発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
・ISACAの50周年—あなたのこれまでの思い出と、今後の予測についてお寄せください
http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/@-isaca-volume-13-28-june-2017.aspx#6>
ISACAは2019年に50周年を迎えます。様々な思い出や成果物などを集めるために50周年特別サイトを立ち上げました。7月31日までに投稿するとISACA bookstoreで使える50ドルギフト券が抽選で当たります。詳細はISACA50のサイトまで。
https://www.isaca50.org/
・おめでとうございます!ISACA国際本部理事の新しい顔ぶれです。
https://www.facebook.com/ISACAHQ/posts/1796312687062393:0
経歴はこちら
http://www.isaca.org/ABOUT-ISACA/VOLUNTEERING/Pages/ISACA-International-Board-of-Directors.aspx?utm_campaign=ISACA+Main&cid=sm_1222190&utm_content=1498253812&utm_source=facebook&utm_medium=social&appeal=sm
※東京支部前会長の五島浩徳さんのお顔も見えます。
ISACA会員は無料でCPEが獲得できます。
・2017年7月21日(金)(日本時間午前1:00~60分、1CPE)
「GDPRへのカウントダウン:GDPRへの対応を加速させる5つの秘訣」
[Countdown to GDPR: 5 Tips to Accelerate GDPR Readiness]
来年5月に施行されるEU一般データ保護規則(GDPR)に向けての“5つの秘訣”とは。
・対象となるデータを理解する - データ棚卸の重要性
・ベースラインを作る - 30項目のチェックリスト
・データのライフサイクル - 保持/通知と同意
・第三者 - リスクの最小化
・プログラムガバナンス - 規制上の事例の文書化
・2017年7月26日(水)(日本時間午前1:00~60分、1CPE)
「パブリック・クラウドのセキュリティ推奨事項トップ10」
[Top 10 Public Cloud Security Recommendations]
このWebinarではパブリック・クラウドのセキュリティ上の懸念点、クラウドという共有基盤上での「セキュリティ責任モデル」が真に意味するもの、パブリック・クラウド上を利用する上での負荷を減じ、セキュリティを保護するために推奨することについて解説します。
・2017年7月28日(金)(日本時間午前1:00~60分、1CPE)
「ブロックチェーンの基本」
[Blockchain Basics]
ブロックチェーンとは何か?Webinarではブロックチェーンの概要、その技術的基礎、レコードの作成とブロックの形成方法を解説します。
※このWebinarのスピーカーであるRon Haleさんは ISACAの最高知識責任者(Chief Knowledge Officer)を務められた方であり、本年の白浜シンポジウムでもスピーチされました。
アーカイブでも視聴可能です。
http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx
・「“シャドウIT” および クラウド上の機密データのセキュリティ」 (2016/9/15 分)
[Securing "Shadow IT" and Sensitive Company Data in the Cloud]
※IT部門が関与せず事業部門で構築される「シャドウIT」は、ビジネス優先で構築されセキュリティ対策が十分でないケースがあり、その対処のヒントを探るためにもぜひ視聴したいテーマです。
・CSX Asia Pacific (シンガポール 2017/11/7 (現地日付)) (最大6CPE)
https://www.isaca.org/ecommerce/Pages/csx-2017-asia-pacific.aspx
サイバーセキュリティは眠ることはなく、休日も休みなしです。これら、毎日の課題を解決する最新の情報を得、この道の専門家と経験を共有しましょう。このカンファレンスはCSX プログラムをベースに作られています。
※脆弱性評価をメインテーマとした4つのテーマについて、ディスカッションを主体としたワークショップが運営されるようです。前日にはCISOフォーラムも併催されます。
http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/@-isaca-volume-13-28-june-2017.aspx
・「外部委託ITの監査」
[Auditing Outsourced IT]
企業が外部委託したITサービスを監査することを支援するため、ISACAは“Outsourced IT Audit/Assurance Program”を発行しました。会員は25ドルでダウンロードできます。
Outsourced IT Audit/Assurance Programのダウンロードは以下より。
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/outsourced-it-audit-assurance-program.aspx
http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。長い英文はちょっとという方、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下に1例をご紹介します。
・「WannaCryが分水界なら、Petya/NotPetyaは臨界点か?」
[If WannaCry Was the Watershed, Is Petya/NotPetya the Tipping Point?]
いわゆるランサムウエアが、ファイルを暗号化するのみならず、資格情報を盗もうとしていたことが明らかになりました。最新の攻撃に際し、心構えを変えざるを得ません。
※このブログの著者は6週間前にもNow BlogにWannaCryについて「このイベントはまさにWake-Upコールだ、経営幹部は保護する組織がまだ存在しているうちにきちんとした対策を講じるべきだ」と厳しく警告をしています。
6週間前のブログ「WannaCry: これはサイバーセキュリティにおける分水界か?」
https://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=801
https://www.isaca.org/Journal/archives/2017/Volume-4/Pages/default.aspx
・「ソーシャルメディアの恩恵とリスク」(会員限定)
[Social Media Rewards and Risk]
ソーシャルメディアは、ブランド価値を高めるとともに、一晩でその価値を失墜することができる性質を持つものです。利用ポリシーを定義し、問題発生時のコミュニケーションプランを整え、監視ツールを持つことがリスクの低減において重要です。
※具体的な功罪(Reward and Risk)や、リスクを避けるための具体的な対策について解説されており、活用に向けてコンパクトにまとまった良いテキストになるかもしれません。
(抄訳:稲葉裕一(東京支部 基準委員会))
・「COBIT 5 for Risk:理に適うITリスク管理」(6月12日号、Syed Salman, CISA著)
中東における大規模リテール銀行の取締役会では、ITリスク管理の強化が最優先であると意思決定し、ビッグ4のコンサル会社をITリスク管理の支援サービス会社として選択した。
銀行のリスク管理委員会とCROは、バラバラに実施されているリスク管理、統合報告の欠如、リスク文化の不在、といった課題認識のもと、すべてのITリスクを、統一的なアプローチで管理すべきと考えた。コンサル会社は、自社の固有の手法を使うと共に、COBIT 5 for Riskが非常に役に立つと考えた。記載されているリスク機能とリスク管理の2つの観点からのアプローチを考慮し、リスク管理プロセスやリスクシナリオを参考にし、7つのイネーブラーを適用することにより解決できると考えた。
このISACAの権威のあるガイダンスによって、系統だったITリスク管理が実現でき、ITリスク管理の実践者の強力な支援となる。すべてのステークホルダーの同意や受入れに繋がる。
http://www.isaca.org/COBIT/focus/Pages/cobit-5-for-risk-making-sense-of-it-risk-management.aspx
・「どのネジを締めるか?」(6月26日号、Roberto Soriano, CISA, CRISC, CISM著)
コンプライアンス、サイバーセキュリティなどの改善に広範囲に取り組む際、典型的には、各種の標準を参照し、複雑なプロセスを準備する。期間・コストがかかり、多くの専門家が必要となる。
成功させるためには、重要な価値提供プロセスを早く導入するQuick Winが必要である。
COBIT 5のマッピング表を参照してビジネス目標とIT目標、そして、ITプロセスの関係を理解する。これにより、ビジネス目標からそれを支援するIT目標、重要なITプロセスへと展開できる。
この手法により、ビジネス目標達成のために重要なプロセスを優先的に構築することができる。取締役会やステークホルダーは、達成目標が実現に向かっていることがわかり、関連組織やスポンサーとの良好な関係を維持できる。
組織はCOBIT 5を導入したいのではなく、サイバーセキュリティやコンプライアンス等のためのフレームワークを導入したいのだ。COBIT 5を使うのは、達成目標を実現したいリーダーである。
http://www.isaca.org/COBIT/focus/Pages/which-screws-have-to-tighten.aspx
**ISACAニュースダイジェストご利用上のご注意**
( Vol.37 文責 藤井 みゆき(大阪支部))
※次回発行予定 2017/8月中旬
このサイトは、ISACA日本支部協同推進機構が運営しています。