インシデントの原因は変更管理の不備にある：ITIL Managerの視点から（1/2 ページ）

ビジネスに影響を与えるインシデントのうち、実に90％が、情報システム部などが把握していない「勝手な変更管理」が原因だという。つまり変更管理プロセスをうまく回せば、インシデント発生を防げるということだ。

[谷誠之，ITmedia]

　社内インフラに変更は不可欠である。その変更を効果的に行うためにも、RFC（Request for Change）とCAB（変更諮問委員会）の設立をお勧めする。

　ある調査によれば、ITインフラにおけるなんらかのトラブル（ITIL的にはインシデント、以下はインシデントで統一する）の50％は、変更に起因していると言われている。また、ビジネスに直接的なインパクトを与えるインシデントに限定すると、実に90％が変更に起因しているというのだ。

　ITILの「変更管理」は、そのような変更が原因で発生するインシデントを最小限に防ぐことを目的として導入するプロセスである。が、実際にITILが提唱する変更管理プロセスをすべて導入するのは、会社の文化や人的リソースの問題もあり、なかなかうまくいかないことが多い。

　しかし、せめて上記の2つだけでも導入すれば、変更に伴うトラブルはかなり防げるようになるだろう。今回はまず、RFCの説明をする。

RFC（Request for Change）

　名前の通り、ITサービスのハードウェア、ソフトウェア、実行の手順などに変更が必要だと判断した場合に提出される「変更要求書」のことである。新しいハードウェアやソフトウェアの導入、ハードウェアの拡張、ソフトウェアの改変やパッチの適用といったニーズが発生した場合に起案されることになる。

　RFCが発生する理由は、主に次の4種類に分類される。

• 修正型：現在発生しているインシデントを発生しないようにするための変更
• 予防型：発生の可能性があるインシデントを未然に防ぐための変更
• 適応型：ビジネスの変化に伴う、ITサービスの拡張や変更
• 完全性：ITインフラの利用方法を改善し、パフォーマンスを高めたりリスクを減らしたりするための変更

　ITインフラに何らかの変更を加える際には、必ずRFCを作成し、変更マネージャの承認を得なければならないようにする。情報システム部門が知らないまま勝手に行われるITインフラの変更が、インシデントの直接的な原因になっているケースが多いからだ。ただし、軽微な変更、例えばプリンタのトナー交換やログオンパスワードの変更などは「サービス要求」といって区別し、RFCは作成しない。

　プリンタを新しく買い増したり、現在使っているプリンタが壊れたから買い換えたりといった行為は変更に当たるからRFCを作成する必要があるだろう。では、壊れたプリンタを修理するという行為は、RFCを作成する必要があるだろうか？