特定卸供給事業届出が必要なアグリゲーターになる事業者は、「特定卸供給事業に係るサイバーセキュリティ確保の指針」に規定されている「サイバーセキュリティ確保の観点から望ましい行為」の内容について、自社の事業実施内容に応じた実施状況の詳細を社内規定等やシステム構成図などを提出して示す必要があります。

 

経済産業省の定める「サイバーセキュリティ確保の観点から望ましい行為」とは、具体的には以下の内容です。

 

【１．組織】

〈ア．体制〉

①経営層の責任の明確化

　(1)経営層は、特定卸供給事業用システム等におけるセキュリティの確保に責任を負うこと。

　(2)自社のセキュリティ対策の現状及び自社が最終的に目指すセキュリティ対策を明確化し、詳細対策要件の策定・実現に向けたプロセスを検討すること。

②管理組織の設置

　セキュリティ管理を推進し、セキュリティガバナンスの構築を行う管理責任組織を設置し、その組織の管理下でＰＤＣＡサイクルを回すことができる運用・管理体制を構築すること。

③目的の明確化

　特定卸供給事業の用に供するシステム等のセキュリティの実施目的を明確にすること。

 

〈イ．取組（役割）〉

①責任者の設置

　特定卸供給事業用システム等のセキュリティ管理責任者を任命し、特定卸供給事業に係る他の事業者の管理責任者間で情報共有できる体制を構築すること。

②役割の明確化

　特定卸供給事業者はシステム関係者に対し、セキュリティに係る役割を明確にすること。

③委託先等及び供給先の対応

　(1)一般送配電事業者との間で調整力契約を締結するに当り、下位のアグリゲーター等のセキュリティを含むサービス品質を確保し、一般送配電事業者に対して責任を持つこと。

　(2)小売電気事業者のシステムと接続する場合は、小売電気事業者に対し、その保有するシステムが本指針に準拠することを求めること。

　　また、小売電気事業者に対して本指針に基づき別途要件を定義したセキュリティ対策を構築し、それに準拠することを求めること。

 

〈ウ．セキュリティ教育〉

①教育の計画・実施

　システム関係者が適切なセキュリティ対策を行えるよう、セキュリティ教育を計画し、適時に実施すること。

②教育効果の確認

　システム関係者に対しアンケートやテストを実施することにより、セキュリティ教育の効果を確認すること。

 

 

【２．文書化】

〈ア．文書管理〉

①文書化

　特定卸供給事業の用に供するシステム等のセキュリティに係る情報を文書化すること。

②文書の管理

　特定卸供給事業の用に供するシステム等のセキュリティに係る文書を適切に管理すること。

 

 

【３．セキュリティ管理の計画策定と実施】

〈ア．セキュリティ管理〉

①対策の計画策定

　(1)セキュリティ対策は、事業計画に沿ってセキュリティ管理責任組織のもとで策定した方針に従って計画すること。

　(2)対象システム、ネットワーク構成、責任分界点を明らかにし、システムで保護すべき情報・機能・資産を明確化した上で策定すること。

　(3)上記(1)(2)に対して想定される脅威に対抗する対策の候補を検討すること。

　(4)サイバー攻撃等の影響が系統ネットワークに拡散するリスクを管理する必要があることに留意し、具体的なセキュリティ対策を記載した詳細対策要件を自らの責任で策定すること。

②対策の実施

　(1)計画に従って、脅威レベル、被害レベル、コスト等を考慮して実施する対策を選定すること。

　(2)セキュリティ対策の実施には上限がないため、選定に際しては実施に要するコストも勘案しつつ、過剰な投資を行うことなく必要十分な範囲で対策を講ずること。

③対策の点検・報告

　(1)対策が適切に実施されていることを第三者による監査（認証を含む。） や教育プログラム等の受講者による内部監査等によって定期的に点検・評価し、セキュリティ管理責任者に報告すること。

　(2)セキュリティ事故発生時の対応方法について、 設計・運用・訓練を実施すること。

　(3)詳細対策要件について、定期的にその内容の点検・更新を行うこと。

④対策の改善

　(1)対策の点検結果に基づき、セキュリティ対策の改善を行うこと。

　(2)詳細対策要件について、ぜい弱性が顕在化するなど早急な対策が求められる際には随時更新すること。

 

〈イ．実施状況の報告〉

①適切な報告の仕組みの構築（報告の種類）

　対策の実施状況に係る報告事項を定め、システム関係者からセキュリティ管理責任者及び経営層へ適切に報告を行える仕組みを構築すること。

②定期的な報告

　対策の実施状況に関し、システム関係者からセキュリティ管理責任者及び経営者へ定期的に報告を行うこと。

 

 

【４．設備・システムのセキュリティ】

〈ア．外部ネットワークとの分離〉

　特定卸供給事業用システム等が、不特定多数がアクセスできるネットワークから不正侵入されないようにするため、簡易指令システムとの直接接続部分は外部ネットワークと原則分雛することが望ましいとされています。

　外部ネットワークと間接的に接続する場合は、外部ネットワークとの間に他ネットワークや別のシステム等の緩衝エリアを設けることが望ましいとされています。

 

〈イ．他ネットワークとの接続〉

①接続点の防御・最小化

　(1)簡易指令システムとの直接接続部分は、他のネットワークとの接続点を最小化し、接続点に防御措置を講じること。

　(2)簡易指令システムとの直接接続部分は、一般送配電事業者が別途定める相互接続に係るセキュリティ要求事項に準拠すること。

②相互接続の中止

　相互接続相手に本指針の実装が確認できない場合は、システム全体のセキュリティ被害を最小化するため、該当するシステム間の相互接続を速やかに中止すること。

 

〈ウ．通信のセキュリティ〉

①認証・暗号化

　外部ネットワークとの相互接続点で認証を行い、通信メッセージは暗号化により保護すること。

②データ等の改ざん対策

　通信機器や通信路に対し、データ等の改ざんに対する対策を講じること。

 

〈エ．マルウェア対策〉

　特定卸供給事業用システム等の機器へのマルウェア侵入（コンピューターやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアやコードによる侵入）を防ぐため、次のことを行うことが望ましいとされています。

　(1)特定卸供給事業用システム等にぜい弱性に対処するセキュリティパッチを適用し、システム構成機器や外部記憶媒体等へのマルウェア対策を行うこと。

　(2)システムにおける管理者権限の割当を適切に行い、不正な行為やプログラムの実行を阻止し、本来の操作によらない処理が発行されないよう対策を講じること。

　(3)システムを構成する機器や外部記憶媒体、取り扱うデータを把握し、適切に管理・保護すること。

 

〈オ．なりすまし対策〉

　不正接続された機器やサイバー攻撃を受けた機器による他機器や特定卸供給事業用システム等の不正動作を防止するため、許可されていない機器からの通信遮断やネットワーク分割等により、なりすまし対策を講じることが望ましいとされています。

 

 

【５．運用・管理のセキュリティ】

〈ア．セキュリティ仕様の明確化〉

　特定卸供給事業用システム等調達時の齟齬、仕様漏れが発生しないようにするため、次の確保に必要な要件を明確化することが望ましいとされています。

　(1)システムが取り扱う機器及び機器が保有する情報の機密性、完全性及び可用性の確保

　(2)機器の動作に係る利用者等に対する安全の確保

 

〈イ．データの管理〉

　特定卸供給事業用システム等のデータに係るセキュリティ事故発生の予防や、事故を迅速に把握し対応できるようにするため、そのシステム等が保有するデータを把握し適切に管理・保護するとともに、システムが個人情報を扱う場合は個人情報保護法に準拠した対策を取ることが望ましいとされています。

 

 

【６．セキュリティ事故の対応】

〈ア．情報の収集〉

　特定卸供給事業用システム等のセキュリティ事故へ適切に対応するために、文書等の情報や、必要と判断した場合は事故の対応に必要なログを収集することが望ましいとされています。

 

〈イ．事故時の対応の明確化（セキュリティ事故の対応）〉

①責任と手順

　(1)ＰＤＣＡサイクルを回すことができる運用・管理体制、システムの状況の監視やインシデントへの対応が可能な体制を構築し、それぞれの責任範囲と役割を明確にすること。

　(2)セキュリティ事故に対し実際に対応を行えるよう、有事の際の役割や手順を策定すること。

②損害の最小化（セキュリティ事故時の対応）

　作成した手順に従ってインシデント発生時の損害を考慮し、そのインシデントが、より大規模な事故に発展しないよう、その異常を最小限にとどめる対応を実施すること。

 

〈ウ．報告と情報共有（セキュリティ事故の報告と情報共有）〉

①報告

　(1)セキュリティ事故が発生した場合は、対応手順に従い資源エネルギー庁等の関係機関に報告を行うこと。

　(2)ぜい弱性関連情報の利用者への通知を行うこと。

②情報の共有

　(1)セキュリティ事故から得られた知見をセキュリティ事故の予防・再発防止に活用する仕組みを構築すること。

　(2)システム関係者、事業者間の調整を担う機関、ぜい弱性関連情報の分析等を担う機関の間で、ぜい弱性対策情報・脅威情報を共有・管理すること。

 

〈エ．周知と訓練〉

　特定卸供給事業用システム等のセキュリティ事故発生時に迅速かつ適切に対応するため、事故発生時の対応の周知や対応計画に基づいた訓練の継続的な実施が望ましいとされています。また、訓練の効果を確認することも望ましいとされています。

このように、特定卸供給事業届出を行うアグリゲーターは、サイバーセキュリティを確保できるよう、上記の行為を自社の事業実施内容に応じてどのように実施するかを示す必要があります。

 

 

よしひろまごころ行政書士事務所では、全国対応で、小売電気事業者の登録申請、発電事業届出、アグリゲーターの特定卸供給事業届出などの電気事業に関する手続きを代行・サポートしています。お気軽にお問合せください。