CSIRT構築・セキュリティ支援 導入事例

株式会社ウェッズ 様

“身の丈の一歩先”のセキュリティ強化を実現
CSIRT構築×3か年ロードマップによる自動車業界ガイドライン対応プロジェクト

株式会社ウェッズ 様

自動車用アルミホイールのパイオニアとして知られる株式会社ウェッズは、大手自動車メーカーグループが求めるガイドラインへの対応を機に、セキュリティ体制の抜本的な見直しに着手。ソフトクリエイトの伴走支援のもと、まずは現状の可視化と「CSIRT」体制の構築から着手。3カ年のロードマップの着実な実行によりガイドライン準拠を実現し、次期Ver.への対応も含め、継続的な改善サイクルを実行している。

課題

✔︎ 既存の対策ではガイドライン適合率が60%台にとどまり、自社想定を大きく下回っていた
✔︎ 社内リソースだけでは24時間365日の監視や有事の判断・対応が困難
✔︎ 従来のネットワーク環境では、場所を選ばない安全な働き方に対応できない

導入効果

 「身の丈の一歩先」を見据えた3カ年計画により、ガイドライン対応を完遂
 外部リソースを活用した「機能するCSIRT」の構築で、社内負荷を抑えた運用を確立
 インフラ刷新と連動し、場所を選ばないセキュアなテレワーク環境を実現

社 名
株式会社ウェッズ
所在地
東京都大田区大森北1-6-8 ウィラ大森ビル6階
創 立
1965年
職員数
連結458名/単独152名(2025年3月期)
(2025年3月31日現在)
ホームページ
https://www.weds.co.jp/

日本初のカスタムホイールブランドとして誕生し、自動車用アルミホイール・用品の開発・製造・販売を行う。「WedsSport」など多様なブランドによるモータースポーツ活動も展開し、国内外に製品を供給。人と車の未来に向けて、常に新しく価値のある商品を創造し社会に貢献するとともに、クルマ好きの夢を叶えるために、ホイールのトップメーカーとして、挑戦し続けている。

  • 星野 匡彦氏

    株式会社ウェッズ システム部
    部長
    星野 匡彦

  • 石井 彌行氏

    株式会社ウェッズ システム部
    次長
    石井 彌行

  • 齊木 一春氏

    株式会社ウェッズ システム部
    課長代理
    齊木 一春

本事例をPDFで開く

背景・課題

直面した「適合率6割」の衝撃
難解なガイドラインの読み解きからのスタート

カスタムホイール分野のパイオニアとして、アフターマーケットのみならず自動車メーカーへのOEM供給も行うウェッズ。システム部 部長の星野匡彦氏は、同社のこれまでのセキュリティ対策をこう振り返る。

星野 匡彦氏

「2017年にソフトクリエイトの提案を採用し、標的型攻撃やランサムウェアの活動を可視化する製品や、ソフトクリエイトのL2Blockerによる自動検知と遮断といった対策を導入しました。相応の対策ができている手応えがあり、運用も安定していました。」

しかし2021年、同社はトヨタ自動車が定めるセキュリティガイドライン「ATSG(All Toyota Security Guidelines)V8」の適用対象企業となり、状況は一変する。

「これまで対象外だったガイドラインが適用となり、100を超える要求事項への対応が必須となりました。これまでの対策で8〜9割はクリアできているだろうと捉えていたのですが、蓋を開けてみると適合率は60%台。グループ12社中でも低い水準にあることが判明し、強い危機感を覚えました。」(星野氏)

早急な対応が求められる中、同社をさらに悩ませたのがガイドラインの難解さだった。

「項目のリストを見ても、内容が専門的すぎて直感的に理解できない。具体的にどう解釈し、どこまで自社環境に適用対応すべきか判断がつかない、というのが正直な感想でした。」(星野氏)
 

そこで同社は、長年セキュリティ支援を受けてきたソフトクリエイトに相談。まずは難解なガイドラインを翻訳し、自社の現状と照らし合わせる作業からプロジェクトが動き出した。

「まずはソフトクリエイトの担当者と一緒に、全項目について対応の可否を精査する作業を進めました。要件を噛み砕き、現状を正しく把握するプロセスを共有できたことで、ようやくスタートラインに立つことができました。」(星野氏)

検定・選定

「身の丈の少し先」を軸に描いた3カ年計画
経営層の理解を促したロジックと伴走支援

コストやリソースを考慮すると、短期間ですべてを網羅することは非現実的。そこで同社はソフトクリエイトと共に、対応項目を「技術的対策」「体制・運用」「インフラ刷新」に分類し、3年間で段階的に水準を引き上げるロードマップを策定した。このとき判断の軸となったのが、同社が大切にしてきた「身の丈に合っているか」という視点であると、星野氏は語る。

「高機能なツールを入れても、使いこなせなければ意味がありません。今回は『身の丈』を基準にしつつ、将来を見据えて『あえて少しだけ背伸びをする』計画を立てました。製品選定においても、ソフトクリエイトの提案を鵜呑みにするのではなく、複数製品を機能・価格・自社規模への適合性で比較検討し、納得感のある選択を重ねました。」

計画を実行に移すための最大の関門、経営層による予算承認においても、ソフトクリエイトの支援が大きな役割を果たしたという。

「単に『ガイドラインだから必要です』という説明では、多額の投資に対する理解を得るのは難しい。ソフトクリエイトは、専門的な要件を経営視点の『リスク』と『投資効果』に置き換え、なぜいま、これが当社に必要なのかを説明するためのロジック作りから、協力してくれました。」(星野氏)

初年度は体制づくり、インフラは更改の時期に合わせて…といったように、年度ごとの目的と効果を明確化した説明資料を準備。

「当社の経営陣もセキュリティに対する危機意識が高く、1回の提案で3カ年計画の予算承認を得ることができました。ソフトクリエイトとの綿密な事前準備が功を奏したと、実感しています。」(星野氏)

導入プロセス

「CSIRT」の構築から始めた、段階的セキュリティ強化
ベンダー横断のPM力でプロジェクトを円滑に推進

3カ年ロードマップの初年度、同社が最優先で取り組んだのはネットワーク機器の刷新ではなく、CSIRT(シーサート)体制の構築だった。ガイドラインが求める「有事の際の組織的な対応」を実現する仕組みだが、専任者を社内に配置するフル内製型のCSIRTは、リソース的に難しい。システム部 次長の石井彌行氏は、意思決定の経緯を次のように明かす。

「正直、当初はCSIRTや外部SOCの必要性への認識もおぼろげでしたが、24時間365日の監視やアラート対応、さらにアラートを自分たちだけで深刻度を見極め、判断することは現実的ではありません。そこでソフトクリエイトのアドバイザリーサービスや監視サービス(SOC)を採用し、機能するCSIRTを目指すこととしました。」

検知や一次判断、助言をソフトクリエイトのサービスに委ねることで、同社は少人数でも「判断と実行」に集中できる体制を整備。これを起点に、2年目以降はデータセンター移行やネットワーク刷新といった大規模プロジェクトを進めていった。

齊木 一春氏

星野氏は、プロジェクトにおけるソフトクリエイトの立ち回りを、次のように評価する。

「特にネットワークやサーバー環境の刷新は、複数のベンダーが関わる長期プロジェクトでした。その中でソフトクリエイトはPM(プロジェクトマネージャー)として月1回の定例会で課題をつぶし込み、データセンターへの移設からWAF、EDRの導入まで横断的にリードしてくれました。これらはバラバラに動くと不具合が生じやすいものですが、うまく間に入ってコントロールしてくれましたので、安心して任せることができました」

CSIRT×SOC体制のインシデント対応イメージ

CSIRT×SOC体制のインシデント対応イメージ
成果

V8対応完了とセキュアなテレワーク環境の実現
「守り」に加え、「働き方」も進化

ロードマップに沿った取り組みの結果、同社は2024年3月をもってガイドラインV8への対応を完了。開始時に6割台だった達成率は基準値に到達した。最大の成果は、セキュリティ全体が「説明できる状態」になったことだと石井氏は語る。

「以前は『対策しているはず』という感覚的な把握にとどまっていましたが、現在は『この要件には、この仕組みと運用で対応している』と明確に説明できる状態になりました。また、定例会で最新の脅威情報の共有を受けられる効果も大きいです。最新の手口やリスクを社内へ展開することで、従業員のセキュリティ意識向上にも役立っています。」

石井 彌行氏

また、ソフトクリエイトの日々のサポート品質も、現場の安心感を支えている。システム部 課長代理の齊木一春氏は、窓口一本化のメリットを強調する。

「他社の場合、細かい技術的な質問をすると部署をたらい回しにされることがありますが、ソフトクリエイトは窓口の担当者がすべての質問をコントロールし、社内の専門部署と連携して的確に回答してくれます。『確認します』で放置せず、常に不安にさせない回答をくれる。このサポートの手厚さは、日々実感しているポイントです。」

さらに、インフラ刷新とセキュリティ強化をセットで行ったことで、副次的な効果も生まれた。星野氏は、こう評価する。

「データセンター移行とネットワーク刷新をあわせて行ったことで、インターネット接続さえあれば世界中どこからでも安全に業務ができる環境が整いました。セキュリティが強化されただけでなく、海外出張やテレワーク時の利便性が格段に向上した点は、現場にとっても非常に大きなメリットです」

今後・期待

変化し続けるサイバー脅威の中、
「次の判断」を支える伴走支援に期待

V8対応を通じて確立した対応は、次期ガイドライン(V9)対応にも引き継がれている。項目数は約1.5倍にさらに増加したが、現時点で適合率は約9割に到達。現在は、残る認証領域の強化を進めている。

「SSOサービスとWindows Helloなどの生体認証を連携させることで、PCにログインすれば必要なSaaSに安全かつシームレスにアクセスでき、社員の利便性も高める環境を目指しています」(齊木氏)

一連の取り組みを経て、同社のセキュリティは「点を埋める作業」から「全体像を見据えた継続的な改善」へとフェーズを移す。現在はV9対応の総仕上げを進めつつ、ゼロトラスト、AI活用などを見据えた新たな施策も視野に入れている。

最後にお三方に、ソフトクリエイトの評価および今後の期待を語っていただいた。

「ソフトクリエイトの強みは、まさに伴走型支援、我々に寄り添う姿勢にあると感じています。今後もセキュリティ領域にとどまらず、AI活用などの新しい技術分野でもぜひ提案をいただき、より密なお付き合いに期待しています。」(齊木氏)

「当社のネットワークとセキュリティを包括的に見ていただき、当社環境、課題への高い理解度で抜け漏れのない提案に感謝しています。今後もその理解の深さを頼りにしています。」(石井氏)

「セキュリティに『これで終わり』はありません。項目が増え、要求が変わっていく中で、その都度、何を優先し、どう判断するかが問われ続けます。ソフトクリエイトには引き続き、次の判断を共に考えるパートナーとしての伴走支援に期待しています。」(星野氏)

自動車

※記載内容は 2026年1月 現在のものです。
※記載された仕様は予告なく変更する場合があります。
※記載されている会社名、製品名などは一般に各社の登録商標または商標です。