ISACAニュースダイジェスト Vol.99

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2023年5月9日　20:30 (UTC)～120分、2CPE
「次の20年: AIと量子革命」
[Webinar—The Next 20 Years: AI and the Quantum Revolution]
ミチオ・カク博士が、20 年後の世界について、AIがどのように金融、経済、医療、そして私たちの生活様式に革命をもたらすかについて語る。また、量子コンピューターがどのようにしてコンピューター セキュリティに対する私たちの理解を完全に覆し、デジタル コンピューターが提供できるものよりも何百万倍も優れたコンピューター パワーを提供するかについて概説する。
※本ウェビナーは2月17日発行Vol.97で紹介していますが、期日が近づいていますので再掲しました。

• 組織およびベンダー集団内のコンプライアンス、運用、および情報セキュリティのリスクを特定する。
• 内部セキュリティ統制に基づいて、サードパーティのデューデリジェンス Q&Aの範囲を設定する。
• サードパーティのサイバーリスクに優先順位を付け、マッピングし、評価するための定義されたプロセスを開発する。
• 重要な統制およびリスクパフォーマンス領域に関する動的レポートを作成して、時間の経過とともに問題を追跡し、将来のインシデントに備える。

• 企業にとってのデジタルトラストの重要性を理解する
• 組織内のデジタルトラストに誰が貢献し、誰が責任を負うかを特定する
• デジタルトラストを得る上での障害を特定する
• 組織のリーダーがデジタルトラストを強化するために実行できる3ステップを思い出す

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後1年間は、アーカイブでも視聴可能です。

・2024年4月6日まで受講可能
「規制当局による精査の強化に対する準備はできているか? コンプライアンス ワークフローについて考え始める」
[Archived Webinar—Are You Ready for Increased Regulatory Scrutiny? Start Thinking About Your Compliance Workflows]
2022年には、多数の注目を集めるデータ侵害が発生し、拡大を続けるクラウドの状況への関心が高まり、コンプライアンスのコストまたはコンプライアンスの欠如に対する意識が新たに高まった。 その結果、組織は2023年に、規制当局による精査の強化とコンプライアンス違反に対するより高い罰則という課題に直面することになるであろう。この戦うのは不可能なように感じられる状況であっても、コンプライアンスとリスク管理のためにワークフローを最適化する戦略に傾倒する組織が勝利するだろう。規制当局の精査が増える可能性を回避することはできないが、組織が変化への対応に十分な準備ができていることを確認するために、やるべきことはたくさんある。このウェビナーでは、Hyperproofのセキュリティ&コンプライアンス担当シニア ディレクターである Thomas Wilcox と彼のゲストが、セキュリティ、リスク、およびコンプライアンスに対する利害関係者の関心がどのように変化したか、およびセキュリティとコンプライアンスの専門家が合理化されたワークフローを導入して、関係者とのコミュニケーションを運用化する方法について説明する。このセッションでは、次の内容について説明する。

• どのような規制上の義務が変化または進化すると予想されるか
• コンプライアンスとリスクのワークフローを最適化しないことで発生するコスト
• 規制の変更に対応し、利害関係者とコミュニケーションをとるために、あらゆる規模のチームが備えるべき最適なプラクティスは何か

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「ChatGPTとAIを活用したBingが引き起こす可能性のある有害な結果とは?」
[What Detrimental Outcomes Might ChatGPT and AI-Powered Bing Unleash?]
テクノロジーが知覚的、あるいは自己認識的になるかどうかはわからない。 これは、かつて「統計モデリング」と呼ばれていたものに過ぎないことが多いものを、人工知能と新しく呼び、そのフレーズでの知能を正当化できるかどうかわからないことを意味する。私たちが知っていることは、情報技術、特により高度な技術は完璧ではないということである。時には、情報技術は試行錯誤を重ねることにより本当に効果の高いものとなるが、アップグレード、バグ修正、技術が期待されていることをまったく実現できていない領域への対処など、定期的な注意がなければ、その有用性は次第に低下する。そしてサポートする技術の進歩とともに、独自の新しい思考の進化をもたらす新しいものに取って代わられるだけである。
※筆者は、テクノロジーの可能性は刺激的である一方で、有害な影響についても十分に注意を払うことを指摘しています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「AI技術の規制はもはやオプションではない: 必須である!」
[Regulating AI Tech is No Longer an Option: It’s a Must!]
故スティーブン・ホーキング博士は、人工知能の開発は人類の終焉をもたらす可能性があると主張した。私の立場はそれほど極端ではないが (ホーキング教授が間違っていると言っているわけではない)、強力な規制なしでAI開発が現在の軌道に沿って進むと、社会的、政治的、経済的なコストが大量に発生する可能性があると信じている。 これらの有害な可能性は、学術界や技術界で何年にもわたって広く議論されてきたが、特にAIの有望で広範な可能性のために、被害を元に戻すことが不可能になる前に、この議論を広げてより良い認識と理解を促進することが重要である。 さらに重要なことは、政策立案者や議員が行動を起こす時がきているということである。

・「ICS/OTシステムと重要インフラにおけるその役割の紹介」
[Introduction to ICS/OT Systems and their Role in Critical Infrastructure]
産業用制御システム/運用技術 (ICS/OT) は、製造、エネルギー、水、輸送、およびヘルスケア業界における重要なインフラストラクチャの安全性と効率的な運用に不可欠である。 さらに、これらのシステムは社会と経済にとって重要であるため、サイバーセキュリティの専門家にとって重要な焦点となっている。 このブログ投稿では、ICS/OTシステムの独自の特性、これらのシステムに対するサイバー攻撃の潜在的なリスクと結果、およびそれらを保護するためのベスト プラクティスについて説明する。 これらのベスト プラクティスにより、組織は、進化するサイバー脅威に直面しても、重要なインフラストラクチャの安全性、セキュリティ、回復力を維持できる。

・「CMMIサイバー成熟度プラットフォーム (CCP) が組織のゼロトラストの実装にどのように役立つか」
[How CMMI Cybermaturity Platform (CCP) Can Help Your Organization Implement Zero Trust]
ISACA の新しいeBook、“How to Build a Successful Zero Trust Strategy With the CMMI Cybermature Platform”が無料でダウンロードできるようになった。 このリソースは、ISACAのCMMIサイバー成熟度プラットフォーム (CCP) により、組織でのゼロトラストセキュリティ戦略の実装または改善を簡素化するためのガイドとして機能する。
※上記eBookは、本文にもリンクがありますが、以下にも紹介しておきます。
https://www.isaca.org/resources/ebook/how-to-build-a-successful-zero-trust-strategy-with-the-ccp

・「ISACAの MDDAP VIPポータルの魅力的なメリット」
[The Exciting Benefits of ISACA’s MDDAP VIP Portal]
2022年からFDAが利用できるようになったVoluntary Improvement Program (VIP) ポータルが、2023年にプログラムの協力者と利害関係者向けに提供された。VIPは、ISACAのMedical Device Discovery Appraisal Program (MDDAP)を活用している。 ISACAのMDDAPのシニアプロダクトマネージャーであるKim Kaplanが、MDDAP VIPポータルの更新と、参加している医療機器メーカーが現在アクセスできるエキサイティングな機能について説明する。

・「サイバー犯罪にとって史上最大のAIの瞬間がちょうど起こった」
[The Biggest AI Moment Ever for Cybercrime Just Happened]
AIの領域で画期的な開発が行われたばかりであり、サイバーセキュリティに携わる者は、その影響をすぐに理解するだろう。私自身の専門知識は主にサイバーセキュリティだが、過去数年間、AIを理解するためのツールを含め、さまざまな研究に没頭してきた。また、AIに対する意識が高まり、今ではほとんどの人がChatGPTを少なくとも試したことがあるだろう。ChatGPTは、リアルタイムの対話が可能で、歴史上のどの人間よりも多くの分野にわたる深い知識を誇る素晴らしいテキストベースのチャットボットAIである。 このAIのさまざまな機能をAPI(アプリケーション プログラミング インターフェイス) を介して非常に低コストで利用できるため、サイバーセキュリティに関するいくつかの問題をすでに引き起こしている。

<<ISACA Journal>>

「2023年第2号：中断、分裂、そして出現の影響」
[2023 Volume 2: INTERRUPTIONS, DISRUPTIONSAND IMPACT OF EMERGENCE]
※以下の記事の閲覧にはログインが必要です。

「内部監査のためのアジャイルマニフェスト」
[Agile Manifesto for Internal Audit]
内部監査プロセスは、コンプライアンスに必要な正式かつ官僚的な活動と見なされることがよくある。 しかし、柔軟性の欠如が原因で、企業の価値創造の運用サイクルからかけ離れている場合がある。 ロボティック プロセス オートメーション (RPA) などの実用的で効率的なツールを監査テストに採用しても、内部監査は日常業務をスパイするために課せられるプロセスであるという認識を変えることができない。 この見方を変えることは可能であるが、監査管理の方法論と基本原則に厳密に従って、監査プロセスを大幅に再解釈する必要がある。 監査は、処罰を下すための判断ツールとして課されるべきではなく、統合、協力、および適応性といった、変化の土台を築く可能性が高い表現を通じてビジネス目標を達成するための有用なサポートツールとして提示する必要がある。

「情報セキュリティ意識向上キャンペーンを改善するためのナッジ理論の適用」
[Application of the Nudge Theory for Improving Information Security Awareness Campaigns]
意識向上キャンペーンは、あらゆる組織における情報セキュリティ管理システムの実装において重要な役割を果たす。 利害関係者の間で情報セキュリティの脅威に対する十分な認識が欠如しているため、多くのセキュリティ侵害が発生し、その結果、実質的な経済的および生産性の損失が生じている。 従来、情報セキュリティ意識向上キャンペーンは、ユーザーがキャンペーンをどのように認識しているか、それが行動の変化を引き起こすかどうかについてあまり考えずに作成されてきた。 2008年に提案されたナッジ理論は、行動経済学における重要な発展であった。このJournal記事の基礎となった調査では、ナッジ理論を使用して、有効性を向上させることを最終的な目標とし、ナッジを含む情報セキュリティ意識向上ポスターを作成した場合の影響を分析している。 51人の専門家からなるオンライン フォーカス グループを構成し、Webベースの調査を実施した。調査から収集されたデータによると、ナッジ ベースのポスターは、視聴者の行動にポジティブな変化をもたらした。 加重合計モデルを使用してデータを分析したところ、やる気をなくさせるようなナッジを含むナッジベースのポスターの加重合計スコアは、ナッジなしのポスターよりも 11%高いことがわかった。 調査結果は、情報セキュリティ意識向上ポスターの有効性を改善する上でナッジ理論が適用可能であることを示す強力な証拠を提供している。

「監査とデジタルトランスフォーメーションは岐路に立っている」
[Auditing and Digital Transformation Are at a Crossroads]
企業は、人工知能 (AI)、デジタル マニュファクチャリング、モノのインターネット (IoT)、データ サイエンスと分析、機械学習 (ML) およびビッグデータなどの第 4 次産業革命(インダストリー4.0)によってもたらされたテクノロジーによって、規模も地理的にも拡大している。組織がこの急速な成長を維持できるようにするには、その ITシステムと制御のパフォーマンスと回復力を、内部および外部の監査およびアシュアランスパートナーによって保証する必要がある。 監査チームは、アシュアランス パートナーとして、世界中で起こっているデジタル トランスフォーメーションをサポートする上で重要な役割を果たす。 そのような保証は、内部統制の設計と運用の有効性、および、技術、運用、法律と規制、人事 (HR)、環境ガバナンスのリスクの潜在的な原因の特定について提供されなければならない。ITがそのようなリスクから組織を保護する方法についてのガイダンスは、信頼を保証する監査活動中に提供する必要がある。 その際、監査チームは、アシュアランス パートナーに加えて、アドバイザリー パートナーとしても機能する。

「ソーシャル エンジニアリングとの戦い」
[Combatting Social Engineering]
ランサムウェア、データ侵害、およびその他の大規模なサイバー攻撃が頻繁にニュースの見出しを飾っているが、これらのインシデントの多くに共通する脅威、つまりソーシャル エンジニアリングを見落としがちである。 Verizonの “2022 Data Breach Investigations Report” によると、侵害の82%にソーシャル エンジニアリング手法が関与しており、他の情報源はその割合がさらに高いと推定している。 これは大きな問題であり、すぐになくなるとは思えない。

「AR環境でのソーシャル エンジニアリングに対するユーザーの感受性」
[User Susceptibility to Social Engineering in AR Environments]
コンピューターで生成された知覚情報によって強化された現実世界環境のインタラクティブな体験である最先端技術の拡張現実 (AR) は、多くの分野で使用が増大し、市場の成長予測は2025年までに数十億ドルにのぼる。 しかし、このテクノロジーのユーザーが直面する潜在的なサイバーセキュリティリスクは、依然として懸念事項である。ARは、サービス拒否 (DoS)、マルウェア、中間者 (MitM)、ソーシャル エンジニアリング攻撃などの一般的なサイバーセキュリティの脅威に直面している。ただし、ARの部分的に仮想化されたインターフェイスは、正規のホーム画面通知を装ったテキスト メッセージなどの攻撃の試みを認識する能力あるユーザーの気を散らす可能性がある。攻撃を実行するためにシステム アクセスを取得する必要がなく、外部ソースからテキスト メッセージを簡単に送信できるため、多くの攻撃者はソーシャル エンジニアリングを通じて人間のユーザーに接触する。さまざまなデバイス (特に携帯電話) でのARアプリケーションの採用が拡大し続けているため、最も一般的なサイバー攻撃であるソーシャル エンジニアリングに対するユーザーの脆弱性を理解することがますます重要になっている。