DX時代における技術進歩の要である半導体業界は、サイバーセキュリティ対策は必要不可欠となってきています。軽微なセキュリティ上の欠陥は、半導体分野において多大な損失につながる可能性があります。これらに対処するために、SEMIはSEMI E187とE188という2つの主要なセキュリティ規格を導入しました。これらの規格は、半導体製造装置のサイバーセキュリティを強化し、それによってサプライチェーン全体の健全性を保護することを目的としています。これらセキュリティ規格の発表は、セキュリティの意識と機能を向上させるという業界の取り組みを表しています。この記事では、これらの規格の特徴、補完性、半導体業界に対してどのような影響を与えるかについて詳しく説明します。
【目次】
SEMI E187:新装置開発に求められるサイバーセキュリティ機能
SEMI E187は新しい装置の開発段階に焦点を当てており、オペレーティングシステムのセキュリティ、ネットワークセキュリティ、エンドポイント保護、セキュリティ監視の4つの基本要素をカバーしています。特にWindowsおよびLinuxオペレーティングシステムを実行しているデバイスの場合、装置サプライヤーは装置の発送前にこれらのセキュリティ機能を実装することが義務付けられています。SEMI E187は、これらの装置におけるサイバーセキュリティ機能を標準化することにより、生産ラインに導入される新しい装置のための安全な基盤を築きます。
関連記事:半導体セキュリティ規格SEMI E187リファレンスガイドー資産のセキュリティ・ライフ・サイクル
SEMI E188:既存装置へのセキュリティの拡張
SEMI E187とは対照的に、SEMI E188は適用範囲が広く、新装置だけでなく既存の装置や、コンピュータ、コントローラ、PLCなどのすべてのコンピューティングデバイスにも適用できます。SEMI E188は、装置のマルウェアフリーの展開プロセスを強調しており、サプライヤーに対し、装置の配送、設置、メンテナンス中にマルウェアフリーの手順を厳守し、工場に入る前と後の両方で装置のセキュリティを確保することを求めています。
関連記事:半導体業界におけるSEMI E188コンプライアンスを考える:資産ライフサイクル保護の観点から
2つの規格の補完性
SEMI E187およびE188は、ライフサイクルのさまざまな段階で必要とされるサイバーセキュリティ規格を記述しており、E188はE187規格の内容を拡充したものです。2つのサイバーセキュリティ規格は互いに補完し合い、連携して半導体製造装置のサイバーセキュリティを保護します。SEMI E187は、半導体製造装置向けの包括的なサイバーセキュリティ規格となっており、出荷前に新しい装置のセキュリティ基準を設定しています。SEMI E188は、これらの基準を装置の導入前のセキュリティプロセスに拡張し、マルウェアスキャン、脆弱性スキャン、ネットワークセキュリティの3つの主要なステップに重点を置いています。この補完的な設計により、新しい装置のセキュリティが確保されるだけでなく、既存の装置の常駐防御も強化されます。これには、脆弱性スキャンを詳細に行うための適格なスキャンツールの定義、スキャン手順の実装、スキャンレポートの標準化が含まれ、包括的なセキュリティ保護システムを形成します。
関連記事:半導体工場をサイバー脅威から保護する上でSEMI E187とSEMI E188の関係性を理解する
これら2つの規格を組み合わせることで、半導体業界におけるサイバーセキュリティの脅威に対する強力な統合防御が実現し、ますます接続が進む世界で重要な技術インフラを保護するための積極的かつ徹底したアプローチが反映されます。
表.1 SEMI E187とSEMI E188を組み合わせて半導体製造現場を完全に保護
| 規格 | SEMI E187 | SEMI 188 | |
| 目的 | 機器の脆弱性やメーカーの作業現場への脅威侵入を防ぐために設計された 2 つのサイバーセキュリティ規格。 | ||
| 資産ライフサイクルの段階 | 企画、調達、開発 | 導入と保守 | |
| 保護対象 | デバイス | •オペレーティング システムのサポート •マルウェアからの保護 |
•オペレーティング システムのチェックと強化 |
| アプリケーション | •脆弱性スキャン •マルウェア スキャン |
•脆弱性スキャン •マルウェア スキャン |
|
| ネットワーク | •ネットワークサービスの強化 | •ネットワークのセグメンテーション •ネットワーク サービスの強化•ネットワーク接続 |
|
| データ | •ログの要件 | •該当なし | |
| ユーザー | •アクセス制御 | •該当なし | |
半導体業界におけるサイバー攻撃の影響
2022年以降、サイバー攻撃はエスカレートし続けており、Lapsus$、LockBit、UNC4736、キューバ、RansomHouse、LVギャングなどのサイバー犯罪組織からのセキュリティインシデントが、継続的に発生しています。脅威者は、組織、機器サプライヤー、コンポーネント/材料プロバイダー、サードパーティサービスプロバイダー間の複雑なネットワークを悪用しています。彼らはデジタルサプライチェーンの相互接続性を活用し、内部の最も弱い部分をターゲットにしています。包括的な防御を備えた組織であっても、サプライチェーン攻撃に対して脆弱です。
さらに、デジタル製品のサイバーセキュリティは、サプライチェーンのリスクを管理するために非常に重要です。多くの攻撃者は、標的組織のサプライヤーのソフトウェアシステムに焦点を当てており、サプライチェーンのリスク管理がサイバーセキュリティガバナンスの範囲を超えていることを示しています。これには、デジタル製品のサイバーセキュリティの強化も含まれます。これは、米国の2020年IoTサイバーセキュリティ改善法、欧州連合のサイバーレジリエンス法、英国のPSTI法などの法律の重要性を反映しています。デジタル製品は、エンドユーザーの侵入を防ぐために、セキュリティと脆弱性の管理プロセスをデフォルトで重点に置いて設計する必要があります。
特に半導体製造業界における生産環境機器は、ハッカーの主な標的となっています。最近のセキュリティインシデントを観察すると、ハッカーが主に顧客情報、プロセス機器データ、知的財産権などの顧客デバイスデータをターゲットにしていることが明らかになりました。明らかに、セキュリティインシデントは企業の市場競争力に重大な影響を与える可能性があります。SEMI E187およびE188規格の実装により、半導体メーカーはサイバー攻撃をより効果的に防御できるようになります。
これにより、企業の経済的利益が保護されるだけでなく、業界全体のセキュリティ基準と評判も向上します。たとえば、世界最大級の半導体メーカーTSMCは2022年にSEMIと協力して、ファブ機器向けのSEMI E187サイバーセキュリティ標準導入ガイドの作成を開始し、サプライチェーンのサイバーセキュリティ意識の向上と保護基準の遵守を支援しました。ウェーハ製造業務のセキュリティをさらに強化するために、2023年にこの規格が調達契約の要件として正式に組み込まれました。業界のデジタル化と自動化が進むにつれ、これらの規格は半導体業界の継続的な健全な発展を強化する鍵となるでしょう。
まとめ
SEMI E187とSEMI E188は本質的に親子関係に似ています。SEMI E187では、オペレーティング・システムのセキュリティ、ネットワーク・セキュリティ、エンドポイント保護、セキュリティ監視など、新しい半導体機器のネットワークに面したコンピュータに焦点を当てた、基本的なサイバーセキュリティ仕様の一般的なセットが定義されています。
ただし、SEMI E188は、コンピュータ、コントローラ、PLCなどのすべての機器コンポーネントに適しています。さらに、SEMI E188によって規制されるサイバーセキュリティドメインは、マルウェアスキャン、脆弱性スキャン、ネットワークセキュリティの3つの重要なポイントに焦点を当てています。これは、認定されたスキャンツール、プロセス、標準化されたスキャンレポートなど、SEMI E187でカバーされていない実装の側面を補完します。
SEMIサイバーセキュリティ規格が公開されましたが、これは半導体業界のサイバーセキュリティ強化に向けた最初の一歩にすぎません。これらのSEMI規格をそのすべての意味を含めて実装するには、サイバーセキュリティソリューションを組み合わせて、半導体サプライチェーンのサイバーセキュリティ規格への準拠を加速する必要があります。TXOne Networksのソリューションは、半導体装置サプライヤーにSEMI標準要件への準拠を支援すると同時に、資産所有者が製造現場での半導体生産にOTゼロトラストイバーセキュリティ防御アーキテクチャを実装できるようにすることで、この2つの目的を果たします。
関連記事:SEMI E187を適用した先進的事例:GPMはTXOne Networksのソリューションを活用し、SEMI E187への準拠を実現
関連記事:OTゼロトラストハンドブック
