R01 SM PM2-1 環境変化に応じた変更プロセスについて

設問ア
1.携わったITサービスの概要について
　Z社は、自社開発のセキュリティ機器を販売する、全国20カ所に拠点を置く通信事業者である。Z社では、営業部に2000人在籍し、技術部に200人が在席している。
　Z社では、自社開発のグループウェア「R」を利用している。この「R」にはメールの機能があり、顧客やサプライヤといった社外の関係者には、主に「R」のメールがコミュニケーションツールとなっている。
2.既存の変更プロセスに影響を与えた環境変化の内容について
　先日、他社において、情報漏洩の情報セキュリティインシデントが発生した。それは、Eメールの添付ファイルに暗号化されたマルウェアを潜ませ、暗号化によりマルウェアのチェックを回避する手口が利用されたものであった。
　被害企業が大企業であったことから、この情報セキュリティインシデント（以下、今回インシデントという）は全国的に報道された。
　今回インシデントを機に、全国的にEメールの添付ファイルに対する運用が変更が図られることとなった。具体的には、従来の方式である、メールにファイルを添付し、機密性保持の為に暗号化を施す方式（以下、暗号化方式という）から、ファイルとメールを分離し、クラウド上のダウンロードサイトへファイルを格納し、受信者にはファイルダウンロード用のURLとダウンロード用のワンタイムパスワードを送信し機密性を保持する方式（以下、ダウンロード方式という）である。
　Z社では、「R」メール機能が暗号方式を利用していたが、添付可能な容量の問題もあり、ダウンロード方式へ変更することが検討されていた。
　しかし、今回インシデントを機に、緊急でこの「R」メール機能を変更することとなった。
722-1522

設問イ
1.影響を受けた変更プロセスの概要
　Z社では、ITサービスの変更及び、展開に関してその影響を十分に検討する必要があるとして、以下のような変更管理プロセスを実施している。
　①変更が必要な事象が発生した場合、変更の内容や理由などを記載した変更要求(以下、RFCという)を提起する。
　②RFCを変更管理マネージャが受付ける。変更管理マネージャが社内の利害関係者を選定し、変更諮問委員会（以下、CABという）を組織する。
　③変更管理マネージャが議長となり、CABの構成メンバ（以下、CAB要員という）から、変更に関するリスクアセスメントを受け、変更計画について助言する。
　私は、Z社技術部に所属するITサービスマネージャとして、「R」メール機能の変更の変更管理マネージャとして選定された。
2.変更プロセスに生じた問題点とその理由について
　私が、「R」メール機能の変更のRFCを受諾し、CABを組織した際、以下の問題点が生じた。
2.1　緊急開催手順の問題
　今回の変更は、緊急性を要する。しかし、Z社の上記変更管理プロセスでは週次で開催する定期的なCABの会議しか存在しない。この為、今回の変更のような場合、臨時で不定期な開催を要する際に対応ができない。　　
2.2　CABの会議開催時間の確保の問題
　全社的な規模で対応が必要である。この為、CAB要員は、全社から要員を手配する必要がある。この為、CABの会議の時間を指定する際に、調整が必要となる。また、他部署に渡る要員の招集の為、緊急で出席ができない場合もある。
3.改善に向けた施策及び施策の期待効果について
　私は、今回変更する「R」メール機能の変更は、緊急かつCAB要員により十分なリスクアセスメントを受けるべきだと考え、上記の問題点に対し、以下の改善に向けた施策を検討した。
3.1　緊急開催手順の問題の改善
　私は、定期開催以外にも、今回の変更のような緊急時の非定期的なCABの開催を、具体的には最短で招集から二日で開催できるように検討した。これにより、今回のように今後も緊急を要する場合に、CABの開催及び変更管理に対して柔軟な対応が期待できる。
3.2　CABの開催時間の確保の問題
　私は、CABの開催時間の確保について、スケジュール調整に難航する場合には、RFCについての意見を事前に検討し、その結果をCABに提出することを検討した。これにより、スケジュール調整について難航する場合もスムーズな開催が期待される。またCAB要員が不在時でもRFCについてのリスクアセスメントを受けることが可能と期待される。
1806-2406

設問ウ
1.実施結果について
　今回インシデントを受けた「R」のメール機能の変更についての変更プロセスは、上記の改善策を施し、迅速な変更の実施がなされた。また、十分なリスクアセスメントの結果、その後の展開プロセスにおいても、スムーズな全社展開が実施され、Rのメール機能の変更は問題なく完了した。
2.施策の評価について
　私は、設問イで述べた施策について、レビューを実施し、以下の評価を確認した。
2.1　俊敏な対応について
　緊急開催の手順を追加し、CABの開催が俊敏な対応が可能となったことは、一定の高い評価を得た。これは、今回インシデント対応のように、俊敏な対応が必要とされる環境変化、特に情報セキュリティインシデントに対して有効である、とのことであった。
　また、CABの開催について、従来であれば会議開催のスケジュール調整に難航することが多々あり、これにより遅滞することもあったため、俊敏な対応に寄与することと評された。
2.2　品質の確保について
　品質の確保については、緊急開催の手順により、CABのリスクアセスメントの品質が損なわれることが予想されたが、RFCについての意見を事前に検討し、その結果をCABに提出することで、十分な検討が可能となる為、補完的なコントロールがなされていると評価された。
　上記から、私は設問イで述べた施策において変更要求に対し、俊敏な対応と品質の確保の二点が両立させることが可能であったと考えた。