30秒で分かること
- 現行案は「認証済み製品を使うこと」を求める。対案は「どんな製品でも安全側に倒れる構成・運用」を求める
- 製品認証は取得時点のスナップショット。危険な設定・迂回経路・取得後の侵害には作用しない
- 対案の中身は、規模に応じた9つの注意義務(分離・境界防御・方向制御・接続先限定・遠隔アクセス条件・初期設定・ログ・更新管理・構成文書化)
- 庁自身が「ゲートウェイ経由なら対象外」とした時点で、境界防御の有効性は制度側も認めている
- 誰も排除しないから貿易摩擦にならず、構成で満たせるからイノベーションを止めず、地政学を埋め込まないから国際関係がどう転んでも作り直し不要
- JC-STAR廃止は求めない。併用方式(みなし適合)という着地点まで用意した
1. 出発点 — 「認証さえあれば設定は問わない」でよいのか
2027年4月から、太陽光発電設備の系統連系にJC-STAR★1という製品認証の取得が実質的な要件になろうとしています。資源エネルギー庁との公開照会で、対象範囲の判断軸が「IP通信機能の有無」という製品仕様であることが確認されました。
ここで一度、立ち止まって考えます。この制度は、何を守るのでしょうか。
玄関に最高級の鍵を付けても、窓を開けっ放しにすれば泥棒は入ります。製品認証は「鍵の品質検査」です。しかし住宅の防犯で本当に問われるのは、鍵のカタログスペックではなく、戸締まりをしたかどうかです。現行案には、この「戸締まり」に相当する義務——安全な接続構成・安全な設定・安全な運用——が含まれていません。認証済み製品を、危険な設定で、インターネットに直接さらして運用しても、制度上は何も問われないのです。
事実製品認証には、制度の善し悪しとは無関係に、構造的な限界があります。
- 認証は取得時点のスナップショットであり、取得後の侵害・未知の脆弱性・供給網の変質・更新基盤への攻撃は担保しない
- 認証は製品単体を見るものであり、危険な設定、危険な接続、認証対象外の機器(汎用PC・LTEルーター等)を経由する到達経路は評価の外にある
- 認証ラベルは現場で検証できない。設備の実際の安全状態とは対応しない
そこで本稿は、逆の前提から出発する対案を提示します。
守るべきは「信頼できる製品の選定」ではなく、
「信頼できない機器が混入しても重大事故に至らないシステム」である。 これは特定の誰かへの不信ではありません。全方位に等しく適用される技術的規律であり、世界の重要インフラ防護が採用している標準的な考え方(多層防御・レジリエンス設計)です。
2. 対案の中身 — 9つの注意義務と規模別階層
提案系統連系技術要件として、製品の出自・認証ではなく、接続構成と運用に対する最低限の注意義務を課します。求めるのは「完全な防御」ではなく「最低限の注意」——結果責任ではなく、手段の履行です。
| # | 義務 | 内容 | 塞ぐリスク |
|---|---|---|---|
| D1 | ネットワーク分離 | 発電設備セグメントを業務LAN・情報系と分離 | 横展開・内部踏み台 |
| D2 | 境界防御 | 外部との接点をGateway/Firewall等の境界1点に集約 | 外部からの直接到達 |
| D3 | 通信方向制御 | 原則アウトバウンドのみ。インバウンドは必要最小限を明示的に許可 | 遠隔からの侵入・制御 |
| D4 | 接続先の限定 | 通信先をホワイトリストで限定・文書化 | 不正な外部通信・持ち出し |
| D5 | 遠隔アクセス条件 | 暗号化経路+多要素認証。常時開放の遠隔デスクトップ類の禁止 | 認証情報窃取・なりすまし |
| D6 | 初期設定義務 | デフォルト認証情報の変更、不要サービスの停止 | 初歩的な既知攻撃 |
| D7 | ログ取得 | 境界通過の通信ログを一定期間保存 | 追跡不能・事後検証不能 |
| D8 | 更新管理 | 修正適用の体制。更新不能な機器は境界内に隔離 | 既知脆弱性の放置 |
| D9 | 構成の文書化 | 接続構成図を保持し、連系申込時に提出 | 監査不能・予見不能 |
規模に応じた階層化 — 「行き過ぎ」を自ら禁じる
全設備への一律適用は過剰です。本提案自身が比例性を欠けば、現行案への指摘と同じ指摘を受けます。
| 区分 | 適用義務 | 理由 |
|---|---|---|
| 低圧・逆潮流なし(自家消費) | 対象外、または D3・D6 の簡易版のみ | 系統への制御経路がなく、系統リスクへの寄与が小さい |
| 低圧・逆潮流あり | D2・D3・D5・D6 | 出力制御経路が生じるため境界と方向制御は必須。ログ・文書化までは求めない |
| 高圧(産業用) | D1〜D9 | 系統影響と事業規模が執行コストに見合う |
| 特別高圧・大規模 | D1〜D9 + 検知・通報体制 | 系統影響が重大。高度要件はここだけに限定 |
求めないものIDS/IPS・SIEM・24時間監視・侵入テストの全数義務化は、特別高圧・大規模を除き要求しません。中小事業者に専任セキュリティ要員を前提とする要件は課しません。
執行は書類1〜2枚 — 「運用義務は検証できない」を先に封じる
- 連系申込時: 接続構成図(D9)と自己宣言書の提出のみ
- 平時: 全数監査は行わない
- 事故・インシデント時: 注意義務の履行状況を遡及確認し、不履行があれば是正命令
認証ラベルの確認も結局は書類確認です。しかも認証は設備の実態と対応しないのに対し、接続構成図は現場で検証できます。執行コストは認証方式と同等以下です。
3. なぜ優れるのか — 7つの論拠
3.1 制度の根拠とされた事例に、直接効くのはどちらか
事実資源エネルギー庁は検討根拠として、2024年5月の太陽光発電設備向け遠隔監視機器へのサイバー攻撃を挙げました(再回答原文)。インターネットから到達可能な監視機器の侵害——この類型に対して、境界防御(D2)・方向制御(D3)・遠隔アクセス条件(D5)・初期設定義務(D6)は攻撃経路そのものに作用します。一方、認証済みの機器でも、インターネットに直接さらされ危険な設定で運用されれば、同型の攻撃は成立し得ます。制度の根拠事例と手段が対応しているのは、対案の側です。
3.2 迂回経路を塞げるのはどちらか
製品仕様で対象を画定する方式では、汎用PC・LTEルーター等の認証対象外機器を経由する外部到達経路が制度の外に残ります(分析5.4)。注意義務方式は機器の種類を問わずシステム全体の到達可能性を対象とするため、迂回構成そのものが義務の対象になります。
3.3 「侵害済み機器の混入」に耐えるのはどちらか
認証済みメーカーの将来的侵害、取得後の脆弱性発見、更新経路の乗っ取り——いずれも認証では防げません。注意義務方式は最初から「機器は侵害され得る」前提で被害の局所化を求めるため、認証が無力化する事態でも防御が残ります。
3.4 庁自身が、境界防御の有効性を既に認めている
分析再回答は対象範囲を「通信機能を有する機器や、ゲートウェイ等を介さずに主要な構成製品と接続している機器」と画定しました。「ゲートウェイ等を介して」いれば対象外とするこの整理は、境界で区切れば配下のリスクは許容水準まで下がる、という判断を制度自身が含んでいることを意味します。
3.5 誰も排除しない — 説明責任の総量が減る
注意義務方式では、どのメーカーのどの製品でも、適切な構成に置けばその日から連系できます。既設設備も境界追加・設定変更で適合でき、既設の孤児化が生じません。市場参入への影響が中立なため、特定メーカー排除の疑念も貿易障壁批判も構造的に成立せず、制度が背負う説明責任の総量が大幅に減ります。
3.6 国際的な重要インフラ防護の主流と整合する
IEC 62443のZone & Conduit、米国のOTセキュリティ実務——重要インフラ防護の国際標準は、いずれもシステム構成と運用を防護の単位とします(詳細な整理はこちら)。製品単体の認証取得を系統連系の入口要件とする方式は、国際実務の中心的手法ではありません。
3.7 時間に耐える
認証は取得時点のスナップショット、系統連系は数十年の運用です。注意義務は運用の全期間に適用され続け、「IP通信機能」のような特定技術に紐づかないため、通信方式が進化しても要件の書き換えを要しません。
4. 国家戦略として — 安全保障・イノベーション・外交
ここまでは技術の話でした。本節は、この方式が国家戦略として持つ性質です。結論から言えば、これは安全保障・産業政策・外交のいずれの局面でも選択肢を狭めない、数少ない設計です。
4.1 安全保障の要請と正面から一致する
「いかなる製品も信用しない」という規律は、安全保障の観点では譲歩ではなく要請そのものです。特定の供給網・特定の認証への信頼に防御を依存させる設計は、その信頼が裏切られた瞬間に崩れます。全方位不信を前提とする注意義務方式は、信頼が裏切られることを設計条件に含んでいるため、有事においても防御構造が変わりません。
さらに、特定供給者の調達制限のような経済安全保障上の措置が将来必要になれば、それにふさわしい法的枠組みで別途講じればよい。技術基準に安全保障判断を埋め込むと、「技術の顔をした外交文書」になり、変更のたびに技術と外交の両方を再説明する負債を抱えます。分離こそが、両方を強くします。
4.2 イノベーションの芽を摘まない
電力システムは今後、VPP・アグリゲーション・蓄電池併設・EV充放電と、機器と事業モデルが最も速く多様化する領域です。認証前置型の要件は、新規参入者に市場に触れる前のコストを課します。大手には管理費用でも、スタートアップには参入障壁として非対称に効きます。
注意義務は構成で満たせるため、どんな新しい機器・事業モデルでも、境界と方向制御を備えた構成に置けばその日から連系できます。守るのは接続の作法であって、機器の設計空間ではありません。規律とイノベーションは、義務を置く場所を間違えなければ両立します。
4.3 国際関係がどう転んでも、作り直しが要らない
技術基準の寿命は数十年です。その間に国際関係は必ず変動します。制度は「関係が悪化した世界」と「改善した世界」の両方で機能し続けなければなりません。
- 悪化した場合 — 注意義務方式の系統は、最初から「侵害され得る機器が既に系統内にある」前提で局所化が機能しています。懸念が現実化しても、緊急の制度改修や既設設備の一斉排除という高コストの対応を要しません。追加措置が必要なら調達段階の規制として上乗せすればよい。土台は動かさずに、上に積めます。
- 改善した場合 — 排除型の枠組みは、解除に制度改正と外交的説明を要し、固定化した市場構造は容易に戻りません。排除の枠組みは、作るより畳む方が難しい。注意義務方式には解除すべきものが最初から存在しません。全メーカーに等しく適用される技術的規律は、いかなる和解とも矛盾しないのです。
技術基準に地政学を埋め込んだ瞬間、基準は外交の変化のたびに人質になります。埋め込まなければ、基準は外交から独立して系統を守り続けます。
4.4 相互主義に耐える — 日本の輸出産業のために
見落とされがちですが決定的な点です。日本が「製品認証を系統連系の入口要件とする」方式を採れば、他国が同じ方式を日本メーカーに適用することを非難する論拠を失います。日本の電力機器・部材産業は輸出産業です。各国が各国独自の認証を入口要件化する世界は、日本メーカーが最も失う世界です。
構成・運用ベースの国際整合的な要件を掲げることは、日本メーカーが世界のどの系統にも接続できる世界を掲げることと同義であり、一貫した通商戦略として堂々と主張できます。
4.5 戦略比較表
| 観点 | 製品認証の要件化 | 注意義務方式 |
|---|---|---|
| 安全保障 | 認証への信頼に依存。信頼崩壊時に脆い | 信頼の裏切りを設計条件に含む |
| 追加の安保措置 | 技術基準と絡み合い、機動性を欠く | 調達規制を独立に上乗せ可能 |
| イノベーション | 認証前置が参入・実験コストを引き上げる | 構成で満たせるため設計空間を制約しない |
| 関係悪化時 | 排除の追加は基準改修を要する | 土台不変。調達段階で上乗せ |
| 関係改善時 | 枠組み解除に制度・外交コスト | 解除すべきものがない |
| 国際説明 | 貿易障壁との批判に脆弱 | 国際標準整合。相互主義に耐える |
5. 予想される反論にすべて答える
反論A:「製品の最低品質確保も必要だ」
認める初期パスワードの個体化、脆弱性届出窓口、更新提供体制といった製品側の下限確保は正当な政策目的であり、JC-STARはそのための有用な仕組みです。本提案が問うのは製品認証の価値ではなく、それを系統連系の入口要件に転用することの適否です。次節の併用方式は、この目的を放棄しません。
反論B:「運用義務は守られない」
守られない可能性は両方式に共通です。認証済み製品を危険な設定で接続することは現行案でも妨げられておらず、現行案は「守られない運用」を制度の視野の外に置いている点でより脆弱です。少なくとも注意義務方式は、守るべき対象が実際のリスクと一致しており、事故時の遡及確認が実効的な圧力として働きます。
反論C:「中小事業者に酷だ」
階層化で応答済みです。低圧自家消費は対象外ないし簡易版、フル要件は高圧以上のみ。なお現行案も中小に無負担ではありません。認証製品への限定は機器選定の自由度を奪い、価格転嫁として同じ中小事業者に及びます。負担の総量比較こそ、制度設計時に行われるべき評価です。
反論D:「執行コストが高い」
自己宣言+構成図提出+事故時遡及であれば、執行コストは認証ラベル確認と同等以下です。しかもこの費用は「検証できるものを確認する」費用であり、「検証できないもの(ラベルと実態の一致)を確認したことにする」費用より正当化しやすいものです。
反論E:「両方やればよいだけでは」
単純な上乗せは負担の二重化であり、比例性を欠きます。ただし優先順位を明確にした併用(次節)には合理性があります。本提案が排除するのは「認証のみを要件とし、構成・運用を問わない」設計だけです。
6. 現実的な着地点 — 併用方式
提案JC-STARを廃止せず、注意義務と接続します。
- 系統連系要件の中核は注意義務(D1〜D9、規模別)とする
- JC-STAR★1取得製品の使用は、D6(初期設定)・D8(更新管理)の適合を推定する(みなし規定) — 認証製品を選べば書類・確認負担が軽くなる、正のインセンティブに変わる
- JC-STARは任意認証として本来の設計に戻り、調達時の参考情報・市場シグナルとしての価値は残る
この方式なら、制度側はJC-STAR活用という既定方針を撤回する必要がなく(適合推定という形で制度に組み込まれます)、事業者はどの製品でも連系でき、認証製品を選べば負担が軽くなり、系統防護の実効性は製品ラベルではなく構成・運用が担保します。
7. 本提案自身の限界(断定しないこと)
- 本提案が「唯一の現実解」であるとは主張しません。主張するのは比較検討の対象とされるべき代替案が存在することです
- 制度設計時に本提案類似の方式が比較評価された可能性は否定できません。評価資料が存在するなら、その公開によって現行案の合理性が示される可能性があります
- 注意義務の具体的水準(D1〜D9の線引き、規模区分)は初期案であり、専門的検討により修正されるべきものです
- JC-STAR★1に効果がないとは主張しません。効果の範囲が製品品質の下限確保に限られ、系統連系要件の中核に据えるには評価境界が狭い、というのが主張です
8. 資源エネルギー庁への確認事項
確認事項本提案から生じる質問は、突き詰めれば一つです。
行った場合は、その比較評価資料又は検討結果を公開可能な範囲でご教示ください。行っていない場合は、その旨のみでも結構です。
この質問はJC-STARの否定を含みません。「他の現実的な代替案と比較したのか」の確認です。
| 応答 | 帰結 |
|---|---|
| 比較評価資料が存在する | 公開により現行案の合理性が検証可能になる。境界防御が劣後すると評価した技術的根拠が示されるなら、それ自体が重要な公開情報 |
| 比較評価を行っていない | より実効的で負担中立的な代替案を比較せずに、市場参入へ重大な影響を持つ方式を選んだことになり、制度設計上の説明が別途必要になる |
| 回答しない | 説明可能性の欠如が公開記録に残る |
いずれの分岐でも、本提案は検討のテーブルに乗ります。かつ本提案は併用方式という制度側の出口を含むため、既定方針の撤回を要求しません。応答のハードルは低いはずです。
なお、送付済みの追加確認Q1〜Q18のうちQ14・Q18が本質問と重なります。回答が届き次第、本ページにも反映します。