平成22年度 秋期 ITパスポート試験 問40 解説 ITサービスマネジメント（変更管理）

問題文にある「セキュリティパッチを適用する際の影響を評価する」というキーワードに着目します。システムに対して何らかの変更を加える際、そのリスクを事前に評価し、承認を得るプロセスこそが変更管理の役割です。

変更管理とは何か

ITサービスマネジメントにおける変更管理とは、ITシステムに加える変更が、既存のサービスに悪影響を及ぼさないようにコントロールする仕組みのことです。

システムは多くの機能が複雑に連携して動いています。ある一部のプログラムを修正したり、新しいパッチを当てたりすると、思わぬ箇所で不具合が発生するリスクがあります。こうしたリスクを最小限に抑えるために、「そもそもその変更は必要なのか」「適用することで他の機能に支障はないか」「万が一失敗したときに元に戻せるか」といった検討を行うのが変更管理のプロセスです。

思考のステップ

この問題を解くための考え方は以下の通りです。

1. 作業内容の特定: 問題文では「影響を評価した」という部分が重要です。これは「変更前後のリスク調査」を行っている状態を示します。
2. 他の選択肢との比較:
   • インシデント管理: 発生した障害や問合せへの対応です。パッチ適用は「障害への対処」ではなく「システム構成を変える活動」であるため除外します。
   • 構成管理: システムを構成するハードウェアやソフトウェアの情報を台帳などで把握・管理することです。変更の必要性を評価するプロセスとは異なります。
   • リリース管理: 評価され承認された変更内容を、実際に本番環境へ適用・展開する作業です。評価が終わった後の「実装フェーズ」を指すため、今回の「評価段階」とは異なります。

なぜこの知識が重要なのか

実際のシステム運用現場では、セキュリティパッチをそのまま適用してしまうと、特定の業務ソフトが動かなくなるというトラブルがしばしば発生します。そのため、企業では必ずテスト環境でパッチを適用し、業務に影響がないかを確認する「変更管理会議（CAB：変更諮問委員会など）」を開きます。

この問題の教育的意図は、単なるパッチの適用作業を「技術的な作業（リリース管理）」として捉えるだけでなく、その前段にある「組織的なリスク判断（変更管理）」の重要性を理解させることにあります。実務では、技術力だけでなく、変更によって生じるリスクを論理的に説明し、関係者の合意を取り付けるプロセスが非常に重要視されるからです。

参考リンク

• ITIL4における変更管理（変更有効化）とは？ 目的・プロセス・役割を解説
• 【実体験】セキュリティパッチを適用したらシステムがダウンした話と対策
• ITサービスマネジメントシステム（ITSMS）の定義 - JIS Q 20000-1（日本産業標準調査会）