ISACAニュースダイジェスト Vol.103

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2023年12月7日　16:00 (UTC)～60分、1CPE
「Microsoft365のセキュリティを守る：拡大する脅威を防御」
[Webinar—Securing Microsoft 365: Defending Against Advanced Threats]
今日のダイナミックな業務環境では、Microsoft365は不可欠だが、組み込まれたセキュリティ機能だけでは、組織を脅威から守るには十分ではない。本セッションでは、ビジネスメール詐欺(BEC)、ランサムウェア、フィッシング、アカウント乗っ取り、サプライヤ詐称など、高度かつ様々なメールへの攻撃に対してMicrosoft365導入を強化する方法について掘り下げる。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※ 公開後 1年間は、アーカイブで視聴可能です。

・2024年8月10日まで視聴可能
「クラウド脅威の検知、調査と対応の未来」
[The Future of Cloud Threat Detection, Investigation & Response]
クラウドの普及が進むにつれて、クラウド・ネイティブなセキュリティ脅威の数も増え続けている。しかし、クラウド環境は、適切な正しいプロセスによりセキュリティを向上させる大きな機会をもたらし得る。

【専門領域】

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※ 各界の専門家による10分～30分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「効果的なベンダー・セキュリティ・プログラムでサプライチェーンを保護する」
[SECURE YOUR SUPPLY CHAIN WITH AN EFFECTIVE VENDOR SECURITY PROGRAM]
組織を業務リスクや風評リスクにさらすサプライチェーンでのインシデントによるセキュリティリスクは、今日の幹部の上位の関心事となっている。ライフサイクルを通してコンプライアンスを確保し、これらのリスクをプロアクティブに特定して軽減するために、今やベンダーの強固なセキュリティ・プログラムが必須となっている。一方、今日、多くのベンダーセキュリティチームは、増え続けるセキュリティ見直しのバックログに直面し、質の高いアセスメントを続けるための緊急性と圧力が高まっている。

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「不信感が強いデジタル時代に信頼を築く方法」
[How to Build Trust in a Distrustful Digital Era]
デジタル時代に生きる我々は、以前より多くの情報にアクセスできるようになっているが、不信感が強い時代になったとも言えよう。ブランドを成功させるためには、潜在的にある落とし穴にはまらずに、この時代を泳いで遡り、より強力なブランド認知と信頼を生み出さねばならない。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「2023年における最大脅威のサイバーセキュリティ・インシデントの分析」
[Sizing Up Some of the Spookiest Cybersecurity Incidents of 2023]
※セキュリティ専門家による22－23年の代表的なサイバーセキュリティ・インシデントとその対応の紹介記事です。リモートアクセスする従業員のホームネットワークからの侵入で始まったパスワード管理アプリ「LastPass」のインシデント、ID管理「Okta」での一連の不正アクセス事件、巨大DDoS攻撃を発生させる「HTTP/2 Rapid Reset」攻撃、ファイル転送ツール「MOVEit」の欠陥を悪用したランサムウェアについて紹介されています。

・「ISACA AI調査結果：情報セキュリティ専門家が本当に知っておくべきことは？」
[ISACA AI Survey Results: What Do Infosec Professionals REALLY Need to Know?]
※ISACAが実施したサイバーセキュリティ分野での人工知能(AI)に関する調査結果の報告です。情報セキュリティ専門家がAIの脅威をどう認識し、利用し、感じているか、以下の主要なテーマについて調査結果を報告しています。結論として、企業がAIの波に押し流されるのではなく、戦略的に乗るべき時がきている、と警鐘を鳴らしています。

• 生成AIの認知度と組織での活用ポリシー導入程度
• 組織でのAI活用状況とAIセキュリティトレーニング実施状況：生成AIのシャドウ化
• AIリスク管理のプライオリティ
• AIによって変化する仕事の将来や業界の展望
  
  

<<ISACA Journal>>

「2023年第5号：作戦を遂行せよ」
[2023 Volume 5: THE OPERATIONS IMPERATIVE]

「ITリスク評価とIT監査が協業することで業務の負荷を軽減」
[IT Risk and IT Audit Working Together to Reduce the Burden on the Business]
※ITリスク評価とIT監査は業務チームに対し、例えばシステム構成図やシステムからのユーザリスト出力など、重なる要求をすることが数多くあり、業務負荷を上げています。その回避のためには、リスク評価と内部監査とが連携して行われる必要がありますが、実現には４つの原則があります。

1. 協力的なカルチャであること(従業員は監査やリスク対策の意義を理解し、監査側やリスク対策側も頻繁に小規模なやりとりを実施します)
2. IT監査がT字型であること(幅広い基礎的な監査の知識と技術的な専門分野を持つ監査人で構成)
3. ITリスク担当が統制の有効性を適切にテストしていること(監査チームがリスクチームのテストに依存するために必須)
4. 共通のツールが使われていること(リスク評価と監査に１つの共通プラットフォームを使用することで、両チームがお互いの作業を活用でき、リスクと監査のリーダに全体像を説明するための総合的な指標が提供されます)。

本稿ではそれぞれの原則について概説を述べ、続いて、業務を中断することなくITリスク評価、IT監査を実践するイメージを記載しています。