【教育・CPE獲得の機会】
<<Webセミナー(Webinar)>>
https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC(協定世界時)あるいはホストの現地時間としていますのでご留意ください。
・2024年11月5日 16:00(UTC)~60分、1CPE
「情報セキュリティコンプライアンスを近代化する5つの自動化トレンド」
[5 Automation Trends to Modernize Infosec Compliance]
情報セキュリティプログラムの管理の現状は、時代遅れのツールや縦割り組織のプロセス、サードパーティへの過剰投資に依存していることが多く、より柔軟で拡張性があり、費用対効果の高いアプローチに切り替える必要がある。
このセッションでは、今日のビジネスの複雑な状況に対応できる、全社的なプログラム開発と自動化のための新しいアプローチを紹介する。
• 今日のリスク環境における情報セキュリティ対策の限界を理解する
• 成熟度の異なる組織に最適な自動化の5つの主要分野を特定する
• プログラムの効率性を、ビジネスにとって測定可能なメリットと成果に変換する
※OneTrustのスポンサーWebinarです。
・2024年11月7日 16:00(UTC)~60分、1CPE
「本当に重要なサイバーセキュリティ評価基準の特定」
[Identifying the Cybersecurity Metrics that Actually Matter]
サイバーセキュリティの評価基準を考える際には、考慮すべき要素が数多くある。自組織にとって最も重要なリスクは何か?最も標的となりやすいのはどの事業部門か?セキュリティはビジネスの優先事項リストのどこに位置づけられているか?
本当に重要なのは、何から始めるかということである。結局はビジネス上の状況に帰着する。Axoniusのロードマップに参加して、自組織にとって本当に重要なサイバーセキュリティ評価基準を決定する方法について学ぼう。
• 今日のサイバーセキュリティ支出の現状
• サイバーセキュリティ支出の価値をアピールする方法
• サイバーセキュリティプログラムを強化する方法
• Axoniusを使用して主要指標を測定する方法
※AxoniusのスポンサーWebinarです。
・2024年11月20日 16:00(UTC)~60分、1CPE
「会員限定スピーカーシリーズ - 自信の技法」
[Member-Exclusive Speaker Series—The Art of Confidence]
PepTalkHerの創設者であるメギー・パーマー氏は、成功への道を歩む多くの人々を阻む、さらなる格差を発見した。それは「自信の格差」である。パーマー氏は、職場における個人の自信を打ち砕く状況を特定し、それらが対処されないまま放置されると、チームが潜在能力を発揮できず、ビジネス目標を達成できない結果につながることを明らかにする。
パーマー氏は、真の自信とは何かを明らかにするとともに、インポスター症候群を克服し、自信の技法を習得し、潜在能力以上の成果を達成し、チームを成功に導くために、聴衆がすぐにでも実践できる行動指針の概要を示す。聴衆は、その日から実行できる具体的な行動指針について学ぶことができる。パーマー氏は、聴衆が自分の未来をコントロールできていると感じ、自信とキャリアを好きな方向に導く方法を理解できるよう導く。
※「インポスター症候群」とは、自分の力で何かを達成し、周囲から高く評価されても、自分にはそのような能力はない、評価されるに値しないと自己を過小評価してしまう傾向のことです。
・2024年12月7日まで視聴可能 ~60分、1CPE
「Microsoft 365 のセキュリティ確保:高度な脅威に対する防御」
[Securing Microsoft 365: Defending Against Advanced Threats]
今日のダイナミックな職場環境において、Microsoft 365 は不可欠である。しかし、組み込みのセキュリティ機能だけでは、組織を継続的な脅威から保護するには十分でない場合がある。 サイバーセキュリティの専門家であるデイブ・クック氏とマーク・ハリス氏とともに、ビジネスメール詐欺(BEC)、ランサムウェア、フィッシング、アカウント乗っ取り、サプライヤー詐欺など、さまざまな高度なメール攻撃に対する Microsoft 365 の展開強化について詳しく掘り下げていこう。
※ProofpointのスポンサーWebinarです。
<<Virtualサミット>>
https://www.isaca.org/training-and-events/online-training/virtual-summits
※バーチャルサミットに参加することで、ISACA会員は無料でまとまったCPEが獲得できます。CPEの取得に活用されてみてはいかがでしょうか。
・2024年12月4日14:00(UTC)~ 3CPE
「データ保護 プライバシー ガバナンス」
[Data Protection Privacy Governance]
世界中でプライバシー関連の法律が制定されるにつれ、企業はコンプライアンスに関する課題の複雑な迷路に直面している。
このサミットは、企業が自社の業務をよりよく理解し、グローバルスタンダードに沿ったものにしながら、プライバシーリスクにさらされる可能性のあるギャップに対処するのに役立つ。
【専門領域】
<<@ISACA>>
https://www.isaca.org/resources/news-and-trends/newsletters/atisaca
・「サイバーセキュリティ専門家のストレスレベルが上昇」
[Stress Levels on the Rise for Cybersecurity Professionals]
ISACAが新たに発表した「2024年のサイバーセキュリティの現状」調査レポートによると、サイバーセキュリティ専門家の66%が、5年前よりもストレスが増大していると回答している。
脅威の状況がより困難になる中、サイバーセキュリティの予算と人員はそれに対応できていない、とこの調査は指摘している。
「組織は、高まるサイバー脅威から身を守るために、たとえ財政的に不安定な状況にあっても、サイバーセキュリティへの投資を増やすよう支持しなければならない」と、ISACAのEmerging Trends Working GroupのメンバーであるPablo Ballarin Usieto氏は述べている。「同時に、業界は迫り来るベテラン専門家の大量退職に備え、若い人材を惹きつけ、確保する必要がある。最後に、企業は地政学的な緊張と経済の不安定さを背景に、AI開発に積極的に取り組み、その能力を活用して防御を強化すべきである。」
ISACAの「2024年のサイバーセキュリティの現状」調査レポートの無料コピーは、www.isaca.org/state-of-cybersecurity-2024からアクセスできる。
<<Industry News>>
https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。
・「IS監査の重要性:恒大危機から学ぶ教訓」
[The Importance of IS Audit: Lessons Learned from the Evergrande Crisis]
1996年に設立された恒大集団は、中国で2番目に著名な不動産開発業者であったが、2024年3月、中国証券監督管理委員会は、恒大集団が破綻するまでの2年間に790億米ドルの売上を人為的に水増ししていたと主張した。これは、世界的に有名な監査法人であるプライスウォーターハウスクーパース(PwC)が財務諸表を監査していたにもかかわらず発生した。
恒大集団のスキャンダルは、堅牢なIS監査の重要性を浮き彫りにしている。 効果的なIS監査は、財務報告と内部統制の整合性を確保し、不正行為を防止し、会計専門職に対する社会の信頼を維持するために不可欠である。
※中国当局は本件につき、粉飾見落としに対する重大な瑕疵があったとして、会計監査を担当していたPwCに対し、罰金及び6ヶ月の業務停止の行政処分を下しました。
この記事の筆者は、財務報告および内部統制の信頼性を確保し、会計専門職に対する社会の信頼を維持するために、IS監査の観点からどのように監査品質を上げるべきかについて述べています。
<<ISACA Now Blog>>
https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。
・「NIS2指令:欧州全域の公共サイバーセキュリティとインフラの強化」
[NIS2 Directive: Strengthening Public Cybersecurity and Infrastructure Across Europe]
欧州連合(EU)のNIS2指令は、2024年10月17日に迫ったコンプライアンスの期限を前に、欧州全域のサイバーセキュリティの状況を一変させようとしている。NIS2では、リスク管理、企業の説明責任、報告義務、事業継続性に関して、組織に新たな要件と義務を課している。この指令では、エネルギー、交通、水、宇宙、行政、金融サービス、デジタルインフラ、ヘルスケアに関連する「重要サービス」を提供する中規模から大規模の企業は、十分なサイバーセキュリティ対策を実施するとともに、深刻なサイバー脅威が発生した場合は、適切な国家当局に通知することが規定されている。これには、検索エンジン、クラウドコンピューティングプロバイダー、eコマース事業者などのITサプライヤーも含まれる。
NIS2ではトレーニングが明確に要件として定められており、特にサイバーセキュリティの管理とガバナンス、リスク管理、事業継続、保証、インシデント報告の分野において、規制の実施に影響を与えるため、NIS2のコンプライアンスを実際に達成する上で最も重要な要素のひとつとなっている。この文脈において、ISACAのような業界リーダーのトレーニングリソースを活用することは特に有益である。
EUで事業を展開する組織にとっての次のステップは、適切な能力を確立するためのトレーニング、NIS2の対象範囲内であるかどうかの確認、コンプライアンスレベルのチェック、サプライチェーン、インシデント対応、事業継続性などを含むリスク評価に重点的に取り組むことである。
・「NIS2は”張子の虎“になる危険性があるか?」
[Is NIS2 In Danger of Becoming a Paper Tiger?]
NIS2は、サイバーセキュリティの回復力を高めることを目的とした非常に野心的な指令であるが、NIS2が“張子の虎”になるのではないかという懸念が広がっている。技術的な詳細情報の提供に関しては、規制には詳細が記載されていない。これは、リスクベースで成果主義の基準としては珍しいことではないが、それらに対応できる大規模な組織を対象としており、一定レベルのサイバー成熟度を前提としている。一般的にサイバーセキュリティ対策が成熟しておらず、リソースも限られている中規模の企業にとっては特に難しいものとなる。 コンプライアンスのコストはさらに高くなり、この規制により欧州全体で年間312億ユーロのコストがかかるという推定もある。NIS2が大きな期待を集めているのは、大きなコンプライアンス負担となることなく採用され、その監督者が「虎が牙を持っているだけでなく、実際に使う」ことを確実にできる場合である。
<<ISACA Journal>>
※以下の記事の閲覧にはログインが必要です。
「2024年第5号 すべてのリスクは企業リスク」
[2024 Volume5 All Risk Is Enterprise Risk]
・「連結したエコシステムにおける堅牢なサードパーティリスク管理プログラムの構築」
[Building a Robust Third-Party Risk Management Program in a Connected Ecosystem]
サードパーティのリスク評価を実施するには労力がかかり、リスクエクスポージャーに見合ったものでなければならない。サードパーティが複数の顧客に対して、規模や複雑性の異なるカスタマイズされたアセスメントを完了することが求められると、アセスメント疲れが生じる。 一方で、組織はアセスメントのライフサイクル全体にわたる調査結果をレビューするために、サードパーティとの関わりにおいて相当な工数を費やすことが求められる。
アセスメントはリソース集約的なプロセスであって、 これをなくすことはできないが、目的に即し状況に沿ったアプローチを採用することで、プロセスをより効率的にすることができる。
※筆者はサードパーティのリスク評価アプローチの具体的な方法の他、サードパーティ管理によって得られた膨大な量のデータをどう扱うかにも触れ、リスク管理プログラムの成熟と進化の必要性について述べています。
<<Books>>
・「人工知能:機械学習、ディープラーニング、ニューラルネットワーク入門」
[Artificial Intelligence: A Primer on Machine Learning, Deep Learning, and Neural Networks]
本書では、AIの歴史、主なマイルストーン、最近の進歩を明らかにし、現代のAIモデルの主な種類とその機能、実用的な応用についてまとめている。企業でAIを導入または使用する立場にある方々に、AIに関する基礎的な理解を提供することを目的としている。また、AIのリスクを軽減しながらそのメリットを最大限に活用するために、企業が強力なガバナンスを導入する必要性についても探求している。
※会員価格 $35.00
**ISACAニュースダイジェストご利用上のご注意**
- オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
- 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
- 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
- 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。
(Vol.114 文責 藤井 みゆき (大阪支部))
このサイトは、ISACA日本支部協同推進機構が運営しています。