発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
※ 2018年試験期間2(受験期間は2018年6月1日から9月23日)の受付が始まっています。願書の締切は2018年9月18日となっています。
また、2018年試験期間3(受験期間2018年10月1日から2019年1月24日)の受付も始まっています。
詳細は以下の2018年度受験ガイドライン(英語)をご参照ください。こちらのページには日本語版の「2018 ISACA試験受験者情報ガイド」の掲載もあります。併せてご確認ください。
http://www.isaca.org/Certification/Pages/Candidates-Guide-for-Exams.aspx
※ISACA会員は無料でCPEが獲得できます。
・2018年8月22日(水)(日本時間 午前1:00~60分、1CPE)
「ほとんどのコンピュータのセキュリティ防御において何が間違えられていて、どのように直すべきか」
[What Most Computer Security Defenses are Doing Wrong, and How to Fix It]
30年もの間セキュリティの領域でコンサルタントとして活躍し、10冊もの著作を上梓されている、Join Roger A. Grimes氏による、誤ったネットワーク防御に関する実態の直近の調査から、どのようにそれを直すべきであるかが学べます。
※過去一年分のWebinarは、アーカイブで視聴可能です。
http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx
・2018年9月18日(火)(日本時間 午後11:00~4時間、4CPE)
「クラウドセキュリティ」
[Virtual Summit – Cloud Security]
クラウド上の企業情報への脅威をどう軽減するのか。世界の情報システム、技術、ビジネスの専門家と分析していきます。3つのライブプレゼンテーションと、クラウドセキュリティの課題をテーマにしたラウンドテーブルディスカッションもお見逃しなく。
・2018 LATIN CACS(ペルー リマ 2018/8/27-28 (現地日付))
http://www.latincacs2018.com/
・2018 OSEANIA CACS(メルボルン 2018/9/3-4 (現地日付))
https://www.oceaniacacs.com.au/
・2018 ASIA PACIFIC CACS(バンコク 2018/9/20-21 (現地日付))
https://asiacacs2018.org/
@ISACA Volume 16 8 August 2018
記事の紹介
・「研修のコツ」
[Tips on Training]
ほんの少し前は、旅費を使い15分ほど研修を受講しそれを評価するように会社から頼まれました。そのプレゼンテーションはある程度のものできちんとした研修と呼べるものではなかったのですが、会社にそれを報告するとなぜ違うと思うのか不思議がられました。
こんな著者の経験から始まる本稿は、著者の研修に大切な4つの研修においての情報や知識の伝達レベル(教育、研修、意識、オリエンテーション)を紹介し、特にセキュリティの研修において4つの概念のあるべき像を提唱しています。
※セキュリティ教育という、努力を要する分野に試金石を投じる大事な肝をまとめた記事となっていると思います。是非、ご一読ください
・「アプリケーションの提供環境を監査する」
[Auditing Application Containers]
アプリケーションの仮想化はサーバ数を増やすことなく、多くのアプリケ-ションのサービスを提供することを可能にしています。さらに、物理的なストレージの容量を必要とすることなく、管理可能なアプリケーションのデータを持たすことを可能にしています。
「アプリケーション提供環境の監査/アシュアランス・プログラム」では、すべてのアプリケーションのサービス環境提供までのフェーズ(計画、開発、展開、保守や廃棄)におけるデータ・インテグリティの保全や次の項目のテストについて述べられています。
(注):「Application Container Audit/Assurance Program」は、下記URLからダウンロード(会員ログインが必要)できます。
https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Application-Container-Audit-Assurance-Program.aspx
(抄訳:稲葉裕一(東京支部 基準委員会))
・「(オーストラリア)ビクトリア州の保護的データセキュリティフレームワークとCOBIT 5」(2018年7月9日、Syed Salman, CISA著)
政府機関や民間企業などあらゆる組織で扱うデータの量はかつてないほどに増えている。データには個人情報が多く本人の同意なしには公開して欲しくないが、最近のソーシャルメディア提供者による取扱いについて大きな問題があることが明らかになり、ユーザーは強い懸念を示している。
このような問題に対し世界では多くのデータ保護規制が施行されている。サウジアラビアのサイバーセキュリティ規制、EUの一般データ保護規制(GDPR)、オーストラリアビクトリア州の保護的データセキュリティフレームワーク(VPDSF)などがある。本記事では、このVPDFSに準拠するためにCOBIT 5がいかに有効であるか、COBIT 5プロセスとVPDFSのマッピングにより示す。
ビクトリア州政府関連機関は、2018年8月末までにデータセキュリティ対応計画の提出が必要である。政府関係者は、世界標準であるCOBIT 5フレームワークを活用することにより、実践的で持続可能な組織への変革という効果を比較的楽に得ることができる。
http://www.isaca.org/COBIT/focus/Pages/the-victorian-protective-data-security-framework-and-cobit-5.aspx
・「実践的な事業体ITガバナンスフレームワーク、パート3:プロジェクト計画の策定」(2018年7月23日、Peter C. Tessin, CISA, CRISC, CISM, CGEIT著)
計画の重要性について示すことわざ「計画の失敗は失敗の計画である」の通り、明確でわかりやすく十分に定義され承認された計画なしには、プロジェクトの成功はない。本記事は、シリーズ3本目として、プロジェクトの承認要求、スコーピング、スケジュール、要件定義について述べる。
まず、プロジェクト計画書を作成する。プロジェクト名、範囲と目標、内容、前提事項、組織体制・役割と責任、プロジェクト承認を含める。さらにタスクのスケジューリング、コミュニケーション計画の策定を行う。具体的な必要タスク項目とその期限、必要リソースを含むスケジュールとコミュニケーション計画の策定内容について、本記事に例示する。
次のステップはプロジェクトの業務内容とその作業成果物、各プレーヤーの役割についてであり、次回に詳しく議論する。
http://www.isaca.org/COBIT/focus/Pages/geit-framework-at-work-part-3-creating-a-project-plan.aspx
**ISACAニュースダイジェストご利用上のご注意**
(Vol.50 文責 松本武彦(大阪支部 ))
※次回発行予定 2018年9月中旬
このサイトは、ISACA日本支部協同推進機構が運営しています。