【政策インサイト】電力分野のサイバーセキュリティ最新動向 ― DERへの要件化とサプライチェーン管理の義務化 ―
miyahara2026年2月12日開催の「第19回 産業サイバーセキュリティ研究会 電力サブワーキンググループ」で電力分野のサイバーセキュリティの新たな法制度に関して議論が行われました。
従来のサーバーセキュリティーのシステムをサプライチェーン全体で強化する動きとなっており、アグリゲーターや系統蓄電池運用事業者などは必要な対応を早急に検討する必要があります。
1.今回の議論内容
電力システムの急速な分散化とデジタル化に伴い、従来の大型発電所中心のセキュリティ対策から、アグリゲーターや系統用蓄電池、太陽光発電などの分散型電源(DER)を包括的に保護する枠組みへの転換が議論されました。主な議題は以下の3点です。
- 電力分野のサイバーセキュリティ対策の近況について
- サプライチェーン・リスクへの対応とリスク点検ツールの活用について
- 分散型電源(DER)のサイバーセキュリティ対策について
2.議論となる背景
脱炭素化の流れを受け、再エネ主力電源化が進む中で、数万〜数十万規模のデバイスがネットワークを介して系統に接続される「分散型システム」へと変貌しています。これにより、サイバー攻撃の「入り口(アタックサーフェス)」が爆発的に増加しており、一つの脆弱性が電力系統全体の需給バランスを崩壊させるリスクが顕在化しています。海外での先行事例や国内でのインシデントを受け、アグリゲーターやDER事業者を「電力の安定供給を担う不可欠なプレーヤー」として定義し、新たな規制の導入が急務となっています。
3.実際の議論された内容
① 電力分野のサイバーセキュリティ対策の近況
国内外で発生しているサイバーインシデント事例を踏まえ、分散型電源(DER)を運用する新規プレーヤーへの対策強化が議論されています。
顕在化するサイバー脅威: 2024年には太陽光発電の遠隔監視機器がサイバー攻撃を受け、不正送金の踏み台に悪用される事例や、メーカーの認証機構によりインバーターが遠隔で一斉停止させられる事例が発生しています。
ライフサイクル全体での対策: 機器の開発・製造から運用・保守、廃棄に至るまでのサプライチェーン全体を考慮したセキュリティ対策の必要性が指摘されています。
国際的な規制動向: 米国や英国では、事業規模や電力供給の有無に関わらず、DERを制御する事業者に対する広範なライセンス制度の導入が進んでいます。日本は現状、一定規模以上(1,000kW超)の特定卸供給事業者が届出対象となっています。
② サプライチェーン・リスクへの対応とリスク点検ツールの活用
サプライチェーン上のリスク(不正プログラムの埋め込みや偽造品の混入等)に対応するため、実効性のあるガイドラインやツールの活用が推奨されています。
- 新たな手引きの公開: 2025年6月、資源エネルギー庁はシステムライフサイクル全般のリスクに対応するための「電力制御システムに関するサプライチェーン・セキュリティ対策の手引き」を公開しました。
- 具体的なリスク事例: ソフトウェア認証を回避する不正プログラムが埋め込まれたネットワークスイッチの偽造品や、マルウェア搭載リスクのある半導体の偽装品の流通が報告されています。
- リスク点検ツールの活用: NISTのサイバーセキュリティフレームワーク(CSF)を参考にした「リスク点検ツール」が開発されており、事業者が過度なコストをかけずに自己診断できる体制が整えられています。
③ 分散型電源(DER)のサイバーセキュリティ対策
新規に系統接続される太陽光発電や蓄電池に対し、セキュリティ認証製品の使用が義務化されます。
- JC-STAR★1の要件化: 2027年4月(低圧設備は経過措置により同年10月)以降に新規接続される太陽光発電および蓄電池は、JC-STAR★1を取得した制御システム(PCS、EMS等)の利用が系統連系技術要件として必須化されます。
- 高度な基準(★2以上)の検討: 電力分野固有の脅威に対応するため、より高度なセキュリティ要件を包含するJC-STAR★2以上の基準整備や導入も検討されています。
- ASEAN等への展開: アジア・ゼロエミッション共同体(AZEC)の取組として、日本のサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)やJC-STAR制度をASEAN諸国へ共有し、地域全体のセキュリティ向上を図るプロジェクトが進行中です。
4.電力小売り事業者・系統蓄電池事業者、アグリゲーターへの影響(事業インパクト)
新規案件の連系拒否リスク: 2027年以降、認証未取得のPCSやEMSを採用すると系統連系が認められず、プロジェクトそのものが座礁するリスクがあります。
既存設備のセキュリティ改修コスト: 既存設備が踏み台にされる事案が多発した場合、遡及的な対策(パッチ適用やゲートウェイ追加)を求められる可能性があります。
サプライヤー選定基準の厳格化: 単なる「安さ」ではなく、機器の真正性(偽造品でないこと)やメーカーのセキュリティ体制を証明できない製品は採用できなくなります。
5.具体的な対応策
製品選定基準の見直し: 次期プロジェクトで調達するPCSやEMSの仕様書に「JC-STAR★1以上の取得(または取得予定)」を必須要件として盛り込むこと。
リスク点検の実施: 資源エネルギー庁公開の「リスク点検ツール」を使い、自社の運用体制や委託先(保守会社等)の管理状況を自己診断すること。
脆弱性情報の収集体制: 採用している機器の脆弱性情報(Vulnerability)が発表された際、速やかに把握し対応できる窓口・フローを構築すること。
エナジーアグリラボの視点
今回の議論は、分散型電源がもはや単なる「電源」ではなく、「サイバー空間における国防の最前線」になったことを明確に示しています。
将来像として注目すべきは、セキュリティが「系統接続のためのライセンス(参加資格)」へと昇華した点です。これまではアグリゲーターの価値はkWの量と制御精度で測られてきましたが、今後は「セキュア(安全)であること」が前提条件となります。 特に、★2以上の基準検討が始まっていることは、単に「通信を暗号化する」レベルから、より高度なインシデント検知・即時遮断機能が求められるようになる前兆です。当ラボとしては、この規制を「コスト増」と捉えるのではなく、信頼されるリソース群を保有・管理しているという「ブランド化」の好機と捉え、セキュリティ設計を標準化した次世代アグリゲーションモデルの構築を支援していきます。
