株式会社コンテック
2022年 09月 21日 制定
平素は弊社製品へのご愛顧を賜り、厚くお礼申し上げます。
SolarView Compact/Airシリーズのサイバーセキュリティ対策につきまして下記に報告させて頂きます。

SolarView Compact、SolarView Air の
サイバーセキュリティ対策についての取り組み

概要

 令和4年6月10日に経済産業省にて
 「電気設備に関する技術基準を定める省令」
 「電気設備の技術基準の解釈(20130215商局第4号)」
 「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン(内規)」
 「電気事業法施行規則第50条第3項第9号の解釈適用に当たっての考え方(内規)」
の制定及び一部改正が行われました。
これにより太陽光発電所に設置される出力制御システムや遠隔監視システムに対し、自家用電気工作物に係るサイバーセキュリティの確保を求められています。

 本書では太陽光発電計測監視システムである「SolarView Compact(型式:SV-CPT-MC310□)」(以下SolarView Compact)、「SolarView Air(型式:SV-AIR-MC310□)」(以下SolarView Air)の サイバーセキュリティに対する取組みや各種ガイドラインへの対応について説明します。

対応窓口の設置

 サイバーセキュリティについて、下記の窓口を設け対応しております。
  • テクニカルサポートによる対応(インターネット、電話での対応窓口)

告知活動

 サイバーセキュリティに関する情報は、下記の手段を用いて告知しております。
  • Webサイトの「セキュリティ情報」ページへの掲載
  • メールマガジンによる配信
  • JPCERT/CCを通じての関係団体(電力ISAC等)への通知

情報収集

サイバーセキュリティについての下記の活動を通して情報収集に取り組んでおります。
  • JPCERT/CCへの製品開発者登録
  • IPA、JPCERT/CCに掲載されるセキュリテイ情報の定期的な収集
  • 報道機関等に掲載されるセキュリテイ情報の定期的な収集

想定される脅威

SolarView Compact、SolarView Airでは下記の脅威を想定し対策を実施しております。
  • 製品の脆弱性を悪用した不正侵入
  • 不正侵入後にパワーコンディショナに不正な通信を実施することで発電を停止させる
  • 不正侵入後に当社製品を踏み台とした広域ネットワークへの不正攻撃

ガイドラインへの対応

 SolarView Compact、SolarView Airでは下記のガイドライン/技術仕様書に沿ったサイバーセキュリティ対策を実施しております。
  • 経済産業省 20220530保局第1号 令和4年6月10日
    「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン(内規) 」
  • 一般社団法人 日本電気協会 JEAD111-2019 「電力制御システムセキュリティガイドライン」
  • 太陽光発電協会 日本電機工業会 電気事業連合会 「出力制御機能付PCSの技術仕様について」

ガイドラインへの対応の詳細

 対応しているガイドラインの内容について、下記に主な項目への対応状況を示します。
  • セキュリティの確保に携わる組織、管理者の選定
    当社が開発・運用するシステムの範囲内では当社規定に基づきセキュリテイ管理責任者を選定しております。
  • セキュリティ教育
    当社規定に基づき情報セキュリティやコンプライアンスについて定期的に教育を実施しております。
  • 文章管理
    当社規定に基づきシステムの開発/運用に関する文章をISO9001に準じて管理しております。
  • ソフトウェアアップデート
    製品にはソフトウェアアップデート機能が組み込まれており、必要に応じてソフトウェアの更新を実施できます。 ソフトウェアは当社Webページにて配布しております。
  • 通信の暗号化
    暗号化可能な通信では暗号化されたプロトコルを採用しております。NTP、DNSなど暗号化できない通信については各プロトコルの仕様に準じます。
  • ネットワーク接続点
    SolarView Airではインターネットとの接続がありますが、接続点への通信を閉域網にすることでインターネットとの接続点を最小化しております。 インターネット側からのアクセスは接続点に設置したファイアウォールで閉域網への侵入を防御しております。
  • 不正プログラム防止、マルウェアへの対策
    不正なプログラムやマルウェアが侵入できないように経路を制限しています。
  • 物理的なセキュリティ
    SolarView Airでは鍵付き筐体を採用し、許可された者のみ機器にアクセスできるようにしております。
  • 脆弱性の管理
    関係団体と密に連絡を実施しており、脆弱性が判明した場合にはセキュリティパッチの適用等、速やかに対応できる体制を敷いております。
  • セキュリティ事故への対応
    関係団体への報告経路を用意しており、セキュリテイ事故が発生した場合には迅速に対応できる体制を敷いております。

Copyright(C) CONTEC.CO.,LTD. All rights reserved.