経産省 ERABセキュリティ指針を改定

経産省がVer3.0を公表、IoT・クラウド時代に対応

経済産業省は2025年5月22日、エネルギー・リソース・アグリゲーション・ビジネス（以下、ERAB）に参画する事業者が取り組むべきサイバーセキュリティ対策を示した「ERABに関するサイバーセキュリティガイドラインVer3.0」を公表した。分散型電力システムの拡大に伴う新たなリスクに対応する内容で、物理的なゲートウェイ（以下、GW）を介さない制御の広がりやIoT機器の脆弱性を踏まえた実践的な対策が盛り込まれている。

背景：ERABの拡大と脅威の多様化

ERABは、小規模電源や蓄電システム、ディマンド・リスポンス（DR）などの需要家側リソースを活用し、送配電事業者や小売電気事業者に対して、調整力やインバランス回避、電力料金削減等のサービスを提供する仕組みである。経済産業省では2017年にガイドラインを初策定し、これまで2回にわたり改定を行ってきた。

近年の事業拡大に伴い、物理的なGWを用いないクラウド型の制御や、インターネット接続型のIoT機器が急増し、従来想定されなかったサイバーリスクが顕在化している。このため、2024年末から2025年初頭にかけてパブリックコメントを実施し、3月の検討会を経て最新版のVer3.0が取りまとめられた。

主な改定点1：GWを介さない制御に対応

従来のガイドラインでは、機器の制御に物理的なGWを用いることを前提としていたが、今回の改定ではGWがクラウド上に存在するケースや、そもそもGWを介さない制御形態への対応が新たに盛り込まれた。これにより、より柔軟かつ現実的な対策指針が明確化された。

主な改定点2：IoT機器の脆弱性を考慮

IoT製品の普及とともに、その脆弱性を突いたサイバー攻撃のリスクも拡大している。ガイドラインでは、「IoT製品に対するセキュリティ適合性評価制度」を参考に、末端機器のセキュリティ強化に向けた対応例を提示している。

主な改定点3：機器データによるプライバシーリスク

アグリゲーターが取得する制御対象機器のデータには、利用者の在宅／不在などプライバシーに関わる情報が含まれる可能性がある。Ver3.0では、こうしたデータの扱いに伴うセキュリティリスクを新たに整理し、対処方針を提示している。

今後の展望：分散型電力の基盤整備へ

今回のガイドライン改定は、エネルギーインフラのデジタル化と分散化が進む中で、セキュリティ対策をアップデートし続ける重要性を示すものといえる。今後、IoT・AI・クラウド技術を活用した新たなエネルギーサービスが拡大する中で、本指針は事業者にとって実務的なセキュリティの羅針盤となる。

経済産業省「エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン Ver3.0」はこちら

出典：経済産業省　「エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン」を改定しました