集合住宅向け電気自動車充電サービス「EVrest」とは

「EVrest」は、QRコードを汎用的な200Vコンセントに貼付しスマートフォンのアプリで読み取るという仕組みによって、費用とスペースを抑えながら課金管理を行うことができます。充電設備の費用とスペースをおさえられる分、設置の制約が少なく、ユーザーが契約している駐車スペースに専用の充電設備を設置することも容易となり、充電設備の順番待ちや移動時間のない利便性の高い充電環境の実現可能性が高まります。またこれまでスペースの制約により充電設備の設置が難しかった機械式駐車場等においても導入しやすくなります。

「EVrest」の詳細はこちら。 https://www.tg-evrest.com/

今回Flatt Securityは「EVrest」を対象に、Webアプリケーション診断とスマートフォンアプリケーション診断を実施しました。

東京ガス様がセキュリティ診断を利用した経緯と感想を船迫紀之さんと太田貴之さんに聞きました。

Webアプリケーション診断とスマートフォンアプリケーション診断の両方が「情報セキュリティサービス基準」に適合しているベンダーを探していた

――まず最初に、セキュリティ診断が必要になったきっかけとFlatt Securityを知って頂いた経緯を教えてください。

船迫紀之さん（以下、船迫さん）：今回、「EVrest」のアップデートに伴ってWebアプリケーションとスマートフォンアプリケーションの両方を診断できるベンダーを探していて御社を見つけました。また、弊社には経済産業省策定の「情報セキュリティサービス基準」（※）に適合する診断ベンダーにのみ依頼するという社内ルールが存在します。

そのため、Webアプリケーション診断とスマートフォンアプリケーション診断の両方が基準に適合しているベンダーを探していて、そこでFlatt Securityさんを知りました。

※編集注： 情報セキュリティサービス基準とは、情報セキュリティサービスに関する一定の技術要件および品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするために、経済産業省により設けられました。

情報セキュリティサービス基準リストとは、経済産業省が策定した「情報セキュリティサービス基準」に適合していることを情報処理推進機構（IPA）が確認した事業者について、適合しているサービスをリストにしたものです。

参照：https://www.ipa.go.jp/security/it-service/service_list.html

――今まで東京ガス様はどのようなセキュリティ診断を実施してきたのでしょうか。

船迫さん：「EVrest」のリリース前に別ベンダーさんにセキュリティ診断を依頼したことがあります。ですが、事前質問や検収をはじめとしたコミュニケーションがメールやエクセルベースでした。

そこで、別の手段でタイムラグの少ないコミュニケーションを取れるベンダーはいないかと考えているところでもありました。「EVrest」は東京ガスの中では比較的アジャイルな開発を行っているプロジェクトですので、スピード感は重視するポイントの一つでした。

東京ガスグループの別会社からのクチコミがあった上に、見積もり方法やスピード感も求めていたものだった

――Flatt Securityを選んでいただいた決め手を教えてください。

船迫さん：過去に御社にセキュリティ診断を依頼した株式会社スミレナ（※）の大橋さんとは同じ東京ガスグループで知り合いでしたので、Flatt Securityさんによる診断の感想を聞きました。

対応が早く、クオリティも申し分ない上に、スケジュールも柔軟に対応してくれるとのことだったので、信頼することができました。

また、APIの本数を基準にした見積り方式も良かった点です。他ベンダーではAPIの本数以外の要素でも料金が変わることもあるので、わかりやすい見積りも決め手になりました。

編集注：弊社が株式会社スミレナ様にセキュリティ診断を実施した際の事例インタビュー記事はこちら

――「情報セキュリティサービス基準」以外にもセキュリティ診断ベンダーを選ぶ社内的な基準はあるのでしょうか。

船迫さん：アップデートのリリース前診断だったのでスケジュール的に柔軟に対応してくださるベンダーさんを探していました。

スケジュールが合うかが懸念点でしたが、御社から頂いた診断スケジュールでは我々の想定より早く診断が終わるとのことで驚きました。スケジュール面で柔軟に対応していただいたのは決め手になりました。

「EVrest」のようなアジャイルな開発を行う新規事業では、Flatt Securityさんのように柔軟にスケジュール対応をしてくださるスピード感のあるベンダーさんが必要でした。

指摘事項の確認が容易なMarkdown形式の報告書に満足。柔軟なスケジュール対応や素早いコミュニケーションなどを継続してほしい

――実際にセキュリティ診断をした感想を教えてください。

太田貴之さん（以下、太田さん）：大変満足しています。

まず技術力の高さを感じました。診断項目が多い手動診断にも関わらず短期間で診断していただけたのは技術力の高さによるものだと思います。

また、コミュニケーションがとてもとりやすかったと感じました。直前まで我々が診断スケジュールを提示できなかった中で、能動的に提案してもらえたのと、想定スケジュールのカレンダーを共有していただけたのも良かった点です。

船迫さん：Slackが利用可能なのもありがたかったです。今までの他ベンダーとのメールのやりとりで不満を感じたことはないつもりでしたが、初めてSlackを使用してみると双方向的なコミュニケーションのメリットを感じました。

太田さん：報告書もとてもわかりやすかったです。指摘事項の確認手順としてコピー＆ペーストするだけで動作するcurlコマンドを記載していただけましたし、PDFだけでなくMarkdownの報告書も納品いただけたので、確認が容易で助かりました。

――今後、Flatt Securityについて期待することや要望することなどあれば教えてください。

太田さん：カレンダーの共有によるスケジュールの見える化など、細かいコミュニケーションにおける気遣いは今後も続けていただけたらと思います。

船迫さん：スケジュール面で柔軟に対応していただいたり、素早いコミュニケーションなどは今回の診断で良かった点ですので、次回以降の診断でもその点を継続していただけたらと思います。

また、開発サイクルが短期間化していく中で、脆弱性を未然に防ごうというシフトレフトの流れは進んでいると感じます。御社が提供するKENROのように、開発者のセキュリティスキルを高め、システムの構築段階で脆弱性が発生しないようにするサービスの発展を期待しています。

※「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。

https://flatt.tech/kenro