ISACAニュースダイジェスト

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEを獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2026年4月14日　16:00 (UTC)～60分、1CPE
「ITAF 5:デジタル企業の監査における進化する役割」
[ITAF 5: The Evolving Role of Audit in the Digital Enterprise]

IT監査フレームワーク（ITAF）が最後に更新されてから6年が経過し、その間に業務環境は大きく変化した。現在では、テクノロジーが取引を実行し、サードパーティのエコシステムを通じて組織同士を結びつけ、さらに自動化やAIによって意思決定まで行うようになっている。その結果、監査チームは新たな問いに直面している。自動化された結果は信頼できるのか。サードパーティリスクの責任者は誰なのか。なぜ監査はもっと早い段階で関与しなかったのか。
ITAF 5は、こうした期待に応えるものである。

本セッションでは、このフレームワークを実務に落とし込み、保証業務が従来の統制テストを超えて、システムが生み出す成果を評価するためにどのように拡張されるのかを解説する。参加者は、監査アプローチを適応させ、独立性を維持しながら将来を見据えたリスク洞察を提供する方法を学ぶ。

・2026年3月24日　17:00 (UTC)～60分、1CPE
「GRCエンジニアリングの取り込み： GRCにおける新たな専門領域」
[Embracing GRC Engineering: A New Discipline in GRC]

従来のGRC（ガバナンス・リスク・コンプライアンス）アプローチは、現代のクラウド環境が持つスピードや複雑性に対応しきれないことが少なくない。GRCエンジニアリングは、エンジニアリングの実践をガバナンス、リスク、コンプライアンスに直接統合する新しい分野である。本セッションでは、チェックリスト主導のコンプライアンスから脱却し、継続的なコンプライアンスを実現しつつ、セキュリティを向上させ、ビジネス成果と整合する「エンジニアリング・ファースト」のモデルへと移行する方法を解説する。

学習目標：

• GRCエンジニアリングの原則と、従来のGRCとどのように異なるのかを理解する
• クラウドネイティブなツールを活用し、証跡収集やコンプライアンス業務を自動化できる機会を特定する
• エンジニアリング思考を適用し、拡張性と持続可能性のあるコンプライアンスプログラムを構築する

【専門領域】

<<@ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「ITAFの更新は進化する新興技術の状況を反映する」
[ITAF Updates Reflect Evolving Emerging Technology Landscape]

ISACAによるIT監査フレームワーク（ITAF）の最新アップデートは、今日のテクノロジー環境における最新動向に合わせてフレームワークを整合させ、企業の業務効率を評価し、コンプライアンスを達成するために必要な、最も関連性の高いベストプラクティスを監査実務者に提供する。
ITAF第5版では、前版からの重要な更新が数多く盛り込まれている。ITAFへの準拠は、CISA認定資格保有者にとって必須要件である。
「このITAFの新しい版は、まさに今の時代に応えるものです」と、メアリー・カーマイケル氏はISACA Nowのブログ記事で述べている。
「デジタル・エコシステムの進展、より強固なガバナンス、そしてより戦略的な監査機能など、今日の現実に即した形でフレームワークを刷新している。」
（メアリー・カーマイケル氏の記事）
https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2026/why-itaf-5-matters-six-big-shifts-transforming-it-audit-and-assurance
（ITAF第５版）
https://store.isaca.org/s/store#/store/browse/detail/a2SVQ0000029jHh2AI

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「パスワードレス認証：リスク、メリット、準備状況」
[Passwordless Authentication: Risk, Reward, and Readiness]

2025年初頭以降、世界中で160億件を超えるパスワードがハッキングされており、その数は今なお増え続けている。この統計が示す衝撃的な事実は、地球上の人口よりも多くの「漏えいしたパスワード」が存在しているということである。この現象は、Facebook、Google、Apple、GitHubなど、あらゆる主要なプラットフォームに及んでいる。
この拡大し続ける脆弱性への解決策は、単により強固なパスワードを使うことではない。必要なのは、パスワードレス認証へのパラダイムシフトである。パスワードが存在しなければ、攻撃点も存在しない。これは、多くの企業、あるいはほぼすべての企業が望む変化である。パスワードレス認証は、セキュリティの強化、ユーザー体験の向上、運用コストの削減を同時に実現する。
しかし、コストや規制の複雑さといった要因により、組織はこの強力な防御策の導入に苦戦している。組織がこの重要な仕組みの価値を正しく理解しなければ、貴重なデータや顧客の信頼を失うリスクに直面することになる。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「なぜCISAとCGEITは2026年の認定資格市場を凌駕しているのか」
[Why CISA and CGEIT Are Outperforming the Certification Market in 2026]

多くのIT認定資格の報酬価値が低下しつつある市場環境の中で、ガバナンス関連の2つの資格が、これとは正反対の動きを見せている。Foote Partnersが四半期ごとに更新している「ITスキル・認定資格報酬指数（IT Skills and Certifications Pay Index™：ITSCPI）」の最新データによると、CISA（公認情報システム監査人）および CGEIT（公認ITガバナンス専門家）は、認定資格全体で見られる価値低下の流れに抗しただけでなく、2025年後半の直近6か月間で11％〜20％の現金報酬プレミアムの成長を記録した。これは、認定資格全体の平均プレミアムである6.5％を大きく上回る水準である。

<<ISACA Journal>>

「2026年第２号 サプライチェーンにおける信頼の構築」
[2026 Volume2 Building Trust in the Supply Chain]

・「AI対応の脅威の時代におけるSBOMの解読」
[Decoding SBOMs in the Era of AI-Powered Threats]

デジタル・サプライチェーンの危険性は、もはや明白である。近年、深刻な影響をもたらすサプライチェーン侵害が相次いで発生しており、その一例が XZ Utilsに悪意のあるコードが巧妙に挿入された事件である。この出来事はオープンソース・コードに内在する依存関係の不透明さを浮き彫りにした。その結果、ソフトウェア部品表（SBOM：Software Bill of Materials） が、デジタル・トラストを確立するための重要な焦点として注目を集めるようになった。SBOMは、ソフトウェアパッケージに何が含まれているかを明示し、その構成と真正性を効果的に検証するものである。
規制当局もこうした侵害事例を受けて対応を進めており、米国大統領令14028「国家のサイバーセキュリティ強化」 などを通じて、SBOMの義務化を明文化している。この2021年の大統領令は、脆弱性の把握、ライセンスリスクの評価、そして悪用の発生源までの追跡を求めるものである。しかし、人工知能（AI）が、新たな脅威を創出し、従来型の脆弱性スキャンを回避し、GitHubのようなリポジトリを汚染するために悪用されることで、こうした対策の有効性は損なわれる。
包括的なSBOMは、ソフトウェア開発ライフサイクルにおける単なる手続き要件を超える存在である。むしろ、高度に相互接続されたデジタル環境において、信頼を確立し、維持するために不可欠な賢明な実現手段となる。依存関係、コンポーネント、ハッシュの詳細な資産目録は、透明性の向上に役立ち、サプライチェーン全体にわたるリスクおよび脆弱性管理、インシデント対応、そして意思決定をプロアクティブに可能にする。