発行:ISACA日本支部協同推進機構
英語情報ナレッジ活用専門委員会
ISACAニュースダイジェストについて
ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。
・ISACA資格試験の受験要項が2019年6月以降変更となります。
※2019年5月24日までと異なり受験可能期間は通年で、年間を通じて受験可能となります。すでに受験申込み受付を開始しており、6月以降受験可能で、受験料支払後1年の間に受験できます。詳細は下記URLをご参照願います。
https://www.isaca.org/Certification/Documents/Exam-Candidate-Guide-Continuous-Testing.pdf
※ISACA会員は無料でCPEが獲得できます。
・2019年4月23日 (火) (日本時間4月24日 (水) 午前1:00~60分、1CPE)
「継続的な監視によるセキュリティ、プライバシー、コンプライアンスの向上」
[Improve Security, Privacy and Compliance with Continuous Oversight]
セキュリティプログラムは、プライバシーに関するコンプライアンスプログラムと連携しながら、これらの領域のデータ保護コンプライアンスが適切に満たされモニタリングされる必要がある。
・2019年4月30日 (火) (日本時間5月1日 (水) 午前1:00~60分、1CPE)
「脅威ハンティング - 実践的なデモンストレーション、パート2」
[Threat Hunting – A Practical Demonstration, Part2]
3月26日のWebinarのフォローアップとして、脅威ハンティングと、誰でも自分のハンティング・スキルを磨くことができる技術的な脅威ハンティングのオペレーションをデモにて説明する。
・2019年5月2日 (木) (日本時間5月2日 (木) 午後9:00~60分、1CPE)
「内部者による脅威の管理 - 可視性が重要な理由」
[Managing the Insider Threat—Why Visibility Is Critical]
従業員や契約社員など内部者のインシデントを防ぐため、ユーザーやデータの活動、および行動分析を可視化し、脅威とリスクのベストな管理について概説する。
http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx
※公開後 1年間は、アーカイブでも視聴可能です。
https://www.isaca.org/Education/Online-Learning/Pages/Virtual-Summits.aspx
※ISACA会員は無料でCPEが獲得できます。
・2019年6月11日 (火) (日本時間6月11日 (火) 午後11:00~4時間、4CPE)
「サイバーセキュリティの現状」
[The State of Cybersecurity]
プレゼンテーションと世界中の仲間とつながる機会を提供する半日のイベント。 サイバーセキュリティ専門家として役割を果たすために、刺激と情報を期待できる機会を提供する。
http://www.isaca.org/Education/Conferences/Pages/default.aspx
※以下にご紹介しているカンファレンスは一部です。
・North America CACS (カリフォルニア、アナハイム、2019/5/13-15 (現地日付))
https://www.isaca.org/ecommerce/Pages/North-America-CACS.aspx
・GRC Conference 2019 (米国、フロリダ 2019/8/12-14 (現地日付))
https://www.isaca.org/Education/Conferences/Pages/grc.aspx
※参加登録受付中! 6月17日(現地日付)までに申し込むと早期登録割引が適用されます。
・Oceania CACS (ニュージーランド、オークランド 2019/9/11-13 (現地日付))
https://www.oceaniacacs.co.nz/
※参加登録受付中! 5月11日までに申し込むと早期登録割引が適用されます。
http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多く、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。
・「ITコンプライアンスレポートにおける次のチャレンジ:SOC2 2017信頼(Trust)サービス規準」
[The Next Challenge in IT Compliance Reporting: SOC2 2017 Trust Services Criteria]
「受託業務のセキュリティ等に係る内部統制の保証報告書:信頼サービス規準」(SOC2 2017信頼サービス基準)の適用が開始され、2018年12月15日以降に新しい標準に従って報告書が作成される。新規準について概説する。
・「挑戦的なサイバーセキュリティスキルを展望する」
[Navigating a Challenging Cybersecurity Skills Landscape]
2019年ISACAサイバーセキュリティ・レポートでは、現在のサイバーセキュリティ要員の見通しについて、次のような課題点がアンケートで寄せられている。
ここでは、サイバーセキュリティ人材の育成及び確保の可能性について考察する。
Volume 2, 2019
※閲覧にはログインが必要です。
・「監査にAIを使用した場合の生産性、予期せぬ結果、および機会」
[Productivity, Unexpected Outcomes and Opportunity When Using AI in Audits]
会計監査におけるAIの利用により、在庫の確認作業を効率化できた用例などを元に、生産性の向上や当初期待していなかった結果を得ることができた事例を紹介する。
・「紫色のリスを探すのをやめる:今日のサイバーセキュリティ人材の採用は何が間違っているのか」
[Stop Looking for the Purple Squirrel: What’s Wrong With Today’s Cybersecurity Hiring Practices]
「紫色のリス」とは採用条件にピッタリの応募者のことだが、人材採用における多くの間違った事例に基づき、どうすべきなのかを考察する。
(抄訳:稲葉裕一(東京支部 基準委員会))
・「ITガバナンス101:誰にでもわかるITガバナンス、パート2」(2019年4月1日、Paul Wilkinson著)
パート1での「ビジネスとITがお互いに相手からの価値創出を待っている状態を打破するには、誰がリーダーシップをとるべきか」との問いに対し、「IT部門のビジネス関係マネージャー(BRM)が両者の結婚カウンセラーとなる」が本パート2の答えである。
COBITはビジネスとIT間の翻訳機でありエンゲージメントモデルである。達成目標カスケードに従い、ビジネスニーズに基づく戦略的ビジネス目標をITが支援し実現する。事業体I&Tガバナンスとは価値創出=効果の実現(成果)、リスク最適化(適合性)、資源の最適化(効果とリスクのバランス)である。意思決定権限の設定とITを活用して望ましい行動を奨励するフレームワークでもある。
ガバナンスプロセス「効果実現の確保」に従い、効果的な価値管理手法によってIT投資から最適な価値を創出すべきであり、BRMと価値管理をパーフェクトフィットさせる。
http://www.isaca.org/COBIT/focus/Pages/it-governance-101-it-governance-for-dummies-part-2.aspx
・「COBIT 2019における目標能力レベルの定義:精緻化の提案」(2019年3月18日、Joao Souza Neto, Ph.D., CRISC, CGEIT, COBIT Certified Assessor, Rafael Almeida, and Miguel Mira da Silva, Ph.D.著)
COBIT 2019デザインガイドは、I&Tガバナンス態勢の強固でロジカルかつ定量的なプロセスを示し、デザインファクター等の概念によりプロセスを柔軟にカスタマイズするガイダンスを提供する。
4つの主要デザインファクターで重要プロセスの初期範囲を決め、7つの残りのデザインファクターで精緻化する。各プロセスについて、ツールキットで計算されるスコア75以上は能力レベル4、スコア50以上はレベル3、25以上はレベル2、その他はレベル1を目標とする。
本稿で提案するのは、プロセス内のすべてのアクティビティが同等に重要というわけではないとの観点から、能力レベルを2から順番に5まで段階的な目標レベルを設定することである。すなわち、そのレベルを構成するアクティビティの評価値がF(完全)かL(概ね)であれば、より上位レベルの目標設定に移り、N(なし)かP(部分的)の場合はそこで目標設定を終了する。さらに、プロセス間の依存関係を考慮して、より高い能力レベル目標にすべきプロセスを明確化する。
http://www.isaca.org/COBIT/focus/Pages/defining-target-capability-levels-in-cobit-2019-a-proposal-for-refinement.aspx
**ISACAニュースダイジェストご利用上のご注意**
( Vol.58 文責 赤塚 正幸(東京支部))
※次回発行予定 2019年5月中旬