{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
半導体はデジタル製品から防衛装備品に至るまで幅広く利用されており、経済と安全保障の両面から戦略的物資に位置付けられています。近年の半導体不足によりさまざまな業界が大きな影響を受けたように、半導体業界・企業がひとたびサイバー攻撃を受けると、関連するサプライチェーンや社会インフラ、事業の停止などにつながることもあり、各国の経済活動・安全保障に甚大な影響を及ぼしかねません。
PwCのインサイト「地政学リスクが映すサイバーインテリジェンスの重要性」で言及しているとおり、PwCがグローバルでサイバー攻撃を観測している中でも、日本国内の半導体企業を標的とするサイバー脅威アクターが確認されており、米国、日本、オランダ、台湾が主な標的となっています。
半導体のサプライチェーンは米国・欧州・中国・台湾・韓国・日本など、世界中に広がっており、地政学リスクを孕んでいることは前述のとおりです。
さらに、半導体製造工程のサプライチェーンは設計・前工程・後工程の大きく3つに分けられ、設計・前工程・後工程を一貫して行う垂直統合型デバイスメーカー(IDM:Integrated Device Manufacturer)、設計のみを行うファブレス、前工程のみを行うファウンドリ、後工程のみを行う外部委託半導体組立てテストメーカー(OSAT:Outsourced Semiconductor Assembly and Test)と、プレーヤーごとに担当する領域が異なります。
例えば、ファウンドリ企業の場合においては、いわゆるファブ装置(半導体製造装置)を装置メーカーから購入し、自社の工場にて維持・運用しながら、半導体を製造しています。
このように半導体のサプライチェーンは世界各国のさまざまなプレーヤーが密接に関係し合っており、地政学リスクが高まるなか、サイバー攻撃のリスクも高まり、その被害がサプライチェーンの各プレーヤーに大きな影響を及ぼす可能性があります。
半導体を製造するには、この製造装置が不可欠であり、機器の導入、半導体の製造、装置の運用という各プロセスにおいて、セキュリティ脅威への対策をとることが求められます。
このような半導体業界における地政学リスクやサイバー脅威の高まりを受けて、各国は法規制、セキュリティ規格、ガイドラインなどの制定、施行を進めています。
米国のCHIPSプラス法※1、EUの欧州半導体法※2、中国の中国製造2025※3のほか、日本では2022年5月に成立した経済安全保障推進法※4では半導体がサプライチェーン強化対象の特定重要物資に指定されるなど、各国は対策強化の動きを強めています。
このような動きは半導体業界団体も同様であり、半導体業界の国際団体である「SEMI」は半導体セキュリティ規格を公表しています。
SEMIは世界中の100万人以上の専門家、2,000社以上の企業が所属する大きな業界団体で国際展示会を開催するほか、SEMI規格と呼ばれる国際的な業界基準を策定するなどしています。
そしてSEMIは半導体業界の生産性向上・技術標準化を図るためのガイドラインとしてSEMI規格を2022年1月に発行しました。SEMI規格では、半導体の製造装置、材料、安全ガイドライン、テスト方法など、さまざまなガイドラインが定められており、今回ご紹介するSEMI E187はその内の1つとなります。
SEMI E187は、半導体製造装置などの設計・運用・保守に関わるセキュリティ規格です。その目的は、半導体製造装置を設計上安全にし、運用・保守上のセキュリティ保護を支援するための基本的なサイバーセキュリティ要件を包括的に定義することや、半導体製造装置のサプライチェーン全体におけるグローバルなサイバーセキュリティ・コンプライアンスの確立を図ることにあります。
規格の対象者としては、半導体製造工場に装置やサービスを提供する装置サプライヤー(以下、装置サプライヤー)、システムインテグレーターなどが挙げられます。
SEMI E187では、①オペレーティングシステム、②ネットワークセキュリティ、③エンドポイント保護、④セキュリティモニタリングの4つの観点で計12のセキュリティ要件が規定されています。
①オペレーティングシステム
オペレーティングシステムの観点では、装置サプライヤーはサポートのあるOSを搭載した装置を出荷すること、パッチやセキュリティアップデートを適用する手順を提供することが要件として求められます。
半導体製造装置のライフサイクルは数十年と長いため、End of Lifeを迎えたメーカーサポートを受けられない装置は、攻撃者からのサイバー攻撃を受けるリスクが高まります。
さらに、OT環境では可用性・品質が重視されるため、メンテナンス・ソフトウェアのバージョンアップや、セキュリティパッチの適用手順を事前に確立しておくことが重要です。
②ネットワークセキュリティ
ネットワークセキュリティの観点では、HTTPSなどのセキュアな伝送プロトコルをサポートすること、ネットワーク構成や構成の変更保守手順を文書化することが要求されています。
半導体製造装置の導入段階では、装置が外部の攻撃者から侵入されないようにネットワークハードニングを確実にすることが重要です。万が一、外部の攻撃者から侵入された場合においても、ネットワークハードニングがされていれば、ラテラルムーブメントなどによる被害の拡大を防ぐことができます。
さらに、ネットワーク運用、メンテナンス作業、セキュリティインシデント発生時に備えて、ネットワーク構成を文書化することや、構成の変更手順を事前に明確にしておくことも重要なポイントになります。
③エンドポイント保護
エンドポイント保護の観点では、装置出荷前の脆弱性スキャンとマルウェアスキャン、装置のマルウェア対策、装置のアクセス制御および認証に係る機能、最小権限/特権管理の機能などが求められます。
装置の出荷後や稼働後に脆弱性の存在やマルウェアの混入が発覚すると、工場の生産ラインを停止させる必要性が生じ、それによる損害やインシデントの調査にかかる対応コストが発生したり、企業の信頼が低下したりするなど、被害は甚大になります。
装置の出荷前に、脆弱性に対応し、マルウェアの混入を防ぐことで、セキュリティ被害を効果的かつ効率的に防ぐことができます。
④セキュリティモニタリング
セキュリティモニタリングの観点では、セキュリティイベントログの記録ができることや、指定した種類のイベントログを取得できることが要件として盛り込まれています。
装置のセキュリティ監視を実施し、外部からの不正アクセス、マルウェア感染、不審な挙動を検知し、分析する仕組みや体制を事前に確立することが重要です。
半導体製造装置を導入する半導体メーカーでは、半導体製造装置のサプライヤーとの調達契約要件の1つとして、SEMI E187を採用する動きが強まっています。また、第三者認証機関がサプライヤーに対してSEMI E187の適合証明を発行する取り組みも始まっています。
このような業界動向から、SEMI E187に準拠することにより、装置サプライヤーやシステムインテグレーターは自社製品・サービスのセキュリティをアピールすることができ、半導体業界・サプライチェーンにおける競争力強化につながることが期待されます。
装置サプライヤーやシステムインテグレーターが自社のセキュリティ対策や国内外のセキュリティ標準への準拠を考える上では、SEMI E187だけでなく、「SEMI E187制定の背景」にて記載した各国の法規制や、同じくSEMIが発行するセキュリティ規格であるSEMI E188、欧州市場においてはデジタル製品のセキュリティ対策を義務付けるサイバーレジリエンス法案※5なども考慮すべきセキュリティ規格・規則として挙げられます。
そのため、SEMI E187だけでなく、国内外のさまざまなセキュリティ標準・規則を考慮せねばなりませんが、装置サプライヤーやシステムインテグレーターの担当者からは「何から手をつけて良いか難しい」という声をよく耳にします。
半導体工場の建設・稼働が相次ぐ昨今、工場全体のセキュリティ対策が急務となっていますが、まずは、SEMI E187やその他考慮すべきセキュリティ規則の要件をベースに、自社のセキュリティ対策状況をアセスメントすることで、自社のセキュリティ対策において「できていること」と「できていないこと」を可視化することが重要です。アセスメントにより「できていないこと」が抽出されたら、リスクの大きさや事業への影響度などをもとに優先順位付けを行い、セキュリティ対策のアクションプランを立て、着実にセキュリティ対策を推進していくことを推奨します。
当社では半導体業界に関連する企業のセキュリティ対策の支援実績を豊富に有しており、企業の状況や要望に応じて、柔軟に支援することが可能です。本稿で取り上げた半導体製造装置だけでなく、半導体工場全体のセキュリティガバナンスや技術的・物理対策などの支援も可能です。
1 PwC Japanグループ「自国第一主義がもたらすグローバル産業政策競争」
2 PwC Japanグループ「連載コラム 地政学リスクの今を読み解く 半導体の地政学(前編)」
3 PwC Japanグループ「連載コラム 地政学リスクの今を読み解く EVの地政学」
4 PwC Japanグループ「「経済安全保障推進法」概要解説」
5 「欧州サイバーレジリエンス法案(EU Cyber Resilience Act)概説~日本の製造業への影響と最低限押さえるべき要点~ | PwC Japanグループ」