ITパスポート 2010年 秋期 問40
問題文
ソフトウェアベンダから提供されたセキュリティパッチの内容を確認し、自社システムに適用する場合の影響を評価した。この作業はシステムの運用管理業務のうちどれに該当するか。
選択肢
ア:インシデント管理
イ:構成管理
ウ:変更管理(正解)
エ:リリース管理
🔒 解説は解答すると表示されます
セキュリティパッチの影響評価作業はどれか【ITパスポート 解説】
問題文(要約):ソフトウェアベンダから提供されたセキュリティパッチ(ソフトウェアの脆弱性や不具合を修正するための更新プログラム)の内容を確認し、自社システムに適用する場合の影響を評価した。この作業はシステムの運用管理業務のうちどれに該当するか。
選択肢:ア: インシデント管理、イ: 構成管理、ウ: 変更管理、エ: リリース管理
正解の理由
理由をやさしく説明します。変更管理(Change Management:システムや設定を変える際に、その影響を評価し、安全に実行するための手順や承認を管理する活動)は、まさに「パッチを適用するかどうか、どのように適用するか」を決める作業に当たります。
セキュリティパッチ適用はシステムの構成や動作を変える行為です。影響評価、リスク評価、テスト計画、適用の承認やスケジュール調整、ロールバック(戻す手順)準備などが必要で、これらは変更管理の典型的な業務です。
セキュリティパッチ適用はシステムの構成や動作を変える行為です。影響評価、リスク評価、テスト計画、適用の承認やスケジュール調整、ロールバック(戻す手順)準備などが必要で、これらは変更管理の典型的な業務です。
※用語説明:セキュリティパッチは、ソフトウェアの脆弱性(security weakness:攻撃に使われる可能性のある欠点)を修正するための更新プログラムです。
解法ステップ
-
問題の焦点を確認する
- 「パッチの内容を確認し、影響を評価した」という文から「既存のシステムに対する変更の評価」と判断する。
-
各選択肢の役割を短く確認する
- インシデント管理(Incident Management):障害やセキュリティ事故が発生した際に対応する活動。
- 構成管理(Configuration Management):ハード・ソフトなどの資産(構成アイテム)を記録・管理し、関係を把握する活動。
- 変更管理(Change Management):システムや設定を変更する際に、影響評価・承認・記録などを行う活動。
- リリース管理(Release Management):ソフトウェアや機能の本番環境への配布・展開を計画・実行する活動。
-
「影響を評価する」=「変更によるリスクを検討する」→ 変更管理に該当する、と決定。
-
正答選択:ウ(変更管理)
選択肢別の誤答解説
-
ア: インシデント管理
誤り。インシデント管理は、障害発生時やセキュリティ侵害が起きたときの緊急対応(原因切り分け、復旧、再発防止)を扱います。パッチ適用は通常「計画的な変更」であり、事前の影響評価が主目的なのでインシデント管理ではありません。もちろん、緊急の脆弱性(ゼロデイ攻撃など)では迅速対応が必要ですが、それでも「適用の可否評価と手順の管理」は変更管理の領域です。 -
イ: 構成管理
誤り。構成管理は機器やソフトの一覧(インベントリ)やバージョン、構成の関係を記録・把握する作業です。パッチを適用すると構成情報が変わるため構成管理に関係しますが、「影響評価を行う」という主目的は変更管理の業務です。構成管理は変更後に記録を更新する役割を担います。 -
ウ: 変更管理
正解。説明は上記の通り。パッチ適用は「システムを変更する」ため、影響評価や承認、テスト、バックアウト(戻す手順)の準備が必要で、これが変更管理。 -
エ: リリース管理
誤り。リリース管理は新機能やバージョンを本番環境にプロモート(展開)する手順やスケジュール管理を扱います。パッチ適用の実行面(実際に配布・展開する工程)はリリース管理と関係しますが、「事前の影響評価」を主に行うのは変更管理です。言いかえれば、変更管理が承認した後にリリース管理が展開を担当する、という関係です。
よくある誤解
-
「パッチ=リリース管理」
- 誤りがち。配布・展開はリリース管理が担う面もありますが、適用の可否判断や影響評価、承認は変更管理の仕事です。順序は通常、変更管理(評価・承認)→ リリース管理(実行)です。
-
「緊急対応だからインシデント管理」
- セキュリティ上の緊急パッチでも、適用の判断と管理は変更管理の一部です。インシデント管理は問題発生後の対応で、緊急度が高くても変更管理の緊急変更プロセスを通すことが多いです。
-
「構成管理=影響評価」
- 構成管理は「何がどこにあるか」を把握することが主目的です。影響評価の情報源にはなりますが、評価そのものや承認プロセスは変更管理です。
補足コラム
-
変更管理の具体的な手順(一般例)
- 変更提案(RFC: Request For Change)を作成する。
- 影響範囲、リスク、代替案、テスト計画、ロールバック手順、実施時間を評価する。
- 承認者(CAB: Change Advisory Boardなど)が審査し承認する。
- 本番環境での実施(多くの場合リリース管理が実行)と検証。
- 構成管理データベース(CMDB:Configuration Management Database)を更新し、記録を残す。
-
用語メモ
- CAB(Change Advisory Board):変更承認会議。複数の関係者で変更を審査します。
- ロールバック(Rollback):問題発生時に元の状態に戻す手順。
-
身近な例え:オフィスのレイアウト変更
机の配置を変えると業務の流れや電源コンセントの位置に影響します。事前に誰がどの席か、必要な配線、影響を評価し、了承を得て、作業予定を決め、問題があれば元に戻す手順を用意する――これが変更管理の考え方です。
FAQ
Q1. 緊急の脆弱性対応はどのように扱うべきですか?
A1. 緊急時でも可能な限り変更管理の緊急変更プロセス(事後承認を含む)を使います。迅速に適用する一方で、最低限のリスク評価、バックアップ、ロールバック手順は必須です。
A1. 緊急時でも可能な限り変更管理の緊急変更プロセス(事後承認を含む)を使います。迅速に適用する一方で、最低限のリスク評価、バックアップ、ロールバック手順は必須です。
Q2. 影響評価で見るべき主なポイントは何ですか?
A2. 影響範囲(どのサーバ・サービスに影響するか)、依存関係、ダウンタイムの有無、テストの可否、セキュリティリスク、バックアップとロールバック手順、ユーザ通知の必要性、監査・記録の方法、などです。
A2. 影響範囲(どのサーバ・サービスに影響するか)、依存関係、ダウンタイムの有無、テストの可否、セキュリティリスク、バックアップとロールバック手順、ユーザ通知の必要性、監査・記録の方法、などです。
Q3. パッチ適用後の記録は誰が更新するのですか?
A3. 実施側が作業ログを残し、構成管理(CMDBなど)担当が適用後のバージョン情報や日付を更新します。変更管理は承認履歴と結果の記録を保持します。
A3. 実施側が作業ログを残し、構成管理(CMDBなど)担当が適用後のバージョン情報や日付を更新します。変更管理は承認履歴と結果の記録を保持します。
関連キーワード: セキュリティパッチ、変更管理、影響評価、構成管理、リリース管理、インシデント対応、ロールバック、CAB、CMDB

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

