ISACAニュースダイジェスト(日本語版)

Vol.24   2016/6/18(土)

発行:ISACA日本支部協同推進機構  
英語情報ナレッジ活用専門委員会      

ISACAニュースダイジェスト(日本語版)について

 ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。

【教育・CPE獲得の機会】

CPEの報告の方法と獲得の方法について(英語)

CPEの取得方法(東京支部 日本語)

※CPEの獲得にはさまざまな方法がありますが、ここでは本部の提供する情報から有益なものを紹介いたします。

<<これからのWebセミナー(Webinar)>>

ISACA会員は無料でCPEが獲得できます。

・2016年6月22日(水)午前1時~(日本時間)
「データ漏えいを目論むサイバーキルチェーンを破壊せよ」
【Breaking the Data Breach Kill Chain】

<<グローバルで開催されるISACA主催のカンファレンス>>

http://www.isaca.org/Education/Conferences/Pages/default.aspx

※以下に紹介するカンファレンス情報は各リージョンでのISACAイベントになります。
様々なカンファレンスが開催されておりますが、アジア地域においては、前号でもご紹介した9月のオセアニアCACSに加え、11月にはシンガポールでCSXアジアパシフィックが開催されます。

・OSEANIA CACS(2016年9月11日~13日) オーストラリア(Gold Coast)
 会員早期申込:1,195 AUD (6/30まで)
 会員一般申込:1,395 AUD
 ※最大39CPE獲得可能です。

・CSX アジアパシフィック (2016年11月14日~16日)シンガポール(Marina Bay Sands)
 会員早期申込:995 USD (9/7まで)
 会員一般申込:1,595 USD(11/4まで) /1,795 USD(11/5以降)
 ※会議以外に各種ワークショップ(有料)も用意されています。最大32CPE獲得可能です。
 (内訳:会議18CPE、ワークショップ14CPE)

【専門領域】
<<@ISACA>>

「セキュリティ有効性の5つの指標」
【Five Measures of Security Effectiveness】
※組織のセキュリティ有効性の評価を“ポリシー”、“手順”、“実装”、“テスト”、“統合状況”の5つの階層で行うことを推奨している記事です。

<<ISACA Now Blog>>

http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。長い英文はちょっとという方、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下に1例をご紹介します。

・「パフォーマンス・ベースのサイバーセキュリティ資格:興味本位から能力本位への見極め」
【Performance-Based Cybersecurity Certifications:Discerning Capability From Interest】
※サイバーセキュリティに関する真の能力は、伝統的な資格の保証や教育プログラムが通用せず、実際の環境下でパフォーマンス・ベースのテストや評価が求められるとのことです。

<<CSX>>

CSX関連の資格のページです。
https://cybersecurity.isaca.org/csx-certifications

1. 「CYBERSECURITY FUNDAMENTALS CERTIFICATE」
サイバーセキュリティプログラムの入門編。知識ベースの資格。
→大学生や卒業したての人、また違う分野から職種転換してきた方に最適
詳しくはこちら↓
https://cybersecurity.isaca.org/csx-certifications/csx-fundamentals-certificate
試験の解説はこちら↓
http://www.isaca.org/cyber/Pages/Cybersecurity-Fundamentals-Certificate.aspx
試験はオンライン試験、2時間で75問(多肢選択方式)65%以上のスコアで合格
試験は150USD、スタディガイドは会員45 USD(非会員55 USD)
試験は、スタディガイドとセット購入で会員185 USD(非会員195 USD)

(試験に備えるための情報)
① Cybersecurity Fundamentals Study Guide
サイバーセキュリティ分野の専門家によって書かれた、試験にでる4つの主分野の詳細な解説書。自己評価テストと回答の解説つき。
https://www.isaca.org/bookstore/Pages/Product-Detail.aspx?Product_code=CSXG1
② Practice Quiz(25問)
http://www.isaca.org/cyber/pages/self-assessment.aspx?id=100000
③ Exam Guide
http://www.isaca.org/cyber/Documents/CSX-Exam-Guide_bro_Eng_1014.pdf
④ ISACAのカンファレンスやワークショップ、CSXのwebinarを受講する
⑤ 関連のホワイトペーパーや本などの出版物を読む
⑥ オンラインコースの受講(会員250USD)

2. 「CSX PRACTITIONER」
専門的実務者として、単一のシステムにおいて手順に従って既知の問題に対応する方に適した認証
→専門家における入門資格としてサイバーセキュリティにおける技術的なスキルを示したい方に最適
詳しくはこちら↓
https://cybersecurity.isaca.org/csx-certifications/csx-practitioner-certification

3. 「CSX SPECIALIST」
CSX PRACTITIONERより上位の専門家資格として、グローバルサイバーセキュリティフレームワークの5つの分野(Identify, Protect, Detect, Respond, Recover)ごとに設定された資格
→特定の分野におけるさらに深い(中級の)技術スキルを示したい方に最適
詳しくはこちら↓
https://cybersecurity.isaca.org/csx-certifications/csx-specialist-certification

4. 「CSX EXPERT」
エキスパートレベルの専門家資格として、問題を特定し、分析し、複雑なサイバーセキュリティインシデントに対応できるスキルを示す資格
→組織の中でサイバーセキュリティ関連において権威筋となれる技術スキルを持つ方に最適
詳しくはこちら↓
https://cybersecurity.isaca.org/csx-certifications/csx-expert-certification

5. 「CERTIFIED INFORMATION SECURITY MANAGER (CISM)」
情報セキュリティおよびサイバーセキュリティマネージャのための一流の資格。
CISMを保持することは、エキスパートとして、情報セキュリティプログラムの企画・構築・運営において、歴史あるグローバル標準を遵守し活動していることを意味している。
→情報セキュリティプログラムを運営し、企画し、監督・監査するためのマネジメントにフォーカスした資格。
詳しくはこちら↓
http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx

<<COBIT 5 Japanese>>

COBIT 5 for Risk 日本語版が公開(有料)されています。
会員:35 USD
会員以外:75 USD
http://www.isaca.org/COBIT/Pages/COBIT-5-japanese.aspx?utm_referrer=

<<COBIT Focusより>>(抄訳:稲葉裕一(東京支部 基準委員会))

・「コンプライアンスのモニタリング、評価、アセスメント」(5月16日号 Peter T. Davis、CISA、CISM、CGEIT著)
多くの企業はコンプライアンスプログラムの有効性を測定していないか、測定していてもインシデントの数や研修の実施といった「忙しさ指標」を使っているだけである。
指標としてコストで見ることもあるが、ただコストをかけて研修を実施し、GRCソフトを導入してだけでは、文化の醸成にはつながらないし、インシデントの発生も減らない。
一部の企業では、規制等に準拠しないリスクをアセスメントし、罰金や処分のようなコストを評価して、準拠するかどうかの判断をしている。
コンプライアンスは外圧と考えているうちは組織にあまり価値を産み出さない。従業員が日々の意思決定で無意識にコンプライアンスにアセスメントするようになって初めて効果が出る。
従業員は、ビジネス活動の日常業務においてセキュリティ、リスク、コンプライアンスを意識する必要がある。インシデントを数える代わりに、GRCの精神を文化として醸成し、第一線防御とすべきである。そうしないと、二線防御、三線防御がどんどん大きく膨れ上がってしまう。 http://www.isaca.org/COBIT/focus/Pages/monitoring-evaluating-and-assessing-compliance.aspx

・「COBIT 5 を活用した事業体ITガバナンス導入モデルによる価値の創出」(5月23日号 Yuichi (Rich) Inaba、CISA著)
リーマンショック以来、当局は規制強化へと舵を切り、経営者は守りの姿勢が強かった。その後、コーポレートガバナンスコードが定められ上場企業は持続的成長と中長期の企業価値向上が求められた。経営者には守りのリスク管理から攻めのITガバナンスが求められるようになってきた。
このようなニーズに応えるため、ステークホルダーへの価値創出および組織の受託者責任と説明責任を遂行するために、攻めのITガバナンスモデルをCOBIT 5を活用して開発した。これは、ステークホルダーニーズから事業体達成目標、IT達成目標、イネーブラー達成目標へと展開し、7つのイネーブラーによるPBRMサイクルを遂行し、イネーブラー達成目標の状況をモニタリングしてステークホルダー価値創出状況のモニタリングへと集約していくようなモデルである。
また、事業体全体ガバナンスと整合させながら事業体ITガバナンスを遂行するモデルでもある。
このモデルを使うことにより、ITガバナンスの実践者はクライアントへ価値を創出し、社会的責任を果たしていくことが可能になる。 http://www.isaca.org/COBIT/focus/Pages/creating-value-with-an-enterprise-it-governance-implementation-model-using-cobit-5.aspx
(この記事は抄訳者自身による英文の投稿記事です。全訳日本語版も用意していますので、「Japanese」をクリックして参照してください。)

**ISACAニュースダイジェストご利用上のご注意**

  1. オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
  2. 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
  3. 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
  4. 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。

( Vol.24 文責 小峰英篤(福岡支部))

※次回発行予定 2016/7月中旬

このサイトは、ISACA日本支部協同推進機構が運営しています。