ISACAニュースダイジェスト(日本語版)

Vol.47   2018/05/19


発行:ISACA日本支部協同推進機構  
英語情報ナレッジ活用専門委員会      


ISACAニュースダイジェストについて

 ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。


【ISACAからのお知らせ】

<<2018年の資格試験について>>

2018年試験期間2(受験期間は2018年6月1日から9月23日)の受付が始まっています。
試験期間3(受験期間2018年10月1日から2019年1月24日)の受付は、2018年7月1日から始まる予定です。
詳細は以下の2018年度受験ガイドライン(英語)または日本の各支部の案内をご参照ください。
http://www.isaca.org/Certification/Documents/Candidates-Guide-2018_exp_Eng_1117.PDF
(ご参考)2018年試験の日本語情報(東京支部HP CISA試験情報)
http://www.isaca.gr.jp/cisa/index.html#cisa19

【教育・CPE獲得の機会】

<<Webセミナー (Webinar)>>

ISACA会員は無料でCPEが獲得できます。

・2018年6月1日(金)(日本時間 午前1:00~60分、1CPE)
「より良い攻撃対象領域管理のためのアナリティクス駆動型オートメーション」
[Analytics-Driven Automation for Better Attack Surface Management]
セキュリティオートメーションは様々なテクノロジーを含んでいます。その多くは、ファイアウォールとセキュリティポリシー管理および脆弱性/脅威管理において、その改善を促進し、攻撃対象領域が縮小することに寄与します。しかしながら、あなたがコンプライアンスやネットワーク変化と格闘しているか、または監査と報告によって負担をかけられるか、あるいは脆弱性発見と優先順位付けとに取り組むかどうかにかかわらず、どこで自動化するかを決めることはチャレンジングなことです。
※何故、アナリティクス駆動型オートメーションが、あなたの攻撃対象領域の完全なコンテキスト認識において脆弱性を分析するために必要であるのか、学ぶことができるようです。

・2018年6月13日(水)(日本時間 午前1:00~60分、1CPE)
「データ脅威モデリングを活用した継続的な保証」
[Continuous Assurance Using Data Threat Modeling]
組織にとって、唯一最も重要な考慮すべきもの、および強い傾向を及ぼすものが何なのか、ほとんどのセキュリティ、リスク、ガバナンスあるいは保証の実務家に尋ねるならば、その答えは"データ"であると話すことでしょう。プロフェッショナルは、組織を保護するために、彼らが使いこなすコントロールを継続的に査定したり、評価を行います。さらに、攻撃者の観点から見ると、データは利益に直ぐにつながることが分かります。データの「攻撃者の視点」を持つことが助けとなる一つの方法となります。その意味するところは、攻撃者がとるのと同じ方法を通じてデータを見るということです。データ脅威モデリングを活用して継続的な保証になることをもっとよく知るために、このWebinarに参加し、データのリスク評価をする時にハッカーが見るものを認識しましょう。いかにして危険なデータのリスクを最小化するのか、推奨されるベストプラクティスを参考にしましょう。

・2018年6月20日(水)(日本時間 午前1:00~60分、1CPE)
「脅威抑制とオペレーションのための、DNS、DHCPおよびIPAMのテコ入れ」
[Leveraging DNS, DHCP and IPAM for Threat Containment and Operations]
コンテキスト(制御情報の意)は王のような存在です。今日のサイバー・セキュリティプロフェッショナルは、膨大な数のアラートや、ほとんど情報を共有し得ないサイロ化されたセキュリティツールに悪戦苦闘しています。従って、脅威においてコンテキストを得て、当初から何にアドレスするかを知っていることが、たゆまぬ努力の賜物となります。すべての組織が機能する必要があり核となるネットワークサービスであるDNS、DHCP、およびIPAMは、マルウェア検出と脅威探究のためのコントロールポイントとしてのコンテキストと行為を提供します。

・2018年6月22日(金)(日本時間 午前1:00~60分、1CPE)
「スクラムを使って勝つ!」
[Using Scrum for the Win!]
スクラムは、人が最高の価値を実現する製品を創造し製造しようとする際、発生する複雑な適用上の問題に対処することを可能とするフレームワークです。このセッションでは、スクラムについて深く掘り下げます。そして、監査人が監査の中で発見すべきことの理解を助け、いくつかの適用事例を提供することでしょう。

<<Webセミナー・アーカイブ>>

過去一年分のWebinarは、アーカイブで視聴可能です。
http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx

<<グローバルで開催されるISACA主催のカンファレンス>>

・GRC (Governance, Risk and Control)カンファレンス2018 (アメリカ テネシー州ナッシュビル 2018/8/13-15 (現地日付)) (最大18CPE)
http://www.isaca.org/Education/Conferences/Pages/grc.aspx

・2018 LATIN CACS(ペルー リマ 2018/8/27-28 (現地日付))
http://www.latincacs2018.com/

・2018 OSEANIA CACS(メルボルン 2018/9/3-4 (現地日付))
https://www.oceaniacacs.com.au/

【専門領域】

<<@ISACA News Letter>>

@ISACA Volume 9    2 May 2018 の中からの紹介

・「サイバーセキュリティのレジリエンスと成熟度に照らしてリスクに気付く」
[Becoming Risk-Aware in Light of Cybersecurity Resilience and Maturity]
サイバーセキュリティは一般的には、機能的な観点から分析されて管理されるアプローチがとられる。企業は、一般に、範囲と機能のレンズを通して、そして、それらから構成する対策を拡張することによって、それらセキュリティプログラムを分析するのにかなりの時間と資源を費やす。しかし、サイバーセキュリティが一連のタスクではないので、測定範囲とユーティリティは十分ではない。
※「A RISK-AWARE PATH TO CYBERSECURITY RESILIENC AND MATURITY」というタイトルのホワイトペーパー(全16頁)が無料でダウンロードできます。ここに、上記のサイバーセキュリティにおける課題克服のための成熟度を用いた組織的、包括的、効果的な新しい思考概念とツールによる分析手法が紹介されているようです。
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/A-Risk-Aware-Path-to-Cybersecurity-Resilience-and-Maturity.aspx

<<ISACA Now Blog>>

http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。長い英文はちょっとという方、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「監査ポリシー設定のガバナンスの視点」
[A Governance Perspective of Audit Policy Settings]
※監査ポリシーの設定において、セキュリティやITのエキスパートや管理者が陥り易い過ち(罠)があるとのこと。それは、例えば早期の脅威の発見を目論んで過度な監査を行い、大量のイベントログを収集しシステム処理能力のバランスを欠いてしまうというふうに。大事なことは、理想論ではなくリスクアセスメント、すなわちガバナンスの視点(総合的な判断力)と言っているようです。

<<News Releases>>

・「ISACAの2018 Euro CACSカンファレンスが、プロフェッショナル(専門家)に対しGDPRコンプライアンスツールと変化する監査やセキュリティ風景へのナビゲートを提供します」
[ISACA's 2018 EuroCACS Conference Provides Professionals with Tools for GDPR Compliance and Navigating the Changing Audit and Security Landscape]
※一般データ保護規則(GDPR)が、2018年5月25日に発行されることに関連し、開催が迫るISACA’s 2018 Euro CACS(エディンバラ2018/5/28-30)においては、GDPRのインパクトを通した種々の洞察に加えて、関連するセキュリティ、クラウド管理、インサイダー脅威等のキートピックが紹介されるようです。

<<COBIT Focusより>>

(抄訳:稲葉裕一(東京支部 基準委員会))

・「COBIT 5 Implementaion の避けるべき7つの落とし穴」(2018年4月9日、Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP著)
COBITトレーナーとして、COBIT ユーザーがCOBIT 5の優れた実践家になるための以下の勘所(ティップス)を共有する。
1. 「ステークホルダーニーズの充足」などCOBIT 5の原則は指針であり、看過してはいけない。
2. ビジネスニーズから出発、効果とリスク・リソースのバランスをステークホルダと同意する。
3. COBIT 5はITのみのフレームワークではない。ビジネス価値に貢献すべき。
4. COBIT 5はプロセスだけではない。7つのイネーブラーの優れた実践手法を適用しよう。
5. COBIT 5の優れた実践手法は、事業体の目的に沿ってカスタマイズすべき。
6. 改善には変革が必要。組織の変革を実現しよう。
7. すべての問題を一度に解決しようとしない。手元の果実(すぐできること)から始める。
これらのティップスにより、コストや労力をセーブしCOBITの価値が組織に提供される。
http://www.isaca.org/COBIT/focus/Pages/seven-cobit-5-implementation-pitfalls-to-avoid.aspx


**ISACAニュースダイジェストご利用上のご注意**

  1. オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
  2. 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
  3. 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
  4. 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。

(Vol.47 文責 小峰英篤(福岡支部))

※次回発行予定 2018年6月中旬


このサイトは、ISACA日本支部協同推進機構が運営しています。