ISACAニュースダイジェスト Vol.116

Mt_FUJI_12.jpg

▲目次


ISACAニュースダイジェスト(日本語版)

Vol.116 2024/12/17


発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会


ISACAニュースダイジェストについて

ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。


<目次>


【教育・CPE獲得の機会】
 ・Webセミナー(Webinar)
【専門領域】
 ・@ISACA
 ・Industry News
 ・ISACA Now Blog
 ・ISACA Journal





【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC(協定世界時)あるいはホストの現地時間としていますのでご留意ください。

・2025年1月28日 17:00(UTC)~60分、1CPE
「2025年のプライバシーの傾向」
[The State of Privacy 2025]
消費者のプライバシーに対する需要が高まる中、企業がプライバシーを優先し、プライバシー専門家に必要なリソースを提供することが不可欠である。このウェビナーでは、世界中のプライバシー専門家を対象にした第 5 回年次プライバシー状況調査の結果を検討し、プライバシーの人員配置、予算、意識向上トレーニング、侵害、プライバシー バイ デザインに関する傾向を取り上げる。これらの主要なプライバシー分野の傾向を認識することで、参加者はプライバシー プログラムを再検討や再評価し、場合によっては改善することができる。

・2025年2月4日 17:00(UTC)~60分、1CPE
「ChatGPT やその他の AI がサイバーセキュリティを永遠に変える方法」
[How ChatGPT and Other AI Will Change Cybersecurity Forever]
2024 年の前回のバーチャル カンファレンスでトップクラスの評価を得たセッションの再放送に参加しよう。見た内容を気に入って、さらに学習を深めたい場合は、今すぐ ISACA 2025 バーチャル カンファレンスに登録しよう。そこでは、今回のような地域コンテンツやセッションをさらに体験できる。
これは、ChatGPT などの高度な AI テクノロジーがサイバー セキュリティ環境を再構築する上で果たす変革的役割を掘り下げた画期的なプレゼンテーションである。このセッションでは、AI が脅威の検出、対応戦略、全体的なサイバー レジリエンスにどのような革命をもたらしているかを探り、AI を活用した防御が標準となる未来を垣間見ることができる。参加者は、リアルタイムに脅威を分析・軽減する ChatGPT の機能を紹介し、サイバー セキュリティの実践を永遠に変える可能性を強調するライブデモンストレーションを目にする。このプレゼンテーションは、デジタル セキュリティの未来に関心のある方なら必見。

学習目標:
  1. ChatGPT などのツールの仕組みと、悪意のあるアクターがそれらをどのように使用しているかを学ぼう
  2. IT、サイバーセキュリティ、リスクの専門家がこれらのツールをワークフローに組み込む方法を理解しよう
  3. これらのツールが、現在の IT、サイバーセキュリティ、リスクの専門家や将来の IT、サイバーセキュリティ、リスクの専門家が新しいスキルを習得する方法をどのように変えているかを見よう



【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「サイバーアシュアランス機能の有効性を高める実証済みの戦略」
[Proven Strategies to Boost the Effectiveness of Your Cyber Assurance Function]
サイバーセキュリティは、しばしば悪評を買っている。脅威、インシデント、侵害が絶え間なく続くものだと広く認識されている。ほとんどの組織は、サイバーセキュリティを防御のゲーム、つまり脅威を寄せ付けないようにするための絶え間ない闘いとみなしている。しかし、そのような考え方には限界がある。サイバーセキュリティは単なる防御シールドではない。ビジネス戦略に不可欠な要素であり、適切に実行すれば、成長、革新、信頼を促進する。
このことは、サイバー ガバナンスと内部監査およびアシュアランスの役割についての考え方に最もよく表れている。これらの機能は、ビジネスの成長と革新を妨げるあらたなコストセンター、あらたな管理層と見なされることが多すぎる。しかし、真実は、堅牢なガバナンス フレームワークと効果的な監査機能は、ビジネスを保護し、コストを管理し、回復力を維持する上で最良の味方であるということ。これらは障害ではなく、ビジネスの成功を可能にするものである。
私は、20 年以上にわたり、企業と協力して、最も重大なサイバー リスクを明らかにし、大きな効果をもたらすコスト効率の高い戦略を開発してきた。この記事では、サイバー セキュリティにおける監査とガバナンスの重要な役割について私が学んだことを伝える。監査の準備状況を改善し、回復力のあるガバナンス構造を構築し、セキュリティ文化を創出するために、今日から実践できるヒントを届ける。

・「情報リスクとセキュリティに関する取締役会向けプレゼンテーションを作成するための 5 つの重要な考慮事項」
[Five Key Considerations for Crafting Board Presentations on Information Risk and Security]
効果的な取締役会 (BoD) プレゼンテーションの作成と実施は、情報リスクとセキュリティのリーダーや専門家にとって重要なスキルとなる。プレゼンテーションにより、通常定期的に交流することまではないが、活動、戦略、資金調達に大きな影響力を持つリーダーを前に話をする機会を得ることができる。BoD メンバーは通常、信認義務、コンプライアンス、およびその他の義務を負う。場合によっては、BoD は、所属する組織内で商業的に合理的で防御可能なセキュリティ機能を、確実に導入する責任を個人的に負うことがある。この責任を果たすには、組織の現在の情報リスクとセキュリティの状況を理解し、可能かつ適切な場合に指示、ガイダンス、および支援を提供する必要がある。
※著者によれば、近年、さまざまな組織の取締役会は、情報リスクとセキュリティのプログラム、サービス、活動、スタッフに重点を置くようになっており、この関心の高まりは、取締役会自身の優先事項だけでなく、投資家、規制当局、顧客などの構成員や利害関係者の期待にも起因しているそうです。そして、取締役会に提示する資料を簡潔で、詳細かつ有益なものにするための 5 つの重要な考慮事項について紹介しています。


<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「データセキュリティの確保: クラウドバックアップとドリルテストの重要性」
[Ensuring Data Security: The Importance of Cloud Backups and Drill Testing]
組織の IT 環境では、システムとデータのバックアップが重要である。データのバックアップは、データが破損または失われた場合のダウンタイムに対する最後の防御策である。ファイアウォールやエンドポイント ディテクション レスポンス(EDR) のようなプロアクティブな防御策ではないが、データが完全に消失するのを防ぐのに役立つ。
たとえば、2023年8月に 36時間以上にわたって発生したトヨタのシステム停止 や、2024年5月に Google が誤って顧客データを削除した など。昨年2023年には、香港から、ランサムウェアの被害に遭い、システムが完全に麻痺した組織に関するニュースが報じられた。最善の策は、ハッカーの身代金要求に屈するのではなく、バックアップして復元すること。しかし、3日経っても、組織は電子メール システムを含むシステム全体を完全には回復していなかった。この遅延は、電子メール システムを完全に復元するのに72時間以上かかったため、バックアップ プロセスに問題があった可能性があることを示している。この組織の回復時間が長引いたことは、システム障害が発生した場合でもビジネスの継続性が損なわれないように、堅牢で定期的にテストされたバックアップ戦略が極めて重要であることを強調している。これらの例は、組織がデータのバックアップを見落とし、ドリル テストを実施することの重要性を軽視することが多いことを示している。
組織によっては、バックアップ ソリューションで十分であると誤解し、災害発生時にソリューションが自分たちを救ってくれると信じている場合がある。そのような組織は回復手順を見落とし、プロセスで障害を引き起こす可能性がある。組織は、効果的なデータ バックアップ手順を確立し、定期的にドリル テストを実施して、データの安全性とセキュリティを確保する必要がある。

・「イノベーションがネットワークエンジニアリングの未来を形作る」
[Innovation Is Shaping the Future of Network Engineering]
ネットワーク エンジニアリングの未来は、最先端のテクノロジーによって実現される革新、合理化された運用、効率性の向上という刺激的なフロンティアを提示する。人工知能 (AI)、機械学習 (ML)、自動化を活用した明日のネットワークは、これまでにない俊敏性と効率性を約束する。ソフトウェア定義ネットワーク (SDN) とネットワーク機能仮想化 (NFV) はクラウド インフラストラクチャとシームレスに統合され、比類のない拡張性とコスト効率を実現する。量子コンピューティングとブロックチェーンはセキュリティ対策を強化し、クラウド環境における機密データの堅牢な保護を保証する。モノのインターネット (IoT) がより普及し、5G の拡張が加速するにつれて、組織とネットワーク エンジニアにとっては、クラウド サービスをシームレスに統合し、組織の成長を促進し、比類のない信頼性でデジタル変革イニシアチブを促進する、回復力のある高性能ネットワークを設計する準備が整っていくこととなる。


<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「AI変革が加速する時代に機械学習の知識が重要に」
[Machine Learning Knowledge Looms Large at a Time of Accelerated AI Transformation]
ISACA は、業界が AI を急速に統合する中、IT プロフェッショナルに機械学習 (ML) とディープラーニング (DL) 技術の最新スキルを提供している。ISACA は入門コース「AI の基礎」を基に、理論だけでなく、これらの強力な AI 技術の実際のビジネスでの使用法まで学べる 2 つの新しいコース(※詳細は、下記に示すリンク先を参照ください)を用意した。
最初の新しいコース「ビジネス実現のための機械学習」では、ML プロジェクトのドメインとライフサイクルについて、しっかりとした基礎知識を身に付けることができる。このコースを修了すると、ML の適切なユースケースを特定し、さまざまな ML アルゴリズムの長所と短所を比較検討し、企業で ML を導入する賢明な決定を下す方法を習得できる。コースの構成では、3 つの主要な ML アプローチ (強化学習、教師なし学習、教師あり学習) をカバーしているため、それぞれの独自の長所を理解できる。データの前処理、モデルのトレーニング、モデルのパフォーマンス評価などのコア ML の基礎も詳細に説明する。
最も重要なのは、ハンズオンラボと実際のケーススタディに参加することで、この新しい知識をすべて応用すること。ラボアクティビティでは、ML テクニックを使用して、推奨システムを最適化し、顧客セグメンテーションを行い、コストを予測し、感情を分析することができる。コース全体を通して短いクイズを実施することで、取り上げた主要な概念の理解を深めることができる。
「ビジネスアプリケーション向け機械学習」を修了すると、より高度な AI テクノロジーの詳細を網羅したコース「機械学習: ニューラルネットワーク、ディープラーニング、大規模言語モデル」を受講して、ML に関する知識をさらに広げることができる。
まず、ニューラル ネットワーク アーキテクチャについて学び、生の画像やテキスト入力を機械で処理できる数値データやベクトルに変換するなど、さまざまなデータ タイプやタスクに特化する方法を学ぶ。また、隠れ層、活性化関数、バックプロパゲーションなどのニューラル ネットワークのコア コンポーネントについても詳しく説明する。畳み込みニューラル ネットワーク (CNN) や再帰型ニューラル ネットワーク (RNN) などの特殊なネットワーク アーキテクチャを調べ、トランスフォーマー モデルやアテンション メカニズムなど、大規模言語モデル (LLM) や生成型人工知能 (Gen AI) の最近の進歩を推進するイノベーションについて学べる。
※「新しいコース」の詳細は次のリンク先を参照ください。
(全体説明:Map out your AI quest
(コース)
Machine Learning for Business Enablement
Machine Learning: Neural Networks, Deep Learning and Large Language Models

・「AI倫理: 異なる文化的背景を乗り越える」
[AI Ethics: Navigating Different Cultural Contexts]
人工知能 (AI)、特にそれをめぐる倫理は、引き続き注目の話題である。情報セキュリティ、リスク管理、AI 倫理を専門とし、この分野で 25 年以上の経験を持つ著名なサイバーセキュリティ専門家である Pablo Ballarin 氏との最近の ISACA「Ask Me Anything」ディスカッションでは、AI の倫理的使用に関する複雑さについて検討した。また、AI に関する倫理的懸念だけでなく、実用的なアプリケーションとソリューションについても掘り下げて検討した。
議論の中で取り上げられたテーマの 1 つは、AI は人間の創造物であり、AI が人間と共存する社会では AI の倫理を考慮しなければならないというもの。「AI は人間とは別のものとして見るべきではない」とBallarin氏は議論の中で述べている。「AI は他のあらゆる技術進歩と同様に、人間のニーズから生まれた創造物。社会が AI の発展を推進し、その結果、AI は社会に大きな影響を与えている。」
いくつかの議論における問いは、倫理の複雑さと、地域によって大きく異なる倫理原則に文化の相対性がどのような役割を果たしているかに集中していた。「倫理的な AI の認識は一様ではない。各地域の独自の文化的、社会的、地政学的状況によって大きく形作られている」とBallarin氏は書いている。「AI 倫理とは、普遍的な原則だけでなく、それらの原則がさまざまな社会的状況の中でどのように適応されるか、に関わるものである。」

・「AIガバナンス:主なメリットと実装の課題」
[AI Governance: Key Benefits and Implementation Challenges]
AI ガバナンスとは、人工知能 (AI) システムの開発・展開・使用を管理する、ポリシー・規制・倫理原則・ガイドラインのフレームワークを指す。AI ガバナンスは、再設計された、または新しい AI 対応のビジネス プロセスとワークフローが責任を持って透明性を持って実装されることを保証するのに役立つ。
AI ガバナンスは、いくつかの重大な課題に直面している。急速な技術進歩は規制フレームワークを上回ることが多く、監視にギャップが生じる。イノベーションの必要性と効果的なリスク管理のバランスを取ることは、進歩を促進することと、安全性と公平性の確保を比較検討する必要があるため、さらに複雑になる。また、異なる政治的および文化的見解にもかかわらず、各国が標準を一致させる必要があるため、グローバルな協力も不可欠であるが、達成は困難である。
さらに、AI モデルの複雑さと不透明性により、説明責任と透明性の実施が困難になり、規制の取り組みが複雑になる。これらの課題は、進化する AI テクノロジーにガバナンスを合わせるために、適応型ポリシー、継続的な対話、およびセクター間のコラボレーションを必要とする。


<<ISACA Journal>>

※以下の記事の閲覧にはログインが必要です。

「2024年第6号 破壊的イノベーションの予測」
[2024 Volume6 Anticipating Disruptive Innovation]

・「量子の謎を解く」
[Demystifying Quantum]
サイバーセキュリティ分野では、ポスト量子暗号 (PQC) と量子鍵配布 (QKD) という 2 つの重要な量子開発が出現した。 PQC は、RSA などの従来のアルゴリズムを破る恐れのある量子コンピューティングの進歩により出現した。一方、QKD は安全な鍵交換の方法として開発され、アルゴリズム鍵交換の秘密性の問題に明確に対処している。どちらのトピックも、暗号における量子物理学のいくつかの基本的な意味合いに関連しているが、量子コンピューターが RSA 暗号化を破ることができるリスクを軽減するためのアプローチが異なる。PQC の場合は暗号の変更が行われているが、QKD は鍵の配布方法を中心に展開している。これらの違いを分析することで、実務者は量子ベースのソリューションが暗号システムのさまざまな側面にどのように組み込まれているか、またそれぞれがどのように影響を受けるかをよりよく理解できるようになる。

・「LLM のセキュリティ保護: 企業展開のベスト プラクティス」
[Securing LLMs: Best Practices for Enterprise Deployment]
大規模言語モデル (LLM) は、急速に進化する情報技術の分野で変革をもたらす力として登場し、自然言語処理、コンテンツ生成、意思決定サポートにおいて前例のない機能を提供している。LLM を企業の業務に統合することは、単なる技術のアップグレードではない。組織が情報を処理し、顧客とやり取りし、意思決定を行う方法に根本的な変化をもたらす。
ただし、他の新興技術と同様に、LLM を採用すると、慎重に管理する必要がある新しい脆弱性とリスク要因が生じる。データ プライバシーの懸念から悪意のある操作の可能性まで、LLM 導入のセキュリティへの影響は広範囲かつ複雑である。組織は、企業環境で LLM を安全に導入するための包括的な戦略を策定する必要がある。


**ISACAニュースダイジェストご利用上のご注意**

  • オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
  • 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
  • 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
  • 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。

(Vol.116 文責 小峰 英篤 (福岡支部))

    


このサイトは、ISACA日本支部協同推進機構が運営しています。