［解説］自家用電気工作物のセキュリティガイドラインで必要になる対応とは？

セキュリティの規制整備が進む自家用電気工作物とは

工場やビル、病院などに設置された電気設備である「自家用電気工作物」へのセキュリティ対策が2022年10月に義務化されました。
自家用電気工作物は、電気事業法第38条において「電気事業の用に供する電気工作物及び一般用電気工作物以外の電気工作物」と定義されており、平たく言えば、電気事業に使用しない事業用の電気設備を指します。具体的には、以下のものが該当し、工場や各種施設などで広く利用されている設備であることが分かります。

＜自家用電気工作物の例＞
１．電力会社等から600Vを超える電圧で受電して電気を使用する設備
6kVの高圧・20kV/60kVの特別高圧で受電する設備（例：工場、事務所ビル、学校、病院、ホテル、スポーツ施設、娯楽施設など）
２．発電設備と、その発電した電気を使用する設備
１.の受電電圧に関わらず、一定以上の出力を持った発電設備を有するもの
３．電力会社等からの受電の為の電線路以外に構外にわたる電線路を有する電気設備
構内以外の場所にある電気工作物に至る電線路を有するもの
４．火薬工場および炭鉱
参照：関東電気保安協会

参照：経済産業省

こうした「自家用電気工作物」のセキュリティ確保のため、経済産業省は、2022年10月「自家用電気工作物のサイバーセキュリティの確保に関するガイドライン（以下、自家用電気工作物セキュリティガイドライン）」を制定、公開しました^※。
※「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」（2022年10月、経済産業省）

さらに、このガイドラインの実効性を高めるため、同時に、電気事業法で適合を求める技術基準の具体を示した省令を改正し、自家用電気工作物へのセキュリティ確保を義務づけたほか、自家用電気工作物の遠隔システムや制御システムについては、自家用電気工作物セキュリティガイドラインに対応することを求めました。これにより、2022年10月以降に新設するすべての自家用電気工作物の遠隔システムや制御システムのセキュリティ対策が必要となり^※1、対策を講じていない場合、電気設備に関する技術基準適合維持義務違反に問われる可能性がでてきました^※2。

それでは、対応の拠り所となる、自家用電気工作物セキュリティガイドラインには、どのような対策が示されているのでしょうか。ガイドラインの対象や求められる対策について次に解説します。

※1 自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン（内規）Ｑ＆Ａ（2022年12月、経済産業省産業）
※2 適合していないと判断された場合、“技術基準に適合するように事業用電気工作物を修理し、改造し、若しくは移転し、若しくはその使用を一時停止すべきことを命じ、又はその使用を制限”させられる可能性があるほか、さらにこの“規定による命令又は処分に違反したとき”には、三百万以下の罰金が科せられる恐れ入がある。電気事業法、(技術基準適合命令）第四十条、（罰則）第百十八条　

＜自家用電気工作物のセキュリティ確保のための政府規制＞
・「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」制定（2022年10月公開）
・「電気設備に関する技術基準を定める省令」改正（2022年10月施行）
　　-サイバーセキュリティ確保義務の対象について、自家用電気工作物を含む事業用電気工作物に拡大（第15条の2）
　　-自家用電気工作物にかかる遠隔監視システムと制御システムにおける、自家用電気工作物のセキュリティガイドラインへの対応（第37条の2）

自家用電気工作物セキュリティガイドラインの概要

ガイドラインの対象は、自家用電気工作物の遠隔監視システム、制御システムのほか、これに携わる者として、設置者や保安管理業務の外部委託の受託者、遠隔監視サービス提供事業者など広く明示されています。

セキュリティについては、「組織」、「文書化」、「機器」、「通信」、「システム」、「運用」、「物理」、「セキュリティ事故対応」の分類で、必要な対策を整理しています。さらに、これらの対策は、セキュリティ対象となるシステムを3つに区分し、それぞれに、実施が必須のもの（勧告的事項）と設置者等が実施の要否を検討するもの（推奨的事項）を示しています。システムは、セキュリティ事故が発生した場合の、影響度合の大きさで区分されています（表1：自家用電気工作物セキュリティガイドライン概要）。

例えば、区分Aには、自家発電設備で保有し、かつ余剰電力を売電している事業者が分類されています。区分Aの場合、セキュリティ事故時に売電先の電力会社などの電力系統への影響が懸念されることから、セキュリティ体制の構築やセキュリティ管理責任者の設置、また遠隔システムや制御システムに接続するネットワークの管理、また外部記憶媒体等のマルウェア対策といように、組織、技術面の両面で必ず対応すべき事項（勧告的対策）が指示されています。

対策には、上記のような必須対策である「勧告的事項」のほか、設置者等が実施の要否や方法を判断する「推奨的事項」があります。この「推奨事項」は、必要な対策であれば講じることが前提の事項です。このため、対象設備のリスクアセスメントを行い、対策の要否を検討し、必要がないと判断した場合は、対策を講じることは不要ですが、検討の際の記録は必ず残すことが必要です。検討をせずに対策していないということで、技術基準適合維持義務違反に問われる可能性もあります^※。
※自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン（内規）Ｑ＆Ａ（2022年12月、経済産業省産業）

対象となるシステムは、ガイドライン施行された2022年10月以降に新設された設備のほか、既存設備に関しては、システム変更の際ということで、事業者側の状況を一定考慮した内容になっているといえます。しかし、とくに区分Aとして指定された余剰電力を売電している事業者については、技術的な対策のみならず、経営層のセキュリティ責任やセキュリティを管理する組織の設置が必須とされていることから、組織全体でこの規制への対応準備を進めることが必要です。

こうしたセキュリティ関連の規制を政府が推進する背景には、電力などの産業施設へのサイバー攻撃のリスクの世界的な増大があります。これについて最後に解説します。

＜対象システムの区分＞
・区分A 　自家発電設備を持っており、余剰電力を売電している事業者。再エネ事業者、余剰電力を売電しているビル、工場等。電力系統に接続されている為、セキュリティ事故発生時に送配電設備等への影響拡大が懸念される。
・区分B　自家発電設備を持っており、自家消費を行っている事業者。余剰電力が発生した場合も、売電は行わない。病院・工場・ビル等の電力停止時、社会的に大きな影響へと繋がる可能性有る。
・区分C　電気工作物の遠隔監視システムや制御システムを持っている事業者

参考：[解説資料]「自家用電気工作物のサイバーセキュリティの確保に関するガイドライン」の概要
　ガイドラインで示された対策の要点を整理し、一覧表にしています。皆様の組織において対策推進される際に、チェックリストなどとしてご活用ください。

なぜ今セキュリティなのか、スマート保安・再エネ拡大で高まるサイバー攻撃リスク

政府が規制を進める背景には、エネルギー分野におけるセキュリティリスクの増大があります。

昨今、エネルギー分野では、スマート保安や再生可能エネルギーの導入といったIT技術の活用が進んでおり、通信を介して外部の様々なシステムとつながることで、セキュリティリスクが増大しています。くわえて、制御システム自体のかかえるセキュリティ課題もあります。長期運用と可用性が重視される制御システムでは、ITシステムで一般的に実施されているセキュリティ対策の実施が難しく（表2）、適切なセキュリティが施されていない多数の機器が、スマート保安などの拡大により、ネットワークに接続されているというセキュリティリスクの高い状況にあるのです。

エネルギー分野へのサイバー攻撃の事例をみると（表3）、一つの設備への攻撃が社会的、経済的に大きなインパクトを与えることがわります。事例のような社会的なインフラ以外であっても注意が必要です。1社へのサイバー攻撃が、通信を介してネットワークでつながる取引先に拡大するインシデントが相次いでいるためです。いわゆるサプライチェーン攻撃と呼ばれるものです。この攻撃では、サプライチェーンにおいて、とくにセキュリティ対策が弱い組織や設備が狙われることから、すべての組織にセキュリティが不可欠であるといえます。とくに、電気設備の場合、サプライチェーンを介して攻撃が拡大すれば、社会的なインパクトも大きくなります。電気事業に利用しない自家用電気工作物であっても、社会的な影響を与える恐れがあることを理解し、セキュリティ対策を整備していくことが不可欠なのです。