より深く考えてみると、この設定は編集ウィンドウでは「不安全」であり、またすべての管理者が Rails コンソールにアクセスできるわけではない(ホスト型サイトなどを想定)ため、sudo による高摩擦な UI 方式が妥当かもしれません。
例えば、管理者が新しいメールアドレスの保存を試みると、モーダルダイアログが表示され、操作を確認するために自身のパスワードを再入力することを強制する(または有効化されている場合は 2 段階認証のチャレンジを行う)といった仕組みはいかがでしょうか。言うまでもなく、この操作はスタッフログに詳細に記録される必要があります。 legitimate なユーザーがアカウント乗っ取りを報告する機会を与えるため、何らかの形で必須のユーザー検証が必要だと考えられます。また、変更を承認する通知を新しいメールアドレスにも送信すべきでしょうか?