ISACAニュースダイジェスト 最新版

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2024年5月29日16:00 (UTC)～60分、1CPE
「CMMI-CSF2.0」
[CMMI-CSF2.0]
この度のCSF2.0アップデートにより、あなたのサイバーセキュリティ・プログラムの現在の状況を詳しく調べて評価する時期がきた。CMMIパフォーマンス ソリューションを CSF2.0 と組み合わせて活用し、サイバーセキュリティ機能、成熟度、パフォーマンスを実現および測定する方法を詳しく掘り下げ、CSFとCMMIの共用でより強力なサイバーセキュリティ機能とプログラムを構築する方法について説明する。
※CFS2.0はNIST米国国立標準技術研究所によるサイバーセキュリティフレームワークです。

・2024年5月30日16:00 (UTC)～60分、1CPE
「チェックボックスからサイバーレジリエンスへ: プロセスマイニングによる監査の変革」
[From Check-the-Box to Cyber Resilience: Transform Auditing with Process Mining]
平均的な組織は、各監査のデータ収集に 301 時間、つまり 37 日を費やしているが、Target、SecurePay、Sally Beauty、FedEx、Staples、Dairy Queen、KMart、その他複数の企業（いずれもセキュリティ標準への準拠の認証を取得している）が依然として侵害を受けている。 AI の隆盛で攻撃がより高度になり、迫りくるSEC 規制によりリスクが増大する中、監査が単なる「チェックボックス」以上のものであることをどのように証明できるか? CISOは現在の監査の形態に基づいて組織の安全性を本当に信頼することができるか?
このウェビナーでは、以下のことを説明する。

• セキュリティリーダーが監査に関する考え方を変えることの重要性
• サイバーのプロセスマイニングの仕組み
• プロセスマイニングが既存のワークフロー内のリスクを軽減するためにデータをどのように使用したかを示す実際の使用例
• データ取り込みのためのプロセス・マイニング・ツールを設計する方法

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「監査可能なセキュリティ管理のベストプラクティス」
[Best Practices for Auditable Security Controls]
※Varun Prasad氏はセキュリティ管理について以下のポイントについて論じています。
・セキュリティ基準・フレームワークにのっとった制御の重要性
・セキュリティ監査で最も焦点となる管理領域
・顧客データの管理
・脆弱性管理
・クラウドにおけるセキュリティ設定のミス
セキュリティ慣行の多くはすでに実施されているかもしれませんが、多くの場合、企業が監査を通過するには不完全または不十分です。 重要なのは、すべての活動を文書化することであり、この実践が企業文化に深く根付いていることが最善です。セキュリティ管理のベストプラクティスは、デジタルの信頼を強化するために、強力なセキュリティとコンプライアンスの姿勢を実証することです。

・「コモンセンス・リスク」
[Common Sense Risk]
ダンカン・ワッツ著『Everything is Obvious (Once You Know the Answer)』という本を読んだ。 これは、サイバーセキュリティを含むあらゆるものについての私の考え方を変えた本の1つである。サイバーリスク管理は、なぜ悪いことが起こるのか、そしてその結果をどう変えるかを考える思慮深い分野である。ワッツは常識について次のように述べている。「私たちが気づいていないのは、常識が神話と同じように機能するということ。（中略）自分が知っていると思っていることが本当に真実なのか、それともたまたまそれを信じていることにすぎないのか、ということを心配する重荷から私たちを解放してくれる。」サイバーセキュリティ、そしてサイバーリスクをモデル化するときはなおさら、この考えを常に考えずにはいられない。ワッツの常識の概念をセキュリティの広範な分野に適用する場合、サイバーセキュリティプログラムを最適化するアプローチを検討する必要がある。サイバーセキュリティがリスクから組織を保護することを目的としているなら、リスクとその管理に必要なすべてのセキュリティ活動を定量的に測定する方法を模索する必要がある。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「内部関係者の脅威から企業を守るための5つのステップ」
[Five Steps to Secure an Enterprise Against Insider Threats]
組織の従業員は最も貴重な資産の1つであり、最も脆弱なサイバー攻撃対象領域である。ベライゾンの2023年データ漏洩調査報告書では、サイバーセキュリティ インシデントの5分の1は、内部脅威によるもので、意図的な誤用と不注意による人的ミスの両方の結果であることがわかった。組織は、重大なサイバーセキュリティ インシデントが発生する前に、内部関係者の脅威を特定して阻止するための積極的なアプローチを講じる必要がある。これを実現するための5つのステップについて論じている。

・「ISACAのDTEFモデルで企業データを最適化し、プライバシーを維持する」
[Optimize Enterprise Data and Uphold Privacy With ISACA’s DTEF]
企業はデータを使用して、サービスを効率的に提供し、消費者に製品を売り込み、データに基づいてより適切な意思決定を行うことができる。ただし、データの使用に関する透明性を提供せずに過剰な量のデータを収集すると、プライバシーの問題になる可能性がある。ISACAのデジタル・トラスト・エコシステム・フレームワーク (DTEF)は、個人情報の収集と処理に依存するものを含む広範な組織の目的と目標を、プライバシーの目的とコンプライアンス要件に確実に一致させるのに役立つ。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「内部監査部門にデータの文化を浸透させる方法」
[How to Instill a Culture of Data in Internal Audit Function]
内部監査は、監査報告書をよりデータに精通したものにするだけではなく、監査機能全体に深く根付いたデータ中心の文化に基づいて構築される必要がある。文化は一日にして成らず。常に進化する旅である。この旅で注目すべき5つの重要な点は次のとおり。
・良い質問をする
・小さく始めて価値を示す
・目標が明確に理解されていることを確認する
・分析への移行を直感でバランスよく行う
・透明性を確保する

・「ポスト量子暗号: Q デーの準備はできていますか?」
[Post-Quantum Cryptography: Are We Ready for Q Day?]
私たちが何もせず、後にポスト量子暗号が不可欠になった場合、何年もの重要な研究時間が失われることになるため、今すぐポスト量子暗号を研究し、Q Day に備えるのが賢明である。
※ポスト量子暗号（PQC）について紹介し、その効率を改善し、信頼を築き、使いやすさを改善するには時間が必要であると説いています。

<<ISACA Journal>>

「2024年第２号：データエコシステムの（革命）進化」
[2024 Volume２： THE (R)EVOLUTION OF THE DATA ECOSYSTEM]

「データ保護法とプライバシー法のパッチワークの中でコンプライアンスの回復力を構築する」
[Building Compliance Resilience Amid a Patchwork of Data Protection and Privacy Laws]
多くの国が法律を改正したり、新しい法律を起草したりしているが、そのかなりの部分はEU GDPR（EU General Data Protection Regulation; EU一般データ保護規則）をモデルにしたり、影響を受けている。
複数の州または国にまたがって活動する組織は、微妙な違いがあったり、矛盾したり、場合によっては相反する義務や要件で構成される複数のプライバシー法や規制に対処する必要がある。
適応し、学習し、進化する能力は、レジリエンスを構築する上で不可欠な要件であり、世界中でプライバシー法や規制が増加する中、規制遵守を強化するための重要な要素である。

「データの相互運用性: 質の高い医療をリスクにさらす課題に対処する」
[Data Interoperability: Addressing the Challenges Placing Quality Healthcare at Risk]
データの役割と責任の定義を含む、データ品質とデータ統合のためのポリシーと手順を通じて、データの効果的な管理とキュレーションを可能にするデータガバナンスの実践を確立する必要がある。遺伝情報、検査結果、さらには手術データなど、EHRで利用可能な機密データの量を考慮すると、セキュリティとプライバシーに重点を置くことが最優先される必要がある。全体としての目標は、デジタル ヘルスに関するマイナスの結果を確実に最小限に抑えるか、完全に排除することである。