースは世紀の変わり目から熱狂的で、2025年が表す次のマイルストーンは、ドットコム企業からZoomに移行した労働力にとってそれが何を意味するのかを考える機会でもある。 多くの技術革新が労働力に影響を与えたが、モビリティはグローバルワーカーの日常生活の最もパーソナルな要因の1つとして際立っている。
※著者は、モビリティの変革力を、ヘルスケア、エネルギー評価、小売り業の各専門家へのインタビューにより、具体的事例として紹介しています。また、リスク管理やIT監査の専門家としても、モビリティの持つ視点は成功要因になると言及しています。2025年を期待しましょう。

※以下の記事の閲覧にはログインが必要です。
・「情報セキュリティの問題：売り物のプライバシー」
[Information Security Matters: Privacy for Sale]
2021年9月16日、私は朝刊（実際には朝刊のウェブサイト）を熟読していて、「デジタルプライバシーの戦いはインターネットを再形成している」という見出しに感銘を受けた。もちろん、私はすぐに記事を読んだわけで、 要約すると、主要なテクノロジー企業はデータプライバシーに対するスタンスを再考している最中だと述べている。
※著者は投げかけます。私たちは長い間、銀行口座、医療、ケーブルテレビを利用するために個人情報の一部を差し出してきました。 同時に、私たちはこれらの製品やサービスを提供する会社が許可なしに私たちのデータを他に共有したりしはしないであろう、と当てにしてきました。 アプリケーションを使用してインターネットを検索し、旅行案内を利用し、相互に通信し始めたとき、そのような暗黙の取り決めはありませんでした。 これらのサービスは、個人データのコイン（対価）で支払われます。 プライバシーを保護する見返りにインターネットサービスに実際のお金を払わなければならなかったとしたら、私たちはそれを利用しますか？と。プライバシーの大切さとサービス便益の板挟み状況が伝わってきます。

・「役立つ情報源　Q&A」
[HelpSource Q&A]
Q. 私たちの組織は、仮想CISOの採用を検討している。 その役割はどのように機能させ、どのように効果的にビジネス目標を達成できるようにすれば良いか？
※ その答えはオリジナルの記事でどうぞ！

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「より優れたセキュリティ意識とトレーニングプログラムの構築」
[Building a Better Security Awareness and Training Program]
組織全体のリスクを軽減するには、すべての従業員に対して強力な内部セキュリティ意識とトレーニングプログラムを構築することが不可欠である。 ただし、課題は、プログラムを継続的に、明らかに魅力的で効果的なものにすることである。
※このエピソードでは、アドビのSecurity Awareness & Training部門のマネージャーであるMaurita Margic氏が、ISACAのCollin Beder氏と話し合い、プライバシートレーニングを展開するときに組織で利用できるベストプラクティスについて詳しく説明しています。

・「PCI-DSSコンプライアンスのためのセキュリティ認識プログラム」
[A Security Awareness Program for PCI-DSS Compliance]
人は、組織のサイバーセキュリティ防御において最も弱いリンク（ポイント）と見なされている。 したがって、ほとんどの場合、サイバー攻撃者の主な標的は組織の従業員となる。 さらに、組織や企業のビジネスを侵害する単一のソフトウェアを見つけるのとは異なり、人は侵害し、付け込むのが容易である。 既存のセキュリティインフラストラクチャを改善するために多くの努力が払われているものの、人の防御上の弱点について無理解であることは防御戦略に大きなギャップを残すだろう。
※著者によれば、PCI-DSS（ペイメントカード業界–データセキュリティ標準）要件12.6に従い、セキュリティ認識プログラムは、少なくとも年に1回、および新規採用者に対して実施することが義務付けられているが、これは簡単な作業ではなく、1回限りのアクティビティにすることはできないとも。 しかしながら、効果的に実装された場合、この意識向上プログラムは組織の人によるファイアウォールになる可能性があるとも言っています。PCI-DSSなどの規制に準拠することや、コンプライアンス違反、名誉毀損、データ侵害のコストによる罰金から組織を保護し、顧客の信頼と忠誠心を向上させる要諦として参考になりそうです。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「効果的なサイバーセキュリティ監査の要点」
[Essentials for an Effective Cybersecurity Audit]
サイバーセキュリティは世界中で差し迫った問題になっているため、上級管理職や取締役会に保証を提供するための堅牢な監査手順が必要になる。 サイバーセキュリティ監査は、安全なサイバー活動を確保するために実施されるシステムとコントロールの明確な評価と見なすことができる。 目標とすべきは、現在のテクノロジー、ポリシー、および手順をより深いレベルで評価して、適用可能なすべての標準および規制が効果的かつ効率的に満たされているかどうかを判断することである。 組織が監査中にサイバーセキュリティシステム、プロセス、およびコントロールの効率と有効性を測定するために適用できるいくつかのベストプラクティスを紹介する。

・「データプライバシー：コンプライアンスから信頼へ」
[Data Privacy: From Compliance to Trust]
今日のデジタル環境では、プライバシー侵害が組織の評価、株価、収益性に直接影響することは明白である。 組織は、ユーザーのプライバシーに関する通知とポリシーを優先して、ユーザーの価値を保護し、既存の法律に準拠するだけでなく、至高の目標となるべきもの：信頼を提供することを目指している。 組織は、クライアントの信頼を得るために、データのプライバシーに積極的に取り組む必要がある。

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「説明可能な人工知能（XAI）：有用だが論争されていない」
[Explainable Artificial Intelligence (XAI): Useful But Not Uncontested]
人工知能（AI）は、組織的マネジメントが困難であるため、「ブラックボックス」テクノロジーと呼ばれている。そして専門家でさえ、このテクノロジーがデータ入力で何をするかを説明するのに苦労している。 これは、統計的人工知能として知られるAIの支流の一つ、つまり統計とコンピューターサイエンスの収束の結果であり、決定木やニューラルネットワークなどの手法で構成される場合に特に当てはまる。
※著者によれば、XAIには様々な課題があり、それは非常に複雑だそうです。 その1つには、XAIの目標が立場によって違うということで、たとえば、エンジニアリングチームは、脆弱性と欠陥の可視性を提供するものとしてXAIの目標を表現し、展開チームは、AIが目標を達成する状況を説明するものとして、XAIの目標を表現し、ガバナンスチームは、コンプライアンスとしてXAIの目標を表現する場合があるというように。今後論争が膨らんでいくことでしょう。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「ビジネスリーダーがサイバーセキュリティの準備について知っておくべきこと」
[What Business Leaders Need to Know About Cybersecurity Preparedness]
多くのサイバーセキュリティインシデントは、組織が正しいことをしていると考えているときに発生する。 強力なウイルス対策ソフトウェアが導入されており、従業員は多要素認証を使用しており、すべてのシステムが適切に構成されている。 安心感があるにもかかわらず、実は今このときこそ災害発生に最適な時期と言えそうだ。

・「複雑なレガシーエンタープライズ変革の未来」
[The Future of Complex Legacy Enterprise Transformation]
マニュアルプログラミングのプロセスは、完全または正確な方法とは言えなかった。その結果、途中で発生する欠陥は、ソフトウェア開発ライフサイクルにおける長い間の悩みの種であり、レガシーシステムにおいて受け継がれてきた問題である。この問題に対処するには、プロセスのすべてのステップでテストフェーズと品質プロセスを展開して、欠陥のない出力を確保する必要がある。 このプロセスをより短い時間とより少ない労力で解決するための1つの解決策は、一連の透明なクローズドループツールを使用して欠陥と不確実性を排除し、手作業を減らして精度を高めることである。

・「サイバーセキュリティコミュニティの教訓としてのSWIFTの使用」
[Using SWIFT as a Lesson for the Cybersecurity Community]
2016年2月、世界は、世界銀行間通信協会（SWIFT）の通信システムと接続しているバングラデシュ銀行のコンピューター端末が危険にさらされた高度なサイバー強盗を目撃した。
※著者によれば、この事件のあと、さらなる防御機能の構築と銀行のシステム環境におけるサイバーセキュリティコントロール強化のために、SWIFTがコミュニティ主導のコンプライアンスプログラムを導入したということです。このプログラムは、銀行がシステム環境を保護するとともに、金融サービスや社会までに至るコミュニティへの責任感の共有を推進するものでした。そして、これがサイバーセキュリティ世界における重大な分岐点と位置付けられたようです。