中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
はじめに
近年、半導体産業の経済的な重要度が継続的に高まっています。半導体は需要の増加に加えて、経済安全保障の観点でも注目を集めており、日本でも2022年に経済安全保障推進法における特定重要物資に指定されました。
製品の安定的な供給に必要なセキュリティへの要求も高まっています。近年の動向として、半導体産業の国際団体である「SEMI」は、2022年にサイバーセキュリティ規格E187およびE188を発行しました。また、経済産業省は2024年4月の「産業サイバーセキュリティ研究会」において、半導体産業を対象にセキュリティ向上施策の検討を開始する方針を示しています。半導体製造に関わる企業は、これらの要求を理解し、対応することが求められます。
本稿では、SEMIの規格および経産省の工場向けセキュリティガイドラインについて紹介します。また、それらの内容を踏まえて、半導体製造のサプライチェーンを構成する各企業がどう対応すべきかを述べます。これにより、半導体製造へのセキュリティ要求と、要求への対応に必要な取り組みを理解することができます。
半導体の製造工程におけるセキュリティリスク
半導体の製造工程は、大きく設計・前工程・後工程の3つに分類されます。本稿では、設計以降の物理的な製造工程を対象とした上で、各工程に関わる企業を
- デバイスメーカー(ファブと呼ばれる半導体製造工場で製造を行う)
- 半導体製造装置メーカー(製造のための装置を製造する)
- 部素材メーカー(半導体の各製造工程で用いられる部品・素材などを製造する)
に大別して記載します。
半導体の製造工程におけるインシデントとして、製造装置経由のランサムウェア感染で工場が停止した事例や、不正アクセスにより素材の生産・出荷が停止した事例が発生しています。半導体の製造工程は多くの製造装置・部品・素材から構成されており、セキュリティインシデントによって構成要素が1つでも欠けてしまうと、半導体の製造全体が止まるリスクがあります。
SEMI E187、E188概要
半導体の国際業界団体SEMIは、2022年にサイバーセキュリティ規格であるSEMI E187およびSEMI E188を発行しました。半導体の製造ラインと製造装置を対象としており、基本的にはデバイスメーカーから半導体製造装置メーカーやインテグレーターに対する要求を定めています。
それぞれのスコープや要求事項は以下のとおりです。なお、E187については別途「半導体サイバーセキュリティに関する業界標準/規格SEMI E187とは」でも紹介していますので、詳細はそちらをご参照ください。
図表1
SEMI E187 |
SEMI E188 |
|
| 概要 | 新規の装置開発に必要な基本的なサイバーセキュリティ要件を定義 | 資産のライフサイクルにおいてマルウェアフリーを実現するための要件を定義 |
| 資産ライフサイクルにおける対象フェーズ | 開発、導入 | 導入、運用、保守 |
| 対象読者 | 半導体製造装置メーカー、システムインテグレーター | デバイスメーカー、半導体製造装置メーカー |
| 対象のデバイス |
|
|
| 主な要求事項 |
|
|
| 発行年月 | 2022年1月 | 2022年2月 |
SEMI E187、E188をもとにPwC作成
スコープの差異をまとめると以下のようになります。
- E187はWindows/Linux機器のみが対象、E188はそれ以外にPLCなども含む
- E187は新規の装置が対象、E188は新規装置に加えて既存装置も含む
- E187は装置の半導体製造ラインへの導入までが対象、E188は導入から運用・保守までを含む
要件についても重複する箇所はありますが包含関係ではなく、組み合わせることでよりセキュリティを確保できると考えられます。
工場などの制御システムを対象とするOTセキュリティの分野においてよく参照されるIEC 62443やNIST SP800-82と比較した場合、SEMIのE187、E188は対象が半導体製造環境に限定されている分、対象のデバイスや要求事項の書き方がより具体的です。特に、E188はアンチウイルスソフトや脆弱性スキャンの条件についても規定するなど詳細に記されています。
また、E187の関連ドキュメントとして、SEMI台湾から「SEMI E187 Reference Practice」(E187の要求事項の解説や実践例を記載した文書)、「Cybersecurity Reference Architecture for Semiconductor Manufacturing Environments」(半導体製造環境向けリファレンスアーキテクチャを記載した文書)が発行されています。半導体産業に特化している分、汎用的な規格・ガイドラインよりも適用しやすくなっていると考えられます。
同じく、関連する規格として、2014年に発行され、2015年に改定されたSEMI E169 「Guide for Equipment Information System Security(装置情報システムセキュリティのためのガイド)」があります。製造装置用のコンピューターのセキュリティに必要な内容が幅広く記載されており、セキュリティの考え方や考慮すべき事項を理解する上で有用な文書です。ただし、「仕様」として要求事項を定めたE187、E188と異なり、E169は「ガイド」ですので、「いつ誰が何をするか」は多少不明確である点に留意が必要です。
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」概要
経済産業省は、2024年4月に開催した「第8回 産業サイバーセキュリティ研究会」において、経済安全保障の観点から半導体産業のセキュリティ向上施策の検討を開始する方針を示しており、その中で「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(以下、「工場セキュリティガイドライン」)の浸透を進めるとしています。
このガイドラインは経済産業省の産業サイバーセキュリティ研究会のワーキンググループが2022年に策定したもので、内容の中心は工場環境に対するセキュリティ対策の企画・導入の進め方やプロセスです。大きく以下の3ステップで構成されており、そのステップをサイクルとして繰り返すことが想定されています。
セキュリティ対策などの詳細については、業界・業種や個社ごとに違いがあることから、想定工場を基にした例示を記載する形となっています。
なお、経済産業省は本ガイドラインの浸透と併せて半導体業界の実態把握、調査、情報共有を行うとしており、そこからセキュリティ対策の具体化および実効性強化を行うことで、半導体産業のセキュリティ対策を推進する方針を示しています。
各企業に求められる対応
半導体の製造においては、業界の内外でセキュリティ向上の動きが起こっています。この背景には、ランサムウェア攻撃をはじめとするサイバー攻撃に対して、半導体製造のサプライチェーン全体のセキュリティを確保し、セキュリティインシデントによる供給停止リスクを低減することへの社会的要求の高まりがあります。
こういった状況において、デバイスメーカー、装置メーカー、部素材メーカーにはそれぞれどのような対応が必要になるでしょうか。
デバイスメーカー
半導体製造工場でのインシデントは半導体の供給停止に直結するため、製造環境全体のセキュリティ確保が求められます。工場セキュリティガイドラインや他のOTセキュリティに関するドキュメント(IEC 62443、NIST SP800-82など)を基に、セキュリティ対策方針を策定することが必要です。
また、製造環境のセキュリティを確保するには、半導体の製造ラインを構成する製造装置もセキュアであることが必要です。そのために、製造装置のセキュリティ要件を定めることが重要となります。製造装置に求めるセキュリティ要件を定めるにあたって、E187、E188は以下2点の理由から大いに参考にできると考えられます。
- 半導体製造環境を前提としており、汎用的な規格やガイドラインよりも適用しやすい
- 業界団体が作成・リリースしたものであることから、業界内での認知度や説明性が高い
最終的に、セキュアな製造環境を構築するには、半導体製造装置メーカーや製造環境の構築に関わるインテグレーターに適切なセキュリティ要件を伝え、対応してもらうことになります。そのために、対象の工場や設備に応じたセキュリティ要件の具体化、要件を満たしているか否かの判定・評価、要件を満たせない場合の対応の検討などのアクションが必要になります。
半導体製造装置メーカー
業界団体発行の規格であるE187、E188は、製造装置に対するセキュリティ要求として今後広く活用されていく可能性があると考えられます。実際に、業界に影響力を持つ大手デバイスメーカーがE187を要件に採用した事例もあります。
E187、E188の内容を理解した上で、自社の製造装置の設計・開発・製造・メンテナンスのライフサイクルにどのようにセキュリティ要件を組み込んでいくか、必要な体制やセキュリティ対策、ツール、運用は何かを把握し、デバイスメーカーからの要求に応えられる装置やサービスを提供できるようにする必要があります。
また、欧州市場では、2024年の発効が見込まれる欧州サイバーレジリエンス法(EU Cyber Resilience Act)への対応も必要になってきます。同法は、SBOM(Software Bill Of Materials:ソフトウェア部品表)の導入や脆弱性の当局報告義務を含む、製品ライフサイクルを通じた組織としてのセキュリティ対応能力に加えて、要求仕様を満足するセキュリティ機能の導入を求めています。日本においては、産業用制御機器を含むIoT製品のセキュリティ適合性評価制度が2024年度中に始まる予定です。これらとSEMI規格の要求事項と比較すると、セキュリティ機能の実装、システムハードニング、セキュリティパッチの適用・脆弱性管理など共通する分野もあります。効率的に対応を進めるために、自社が対応すべき要求・要件を整理した上で取り組みを行うことが必要です。
製造装置を製造する工場環境のセキュリティも同様に必要になってきます。これについてはデバイスメーカー同様、工場セキュリティガイドラインやIEC 62443、NIST SP800-82などが参考になります。
部素材メーカー
デバイスメーカー、半導体製造装置メーカーと異なりE187、E188のスコープからは外れますが、製造環境のインシデントによりデバイスメーカーへの部品・素材の供給が停止し、半導体の供給停止につながるリスクは存在するため、製造環境のセキュリティを確保する必要があります。
半導体製造装置メーカーと同様に、工場セキュリティガイドラインやIEC 62443、NIST SP800-82などを参考に、計画的にセキュリティ向上を図っていくことが必要です。
PwCコンサルティング合同会社では、製造環境のセキュリティ対策の検討・実装、セキュアな製品開発のライフサイクル構築、各種法規制やガイドラインへの準拠、インシデント対応体制構築など、幅広い支援を提供しています。ご興味がある方はお気軽にお問い合わせください。
PSIRTが認知すべき海外法規制と企業実務の論点
26 results
Loading...
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
金融サービスにおけるAIの活用とリスク管理―FS-ISAC AI Risk Working Groupのホワイトペーパーからの調査結果―
金融業界のサイバーセキュリティ情報連携のための組織であるFS-ISACでCISOを務めるJohn Denning氏が、金融サービスにおけるAIの活用とリスク管理のアプローチについて解説します。
Loading...
デジタル化する工場のサイバーセキュリティ
18 results
Loading...
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
能動的サイバー防御有識者会議の提言解説
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
国際文書「OTサイバーセキュリティの原則」と重要インフラへのサイバー攻撃に関する国際動向
2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。
Loading...
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
