防御と運用
変更管理
別称: チェンジコントロール
定義
IT システムへの変更を、リスクを管理しつつ追跡可能な形で提案・審査・承認・計画・実施・事後レビューする体系的なプロセス。
変更管理は、本番環境への変更——コードデプロイ、インフラ変更、構成変更、ID 変更、ネットワークルール変更——が承認・記録され、必要に応じて切り戻せる状態を保証します。標準・通常・緊急といった変更区分、承認フロー、変更諮問委員会(CAB)、コミュニケーション、実施後レビューを定義します。セキュリティ面では、説明責任を提供し、インシデント時のタイムライン整理を支援し、未レビューの変更による脆弱性混入を防ぎます。現代のチームは ITIL 流のガバナンスと、CI/CD パイプライン・IaC・自動ガードレールを組み合わせ、俊敏性と統制を両立させます。
例
- 重要トラフィックを遮断したファイアウォールルールを切り戻す緊急変更チケット。
- 低リスクな TLS 証明書の更新を自動承認する標準変更テンプレート。
関連用語
構成管理
システムやアプリケーションのあるべき状態を定義・記録・強制し、構成を既知・一貫・安全に保つための運用規律。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
Asset Management
Asset Management — definition coming soon.
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
Security Posture
Security Posture — definition coming soon.