▲目次
ISACAニュースダイジェスト(日本語版)
Vol.110 2024/06/18
発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
【教育・CPE獲得の機会】
<<Webセミナー(Webinar)>>
https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC(協定世界時)あるいはホストの現地時間としていますのでご留意ください。
・2024年7月9日 16:00 (UTC)~60分、1CPE
「AI監査ツールキットの概要」
[AI Audit Toolkit Overview]
AIの利用が増加し、重要性が高まるにつれ、監査による監視も厳しくなるだろう。ISACA の人工知能 (AI) 監査ツールキットは、選択したコントロールフレームワークと法律から派生するコントロールを組織化された構造に統合し、それらのコントロールが AI ライフサイクルのさまざまな側面にどのように関連しているかをより理解できるようにする。これは、新しいテクノロジーのこの重要な領域をサポートするコントロールの有効性に関する保証の構築と実証をサポートする評価ガイダンスをIT監査人に提供する。このセッションでは、ISACA の AI コントロール評価ガイダンスの概要を説明し、企業のニーズに合わせて AI コントロール評価を設計および調整するのに役立つ。
・2024年7月30日 16:00 (UTC)~60分、1CPE
「デジタルトラストの現状2024」
[State of Digital Trust 2024]
デジタルトラストはデジタルトランスフォーメーションに不可欠な要素であり、顧客との信頼関係を築き、競争上の優位性につなぐことができる。このウェビナーでは、世界中の 5,800 人以上から回答を得た第 3 回年次デジタルトラスト現状調査の結果を紹介する。この調査結果は、デジタルトラストに関連する課題と機会、および組織のデジタルトラスト体制を改善するための戦略を示す。
【専門領域】
<<@ISACA>>
https://www.isaca.org/resources/news-and-trends/newsletters/atisaca
※ ISACAが配信する隔週のニュースレター、今月はVolume10とVolume11から一点ずつ紹介します。
・「内部監査員のための6つの重要な質問方法」
[The 6 Key Questioning Methods for Internal Auditors]
内部監査員は、組織の完全性を守る重要な存在であり、プロセスを精査し、リスクを特定し、解決策を提案する。監査員は、調査スキルを高めるために、ラドヤード・キップリングにちなんで名付けられたキップリング法を活用できる。この方法では、6つの重要な質問 (何、どこ、いつ、なぜ、誰が、どのように) をする。この体系的なアプローチは、徹底的な分析と効率的な問題解決に役立つ。
・「デジタルトラストという傘の下で安心を得る」
[Attaining Peace of Mind Under the Digital Trust Umbrella]
顧客や利害関係者とのデジタルトラストを確立することは、多くの組織にとって依然として困難なままであり、これは ISACA の新しい調査によって裏付けられている。ISACA の State of Digital Trust 2024 レポートの回答者のうち、組織がデジタルトラストの成熟度を測定していると回答したのはわずか 23% であるが、81% がデジタルトラストへの取り組みを示すことが成功につながると回答している。レポートでは以下のことも示されている。
- 82% が、5 年後にはデジタルトラストがさらに重要になると回答
- 78% が、デジタルトラストはデジタルトランスフォーメーションにとって重要だと回答
- 71% が、良い評判がデジタルトラストに関連する最大のメリットだと回答
- 53% が、スキルとトレーニングの不足がデジタルトラストの達成における最大の障害だと回答
<<Industry News>>
https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。
・「絶え間ない脅威に対処しつつITガバナンスを強化する」
[Reinforcing IT Governance in the Face of Constant Threats]
今日の情報セキュリティチームは、ますます予測不可能になるデジタル環境において、新しく複雑な課題に直面することがよくある。彼らには複数のシステムにまたがる膨大な量のデータを守る責任がある。さらに、攻撃対象領域の拡大と前例のない頻度の侵害にも直面している。
2023 年、データ侵害による世界平均コストは 445 万ドルに急増し、過去 3 年間で 15% 増加した。法務および規制当局はこれに対応してセキュリティ基準を継続的に強化しており、毎年更新された規則が発表されている。
<<ISACA Now Blog>>
https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。
・「セキュリティ・アズ・コード: DevSecOps の重要な構成要素」
[Security-as-Code: A Key Building Block for DevSecOps]
今日の脅威の状況は絶えず変化しているため、セキュリティ インシデントに対応してセキュリティを追加するのではなく、システムとプロセスの重要な機能および属性としてセキュリティを組み込むことが重要である。また、迅速なソフトウェア開発と展開のスピードと拡張性のニーズに対応するには、セキュリティがアクセスしやすく、俊敏で、自動化されている必要がある。ここで、「セキュリティ・アズ・コード」(SaC) の概念が役立つ。
<<ISACA Journal>>
※以下の記事の閲覧にはログインが必要です。
「2024年第3号:競争力としてのレジリエンス」
[2024 Volume3 RESILIENCE AS A COMPETIVE ADVANTAGE]
「IT、情報セキュリティ、ビジネス間での運用上の障壁打破」
[Breaking Down Operational Barriers Between IT, Information Security, and the Business]
情報セキュリティ専門家は、「ノー」と言う集団だと見なされており、一緒に仕事をするのが難しいと思われがちである。他の専門家の一般的な意見は、プロジェクトを中止または延期したい人は、情報セキュリティ チームに相談すべきだというものである。しかし、この悪評は、多くの場合、自らが招いた侮辱である。情報セキュリティ専門家は、自分が働いている企業によるリスク決定のせいで、自分の意見が聞き入れられていると感じられないことがある。このため、情報セキュリティ専門家は、プロセスにセキュリティを組み込む機会が与えられたときに過剰反応し、工数と費用の両方で非現実的な支出目標を設定しがちである。時には、これらの専門家は、強制的なセキュリティ対策 (たとえば、失敗した従業員の解雇を要求するフィッシング対策キャンペーンの実施。あるいは、監査を利用して、コントロールの実装を他の項目よりも優先するどころか即時アクションに移すことで、ソフトウェア開発ライフサイクル (SDLC)の計画プロセスをスキップしてしまうこと) を使用した場合にのみ結果が出ると感じている。これらのセキュリティ対策を身に付けたセキュリティ専門家は、新しいテクノロジーと新しい手順の実装を猛スピードで進める。これは多くの場合、チームが変化に適応する能力を超えており、非効率性が生じ、ビジネス プロセスが遅くなり、未熟なコントロールの実装となりうる。
**ISACAニュースダイジェストご利用上のご注意**
- オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
- 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
- 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
- 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。
(Vol.110 文責 市古好史 (名古屋支部))
このサイトは、ISACA日本支部協同推進機構が運営しています。