ISACAニュースダイジェスト（日本語版）

Vol.27 2016/9/19

発行：ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会

ISACAニュースダイジェストについて

ISACA本部の発信する英語での情報をもっと活用しよう！との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。

【教育・CPE獲得の機会】

CPEの報告の方法と獲得の方法について（英語）

CPEの取得方法（東京支部日本語）

※CPEは様々な方法で獲得できますが、本号では、ＩＳＡＣＡ国際本部が提供している「Webセミナー」および「バーチャルカンファレンス」（長時間）をご紹介いたします。

<<これからのWebセミナー>>

・2016年9月28日（水） 01時00分～（日本時間）
「あなたのプライベートクラウドはどのくらいセキュアか？」
[How Secure is Your Private Cloud?]

・2016年10月5日（水） 01時00分～（日本時間）
「なぜサイバーリスクは経営リスクなのか：経営層のためのサイバーリスク選好の評価」
[Why Cyber RISK is Business Risk: Assessing Cyber Risk Appetite for the C-Suite]

・2016年10月7日（金） 01時00分～（日本時間）
「有意義なリスクアセスメントの実施：データ漏えいインテリジェンスが重要」
[Making Risk Assessments Meaningful: Data Breach Intelligence That Matters]

<<これからのバーチャルカンファレンス>>

・2016年9月21日（水） 21時15分～（日本時間）
「サイバーセキュリティの進化：ダークデータ（これまで蓄積されてきたが活用されてこなかったデータ）、IoT、高度な分析」
[Cybersecurity Evolves: Risk in the Age of Dark Data, IoT and Advanced Analytics]
IoTに関わる技術が利用されることによって、サイバーセキュリティの課題は新たな局面へと進んでいる。
これまで個人を特定することができなかった情報が、それらの情報を組み合わせることで個人を特定することが可能となり、これまで無価値だった非構造化データについても、分類・保護・分析を行えることが求められる。
その一方、攻撃はこれまで以上に冷酷かつ洗練され、事業体はデータの保護およびガバナンスを確保しなければならない。

※なお、このセミナーは以下の４つのセッションから構成されており、最大5CPE獲得できます。
Session 1: Identifying Compliance Gaps in Mobile, IoT and Non-Traditional End Points
Session 2: Will Analytics Save InfoSec?
Session 3: How IoT and New Tech Changes Modern Cybersecurity
Session 4: I Can Do v. I Have Done

【専門領域】
<<@ISACA>>

「コンピュータでファイルとデータを隠す８つの方法」
[Eight Ways Files and Data Are Hidden on Today's Computers]

「コンプライアンスだけでは、セキュリティは不足である」
[Security Is More Than Compliance]
様々な事業体がコンプライアンスに努める一方、コンプライアンス単体では十分なセキュリティを実現するには不足している。
※あわせて、以下のすでに実施されたWebセミナーを確認するとより理解が深まります。
[Compliance = Security: Why the Math Doesn't Add Up ]

<<ISACA Journal>>

「人的要素を監査し、組織のセキュリティリスクを評価する方法」
[How to Audit the Human Element and Assess Your Organization's Security Risk]
Verizon社の調査報告によると、セキュリティにおける「人に起因する脅威」はこれまでになく危険な状態である。ただ事故に際して、犯人探しをするのではなく、組織としてどのように「人的要素」に向き合っていくべきか、が必要になってきている。

<<ISACA Now Blog>>

「シャドーIT: それは本当に危険なのか？」
[Shadow IT: What Is It and Is It Really Risky?]
「シャドーIT」は今ではほとんどの企業に存在しているはずである。
その一方、Gartner社の調査報告によると、シャドーITが原因となるサイバーセキュリティでの事故は３割にもなると予測されている。

※あわせて、以下のすでに実施されたWebセミナーを確認するとより理解が深まります。
[Securing "Shadow IT" and Sensitive Company Data in the Cloud]

<<Knowledge Center>>

「モバイル機器は決済におけるセキュリティの勝者となりうるか？」
[Is Mobile the Winner in Payment Security?]
決済用カードデータとの大規模なデータ漏えいや個人情報の盗難犯罪が増加している中で、最新のモバイル技術が潜在的に従来のクレジットカードより、または、ネットショッピングよりも安全であるとの認識が共有されることで実現する可能性がある。
どのようにリスクを軽減し、信頼を高めているか、そしてモバイル決済が、適切なコントロールにより、企業におけるリスクを軽減しているか解説している。

※なお本件のWhite PaperはISACA会員だけでなく、その他の方も登録をすることでダウンロード可能です。

「GEIT入門：事業体ITガバナンスを実装するための入門書」
[Getting Started With GEIT: A Primer for Implementing Governance of Enterprise IT]
※後述の<<COBIT Focus>>の記事にも記載されている事業体ITガバナンス実装のための入門書です。

<<COBIT Focusより>>（抄訳：稲葉裕一（東京支部基準委員会））

・「COBIT：未来への道」（8月22日号、Peter Tessin, CISA, CRISC, CGEIT著）
1996年はJAVAやPentiumの出現などITに関する重要な出来事が多かった。この年、COBITの最初のバージョンがリリースされている。
これまでCOBITはコンプライアンスや監査・保証の目的が主であった。COBIT 5は事業体の達成目標とITガバナンス・マネジメントを結ぶ、重要な新しい世界の新しいフレームワークである。
クラウドやモバイル、ソーシャルメディア等新技術の採用が個々の部門で独自に実施され、事業体の目標と整合せずに部分最適となることが多い。新技術の破壊的威力はビジネス価値を産み出す一方でそれに伴い生じるリスクを管理する必要もある。
IoTの普及など、技術は今後も破壊的に進化する。必然的にIT部門とビジネス部門が融合し、COBITフレームワークもまたビジネスニーズに従い進化していく。価値創出を目指すIT実践家にとって、COBITはこれまで有用なガイダンスであり、今後もそうあり続けるだろう。
http://www.isaca.org/COBIT/focus/Pages/cobit-the-road-ahead.aspx

・「事業体ITガバナンスの導入計画の重要性」（8月29日号、Peter Tessin, CISA, CRISC, CGEIT著）
事業体ITガバナンス（GEIT）構築プロジェクトの失敗談は山ほどある。原因は計画段階での経営者のコミットメント不足や、事前準備不足である。
2つのISACAのガイダンスがこの計画作業に役立つ。Getting Started with GEIT（GSWG）とCOBIT 5 Implementationである。GSWGは、GEIT導入に従事する人のための入門書として最近リリースされた。GEITを概説し、GEITにより得られる成果が良く分かる。ImplementationはGEIT導入を成功させるための、7つのフェーズに基づくガイダンスである。
GEITの導入は事業体のカルチャーに破壊的な変革をもたらし、経営者のコミットメントと環境整備がキーとなる。GEIT導入は継続的改善の取り組みでもあり、有能なスキル・遂行能力を持つ人材が必須である。適切なプロジェクト管理に基づきGEIT構築を推進し、成果をレビューし承認する。
適正な実践手法に従い取り組むことが、GEITプロジェクトの成功の秘訣である。
http://www.isaca.org/COBIT/focus/Pages/the-importance-of-planning-a-governance-of-enterprise-it-implementation.aspx

＊＊ISACAニュースダイジェストご利用上のご注意＊＊

オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」のみの日本語化を基本としています。

主にISACA国際本部Webサイトに掲載された情報（メールマガジン等を含む）を対象にしています。

本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメントであることを示しています。

本文中に記載した各種コンテンツへのリンク（URL）については、リンク先サイトの都合等により、予告なく切れる場合があります。

（vol.27文責　木村晴雄　（東京支部））

※次回発行予定　2016/10月中旬

このサイトは、ISACA日本支部協同推進機構が運営しています。