JC-STAR「★2」以上を今後推奨、ERABに関するサイバーセキュリティガイドライン「Ver3.0」を公表 経産省
ERAB(エネルギー・リソース・アグリゲーション・ビジネス)に参加する事業者が守るべきサイバーセキュリティ対策をまとめた「ERABに関するサイバーセキュリティガイドライン」(経済産業省)の「Ver3.0」が5月22日、公表されました。ガイドラインは、IoT機器の脆弱性やクラウドサービスを介して電力機器を遠隔制御する新しい仕組みの登場などを踏まえて見直されました。
ERABは家庭や企業などが持っている太陽光発電や電気自動車、蓄電システム、小規模電源と、ディマンド・リスポンス(DR)などを束ねてコントロールするビジネスモデルです。DRとは、電力需要家(電力を消費する側)が電力需要量を調整することで電力の需要と共有のバランスを取る仕組みであり、DRサービスでは例えば、節電を要請するかわりにポイントや割引などを提供します。ERABでは小さな電力リソースをまとめて制御・活用することで電力の安定供給や効率化を目的としています。
一方でERABシステムにおいてはインターネットやVPNなどを相互接続することで運用されるため、サイバーセキュリティ対策が重要となります。特に、IoT機器の脆弱性を狙ったサイバー攻撃リスクが高まっていることから、ERAB制御対象にIoT製品を新たに導入する場合においては、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が定める適合基準である「★1(レベル1)」以上を満たす製品を選択することと明記されています。さらに今後、製品類型ごとの特徴を考慮した「★2(レベル2)」以上の詳細要件が決定した場合においては、「★2(レベル2)」以上を満たすことが望ましいと記されています。JC-STARは2025年3月に運用が始まった新制度であり、「Ver3.0」で初めて明記されました。
「Ver2.0」までは機器制御時に物理的なゲートウェイを置くのが主流であり、その運用を前提としていましたが、今ではクラウド上のゲートウェイや物理的ゲートウェイを介さないケースが出てきたため、「Ver3.0」ではこれらのケースに対応したセキュリティ対策の指針が新たに盛り込まれました。
具体的には「ゲートウェイを介さずに直接通信するリソースアグリゲーターとERAB制御対象のエネルギー機器間のインターフェース」(3.6.6.)や「クラウドサービスを活用したサービス構築を設計する事業者」(3.7.3.)が追記されました。リソースアグリゲーターとは、太陽光発電や蓄電池などを保有する家庭や事業者などと契約し、それらのエネルギーリソースを集約(アグリゲート)して制御・管理する事業者のことです。
なお、ガイドラインは、実装を必須として義務づけられる「勧告」と、実装を検討すべき内容である「推奨」に分けて記載されています。
