開発チームはいる。でもFISC対応を組織横断的に進められる適任者がいない。CTOが抱え込むしかないのか？

CTOが抱えていた課題

開発エンジニアは30名以上いる。プロダクトの開発体制は充足している。

しかし、セキュリティ、コンプライアンス、クラウドアーキテクチャ設計——こうした組織横断の専門領域には、まだ手が回っていなかった。

2026年初頭、FISC安全対策基準への対応が求められた。金融機関が発行したRFPの必須要件だ。原文は700ページ超、統制・実務・設備・監査の4基準にわたる数百の対策項目。各項目について自社環境との適合性を判定し、ギャップがあれば対応方針まで示す必要がある。RFP回答の期限は5月末。3月末までに方針を確定させなければならない。

ISMSは取得済みだったが、FISC安全対策基準は個別の対策項目ごとに準拠状況を示す必要があり、ISMSの枠組みだけではカバーしきれない。金融規制、クラウドセキュリティ、組織統制が交差する領域で、CTOが他の業務を全て後回しにしてフルコミットする覚悟だった。

「西ソフトがいなければ、私がフルタイムで張り付くしかなかった」 — 執行役員CTO 門畑 顕博 様

プロジェクトを振り返るCTO門畑様

プロジェクトの成果

CTOが本来の仕事に戻れた — 門畑CTOが想定していた2〜3ヶ月のフルコミットに対し、西ソフトが分析と技術助言を一括で引き受けたことで、CTO自身の関与は週次のヒアリング対応に圧縮された。経営判断やプロダクト開発と並行して進められた。

「あとはやるだけ」の状態を1ヶ月で作った — 3月末の時点でFit/Gap分析と対応方針が確定。4月から具体的な実行フェーズに移行し、5月末のRFP回答期限に対して2ヶ月の対応期間を確保できた。

単発レポートではなく、セキュリティ管理基盤になった — 納品した成果物をUPWARD社がマスターデータベースとして拡張。ギャップ項目ごとに担当者と期限を設定し、コーポレートチームと連携して対応を進めている。

「何が足りていて、何が足りていないのかが早い段階で明確になった。あとはやるだけ、という状態を作れたのが一番の成果だと思います」 — 門畑CTO

西ソフトのアプローチ

西ソフトは、CEO/CTO西方（セキュリティ・クラウドアーキテクチャ専門、ホワイトハッカー）の知見をベースに、本プロジェクト専用の分析ハーネスを構築。700ページ超のFISC原文と複数の顧客ドキュメントを正確に処理する環境を整え、1ヶ月という短期間でFit/Gap分析の完了、対応ロードマップの策定、CSIRT組織体制の雛形設計、アーキテクチャ改善の技術助言までを一気通貫で遂行した。

分析ハーネスとクロスリファレンス

まず、FISC安全対策基準（第13版）の全文を構造化データとして整備した。4基準の各対策項目をマスターデータ化し、項目間の依存関係や参照構造を機械的に追跡できる状態にした。

この構造化データに対し、UPWARD社から受領したセキュリティホワイトペーパー、ISMS関連文書、Azure環境の構成情報をクロスリファレンスで突合。テキスト情報だけでなく、ネットワーク構成図やフローチャートなどの図面資料についてもビジュアルOCRで構造を抽出し、対策項目との対応関係を分析した。

この初期マッピングの全件に対して、CTO西方が検証・修正を行い、判定精度を担保した。

1ヶ月の進め方

UPWARD社との間では、リアルタイムのフィードバックサイクルを構築。双方が並行して作業を進め、UPWARD社側の回答を待つことなく西ソフトが仮説ベースで判定を先行記載することで、プロジェクト全体のスループットを維持した。

「こちらの確認が追いつかないところも、先に仮説を立てて進めてもらえたのは助かりました。品質も非常に良かった」 — 門畑CTO

UPWARD社のプロダクト・テクノロジー拠点「Sales AI Innovation Lab」

納品物

• FISC安全対策基準（第13版）全項目のFit/Gapレポート — 金融機関RFPへの回答にそのまま転用可能
• ギャップ項目ごとの対応ロードマップ — 優先度・担当・期限を明示
• 技術助言書 — Hub-Spoke型ネットワーク設計、CSIRT組織体制、IaCツール導入、サプライチェーン攻撃対策

UPWARD社の皆様（左から）阿知波様、CEO金木様、CTO門畑様、CPO剣持様