ISACAニュースダイジェスト Vol.104

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2024年1月17日　16:00 (UTC)～60分、1CPE
「2024 年のテクノロジー予測パネルディスカッション」
[Webinar—2024 Technology Predictions Panel Discussion]
CIO、CEOと2人のCAEをパネラーに招き、2023年に流行ったいくつかの新興テクノロジーと、それらがビジネス界に与えた影響を議論した上で、どのようなテクノロジーと潜在的な規制が新たに出現するのかを予測する。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※ 公開後 1年間は、アーカイブで視聴可能です。

【専門領域】

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※ 各界の専門家による10分～30分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「脅威モデリングプログラムの拡張」
[SCALING YOUR THREAT MODELING PROGRAM]
脅威モデリングを用いると、開発チームは開発ライフサイクルの早い段階でシステムアーキテクチャに対する脅威を発見できるが、従来の脅威モデリングの手法では現代の複雑なソフトウェア開発に対応することは困難であり、変革が必要となる。このポッドキャストでは、プログラムの拡張戦略と脅威モデリングの将来を、Adobe のアプリケーションセキュリティマネージャーであるLauren Stropeが独自の視点で語る。

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「サイバーセキュリティと燃え尽き症候群: サイバーセキュリティ専門家の物言わぬ敵」
[Cybersecurity and Burnout: The Cybersecurity Professional's Silent Enemy]
絶え間ないプレッシャー、パフォーマンスの要求、進化する脅威は、サイバーセキュリティプロフェッショナルのメンタルヘルスに重大な影響を与える恐れがある。本稿では、サイバーセキュリティ業界が抱えているメンタルヘルスの課題と、それらを軽減するためのアプローチ、そして、燃え尽き症候群の予防について述べる。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「サイバー攻撃の厳しい現実: 可能性から確実性へ」
[The Grim Reality of a Cyberattack: From Probability to Certainty]
ほとんどの組織がサイバー攻撃の被害に遭うことを避けられないのは、もはや明白である。企業、政府、個人が実施するサイバーセキュリティ対策は、サイバー犯罪者の手口の巧妙化により、ますます時代遅れになり、今後の見通しも厳しいものとなっているため、攻撃による影響を軽減するための実践的な方法を理解する必要がある。
※この記事には、サイバー攻撃の被害を受けた組織が「取るべき行動」と「避けるべき行動」のリストも記されています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「中小企業にとってのサイバーセキュリティの本質: ゼロトラスト原則の適用」
[The Essentiality of Cybersecurity for Small Businesses: Applying Zero Trust Principles]
サイバーセキュリティは、あらゆる規模や業界の企業にとって不可欠である。現在の脅威の状況においては、攻撃されるか否かではなく、いつ攻撃されるかが問題となる。中小企業であっても、ゼロトラストの原則を活用して防御を強化すれば、サイバーセキュリティリスクを効果的に軽減できるが、ビジネス戦略の定義と戦術の優先順位付けが必要となる。

・「若葉マークのサイバーセキュリティプロフェッショナルを雇用するメリット」
[The Benefits of Hiring Entry-level Cybersecurity Professionals]
資格や教育だけでなく、絶えず進化する法律や基準、お作法のために、サイバーセキュリティ業界では最初の仕事を得るまでが難しいかもしれない。また、常に新しい人材を探している雇用者側としても、経験の浅い応募者の雇用には予算や時間が多くかかることからためらいがちである。しかしながら、非営利団体サイバーセキュリティ ゲートブレイカーズ財団のBuckwalter氏は、若葉マークのサイバーセキュリティプロフェッショナルに学習意欲と技術的スキルではない「ソフトスキル」があれば、多くの場合、思っているよりも時間はかからず、メリットはあると主張する。
※ ISACA Engageで行われた ’Ask Me Anything (AMA)’ セッションの紹介記事です。次のURLから、すべてのスレッドを参照することができます。
[I Advocate for Hiring Entry-Level Cybersecurity Professionals: Ask Me Anything!]

<<ISACA Journal>>

「2023年第6号：これから必要になるスキルの習得」
[2023 Volume 6: Future Skilling]

「恐怖を感じるか否か: 最適なセキュリティ文化を構築する方法」
[To Fear or Not to Fear: How to Create an Optimal Security Culture]
組織がサイバー攻撃の脅威からデータを守る方法として、組織内にセキュリティの文化を創ることは効果的である。これは、従業員が情報セキュリティ侵害のリスクを認識し、セキュリティポリシーに従うことの重要性を理解する必要があることを意味する。従業員は情報セキュリティルールに違反したことで叱責されるのではないかという恐怖を感じるが、この恐怖に対処し、セキュリティへの影響を理解することは、セキュリティ文化を構築する上で最も重要な要素の1つである。恐怖の欠如も過度な恐怖も望ましい結果を生まないため、サイバーセキュリティ行動に関する恐怖レベルの最適化が必要になる。