クラウド上にある巨大で規制されていない発電所

 (berthub.eu)
1 ポイント 投稿者 GN⁺ 2024-08-20 | 1件のコメント | WhatsAppで共有
  • 最近、オランダのハッカーが400万枚の太陽光パネル設備を制御できた。これは初めてではない。
  • ほとんどの家庭用および業務用の太陽光パネルは、少数の企業によって中央集中的に管理されている。
  • オランダだけでも、これらの太陽光パネルは少なくとも中規模の原子力発電所25基分に相当する出力を生み出している。
  • 欧州には、このような中央管理者を規制するルールや法律がほとんどない。
  • こうしたクラウドベースの管理プラットフォームは、ハッキングや事故によってすべての太陽光パネルを同時に停止させる可能性がある。
  • 最近、倫理的ハッカーとオランダの送電網運用者TenneTの確認により、これは理論上のシナリオではないことが示された。
  • 個々の太陽光パネルが大きな被害を与えるわけではないが、時間の経過とともに設置数は大幅に増え、管理は一部の場所に集中している。
  • 中央からギガワット級の電力を遮断できる能力をなくすか、中央管理者をエネルギー企業として規制すべきである。
  • オランダでは15GWの電力が遠隔で制御されているが、その制御者が正確に誰なのか把握されていない。
  • 近く導入されるEUのNIS2指令は改善の機会を与えるが、その内容を明確にする必要がある。
  • SolarPower Europeも、NIS2の規則を太陽光発電に明示的に適用するよう求めている。

より長い話

  • Willem Westerhofは2016年から、この問題への関心を喚起しようとしてきた。
  • Willemは勤務先のSecuraとともに、オランダの「Topsector Energie」のために大規模な報告書を作成した。
  • 欧州大陸の同期送電網は、欧州の大部分とその周辺を統合する大きな成果である。
  • 電力網は常にバランスを保たなければならない。過剰な電力がネットワークに流れ込むと周波数が上昇し、過電圧が発生する可能性がある。
  • 最近、アルバニア、モンテネグロ、ボスニア、クロアチアで国際的な停電が発生した。
  • 大規模な電力供給事業者には高い基準が適用される。彼らの発電所は監視され、設備は多くの要件を満たさなければならず、従業員は適切な資格を持っていなければならない。
  • 欧州のネットワーク運営者と供給事業者は、送電網を安定かつ安全に保つために継続的に協力している。

私たちが規制しているもの

  • 太陽光パネルはインバーターを通じてネットワークに接続される。この装置は、パネルの電力を電力網が扱える形に変換する。
  • この装置は規則を満たす必要があり、オランダではベルギーのSynergridが承認したインバーターのみを設置できる。

私たちが規制していないもの

  • ほとんどのインバーターはインターネットに接続されている。この設定により、製造業者との接続が作られ、太陽光パネルや発電量に関する統計がアップロードされる。
  • パネルの所有者は、アプリやWebサイトを通じて製造業者に接続できる。
  • 製造業者はすべてのパネルのオン・オフを切り替えられ、インバーターに新しいソフトウェアをインストールできる。
  • 製造業者がハッキングされれば、攻撃者が制御する不正なソフトウェアアップデートをインバーターに送ることができる。

では何が起きるのか?

  • 電力網は非常に敏感である。まったく同じ量の電力が入り、同じ量の電力が出ていかなければならない。
  • 太陽光インバーターやパネルの製造業者は、数百万件の設備をオン・オフできる。
  • オランダの倫理的ハッカーであるWietse BoonstraとHidde Smitは、製造業者の許可なしに太陽光パネル設備のソフトウェアを変更できた。

ああ、大変だ

  • もし数十基の原子炉を同時に停止できる制御盤があるなら、あらゆる安全規制に従わなければならない。
  • 家庭用の太陽光パネルとインバーターは「一般的な」消費者向け電子機器と見なされており、検査も法律も存在しない。
  • 管理は少数の供給事業者に集中しているが、彼らは厳格に規制されていない。

そして今は?

  • オランダのTopsector Energieが委託した最近のSecura報告書は、状況がどれほど深刻かを把握するうえで非常に有用である。
  • 新たな法律が登場しつつあり、NIS2とCyber Resilience Actによって、これらの当事者により厳しいルールを課せる可能性がある。
  • SolarPower Europeも、中央管理を担う当事者がNIS2の適用範囲に含まれるべきだと主張している。

GN⁺のまとめ

  • この記事は、太陽光パネルの中央管理がどのように欧州の電力網に大きなリスクをもたらしうるかを説明している。
  • 中央管理者に対する規制がほとんどない点で、問題の深刻さを強調している。
  • NIS2やCyber Resilience Actのような新しい法律が、この問題の解決に役立つ可能性がある。
  • この記事は、エネルギー管理の重要性とセキュリティ上の問題を強調しており、関連業界の従事者にとって重要な情報を提供している。
  • 類似の機能を持つ製品やプロジェクトとしては、SolarEdgeやEnphase Energyなどがある。

関連記事

1件のコメント

 
GN⁺ 2024-08-20
Hacker Newsの意見

  • オランダの太陽光パネルが中型原子力発電所25基に相当する電力出力を生み出しているという主張は誇張されている

    • 実際の年間発電量データを見ると、平均的な原子力発電所の約1.5倍程度にすぎない
    • 太陽光パネルの設置場所によって出力は大きく変わる

  • パネルとインバーターの所有者はメーカーと接続してパネルの状態を確認できる

    • 技術的には、すべてをメーカーのサーバー経由で動作させる必要はなかった
    • 消費者や設置業者にネットワーク設定の専門知識が不足しているため、このような選択がされた

  • オフグリッド生活をしているユーザーは、インバーターの監視がオンラインでしかできないことに不満を持っている

    • Raspberry Piを使って問題を解決したが、インターネット接続を切ると新しいネットワークが作成される
    • WiFiモジュールを取り外すことを検討している

  • 技術標準への言及では、政治家や非技術者に注意すべきだという意見がある

    • 現在のITインフラの問題は、主に学位保持者によって引き起こされている
    • 企業に責任を負わせることが問題解決の出発点になり得る
    • たとえば、CrowdStrikeのような企業に法的責任を負わせれば、ほかの企業も変わる可能性がある

  • 再生可能エネルギーには分散型発電の潜在力があるという主張がある

    • しかし、新たなボトルネックを導入することでセキュリティ上の問題が生じる

  • EUで発電所に対するサイバーセキュリティ規制があるのかという質問がある

    • サードパーティーのデータ接続を必要とするシステムは認められない
    • 複数のサービスで障害が発生した事例が多い

  • 設置業者はSolaredgeインバーターをクラウドから切り離すのに苦労している

    • リモート管理を禁止する規制が必要だと主張している
    • データは読み取り専用でのみ遠隔確認できるようにすべきだ

  • ヨーロッパではリスク軽減のために学位や資格を重視する傾向がある

    • これは動きの遅い産業には適しているが、太陽光・風力産業には適していない

  • Victron製品のクラウド接続はオプションであり、デフォルトでは無効になっている

    • ハードウェアはモジュール式で、ソフトウェアは競合製品より優れている
    • 責任あるベンダーを選ぶべきだ

  • 太陽光パネルを停止できるなら、なぜ電力会社が余剰電力を赤字で販売しなければならないのかという疑問がある

    • 太陽光発電所に必要な分だけ出力を下げるよう指示できない理由を問うている