再エネ発電設備・系統用蓄電設備におけるサイバーセキュリティリスクと、社会的要請を踏まえた実効的対策の方向性

再エネ発電設備・系統用蓄電設備の導入が活発化、一方で潜むサイバーリスク

脱炭素を軸とした国家エネルギー戦略の下、大型太陽光発電や系統用蓄電設備は、再生エネルギー（以下、再エネ）の主力電源化と電力システムの安定化を支える重要な社会インフラとなりつつあります。とりわけ、再エネ併設蓄電池による変動電源対応や、卸電力市場・調整力市場における系統用蓄電設備の活用拡大は、新たな電力取引と運用の高度化をもたらしています。

一方で、これらは高度にデジタル化・ネットワーク化された設備を前提にしており、サイバー攻撃が電力の安定供給や市場の信頼性に直結するリスクも、被害事例の発生に伴って顕在化し始めています。

こうした背景を踏まえ、経済産業省による「電力制御システムセキュリティガイドライン」^*1、「エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン」^*2をはじめとする各種ガイドラインの改定や、「セキュリティ要件適合評価およびラベリング制度（JC-STAR）」^*3の活用も進んでいます。事業者は各制度や社会的要請を適切に捉えるとともに、自社の設備における保有リスクを明確にし、実効性のあるセキュリティ対策を実装することが重要です。

サイバーリスクの顕在化（攻撃実例）

海外では複数の太陽光・風力発電設備を統合的に管理するための遠隔監視用ITシステムが、外部からのサイバー攻撃を受けた事例が確認されています。この事案では発電設備そのものが停止したわけではないものの、管理用のネットワーク機器がサービス不能状態に陥ったことで、一定時間にわたり発電設備の稼働状況を把握できない状態が発生しました。結果として、事業者は多数の発電リソースについてリアルタイムの監視・制御が行えなくなり、運用面でのリスク対応を余儀なくされました。分散型電源においては、発電制御そのものだけでなく、監視・可視化を担うデジタル基盤が侵害されることで、事業継続や系統運用上のリスクになり得ることを示しています。

別の事例では、稼働中の太陽光発電所において、遠隔管理用の管理画面の認証設定が、初期状態または極めて弱いままインターネット上に公開されており、第三者が特別な攻撃手法を用いずにログイン可能であることが、セキュリティ研究者により実証されたケースもあります。本件では、停電や設備破壊といった直接的な被害は発生していないものの、発電状況の把握や設定変更が可能な状態にあったことから、攻撃者の意図次第では運用妨害や系統影響に発展し得る潜在的リスクが明らかになりました。

系統用蓄電設備については導入された年数がまだ浅く、顕在化したサイバー攻撃被害は限定的であるものの、太陽光発電設備と類似の技術的リスクに加え、リスク顕在化時には、市場取引における収益機会損失といった系統用蓄電設備特有の事業影響も想定されます。

再エネ発電設備、系統用蓄電設備における攻撃経路と影響

前述の事例や実証結果から得られた知見を踏まえると、再エネ発電設備や系統用蓄電設備においては、複数のサイバー攻撃経路が現実的な脅威となると考えられます。想定される攻撃経路を網羅的に認識し、被害影響を想定したうえで対策を実施していくことが重要です。

攻撃経路

再エネ発電設備および系統用蓄電設備（リソース機器）は多様な経路からのサイバー攻撃の脅威にさらされています（図表1）。攻撃起点の代表的なものは以下が挙げられます。

図表1：再エネ発電設備・系統用蓄電設備に対する攻撃の経路

1. 遠隔監視・制御システムとの接続経路のアクセス制御不備

リソース機器の遠隔監視・制御システムはクラウドやメーカーのオンプレミス環境にあり、インターネットやVPN、モバイル回線などを介して設備と接続されています。遠隔監視・制御のネットワークと、発電・蓄電設備ネットワークとの境界でのアクセス制御に不備がある場合、これらのシステムへの不正アクセスを起点にして、設備へ不正な制御通信が送信される可能性があります。

2. 制御用ネットワークと業務用（OA）ネットワーク間のセグメント分離不備

リソース機器が置かれた制御用ネットワークと、管理用OA端末や需要家内の業務用ネットワークとの適切なセグメント分離がされていない場合、ウイルスに感染した業務端末での被害が制御用ネットワークにも波及し、リソース機器の制御に影響が発生する可能性があります。

3. 認証・アクセス管理の不備

システムの管理画面において初期パスワードの放置や権限設定管理に不備が残っている場合、第三者の不正ログインや操作を容易に許す可能性があります。

4. サプライチェーン上の不備・不正

制御用ソフトウェアやファームウェアには脆弱性が潜在していることに加え、メーカーや導入ベンダーからの供給過程で不正プログラムが混入させられるリスクも存在します。このような偽装ファームウェアや改ざんツールの流通により、正規の設備運用が妨害される可能性があります。

サイバー攻撃によるビジネス影響

上記のような攻撃経路を通じた侵害により設備障害などが発生した場合、特に以下の2つの観点で影響が生じます。

1. 事業自体への影響

1-1. 収益機会損失

リソース機器が停止している間、再エネ発電および市場への応動ができないため、収益機会損失による事業影響が発生します。

1-2. ペナルティ損失

系統用蓄電設備において調整力の提供が需給調整市場や容量市場の要請を下回った場合、需給調整市場や容量市場の契約条件に基づき、契約金額と未達率に応じたペナルティ負担が生じ、事業収益に影響を及ぼす可能性があります。

2. レピュテーション（信頼）への影響

インシデントの発生や市場要求の未達は事業者の社会的信用を損なう可能性があります。

特にセキュリティ対策不備などを原因とする予見性のある障害発生は、監督機関からの是正勧告や助成金停止などの対応を招く他、接続先であるアグリゲーターや送配電事業者からの信頼性低下等、事業の継続性や将来展開にも影響が及ぶ可能性があります。

このように、再エネ発電設備および系統用蓄電設備を巡るサイバーリスクは、新電力事業の収益性や社会的信頼を損なう重大課題であることから、包括的なリスク管理と多層的な防御策の構築が必要となります。

主な社会的要請

再エネ発電設備や系統用蓄電設備を取り巻くルールとして、「電力制御システムセキュリティガイドライン」や「エネルギー・リソース・アグリゲーション・ビジネスに関するセキュリティガイドライン」などが存在します（図表2）。

図表2：再エネ発電設備・系統用蓄電設備に関する外部要求

また、アグリゲーターを介したDR（Demand Response）指令によって需要側リソースの制御や調整力を提供する場合、アグリゲーターが別途定義した詳細対策要件に基づくサービスレベルを満たす必要があります。

再エネ発電・系統用蓄電事業者に求められるサイバーセキュリティ対応

これらのガイドラインでは、技術的な対策にとどまらず、組織としてのルールや考え方の整理、体制整備、教育・訓練、有事を想定した対応、さらには取り組みを継続的に見直していくことなど、サイバーセキュリティを事業運営の中で捉えた幅広い対応が求められています。こうした考え方を踏まえると、再エネ発電・系統用蓄電事業者が取り組むべきサイバーセキュリティ対策は6つの観点で整理できます（図表3）。

図表3：再エネ発電・系統用蓄電事業者に求められるサイバーセキュリティ対応

まず、サイバーセキュリティを事業運営上の重要課題として位置付け、対策の方針やルール、調達先に求める要件などを明確にする「1：ガバナンスの整備」を起点とします。近年では、「エネルギー・リソース・アグリゲーション・ビジネスに関するセキュリティガイドライン」^*2の改定などを受け、IoT機器の調達・選定時の要件として、JC-STARの取得状況を考慮する動きが定着しつつあるなど、再エネ発電・系統用蓄電事業者として求められている社会的な要請を踏まえて、自社設備におけるセキュリティ水準を定義することが求められます。

次に、定めた方針を実行に移すため、社内外の関係者の役割や責任を明確にした「2：組織体制の強化」を行います。再エネ発電設備や系統用蓄電設備は、機器ベンダー、保守事業者、アグリゲーターなど、多様な関係者が関与する形で運用されることから、平時および有事における責任分担や意思決定プロセスを明確にしておくことが重要です。

そのうえで、自社が保有・運用する設備やシステムを対象に、想定される攻撃経路や影響を洗い出し、「3：セキュリティリスクの把握」を行います。再エネや系統用蓄電設備は多様なシステムと相互接続されており、複数の攻撃経路が想定されるため、リスクを網羅的に把握することが重要になります。こうして把握したリスクに基づき、ネットワークの分離、通信経路上でのアクセス制御、セキュリティ監視の強化といった「4：セキュリティ対策の実装」に取り組むことで、サイバー攻撃による影響の発生や拡大を抑止します。

さらに、インシデントの発生を前提として対応体制や手順を整備し、訓練や演習を通じて「5：インシデント対応の強化」を図るとともに、これらの取り組みを継続的に維持・高度化していくため、「6：人材育成の推進」に取り組みます。

これら6つの観点を実施していくことで、持続的な事業運営と市場からの信頼確保につながる実効的なサイバーセキュリティ対応を実現することが可能となります。

まとめ

再エネ発電設備や系統用蓄電設備は、電力の安定供給や市場運営を支える重要な社会インフラである一方、デジタル化・ネットワーク化の進展によるサイバー攻撃の影響が、事業継続や社会的信頼に直結するというリスクが顕在化しつつあります。

こうしたリスクに対応するため、再エネ発電・系統用蓄電事業者には、関連ガイドラインなどの社会的要請を踏まえ、サイバーセキュリティに関するガバナンスと体制の整備に取り組むことが求められます。そのうえで、資産・リスクを把握し、適切なセキュリティ対策を講じるとともに、インシデント対応力と人材基盤を強化することで、事業継続を担保し市場からの信頼を確保することが求められます。

^*1 日本電気協会, 2025年
電力制御システムセキュリティガイドライン

^*2 経済産業省, 2025年
エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン Ver3.0
https://www.enecho.meti.go.jp/category/saving_and_new/advanced_systems/vpp_dr/20250522.pdf

^*3 情報処理推進機構, 2026年
セキュリティ要件適合評価及びラベリング制度（JC-STAR）
https://www.ipa.go.jp/security/jc-star/index.html

^*4 経済産業省, 2023年
自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン
https://www.meti.go.jp/policy/safety_security/industrial_safety/law/files/jikayouguideline.pdf