ISACAニュースダイジェスト Vol.123

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2025年10月2日　16:00(UTC)～60分、1CPE
「ウェビナー – AI新時代のサイバーリスク管理」
[Webinar—Managing Cyber Risk in the New Age of AI]
AIリスク管理のソリューションとしてポリシーの作成を考えているなら、AIのメリットを最大限に活かすために、そのリスクを巧みに回避しなければならない。AIのリスクが、AIリスクガバナンス、リスク、コンプライアンス、ベンダーセキュリティ、インシデント対応にどのような影響を与えるかを解説する。
　解説するのは以下である。
・AIによってもたらされる新たなリスク
・AIリスクを軽減するための新たなコントロール
・継続的な監視の必要性
・NIST AI RMFとサイバーリスクの関係
・包括的なAIリスク管理モデル

・2025年10月8日　16:00(UTC)～60分、1CPE
「会員限定：リーダーシップシリーズウェビナー - 次世代リーダーシップ」
[Member-Exclusive Leadership Series Webinar—Next Generation Leadership]
レジ・フィサメ氏は、「誰もがリーダーになる能力を持っている。そのためには練習とスキル開発が必要だ。しかし、誰にでもその機会はある。」と述べている。本講演では、フィサメ氏が、知的好奇心、意思決定における勇気、そして「揺るぎない誠実さ」など、破壊の時代に生き抜くために自らが培ってきたリーダーシップの重要な原則を紹介し、任天堂アメリカをはじめとする急成長企業を率いてきた自身の経験と紐付け、次世代のビジネスリーダー育成にもどのように応用できるかを説明する。また、破壊的イノベーションを先取りし、困難なビジネスの課題を解決し、さらには「不可能」を実現するための、実践可能な変革戦略を共有する。

【専門領域】

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「エージェント型AIの監査における課題の増大」
[The Growing Challenge of Auditing Agentic AI]

エージェント型AIとは、人間の直接的な介入なしに意思決定を行い、行動を実行できるシステムを指す。従来の自動化、つまりルールベースのシステムは静的なアルゴリズムに依存しているのに対し、エージェント型AIは複雑な目標を解釈し、解決策を計画し、変化する状況に応じて行動を適応させることができる。いくつかのシナリオは、AI拡張（※AIが意思決定、監視、実行する）の世界で監査人が直面する新たな課題を浮き彫りにしている。

エージェント型AIが従来の監査モデルを打ち破る理由
シナリオ1：権限を昇格させる自己記述スクリプト
エージェント型AIツールは、過去の成功例から学習したロジックを用いて、（※自身で）一時的に権限を昇格させる。従来のシステムでは、アクセス権限の昇格は通常、チケット、変更承認、管理者による承認など、検証可能な監査証跡を提供する明確なワークフローによって管理されているが、AIシステムが、人間の介入や文書化された承認プロセスなしに自律的に一時的なアクセスを許可すると、このモデルが崩壊する。
シナリオ2：目に見えないボットネットのリスク
DevOpsチームがAIエージェントを使用するプロセスにおいて、AIエージェントは数百もの新しいコンテナを生成する。コンテナはそれぞれ独自のIDを持ち、組織のIDインベントリは一夜にして爆発的に増加する。それらは、正式なレビューを受けていない、所有者にタグ付けされていない、IDおよびアクセスガバナンス（IAG）ツールが機能する前に消えてしまうIDである。（※それらのIDを使って）AIエージェントが機密データを漏洩したり、不正なリソースにアクセスしたり、内部ポリシーに違反したりしていないことをどのように保証できるか。
シナリオ3：誰が何にアクセスを許可したのか、そしてその理由は？
ナレッジシステムを管理するAIエージェントが「ユーザーが要求した目的を達成するためにアクセスが必要」として行う自律的な決定は、確立されたプロセスや文書化されたプロセスを迂回するため、コンプライアンスレポートでその行動を論理的に説明することが困難な場合が多くある。

エージェント型AI時代のガバナンスの近代化
エージェント型AIシステムの堅牢なガバナンスを構築するには、エージェント型AIシステムが他の人間のユーザーやサービスアカウントと同様に、文書化されたアカウント登録プロセスに従っていることを確認する必要がある。組織は、リアルタイム監視とコンテキスト分析が可能な、よりスマートなツールを導入する必要がある。最も重要なのは、監査担当者がエージェント型AIシステムの監査において、根本的な考え方の転換を受け入れなければならないことである。

※原文では、技術分野としての「Agentic AI」と、具体的な実行主体としての「AI agent」「agent」を使い分けており、本翻訳ではそれぞれ「エージェント型AI」「AIエージェント」と訳しています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「揺るぎない基盤の構築：効果的なIT監査がサイバーレジリエンスの鍵となる理由」
[Building Unshakable Foundations: Why Effective IT Audit is Your Key to Cyber Resilience]

予防的防御のための重要リスク指標
効果的なIT監査とは、過去を振り返ることではなく、未来を見据えることである。主要リスク指標KRIは単なるセキュリティ指標ではなく、潜在的なサイバーインシデントを予測できる早期警告信号である。パッチ適用の頻度やシステムの設定ミスから、サードパーティベンダーのリスクや潜在的な侵害による財務的リスクまで、KRIを特定して監視する方法を探求し、重要な兆候を解釈することで、組織は事後対応型の消火活動から、予防的なリスク管理へと転換することができる。

継続的な監視と改善の力
絶えず変化する脅威環境において、サイバーセキュリティ対策に「終わり」はない。継続的な監視と改善のコンセプトは、ITライフサイクルのあらゆる段階にセキュリティ評価を組み込み、自動化を活用してリアルタイムの可視性を確保し、常に注意を払う文化を育むことである。

・「人間以外のアイデンティティ：組織にとっての次なる大きな課題」
[Non-Human Identities: The Next Big Challenge for Organizations]

組織は通常、従業員、請負業者、顧客、パートナー、ベンダーといった人材の管理に多大な時間と費用を費やしているが、人間以外のアイデンティティはしばしば無視してきた。これらは、重要であるだけでなく、非常に機密性が高いものである。多くの組織は、マシンアイデンティティをいくつ保有しているかさえ把握しておらず、大きなセキュリティリスクをもたらしている。

組織は今こそ、マシンアイデンティティを真剣に受け止め、追跡、アクセス制御、認証情報の取り扱い、監視を含む包括的なガバナンス戦略を役立たせるべき時である。マシンアイデンティティを適切に管理することで、企業は脅威から身を守り、最新のクラウドテクノロジーを活用するための強固な基盤を構築できる。

人間以外のアイデンティティの強力なガバナンスは、安全で将来を見据えたデジタルエンタープライズを構築するための鍵となる。

<<ISACA Journal>>

「2025年第５号 コンプライアンスの難問」
[2025 Volume5 Compliance Conundrum]

・「コンプライアンス重視のIAM戦略」
[A Strategic Model for Compliance-First IAM]

アイデンティティおよびアクセス管理（IAM）は、多くの主要なコンプライアンス・フレームワークの中核を成している。IAMは、誰がどのリソースに、いつ、どのような条件下でアクセスできるかを管理するのに役立つ。コンプライアンス重視のIAMモデルを設計するために、複数の要素を考慮する必要がある。このようなモデルは企業のセキュリティ体制を強化し、最終的にはコンプライアンスの達成のみならず、量子コンピューティングなどの新興技術がもたらすリスクにも対応できるよう進化させることができる。

認証は通常、3つの形式、「あなたが知っていること」（例：パスワード）、「あなたが持っているもの」（例：スマートカード）、「あなたが誰であるか」（例：指紋で表現される）である。 MFA（※多要素認証：Multi-Factor Authentication）は確かにセキュリティを強化するが、実装コストが高く、ユーザーエクスペリエンスの質が低下することも少なくない。そこで、コンテキスト認証が役立つ。

IAMモデルは、アイデンティティとアクセスのガバナンスのための包括的なソリューションを提供し、集中型IdP、フェデレーション、コンテキスト認証、アクセス制御モデル、IGA、CIAMという6つの主要コンポーネントで構成されている。これらの各コンポーネントは、組織が今日のコンプライアンス要件を満たし、将来の脅威を正確に予測する上で重要な役割を果たす。継続的な監視、リスクに基づくアクセスの再認証、動的なポリシー適用に重点を置くことで、脅威の状況の変化に適応する柔軟なセキュリティ体制を構築できる。これらのコンポーネントをビジネスニーズに合わせて調整することで、組織はアイデンティティ保証プロセスを強化し、機密データを保護し、デジタル化の複雑性が拡大する中で将来を見据えたセキュリティ体制の基盤を構築できる。