ISACAニュースダイジェスト 最新版

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2022年10月4日16:00(UTC)～60分、1CPE
「アタックサーフェスを縮小する」
[Shrink the Attack Surface.]
すべてのデジタル資産を特定・管理・制御することは難しいが、それなしでは外部からの脅威・脆弱性・シャドー IT・クラウドの構成ミスに対する潜在的なリスクとなる。先々のことを考えつつ、アタックサーフェスの管理を実践する。 このセッションでは、そのために以下の４点について学ぶ。

1. 既存のテクノロジーを連携しすべてのデジタル資産を発見する
2. デジタル資産の識別、分類、および正規化に使用できる手法を知る
3. 資産インベントリを使用して潜在的リスクの発生を特定する
4. 脅威に対し資産を継続的に評価する自動化の活用場所を知る

・2022年12月1日　16:00（UTC）～60分、1CPE
「メンバー限定のスピーカー シリーズ — プライムタイム サイバー犯罪」
[Member Exclusive Speaker Series—Primetime Cybercrime]
多発するハッキングによる侵入やカード侵害。銀行は小売りを、小売りは銀行を、消費者は皆を責める。我々は過ちから学ぼうとするが、組織化・ネットワーク化・資金調達・政治的つながりを強めるサイバー犯罪者自身の視点は欠けている。このWebinarでは、営利目的なオンライン詐欺師の観点から、これらの「なぜ」に対する答えを検討する。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

https://www.isaca.org/training-and-events/conferences
※ 以下にご紹介しているカンファレンスは一部です。

・ISACA TRAINING WEEK LAS VEGAS 2022
※カンファレンスではありませんが、久しぶりのオンサイト教育イベントです。
2022年11月28日-12月1日（ラスベガス　USA）　申込締め切りは11月7日

【専門領域】

<<ISACA Podcast>>

https://www.isaca.org/resources/news-and-trends/isaca-podcast-library
※各界の専門家による10分～25分程度のスピーチや座談会等が毎月数回アップされています。文書では伝えきれないニュアンスを含めかなり示唆に富む内容が多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「効果的なクラウド リスク管理の実現」
[Achieving Effective Cloud Risk Management]
クラウドが一般化し、中小企業から大企業まで、だれもが運用の一部をクラウドに移行している。初期の抵抗は今では見られなくなり、クラウド技術使用へのユーザーの信頼は高まっている。ISACA の Jeff Championが、リスクとコントロールのスペシャリストである Upesh Parekh と、クラウド展開モデル、クラウド ストレージに関連するさまざまなリスク、および組織でクラウド技術を使用する際に知っておくべきことについて語る。

<<ISACA Journal>>

「2022年第5号：人、プロセス、そして行動」
[2022 Volume 5: PEOPLE, PROCESSES AND BEHAVIORS]

・「組織文化の監査」
[Auditing Your Organizational Culture]
組織文化の監査は定量化しにくい態度・考え方・行動といった要素に注意を向ける必要があって難しいが、監査がもたらす潜在的な利益は大きく、努力する価値がある。万能のアプローチは無いが、COSOフレームワークの組織の統制環境の側面を評価するのに使用されるプロセスでの経験が役立つ。内部監査に文化監査を行う能力が不足しているのであれば、外部のサービスプロバイダーを活用することもできる。経営側の文化監査に対する考え方はまだ一面的であり、ZapposやSpaceXの実例を使い、文化監査のあるべき姿を提案する。良い組織文化を持つことは新人採用や新人育成を強化する。さらに離職率の低下に繋がり、収益を上げ財務を強化する。組織にとっては外部が問題を切り出してくる前に、内部監査を通じて組織文化の健全性について自問自答する方がはるかに優れている。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「セキュリティ戦略を次のレベルへ：サイバー キル チェーンと MITRE ATT&CKフレームワーク」
[Taking Security Strategy to the Next Level: The Cyber Kill Chain vs. MITRE ATT&CK]
ネットワークリソースを強化し、脅威や攻撃から保護するのに役立つ2つのモデルを紹介する。10年以上使われているCyber Kill Chain（CKC）と、CKCと連携しつつサイバーレジリエンスに焦点を当てた新しいMITRE ATT＆CKの違いを比較しながら紹介する。これまで使用してきたCKCの機能を伸ばし広げることができるMITRE ATT&CKの活用を検討する必要がある。

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「新人の成功要因： ISACA コミュニティからのキャリアアドバイス」
[Rookie Success Factors: Career Advice from the ISACA community]
新人の育成にはメンターが有効であるが、新分野にそういう幹部は少ない。そこで世界中のISACAコミュニティにキャリアアドバイスの共有を依頼した。大量に得たインプットを分析し10の主要なテーマを抽出し、解説する。最後にIT監査・ITリスク・サイバーセキュリティの専門家からの5つのアドバイスを付すが、今回の内容はISACAコミュニティから得られるほんの一部であり、ISACAの支部、オンラインディスカッション、イベント・会議の活用を提案する。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「プライバシー：デジタルトラストを構築する重要な要素」
[Privacy: A Key Component of Building Digital Trust]
※「プライバシー保護とデジタルトラスト促進は密接に関連する」。この記事はISACAのコンテンツ開発ディレクターBetsie EstesとプライバシープロフェッショナルプラクティスのプリンシパルSafia Kaziによる8/30（YouTube日付）のISACA Liveの紹介です。
https://www.youtube.com/watch?v=NiV3j2JG4uo&t=2s
先月紹介したWebinarデジタル トラスト エコシステム フレームワークについても言及しています。
https://store.isaca.org/s/community-event?id=a334w000004wLxQAAU

<<Newsroom/Press Releases>>

・「サイバーセキュリティの労働力の現状： ISACA調査が示すここ数年で最高の定着の難しさ」
[State of the Cybersecurity Workforce: New ISACA Research Shows Highest Retention Difficulties in Years]
大量離職が業界を悩ませている。サイバーセキュリティ分野では特に。2022年の調査では、6割以上の企業が人材の採用と定着が課題と答え、前年よりさらに増えている。この記事では他にもスキルギャップと緩和策、予算の平準化、脅威の展望、サイバー成熟度などについての調査結果を見ることができる。
※３月にリリースされた記事ですが、未紹介でしたので以下と併せていかがでしょう。
この調査のアーカイブWebinarページ
この調査の無料レポートダウンロードページ