1. エグゼクティブサマリー — 10の主要な発見
- 事実JC-STAR★1は自己適合宣言方式だが、IPAは「経済産業省とともに必要な確認作業を行ったうえで」申請を受理すると規定し、「申請が必ず受理され、適合ラベルが交付されるわけではありません。確認作業により要件不適合等の理由で申請が却下されることもあります」と公式に明記している[P4][P5]。★1は「純粋な自己申告」ではなく、受理前の非公開のフィルタを持つ制度である。
- 事実太陽光・蓄電池は2027年4月(低圧50kW未満は同年10月)以降の「系統アクセスにおける契約申込み」から、通信機能を有する制御システム(PCS、EMS等)にJC-STAR★1取得製品の使用が系統連系技術要件として要件化される方向で、グリッドコード検討会で改定案が了承されている[P1][S1][S2]。
- 事実風力は2027年4月から「まずゲートウェイのファイアウォール(又は同等の防御機能を有する機器)に限定」して適用される。検討会議事録によれば、その理由は「風車内に多数のIP機器」「ほとんどが海外製」「日本独自要件はサプライチェーン運用の煩雑化・再設計を招く」という実務上の実現可能性であり、アーキテクチャ上のリスク評価を主軸とした説明は確認できない[P2][S2]。
- 考察風力向けの「境界のファイアウォール限定」は、Trust Boundary/Zone & Conduit(IEC 62443)の考え方に最も近い。制度は風力では境界防御の実効性を事実上認めながら、太陽光では内部機器の製品単位認証を要件化しており、同一制度内でアーキテクチャ観の一貫性が取れていない。この非対称を正当化するリスク評価資料は公開情報から確認できない。
- 事実Huawei自社ブランドでのJC-STAR取得は、2026年4〜7月時点の業界記事・IPA製品リスト確認範囲では確認されていない[S4][S5]。一方、Huawei製LUNA2000等をベースとした国内OEMブランド品(エクソル・DMM等)が流通しており、業界記事は「JC-STARラベルは国内OEMブランド名で発行される」「使用機器がHuawei製でも国内OEMブランドが取得済みなら要件をクリアできる構造」と解説している[S4]。
- 事実ただし「海外メーカー名義では通らない」という一般化は公開情報と整合しない。SMA ソーラー テクノロジー AG(独)、パワーエレクトロニクススペインSL(西)、Moxa Inc.(台)、QNAP Systems, Inc.(台)など、海外法人名義での★1取得の実例が製品リスト上に複数存在する[P8]。
- 未確認「特定国の大手メーカーが申請しても通らない」という噂の真偽は、公開情報からは確認できない。IPAは申請件数・却下件数・審査期間の統計を公開しておらず、申請中案件は秘密保持規程の対象であり「申請中」表記も禁止されているため、「申請したが通らない」のか「そもそも申請していない」のかを外部から判別する手段が存在しない[P5][P6]。この判別不能性そのものが透明性上の最大の論点である。
- 事実★1の16要件は「最低限の衛生状態」を対象とし、IPA自身が「適合ラベルが付与されているからといって、完全・完璧なセキュリティが確保されていることを保証するものではない」と明記している[P3]。意図的バックドア、正規アップデート経由の挙動変更、クラウド側の侵害、運用中の構成変更、ネットワーク境界設計の不備は★1の評価範囲外である。
- 事実既設設備も機器切替(故障による交換を含む)の際には改定後要件が適用されるとの資源エネルギー庁の説明があり、複数PCSのうち1台の交換であっても発電所の全対象機器のJC-STAR適合が必要になる可能性が法律事務所レポートで示唆されている[S1]。運用中の構成変更を継続的に評価する仕組みは公開資料から確認できない。
- 考察制度目的(系統影響の抑制・最低品質の底上げ)自体は国際動向(英国PSTI、シンガポールCLS、米UL 2941、EU CRA)と整合的である。問題は「製品ラベル」を「システム安全性」の代理指標として運用に載せる際の設計にある。本調査は、製品認証にネットワーク境界評価・システムアセスメント・後付是正を組み合わせる方向がIEC 62443等の国際的な考え方とより整合的であると結論づける。
2. 調査方法と情報源
本調査は2026年7月4日時点の公開情報に基づく。一次資料(政府・公的機関)14点、二次資料(法律事務所・業界メディア・事業者)15点を確認した。全出典は出典一覧にURL付きで掲載している。
事実中核となる一次資料は次の通り。
- 資源エネルギー庁「分散型電源のサイバーセキュリティ対策の要件化について」第20回グリッドコード検討会 資料4(2025年12月16日)[P1] と同検討会議事録[P2]
- IPA「JC-STAR」制度ページ・詳細情報・申請手続きページ[P3][P4][P5]、申請手引JSM-02-A[P6]、★1適合基準・評価手法[P7]、適合ラベル取得製品リスト[P8]
- JET「系統連系保護装置等認証の手引き」(製造工場登録・OEMモデル追加の規定)[P13]
- 相互承認関連(英国PSTI・シンガポールCLS)のIPA公式ページ[P10][P11]
調査方法上の限界: IPA製品リストは随時更新されるWebページであり、本調査ではその一部(2025年5月〜2026年6月掲載分)を確認した。全件の悉皆確認・型番レベルの突合は実施していない。JET認証登録リストとJC-STAR製品リストの型番突合も未実施である(第13章の追加調査事項)。第21回グリッドコード検討会(2026年3月31日)の内容は法律事務所・専門メディアの二次資料経由で確認した。
3. JC-STAR制度の事実整理
3.1 基本構造
事実JC-STAR(セキュリティ要件適合評価及びラベリング制度)は経済産業省の政策のもとIPAが認証機関として運営する。対象は「IPを使用する通信が可能なIoT製品」で、パソコン・スマートフォン等の汎用IT製品は対象外。★1・★2は自己適合宣言、★3・★4は第三者評価機関による評価・認証。★1の申請受付は2025年3月25日開始、★2は2026年以降の受付開始を計画している[P3][P4][P9]。ラベル有効期間は最長2年[P9]。標準処理期間は★1で約1〜1.5か月とされる[S13]。
3.2 ★1の16要件
事実★1はS1.1-01〜S1.1-16の16基準からなる。アクセス制御、推測困難なデフォルトパスワード(機器毎に一意6文字以上、または初回起動時に8文字以上への変更強制)、認証値の変更可能性、総当たり攻撃対策、脆弱性開示ポリシーの公開、ソフトウェアのアップデート機能・手順・完全性・適時性、製品型番の確認方法、セキュアな保存・通信、攻撃面の最小化、電源OFFレジリエンス、ユーザデータ消去、製品情報提供である[P7]。評価手法は大部分がドキュメント評価であり、実機テストを課さない基準が多い(例: デフォルトパスワード基準S1.1-02は「ドキュメント評価のみ、実機テストなし」と明記)[P7]。
3.3 申請フローと「申請中」表記の禁止
事実ベンダーは自己評価チェックリストを作成しIPAに申請する。証跡のIPA提出は不要だが有効期間中の保管義務があり、不保管はラベル取消事由となる[P6]。IPAは「経済産業省とともに必要な確認作業を行ったうえで」申請を受理する[P4]。適合に疑義が生じた場合はIPAが検査・サーベイランスを実施し、取消もあり得る[P3]。
考察この規定の一次的な目的は市場の誤認防止と考えられる。一方でその帰結として、どの企業が申請中で、どの企業の申請が滞留・却下されているかは制度上、外部から観測不可能になる。申請内容はIPA秘密保持規程の対象でもある[P6]。
3.4 統計の公開状況と相互承認
未確認申請件数・受理件数・却下件数・不適合件数・審査期間の統計は、本調査の範囲ではIPA・経産省の公開資料から確認できなかった。外部集計として2025年10月時点で41社89件の取得という数字がある[S10]。
事実相互承認は英国PSTI法(2026年1月1日開始。★1の16要件中、S1.1-02・05・16の3基準のチェック免除)[P10]、シンガポールCLS Level 1(2026年6月1日開始)[P11][P12]の2件。EU CRA・米国とは交渉中であり、CCRAのような多国間相互承認枠組みはまだ存在しない[P4]。
4. 分散型電源への適用 — グリッドコード要件化
4.1 政策の経緯
事実2024年5月、太陽光発電設備向け遠隔監視機器約800台がサイバー攻撃を受け、インターネットバンキング不正送金の踏み台として悪用される事案が発生した。悪用された脆弱性は以前から報告され攻撃実証コード(PoC)も公開されており、メーカーは「対象機器は出力制御機能を有さないため系統への影響はない」と説明した[P1]。これを受け経産省は2025年2月、系統連系手続きでJC-STAR取得製品の利用を要件化する方向を表明。長期脱炭素電源オークション・系統用蓄電池補助事業では先行して「PCS、EMS、BMS等」への★1要件が導入済みである[P1][S7]。
4.2 要件化の内容
| 区分 | 適用開始 | トリガー | 備考 |
|---|---|---|---|
| 太陽光・蓄電池(特高・高圧) | 2027年4月 | 系統アクセスにおける契約申込み | 自家消費型等への猶予はJPEAが要望中・未決[S2] |
| 太陽光・蓄電池(低圧50kW未満) | 2027年10月 | 同上 | 流通在庫消化のため半年の経過措置[P1] |
| 風力 | 2027年4月 | — | ゲートウェイのファイアウォール(又は同等の防御機能を有する機器)に限定して早期適用[S2] |
| 燃料電池 | 2028年4月 | — | PCSを用いる形式が対象[S2] |
事実対象は「分散型電源が採用する通信機能を有する制御システム(PCS、EMS等)」のうちIP通信を用いる製品。第20回資料の構成図では、家庭用はPCS・HEMS等(出力制御機能を含む場合)が対象範囲でルータ等は対象範囲外の「推奨」。事業用はPCS・遠隔監視装置等・EMS/SC等・BMS・ゲートウェイ等が「広義PCS」として対象範囲、監視カメラ等は「推奨」である。ただし注記で「対象範囲外の機器においても、発電等設備に対する制御機能を有する場合や、ゲートウェイ等を介さずに主要な構成製品に連携する場合は対象となる」とされる[P1]。
事実既存設備も、機器の切替え(リパワリングに限らず故障による交換を含む)の際には改定後要件への適合が求められると資源エネルギー庁が説明しており、複数PCSのうち1台を交換する場合でも発電所の全対象機器のJC-STAR適合が必要になる可能性が示唆されている[S1]。★1取得の義務主体は製品メーカーであり、発電事業者は「取得済み製品の使用を確認する」立場になる[S3][S15]。
5. 電源種間の非対称 — なぜ風力はゲートウェイ限定なのか
事実第20回グリッドコード検討会議事録に、この差の由来が記録されている。日本風力発電協会(JWPA)のオブザーバーは次のように発言した[P2]。
事実資源エネルギー庁は「風力発電に含まれるIP機能を有する機器については、太陽光発電と異なりほとんどが海外製という事情」を認め、太陽光については「海外製のPCS等についてもJC-STARの取得が可能であることは海外のメーカにも確認しており、幅広く情報収集したうえで、今回の提案となっている」と説明した[P2]。第21回検討会で風力2027年4月(ゲートウェイのファイアウォール限定)が了承された[S2]。
考察つまり風力の「境界限定」は、リスクベースの設計判断というよりサプライチェーン実務の制約から生まれた妥協である。しかし結果として風力は「境界のファイアウォールを固めれば内部機器は暫定的に対象外にできる」という、IEC 62443のZone & Conduitに相当する整理に到達している。同じ論理が太陽光に適用されない理由は、公開資料では「太陽光は海外メーカーも取得可能と確認済み」「補助事業の先行例がある」という実現可能性の差でしか説明されておらず、「PCS直結型とゲートウェイ配下のPCSでリスクがどう違うか」というアーキテクチャ上のリスク評価は確認できない。制度の一貫性の観点から、公開の場での説明が望まれる。
6. Trust Boundary観点からの技術分析
6.1 構成差は評価されるか
同じPCSでも、次の2構成ではリスクが大きく異なる。
- 構成A: Internet → PCS(直結)
- 構成B: Internet → 認証済みFirewall/VPN/Router → 閉域LAN → PCS
事実公開資料の範囲では、JC-STARにも系統連系技術要件の改定案にも、この構成差を評価・区別する仕組みの記載は確認できない。JC-STARは製品単位のラベルであり、設置環境・ネットワークトポロジは評価対象外である[P3][P7]。
考察その帰結として次の逆転が起こり得る。構成Aは、PCSが★1取得済みであれば要件適合(境界防御なしのインターネット直結でも可)。構成Bは、PCSが★1未取得であれば要件不適合(多層防御・閉域化されていても不可)。OTセキュリティで最も効果が大きいとされる境界防御・閉域化・物理分離が、制度上の適合性に寄与しない構造である。
6.2 動的ネットワークと静的認証
事実JC-STARには製品情報変更届・型番追加届の手続きがあり、申請者の変更、OEM/ODM製造への変更、ファームウェア開発・保守体制の変更等は届出事項である[P6]。しかし、設置後の発電所のネットワーク構成変更(LTEルーター交換・監視装置交換・EMS追加・VPN追加・クラウド変更・保守PC接続等)を追跡・評価する仕組みは、JC-STARにも系統連系技術要件改定案にも確認できない。唯一の接点は「機器切替時に改定後要件を適用する」という運用[S1]であり、これは構成変更のうち対象機器の物理的交換だけを捕捉する。
考察20〜30年運用される太陽光発電所では、認証取得時点の状態と運用中の状態は必然的に乖離する。この乖離を製品ラベルの更新だけで管理するのは構造的に困難であり、システム側の構成管理・境界管理を評価する補完的な仕組みが必要である(第15章)。
7. 自己適合宣言★1の実務分析
事実★1の実像は「自己申告+受理前の非公開の確認作業+事後サーベイランス」の三層構造である。自己評価はベンダー自身が行い証跡のIPA提出は不要[P4]。受理には「IPAが経済産業省とともに行う必要な確認作業」の通過が必要[P4]。IPAは「評価の信頼性はベンダーの信頼性に依存する」と明言し、疑義発生時の検査・サーベイランス・取消で信頼性のバランスを取ると説明する[P3]。
未確認「必要な確認作業」の内容・基準は公開資料からは確認できない。却下理由として公式に示されるのは「確認作業により要件不適合等の理由」[P5]であり、「等」に何が含まれるか(申請者の体制・属性に関わる考慮の有無)も確認できない。実際の処理期間の分布、滞留案件の有無・件数も公開されていない。
考察「自己適合宣言なのに通らないことがあるのか」という問いへの制度上の答えは「あり得る。IPA自身が却下があり得ると明記している」である。ただし確認作業がどの程度実質的な審査なのか(書式チェックなのか、事業者スクリーニングを含むのか)は外部から判別できない。この不透明さが後述の噂の温床になっていると考えられる。
8. OEM名義取得と元メーカー名義取得の構造
事実JC-STAR申請書には製造区分として「自社製造とOEM/ODM製造の併用」「OEM/ODM製造の場合の製造ベンダー、又はその親会社の構成」を記載する欄が存在し、これらの変更は届出事項である[P6]。つまりIPAは申請受付時点で実際の製造元(OEM元)とその資本関係を把握する制度設計になっている。一方、公開される製品リストに表示されるのは「取得事業者」(申請者)と製品名称であり、製造元は公開リスト上に表示されない[P8]。ハンファジャパンのように取得事業者側が自主的に「(ニチコン株式会社製)」等と製造元を併記する例はある[S6]。
考察制度上、OEMブランド保有者(国内販売事業者)が申請者となってラベルを取得することは正規の経路であり「脱法」ではない。★1の要件は製品の技術的性質に加え、申請者が担う継続的義務(証跡保管、脆弱性対応、情報提供、サーベイランス対応)を含むため、ラベルは「製品の技術的状態」と「申請者の責任体制」の複合的な証明と解釈できる。「JC-STARは技術的安全性を見ているのか、国内責任主体・サポート体制を見ているのか」という問いへの答えは「両方を見ているが、公開されるのは申請者名だけであり、外部からは責任構造の全体が見えない」である。
推測同一ハードウェア・ファームウェアであっても、申請主体(責任体制)が異なれば確認作業・サーベイランスの実効性への評価が異なり得ることは、制度の建付け上あり得る。ただしそれが実際の受理判断に影響しているかは確認できない。
9. Huawei系製品・国内OEM・JET登録情報の照合
9.1 取得状況の観測結果
| メーカー/取得事業者 | 名義 | 確認できた取得例(製品リスト確認範囲) |
|---|---|---|
| SMA ソーラー テクノロジー AG(独) | 海外法人名義 | サニーセントラル、サニーセントラルストレージ(2025年9月)[P8] |
| パワーエレクトロニクススペインSL(西) | 海外法人名義 | 太陽光発電および蓄電インバータ HEMK・PCSK(2026年3月)[P8] |
| Moxa Inc./QNAP Systems, Inc.(台) | 海外法人名義 | セキュアルータ・ファイアウォール/NAS OS(2026年5〜6月)[P8] |
| ニチコン・オムロンOSS・TMEIC・富士電機・ダイヘン・GSユアサ・京セラ ほか国内各社 | 国内名義 | PCS・蓄電システム・ゲートウェイ・EMS等 多数[P8] |
| ラプラス・システム/フィールドロジック | 国内名義 | Solar Link ZERO(2025年11月)/ダイヘンEMS用DataCube4(2026年5月)[P8] |
| ハンファジャパン | 国内名義 | Q.READYパワーコンディショナ(2026年3月18日)。同社の取得製品一覧にはニチコン製・NextDrive製・住友電工製が製造元併記で並ぶ[S6] |
| HUAWEI(中) | 自社名義 | 未確認(2026年4〜5月時点の業界記事2件および本調査のリスト確認範囲)[S4][S5] |
| SUNGROW(中) | 自社名義 | 未確認(2026年4月時点)[S5] |
事実Huawei製LUNA2000蓄電システムは、エクソル(XSOL)・DMM.com等が国内OEMブランドとして販売している(エクソルの住宅用蓄電システムの約9割がファーウェイ製との報道もある)[S11][S12]。業界記事は「JC-STARの認証ラベルは『国内OEMブランド名』で発行される」「IPAリストで確認する際は『HUAWEI』ではなくOEM元の国内ブランド名で検索してください」と解説している[S4]。
事実JETの系統連系保護装置等認証は型番ごとに認証され、製造工場は認証モデルごとに登録される(複数工場の登録可)。OEM品等の同一仕様・複数型式はまとめて申請でき、登録モデルと全く同じ仕様の製品(OEM品等)は部分変更届でモデル追加できる[P13]。認証登録リストはJETサイトで公開されている[P14]。
考察したがってJET登録簿を使えば「国内OEMブランド型番 ⇔ 元メーカー・製造工場」の対応は原理的に照合可能であり、JC-STAR製品リストに製造元が表示されない現状では、JET登録簿がOEM関係を外部から確認できる数少ない公開手段である。本調査ではこの型番突合は未実施であり、追加調査事項とする。また上表の観測は「海外メーカー名義では通らない」という仮説を否定する。差があるとすれば「海外か国内か」ではなく別の軸だが、それが何か(国・企業単位の考慮か、単なる各社の申請判断の差か)は公開情報から判別できない。
10. 噂・業界認識・公開情報の整合性
噂「特定国の大手メーカーが何度も申請しても通らない、受理されない、進まない」という認識が業界内にあるとされる。本章はこの噂を断定せず、公開情報と照合する。
| 観点 | 公開情報での確認結果 |
|---|---|
| Huawei自社ブランドの未取得 | 事実2026年4〜5月時点の複数の業界記事とリスト確認で未確認[S4][S5] |
| 「申請したが却下された」ことを示す情報 | 未確認そのような公開情報・報道・当事者発言は発見できなかった |
| 「申請していない」ことを示す情報 | 未確認同上。当該メーカーからのJC-STARに関する公式発表も確認できない |
| 却下が制度上あり得るか | 事実あり得る。IPAが公式に明記[P5] |
| 申請状況を外部から確認する手段 | 事実存在しない。「申請中」表記は禁止、申請内容は秘密保持の対象[P5][P6] |
| 業界記事のトーン | 事実「未確認」「今後の動向に注目」という中立的表現にとどまり、排除を示唆する記事は確認できなかった[S4][S5] |
考察噂の真偽は確認できない。そして重要なのは、現行制度の情報公開設計では原理的に確認できないことである。取得済みリストという「結果」だけが公開され、申請・審査・却下という「過程」が全て非公開であるため、「未取得」という観測事実に対して「申請していない」「申請したが通らない」「戦略的に国内OEM経由を選んでいる」のいずれの説明も否定できない。情報の非対称性がある市場では検証不能な噂が流通しやすい。制度への信頼を守る観点からも、匿名化された統計(申請数・受理数・却下数・平均処理期間)の定期公表は制度運営側にとっても合理的な対応と考えられる。
11. サプライチェーンリスクへの実効性 — 防げるもの・防げないもの
事実第20回資料は今回の要件化を「製品ベースでのサプライチェーン・リスクを含めたセキュリティ対策」と位置づける[P1]。一方、★1の16要件にSBOM・セキュアブート・ペネトレーションテスト・サプライチェーン検証は含まれない(これらは★3以上の要件)[P7][S14]。検討会では座長の「多数の電源を短時間に停止させる攻撃なら系統は完全につぶれる」という問いに対し、資源エネルギー庁は「そのようなケースが実績としてあるわけではないが、可能性としては十分考えられる。JC-STAR★1から取り組み、蓋然性を低くしたい」と答えている[P2]。
| 分類 | 項目 | ★1での対応 |
|---|---|---|
| 防げる(低減できる) | 共通初期パスワード | S1.1-02で直接対応 |
| 更新不能な機器 | S1.1-06〜09で直接対応 | |
| 脆弱性対応窓口なし | S1.1-05で直接対応 | |
| 最低限の管理体制なし | 証跡保管・情報提供義務で部分対応 | |
| 2024年5月型の攻撃(既知脆弱性の放置) | 更新体制の存在によりリスク低減(運用での適用は担保外) | |
| 防げない | 意図的バックドア | 評価範囲外(ドキュメント評価中心・ソースコード検査なし) |
| 正規アップデートによる挙動変更 | 評価範囲外(更新機能はむしろ要件) | |
| クラウド側の支配・侵害 | 製品外・評価範囲外 | |
| サプライチェーン上の深いリスク | ★1に検証要件なし(★3以上で部分対応) | |
| 正規認証済み機器の運用中の侵害 | サーベイランスは「疑義が生じた場合」のみ | |
| 運用中の構成変更 | 制度の射程外(第6章) | |
| ネットワーク境界設計の不備 | 制度の射程外(第6章) |
考察この整理は制度資料の自己認識(「最低限の水準」「完全を保証しない」[P3])と整合する。「JC-STAR★1要件化により特定国リスク・サプライチェーンリスクに対処した」という期待が仮に存在するなら、それは制度の実際の守備範囲に対する過大評価である。逆に★1が防ぐ「最低限の衛生状態の欠如」は、2024年5月の実事案に直接対応する合理的な施策であり、問題は効果の誇張と混同にあって制度そのものにあるのではない。
12. 市場競争・自家消費型設備への影響
12.1 市場競争
事実検討会では風力業界から「日本独自要件はサプライチェーン運用の煩雑化・システム再設計を招く」との懸念が表明され[P2]、オブザーバーから「海外メーカーも含めて丁寧な調整を」との要望があった[P2]。低圧の適用を半年遅らせた理由は流通在庫への配慮である[P1]。製品価格上昇・海外メーカー撤退・競争低下等の定量的影響評価は公開資料からは確認できなかった。
推測「国内OEM経由でしか流通しない歪み」は、現に住宅用蓄電池市場で観察される構造と整合するが、この構造はJC-STAR以前からの商慣行(保証・施工網・ブランド)でもあり、JC-STARが原因と断定はできない。ただし要件化がこの構造を固定化・強化する方向に働く可能性は指摘に値する。相互承認(PSTI・CLS)の推進は参入コストを下げる方向の施策であり、「閉じた制度」批判への制度側の対応と評価できる。
12.2 自家消費型設備
事実要件のトリガーは「系統アクセスにおける契約申込み」であり[S1][S2]、系統に連系する限り逆潮流の有無にかかわらず対象になると読める。太陽光発電協会(JPEA)は「500kW以下の自家消費型や、高圧受電でも低圧連系と同じPCSで構成する案件」に低圧同様の2027年10月までの猶予を要望し、資源エネルギー庁とJPEAの調整に委ねられ未決である[S2]。
未確認逆潮流の有無・系統影響の大小・通信経路(インターネット直結/閉域/VPN/完全ローカル)によるリスク差を要件に反映する仕組みは、公開資料からは確認できない。対象設定は「IP通信を用いるか否か」の一軸であり、「どこと、どのような経路でIP通信するか」は問われていない[P1]。
考察需要地内で完結し逆潮流を行わない自家消費型設備は、系統影響の観点では負荷変動と等価に近い。この場合に系統連系要件として製品認証を課す根拠は「系統影響の抑制」ではなく「IoT製品一般の底上げ」に近づき、規制手段との整合性が相対的に弱くなる。JPEA要望への対応はこの論点の試金石となる。関連する設計提案はLEAA(負荷等価型・自律レジリエンスアーキテクチャ)を参照。
13. 制度の未解決論点と追加調査事項
13.1 未解決論点(9点)
- 認証境界の不在 — 製品単位ラベルであり、ネットワーク構成(境界防御・閉域化)が適合性評価に反映されない。
- 電源種間の非対称 — 風力は境界限定・太陽光は内部機器要件という差が、リスク評価ではなく実現可能性で説明されている。
- 審査過程の不透明性 — 「必要な確認作業」の内容・基準・統計が非公開で、未取得の理由を外部から検証できない。
- OEM関係の不可視性 — IPAは製造元を把握するが公開リストには表示されず、責任構造が利用者から見えない。
- 動的構成への未対応 — 20〜30年の運用中の構成変更を捕捉する仕組みが機器交換時の要件適用しかない。
- 既設への波及の不確定 — 1台交換で全機器適合が必要になる可能性の示唆[S1]は、事実上の一括更新圧力・後付是正経路の閉塞につながり得る。
- 効果と期待の乖離 — ★1の守備範囲(最低限の衛生)と、政策文脈で語られる「サプライチェーン・リスクを含めた対策」の間のギャップ。
- 自家消費型の扱い — 系統影響の小さい設備への一律適用の合理性が未整理。
- 均質化リスク — 同一認証構成の全国一律普及が攻撃面の均質化を招く可能性についての議論は公開資料から確認できない。
13.2 追加調査すべき一次情報(10点)
- 第21回グリッドコード検討会(2026年3月31日)の資料原文・議事録 — 規程改定案の条文文言、JPEA調整の帰結。
- 改定後の系統連系技術要件ガイドライン・各一般送配電事業者の規程公布文 — 「PCS、EMS等」の確定的定義、既設交換時の適用範囲。
- JET認証登録リストとJC-STAR製品リストの型番突合 — Huawei Technologies Co., Ltd. が製造工場として登録されているモデルと国内OEMブランド型番の対応の実証。
- IPAへの照会・情報公開請求 — ★1申請の受付数・受理数・却下数・平均処理期間の統計。
- 電力分野サイバーセキュリティWG資料(経産省)— 並走する制度整理の原文。
- 長期脱炭素電源オークション募集要綱・補助事業公募要領の該当条文。
- エクソル・DMM名義のJC-STAR登録の有無と登録番号(IPAリストの悉皆確認)。
- Huawei Japan・Sungrow JapanのJC-STAR対応方針についての公式見解。
- 英国PSTI相互承認ルートの利用実績。
- UL 2941(米国のDER向けサイバーセキュリティ認証)とJC-STAR★1の要件比較 — 境界評価・システム評価の有無。
14. IPA・経産省・評価機関・メーカーへ送るべき質問案
IPA宛て
- ★1申請の「IPAが経済産業省とともに行う必要な確認作業」の確認項目を、可能な範囲で公開いただけないか。
- 申請件数・受理件数・却下件数・平均処理期間の統計を、申請者を特定しない形で定期公表する予定はあるか。
- 却下事由「要件不適合等」の「等」には、技術要件以外(申請者の体制・属性等)が含まれ得るか。
- OEM/ODM製造の場合、公開製品リストに製造元(またはその開示の有無)を表示する予定はあるか。
- 同一ハードウェア・ファームウェアの製品について、申請主体が異なる場合に確認作業の結論が異なることは制度上あり得るか。
経済産業省・資源エネルギー庁宛て
- 太陽光でPCS・EMS等を要件化し、風力でゲートウェイのファイアウォールに限定した差について、リスク評価上の根拠資料はあるか。実現可能性以外の理由があれば公開いただきたい。
- 「Internet直結のPCS」と「認証済み境界機器・閉域網配下のPCS」のリスク差を、系統連系技術要件上どのように評価するのか。境界機器の認証・閉域化を適合手段として認める検討はあるか。
- 既設発電所で複数PCSのうち1台を交換する場合の要件適用範囲を、条文上明確化する予定はあるか。全数適合が必要となる場合、境界強化(ゲートウェイ追加・閉域化)による代替・猶予(後付是正の経路)は検討され得るか。
- 逆潮流を行わない自家消費型設備について、系統影響の観点からの要件差別化(またはJPEA要望の猶予)はどう整理されるか。
- 運用開始後のネットワーク構成変更(監視装置交換・EMS追加・クラウド変更等)は、系統連系技術要件上どの時点で再確認されるのか。
- 分散型電源向け★2以上の適合基準の検討において、Zone & Conduit(IEC 62443)等の境界・構成評価の考え方を取り込む予定はあるか。
評価機関・JET/メーカー宛て
- JET認証における製造工場登録情報と、JC-STAR取得製品の対応関係を、利用者が照合しやすくする情報提供の予定はあるか。
- (未取得メーカー宛て)JC-STAR★1について、申請の有無・対応方針を公表する予定はあるか(国内OEM経由の対応を含む)。
15. 暫定結論と制度設計の代替案
15.1 主要質問への回答(要約)
| 問い | 回答 |
|---|---|
| ★1はどの程度「自己申告」か | 評価は自己申告だが、受理には非公開の確認作業があり、事後サーベイランス・取消の仕組みを持つ中間形態。 |
| 自己申告なのに「通らない」ことはどう起こるか | IPA自身が「確認作業により要件不適合等の理由で却下があり得る」と明記。却下の基準・実績は非公開。 |
| 風力Gateway優先・太陽光PCS優先の理由 | 説明は存在するが、内容は実現可能性(海外製・多数IP機器・再設計負担)であり、リスク評価ではない。 |
| Trust Boundary相当の発想の有無 | 制度資料本文には確認できない。議事録でJWPAがIEC 62443と境界限定を提案し、風力の暫定措置として部分的に採用された。 |
| OEM名義なら通る構造はあり得るか | OEMブランド保有者の申請は正規経路。申請者の責任体制が評価に含まれるため申請主体で扱いが異なる可能性は建付け上あり得るが、実際にそうなっているかは確認できない。 |
| 取得状況の偏り | 住宅用は国内先行、産業用は欧・韓・台の海外勢も自社名義で取得済み。未取得が目立つのは中国系大手だが、原因は判別できない。 |
| 統計の公開 | 公開されていない。 |
| 製品認証かシステム安全性評価か | 製品認証である。制度自身もそれ以上を主張していない。 |
15.2 より合理的な制度設計の方向(提案)
考察制度の目的(系統影響の抑制・最低品質の底上げ)を支持したうえで、以下を提案する。特定メーカー・製品・国の推奨や排除を意図しない。
- 製品認証と境界評価の併用 — ★1製品要件に加え、「認証済み境界機器+閉域構成」を適合手段(または代替・補完手段)として認める。風力で採用された境界限定アプローチを、太陽光・蓄電池にも構成に応じて選択可能にする。
- 後付是正(運用開始後の是正経路)の明文化 — 既設設備について、認証製品への全数置換だけでなく、境界機器の後付追加・通信経路の縮退(直結→VPN/閉域)・物理保護の分離・監視の追加を是正手段として位置づける。機器1台交換時の全数適合問題への現実的回答にもなる。詳細は論考「認証境界」第11章を参照。
- システムアセスメントの段階導入 — 一定規模以上の発電所には、竣工時・大規模改修時の構成届出とネットワーク構成の自己評価(IEC 62443ベースの簡易Zone & Conduit整理)を求める。
- 透明性の確保 — 申請・受理・却下・処理期間の匿名化統計の定期公表。OEM製造の場合の製造元表示(または表示有無の開示)。
- リスク比例原則 — 逆潮流の有無・系統影響の大小・通信経路に応じた要件の傾斜。完全ローカル構成の自家消費型への簡易ルート設定。
- 国際整合の継続 — PSTI・CLSに続く相互承認拡大と、UL 2941・EU CRA/NIS2との要件マッピングの公開。
15.3 総括
JC-STAR★1の系統連系要件化は、2024年の実事案への対応として出発点の合理性を持つ。しかし公開情報の調査からは、認証境界の評価が制度に存在しないこと、電源種間の対象設定の非対称がリスク評価で説明されていないこと、審査過程と統計の非公開が検証不能な噂を生む構造になっていること、動的な運用実態と静的な製品認証のギャップが未処理であることが確認された。
制度を「潰す」のではなく、境界評価・後付是正・透明性・リスク比例を加えることで、制度目的の達成度はより高くなる。
16. 出典・参考文献一覧
一次資料(政府・公的機関)
- [P1] 資源エネルギー庁「分散型電源のサイバーセキュリティ対策の要件化について」第20回グリッドコード検討会 資料4(2025年12月16日)
https://www.occto.or.jp/assets/iinkai/gridcode/20/gridcode_20_05.pdf - [P2] 第20回グリッドコード検討会 議事録(2025年12月16日)
https://www.occto.or.jp/assets/iinkai/gridcode/20/gridcode_20_gijiroku.pdf - [P3] IPA「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」
https://www.ipa.go.jp/security/jc-star/index.html - [P4] IPA「セキュリティラベリング制度(JC-STAR)についての詳細情報」
https://www.ipa.go.jp/security/jc-star/detail.html - [P5] IPA「★1と★2の新規申請手続き」
https://www.ipa.go.jp/security/jc-star/shinsei/shinki-1-2/index.html - [P6] IPA「セキュリティ要件適合評価・認証及びラベル取得申請等のための手引(JSM-02-A)」
https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSM-02-A.pdf - [P7] IPA「JC-STAR ★1(レベル1)適合基準・評価手法」
https://www.ipa.go.jp/security/jc-star/tekigou-kizyun-guide/label1/begoj90000004zgc-att/JC-STARlevel1_tekigoukizyun_hyouka.pdf - [P8] IPA「適合ラベル取得製品リスト」
https://www.ipa.go.jp/security/jc-star/list/jc-star-product-list/index.html - [P9] 経済産業省「IoT製品に対するセキュリティラベリング制度(JC-STAR)の運用を開始しました」(2025年3月25日)
https://www.meti.go.jp/press/2024/03/20250325007/20250325007.html - [P10] IPA「PSTI法適合証明について」
https://www.ipa.go.jp/security/jc-star/shinsei/psti.html - [P11] IPAプレス「日本・シンガポール、IoTサイバーセキュリティ制度の相互承認に関する覚書に署名」(2026年3月18日)
https://www.ipa.go.jp/pressrelease/2025/press20260318.html - [P12] IPA(英語)「Regarding Mutual Recognition Application for Singapore CLS & JC-STAR」
https://www.ipa.go.jp/en/security/jc-star/shinsei/cls_e.html - [P13] JET「系統連系保護装置等認証の手引き」(2025年5月版)
https://www.jet.or.jp/common/data/products/protection/tebiki_202505.pdf - [P14] JET「系統連系保護装置等認証」(登録リスト掲載ページ)
https://www.jet.or.jp/renewable/power_conditioner/protection/
二次資料(法律事務所・業界メディア・事業者)
- [S1] Orrick法律事務所「Japan Renewables Alert 72」(2026年5月)
https://www.orrick.com/ja-JP/insights/2026/05/japan-renewables-alert-72 - [S2] ScienceX「JC-STAR★1の起点は『連系日』ではない — 基準は『接続契約申込み』、高圧は2027年4月から」
https://www.scix.co.jp/column-jcstar - [S3] Gridwatch Policy Desk「太陽光・蓄電池、JC-STAR★1が連系条件へ」
https://www.gridwatch.jp/policy/der-cybersecurity-jc-star-grid-connection-february-2026 - [S4] ソーラーリンクネット「JC-STAR取得済みメーカーはどこ?オムロン・HUAWEI・安川電機など主要メーカーの対応状況【2026年最新】」
solarlink-net.co.jp(JC-STAR取得済みメーカー記事) - [S5] 株式会社splight「JC-STAR取得済みメーカー一覧|海外勢SMA・Samsung先行、HUAWEI」(2026年4月時点)
https://splight.co.jp/wp/oshirase/jc-star-iot-security-2026/ - [S6] ハンファジャパン プレスリリース(2026年3月24日)・JC-STAR適合ラベル取得製品一覧
https://www.q-cells.jp/news/pressrelease/20260324/ / https://www.q-cells.jp/product-list/jc-star-product-list/ - [S7] SOLAR JOURNAL「JC STARの取得と脱炭素オークション」
https://solarjournal.jp/information/64153/ - [S8] BESS NEWS「JC-STAR★1 BESS関連製品53件を登録番号付きで公開」(2026年4月再照合)
https://bessnews.jp/technology/beginner/4612901305007/ - [S9] ユニバーサルエコロジー「2027年4月グリッドコード改定」
https://unieco.co.jp/article/jc-star-solar_260311/ - [S10] craevidence「JC-STAR取得済み?EU CRAで追加対応が必要な6つの要求事項」
https://craevidence.com/ja/blog/jc-star-eu-cra-gap-analysis - [S11] SOLAR JOURNAL「エクソルの住宅用蓄電システム、好調の理由は? ファーウェイとの協業により顧客ニーズに応える」
https://solarjournal.jp/product/50070/ - [S12] ソーラーパートナーズ「DMM蓄電池の相場価格・特徴」(LUNA2000 OEM言及)
https://www.solar-partners.jp/contents/91285.html - [S13] アイアンバード行政書士事務所「JC-STAR制度」(手数料・標準処理期間)
https://ironbird.jp/jc-star/ - [S14] unitis「JC-STARの概要とセキュリティ業務への影響」
https://unitis.jp/articles/18754/ - [S15] eikishoji「JC-STARで何が決まり、何がまだ決まっていないのか」
https://eikishoji.com/jc-star-decided-undecided/
本レポートは2026年7月4日時点の公開情報に基づく調査であり、以降に制度・取得状況が変わる可能性があります。「考察」「推測」は著者の技術的見解であり、特定の制度・団体・製品・メーカーの評価を断定するものではありません。事実誤認のご指摘は歓迎します。制度の最新要件は必ず公式資料をご確認ください。