構成管理
Configuration Management
こうせいかんり
他の資格での定義
ITサービスを構成するハードウェア、ソフトウェア、ドキュメントなどの構成アイテム(CI)の情報を正確に記録・管理するプロセス。構成管理データベース(CMDB)を用いて最新の構成情報を維持する。
ITサービスを構成するハードウェア、ソフトウェア、文書などの構成品目(CI)の情報を正確に把握・管理するプロセス。構成管理データベース(CMDB)を用いて最新の構成情報を維持する。
構成品目(CI)を識別・記録・制御・追跡するプロセス。ソフトウェア開発では、ソースコードや文書などの構成品目のバージョンと変更履歴を管理する。ITサービスマネジメントでは、ITサービスを構成するハードウェア・ソフトウェア・文書などのCIを構成管理データベース(CMDB)で一元管理する。
ソフトウェア全体がどのような構成品目の組み合わせで構成されているかという構成識別体系を確立し、その管理の方法を明らかにした上で管理を行うこと。ベースラインの設定、変更管理、構成監査を含む。SBOMでソフトウェア部品表を管理する。
ソフトウェアの構成品目(ソースコード、設計書、テスト仕様書等)を識別・記録・制御し、変更を追跡するプロセス。バージョン管理、ベースライン管理、変更管理を含む。品質保証とトレーサビリティの基盤。
プロジェクトの成果物や文書のバージョン、構成を識別・記録・管理するプロセス。構成品目の識別、構成状況の記録、構成の検証と監査を含む。変更管理と連携して、成果物の一貫性と追跡可能性を確保する。
ソフトウェアやハードウェアの構成品目(バージョン、変更履歴等)を体系的に管理するプロセス。ソースコード、設計文書、テスト結果、ビルド環境などを管理対象とし、再現性の確保と変更の追跡を行う。
ITインフラストラクチャを構成するすべてのコンポーネント(CI)の情報を正確に把握・管理するプロセス。CIの識別、記録、報告、検証・監査を通じて、他のプロセスに正確な構成情報を提供する。
情報システムを構成するハードウェア、ソフトウェア、ネットワーク機器などの構成情報を正確に把握・管理するプロセス。構成管理データベース(CMDB)を活用して構成情報の一元管理を行う。
関連キーワードの用語
システムの構成や設定の変更を計画的かつ安全に実施するためのプロセス。変更要求の記録・分類、影響評価、承認、実施、レビューの手順を含む。不正な変更や設定ミスによるセキュリティリスクを低減し、変更の追跡可能性(トレーサビリティ)を確保する。
組織のネットワークやシステムを24時間365日監視し、セキュリティインシデントの検知・分析を行う専門施設・チーム。SIEM等のツールを用いてログやアラートを集約・相関分析し、インシデントの早期発見とCSIRTへのエスカレーションを担う。
ソフトウェアを構成するコンポーネント(ライブラリ、モジュールなど)の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。
ソフトウェアやOS等の脆弱性を修正するパッチの適用を管理するプロセス。パッチの情報収集、影響評価、テスト、適用、検証を計画的に行い、製品・サービスのセキュアな導入・運用を維持する。
運用中のシステムに対して、セキュリティパッチやアップデートを計画的に適用・管理するプロセス。パッチの公開情報の監視、影響範囲の評価、テスト環境での検証、本番適用、適用後の動作確認までの一連の手順を含む。緊急パッチの即時適用体制も重要となる。
システムやアプリケーションが出力する各種ログ(アクセスログ、認証ログ、イベントログ等)を収集・保管・分析するプロセス。セキュリティインシデントの検知、原因究明、フォレンジックに不可欠であり、改ざん防止やログの保存期間の設定が重要となる。