オーストラリアで全電源構成の8.1%[1]を占める小規模太陽光発電システムのサイバーセキュリティを巡り、同国内で2023年夏以降激論が起きている[2]。議論のはじまりは、同国のクリス・ボーウェン・エネルギー大臣が、中国製の太陽光発電設備への過度の依存が、再生可能エネルギー供給のサプライチェーン・リスクとなる、とたびたび指摘していたことにある。ボーウェン大臣は、2023年2月に豪州紙とのインタビューで、「サプライチェーンがこれほどまでに集中し、さらに集中するようになれば、リスクは日々大きくなる」と発言している[3]。
オーストラリアは、石炭や天然ガスなどの天然資源に恵まれているが、地球温暖化対策の観点から、再資源エネルギーの導入を近年積極的に行っている。最新のオーストラリアの電源構成は、石炭49.2%、天然ガス18.1%、石油1.7%、太陽光12.8%、風力10.7%、水力6.3%等[4](2021-2022年)となっており、再生可能エネルギーによる電力供給が30%を越えている(日本は新エネ12.8%、水力7.5%[5])。太陽光発電12.8%のうち、約1/3が大規模太陽光発電所で、約2/3は家庭・商業用などの小規模太陽光発電システムとなっている[6]。
今回、この小規模太陽光発電システムのサイバーセキュリティが焦点となっている。小規模太陽光発電システムには、中国製の太陽光発電インバーター装置(ネットにつながったスマート・インバーター)が使われており、この装置のサイバーセキュリティが問題とされている。中国製の監視カメラやDJI社製のドローンの政府導入に反対し、中国製IT機器のセキュリティリスクに以前から懸念を示していたジェームズ・パターソン同国上院議員(野党の影の内相)は、2023年7月のTVインタビューで、60%を占める中国製スマート・インバーターについて、①スマート・インバータを製造する中国企業は中国の国家情報法の対象、②このような中国企業の幹部の多くが中国共産党員、③中国製インバーターは技術的に脆弱性があることが明らかになっており、これらの脆弱性は人民解放軍や中国国家安全部のサイバー攻撃部隊の対象となりうる、④そのようなサイバー攻撃がオーストラリアの送電網全体をオフラインにする可能性がある、と指摘している[7]。
2023年8月、オーストラリア政府の研究助成を受けてサイバーセキュリティの脆弱性を調査しているCyber Security Cooperative Research Centerは、太陽光発電のインバーター装置に関する政策提言を発表し、「オーストラリアで販売されるすべてのソーラー・インバーターについて、サイバーセキュリティの影響評価を行い、脆弱性のある機器の撤去を行うべき」との提言を政府に行った[8]。これらの議論や提言を受けて、オーストラリア政府は、民家や商業施設の屋根の上に設置されている小型太陽光発電設備のセキュリティ基準ならびにサイバー攻撃を受けた場合の減殺手段について計画策定中であると報じられている[9]。
我が国における電力インフラのサイバー・リスク対策
我が国でも、電力などの重要インフラにおけるサイバー・リスク対策は、従来からサイバーセキュリティ基本法で定められ、重要社会基盤事業者(いわゆる重要インフラ)におけるサイバーセキュリティ確保の促進に関する基本計画を策定し(第12条)、重要社会基盤事業者等におけるサイバーセキュリティに関し、基準の策定、演習及び訓練、情報の共有その他の自主的な取組の促進その他の必要な施策を講ずる(第14条)、とされている[10]。そして、基本法に基づき、内閣サイバーセキュリティセンター(NISC)では、重要インフラの情報セキュリティ対策に係る行動計画や重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針を定期的に改訂し、サイバーセキュリティの確保を事業者に促してきた[11]。
さらに、2022年5月に成立したいわゆる経済安全保障推進法(「経済施策を一体的に講ずることによる安全保障の確保推進に関する法律」)において、電気・ガス・水道等の基幹インフラ役務の安定的な提供の確保は安全保障上重要であるとの認識が示され、重要設備を基幹インフラ企業が導入する際の事前審査が義務づけられることとなった[12]。2023年11月17日、高市経済安全保障担当大臣は記者会見で、基幹インフラを担う企業が重要設備を導入する際に国が事前審査を行う制度について、210の企業や団体を対象として指定し、6か月間の経過措置期間を置いたのち来年5月から審査制度の運用を開始すると発表している。[13]
有事を念頭に置いたサイバー・リスク対策の必要性
基幹インフラとしての電力に関するサイバーリスク対策は、事業者の責任とされている。具体的には、電気事業法において、一般送配電事業、送電事業、特定送配電事業および発電事業の用に供する電気工作物については、事業者がサイバーセキュリティを確保するよう技術基準で義務づけている。なお、基幹インフラに該当しない小規模発電設備のサイバーセキュリティについては、従来政府の規制対策外であったが、電源の分散化やオンライン制御の拡大に伴い、小出力発電設備についても、2022年10月に改正電気設備技術基準(「自家用電気工作物に係る遠隔監視システム及び制御システムにおいては、「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」によること」が追加され、電気事業設備にあたらない家庭の太陽光発電設備についても対象となった)が施行され、サイバーセキュリティ確保義務の対象となる電気工作物として規定されることとなった[14]。これにより、小規模発電設備の設置者に対して、自家用電気工作物サイバーセキュリティガイドラインを政府が示し、これを遵守することを「推奨」(一部のみ「勧告」)することとなった[15]。
今回、明らかにされたオーストラリアのサイバー・リスク対策の特色は、一般的に話題となるサイバーセキュリティではなく、有事に想定される敵対国からのサイバー攻撃を念頭に置いている点である。このような危機感の背景には、2022年に始まったウクライナ戦争において、電力インフラがサイバー攻撃の標的となっていることなどがある[16]。たとえば、ウクライナでは、ロシアのGRU(軍参謀本部情報総局)と関係があると見られるサイバー主体(Sandworm)が、ウクライナの送電網に対して執拗にサイバー攻撃を繰り返したことが明らかになっている[17]。オーストラリア信号局は、2023年のサイバー脅威年次報告書で、中国と関係のあるサイバー攻撃作戦Volt Typhoonについて、「通常のシステムやネットワーク活動に紛れ込むために機器にあらかじめ内蔵された操作ツールを使用する」攻撃技術を使用している、と警戒感を示し、オーストラリアの重要インフラにも向けられる可能性があると指摘している[18]。
これに対して、我が国の電力インフラのサイバー・リスク対策は、あくまでも平時のサイバーセキュリティを念頭に置いた対策であり、その責任の主体は各重要インフラ事業者や設備の設置者に任されている。しかしながら、サイバー空間がつながっている以上、オーストラリアと我が国が置かれた安全保障環境に差異はなく、悪意のあるサイバー攻撃者を念頭に、我が国でもオーストラリアと同様に、有事を念頭に置いたサイバー・リスク対策を不断に見直すことが急務となっている。
(2023/12/01)
*こちらの論考は英語版でもお読みいただけます。
Securing Electric Power Infrastructure from Cyber Threats during a Contingency: Lessons from Australia
脚注
- 1 Australian Government, Department of Climate Change, Energy, the Environment and Water, “Australian Energy Update 2023,” September 2023.
- 2 例えば、“China’s spy threat to our solar energy grid,” The Australian, July 21, 2023.
- 3 “China’s solar dominance a risk for Australia’s renewable energy supply: Bowen,” The Sydney Morning Herald, February 18, 2023.
- 4 Ibid., “Australian Energy Update 2023.”
- 5 資源エネルギー庁『エネルギー白書2023』2023年5月。
- 6 Ibid., “Australian Energy Update 2023,” p. 29.
- 7 “Chinese Spy Concerns in Solar Power Market,” Sky News, July 21, 2003.
- 8 Cyber Security Cooperative Research Center,“Power Out? Solar Inverters and the Silent Cyber Threat,” August 2023.
- 9 “Reliance on solar 'a risk to security',” The Australian, October 24, 2023.
- 10 条文は「サイバーセキュリティ基本法」を参照のこと。
- 11 詳しくは内閣サイバーセキュリティーセンターWebサイトを参照のこと。
- 12 条文は「経済安全保障推進法」を参照のこと。
- 13 「政府 基幹インフラ設備導入の事前審査対象に210事業者を指定」NHK 、2023年11月17日。
- 14 経済産業省「小規模発電設備等のサイバーセキュリティ対策に係わる検討について」2021年12月24日。
- 15 経済産業省産業保安グループ電力安全課「自家用電気工作物におけるサイバーセキュリティ対策について」2022年9月。
- 16 オーストラリアのサイバーセキュリティを担当するオーストラリア信号局(ASD)は、2023年のサイバー脅威年次報告書で、ウクライナ戦争において「紛争時に重要なインフラが破壊的なサイバー作戦の標的とされている」と警戒感を示し、ヨーロッパ全土の重要インフラが標的となっている、と指摘している。Australian Signals Directorate, ASD Cyber Threat Report 2022-2023, Chapter 2, November 14, 2023.
- 17 ロシアの攻撃主体Sandwormは、ウクライナ電力網のOT(制御)系とIT(業務)系を複合的に攻撃する手法で、電力網で停電を起こさせようと企図したサイバー攻撃を行った。詳しくは、米セキュリティ企業大手のMandiant社の報告書を参照。Ken Proska, et al., “Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology,” Mandiant Blog, November 9, 2023.
- 18 Ibid., ASD Cyber Threat Report 2022-2023, Chapter 3.