ウェッズ、3年計画でトヨタのセキュリティ基準準拠　「機能するCSIRT」へ外部SOC採用

　ウェッズは、サイバー攻撃への対応体制を整備するため、CSIRT（シーサート）を構築するとともにセキュリティ運用体制を強化した。2月12日、プロジェクトを支援したソフトクリエイトが明らかにした。取引先のトヨタ自動車が求めるセキュリティガイドラインへの準拠を目的として、3カ年のロードマップに沿って段階的に対策を強化。ガイドライン適合率を基準値まで引き上げるとともに、外部リソースを活用した24時間365日の監視体制を確立した。

　自動車用アルミホイールのパイオニアとして知られるウェッズは、アフターマーケットへの供給に加え、自動車メーカーへのOEM供給も行っている。同社は2021年、トヨタ自動車のセキュリティガイドライン「ATSG V8」の適用対象となったが、自社診断の結果、適合率が60％台にとどまることが判明した。専門的で難解な要求事項の理解や、社内リソースのみでの24時間監視体制の構築が困難であるといった課題に直面し、長年同社のセキュリティ対策を支援してきたソフトクリエイトと連携して体制の抜本的な見直しに着手した。

　プロジェクトでは「身の丈に合っているか」を判断基準とし、3年間で段階的に水準を引き上げるロードマップを策定した。初年度は最優先事項として、有事の組織対応を担うCSIRT体制の構築に着手。少人数の自社リソースで運用を完結させるのではなく、ソフトクリエイトのアドバイザリーサービスや監視サービス（SOC）「Security FREE」を採用し、検知や一次判断を外部に委ねることで、社内負荷を抑えつつ「機能するCSIRT」を実現した。

　2年目以降は、インフラの更改時期に合わせてデータセンターの移行やネットワーク刷新、EDRの導入などを推進した。複数のベンダーが関わる長期プロジェクトにおいて、ソフトクリエイトはプロジェクトマネージャーとして各工程を横断的にリードしたという。

　2024年3月にはガイドラインV8への対応を完了。現在は、項目数が約1.5倍に増加した次期バージョン（V9）への対応も進めており、現時点で適合率は約9割に達している。今回の取り組みにより、セキュリティ対策が「明確に説明できる状態」になったほか、副次的な効果として、場所を選ばないセキュアなテレワーク環境も整備されたとしている。

ニュースリリース