電力システムに関するセキュリティ規制の強化

本連載は、日経産業新聞（2023年8月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

電力システムが攻撃を受ければ社会に深刻な影響をもたらしかねません。政府は、電力システムを共有する関係各社がセキュリティ体制を整えるよう求めています。

2011年の東日本大震災以降、電力の安定供給と競争促進を目的とした電力システム改革が進められ、多くの新規プレーヤーが参入しました。参入したアグリゲーターや再生可能エネルギー発電事業者と従来の電力各社は、市場取引や相対取引を通じて相互接続され、電力を安定的に供給するメカニズムが構築されています。

電力業界は、政府が重要インフラと位置付ける14分野のなかでも、いち早くセキュリティ対策の強化に取り組んだ業界の1つです。2016年には業界横断組織である日本電気技術規格委員会が「電力制御システムセキュリティガイドライン」を策定しています。電気事業者が管理する電気設備・システムが備えるべきセキュリティ機能などの基準となるものです。

2017年には再生可能エネルギーなどの分散電源を統合制御する特定卸供給事業者を対象に、資源エネルギー庁が「エネルギー・リソース・アグリケーション・ビジネスに関するサイバーセキュリティガイドライン」を、2022年にはビルや工場など高圧の電力を受ける設備などを対象に、経済産業省が「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」をまとめました。

いずれのガイドラインも平時・有事のセキュリティ組織体制、セキュリティ運用、設備が備えておくべき技術のセキュリティ要件を示しており、各事業者が必ず実施すべき「勧告的事項」と、事業者が個別に判断すべき「推奨事項」に分けて整理されています。

ここで課題となるのが、推奨事項の扱いです。
「事業者が個別に判断すべき項目」とされているだけで、どう判断すべきか具体的な手段は示されていません。推奨事項は、関係各社がサイバー攻撃を受けた場合の自社の事業とサービス提供先への影響を考慮して判断すべき項目だと考えられます。各社は対象となる設備についてリスクアセスメントを実施し、許容できないリスクに応じて推奨事項の条件を採用することが重要です。

前述したように、電力供給網に支障が出れば、社会に広く大きな影響が及びかねません。各事業者はいずれのガイドラインの対象となるのかを確認し、コンプライアンスとして取り組む必要があります。
セキュリティ対応は、供給サイドだけでなく、電力を使う需要サイドにも求められている点にも留意が必要です。

日経産業新聞　2023年8月21日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング　
シニアマネジャー　牛越 達也