この記事は2分で読めます。
TXOne Networks Japan合同会社 技術本部所属。
車載ソフトウェア開発業務を経て、2017年よりサイバーセキュリティ業務に従事。
情報処理安全確保支援士。直近の趣味は身体操作の強化。
デジタル化の推進が進むにつれてIT領域におけるサイバーセキュリティの脅威とリスクに限らず、生産環境(OT領域)でも同様のリスクへの懸念が増しています。現実に生産環境に影響を及ぼす事案も発生していることは、皆様もご存じのところかと思います。
こうした脅威への意識が高まるにともない、各業界・業種毎にサイバーセキュリティへの対策・対応を求める規格やガイドラインが整備されています。そこで今回は製造装置向けのサイバーセキュリティ規格SEMI E187 / E188の活用方法についてお話します。
SEMI E187/E188はどのような製造環境で活用されているのか
先日台湾の半導体製造大手のニュースリリースでもSEMI E187の調達基準への採用促進について触れられておりますが、SEMI E187/E188は、生産設備ベンダ、サプライヤに対しての要求事項になっています。半導体製造をはじめ生産環境や専門的なオペレーションが求められる環境においては、ユーザー企業だけではなく、専門ベンダ、サプライヤと共同して構築していくことになります。当然のこととして、構築される装置についてはベンダの保守範囲下に入ります。このためユーザー企業の一存では対策の決定と実行が難しいこともあります。
高度に設計された装置は長期利用が前提となりますので、中途の要件の変更が難しいことは現実としてあるのですが、このままではよろしくは無いということで、生産設備の導入~保守の資産のライフサイクルに沿った形でセキュリティ対策の強化、対応を要求するものとして、SEMI E187、E188が規定されています。
図 1. 半導体製造装置生産設備のライフサイクル
生産設備のライフサイクルに沿ったSEMI E187/188の活用方法とは
大まかな生産設備のライフサイクルは次の通りです。
- 1. オンボーディング
- 装置ベンダで設計、製造され配送された後、「オンボーディング」では、当該設備が要件を満たしているかどうか検証します。
- 2. ステージング
このライフサイクルに照らし合わせて捉えるとSEMI E187は、オンボーディングフェーズ(新資産、設備の導入)におけるセキュリティ検査に焦点を当て、SEMI E188は、機器の納入、設置、メンテナンスの際のマルウェアフリーの実施プロセスに焦点を当てています。
それぞれフォーカスをしたポイントを例えると、
E187:Security by Design
E188:Security By Operation
と表すことができるのではないでしょうか。
また、この両規格の要求事項の範囲をまとめると、
図 2. SEMI E187 , E188対象範囲
オペレーティングシステム、ネットワークセキュリティ、エンドポイントプロテクション、セキュリティモニタリングと4つに領域に分けることができ、それぞれ生産環境における設備、システムへの要求を具体的に記載しています。このため半導体業界の関連企業様をはじめとして、セキュリティ対策・対応をご検討の企業様、そして御取引先様より要求を受けそうな企業様には、対策の要点をつかむために参考にしていただけるものです。
当社では、そのようなご相談もありましたので、いくつか解説資料をご用意しておりますので、是非ご参考にしていだけますと幸いです。
最後に
余談ではございますが、生産環境においては特に外部持ち込みデバイス(PCやUSBメモリ)への意識は高くなる一方、自社の倉庫に眠っている予備品のチェックを見逃しているケースが散見されますので、機会を見つけて検査いただくことをお勧めいたします。
おすすめ記事
半導体セキュリティ規格 SEMI E187リファレンスガイド資産のセキュリティ・ライフ・サイクル
待望の『SEMI E187』規格のリリースにより、サイバーセキュリティに対する近代化された先進的なアプローチが発表されました。
なぜ半導体工場はSEMI E187とSEMI E188を組み合わせるべきなのか
世界的な半導体業界団体であるSEMIは、2022年に2つの将来を見据えたサイバーセキュリティ規格、SEMI E187とSEMI E188をリリースしました。どちらも、半導体工場の安全確保に関心のある組織向けの近代化ガイドラインの先駆けであり、近いうちに半導体サプライチェーン全体で導入されることが期待されます。
