製品仕様には記載のない“別経路の通信回線”が仕込まれており、遠隔から操作される恐れがあるというのです。
米エネルギー省(DOE)はSBOM(ソフトウェア構成表)の提出義務化を視野に入れ、CISA(米サイバーセキュリティ庁)はインバータの重大脆弱性に警報を鳴らす事態へ
EUではリトアニアが中国製遠隔接続を規制する法律を施行し、業界団体からは“インバータセキュリティの共通基準”の整備要請が出されています。
家の屋根の“エコ装置”と見られがちな太陽光発電が、国家が「眼を光らせる対象」になるまで、この10年で何が変わったのか?
本記事では、TechCrunchの問題提起を起点に、米政府の公式資料や欧州の規制動向、一次報道を深掘り・ファクトチェックし、「見えにくいリスク」を可視化します。
続きを読むことで、住宅用太陽光を取り巻く世界的パワーゲームを垣間見ることになるでしょう。
目次
TechCrunchの問題提起:家庭用インバータが「地政学リスク」に
TechCrunchは、在宅の太陽光インバータや家庭用蓄電池までが「国家安全保障」の俎上に載り始めた経緯を解説
米政府側の懸念は①大規模な遠隔一斉操作による周波数・電圧の攪乱、②メーカーのクラウド/アプリ経由の過剰な常時接続、③住宅用は規制の網が粗い(重要インフラ規制の閾値未満)点に集約されます。併せて、NIST(米国標準技術研究所)がDER向けのガイダンスを公表していることにも触れます。
TechCrunchnccoe.nist.gov
注:NISTのインターダクション文書は、**分散エネルギー資源(DER)のライフサイクル全体で「ゼロトラスト前提の設計・調達・運用」**を求め、事業者・ベンダ・ユーザーそれぞれの責務を具体化。家庭用を含む低圧側DERも対象です。 nccoe.nist.gov
「未申告の通信機器」報道の中身と反応(一次報道の確認)
ロイターは2025年5月、中国製インバータおよび複数社の蓄電池から、製品文書にない通信機器(セルラー無線等)が見つかったと米政府関係者の証言を報道
これらは防火壁の想定を回避できる“別経路”になり得るとし、英国・バルト三国・NATOも依存リスクの縮減を検討していると伝えています。
DOEはSBOMの義務化・契約条項の厳格化など「調達段階の透明性」を強調しました。
Reuters
欧州ではリトアニアが法で遠隔接続を遮断(新設は2025年5月施行、既設は2026年5月までに適合)
ESMCは中国製インバータが欧州で200GW超に紐づくとの危機感を公表し、5Gセキュリティ・ツールボックスにならったEU版の「インバータ・セキュリティ・ツールボックス」創設を提言しています。
pv magazine InternationalESMC Solar
米CISA/DOE/NERCの最新動向:脆弱性と適用範囲のアップデート
-
CISAのICSアドバイザリ:2025年8月、米EG4社のインバータ群に平文通信/整合性検証なきファーム更新/認証試行制限なしなど重大脆弱性
リモートでの乗っ取りや不正ファーム書換の恐れがあるとしてインターネット非公開化・VPN併用・ネット分離等を勧告。Sungrow関連のAPI/アプリにもIDOR等の脆弱性が告知されています。
cisa.gov+1 -
他ベンダ事例:Outback Power製品へのコマンド注入脆弱性など、DER関連のICS脆弱性告知が常態化。DERのソフト/クラウド連携が攻撃面を広げ、家庭—事業所—系統の縦串での防御が焦点に。
cisa.gov -
NERC/BESの閾値:米系統規制で重要インフラ規制(CIP)が強くかかるのはBES(基幹系統)で、75MVA/75MWが一つの基準として参照されます。
住宅用・小規模分散はこの網をくぐりがちで、IBR(インバータ系電源)拡大に合わせた登録基準の引き下げ(20MVA案)など、規制のすそ野拡大が進行中です。
NERCFederal Energy Regulatory CommissionSolar Builder Magazine
「屋根の上の発電」が本当に“国家安全保障”になる理由
米EIAデータでは、小規模太陽光の設備容量は2014→2022で5倍超と急増。家庭用が小さな“発電所”の集積体となり、設定改ざんや一斉停止が電力網に与える影響は無視できなくなりました。**分散ゆえの“監視の粗さ”**と、常時クラウド接続という新しい依存が重なり、サイバー—地政学—サプライチェーンが一体の政策課題になっています。 エネルギー情報管理局
日本では見落とされがちな「海外の一段踏み込んだ動き」
-
遠隔遮断の法的制限(リトアニア):高リスク国ベンダの遠隔接続禁止を法律で明確化—つながらない設計が既に規制要件
pv magazine International -
SBOMの調達条件化(米DOE):受け取った機器の全機能・全構成の把握を調達側の基本要件にする方向性をDOEが示唆
Reuters -
業界団体からの制度提案(ESMC):EUレベルのリスク評価・高リスクベンダのオンライン接続禁止・域内統一の最低サイバー基準などを提言
ESMC Solar
ご家庭・事業者が今日からできる実装対策(実務ベース)
下記はCISA/NISTの推奨と、最新アドバイザリを踏まえた**“現実的にやれる”**対策集。
-
“ネットに晒さない”を徹底:インバータ/ゲートウェイはDMZやIoT用VLANに隔離、UPnP無効、外部公開ゼロ。ベンダのクラウド必須なら最小限のアウトバウンドのみ許可
cisa.gov -
初期設定を必ず変更:初期ID/パス・デフォルトPINは即変更。二要素認証があれば必ずON。ログも定期確認
cisa.gov -
ファーム更新は“検証してから”:署名/整合性検証のあるアップデートのみ適用。提供元URLやハッシュを確認。 未署名ファームやUSB配布は避ける(EG4案件の教訓)
cisa.gov -
ベンダの脆弱性情報を購読:CISAのICSアドバイザリ・KEVカタログ、メーカーのアドバイザリ(例:SolarEdge)をRSS/メール購読
cisa.gov+1corporate.solaredge.com -
調達時はSBOM・遠隔運用権限を確認:SBOMの提出、遠隔接続の恒常必要性、国内サーバ運用/ログ保全、サポート拠点を調達条件に
Reuters -
国・地域の規制方針を参照:EU域内案件ではリトアニア法のような遠隔接続制限が波及する可能性
要件化に備えた**“オフライン運用可能な構成”**を設計段階で準備
pv magazine InternationalESMC Solar
まとめ
結論:太陽光の“屋根上シフト”は、サイバー/地政学/サプライチェーンを横断する安全保障課題に発展
米国はSBOM等の調達要件化+CISAの連続アドバイザリ、欧州は遠隔接続の法的制限とEU横断のツールボックス検討
家庭・中小規模の分散電源こそ、設計段階でつながらない前提”**を組み込むのが世界標準になりつつあります。
Reuterscisa.govpv magazine InternationalESMC Solar
ひとりごと
日本の美しい野山を破壊して太陽電池パネルを敷き詰める。
そして、なぜか「無視する環境保護団体」すべては、一部の利権構造に救う連中がおこしたことだ。
一度、破壊された自然を取り戻すには多くの時間がかかる。
何年か後に大量の産業廃棄物になってしまう太陽電池パネルの処分はどうするんだろうか?
また、インフラを国外の手に渡しているということも知っておいてほしい。
気がつき始めた人はまだまだ少なく、「都合が悪くなると陰謀論」でかたづけられてしまうけど、米国、EUなどは、真剣にこの問題に対して問題を呈している。
参考リンク(一次資料中心)
-
TechCrunch: How your solar rooftop became a national security issue(問題提起の基点)
TechCrunch -
NIST NCCoE:DER向けサイバーセキュリティの概観と実装ガイド
nccoe.nist.gov -
Reuters独自:中国製インバータで未申告通信機器の発見、DOEのSBOM発言、欧州・NATOの動き
Reuters -
CISA ICSアドバイザリ(EG4, 2025/8/7 公開)/(Sungrow関連, 2025/3/13 公開)
cisa.gov+1 -
リトアニア:中国ベンダの遠隔接続を法で禁止(>100kW、既設は2026年5月までに適合)
pv magazine International -
ESMC:中国製インバータに紐づく200GW超とEU対策の提言(2025/4/30)
ESMC Solar -
NERC/BES基準(75MVAの参照、登録閾値の見直し議論)
NERCFederal Energy Regulatory CommissionSolar Builder Magazine -
EIA:小規模太陽光の5倍超拡大(2014→2022)(Today in Energy)
エネルギー情報管理局