ISACAニュースダイジェスト(日本語版)

Vol.51   2018/9/18


発行:ISACA日本支部協同推進機構  
英語情報ナレッジ活用専門委員会      


ISACAニュースダイジェストについて

 ISACA本部の発信する英語での情報をもっと活用しよう!との思いから、日本4支部の有志で運営しています。
原文である本部サイトの情報にもタッチし、専門的なナレッジを深めていただければ幸いです。


【ISACAからのお知らせ】

<<2018年の資格試験について>>

※ 2018年試験期間2(受験期間は2018年6月1日から9月23日)の締切り間近です。願書の締切りは2018年9月18日です。
 また、2018年試験期間3(受験期間2018年10月1日から2019年1月24日)の受付も始まっています。願書の締切りは2019年1月18日となっています。

詳細は以下の2018年度受験ガイドライン(英語)をご参照ください。こちらのページには日本語版の「2018 ISACA試験受験者情報ガイド」の掲載もあります。併せてご確認ください。
http://www.isaca.org/Certification/Pages/Candidates-Guide-for-Exams.aspx

【教育・CPE獲得の機会】

<<Webセミナー (Webinar)>>

※ISACA会員は無料でCPEが獲得できます。

・2018年9月21日(金)(日本時間午前1:00~60分、1CPE)
「データ脅威モデリングを活用した継続的な保証」
[Continuous Assurance Using Data Threat Modeling]
このWebinarでは、データ脅威モデリングを使用した継続的な保証や、データに対する攻撃者目線のリスク評価について学ぶことができる。
※6月13日のWebinarと同一の内容になります。また、後述のホワイトペーパー「データ脅威モデリングを活用した継続的な保証」も合わせてご覧ください。

・2018年10月2日(木)(日本時間午後6:00~60分、1CPE)
「機械学習の解説とSOC機能の測定方法」
[Demystifying Machine Learning and Measuring SOC Success]
このWebinarでは、機械学習に決定論モデルを組み込む必要性や、脅威や悪意のあるユーザーの振る舞いを自動化によって検出する必要性など、高度な分析機能を活用した問題解決について学ぶことができる。

・2018年10月11日(木)(日本時間午後9:00~60分、1CPE)
「フィッシング:今日から防御する方法#1脅威」
[Phishing: How to Protect from Today's #1 Threat]
このWebinarでは、フィッシング詐欺の手法と攻撃を防ぐための10の管理策について調査結果を交えて学ぶことができる。

<<Webセミナー・アーカイブ>>

アーカイブでも視聴可能です。
http://www.isaca.org/Education/Online-Learning/Pages/archived-webinars.aspx

<<グローバルで開催されるISACA主催のカンファレンス>>

・2018 ASIA PACIFIC CACS(バンコク 2018/9/20-21 (現地日付)) (最大19CPE)
https://asiacacs2018.org/

・CSX 2018 North America (ラスベガス 2018/10/15-17 (現地日付))(最大32CPE)
https://www.isaca.org/ecommerce/Pages/csx-north-america.aspx

・CSX 2018 Europe (ロンドン 2018/10/29-31 (現地日付))(最大32CPE)
https://www.isaca.org/ecommerce/Pages/csx-europe.aspx

【専門領域】

<<Featured Research>>

・「データ脅威モデリングを活用した継続的な保証
[Continuous Assurance Using Data Threat Modeling]
このホワイトペーパーでは、攻撃者視点でデータの流れを追うことで脅威をモデリングする手法について詳しく解説している。
※関連するWebinarも参照ください。

<<ISACA Now Blog>>

http://www.isaca.org/Knowledge-Center/Blog/default.aspx
※各界の専門家による短い記事がほぼ毎日更新されています。長い英文はちょっとという方、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。以下にいくつかご紹介します。

・「Robert E Stroud氏の思い出」
[Remembering Robert E Stroud]
※2018年9月3日、元ISACA国際本部会長Robert E Stroud氏が交通事故で亡くなりました。彼の人柄やCOBIT 5やCSXの開発に果たした業績を振り返っています。

・「GDPR - 組織は新しい時代にどのように順応しているか」
[GDPR - How Organizations Are Adjusting to the New Era]
施行から3か月経過した欧州のGDPR対応状況について解説している。懸念されたデータ主体からの問合せ対応によりサービス提供停止に陥った企業がなかったこと、組織の優先順位がGDPR対応から他の問題にシフトしている状況があること等を紹介している。

・「FedRAMPはクラウドセキュリティのための友人か敵か?」
[FedRAMP: Friend or Foe for Cloud Security?]
米国政府ではクラウドファースト政策を実現するため、クラウド製品とサービスの安全性評価の基準であるFedRAMPを採用している。筆者は、FedRAMPによる認定には多くの課題があるが、長期的にはリスク管理の統一された枠組みが提供され、既存のプロセスの非効率性が克服されうると述べている。

<<ISACA Newsroom>>

http://www.isaca.org/About-ISACA/Press-room/Pages/default.aspx
※ISACAからは多くの情報が全世界に発信されています。ISACA Newsroomでは各種お知らせや調査結果等を効率よく確認することができます

・「サイバーセキュリティの動静2018」
[State of CyberSecurity 2018]
企業におけるサイバー攻撃の増減、セキュリティ人材の需要状況、セキュリティ予算の増減等についての調査結果を報告している。
※ISACAメンバーを対象としたサイバーセキュリティに関するグローバル調査の結果です。part1,part2に分かれています。

<<ISACA Journal>>

Volume 5, 2018
※閲覧にはログインが必要です。

・「実務的な側面から:合併と買収、内部監査部門はデューデリジェンスに参画すべきか?」
[The Practical Aspect: Mergers and Acquisitions, Should Internal Audit Be Involved in Due Diligence?]
筆者は、内部監査人がデューデリジェンスに参加するのは一般的ではないとしながらも、リスク管理スキルを持ち、かつ組織を良く知る彼らが第三者として関わり、M&Aの4つのステップ(戦略開発・デューデリジェンス・買収後の統合・買収後の監査)を有効に進めることができるであろうと述べている。

・「デジタル変革ですか?取締役会の準備が整っていません」
[Digital Transformation? Boards Are Not Ready for It!]
筆者は、取締役会はデジタル変革の過程において重要な役割を果たす必要があるが、実際には全般的なITを監督する準備ができていない。ITには取締役会レベルの専任のIT委員会が必要であると述べている。
※日本語記事です

<<COBIT Focusより>>

(抄訳:稲葉裕一(東京支部 基準委員会))

・「知らぬギャップより馴染みのプロセス」(2018年8月20日、James Reeve, CISA, CRISC, CISM, CGEIT, COBIT 5 Foundation and Assessor著)
南アフリカの大手金融グループFirstRandでは、グループ各社への権限委譲の原則に基づくグループITガバナンスフレームワークを策定。傘下のリテール銀行FNBは自社のITエコシステムのリスクを管理するため、グループ方針に従った自社のITガバナンスフレームワークを策定し、ITガバナンス態勢整備プログラムを開始した。
最適な支援フレームワークとしてCOBIT 5を採用。F1レースにたとえ、CIOがドライバー、マネジメントチームがピットクルーに見立ててプログラムを推進した。一連のワークショップを開催し、COBIT 5プロセスの能力レベル1を目標に、ITプロセスのヒートマップを作成しギャップを特定して、改善策を実行した。知識基盤やEA基盤の確立、IT組織の統合、データ品質の向上、構成管理の強化、IT価値創出を実現する主要なCOBIT 5プロセスの整備といったインパクトのある成果を得て、目標を達成した。
http://www.isaca.org/COBIT/focus/Pages/better-the-process-you-know-than-the-gaps-you-don-t.aspx

・「COBIT 5によるITガバナンス整備のコツ」(2018年9月4日、Zachy Olo-runojowon, CISA, CGEIT, COBIT 5 Foundation, Implementation and Assessor, CSXF, PM著)
事業体ITガバナンス態勢整備の根底にあるのは、ビッグデータ、アナリティクス、セキュリティ、プライバシー、情報に基づく意思決定など、情報に関するガバナンスとマネジメントである。
まず、組織に求められる情報に関するステークホルダーニーズを特定する。次に、お金の流れを追跡して収益源を特定するように、価値創出につながる組織内の情報の流れを把握する。リスク、アーキテクチャ、インフラ等の組織基盤情報、人事関連情報、調達関連情報、ロジスティック情報などが対象になる。
さらに、情報の生産者、消費者、オーナー、ユーザーなど、ステークホルダーを特定し、各ステークホルダーの役割を明らかにする。そして、IT達成目標につながる情報の創出価値を特定する。
情報ニーズの観点からステークホルダーの期待に応えるように計画し実行することが、事業体ITガバナンス態勢(GEIT)を成功させるための強固な足がかりとなる。
http://www.isaca.org/COBIT/focus/Pages/tips-for-implementing-it-governance-with-cobit-5.aspx


**ISACAニュースダイジェストご利用上のご注意**

  1. オリジナルの英文情報/記事の全文和訳ではありません。「ヘッドライン」 のみの日本語化を基本としています。
  2. 主にISACA国際本部Webサイトに掲載された情報(メールマガジン等を含む)を対象にしています。
  3. 本文中の「※」は、当ダイジェスト編集担当者による補足情報、コメント であることを示しています。
  4. 本文中に記載した各種コンテンツへのリンク(URL)については、リンク先サイトの都合等により、予告なく切れる場合があります。

(Vol.51 文責 谷口貴之(名古屋支部))

※次回発行予定 2018年10月中旬


このサイトは、ISACA日本支部協同推進機構が運営しています。