半導体は、現代の電子機器に不可欠であり、世界経済の成長、国家安全保障、そして競争力を左右する重要な要素となっています。通信、オートメーション、AI、ヘルスケア、軍事、スマート交通、クリーンエネルギーといった分野で欠かせない存在です。米国の「CHIPS法(CHIPS and Science Act)」、EUの「欧州半導体法(European Chips Act)」、そして「日本の半導体計画」などの世界的な取り組みを見ると、半導体生産、イノベーション、そしてサプライチェーンのレジリエンス(回復力)を強化する必要性が高まっていることがわかります。その価値の高さから、半導体産業はサイバー犯罪の主な標的となっています。これに対応するため、半導体業界をリードする業界団体SEMIは、「規格」、「評価」、「サイバーセキュリティアーキテクチャ」という高度なサイバーセキュリティ対策を策定しました。今年の重要なポイントは、2023年11月にSEMIが「半導体製造環境におけるサイバーセキュリティ・リファレンス・アーキテクチャ」を発表したことです。
半導体産業におけるサイバーセキュリティの課題
インダストリー4.0のこの時代において、情報技術(IT)と運用制御技術(OT)の統合は、製造業およびサプライチェーンにこれまでにない相互接続性と効率性の向上をもたらしています。しかし、ランサムウェアをはじめとするサイバー脅威技術の高度化や、サプライチェーン攻撃の絶え間ない増加により、リスクはますます顕著になっています。相互接続されたエコシステムでは、半導体製造からサプライチェーン管理まで、チェーン内の個々のリンクがすべてサイバー攻撃の標的となりえます。このような攻撃が成功してしまうと、生産、財務、およびブランドの評判に多大な損失をもたらします。こうした課題に対処するには、次に挙げるセキュリティ上の脆弱性に特に注意を払う必要があります。
- サプライチェーンの脅威:サプライチェーンにおける相互依存は、全体のサイバーセキュリティレベルを考えたとき、チェーン内の最も弱いリンクと同じレベルの強度しか保てないことになります。効果的なサイバーセキュリティ対策が欠如しているサプライヤにとっては、これは大きな懸念事項です。
- 産業用ネットワークの複雑さ:ツールが広範囲で相互接続を行うことは効率的である一方、潜在的なセキュリティの脆弱性も生みます。攻撃者は、安全でないネットワーク接続を悪用して、機密性の高いシステムにアクセスする可能性があります。
- データ漏洩のリスク:接続デバイスやデータ共有の増加に伴い、マシンからの機密データ漏洩のリスクも高まります。適切な保護策を講じずに機密データを送信すると、そこに権限のないユーザーがアクセスする可能性があります。
- ツールメンテナンスのセキュリティ:工場の自動化が進むにつれ、生産ラインの設備メンテナンス時のセキュリティ確保がより重要になります。リモートメンテナンスの不備や不正な機器の持ち込みは、企業のサイバーセキュリティ体制に深刻な影響をおよぼす可能性があります。
- 設備のセキュリティ管理:ファブツールは、電力、化学薬品、ガス、廃棄物プロセス管理設備と高度に統合されています。不正アクセスがあれば、機器が損傷する可能性があります。また、電力、化学薬品、ガス、廃棄物プロセスを適切に管理しなければ、これらのツールは動作しません。
したがって、これらの課題に対処するためには、接続セキュリティの改善、データ保護の強化、内部関係者の脅威からの保護、ツールメンテナンス時のセキュリティ確保、サプライチェーンパートナーのサイバーセキュリティ対策の強化など、包括的なサイバーセキュリティ対策を採り入れる必要があります。
SEMIが業界向けに準備した3つの対策:規格、評価、サイバーセキュリティアーキテクチャ
半導体工場は攻撃対象領域が広いため、特に攻撃を受けやすい状況にあります。権限のないユーザーがさまざまな手段でアクセスし、データの抜き出しや損害を与えたりする可能性があります。さらに、工場で稼働しているソフトウェアが古くなったり、攻撃者が調査する時間が増えたりすると、新たなセキュリティ脆弱性が発生し、悪用可能な弱点が露呈する可能性があります。世界的な半導体産業の複雑化に伴い、悪用可能な脆弱性の数も増加し、将来の攻撃は避けられないように思われます。そのため、半導体業界のサイバーセキュリティを守るためには、業界全体の参加と協力が不可欠となります。SEMI台湾のサイバーセキュリティ委員会の青写真は、主に以下のもので構成されています。規格、評価、サイバーセキュリティアーキテクチャです。
対策その1:規格
2022年1月、SEMI E187が正式に発行され、半導体製造装置用の世界初のサイバーセキュリティ規格となりました。これは、半導体工場が直面する次の2つの最大の課題に対処することを目的としています。(1)感染したツールを工場に気づかずに統合する(持ち込む)こと、(2)ツールがメンテナンス不足により時間の経過とともに脆弱になること。SEMI E187は、ウエハー製造装置のサイバーセキュリティ仕様であり、半導体製造装置および自動マテリアルハンドリングシステムの設計、運用、メンテナンスに必要なサイバーセキュリティ対策の概要を示し、半導体製造装置の基本的なセキュリティレベルを定めたものです。
SEMIは、TSMC、ITRI、TXOne Networks、NYCU、そして台湾のサイバーセキュリティ規格タスクフォースのメンバーである多くのパートナーを含む、産学連携のもと、2022年10月に「SEMI E187リファレンスプラクティス」を公開しました。これは、サプライチェーンにおけるサイバーセキュリティ規格の実装、規格展開の加速化、サイバーセキュリティ意識の向上の促進を支援することを目的としています。
業界は、調達契約の力を通して半導体製造装置のサイバーセキュリティ規格をさらに導入していく予定です。2023年には、SEMI E187規格がTSMCの調達契約要件に正式に盛り込まれ、半導体工場の稼働環境におけるセキュリティがさらに強化されました。これにより、新しい機器を導入する前に、サプライヤがコンピューターのオペレーティングシステム、ネットワークセキュリティ、エンドポイントデバイスセキュリティ、サイバーセキュリティ監視の各基準を適切に実装していることを確認するための検証メカニズムが確立されました。2023年、SEMIは台湾デジタル発展部デジタル産業署と協力し、半導体製造装置メーカーにサイバーセキュリティ検証の指導を行いました。特にGPM Company社は、TXOneソリューションを全社的な業務に導入した後、サードパーティによる検証を受けた、半導体製造装置サイバーセキュリティ規格に準拠した世界初のサプライヤとなりました。
対策その2:評価
近年、サプライチェーンのサイバーセキュリティ問題がおよぼす影響は著しく大きくなっており、サプライチェーンのセキュリティ管理はCISOの重要な責務の一つとなっています。半導体メーカーにとって、これは製造装置、材料、ソフトウェア、コンピュータハードウェアのサプライヤの管理を指し、ソフトウェアサプライヤにとっては、サードパーティのライブラリ管理が含まれます。また、装置サプライヤの場合は、数多くの部品サプライヤが含まれます。このエコシステムの広大さを考えると、サプライヤのリスクを効果的に軽減することは非常に困難な課題です。たとえば、ASML社のCISOであるAernout Reijmer氏は、同社の装置は、約5,000社のサプライヤから提供される約38万点の部品で構成されていると指摘しています。
TSMC社とCisco社が主導するSEMI台湾サイバーセキュリティ委員会は、「SEMI半導体サイバーセキュリティリスク評価サービス」を半導体業界向けに特別にカスタマイズしました。このサービスは、企業がセキュリティ上の脆弱性を迅速に特定し、保護対策の有効性を評価するのに役立ちます。2023年には、1,000社以上の企業がこのサービスを採用しました。TSMC社、政府機関、SEMI、および業界パートナーは、セキュリティ管理の継続的な改善を通じて、堅牢なサイバーセキュリティエコシステムを共同で構築しています。この取り組みでは、半導体サプライチェーン向けのサイバーセキュリティ教育とトレーニングを提供し、特に大規模なサイバーセキュリティチームを持たない小規模なサプライヤに恩恵をもたらします。
対策その3:サイバーセキュリティアーキテクチャ
半導体製造におけるスマート化の進展により、機械、処理システム、工場施設間の相互接続性が高まっていることを踏まえ、将来の半導体工場では、製造ラインの安全性(製造ラインの機械、処理システムなど)と工場施設の安全性(電気、ガス、化学輸送、廃棄物管理など)の両方に対応した複合的な防御アーキテクチャを考慮する必要があります。2023年、SEMIは、主要関係者と協力して、「半導体製造環境におけるサイバーセキュリティ・リファレンス・アーキテクチャ」を提案しました。これらの主要関係者には、SEMI台湾の半導体サイバーセキュリティ委員会委員長でTSMC社の企業情報セキュリティ担当ディレクターのJames Tu氏、TSMC社のITセキュリティプログラム部門マネージャのLeon Chang氏、TXOne NetworksのCEOであり委員会の第4作業部会共同責任者であるTerrence Liu、そして同じく委員会の第4作業部会の共同責任者であるNYCUのHsieh Hsu-Ping教授が含まれています。このアーキテクチャは、半導体製造環境に対する普遍的かつ最小限のセキュリティ要件を定め、生産効率と堅牢なサイバーセキュリティ防御のバランスを取りながら、業界の競争優位性を維持するハイテク工場の構築を目指しています。
-
ハイライト1 – SEMI E187の範囲拡大:
この新しいリファレンスアーキテクチャは、安全性を考慮した設計ツールというだけでなく、ツールの搬入/移送、ツールの設定、工場の稼働とメンテナンスに関するサイバーセキュリティガイドラインなど、あらゆる公共の利益のための持続可能な開発の実践に役立つものを網羅しています。 -
ハイライト2 – 半導体工場における重要な資産とセキュリティゾーンの特定:
Purdueモデルのセキュリティゾーンの階層構造を活用し、半導体製造環境に特に関連する重要な資産セキュリティゾーンのモデルを導入します。このモデルは、工場内のあらゆるネットワーク資産のリスク状況を徹底的に理解するのに役立ちます。 -
ハイライト3 – 資産ライフサイクルの重要性に力点:
初めて「資産ライフサイクルにおける持続可能なセキュリティ」アプローチが採り入れられ、ツール設計と構成、資産在庫管理、ネットワークとアプリケーション統合ツール、脆弱性とパッチ管理、ローカルおよびリモートアクセス、セキュアなデータ交換、サイバーセキュリティ教育、防御の検知と対応など、資産ライフサイクルの各段階のリファレンスアーキテクチャの概要が示されています。 -
ハイライト4 – ツールと施設を複合的防御の重視:
スマートマニュファクチャリングの現場と工場設備のセキュリティのための複合的な防御アーキテクチャが示されています。 -
ハイライト5 – セキュリティ主要業績評価指標(SKPI)の定義:
半導体工場向けのセキュリティ主要業績評価指標(SKPI)が示されています。これらのSKPIは、企業によるサイバーリスクの管理レベルを評価し、継続的な改善への指針を提供するのに役立ちます。
TXOneソリューションの導入による半導体製造環境の安全性の向上
TXOne Networksは、半導体製造とそのサプライチェーン向けの持続可能な資産ライフサイクル防御フレームワークの導入に常に注力してきました。ツール設計の初期段階からサイバーセキュリティを組み込み、最新のスマート工場のセキュリティ管理をサポートする重要なツールを促進してきました。私たちは、半導体業界のリーダーと協力して、「半導体製造環境におけるサイバーセキュリティ・リファレンス・アーキテクチャ」を発表できたことを光栄に思っています。
半導体業界のサイバーセキュリティチームの目標は、装置やシステムの安定性を維持し、稼働環境の可用性を最大化することであることはよく知られています。したがって、サイバーセキュリティはすべての部門にとって重要である一方、制御操作を軽減させるには、パフォーマンスを損なうことなく機器を保護するように調整しなければなりません。TXOne Networksの包括的なソリューションスイートは、重要な半導体資産のライフサイクル全体を保護し、CPSDR(サイバーフィジカルシステム ディテクション&レスポンス)技術を用いて、業界が求める多層防御のニーズに応えます。
各段階で「常に疑い、常に検証する」アプローチを採用することで、脅威、意図しない設定変更、またはその他の異常に対して、TXOne Networksのセキュリティ検査、エンドポイント保護、ネットワーク防御ソリューションは、不正な変更を効果的に防止し、脅威を検知し、即座に対応することができます。さらに詳しい情報をお知りになりたい場合は、お気軽にお問い合わせください。お客様の工場の継続的な稼働を確保できるようご支援いたします。
