ISO37001:2022

 

ISO 27001:2022 ISMS 実装ハンズオン演習

ISO 27001:2022 の発行は、情報セキュリティにおける基本的な真実を改めて示しました。すなわち、コンプライアンスは文書化だけではなく、リスクを軸にした「生きた」情報セキュリティマネジメントシステム（ISMS）を構築することに他なりません。

多くの専門家が規格を学ぶ一方で、エンドツーエンドでの実装を体系立てて実地で経験する人は多くありません。理論的理解と実務遂行の間にあるこのギャップこそが、単なる有資格者と、実際に実装できる人材を分けることがしばしばあります。

体系的なハンズオンの ISO 27001 実装ドリルは、抽象的な要求事項を具体的なアクションに落とし込み、この課題に対処します。試験対策だけに焦点を当てるのではなく、現実的な組織シナリオに沿って、ISMS のライフサイクル全体を実務家と共に歩みます。

誰が実践的な ISO 27001 トレーニングの最大の恩恵を受けるのか？

▪️ サイバーセキュリティや GRC を志す人材

▪️ 情報セキュリティ分野へ転身するキャリアチェンジャー

▪️ 初めて ISMS を主導する情報セキュリティマネージャー

▪️ ISO 27001 に業務領域を広げる IT 監査人

▪️ 認証プロジェクトを支援するコンサルタント

▪️ 競争力あるサイバーセキュリティのポートフォリオを構築する学生

初心者にとっては、実践演習が複雑な要求事項を明確にします。経験豊富な専門家にとっては、戦略的思考やガバナンス成熟度を磨く機会となります。

現在の規制環境と脅威情勢において、組織が求めているのは、フレームワークを解釈するだけでなく、実運用に落とし込めるプロフェッショナルです。ハンズオンの ISO 27001 実装アプローチは、理論を実践的な専門性へと転換し、ポートフォリオに載せられる成果物と、現実世界の ISMS イニシアチブを主導できる自信を実務家に備えさせます。

セキュリティリスク

 

セキュリティ・リスク管理は失敗したのではありません。漂流してしまったのです。

そして、この違いは多くの人が思う以上に重要です。

現在のセキュリティ・リスク管理の姿は、単一の悪いアイデアや欠陥のある標準のせいではありません。模倣された実務、借用されたモデル、そして意図的な加害という現実にきちんと照らして検証されなかった前提が積み重なった結果です。

ほとんどのセキュリティ・リスク評価は、第一原理から設計されていません。

直近の評価を写し取り、見慣れたテンプレートを使い回し、過去に監査やガバナンスで「受け入れられた」ものを踏襲して作られています。

その行動は理解できます。結果の重大性が大きい環境では、検証をくぐり抜けたことを繰り返すほうが、それに異を唱えるよりも安全に感じられるからです。

その思わぬ帰結が「ドリフト（漂流）」です。

弱い前提は強い前提よりも速く広がります。各評価は、前回の評価が抱えていた論理、近道、盲点を受け継ぎます。やがて慣行が、誤って「正しさ」と取り違えられるのです。

安全、工学、金融とは異なり、セキュリティは成熟したセキュリティ固有のリスク教義を育てられませんでした。

その空白を、利用可能だったもので埋めたのです。一般的なリスク標準、全社的リスクモデル、そしてコンプライアンスのフレームワークで。

それらの道具が「間違い」というわけではありません。噛み合っていないのです。

それらは反復可能な事象、過去のデータ、統計的な規則性を前提に設計されています。

セキュリティ・リスクは、そのどれでもありません。

これらのモデルを調整せずに適用すると、確率は憶測になり、マトリクスは偽りの精密さを生み、コントロールは条件付きで脆いものではなく交換可能なものとして扱われてしまいます。

モデルは厳密に見えます。しかし、実際のセキュリティ条件下では静かに破綻します。

その後、監査とアシュアランスが問題を増幅します。

検証しやすいプロセスが生き残り、見た目が完璧な成果物が残り、前提に挑む実践はたとえ分析的に優れていても浸透しにくくなります。

時間の経過とともに、システムは成果の有効性ではなく、プロセスの弁護可能性に最適化されていきます。

誰も最初の問いを立てようとしませんでした。

このモデルは、意図的で適応的な人為的加害に本当に適しているのか？

途中の各ステップはもっともらしかった。しかし、その累積的な結果はそうではありませんでした。

もしあなたのセキュリティ・リスク評価が、曝露を掘り下げることよりも成果物を埋めることに重きを置いているなら、それは設計ではなくドリフトの産物かもしれません。

私たちがここに至った経緯を理解するのは、非難のためではありません。受け継いだ実務は、目的適合のモデリングと同義ではないと認識するためです。

あなたのセキュリティ・リスクのプロセスのうち、「うまく機能するから」存在している部分はどれで、「昔からそうだから」存在している部分はどれでしょうか。

追伸：セキュリティ・リスク管理の多くの改善は、新しいコントロールから始まるのではありません。より良い問いから始まります。

監査ガイドライン

 

IFS（International Featured Standards）は「優れた監査実務ガイドライン（Good Audit Practices Guideline）」の新版、Version 2（2026年2月）を発行しました。

本ガイドラインは、あらゆるIFS規格に基づくIFS監査を実施するすべてのIFS監査員を支援するものです。目的は、IFS監査の特性、IFS監査員の役割、およびIFS監査の高い品質と有効性を確保するために従うべき手順を明確に示すことです。注記：

1. 本ガイドラインは、現地監査とリモート監査のパートから成るIFSスプリット監査アプローチにも適用されます。

2. さらに詳しい情報は、該当するIFS規格の規範文書（規格本体およびドクトリン）に記載されています。

IFS認証は製品およびプロセスの認証であり、生産拠点の製造プロセス（関連する製品フローやインフラを含む）が、最終的に安全・法令順守・真正性・適合性を備えたプロセスアウトプット（製品）を生み出しているかを確認することを目的としています。IFS監査は製品およびプロセスに焦点を当て、適切に機能するプロセスを通じて、安全で合法的かつ規定された製品の処理を確実にします。

#IFS #FSSC #auditing #AGP

生成AI

 

昨年は、エージェンティックAIに関する記事をたくさん目にしました。正直なところ、今でも多くの人がその本当の意味を十分に理解していません。

だからこそ、私はメンティーたちにいつも平易な言葉で説明しています—Jamal Ahmedと一緒に行っているAIGP Masteryコースや、Data Privacy Officeでの私のコースで。

というわけで、今回も改めて取り上げます—しかも、実用的なエージェンティックAIフレームワークの初期のひとつを。

1月にはアジア発の初期フレームワークをすでに目にしました。そして今、ここにもうひとつご紹介します。

これは重要です。フレームワークが登場するのは、ある概念がただのバズワードであることをやめ、人々が実際に扱い、議論し、批評し、適用できるものへと変わるタイミングであることが多いのです。

もしエージェンティックAIがまだ抽象的すぎる、あるいは過大評価されていると感じるなら、これは目を通すのに良い資料です。議論を地に足のついたものにし、具体的に考えるための拠り所を与えてくれます。

拙著のご案内:

1. CANADA DATA PROTECTION LAW 2026版（CIPP/C学習ガイド向け）https://a.co/d/gYobVbC

2. European Data Protection Law 2026版（CIPP/E対策向け）https://a.co/d/2Zpe1Na

3. CIPP/A & CIPP/CN 学習ガイド 2024: 香港、シンガポール、インド、中国のデータプライバシー枠組み https://a.co/d/dUvKinY

4. AIGP 学習ガイド：AIガバナンス入門 https://a.co/d/dKbgT4j

5. CIPP/A 学習ガイド 2026: 香港、シンガポール、インド https://a.co/d/4rmYYHw

2月のコース割引%

1) #cippc カナダのデータプライバシー法 著者による対策 https://lnkd.in/djcdpGA7

2) #cippe 欧州データ保護法: 著者による対策 https://lnkd.in/dRxYpBPS

3) #cippa アジア（インド、シンガポール、香港）プライバシー: 著者による対策 https://lnkd.in/d4KKXxU8

4) #cippus 米国プライバシー https://lnkd.in/d3pmmQ_z

免責事項：これらの非公式学習ガイドは、私自身の分析とアプローチを示すものです。これらの書籍はIAPPと共同で作成されたものではなく、IAPPの承認、後援、資金提供、または支援を受けていません。IAPPの公式見解を代表するものでもありません。

リスクマネジメント

 

リスク・ガバナンスは、従来の直線的なリスク管理から、統合的・参加型・熟考型のプロセスへとパラダイム転換を示します。従来モデルが確率計算に焦点を当てるのに対し、リスク・ガバナンスは、公的・私的セクターにまたがる多様なアクターの協働によって、複雑性・不確実性・曖昧性を特徴とするシステミック・リスクに取り組みます。

現在の研究と実務から得られる最重要のポイントは次のとおりです。

>The Integrative Shift（統合への転換）：有効なガバナンスには、事前評価、学際的なアプレイザル、特徴付け、マネジメント、モニタリングという継続的サイクルが必要であり、分断的なアプローチからの脱却が求められます。

>システミック・リスクに対するアダプティブ・ガバナンス：気候変動やパンデミックのようなリスクを管理するには、連鎖的影響に対処するための柔軟で反復的な意思決定と制度的学習が必要です。

>多層的な連携：成功の鍵は、マクロ（グローバル／国家レベルのルール）、メゾ（セクター／都市レベルのプログラム）、ミクロ（地域社会／企業の実装）の整合を図ることにあります。

>参加の必須化：ステークホルダー・エンゲージメントは「あると良いもの」から標準機能へと移行しましたが、参加が単なる形式ではなく変革的なものとなるようにする課題は残ります。

>デジタル・トランスフォーメーション：AIやブロックチェーンを含む新たなデジタル・アーキテクチャが、リアルタイムの監督に向けてガバナンス／リスク／コンプライアンス（GRC）を統合するために、ますます活用されています。"

リスク・ガバナンス：適応的かつ統合的なフレームワーク

さらに読む・ポッドキャストインタビューを聴く・動画要約を見るはこちら -->> https://buff.ly/IHGYv1Y

「取締役会は、（存在する場合には）取締役会のリスク管理委員会の助言を受けつつ、次の仕組みを提供するリスク管理フレームワークを策定します。

・新たに顕在化しつつあるリスクを含むリスクの特定

・組織が直面するリスクの定期的な見直しと、組織のリスク登録簿の更新

・それらのリスクの重要性（マテリアリティ）の判断と、当該リスクが組織に与える影響を最小化するための計画の策定

・重大なリスクに対処するための、組織のリスク管理プロセスおよび手順の策定と更新

・組織のリスク文化が、取締役会のリスク許容度およびリスクの優先順位と整合していることのモニタリング

・組織のリスク管理プロセスおよび手順が実施され、効果的に機能している程度のモニタリング

・リスク管理を担当する組織内の人員のモニタリングおよび評価」

c

リスク委員会。（解説） リスク委員会の更新された役割：

• 経営陣のパフォーマンスを、取締役会が定めたリスク選好の範囲内で運用されているかどうかを含め、組織のリスクマネジメント・フレームワークに照らしてモニタリングする

• 不正やリスク管理の統制崩壊に関わる重大なインシデントおよび「得られた教訓」をレビューする

• 内部監査計画を承認し、リスク管理プロセスの妥当性に関する内部監査のレビュー報告を受領する

• 新たに発生または顕在化しつつあるリスクの源泉、リスク統制および緩和策に関する経営陣の報告を受領する

• リスクマネジメント・フレームワークまたはリスク選好に必要な変更を取締役会に勧告する

• 保険プログラムを監督する。

アクション：

• 更新された解説に照らしてリスク委員会の憲章を見直す

• 開示事項を見直し、必要に応じて更新する。

「リスクを認識し管理することは、取締役会および経営陣の役割において極めて重要な一部です。」 「原則7：リスクを認識し管理する：上場企業は、健全なリスク管理フレームワークを確立し、その有効性を定期的に見直すべきです。」

リスク委員会の役割は通常、次のとおりです。

• 取締役会が設定したリスク選好の範囲内で運用されているかどうかを含め、経営陣のリスク管理フレームワークに対するパフォーマンスをモニタリングすること。

• 不正行為やリスク管理統制の破綻に関わる重大なインシデントおよびそこから得られた「教訓」をレビューすること。

• 組織のリスク管理プロセスの妥当性に関する内部監査のレビューについて、その報告を受領すること。

• 新たに発生しつつある、または新興のリスク源およびそれらのリスクに対処するために経営陣が講じたリスク統制・低減策に関する経営陣からの報告を受領すること。

• 組織のリスク管理フレームワーク、または取締役会が設定したリスク選好に対して実施すべき変更に関し、取締役会へ勧告を行うこと。

• 組織の事業内容およびその事業に伴う保険付可能なリスクを踏まえつつ、組織の保険プログラムを監督すること。

オタワ市（City of Ottawa / Ville d’Ottawa）のエンタープライズ・リスク・マネジメント（ERM）フォローアップ監査は、2022年のERM監査で提示された全ての勧告が、議会向けのERM研修や全社的な不正リスク評価を含め、既に実施済みであることを確認しました。本監査は、リスクが経営層および議会の議論に一層組み込まれるなど、ERMプログラムが成熟しつつある点を強調する一方で、ガバナンスの強化、リスクアペタイトの明確化、不正リスクマネジメントの強化に向けた機会も指摘しています。

アカウンタビリティと継続的な改善の推進に尽力した、オタワ市監査官ナタリー・グージョン（Nathalie Gougeon）, CPA, CA, CIA, CRMA 氏と監査事務局に敬意を表します。

「現代的なセキュリティ・リスクマネジメントのアプローチは、リスクを『社会的構築物』として捉え、個々の認知や認知バイアス、人間の行動と組織システムの相互作用によって形作られることを認めます。

このフレームワークのアーキテクチャは、次の4つの独自の柱の上に構築されています。

* レジリエンスの九つの原則：価値創造、動的かつ適応的、人的要因など、九つの原則によりフレームワークが導かれており、セキュリティシステムを構築するための設計基準であると同時に、そのパフォーマンスを測定するためのアシュアランス原則として機能します。

* 具現化された統合：セキュリティを二次的なプロセスとして「後付け」するのではなく、組織のより広範な戦略、調達、ガバナンスの枠組みに統合され、組織の中に具現化されるよう設計します。

* 文化の不可視のドライバー：このハンドブックは、組織文化をセキュリティの基盤層として位置づけ、表層的な規則やアーティファクトよりもはるかに強く、深層の前提が行動や意思決定を不可視のかたちで駆動することを指摘します。

* アジャイル・センスメイキング：固定的で線形のモデルから脱却し、リスクマネジメントのプロセスを反復的かつ再帰的なものとし、不安定な環境における情報ギャップを埋めるために、継続的な「センスメイキング」とセキュリティ・インテリジェンスの能動的な探索を求めます。

最終的に、このフレームワークは単純なチェックリストを超え、重要性と脆弱性の分析という洗練されたサイクルへと進み、組織の最も重要な提供メカニズムの保護を優先しつつ、教訓の促進と継続的改善の文化を醸成します。」

戦略レポート：セキュリティ関連リスクマネジメントにおける統合された文化の醸成

詳細を読む、ポッドキャストインタビューを聞く、またはビデオ概要を見るにはこちら -->> https://buff.ly/2UILJVR

サイバーセキュリティ

 

セキュリティインテリジェンスサイクル：リスクデータの収集と整理。リードリスクストラテジストは、正式なインテリジェンスサイクルをリスク評価プロセスに統合し、「ノイズの多い」データや静的なデータにとらわれないようにする必要があります。この統合がなければ、組織は事後対応に終始してしまいます。インテリジェンスサイクルは、脅威アクターの意図と能力を積極的に予測することを可能にし、組織が防御的な姿勢から戦略的優位性を獲得することを可能にします。

リスク特定におけるHUMINTとOSINT

リスク特定は、その基盤となるデータの堅牢性によってのみ実現されます。私たちは、2つの主要なインテリジェンスストリームを統合する必要があります。

• ヒューマンソースインテリジェンス（HUMINT）：関係構築、インタビュー、直接観察を通じて、動機や行動に関する重要な洞察を得る。これは、セキュリティ関連リスクにおける「人的要因」を理解するために不可欠です。

• オープンソースインテリジェンス（OSINT）：公開されている情報を体系的に活用し、新たなトレンド、進化する脅威アクターの戦術、そして競争環境の変化を追跡すること。 「

セキュリティ関連リスクの管理：企業、重要インフラ、コミュニティ、商業価値から国家安全保障まで

詳細はこちら、ポッドキャストインタビューの視聴、または解説ビデオの視聴はこちら >> https://buff.ly/dncS7XK

汚職防止ガバナンス

 

OECD（経済協力開発機構）およびOCDEの本稿は、企業がリスク評価に取り組む際に、汚職防止コンプライアンス・プログラムの有効性を評価・強化するために用いている手法やツールの現状を整理し、支援することを目的としています。企業が評価に取り組む動機となる要因を示し、評価を実施するために必要なリソースと能力に言及し、さらに、経時的な進捗をモニタリングするために活用できるツールについて検討しています。OECDおよびバーゼル・ガバナンス研究所が収集したデータと机上調査に基づき、本稿は、公的部門と民間部門の双方において、強固な反汚職の規範と基準の促進に資するものです。M