ISACAニュースダイジェスト(日本語版)
Vol.65 2020/5/18
発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
【ISACAからのお知らせ】
・「新認定資格 CDPSE の早期認定プログラムがスタート」
[ISACA Launches Early Adoption Program for New Technical Privacy Certification: Certified Data Privacy Solutions Engineer]
※ "Certified Data Privacy Solutions Engineer (CDPSE) " 早期認定プログラムへの登録受付が始まりました。CDPSE は ISACA による新たな認定資格です。 既存の認定資格の立ち上げ時に実施された grandfathering と同様、今なら実務経験のみの書類審査で取得可能です(試験免除)。
詳細は下記リンクを参照してください。
https://www.isaca.org/credentialing/certified-data-privacy-solutions-engineer
・「COVID-19 パンデミックの状況下、サイバー攻撃は増加しているが、備えができている組織は半数に過ぎず(ISACAアンケート)」
[ISACA Survey: Cybersecurity Attacks Are Rising During COVID-19, But Only Half of Organizations Say Their Security Teams Are Prepared for Them]
※ 4月中旬に実施されたアンケートの結果が公表されました。COVID-19 が組織と自身の仕事に与えた影響について、123ヵ国から 3,700 を超える回答が寄せられています。
【教育・CPE獲得の機会】
<<Webセミナー (Webinar)>>
https://www.isaca.org/training-and-events/online-training/webinars
※ISACA会員は無料でCPEが獲得できます。
・2020年5月29日(金) (日本時間午前1:00~60分、1CPE)
「人的要因:悪意のあるインサイダーVS無関心なエンドユーザー」
[The Human Factor: Malicious Insiders vs. Negligent End Users]
インサイダーの不正による違反が繰り返しトップニュースになるが、一般従業員はこれらに共通する重要な脈絡を見逃している。事件の根本原因は悪意なく情報に通じていない人々である。攻撃者の手法を理解し、一般的トラップを回避するようにユーザーを教育し、違反を回避するために必要な手順を実行するのがITプロフェッショナルの責任である。
※ 開催延期に伴い、再掲いたしました。
・2020年6月3日(水) (日本時間午前1:00~60分、1CPE)
「ハッカーのように考え、攻撃をより早く阻止する方法を学ぶ」
[Learn to Think Like a Hacker to Stop Attacks Faster]
このセッションでは、サイバー攻撃を効果的かつ素早く阻止するために、"MITRE ATT&CK" がいかに役立つかを学ぶ。
※ "MITRE ATT&CK" (マイターアタック)は、実際の攻撃を観察することによって得られた知見に基づくサイバーセキュリティのためのフレームワーク、ナレッジベースです。脆弱性識別番号 "CVE-ID" を管理しているMITRE 社が提供しています。
・2020年6月26日(金) (日本時間午前1:00~60分、1CPE)
「リスクITフレームワーク 入門」
[Introduction to the Risk IT Framework]
波乱と不確実の時代において、ITとサイバーセキュリティのリスクは重要である。意思決定者は、情勢、セキュリティ、安全、成果、危険、機会といった、リスクの全ての要素をバランスさせることが求められている。ISACA の "The Risk IT Framework" と "The Risk IT Practitioners Guide" は、その出発点を提供する。
<<Webセミナー・アーカイブ>>
https://www.isaca.org/training-and-events/online-training/webinars
※公開後 1年間は、アーカイブでも視聴可能です。
【専門領域】
<<ISACA Journal>>
2020 Volume 3: Data Rights
・「データの権利: 単一所有か複数所有か?」
[Data Rights: Single vs. Multiple Ownership?]
データ品質を重視する組織では、正当なデータの所有権を特定することも必要となる。しかし、適切な所有権を決定することは、データそのものと同じくらいに複雑である。
<<ISACA Now Blog>>
https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。
・「COVID-19 パンデミック下(とその後)の在宅勤務セキュリティ」
[Telework Successfully During (And After) the COVID-19 Pandemic]
COVID-19 パンデミックの影響により、テレワークの利用は空前の高まりを見せているが、十分な備えの無いままではセキュリティリスクも増加する。本稿は、在宅勤務セキュリティのベースライン設定を支援することが目的であり、すべきこと、リスク、考慮事項(パンデミック収束後も含む)のリストを提供している。
<<@ISACA>>
Volume 9, 2020
・「データ保護のためのセキュリティ規則とコンプライアンス要件」
[Using Security Practices and Compliance Requirements to Protect Data]
蓄積されるデータの量の急増とともに、保護する必要のあるデータも増加している。 "Achieving Data Security and Compliance: How to Safeguard Identity, Protect Information, Reduce Risk and Create Value" は、ユーザーの生産性を妨げることなく、コンプライアンスと強力なセキュリティを同時に実現するための方法が記された、ISACA と Microsoft社によるホワイトペーパーである。
※ このホワイトペーパーは、次の URL から無償ダウンロードが可能です。
https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpdsc
<<COBIT Focusより>>
(抄訳:稲葉裕一(東京支部 基準委員会))
・「COBITツールキットの強化」(2020年5月4日、Peter C. Tessin, CISA, CRISC, CISM, CGEIT著)
COBIT Tool Kitは、全体概要やFAQ、ガバナンスとマネジメント目標の一覧表など、実践家のための有用なリソースである。今般、エクセルベースの全体RACI表が追加された。誰が説明責任や実行責任を担うかを理解することは、効果的なガバナンスシステムを維持する上でキーとなる。
COBIT 2019では実践手法レベルでRACIチャートが定義されている。本ツールは、COBIT 2019の全231の実践手法に対し、説明責任(A)と実行責任(R)の役割の有無を示す、柔軟なガイダンスとなっている。
本ツールの価値は、40のCOBIT目標に渡る各実践手法について、適切な役割が割り当てられているか、簡単にアセスメントできることである。また、全体が一つのRACIチャートになっているため、役割ごとにフィルタリングすることにより、その役割を担う人がその遂行すべき業務すべてについて実際に十分役割を果たしているかを確認することができる。
本ツールキットはISACAサイトのCOBITのページ中にあるMore Implementation Resourcesからダウンロードできる。
https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2020/cobit-tool-kit-enhancements
・「COBIT 2019とCOBIT 5の比較」(2020年4月27日、Kumaragunta Harisaiprasad, CISA, APP, ISO 22301 LI, ISO 27001 LA, ISO 9001 LA, Six Sigma Green Belt著)
COBIT 5からCOBIT 2019への円滑な移行のため、その違いを明確にする。
5つの原則が6つの原則になった。5つのドメインに渡るガバナンスとマネジメント目標はほぼ同じ。プロセスの数は37から40に増加。3つのフレームワークの原則(概念モデルに基づく、開放性と柔軟性、主要な基準へ整合)が追加された。
プロセス能力レベルの定義は国際標準ISO/IEC 33000に準拠され、イネーブラーの言葉は削除。
事業体ガバナンスの設計ガイドとしてデザインファクターの考え方が追加され、事業体の状況に応じた、4つのステップ(状況の理解、初期範囲の決定、範囲の精緻化、設計の最終化)からなるガバナンスシステム設計ワークフローが示された。
COBIT 2019は新技術と新ビジネストレンド(デジタイゼーション等)へ対応し、他の国際標準、ガイドライン、規制、ベストプラクティスを統合し、効果的な事業体ITガバナンス(EGIT)フレームワークを提供する。
https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2020/cobit-2019-and-cobit-5-comparison
・「COBIT 2019はどのようにブラジルのGDPRをサポートするか」(2020年4月13日、Andre Pitkowski, CRISC, CGEIT, COBIT Foundation Trainer, CRMA, ISO 27001 LA, ISO 31000 LA, OCTAVE, Scrum PSMおよびOrlando Tuzzolo, CRSIC, CISM, CGEIT, COBIT 5 Trainer, ITIL v3著)
EUのGDPRと同様なブラジルの一般個人データ保護法(LGPD)は2018年8月に制定され、18か月経過した現在、ブラジル国内に施行された。個人データの収集、利用、処理に関し、利用目的の宣言、適切性、必要性、透明性、安全性、保護措置、差別の禁止、説明責任、アクセス容易性、データ品質の原則に基づき、規定されている。個人データの処理に関し、同意された利用目的の範囲内で処理することを求め、遵守違反の場合の罰則規定もある。
5つのステップ(準備、組織化、方針・手続き・統制の開発、ガバナンス、評価・継続的改善)から構成されるデータプライバシーマネジメントシステム(DPMS)が示されている。
ガバナンスについては、COBIT 2019のデザインファクターが活用できる。LGPDの下で、顧客サービス指向でイノベーションや差別化を目指す企業を想定し、ツールキットを使ってプロセスの優先順位付けを試行した。その結果、ギャップとなる、優先的に成熟度を向上すべきプロセスが明確になり、これはLGPD対応の準備への手助けとなる。
https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2020/how-cobit-2019-supports-the-brazilian-gdpr
**ISACAニュースダイジェストご利用上のご注意**
- オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
- 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
- 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
- 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。
( Vol.65 文責 宮田 純一(名古屋支部))
※次回発行予定 2020年6月中旬
このサイトは、ISACA日本支部協同推進機構が運営しています。