7月24日付の日経電子版に、10MW未満の再生可能エネルギー発電設備にサイバーセキュリティ対策が義務付けられるという報道がありました。対象は今年10月以降の新規契約ですが、既存の設備にも同様の対策が求められます。
なぜサイバー対策が義務付けられるのか
安定した電力の取引のため
5GやIoTなど、ITを取り巻く環境は日々進化しており、電力業界も今後ITを活用していくことは確実です。具体的には電力の取引です。
2019年5月の記事でも紹介しているように、現在は電力取引をITを活用することで実現可能なのかを検証する社会実験のフェーズですが、うまくいくと思います。近い将来、より現実に即した、リアルタイムでの電力取引は実現します。
リアルタイムの電力取引が実現した時、最も注目されるのは現在の発電所の発電電力です。発電電力は電力の供給そのものであり、これに対して需要の方が大きければ電気料金は上がりますし、需要が小さければ電気料金は下がります。
そして、この発電電力のデータが改竄されれば、実際の発電電力と異なる電気が供給されていることになり、結果的に不正に電気料金を操作することができるのです。
サイバーセキュリティ対策のため
もう一つはサイバー攻撃対策です。日経の記事では海外で実際に起きたサイバー攻撃による発電所の機能停止を例にあげ、その危険性を指摘しています。
太陽光発電設備に関して言えば、考えられるのはPCS(インバータ)の機能停止です。出力制御の要請があった際に発電所へ行って電源を落とす手間を省くため、PCSの遠隔操作機能を実装させている発電所は一定数あると考えられます。
このPCS遠隔操作権をサーバー攻撃によって失った場合、遠隔でPCSを操作されてしまう恐れがあります。
太陽光発電事業者がとるべき対策は
電気設備に関する技術基準を定める省令の第15条の2に、サイバーセキュリティに関する条項があります。
(サイバーセキュリティの確保)第十五条の二
電気工作物(一般送配電事業、送電事業、特定送配電事業及び発電事業のように供するものに限る。)の運転を管理する電子計算機は、当該電気工作物が人体に危害を及ぼし、又は物件に損傷を与えるおそれ及び一般送配電事業に係る電気の供給に著しい支障を及ぼす恐れがないよう、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保しなければならない。
10MW未満の太陽光発電所を有する事業者は、まず対象の発電所について、遠隔操作の機能を有しているかどうかを確認します。
もし、遠隔操作の機能を有する場合は、以下の具体的対策を講じるべきです。
①発電所の制御ユニットは操作端末にのみ接続され、制御ユニットがインターネットに接続されていない状態を作る。
②制御ユニットと操作端末はVPN接続でも大丈夫そう(ダメとは書いていない)
以上の対策については、経産省のサイバーセキュリティに関する資料の15ページを参考にしました。直接経産相に確認したわけではありませんので、実際に対策を講じる際は経産相に確認の上必要な措置を講じてください。