半導体業界におけるサイバーセキュリティ最新動向

本連載は、日経産業新聞（2023年8月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

近年、規模や業界を問わず、企業に対するサイバー攻撃が急増しています。半導体業界も例外ではありません。ランサムウェアによる攻撃を受けた半導体工場が操業停止に追い込まれるなど、重大な影響を受けるケースが出ています。

半導体の国際業界団体SEMIは2022年、半導体業界のサイバーセキュリティ対策のニーズに応えるため、半導体製造過程でのセキュリティの確保を目的とした2つの規格を新設しました。

1つ目の規格「SEMI E187」は、半導体製造装置のセキュリティの最低基準となるセキュリティ要件を定義しています。「オペレーティング・システム」「ネットワークセキュリティ」「エンドポイント保護」「セキュリティモニタリング」の4つの主要分野に焦点を当てて定めた規格です。
同規格は、半導体製造装置と自動搬送システムの設計、運用および保守に関するサイバーセキュリティの要件で、工場などで使う汎用オペレーションシステムを搭載したコンピュータにも適用されます。

2つ目の規格「SEMI E188」は、製造装置導入後のフィールドサービス、すなわち顧客先での修理、修正プログラムの適用、メンテナンスといった継続的な活動を通じて、外部からのマルウェア感染から工場を守ることに重きを置いています。

半導体製造装置の機器を供給する側、使用する側、ハードウエア・ソフトウエア部品の供給者などのサプライヤーに対し、導入時のマルウェア・脆弱性スキャン、運用時の安全な外部ネットワークへの接続、マルウェア・脆弱性対応などを求めています。
半導体のサプライチェーンでセキュリティリスクが高まるのは、半導体デバイスメーカーと半導体製造装置メーカーが互いのセキュリティに対する期待値を理解・共有できていない場合です。

たとえば、半導体デバイスメーカー側から半導体製造装置メーカー側にセキュリティ要求を出さなければ、半導体製造装置にセキュリティ機能が実装されないことがあります。セキュリティ要求が仕様書に落とし込まれていなければ、互いに対策を実施しているつもりになったまま、サイバー攻撃を受けた後に初めてセキュリティ対策が不足していることに気づくといったことも起こり得ます。

こうした認識ギャップを埋めるべく、デバイスメーカーはセキュリティの期待値を製造装置メーカーに伝え、それを受けた製造装置メーカーが提供できる機能やサービスを調整する必要があります。
SEMIの2つの規格は、半導体業界が抱えるセキュリティリスクの低減につながると期待されます。SEMIの規格を基に、関係する各社がサイバーセキュリティ対応を実施すれば、ひいては半導体業界全体のセキュリティレベルの向上にもつながるとの見方もあります。

日経産業新聞　2023年8月18日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング　
ディレクター　保坂 範和