ISACAニュースダイジェスト Vol.122

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2025年7月17日　16:00(UTC)～60分、1CPE
「役員室におけるデジタルフォレンジック：インシデント対応準備による戦略的意思決定の強化」
[Digital Forensics in the Boardroom: Empowering Strategic Decisions Through Incident Response Readiness]
リスクの高い意思決定において、デジタルフォレンジックの力を最大限に活用しよう。「役員室におけるデジタルフォレンジック」では、インシデント対応への準備が、リスクを軽減し、戦略的成果を促進するための実用的な洞察をリーダーに提供する方法を探求する。フォレンジックの主要原則を理解し、サイバーインシデントに対応し、データを活用して組織を保護することで、技術調査と経営幹部の意思決定のギャップを埋める方法を学ぶ。このウェビナーは、役員室のリーダーがプレッシャーのかかる状況下でも情報に基づいた意思決定を行い、今日の進化する脅威の展望におけるレジリエンスを確保できるよう支援する。フォレンジック対応と戦略的整合性に関する専門家のガイダンスを通じて、組織の体制を強化するこの機会をお見逃しなく。

・2025年7月22日　16:00(UTC)～60分、1CPE
「グローバルな展望でのAI：米国、EU、そしてITガバナンスの策定」
[AI in the Global Landscape: US, EU and Charting IT Governance]
AIをITガバナンスに統合することは、AI技術のリスク、セキュリティ、倫理的配慮を管理する上で極めて重要であり、リスク管理、データガバナンス、コンプライアンスにおける実践の強化が求められる。米国では、NIST AIリスク管理フレームワークが、ガバナンス、コントロール、継続的な評価を通じてAIリスクを管理するための構造化されたアプローチを提供し、ステークホルダーの関与を重視している。EU AI法は、イノベーションと倫理基準のバランスをとることを目指しており、各組織の枠組みを強化することを奨励するとともに、EU市場と連携するEUと米国の企業の両方に影響を与える。

・2025年7月24日　16:00(UTC)～60分、1CPE
「評価のトレッドミル（繰り返し作業）から抜け出し、まずはデータ、次にアンケートというアプローチを採用しよう」
[Get Off the Assessment Treadmill. Take a Data-First, Questionnaire-Second Approach]
仕事に終わりはない。毎年、より多くのサードパーティと連携している。そして、毎年、評価の作業量は増加している。支援のためのリソースを増やす？ そんなわけにはいかない。身に覚えがある？ あなたに限ったことではない。私たちは長年このプロセスに取り組んできたが、あなたのチームやサードパーティに依存している社内の人たちにとって、状況は悪化し続けている。
それを続ける必要はない。最新のリスク交換モデルは、データ活用によりアンケート依頼の80%を削減している。

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「IT監査人がAAIAを必要とする理由：監査におけるAIの課題への対応」
[Why IT Auditors Need AAIA: Addressing AI Challenges in Audit]
人工知能（AI）が産業界に革命をもたらし続ける中、監査人の役割も、この変革をもたらす技術がもたらす特有の課題に対応するために進化を遂げなければならない。AIは企業内のあらゆるプロセスを再構築しており、当初はガバナンスが弱くコストの高い領域に焦点を当てていた。しかし、AI技術が進歩し、導入と利用が容易になるにつれて、最終的には企業のあらゆるプロセスに影響を与えるだろう。政府機関や規制当局は既にAIに関連するリスクを特定し、AIガバナンスの要件を定義する様々な規制を策定している。AIガバナンスの欠如と法的制約は、AI導入のペースに悪影響を及ぼし、AI技術の潜在的なメリットを阻害する可能性がある。
※ISACA®は、初の高度な監査に特化した人工知能認定資格、「Advanced in AI Audit™（AAIA™）」を導入しています。ご興味のある方は、こちらもご参照してみてください。
⇒https://www.isaca.org/credentialing/aaia

・「コミュニケーションでつながる：キャリアアップのチャンスを掴む方法」
[Communicate to Connect: How to Unlock Career Growth Opportunities]
コミュニケーションは、ビジネスやリーダーシップの分野において、単なる流行語ではない。しかし、誰もが優れたコミュニケーターになれるのか？そして、いつからコミュニケーションスキルに意識を向け始めるべきなのか？
長年にわたり、若者からエグゼクティブまで、幅広い層のクライアントを指導してきたが、一つ確信を持って言えることがある。それは、コミュニケーション能力を高めた瞬間に、何かが変わるということ。彼らはより広い道筋を持ち始め、自信、明晰さ、そしてプロフェッショナルな存在感へと歩み始める。
ますます複雑化し、部門横断的な仕事環境が進む今日の職場環境において、技術的な専門知識だけではキャリアアップにはもはや十分ではない。監査への対応、コンプライアンスリスクの管理、デジタル変革プロジェクトの推進など、どのような仕事であっても、効果的なコミュニケーション能力は、信頼性、影響力、そして成長の可能性に直接影響を与える。
リーダーシップ専門家のジョン・C・マクスウェルは著書『Everyone Communicates, Few Connect』の中で、「つながるとは、人々と共感し、彼らへの影響力を高めるような形で関係を築く能力である」と述べている。
技術的なスキルが豊富な世界では、コミュニケーションを通じて人とつながる能力こそが、あなたを際立たせ、キャリア成長への新たな扉を開くと言える。

・「2025年RSAカンファレンスから得られた6つのポイント」
[Six Takeaways from the 2025 RSA Conference]
カリフォルニア州サンフランシスコで開催された2025 RSAカンファレンスにISACA会員数名が出席した。
特に AI に関連する業界の動向について、メンバーがカンファレンスから得た主なポイントに目を通そう。
RSAではAIの技術的可能性が広く称賛されたが、倫理的な導入とガバナンスに関する議論が最も印象に残った。企業のリーダーから政策立案者まで、AIシステムに対する強固な監視メカニズムを確立するために、今すぐ行動を起こさなければならないというコンセンサスが得られた。これらのメカニズムは、データの完全性とセキュリティだけでなく、人間の意思決定と社会の信頼への長期的な影響にも対処する必要がある。ISACA会員は、この取り組みを主導する上で最適な立場にある。私たちのグローバルコミュニティは、保証、統制、監査、リスクに関する専門知識を提供する。これらはすべて、AIが企業戦略と整合しながら公共の利益に貢献するために不可欠である。RSAは、AI監視を、被害が発生した後ではなく、今すぐガバナンスフレームワークに組み込むことの緊急性を強調した。
※上記に示したGaëlle Koanda, CISM, CISAを含む、6名による感想（ポイント）の掲載があります。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「ベンダーリスク評価: 組織にまだ必要か?」
[Vendor Risk Assessments: Do Organizations Still Need Them?]
今日のダイナミックなビジネス展望において、大規模組織は、コスト最適化（運用コストまたは固定資産コスト）、リスク移転など、様々な理由から、特定の業務をサードパーティベンダーにアウトソーシングすることがよくある。相互に合意した契約に基づいて別のベンダーに業務を委託することは許容され、一般的に行われているが、関連するリスクの総合的な管理は重要なポイントである。情報セキュリティの観点から包括的なベンダーリスク管理プロセスを確立し、維持することの重要性を理解することは極めて重要であり、これはIT部門と非IT部門の両方が検討すべき事項である。

・「GenAIを活用し、適切な計画を通じて監査業務の効率を向上」
[Harnessing GenAI to Improve Audit Work Efficiency Through Proper Planning]
多くの組織にとって、生成型人工知能（GenAI）は、人々の働き方を改善したデジタルツールの中でも、ゲームチェンジャーとなるものである。他のAIシステムやデプロイメントとは異なり、GenAIはテキスト、画像、コードなどのコンテンツを作成することで従来のAIを超えている。また、GenAIは自然言語プロンプトを使用して人間のような対話を可能にすることもできる。これらのプロンプトは「会話スターター」と呼ばれ、AIプログラムに送信して有用な応答を生成するための指示（何を、どのように）が含まれている。 　GenAIは、監査機能の効率と有効性を向上させる可能性がある。ただし、GenAIの使用にはリスクが伴うため、組織はGenAIを導入する際にはそのリスクを認識する必要がある。GenAIやその他の新興テクノロジーを導入する前に、リスクを特定し、軽減することが最も重要である。組織全体の安全性とセキュリティは、これにかかっている。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「サードパーティのリスク評価における自動化と AI/ML の機会」
[Automation and AI/ML Opportunities in Third-Party Risk Assessment]
自身やチームがベンダー評価に追われていると感じたことはあるか？リスク、セキュリティ、プライバシー担当チームのリソースが過度に集中しすぎていると感じたり、ステークホルダーから「コンプライアンスプロセスの中で最も時間がかかる」と不満を漏らされていないか？
サードパーティリスク管理（TPRM）はますます要求が厳しくなり、組織が海外ベンダーやクラウドプロバイダーと連携するケースが増え、評価の実行速度が追いつかなくなるにつれて、手作業によるレビューやメールでの対応だけでは対応しきれなくなっている。
朗報なのは、自動化と人工知能（AI）／機械学習（ML）によって、TPRMはよりスマートで、より迅速で、よりスケーラブルな未来へと向かっているということである。

・「AI時代のゼロトラスト：進化する脅威からクラウド環境を守る」
[Zero Trust in the Age of AI: Securing Cloud Environments Against Evolving Threats]
AIを活用した攻撃は増加し続けており、検知がますます困難になっている。ディープフェイク、AI生成マルウェア、巧妙なフィッシング攻撃などにより、既存のセキュリティ対策は時代遅れになっている。急速かつ予測不可能に出現する脅威は、従来のセキュリティ対策では対処が困難になっている。
ゼロトラストは、その前提に基づき、効果的なネットワークセキュリティを実現する。急速に変化するクラウドファースト環境により、従来のゼロトラスト・セキュリティの仕組みは時代遅れになっている。あらゆるクラウド環境は絶えず変化しており、セキュリティソリューションも同じペースで進化する必要がある。
セキュリティ脅威の急速な変化により、企業はこれらの変化に迅速に対応できるセキュリティソリューションの模索を迫られている。ゼロトラストのセキュリティ実践には、現代のクラウドインフラにおけるAIベースの脅威に対処するための改善が不可欠である。

・「偏った情報セキュリティ研修・意識向上プログラムにつながる5つの間違いとその回避方法」
[Five Mistakes Leading to a Biased Information Security Training and Awareness Program – and How to Avoid Them]
サイバーリスクへの意識とモチベーションの高い従業員を育成することは、一夜にして達成できるものではない。多くの場合、組織文化や厳しい外部環境に合わせた、複数年にわたるプログラムが必要である。効果的な教育プログラムとは、単なる情報提供や、単にチェックボックスにチェックを入れるだけのコンプライアンス演習ではなく、一連の戦略、定期的な活動、プロセス、そして指標から成り、最終的には組織の情報セキュリティ目標に沿った、従業員の文化と行動のポジティブな変化へと繋がるものである。
効果的な情報セキュリティ研修・意識向上プログラムは、従業員が、自身の研修と意識向上に対する努力が時間の経過とともに成果を上げていることを実感できる、非常に魅力的で動機付けが強く、行動を促すプログラムである。残念ながら、すべての組織が、従業員やビジネス環境に適切であり、情報セキュリティ体制に真の変化をもたらすプログラムを確立するために、必要な努力を惜しまないわけではない。また、すべての組織が、教育に関して長年確立された運用方法を定期的に見直し、改革することに前向きであるわけではない。
このブログ記事では、世界中の様々な組織や業界で働く中で私が個人的に目にしてきた、よくある間違いに焦点を当てている。また、NIST SP 800-50r1などのベストプラクティスフレームワークに基づいた推奨事項も紹介し、組織がこれらの間違いを回避しながら、それぞれの状況、ニーズ、文化に合わせたプログラムを構築できるよう支援する。

・「進化するAIと監査の接点」
[The Evolving Connection Points Between AI and Audit]
人工知能（AI）は、監査・保証業務を含むビジネステクノロジーのあらゆる分野において、変化のスピードを著しく加速させている。専門職として成長し、キャリアアップするには、私たち全員が、それぞれの業界やIT保証・アドバイザリーのプロフェッショナルとして提供するサービスにおいて、業務のパフォーマンスと適応力を高める必要がある。
過去10年間、クラウドトランスフォーメーション、自動化、アナリティクス、規制コンプライアンス、そして今や急速に進むAIの影響など、私たちが適応する必要のある技術スキルと開発スキルの軌跡は加速してきた。これらの分野に注力することで、AIという新たなIT知識展望の中で培う能力を通じて、私たち全員が監査キャリアを大幅に向上させ、成長させることが可能になり、また、今後もその可能性を広げていくだろう。
進化するAIと監査専門職の接点をいくつか見ていこう。

・「ISACA キャリアカタリストストーリー: Jas Gill、CISA、CISM、RELX シニア内部監査マネージャー」
[ISACA Career Catalyst Stories: Jas Gill, CISA, CISM, Senior Internal Audit Manager at RELX]
ISACAのキャリアカタリストストーリーでは、会員がキャリアのあらゆるステージにおいてISACAからどのようにサポートされてきたかを紹介している。本日は、RELXのシニア内部監査マネージャーであるCISA、CISMのJas Gill氏を紹介する。
Jas Gill氏は、ロンドンのBig 4企業でキャリアをスタートさせ、コンサルティング部門でクライアントの戦略的イニシアチブをサポートしていた。
仕事は楽しかったが、何かが欠けているように感じていた。
「コンサルティングクライアントを次々と変える中で、自分の仕事の最終的な利益やその影響が見えていないことに気づいた。それが内部監査に転職した理由である」とJas氏は語る。「内部監査部門で働いていた頃も、同じように組織をサポートしてきたが、今では自分の仕事がもたらす真にダイレクトな影響を実感している。」
Jas氏にとって、監査への転向は最終的にISACAへの転向、そしてさらなるキャリアアップを意味した。

<<ISACA Journal>>

「2025年第3号 デジタルジレンマ：イノベーションと健全性をバランスさせる」
[2025 Volume3 The Digital Dilemma: Balancing Innovation and Integrity]

・「ESGの再考：利益と目的のバランス」
[Rethinking ESG: Balancing Profit and Purpose]
イノベーションは、機会と倫理の間に緊張関係を生み出す。例えば、人工知能（AI）のイノベーションは機会を創出する一方で、あらゆる種類の害をもたらす可能性があり、 大規模な人命被害をもたらす可能性もある。
既存のイノベーションによってもたらされる害は、すでに甚大なものとなっている。例えば、ノートパソコンや携帯電話など、多くの実用性が実証されている電気電子機器は、数十年にわたって廃棄、故障、あるいは陳腐化した機器から発生する有害な電子廃棄物 の急増によって、環境と多くの地域社会の両方に既に悪影響を及ぼしている。

・「AIガバナンスにおけるアカウンタビリティの力」
[The Power of Accountability in AI Governance]
AI の意図しない動作とそれが大手航空会社に及ぼす影響については、今ではよく知られた教訓となっている。エア・カナダの乗客は、同社の AI 搭載チャットボットが誤って、すでに行われた旅行に遡ってビリーブメント運賃（忌引き運賃）が適用されると乗客に伝えたことで、損害賠償と訴訟費用として 800 カナダ ドル以上を支払う判決を受けた。エア・カナダの公式ポリシーでは、ビリーブメント運賃は遡及適用できないと定められていたが、カナダの裁定所は、ウェブサイト上でチャットボットが提供した情報に対してエア・カナダが責任を負っていると判断し、乗客に有利な判決を下した。
裁定所の委員の一人は、判決文の中で、「エア・カナダにとって、ウェブサイト上のすべての情報に責任があることは明らかであるはず。情報が静的なページからのものであろうとチャットボットからのものであろうと、何ら変わりはない」と述べている。
裁判所（世論という裁判所を含む）においては、判決は明確である。組織は、自らがそのように主張するかどうかにかかわらず、AIシステムの出力と決定に対して責任を負う。多くの組織がAIのアカウンタビリティをどのように扱うべきかについて依然として苦慮しているが、幸いなことに、アカウンタビリティのメカニズムの構築は、特に既存のガバナンス・フレームワークを活用すれば、比較的容易に行うことができる。