今回は、12月16日に開催された「第20回 グリッドコード検討会」の議論内容のうち、特に資源エネルギー庁から提案された「分散型電源のサイバーセキュリティ対策の要件化」について注目し、整理しました。
再生可能エネルギーの導入が加速する中で、電力システムの安定性を守るための新たな防衛策がどのように構築されようとしているのか、その具体的な方向性が示されています。
- 1. 分散型電源のサイバーセキュリティ対策の背景と現状
- 2. 国内外の対応状況と「JC-STAR」制度の導入
- 3. サイバーセキュリティ対策要件化の対象電源
- 4. サイバーセキュリティ対策要件化の対象設備と範囲
- 5. サイバーセキュリティ対策要件化の適用開始時期
- おわりに
1. 分散型電源のサイバーセキュリティ対策の背景と現状
カーボンニュートラルの進展に伴い、太陽光発電や蓄電池などの分散型電源(DER)の活用が急速に進んでいます。しかし、これに伴い、監視装置の脆弱性が悪用され、サイバー攻撃の踏み台にされる事案が発生するなど、セキュリティリスクが顕在化しています。
現状の制度体系では、50kW以上の事業用電気工作物についてはセキュリティ確保が義務付けられています。一方で、50kW未満の小規模太陽光発電設備については、電気事業法上に特化した明確な技術基準の規定が存在しないことが、制度上の課題として指摘されています。
2. 国内外の対応状況と「JC-STAR」制度の導入
こうした状況に対し、経済産業省は2025年2月に、系統連系手続きにおいて「JC-STAR」を取得した製品の利用を要件化する方向を示しました。
諸外国でも、米国のUL2941や英国のETSI EN 303 645といった基準への準拠を求める動きが加速しています。日本では、2025年3月からIoT製品のセキュリティレベルを見える化するラベリング制度(JC-STAR)が導入されています。この制度の「★1」基準の申請受付は2025年3月25日から開始され、電力分野の重要インフラにおいて対策を講じるための合理的な手段として活用が検討されています。
3. サイバーセキュリティ対策要件化の対象電源
今回の要件化は、過去の攻撃事例や今後の導入見込みを踏まえ、分散型電源(太陽光、風力、蓄電池、燃料電池等)を対象とする基本方針が示されました。
2024年5月には、太陽光発電向けの遠隔監視機器がサイバー攻撃を受け、不正送金の踏み台に悪用される具体的な事例も報告されています。現在は設備規模によって法的な位置づけが異なりますが、今後は系統連系技術要件に基づき、規模に依らず共通のサイバーセキュリティ対策が求められることになります。
4. サイバーセキュリティ対策要件化の対象設備と範囲
発電設備を構成するシステム全体での対策を強化するため、通信機能を有する制御システム(PCS、EMS等)において、JC-STARの★1を取得した製品を用いることが要件化されます。
対象範囲は、IP通信を用いる製品(広義のPCS対象範囲)が中心となります。対象外となるルータ等のIP通信機器においても、認定製品を用いることが推奨されています。これは、製品ベースでのサプライチェーン・リスクを含めた対策であり、設置者向けの既存ガイドラインと併せて、重層的なセキュリティ確保を図る取り組みです。
5. サイバーセキュリティ対策要件化の適用開始時期
太陽光および蓄電池については、メーカーの供給体制が整う見込みを考慮し、2027年4月から系統連系技術要件の改定においてJC-STAR★1の取得を必須化する方針です。
ただし、50kW未満の低圧連系製品については、流通網における旧製品の在庫状況を鑑み、半年程度の経過措置を置いて2027年10月からの適用とすることが提案されています。風力や燃料電池等については、対応可能時期の確認を経て、今後適用時期が議論される予定です。
おわりに
今回の検討会の資料を通じて、分散型電源の拡大が、電力供給のあり方だけでなく、サイバーセキュリティという新たな領域での制度設計を不可欠にしていることを学びました。
これまでは、設置者がどのように管理するかという「運用面」の対策が中心であると理解していましたが、今後はJC-STARのようなラベリング制度を活用し、製品そのものの安全性を担保するという「製造・供給段階」からの対策が重要になることが分かりました。これは、サプライチェーン全体でセキュリティを確保するという、より広範な視点が必要であることを示しています。
カーボンニュートラルの実現に向けた技術革新は、同時に新たなリスクへの対応を求めています。電力システムの構築には、技術的な進歩とそれを支える制度的枠組みの両面を深く理解することの重要性を改めて認識し、自身の知識をアップデートするよい機会となりました。
