ISACAニュースダイジェスト Vol.100

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・22023年7月13日　16:00 (UTC)～60分、1CPE
「情報セキュリティの最新化 | コンプライアンスを翻訳するためのロゼッタストーン」
[Webinar—Modernize InfoSec | A Rosetta Stone for Translating Compliance]
情報セキュリティプログラムの管理は、リスクの増大に対処するCISOのリアルタイムなニーズを効率的にサポートすることができる。また、成熟度曲線上にある組織は、古くさいツール、連携の取れていないプロセス、第三者への過剰な投資に依存するリソース集約型の現状から脱却するために、より柔軟でスケーラブルかつコスト効率の良い新しいアプローチを探している。
このセッションでは、複雑であいまいなコンプライアンス要件を繰り返し可能なビジネスプラクティスに翻訳するための、より効率的なメカニズムを紹介する。

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「常時接続された世界におけるサイバーセキュリティとITセキュリティ」
[Cyber Versus IT Security in a Permanently Connected World]
インターネットが普及する以前の「IT セキュリティ」は、資産管理、アクセス制御、変更管理、システムメンテナンス、バックアップ・災害復旧などの重要なタスクに焦点が当てられていた。しかし、近年、ITの提供方法と利用方法には根本的な変化があり、より多くの「弱点」が存在するようになった。
サイバーセキュリティと従来の IT セキュリティの主な違いは、「常にオン」で「ずっと接続」されている世界が人々、システム、データにどのような影響を与えるかを考慮し、堅牢で拡張性があり、システムを保護する新しいプロセスの構築を必要とすることである。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「生成AI: 今こそ未来、そして、それは危険だ」
[Generative AI: The Future Is Now, and It’s Risky]
多くの人々を魅了している生成AIの能力によって、企業は大きなリスクにさらされている。そして、生成AIの脅威に対処しない企業は取り残されることになる。企業は生成AIの利用可否を慎重に決定しなければならない。いかなる場合でも、デジタル的に信頼できると考える前に、技術について慎重な考慮とリスクアセスメントが必要である。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「プライバシー保護型セキュリティ分析」
[Privacy-Preserving Security Analytics]
組織の情報セキュリティ・オペレーションセンター（SOC）が SIEMやXDRをアウトソースしている場合、セキュリティ分析に必要なシステムログや監査ログがテキスト形式の平文のまま、それらのベンダー/プロバイダーに送信されているかもしれない。ログには、組織またはその顧客に関する機密情報が含まれている可能性があるため、アウトソーシングしながらプライバシーを保護することが課題になる。
このプライバシー保護を実現するためには、ハードウェアベースの「信頼できる実行環境 (Trusted Execution Environment: TEE)」かソフトウェアベースの「完全準同型暗号 (Fully Homomorphic Encryption: FHE) 」を用いることができる。を用いることができる。しかし、それらには一長一短がある。
※「完全準同型暗号」に興味を持たれた方は、同じ著者による次の記事も併せてご覧ください。（ログインが必要です。）
「暗号の将来: 暗号化されたデータの演算」 
“The Future of Cryptography: Performing Computations on Encrypted Data” (ISACA Journal, volume 1, 2023)

・「資格情報ハッキング: AIのダークサイド」
[Credential Hacking: The Dark Side of Artificial Intelligence]
Home Security Heroes は、AI がどれだけ早くパスワードを解析できるかに関するレポート (https://www.homesecurityheroes.com/ai-password-cracking/)　を最近リリースしたが、その結果に驚くべきではない。パスワードクラッキング対策、そして、理想的なユーザーエクスペリエンスとビジネスを可能にするために、パスワードレスのような、ほとんど手間のかからないアプローチが求められている。AI は、そのための適応型認証に利用できるとともに、ゼロトラストアーキテクチャを効果的に機能させるためにも役立つ。ハッカーは AI を悪用してきたが、ブルーチームが資産保護のために利用することもできる。

<<ISACA Journal>>

「2023年第3号：持続可能な組織を統治する」
[2023 Volume 3: GOVERNING THE SUSTAINABLE ORGANIZATION]
※以下の記事の閲覧にはログインが必要です。

「自律システムにおける人間とAIのリスクを軽減する」
[Reducing Human and AI Risk in Autonomous Systems]
自律システムに起因するリスクを軽減するには、人間の脳の仕組みとコンピューター AI システムの機能の違いを理解することが重要である。次に、AI システムに適用される偏見、倫理、公平性、信頼性を考慮して、恐怖を和らげるために自律システムが設計および構築されていることを確認する必要がある。
AI が進化するにつれて、人間の心がどのように機能し、どの特性が AI システムに転送されているかを理解することが重要である。人間の思考プロセス、感情、動機をエミュレートする試みは、人間の脳の仕組みと自動型システムの動作の本質的な違いによって妨げられている。バイアスがあると、理想的なシステムと実際に生成されるシステムとの間に差異が生じる。プロセスとバイアスを調査することによってのみ、運用要件と倫理要件を満たす AI システムを開発できる。将来の研究は、最終的に人々の生活を支配することになる AI システムの内部動作の透明性とより深い理解につながることになる。

「協調型組織文化によりサイバーレジリエンスを強化する」
[Building Cyberresilience From Collaborative Culture]
サイバー犯罪者は人間の弱点やテクノロジーの抜け穴を悪用し、新しい手法の攻撃で絶えず既存のソリューションを脅かしている。このため、企業をサイバー攻撃から保護するための従来のサイバーセキュリティ アプローチでは効果がなくなってきている。
本質的に、企業にはサイバーレジリエンスが必要であるが、脅威の状況は常に変化しており、企業はサイバー脅威やサイバーインシデントへの対応をよりダイナミックにアジャイルなアプローチを使用してサイバーレジリエンスを向上させることが求められる。また、協調性のある組織文化にすることも重要である。チームメンバーの集合知が問題解決のための創造的なソリューションをもたらし、危機に対処できるようになる。