ISACAニュースダイジェスト 最新版

【教育・CPE獲得の機会】

<<Webセミナー(Webinar)>>

https://www.isaca.org/training-and-events/online-training/webinars
※ ISACA会員は無料でCPEが獲得できます。なお、開始時間はサイトに表示されているUTC（協定世界時）あるいはホストの現地時間としていますのでご留意ください。

・2024年12月11日　16:00（UTC）～60分、1CPE
「商用ソフトウェアには何が含まれているのか？商用ソフトウェアで理解すべきリスク」
[What’s in Your Commercial Software? Understanding COTS Risks]
このウェビナーでは、商用ソフトウェアの購入や導入前に明確化すべき6つのリスク領域を探る。

• 従来のセキュリティ手法（SBOMやアンケート）が不十分な理由を知る
• ソースコードなしでソフトウェアのリスクを評価する新技術を発見する
• サプライチェーンの妥協例とその回避策を探る
• CISOがソフトウェアサプライチェーンセキュリティの脅威を効果的に管理するためのベストプラクティスを明らかにする

・2024年12月12日　16:00（UTC）～60分、1CPE
「特権アクセスについての推測による作業を排除」
[Remove the Guess Work for Privileged Access]
革新的な組織がz/OSシステムを守るためにどんな技術を活用しているかを明らかにし、特権アクセス監視の重要性を探り、外部のセキュリティマネージャー(ESM)を通じた効果的なユーザアクセス管理を学ぶ。アクセス制御の厳格なテストの必要性に加え、アクセス削除の落とし穴を明らかにする。ESMの包括的な活動記録が、コンプライアンス、調査、トラブルシューティングや履歴分析において重要で、成功する監査レビューでは、これらの要素が鍵となる。

・2025年1月22日　16:00（UTC）～60分、1CPE
「会員限定スピーカーシリーズ -自身の立場からリードしていく」
[Member-Exclusive Speaker Series—Leading From Where You Are]
競争が激しく複雑な組織の中で、強力で効果的なリーダーであり続けるために、身体、精神、感情を健全に保ちながら、自分のキャリアは自分のものだとする「フリーエージェンシー」という考え方を共有する。個人の熟達への取り組みや、雇用主から必要なものを得るための方法を共有し、これらを通じて組織を前進させ、健康で幸せ、かつ成功したリーダーになることをめざす。

【専門領域】

<<＠ISACA>>

https://www.isaca.org/resources/news-and-trends/newsletters/atisaca

・「EU AI法：概要と影響、実務家のための次のステップ」
[EU AI Act: What It Is, Who It Affects, and Next Steps for Practitioners]
企業にとりAI適用は有用性があるものの、AIのアウトプットによる損害の最終責任を誰が負うのか不透明な場合がよくある。今年初めにEUで承認されたEU AI法(2024/8/1施行)は、AI関連リスクの一部軽減に役立ち、企業による安全、倫理的かつ責任ある方法でのAI技術の活用を可能にし、AIシステムへの信頼を醸成する可能性がある。
ISACAでは、実務者がこの規制に対応できるよう新ホワイトペーパー「 Understanding the EU AI Act: Requirements and Next Steps (EU AI法概要：要求事項と次ステップ)」を発表、同法の適用範囲とリスク分類方法、同規制の要件を概説している。
また、準拠をめざす実務者向けのステップを紹介、AIプログラム開始にあたっての以下の重要な考慮事項を記載している。

• 監査とトレーサビリティの確立
• 既存のサイバーセキュリティと個人情報保護のポリシーとプログラムの適用
• AIリーダーの任命

なお、同法に概説されているリスク分類は、AI製品に関連するリスクを理解するのにも役立てることができる。
ISACAのホワイトペーパー「EU AI法概要：要求事項と次ステップ」の無料コピーは、www.isaca.org/eu-ai-act.からアクセスできる。

<<Industry News>>

https://www.isaca.org/resources/news-and-trends/industry-news
※ セキュリティ・リスク・ガバナンス・監査の専門家からの洞察、実践的なヒントを提供するコーナーです。

・「カスタマーエクスペリエンスオートメーションにおけるAIの安全性の重要性」
[The Importance of AI Safety in Customer Experience Automation]
AIが様々な分野に統合されるにつれて、AIの安全性を優先することはかつてないほど重要になっている。特に、カスタマーエクスペリエンスオートメーション(CXA)※における急速なAI技術の適用は、潜在的なリスクへの対処の必要性を浮き彫りにしている。リアルタイムに自動化されたエンゲージメントの複雑さは、AI関連のリスクを増幅させる。AIリスクが進化する状況では、開発フェーズとデプロイフェーズを通して、強力なガバナンスが緊急に必要となり、特にCXAにおいて、AI技術の責任ある倫理的な展開を確保するために、堅牢なガバナンスと監視を必要としている。今後は、政府、業界関係者、学界の協力が、AI開発における安全性と倫理的な配慮を促すベストプラクティスと基準を確立する上で重要となるが、我々が協力しあうことで、個人や社会全体の利益を守りながら、AIの変革力を活用できるようになっていく。
※筆者はカスタマーエクスペリエンスを「消費者が製品やサービスに対して持つ認識や感情」と定義し、CXAの主な用途を、パーソナライゼーション、効率性(タスクとプロセスの自動化)、一貫性(チャネル間の一貫性の確保)、予測分析、統合(様々なシステムとプラットフォームの統合)、と記載しています。

<<ISACA Now Blog>>

https://www.isaca.org/resources/news-and-trends/isaca-now-blog
※ 各界の専門家による短い記事がほぼ毎日更新されています。ホットな話題が掲載されることが多いので、興味のあるテーマを選んでチェックしてみてはいかがでしょうか。

・「地政学がサイバーセキュリティリスクに及ぼす影響：入門編」
[How Geopolitics Affects Cybersecurity Risk: A Primer]
サイバーセキュリティでは、「リスク＝可能性×影響」の公式がよく理解されているが、脅威の状況も重要である。地政学は、この概念を理解し広げるためのヒントを与えてくれる。
攻撃的サイバー作戦は地政学の一部である。地政学的な決定は、物理空間とサイバー空間の両方における脅威の状況に影響を与える。ウクライナのサイバーセキュリティの歴史を時間軸で分析すると、このことがよくわかる。
サイバー防衛の優先順位を決める一つの方法は、重要インフラを特定することである。では重要インフラとは何か。米国のサイバーセキュリティ＆インフラセキュリティ庁（CISA）は16のセクターを定義しているが、各国の重要な要素の認識の違いにより、定義は変わってくる。
規制当局側と営利団体では見えるリスク図が異なるため、リスク実務家は、サイバーセキュリティリスクに関心を持つ関係者の主な懸念を理解する必要がある。
最初の公式に立ち戻る（「リスク＝可能性×影響」）。リスクが静的なものではなく、地政学的な影響に左右されるものであるのであれば、リスクの状況が変化するたびに利害関係者を評価するにはどうすればよいか。サイバー脅威インテリジェンス（CTI）は、適切な方法論で取り組めば、これらのケースを支援する上で非常に役立つ。
定量的・定性的な分析手法や分析レンズの違いによって、リスク分析のイメージが豊かになるという背景も理解することが重要である。特に、地政学的なレンズは、攻撃者中心の視点から生じ、動機が金銭的というよりは心理的、政治的であるため、他の典型的なレンズではカバーできない高度な脅威行為者についての見解を提供してくれる。

<<ISACA Journal>>

「2024年第6号 破壊的イノベーションの予測」
[2024 Volume6 Anticipating Disruptive Innovation]

・「機会と課題を探る：生成AI導入に関するIS監査の視点」
[Exploring Opportunities and Challenges: An IS Audit Perspective on Generative AI Adoption]
さまざまな業界の組織が生成AIを導入している。認証やISサービスを提供する企業が増え、生成AIを活用してIS監査を実施するようになることが予想される。
生成AIは適切にトレーニングされればIS監査業務の完了を効果的に早めることが可能となる一方、様々な課題ももたらす。IS監査に生成AIを実装する際には、専門的な判断、監査対象者とのやり取り、AI応答の捏造や不正確さ、過度な依存に関連する懸念、サイバーセキュリティやプライバシーなどの問題に対処することが重要となる。ISの監査人は、効率性や有効性の機会に加えて、プライバシー、サイバーセキュリティ、倫理的な懸念など、生成AIに関連する潜在的なリスクに向き合うことを優先すべきである。生成AIをIS監査業務に導入する前に、徹底的な費用便益分析を行うことが重要だが、今こそ、生成AIに関連する機会を最大化し、関連するコストを最小限に抑える方法を検討する時である。リスクが制御されれば、生成AIはIS監査業界にとって強力なツールになりえる。