ISACAニュースダイジェスト Vol.118

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2025年3月25日　17:00(UTC)～60分、1CPE
「AI のビジネスケースの構築」
[Building the Business Case for AI]
人工知能の「輝く新しいオブジェクト」に関心をもちながら、組織のセキュリティポリシーに合わせながらどのように適合させるのか、まだ確信が持てない？なぜAIについて会話をしているのかを考えてみよう。目標は何か？目的は何か？
これらを始めとした質問に答え、新興技術で何が可能かを知るための時間とリソースを正当化する方法を検討しつつ、新機能を戦略的に調整する方法を発見しよう。
このセッションは、AIを活用する旅路のどこにいてもROIをプラスにする組織に向けたAIビジネスケースを構築することを目的としている。

・2025年4月3日　17:00(UTC)～60分、1CPE
「高額な損害をもたらすフィッシング攻撃に対する Microsoft 365 の強化: 最近のサイバー強盗からの洞察」
[Fortifying Microsoft 365 Against Costly Phishing Attacks: Insights from Recent Cyber Heists]
フィッシング攻撃は巧妙化と影響が増しており、最近注目を集めたインシデントでは組織は1億ドル以上の損失を被っている。Microsoft 365 環境は特に脆弱であるため、企業は高度な AI 主導の保護で防御を強化することが重要になっている。
ライブ ウェビナーに参加して、Microsoft 365 環境を高度なフィッシング攻撃から保護する方法を学ぼう。以下について詳しく説明する。
・最近の実際のフィッシング キャンペーンとその高額な影響
・Microsoft 365 環境の主な脆弱性
・防御を強化して攻撃者より一歩先を行くための、AI を活用した実用的な戦略

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「ISACA が新しい CCOA セキュリティ資格を導入」
[ISACA Introduces New CCOA Security Credential]
キャリアの浅いサイバーセキュリティ専門家は、将来の雇用主に自分の技術的スキルと資格を示すのに苦労することがしばしばあるが、ISACAは新たに開始した“認定サイバーセキュリティ運用アナリスト”の資格でこの課題に取り組んでいる。
認定サイバーセキュリティ運用アナリスト (CCOA：Certified Cybersecurity Operations Analyst) は、アナリストがキャリアを次のレベルに進めるために必要な技術スキルに重点を置いている。数年の経験を持つサイバーセキュリティ専門家向けに設計された CCOA により、サイバー脅威の特定と対応方法、脆弱性評価の実行方法、資産保護に関する業界のベストプラクティスに沿ったガイダンスの提供方法をより深く理解できるようになり、スキルと知識が強化され、将来の雇用主に対する際立った存在となる。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「Web クライアント ランタイム セキュリティの概要」
[An Introduction to Web Client Runtime Security]
最近、特定の種類のサイバーセキュリティ侵害、データ漏洩、サプライチェーン攻撃が増加しているが、これらはすべて、ユーザーのブラウザで実行中に発生する侵害に関連している。従来のサイバーセキュリティ ソリューションには、このようなインシデントを検出、保護、対応するための可視性と範囲が欠けている。
Web クライアント ランタイム セキュリティ (WCRS：Web Client Runtime Security) という用語は、Web 操作中にブラウザで実行されるコードのセキュリティまたは悪意のある動作の可能性を強調するために、著者によって造られた。コードはユーザーが訪問する Web サイトを通じて提供されるが、そのすべてが Web サイトの所有者によって記述されているわけではなく、Web サイトでホストされているわけでもない。この複雑さにより、第三のパーティのコードの使用から脆弱性が生じる。このようなコードは通常、デジタル サプライ チェーンのパーティ、またはそれらのパーティによって読み込まれた第四および第五のパーティのコードによって実行時に動的にホストおよび提供されることに注意することが重要である。Web サイトの所有者には、第三のパーティが所有または管理するコードの整合性を主張する制御や手段がない。
※ 以下は「Web Client Runtime Security」を説明するシリーズ記事です。紹介記事以外の２記事のタイトルと URLを記します。
・「従来のセキュリティソリューションではWebクライアントのランタイムリスクに対する保護が不十分」
[Traditional Security Solutions Fall Short in Protecting Against Web Client Runtime Risk]
https://www.isaca.org/resources/news-and-trends/industry-news/2025/traditional-security-solutions-fall-short-in-protecting-against-web-client-runtime-risk
・「Web クライアント ランタイム セキュリティの運用化に関するガイドライン」
[Guidelines for Operationalization of Web Client Runtime Security]
https://www.isaca.org/resources/news-and-trends/industry-news/2025/guidelines-for-operationalization-of-web-client-runtime-security

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「COBIT: AIガバナンスの実践ガイド」
[COBIT: A Practical Guide for AI Governance]
ビジネスのスピードに遅れずについていくために、組織は競争力を維持し、市場シェアを向上させるために迅速に行動する必要がある。これには、人工知能 (AI) などの新しいテクノロジーの採用が含まれることがよくある。AI の潜在的なメリットは膨大である。AI は、運用コストの削減、ワークフローの合理化、顧客満足度の向上など、さまざまなメリットをもたらす。しかし、これらのテクノロジーの統合を急ぐあまり、企業は一つの非常に重要な要素、つまりガバナンスを見落としがちである。リスクほど派手ではなく、コンプライアンスほど目に見えないガバナンスは、組織の目標と目的の基盤として機能する。最新のテクノロジーを実装する前に、企業は立ち止まって、次のような重要な質問をする必要がある。
・なぜこのテクノロジーを統合するのか？
・このテクノロジーはどのような問題を解決するのか？
・その実装をどのように管理するのか？
・ データの保護をどのように確保するのか？
・ どのような問題や脆弱性が生じる可能性があるのか？

<<ISACA Journal>>

「2025年第1号 サイバー脅威の展望: 進化と防御」
[2025 Volume1 The Cyberthreat Horizon: Evolution and Defense]

・「進化する脅威の状況におけるサイバーセキュリティリーダーシップの課題」
[Cybersecurity Leadership Challenges in an Evolving Threat Landscape]
優れたサイバーセキュリティリーダーを見つけるのが難しいのは当然である。この役割には、ITの専門知識、サイバーセキュリティの知識、対人スキルとマネジメントスキルのまれな組み合わせを持つ人が必要である。サイバーセキュリティのリーダーは、予算の管理、チームのリード、戦略的な意思決定、上層部の期待に応えるなど、他のビジネス分野のリーダーと同じ多くの課題に直面している。しかし、彼らには、ほとんどのリーダーにはない追加の取り組み、つまり、意図的に悪意を持って彼らの仕事を弱体化させ、セキュリティメカニズムを失敗させようとする悪質な人物を阻止するという任務がある。