電験3種(法規分野)で出題される「自家用電気工作物の「サイバーセキュリティの確保」について解説します。
「サイバーセキュリティの確保」とは
「電気設備に関する技術基準を定める省令 第15条の2」で以下のように規定されています。
(サイバーセキュリティの確保)
第15条の2 事業用電気工作物(小規模事業用電気工作物を除く。)の運転を管理する電子計算機は、当該電気工作物が人体に危害を及ぼし、又は物件に損傷を与えるおそれ及び一般送配電事業又は配電事業に係る電気の供給に著しい支障を及ぼすおそれがないよう、サイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)を確保しなければならない。
省令の解説
「電気設備に関する技術基準を定める省令の解説」で省令第15条について以下のように解説されています。
第15条の2【サイバーセキュリティの確保】
〔解 説〕 経済産業省が平成25年度に実施した「次世代電力システムに関する電力保安調査」では、これまで電力の安定供給に影響を与えたサイバーセキュリティインシデントは発生しておらず、現状の対策は一定の評価ができるものの、今後は事業環境変化を踏まえたサイバーセキュリティ対策の検討が必要とされた。また、産業構造審議会保安分科会電力安全小委員会電気設備自然災害等対策ワーキング中間報告書(平成26年6月)では、サイバーセキュリティガイドラインの策定が提言された。更に、平成27年6月の産業構造審議会保安分科会電力安全小委員会(第10回)において、今後更なるITの高度化や電力システム改革の進展により、外部通信ネットワークとの相互接続機会の増加が見込まれるところ、これにより、セキュリティリスクの蓋然性は高まることが見込まれる等の指摘があった。
その上で、サイバー攻撃等による電気設備の事故等の未然防止対策が重要な課題であり、サイバー攻撃等を新たな外生的脅威(リスク)と捉え、電気事業法体系下の保安規制に組み入れて制度的に担保されるべきことが確認された。これを受け、本条文を追加し、電気工作物におけるサイバーセキュリティ対策を求めることとした。
令和4年4月の改正では、電気工作物におけるサイバーセキュリティの確保義務について、配電事業の用に供する電気工作物にも求めることとした。これは、配電事業者は、一般送配電事業者に倣った法的義務を負うこととされていることから、令和3年6月の産業構造審議会保安・消費生活用製品安全分科会電力安全小委員会電気保安制度WG(第6回)において、配電事業者に対しても、最低限課すべき保安要求事項は事業形態によらず同一とすべきであり、配電設備の保有形態(保有や貸与)によらず、事業用電気工作物の技術基準への適合維持義務、保安規程の制定及び遵守義務、主任技術者選任義務、一般用電気工作物調査の義務などの一般送配電事業者相応の保安上の義務を課すべきであるとされたためである。
令和4年6月の改正では、サイバーセキュリティの確保義務の対象を自家用電気工作物を含む事業用電気工作物にも拡大した。これは、近年、諸外国において製鉄所等の産業施設へのサイバー攻撃も発生し、大規模な被害が生じており、また、中小企業も含む今後の電気保安分野におけるスマート化の進展も踏まえ、より幅広い事業主体に対策を求めることが必要であると考えられることから、令和3年11月及び令和4年1月の産業構造審議会保安・消費生活用製品安全分科会電力安全小委員会電気保安制度WG(第8回及び第9回)において、自家用電気工作物についてもサイバーセキュリティの確保が重要とされたためである。
令和4年12月の改正では、従来からサイバーセキュリティを求めていない小規模事業用電気工作物を事業用電気工作物から除いた。
解釈第37条の2(サイバーセキュリティの確保)
「電気設備の技術基準の解釈」第37条の2に以下の規定があります。
【サイバーセキュリティの確保】(省令第15条の2)
第37条の2 省令第15条の2に規定するサイバーセキュリティの確保は、次の各号によること。一 スマートメーターシステムにおいては、日本電気技術規格委員会規格 JESC Z0003(2025)「スマートメーターシステムセキュリティガイドライン」によること。配電事業者においても同規格に準じること。
二 電力制御システムにおいては、日本電気技術規格委員会規格 JESC Z0004(2025)「電力制御システムセキュリティガイドライン」によること。配電事業者においても同規格に準じること。 三 自家用電気工作物(発電事業の用に供するもの及び小規模事業用電気工作物を除く。)に係る遠隔監視システム及び制御システムにおいては、「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン(内規)」(20220530保局第1号 令和4年6月10日)によること。
解釈の解説
「電気設備の技術基準の解釈の解説」で解釈第37条の2について以下のように解説されています。
第37条の2【サイバーセキュリティの確保】
〔解 説〕 電気保安規制の目的は、電気工作物の損壊等による人体への危害や物件の損傷の防止と、著しい供給支障の防止である。サイバー攻撃等により、このような事故が生ずるおそれがあるとすれば、電気工作物の設置者は、必要な対策を講ずる必要がある。とりわけ、制御系システムやスマートメーターシステムは、サイバー攻撃等により著しい供給支障につながる可能性も否定できないことから、平成27年6月の産業構造審議会保安分科会電力安全小委員会(第10回)の審議を踏まえ、平成28年9月に省令を改正し、電気工作物におけるサイバーセキュリティ対策を求めることとした。第一号及び第二号は、一般送配電事業、送電事業、配電事業、特定送配電事業及び発電事業の用に供する電気工作物に係るサイバーセキュリティの確保に関して示したものである。令和 3 年 6 月の産業構造審議会保安・消費生活用製品安全分科会電力安全小委員会電気保安制度 WG(第 6 回)において、配電事業者についても一般送配電事業者と同等のサイバーセキュリティの確保が求められることが確認されたことを受け、R4 解釈より配電事業者にも同程度の対策を講じるべきことが追記されている。
第三号は、自家用電気工作物(発電事業の用に供されるもの及び小規模事業用電気工作物を除く。)に係るサイバーセキュリティの確保に関して示したものである。近年、諸外国においては製鉄所等の産業施設へのサイバー攻撃も発生し、大規模な被害が生じており、また、中小企業も含む今後の電気保安分野におけるスマート化の進展も踏まえ、より幅広い事業主体に対策を求めることが必要である。そのため、令和 3 年 11 月及び令和 4 年 1 月の産業構造審議会保安・消費生活用製品安全分科会電力安全小委員会電気保安制度 WG(第 8 回及び第 9 回)の審議を踏まえ、R4 基準及び R4 解釈より、電気工作物におけるサイバーセキュリティの確保義務について、自家用電気工作物を含む事業用電気工作物(小規模事業用電気工作物を除く。)へ拡大することとし、令和 4 年 10 月より施行することとした。
技術基準において求められる対策は、主としてハード的な対策であるが、ソフト的対策によりこれを補完する場合も想定される。このため、本解釈では、日本電気技術規格委員会規格として策定されたガイドライン及びこれを参考にして内規として作成されたガイドライン全体を引用している。同様に、「電気事業法施行規則第50条第2項の解釈適用に当たっての考え方(内規)」(20160905商局第2号)及び「電気事業法施行規則第50条第3項第9号の解釈適用に当たっての考え方(内規)」(20220530保局第1号)においても、当該ガイドライン全体を引用している。いずれにしろ、事業者ごとに、自身の設備の状況等を踏まえた総合的な対策の立案を行い、着実に対策を実行していくことが求められる。
自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン
自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン
【事例1】太陽電池発電設備の遠隔監視機器がハッキングされて踏み台に悪用
2024年5月に太陽電池発電設備向け遠隔監視機器の約800台がサイバー攻撃を受け、インターネットバンキングの不正送金に悪用された事例が報告されています。なお、対象製品は出力制御機能を有さなかったため、系統への影響はないとされている。また、当該機器の脆弱性はCVE-2022-29303(JVNDB-2022-001923)で報告されており、複数の攻撃実証コード(PoCコード)も公開されていた。
参考文献:小規模太陽光発電設備のサイバーセキュリティ対策について
【事例2】太陽電池発電設備が停止させられるリスク
2024年8月にオランダの研究者によって、クラウドサービスで管理されている複数の太陽光発電設備がサイバー攻撃によって一斉に停止する危険性が指摘された。
【同研究者が指摘するポイント】
・クラウドサービスに対して不正アクセスを実施し、サービスを介して太陽光発電設備にサイバー攻撃を実施することで、発電が一斉に停止し、系統への甚大な影響をもたらすおそれがある。
・オランダでは15GWの発電設備が遠隔から制御されているものの、制御の実態が不透明であるため、系統全体が脆弱になりつつあると危険性を懸念している。
参考文献:小規模太陽光発電設備のサイバーセキュリティ対策について
関連コンテンツ
コメント