▲目次
ISACAニュースダイジェスト(日本語版)
Vol.121 2025/5/20
発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
【教育・CPE獲得の機会】
<<Webセミナー(Webinar)>>
https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC(協定世界時)あるいはホストの現地時間としていますのでご留意ください。
・2025年6月10日 16:00(UTC)~60分、1CPE
「AI戦争:ハッカーと防御者がインテリジェンスをどう武器化しているか」
[AI Warfare: How Hackers and Defenders are Weaponizing Intelligence]
攻撃者はAIを活用し、従来の防御を上回るスピードで進化する高度な自動攻撃ベクトルを作成し、セキュリティ専門家は同じ技術を活用し、新たな脅威を検出・分析・無力化している。本セミナーでEvans氏は、諜報機関向けに攻撃ツールを開発した豊富な経験から、AIがサイバーセキュリティの戦場の両側面をどのように変革しつつあるかを示す。参加者は、AIを活用した攻撃手法と防御対策に関する実践的な洞察を得ることができ、インテリジェントな脅威と保護の新時代に対応したセキュリティ態勢に適応させることができる。
・2025年7月10日 16:00(UTC)~60分、1CPE
「人間中心のセキュリティ:ADKARを活用したレジリエンス(回復力)の構築」
[People-Centered Security: Using ADKAR to Build Resilience]
セキュリティプログラムは、人々がそれを採用しないと失敗する。このセッションでは、PROSCI ADKARモデルを測定可能な実施策に変換することで、組織のセキュリティを強化する方法を示す。構造化された行動ベースの変更が、どの様に管理施策のギャップを埋めてリスクを低減し、プログラムの成熟度を加速させるかを探る。実際のセキュリティ環境における組織変更管理 (OCM) のケーススタディを紹介、重要なメトリクスに焦点を当て、抵抗を減らすための実践的なツールを提供することで、理論と行動の橋渡しをする。
※ADKAR®:米国Prosci社のジェフリー・ハイアットが紹介した組織変革モデル。Aware (認知)、Desire(欲求)、Knowledge(知識)、Ability(能力)、Reinforce(定着)といった組織変革のステップを提唱しています。
【専門領域】
<<@ISACA>>
https://www.isaca.org/resources/news-and-trends/newsletters/atisaca
・「”Homogenius Technologicus”の完璧なレシピ:次世代の監査人」
[The Perfect Recipe for the Homogenius Technologicus: Next-Gen Auditors]
定義:Homogenius Technologicusとは、技術的な専門知識、飽くなき好奇心、深い共感を融合させた新しいタイプの監査人のこと。有意義な洞察を提供、強力な組織関係を育みながら、現代の技術の複雑さをナビゲートする力を与える。
Homogenius Technologicusのレシピ:急速に進化する技術環境で成功する次世代監査人を生み出すために不可欠な要素をブレンド。好奇心、専門知識、コラボレーションを組み合わせ、スキルだけでなく、組織に変革をもたらすためのインスピレーションも備えた監査人を準備。
※筆者は、組織として持つべき次世代監査人像を” Homogenius Technologicus”と呼び、次世代監査人に求められる要素(好奇心、データ分析スキル、技術への精通など12要素)をあげ、その組み合わせ方を料理レシピになぞらえて示しています。
<<Industry News>>
https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。
・「ゼロETLパラダイム:エンタープライズデータ統合をリアルタイムに変革する」
[The Zero ETL Paradigm: Transforming Enterprise Data Integration in Real Time]
今日のデータドリブンなビジネス環境において、組織は増え続けるデータ量と複雑さを管理しながらリアルタイムでの洞察を提供しなければならない。ゼロETLは、組織がデータの移動と処理のニーズをどう扱うかを根本的に再構築する革新的なアプローチとして登場した。直接的なデータ移動機能と高度なクラウド技術を提供し、最新のアーキテクチャパターンを活用することで、運用の複雑さとコストを大幅に削減しながらリアルタイムでのデータアクセスを可能にする。このパラダイムシフトは、単なる技術的な進化にとどまらず、真のリアルタイムデータ統合と分析機能を実現する方法の戦略的な進歩を意味し、組織は市場の変化や顧客のニーズに迅速に対応できるようになる。
※筆者は、ゼロETLの採用を勧めているものの、導入を成功させるには、コンプライアンスのリスク、ガバナンスの課題、データアーキテクチャ、運用の卓越さ、セキュリティにわたるベストプラクティスの統合を慎重に検討する必要があるとも述べています。
<<ISACA Now Blog>>
https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。
・「サードパーティAIのリスク管理に対応する6つのステップ」
[Six Steps for Third-Party AI Risk Management]
世界中でAIに関する規制がますます厳格化している中、組織がコンプライアンスに対応し続けることは難しいかもしれない。カリフォルニア州サンフランシスコで開催されたRSA Conference 2025で、ISACAのメンバーであるMary Carmichael氏とDooshima Dabo'Adzuana氏が、サードパーティAIのリスクに関するセッションにて、AIベンダーを選択する際、サプライヤーに潜む可能性のあるリスクを判断するための手順(6ステップ)を紹介した。
1.AI戦略とニーズの特定
2.計画とサプライヤーの特定
3.デューデリジェンスとリスク決定
4.契約管理とサービス開始
5.モニタリング、監査、認識
6. 契約終了
Dabo'Adzuana氏は、COBIT for AI Governance、NIST AI Risk Management Framework、ISO 42001など、AIガバナンスを実施する際に役立つ可能性のあるいくつかのリソースを共有した。
※絶えず変化するAIの状況に合わせてサードパーティのリスク管理手法も進化していることを専門家が保証する限り、外部ベンダーからAIを採用することのメリットは、費用対効果が高く価値がある、と結論として強調していたそうです。
<<ISACA Journal>>
※以下の記事の閲覧にはログインが必要です。
「2025年第3号 デジタルジレンマ:イノベーションと健全性をバランスさせる」
[2025 Volume3 The Digital Dilemma: Balancing Innovation and Integrity]
・「ITリスク領域にAIの進化が与える影響」
[AI’s Evolving Impact on the IT Risk Landscape]
今後数年間で、AIは業界の大幅または破壊的な変化につながると、2024年のマッキンゼーの調査では約75%が回答している。AIの導入には、提供される結果の不正確さ、プライバシーの侵害、意思決定の偏り、知的財産権の侵害、AIへの過度の依存による人間のスキルの萎縮など多くのリスクが伴う。AIの影響は幅広くその波及効果は従来のITリスク管理活動の領域外にまで広がり、専門家がAIのリスク管理に取り組む方法に大きな変化が生じている。
AIの利用には、利用ポリシーを策定・準拠するだけでは不十分で、その利用前後のコントロールが必要となり、組織に対する合理的なケアも必要となる。またAIは新たなリスクをもたらすことを理解することが重要で、適切に対応していくことが必要。ITリスク管理の変更の実装には、米国国立標準技術研究所(NIST)のAIリスク管理フレームワークなど各種標準を関係する組織のAIシステムへの適用候補と見なす必要がある。ISO/IEC 42001 などの AI 標準も考慮する。
AIを使用している/使用しようとしている全ての組織は、リスク管理のアプローチを変更し、AIに独特な側面(遭遇する新しいリスクを含む)を受け入れることが重要。ロードマップには、AIのすべての用途の定期的なインベントリの実行と、それらの特定された用途に関連するリスク評価の実施を含める。特定されたリスクと法律や規制などに対応するポリシー文書を作成し、経営幹部、理想的には取締役会によって承認する。ポリシー文書には、CAIOの任命や、AIガバナンス評議会と独立したAI倫理委員会の設立などが含まれる。
**ISACAニュースダイジェストご利用上のご注意**
- オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
- 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
- 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
- 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。
(Vol.121 文責 萩野美穂 (東京支部))
このサイトは、ISACA日本支部協同推進機構が運営しています。