ISACAニュースダイジェスト Vol.94

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
 ※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2022年11月29日16:00(UTC)～60分、1CPE
「パスワードレスログインでフィッシング防止MFAを実施する時期が来た」
[It's Time To Enforce Non-Phishable MFA With Passwordless Login]
MFA(多要素認証)に基づくさまざまな攻撃と、フィッシング防止を考慮した信頼性の高いMFAオプションを検討する必要がある理由について説明している。

・2022年12月8日16:00（UTC）～60分、1CPE
「大量退職と静かな退職」
[Great Resignation & Quiet Quitting]
COVID-19の大流行によって従業員の仕事に対する態度のかなりの変化が浮き彫りになっており、米国では、2021年に4740万人の従業員が自発的に仕事を辞めた。“静かな退職“はCOVID-19パンデミックの副産物と見られており、同じ給料でより多くの仕事を要求される既存の従業員に大きなしわ寄せが生じている。企業が直面している課題について、考え方やリーダーシップの転換を図り、ディスラプションをうまく乗り切った業界のリーダー達に学ぶ。

<<Webセミナー・アーカイブ>>

https://www.isaca.org/training-and-events/online-training/archived-webinars
※公開後 1年間は、アーカイブでも視聴可能です。

・2023年10月6日まで受講可能
「リーダーのための脳科学」
[Neuroscience for Leaders]
脳科学という切り口から、リーダーシップの新たな視点を学ぶ。脳科学に基づく研究は、リーダーが信頼を築き、ストレスを軽減し、創造性を高め、インポスター症候群を管理し、多様性の強みを活用し、そして長期的な成長のためにチームと信頼関係を築くのに役立つ。脳の中を覗いてみると、外の世界は脳の内部の反映であることがわかる。

【専門領域】

<<ISACA Journal>>

「2022年第6号： コンピューティングにおける1と0」
[2022 Volume 6: THE 1S AND 0S OF COMPUTING]

※以下の記事の 閲覧にはログインが必要です。
・「人、プロセス、行動の変革によるセキュリティ意識の最適化」
[Optimum Security Cognizance Through People, Process and Behavior Transformation]
企業などのスタッフによる潜在的なセキュリティ脅威を管理することは非常に重要である。これらの内部脅威を解決し、セキュリティ認知度を向上させるために、情報セキュリティリーダーは、国際的なグッドプラクティス、トレーニング方法に関するガイドラインなどにもとづき明確に定義された変革活動を優先させなければならない。企業が社内のセキュリティ方針について従業員を教育し、情報セキュリティ文化および情報セキュリティ行動を広げ、継続的に情報セキュリティポリシーの人、プロセス、行動の側面を見直すための方法について解説している。

・「IS監査の実際：データは無駄になっているのか?」
[IS Audit in practice: Do Data Go to Waste?]
企業、顧客、公衆全体の利益のために規制を確実に実施するために、リスクと監査の専門家がいかなる価値を付加できるか、米国マサチューセッツ州ディア・アイランド水処理場の例とともに紹介している。同施設を管理するマサチューセッツ水資源局では、水の純度や大気質管理などのデータトラッキングを想定して、水の清浄度の検出からCOVID-19の傾向まで、あらゆるデータを管理している。また、環境規制機関への報告要件にそった形の水質データなど、排水処理環境はデータ収集と自動化された管理ポイントの縮図と言える。処理する自動化プロセスや、従業員の労務状況など、多数のデータ管理項目が存在する。利害関係者、構成員、規制当局、リスク管理者、そして監査人らは、それぞれの切り口からデータセットを要求している。
※この記事では実際にどのようなアプリケーションが存在するか、それらを保護するかを報告しています。筆者は、運用がうまくいっていることは監査がうまくいっていることの証であり、教育と認識を提供することによって、プロセスの成熟度曲線を一歩進めれば、専門職がもたらす価値を示すことによって、IS監査コミュニティにとってさらなる利益が得られる、とまとめています。

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「IT資格と給与の関連性」
[What is the Connection Between IT Certifications and Salaries]
COVID-19の流行により、ここ数年、在宅勤務が増加しているため、組織は、従来のオフィス環境の内外で拡大したセキュリティ要件に適応するために、より多くの予防措置を講じ始めている。Foote Partnersの最新データによると、最も報酬の高いIT資格のうち21個がセキュリティに関連するもので、資格を取得することで、ITプロフェッショナルは最新のサイバーセキュリティのトレンドとベストプラクティスに精通することができ、他の応募者に比べて履歴書を目立たせることができる。資格の重要性を分析し、ITキャリアに役立つ方法を概説する。

・「リスクアセスメントプログラムの構築(または改善)」
[Building (or Improving) a Risk Assessment Program]
すべての情報セキュリティプログラムの中核となるのは、リスクアセスメント機能である。企業がセキュリティ態勢の目標を達成するために、リスクアセスメントプログラムを設計する際に考慮すべき点がいくつかあり、この記事ではリスクアセスメントプログラムの作成・改善を検討している人物向けに、その基礎を解説している。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「ハイブリッドワークプレイスがセキュリティに与える影響」
[The Impact of a Hybrid Workplace on Security]
コロナ禍が長引くにつれ、ハイブリッド型のワークプレイスが広く導入されるようになった。しかし、サイバーセキュリティの専門家にとっては、ネットワークの境界が拡大し、さまざまな場所にいる労働者が含まれるようになるため、多くの課題が発生する。
※従来の境界型からハイブリッド型へITシステムが変わる中で、ゼロトラスト・ネットワーク、XDR、BYODなど重要なキーワードとその機能について説明しています。

・「デジタル・トラスト構築のための7つの重要なステップ」
[Seven Key Steps to Build Digital Trust]
※デジタル技術の信頼性を高めるための7つの重要なステップを紹介しています。
デジタル技術の信頼性を高めるには、多面的なアプローチが必要であり、まず企業の優先事項として位置づける必要があります。デジタル・トラストの構築はしっかりとしたロードマップを作成することで、より達成しやすくなります。

・「ISACA認定試験受験のための5つの簡単なヒント」
[Five Quick Tips for Taking ISACA Certification Exams]
※ISACA認定資格の取得を検討されている人を対象として、認定資格取得者が合格点を獲得するために役立った5つのヒントを紹介しています。確実な問題から解いていくこと、深く考えすぎないといったことなどテクニカルなヒントや、垂直性の原則（誰が意思決定し、それがどのように組織のガバナンスに関わるかという原則）、聴衆を知ることなど、原理原則の上でのヒントも紹介しています。

<<Newsroom/Press Releases>>

・「ISACAの新しい出版物、機械学習テクノロジーと監査人のコンプライアンス・リスクを強調」
[New ISACA Publications Highlight Machine Learning Technology and Compliance Risk for Auditors]
世界的な機械学習（ML）の利用拡大により、IT監査人がこの技術を理解する必要性が高まっている。ISACAの新しいホワイトペーパーシリーズ「Audit Practitioner's Guide to Machine Learning, Part 1: Technology」と「Audit Practitioner's Guide to Machine Learning, Part 2: Compliance Risk」は、この技術に関連する機会、リスク、コンプライアンス要件に関するガイドラインを監査員に提供しており、これらの資料を通じて監査人は、機械学習アプリケーションの構築に伴う複雑で困難なプロセス、データパイプラインおよびソフトウェア開発ライフサイクルに関連する検討事項についてより深く理解できる。

・「ISACAの新しいホワイトペーパー、リスク許容度について掘り下げ」
[New White Paper from ISACA Delves into Risk Tolerance]
組織でリスクに対処するための最初のステップは、リスク選好度とリスク許容度を理解することである。ISACAは、この2つの領域でガイダンスを提供する新しいホワイトペーパー「Using Risk Tolerance to Support Enterprise Strategy」と「Risk Scenarios Toolkit」を発表した。「Using Risk Tolerance to Support Enterprise Strategy」ホワイトペーパーでは、リスク担当者だけでなく、経営者にとってもリスク選好度、リスク許容度、リスク適応力の定義が検討されている。また、リスク許容度の枠組みを確立し、リスク許容度の指標を用いて意思決定を行う方法、およびリスク許容度の追跡、報告、管理の方法についてのガイダンスも提供している。「Risk Scenarios Toolkit 」 は、情報技術（I&T）リスクに対する組織の関与、分析、構造の提供を支援する87種類のリスクシナリオのサンプルテンプレートを提供するリソースで、Word文書で提供され、ユーザーが独自のニーズに合わせて使うことができる。