令和元年度エネルギー需給構造高度化対策に関する調査（再生可能エネルギー主力電源化に向けた電力分野のサイバーセキュリティに関する海外連携のあり方等調査事業）報告書

この報告は、再生可能エネルギー主力電源化に向けた電力分野のサイバーセキュリティに関する海外連携のあり方について書かれた報告書である。

電力分野のデジタル化が進展する中で、サイバー攻撃の脅威が高まっており、特に2016年の小売全面自由化による新規参入者の拡大や再生可能エネルギーの系統接続により、ネットワーク接続やデジタル技術の活用が広がっている。これに伴い、サイバー攻撃を受ける可能性や攻撃箇所の増加、影響範囲の拡大が懸念されている。

本調査では、国際的に議論されているCyber Product International Certification（CPIC）イニシアティブにおける電力分野の機器・システムのセキュリティ検証手法について調査を実施した。CPICは米国、英国、イスラエル等の企業・団体を中心に、電力分野におけるサプライチェーンセキュリティリスク管理の強化を目的としており、スコアカード方式による動的な製品評価を検討している。

スコアカード方式は、セキュリティの分野で一般的となりつつある評価手法であり、静的な認証ではなく動的なリスク評価により、攻撃者の改善に対応できる利点がある。電力分野においても、サイバーセキュリティ上の脅威に対応するため、このような動的評価が必要とされる。

評価項目の大枠として、サプライヤの企業としてのセキュリティ管理体制と、提供製品そのもののセキュリティ対策の2つに分類された。これらは製造業のエンジニアリングチェーンマネジメントとサプライチェーンマネジメントの各過程におけるセキュリティ対策として整理される。具体的には、6つの評価領域（製品ライフサイクル管理、製品セキュリティ機能、サプライチェーン管理、企業のセキュリティ管理体制、インシデント対応体制、情報開示）が設定された。

国際動向調査では、アイダホ国立研究所の重要インフラセキュリティ研究やDragos社の北米電力分野脅威調査、Charter of Trustの動向について調査した。また、G7エネルギー分野サイバー演習やEPRO Sector Executive Committeeなどの国際会議に参加し、評価項目案に関する発信と意見交換を実施した。

検証作業では、複数のベンダに対して詳細評価項目の検証を依頼し、様々なベンダに共通する評価項目を洗い出した。その結果、評価項目の選択的適用や運用方法についても検討が行われた。

本調査により、国際調和の取れた有効な検証のあり方について検討し、今後の電力分野におけるサイバーセキュリティ対策の強化に向けた基盤を構築した。