変更管理
Change Management
へんこうかんり
他の資格での定義
ITサービスやインフラへの変更を、リスクを最小限に抑えながら効率的に実施するプロセス。変更要求の評価・承認・実施・レビューを体系的に行い、変更に起因する障害を防止する。
ITサービスの構成やプロセスに対する変更を、リスクを最小限に抑えながら効率的に実施するためのプロセス。変更要求の受付、評価、承認、実施、レビューの各段階を管理する。
変更要求を記録・評価・承認し、リスクを最小化して計画的に変更を実施するプロセス。ソフトウェア開発では構成品目に対する変更の影響範囲を分析し管理する。ITサービスマネジメントでは変更要求(RFC)を変更諮問委員会(CAB)で審議し、サービスへの影響を制御する。
サービスコンポーネントの変更を管理するプロセス。変更要求(RFC)の記録、分類、優先度付け、承認、実施、レビューを行う。変更諮問委員会(CAB)で変更の承認を判断し、ロールバック(切り戻し)計画を含めて変更を管理する。
組織の変革を計画的に推進し、変革に対する抵抗を管理しながら新しい業務プロセスやシステムの定着を図る管理手法。J.コッターの変革の8段階プロセス(危機意識の醸成、連帯チーム構築、ビジョン策定など)が代表的なフレームワークとして知られる。
システムやソフトウェアに対する変更要求を受付、評価、承認、実施、検証する一連のプロセス。変更の影響分析を行い、CCB(変更管理委員会)で承認の可否を判断する。構成管理と連携して変更を制御する。
プロジェクトの文書、成果物、ベースラインに対する変更を特定、文書化、承認または却下、管理するプロセス。変更要求は変更管理委員会(CCB)で審議され、承認された変更のみが実施される。
ネットワーク構成の変更を計画的に実施し、変更に伴うリスクと影響を管理するプロセス。変更要求の受付、影響分析、承認、実施、事後評価の手順で行う。変更履歴の記録と切り戻し手順の準備が重要。
ITサービスやインフラストラクチャに対する変更を体系的に管理するプロセス。変更のリスクと影響を評価し、承認を得た上で計画的に実施することで、サービスへの悪影響を最小化する。
IT全般統制の一つ。プログラムの変更が適切に承認、テスト、移行されることを確保する統制。変更要求の申請・承認、テスト環境での検証、本番環境への移行手続などのプロセスを含む。
情報システムの変更を計画的かつ統制された方法で実施するための管理プロセス。変更の申請、影響分析、承認、テスト、実装、事後レビューの各段階を経て変更を管理する。
関連キーワードの用語
システムを構成するハードウェア、ソフトウェア、ネットワーク機器などの構成品目(CI)を識別・記録し、その状態を管理するプロセス。CMDB(構成管理データベース)に正確な構成情報を維持することで、脆弱性の影響範囲特定やインシデント対応を迅速に行える。
組織のネットワークやシステムを24時間365日監視し、セキュリティインシデントの検知・分析を行う専門施設・チーム。SIEM等のツールを用いてログやアラートを集約・相関分析し、インシデントの早期発見とCSIRTへのエスカレーションを担う。
ソフトウェアを構成するコンポーネント(ライブラリ、モジュールなど)の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。
ソフトウェアやOS等の脆弱性を修正するパッチの適用を管理するプロセス。パッチの情報収集、影響評価、テスト、適用、検証を計画的に行い、製品・サービスのセキュアな導入・運用を維持する。
運用中のシステムに対して、セキュリティパッチやアップデートを計画的に適用・管理するプロセス。パッチの公開情報の監視、影響範囲の評価、テスト環境での検証、本番適用、適用後の動作確認までの一連の手順を含む。緊急パッチの即時適用体制も重要となる。
システムやアプリケーションが出力する各種ログ(アクセスログ、認証ログ、イベントログ等)を収集・保管・分析するプロセス。セキュリティインシデントの検知、原因究明、フォレンジックに不可欠であり、改ざん防止やログの保存期間の設定が重要となる。