変更管理は、システム変更やリリース作業による障害・情報漏えい・設定ミスを防ぐために、変更内容を事前に確認し、承認・記録する管理策です。SG試験で迷いやすい構成管理やパッチ管理との違いを整理します。

sg sg-management service_management sg-security-management it_security_operations

まず結論

  • 変更管理とは、システムやソフトウェアの変更を、事前に確認・承認・記録し、障害やセキュリティ事故のリスクを減らす管理策です。
  • SG試験では、「変更を自由に行う」のではなく「影響を確認し、承認してから実施する」点で判断します。

直感的な説明

変更管理は、システム変更の事前確認と手順管理です。

たとえば、工場の設備を少し変更するとします。

小さな変更に見えても、周囲の機械との接続や、安全装置の動作に影響するかもしれません。

そのため、勝手に変更するのではなく、次のように確認します。

  • 何を変更するのか
  • なぜ変更するのか
  • どこに影響するのか
  • いつ実施するのか
  • 失敗したらどう戻すのか
  • 誰が承認するのか

システムでも同じです。

プログラム修正、設定変更、サーバ更新、パッチ適用などは、業務停止や情報漏えいにつながる可能性があります。

つまり、変更管理は「変更による事故を防ぐために、変更前にきちんと確認する仕組み」です。

定義・仕組み

変更管理では、システムやサービスに対する変更を、計画的に実施します。

対象になる変更には、次のようなものがあります。

  • アプリケーションの改修
  • サーバやネットワーク機器の設定変更
  • OSやソフトウェアの更新
  • パッチ適用
  • アカウントや権限設定の変更
  • 新しい機能のリリース
  • クラウド設定の変更

基本の流れは次のとおりです。

  1. 変更要求を出す
  2. 変更内容と目的を明確にする
  3. 影響範囲とリスクを評価する
  4. 実施手順と切戻し手順を準備する
  5. 承認を受ける
  6. 予定された日時に実施する
  7. 実施結果を確認する
  8. 記録を残す

変更管理で重要なのは、変更前の影響確認変更後の記録です。

変更内容が小さく見えても、他のシステムや業務に影響することがあります。

そのため、変更前に関係者で確認し、必要に応じて承認を受けてから実施します。

IPAの情報セキュリティ関連資料でも、システム運用では手順の整備、変更時の確認、記録の管理が重要な考え方として扱われます。情報セキュリティ対策全般を確認する場合は、IPAの情報セキュリティ対策が参考になります。

どんな場面で使う?

変更管理は、システムやサービスに変更を加える場面で使います。

たとえば、次のような場面です。

  • Webアプリケーションをリリースする
  • サーバの設定を変更する
  • ファイアウォールのルールを追加する
  • パッチを適用する
  • データベースの設定を変更する
  • 利用者権限を変更する
  • 委託先が管理するシステムを更新する

特に、セキュリティに関わる設定変更では注意が必要です。

たとえば、ファイアウォールの設定を誤ると、本来公開してはいけないサーバが外部から見える可能性があります。

アクセス権限を誤って変更すると、不要な人が重要情報にアクセスできる可能性があります。

そのため、変更管理では、変更前に影響を確認し、承認された手順で実施し、結果を記録します。

また、変更に失敗した場合に備えて、元に戻すための切戻し手順も重要です。

SG試験では、変更管理を単なるリリース作業ではなく、変更に伴うリスクを管理する仕組みとして押さえると分かりやすいです。

よくある誤解・混同

変更管理は、構成管理、パッチ管理、リリース管理、インシデント管理と混同しやすいです。

混同しやすい用語 判断ポイント
変更管理 変更内容の影響を確認し、承認・実施・記録する
構成管理 システムを構成する機器・ソフトウェア・設定などを把握する
パッチ管理 修正プログラムを計画的に適用し、適用状況を管理する
リリース管理 変更した機能やソフトウェアを本番環境へ展開する流れを管理する
インシデント管理 発生した障害やセキュリティ事故へ対応する

SG試験では、次のような表現に注意します。

  • 「変更内容の影響を事前に確認する」
    → 変更管理を疑います。

  • 「変更の承認を得てから実施する」
    → 変更管理です。

  • 「機器やソフトウェアの構成を把握する」
    → 構成管理です。

  • 「修正プログラムを適用する」
    → パッチ管理です。

  • 「発生した障害やインシデントへ対応する」
    → インシデント管理です。

よくあるひっかけは、パッチ管理と変更管理を完全に別物として覚えてしまうことです。

パッチ適用は、変更の一種です。

そのため、重要なシステムにパッチを適用するときは、パッチ管理だけでなく変更管理の考え方も必要です。

たとえば、対象確認、影響評価、検証、承認、適用、記録という流れで管理します。

また、構成管理は「今どうなっているか」を把握する管理です。

変更管理は「これから何を変えるか」を安全に管理する活動です。

この違いを押さえると、選択肢を切りやすくなります。

まとめ(試験直前用)

  • 変更管理は、システム変更を事前確認・承認・記録する管理策です。
  • 目的は、変更による障害、設定ミス、情報漏えいなどのリスクを減らすことです。
  • 変更前には、影響範囲、リスク、実施手順、切戻し手順を確認します。
  • 構成管理は「現在の構成を把握する」、変更管理は「変更を安全に進める」と切り分けます。
  • SG試験では、影響確認・承認・実施・記録の流れで判断します。

確認問題

変更管理の説明として、最も適切なものはどれか。

ア. システム変更の内容や影響を事前に確認し、承認を得てから実施し、結果を記録する管理策である。
イ. ソフトウェアに含まれる外部ライブラリやパッケージの一覧を作成し、構成部品を見える化する活動である。
ウ. 実行中のWebアプリケーションに外部からアクセスし、応答や挙動を確認して脆弱性を検査する手法である。
エ. 発生したセキュリティ事故を検知し、封じ込め、調査、復旧を行う対応プロセスである。

回答と解説を表示 正解は **ア** です。 変更管理は、システム変更による障害やセキュリティリスクを減らすために、変更内容、影響範囲、実施手順、切戻し手順などを確認し、承認を得てから実施・記録する管理策です。 イはSBOMや構成管理に近い説明です。 ウはDAST、エはインシデント管理に近い説明です。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る