Cyber security without button

将来のエネルギー安全保障を守る、再生可能エネルギーのサイバーセキュリティ対策の取り組み

再生可能エネルギーは、世界のネットゼロ目標を達成するための重要な要素ですが、安全なエネルギー源として確実に信頼されるためには、まだまだやるべきことがあるのが現状です。将来の世界の主要なエネルギー源の1つとして太陽光発電が確実視される中、ソーラーエッジテクノロジーズのサイバーセキュリティプログラム担当ディレクターであり、サイバーセキュリティ専門家として長年にわたり活躍してきたウリ・サドットが、ベンダー、民間企業、送配電事業者、国・自治体が一体となってサイバーセキュリティへの関心を高めることが今後のエネルギー安全保障を守る上で不可欠である理由を説明します。

近年の太陽光発電の急速な普及によって、太陽光発電は世界のエネルギー環境において、ますます重要になっています。家庭や企業は光熱費を削減するクリーンエネルギー源を得られる一方、送配電事業者は送電網を支える膨大な分散型エネルギー源を活用することができます。2022年までに、世界中で1300TWhを超える太陽光発電が設置され、世界の電力消費量の5%強を占めています[*1]。それ以来、太陽光発電の普及を加速させる様々な推進策が導入され、太陽光発電の設置ペースは毎年ほぼ倍増しています。

送電網に対するエネルギー需要はかつてないほど高まっており、世界が化石燃料から電化やその他の電力を大量に消費するアプリケーションへの移行が進むにつれ、この傾向は、一層強まることが予想されます。デジタル化、データセンター、AIの成長、さらに電気自動車やヒートポンプの大量導入などがその要素です。世界各国は、ネットゼロ目標を達成するために持続可能性の取り組みをさらに強化しています。一方、ウクライナ侵攻は、自国のエネルギー供給が国境外にある場合、エネルギー安全保障が脅かされるという現実を世界的に認識させるきっかけとなりました。

これらはすべて、太陽光発電などの再生可能エネルギーを将来のエネルギー安全保障戦略の最前線に押し上げた要因ですが、依存関係における比重が石油やガスから再生可能エネルギーへとシフトする中で、再生可能エネルギーの供給がどの程度安全であるかを問いかける必要があります。これらのシステムは家庭、企業、送電網のインフラに接続されていますが、サイバーセキュリティはどうなっているのでしょうか? そして、誰がアクセスできるのでしょうか。

サイバーセキュリティリスクの新時代

太陽光発電におけるサイバーセキュリティの脅威の動きは、30年前のインターネットの台頭で起きたこととよく似ています。もし1995年に一旦立ち止まり、時間をかけてインターネットの基本的なプロトコルを根本からサイバーセキュリティに対応させる設計を行っていたら、業界は何千億ドルもの対策費用を節約できたはずです。今更ですが、太陽光発電業界は、本格的な普及が始まり、壊滅的なサイバー事象の防止が手遅れになったり、後出し的なサイバーセキュリティ対策の導入に法外なコストがかかったりする前に、サイバーセキュリティを最優先して製品を標準設計すべきです。残念ながら、現在、これを太陽光発電メーカーに強制する義務やガバナンスはほとんどありません。

近年、サイバー攻撃は、AIベース、ボットネット、0-Day攻撃、地政学的攻撃のツールとして使用される国家支援型攻撃など、非常に高度化しており、エネルギーネットワークや送電網のインフラは潜在的に壊滅的な標的になっています。最近の例では、ウクライナ紛争中に大手衛星通信会社がサイバー攻撃を受け、ドイツの風力タービン11GWが停止しました[*2]。ウクライナでは複数の変電所が攻撃され、キーウで広範囲の停電を引き起こした事件で証明されるように、同様な攻撃は、他の再生可能エネルギー源と送電網変電所も標的にしています。[*3]

太陽光発電に対するサイバーセキュリティの脅威

太陽光発電パワーコンディショナは、太陽電池モジュールによって発電された電力を使用可能な電気へと変換する太陽光発電システムの最も重要な装置です。また、各国が送電網の安定化をサポートするために分散型エネルギー源への移行を進める中、送電網だけでなく、家庭や企業のエネルギーネットワークに接続する部分でもあります。サイバーセキュリティに真剣に取り組まなければ、パワーコンディショナがハッキングされ、エネルギー供給が遠隔で操作され、危険にさらされる可能性があります。ホームオーナー、事業主、送配電事業者のいずれであっても、誰がこれらのパワーコンディショナにアクセスできるのか、サイバーセキュリティを念頭に置いて、その技術のメーカーを慎重に見極める必要があります。

2021年にテキサスで発生した極度の低温や2022年にカリフォルニアで発生した夏の熱波など、近年の気象現象による送電網障害の壊滅的影響によって広範な停電が発生し、何百万もの住宅や企業が影響を受け、人々の生活を不安定にしています。送電網がダウンすると、復旧に数日以上かかることもあります。サイバー攻撃が関与する場合、送配電事業者は侵入者を排除する前に、まず問題の原因と場所を特定しなければならないため、さらに時間がかかる可能性があります。そうして初めて、徐々に送電網を復旧させ、慎重に設備をオンラインに戻し、送電網の需給バランスを維持するための復旧プロセスを開始することができるのです。送電網へのサイバー攻撃がもたらす結果をこのように整理すると、世界のエネルギー生産に占める太陽光発電の割合が5%という数字が俄然大きく聞こえ、サイバーセキュリティをトップダウンで優先させることの重要性が浮き彫りになります。

太陽光発電におけるサイバーセキュリティを強化するには何が必要か?

現在の非常に高度な自動化されたサイバー攻撃を防御するには、まず、ホームオーナー、企業、送配電事業者、国・自治体が一体となって、太陽光発電製品のサイバーセキュリティがメーカーごとに劇的に異なるという認識を高める必要があります。エネルギー安全保障にもたらすリスクを理解し、エネルギーバリューチェーン全体の考え方を「転ばぬ先の杖」アプローチにシフトさせる必要があります。これは、電話や車に基準として組み込まれる堅牢なサイバーセキュリティ対策と何ら変わりません。

現在、メーカー各社は、自社製品のセキュリティレベルを規制なしに個別に決定することがほとんどであり、その結果、基準にばらつきが生じています。これは、自動車メーカーが安全基準を独自に定めているのに等しいです。製品開発段階でサイバーセキュリティを強化する技術的手段はすでに存在するため、ベンダーはコスト削減や利益率の向上よりも、こうした技術への投資を優先させることが不可欠です。火災安全や電気安全と同様に、絶対に譲れないものであるべきです。

これを実施し、業界が従わなければならないサイバーセキュリティの厳格な品質基準を設定するには、国の規制が不可欠です。これは、分散型エネルギー資源(DER)を含むすべての接続機器に基本的なサイバーセキュリティ基準を義務付けることから始まります。また、潜在的なサイバー攻撃に対する緩和計画の策定とともに、物理的およびソフトウェアベースのセキュリティ対策とセキュリティ監視機能を実装することで、太陽光発電メーカーの参画を求めることもできます。

英国が最近導入したPSTIサイバーセキュリティ基準は、パスワード強度、サポート期間、技術文書について、太陽光発電パワーコンディショナを含む、接続された消費者向け機器のすべてのメーカーに遵守を義務付ける、世界的な先例となっています。欧州では、欧州委員会が主導するサイバーレジリエンス法が今年後半にまとめられ、2027年以降、より厳格なサイバーセキュリティ要件が義務付けられる見込みです。この法案は何千ものIoT製品に対応するものであり、太陽光発電パワーコンディショナもその対象の1つです。これは良い出発点ですが、太陽光発電のサイバーセキュリティの改善には独自の法制化と優先的な視点が必要です。太陽光発電が国外からの石油とガスへの依存を減らす上で重要なエネルギー源の1つであると見なされている地域では、なおさらです。米国では、すでに業界団体や生産認証機関が認定基準の制定に向けた第一歩を踏みだしています。

結論

太陽光発電、風力、その他の再生可能エネルギー源のいずれであっても、人々の生活と地球の環境を改善する上で豊富なクリーンエネルギーが不可欠であることは明らかです。しかし、消費の増加に伴い、エネルギーと送電網インフラを潜在的脅威から保護するためには、手遅れになる前に今すぐ基盤となる技術のセキュリティを強化することが不可欠です。必要になる可能性は稀であっても、万が一の場合に起こり得る悲惨な結果を軽減することは可能です。各国政府はこのことを認識し始めていますが、再生可能エネルギーにおけるサイバーセキュリティへの取り組みは(国を横断する電力取引が普及しているヨーロッパ全域では特に)国際的な連携がなければ機能しないでしょう。トップダウンの法律をボトムアップによる圧力で半ば強制的に成立させ、太陽光発電に投資するホームオーナーと企業の双方に前提条件として高いサイバーセキュリティ基準を要求する必要があります。

それは常に、古今東西変わらぬ知恵、「予防は治療に勝る」に立ち返るのです。

 

注:下記関連資料は英語サイトとなります。

[*1] https://www.iea.org/energy-system/renewables/solar-pv

[*2] https://www.pv-magazine.com/2022/03/01/satellite-cyber-attack-paralyzes-11gw-of-german-wind-turbines/

[*3] https://www.nbcnews.com/tech/security/ukraine-says-russian-cyberattack-sought-shut-energy-grid-rcna24026

 

Cyber Security with JP products banner 1840724_3