ISACAニュースダイジェスト(日本語版)

Vol.52   2018/10/14


発行:ISACA日本支部協同推進機構  
英語情報ナレッジ活用専門委員会      


ISACAニュースダイジェストについて

 ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。


【ISACAからのお知らせ】

<<2018年の資格試験について(CISA、CRISC、CISM、CGEIT)>>

※2018年試験期間3(受験期間2018年10月1日から2019年1月24日)の受付が始まっています。願書の締切りは2019年1月18日となっています。
詳細は以下の2018年度受験ガイドライン(英語)をご参照ください。こちらのページには日本語版の「2018 ISACA試験受験者情報ガイド」の掲載もあります。併せてご確認ください。
http://www.isaca.org/Certification/Pages/Candidates-Guide-for-Exams.aspx

【教育・CPE獲得の機会】

<<Webセミナー (Webinar)>>

※ISACA会員は無料でCPEが獲得できます。

・2018年10月24日(水)(日本時間午後10:00~60分、1CPE)
「VRM(ベンダー関係管理)と組織耐性との整合:コネクテッドワールドにおいてベンダーとの依存関係をどう解決していくか」
[Aligning VRM with Organisational Resilience: How to Solve Dependency of Vendors in the Connected World]
このWebinarでは、ベンダーとの信頼関係を築くベンダーリスク戦略を確実にするための重要なステップについて学ぶことができ、さらには、ベンダーとの信頼関係を前提とした、重要なビジネスプロセスや、ひいては企業ブランドを守るための強固で堅牢な運用上の弾力性の獲得に役立てることができる。

・2018年10月25日(木)(日本時間午後8:00~60分、1CPE)
「GDPRプログラムの効率的かつ継続的な保証」
[Delivering Efficient On-Going Assurance of Your GDPR Program]
このWebinarでは、継続的な保証をしながら、DPO(データ保護オフィサー)や経営幹部を支援する、効果的かつ効率的なGDPR監査の方法について議論する。

・2018年11月1日(木)(日本時間11月2日午前1:00~60分、1CPE)
「機械学習:監査保証専門家が知っておくべきこと」
[Machine Learning: What Assurance Professionals Need to Know]
このWebinarでは、監査保証専門家が知っておくべき機械学習の技術、および、その実装と固有リスクの保証方法について議論する。

・2018年11月6日(火)(日本時間11月7日午前2:00~60分、1CPE)
「企業におけるセキュリティ疲労への対処方法」
[How to Fight Security Fatigue in Your Enterprise]
このWebinarでは、セキュリティ疲労、その症状、症状を排除する必要性、ステークホルダーと協力する方法について議論する。

・2018年11月13日(火)(日本時間11月14日午前2:00~60分、1CPE)
「脅威のランドスケープを理解すること」
[Understanding the Threat Landscape]
このWebinarでは、脅威とは何か、誰が脅威か、どんな新たな懸念が生じているのか、どんな準備が必要か、脅威の全体像について議論する。

<<Webセミナー・アーカイブ>>

http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx
※アーカイブでも視聴可能です。

<<グローバルで開催されるISACA主催のカンファレンス>>

・バーチャルカンファレンス「ITセキュリティ ロードマップ 2019」
[IT Security Roadmap 2019]
2018/11/7 (日本時間 2018/11/7 22:15~2018/11/8 7:00) http://www.isaca.org/Education/Online-Learning/Pages/virtual-conference-it-security-roadmap-2019.aspx
※登録無料、旅費なしで最大5CPEが獲得可能です。

・Africa CACS (ザンビア 2018/10/22-23 (現地日付))
http://www.africacacs2018.co.zm/
※アフリカ支部は2015年から発足し、3回目のカンファレンスです。

・CSX 2018 Europe (ロンドン 2018/10/29-31 (現地日付))(最大32CPE)
https://www.isaca.org/ecommerce/Pages/csx-europe.aspx

・North America CACS (アナハイム 2019/5/13-15 (現地日付))(最大39CPE)
https://www.isaca.org/ecommerce/Pages/North-America-CACS.aspx
※早期割引11/16(現地日付)まで

【専門領域】

<<ISACA Now Blog>>

http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。長い英文はちょっとという方、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「マルウェアNotPetya感染からの重要な教訓」
[Key Takeaways from the NotPetya Malware Infection]
2017年欧州で猛威を振るった大規模ランサムウェア攻撃。海運大手のA.P. Moller-Maersk 社でのNotPetya感染の被害(注)を振り返りながら、事業を継続する上でのデータ可用性確保の重要性と、攻撃に備えて実施しておくべきこと(教訓)を紹介。
(注):サーバ1台のNotPetya感染から、数秒で全世界に数百台あったドメインコントローラーのデータが消失。100億ドル規模の損失につながったと言われている。

・「サイロを壊せ:監査人やGRC専門家がセキュリティ知識を増やさなければいけない訳」
[Breaking Down Silos: Why Auditors and GRC Professionals Need to Grow Their Infor-mation Security Knowledge]
社会からの要請をうけ、監査人やGRCの専門家が短期的な成功を収め、かつ長期的なキャリアを形成するには、情報(IT)とサイバーセキュリティに関する知識の拡大は必須。

<<ISACA Newsroom>>

http://www.isaca.org/About-ISACA/Press-room/Pages/default.aspx
※ISACAからは多くの情報が全世界に発信されています。ISACA Newsroomでは各種お知らせや調査結果等を効率よく確認することができます

・「監査人のサイバーセキュリティナレッジを醸成する新たな資格をISACAが立ち上げ」
[ISACA Introduces New Credential to Build and Recognize Auditors’ Cybersecurity Knowledge]
ISACAでは新たにサイバーセキュリティの監査認証プログラムを立ち上げ。サイバーセキュリティ監査の遂行に必要なナレッジを監査/保証の専門家に提供。受験には、自分のペースで進められるオンラインのコースか、バーチャルンストラクターによるコース、もしくはトレーニングワークショップへの参加が必要。
※詳しくは以下をご覧ください。
http://www.isaca.org/info/cybersecurity-audit/index.html

・「CertMag調査:CISAは“IT関連給与の上位層の常連”」
[CertMag: CISA “reliably stakes out a position in the upper echelons of IT salary”]
CertMagの調査では、CISA保有者の米国平均年俸は135,160$(1487万円(1ドル=110円で計算))、米国以外でも平均年俸は84,650$(931万円)で給与ランキングが高く、資格保有者の給与水準への満足度も比較的高い傾向であると報告。
※“IN THE NEWS”からリンクが張られている“CERTIFICATION MAGAGINE”のコンテンツです。資格を取得すれば年俸が上がるかどうかは不明ですが、CISA保有者は年俸が高い傾向にあります。残念ながら26ヵ国の調査回答者に日本在住の方は含まれていません。

<<ISACA Journal>>

Volume 5, 2018
※閲覧にはログインが必要です。

・「都市の革新に対して広範に資するCOBIT 5の活用」
[Using COBIT 5 to Get and Give Board Support for Revolutionizing Cities]
サステナブルなスマートシティ(SSC)に向けたIT関連のCOBIT 5のゴールと評価指標のカスタマイズについて考察。ITU(国際電気通信連合)のスマートシティ関連の評価指標やOECDからの指標などと組み合わせたサンプルを提案している。

・「IS監査の基礎:IoTの監査」
[IS Auditing Basics: Auditing the IoT]
IoTは大きなビジネス価値をもたらすと予想されているが、残念なことに保証を含め望まれるコントロールが追い付かないまま発達してきている。本稿では、一般的な監査モデルを適用し、OWASPなど利用可能なドキュメントから適用可能なコントロールを選定することを勧めるなど、IoT監査を実施する際のヒントが記載されている。

<<COBIT Focusより>>

(抄訳:稲葉裕一(東京支部 基準委員会))

・「実践的事業体ITガバナンスフレームワーク、パート4:作業成果物の概要設計」
(2018年9月17日、Peter C. Tessin, CISA, CRISC, CISM, CGEIT著)

作業成果物やプロジェクト計画に細心の注意なしには事業体ITガバナンスの取り組みは完遂できない。本記事は、GEITフレームワークの実践的適用に注目するシリーズのパート4である。
APO13セキュリティの管理では、3つの実践手法により6つの作業成果物が定義され、これらの作成や実行責任の割り当てを計画する。
ISMSポリシー、スコープ定義書、情報セキュリティリスク対応計画、ビジネスケース、ISMS監査報告書、ISMS改善提案書の6つの作業成果物を適切に整備することにより、ISMSの準備は完了する。このような作成プロセスによって、セキュリティ管理プロセスおよびその関連プロセスの作業成果物とビジネス達成目標とを、確実に整合させることができる。
次回は、APO13セキュリティの管理に必要なコンポーネントとして、業務遂行の基礎となる、測定指標の設定と成果報告について論ずる。
http://www.isaca.org/COBIT/focus/Pages/geit-framework-at-work-part-4-outlining-the-work-products.aspx

・「実践的事業体ITガバナンスフレームワーク、パート5:結果の確認」
(2018年10月2日、Peter C. Tessin, CISA, CRISC, CISM, CGEIT著)

シリーズパート5のこの時点で、プロセスは完全に整備され日常業務として遂行されている。最終ステップとして、プロセス達成目標が指標に基づき効果的に実現されていることを確認する。
APO13セキュリティ管理では、3つのプロセス達成目標が複数定義されている測定指標と共に定義されている。これらの指標について目標値と実際の値を比較する。この確認はプロセス達成目標の存在とその運用の有効性をテストすることによる行われる。確認は通常PMOが行うが、適切な資格や経験を持つ内部監査人により行うこともある。プロセス達成目標のアセスメントは全社的に行う。必要な証拠が収集され、包括的な視点から監査意見を述べる。
次回は、運用プラクティスの証拠収集やガバナンス態勢の成果の測定、潜在的な改善領域の特定について議論する。
http://www.isaca.org/COBIT/focus/Pages/geit-framework-at-work-part-5-confirming-the-results.aspx


**ISACAニュースダイジェストご利用上のご注意**

  1. オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
  2. 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
  3. 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
  4. 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。

( Vol.52 文責 萩野美穂(東京支部))

※次回発行予定 2018年11月中旬


このサイトは、ISACA日本支部協同推進機構が運営しています。