2025年10月24日、経済産業省は、半導体産業向けの工場セキュリティ対策指針を「半導体デバイス[i]工場におけるOTセキュリティガイドライン Ver 1.0」(以下、「本ガイドライン」とする)として取りまとめ、公開しました。
本ガイドラインは、組立型の工場を対象としたガイドライン[ii]では対応が難しい、半導体デバイス工場を対象に具体的なセキュリティ対策を定めています。また、世界中に広がるサプライチェーンを考慮し、代表的な国際規格との整合性を重視しています。
本記事では、国内外の半導体産業を取り巻く状況と本ガイドラインを活用することで得られるメリットについて第1章で述べた後に本ガイドラインの概要を第2章で解説します。
近年、半導体製造現場ではスマートファクトリー化が進み、製造装置や制御システムがネットワークに接続されることで、OT領域のサイバーリスクが急速に高まっています。特に、製造業の65%が過去1年でランサムウェア攻撃を経験している[iii]状況において、24時間稼働の半導体工場が一時的に止まるだけでもサプライチェーン全体に大きな影響を与えます。そのため、半導体産業全体のセキュリティ対策を強化することが今すぐ取り組むべき重要な課題となっています。国外では、代表的な国際規格・法規であるSEMI E187/E188やCRA(サイバー・レジリエンス法)によって、サプライチェーン全体に対するセキュリティ要件が強化され、OT環境においてもIT同様の厳格な管理が求められるようになりました。
国際的な供給網を前提に成立している日本の半導体産業も、国外のセキュリティ規格・法規への適合を国外顧客から要求されることがあり、日本の半導体産業全体が国際規格・法規へ対応するための補助輪として、「半導体産業におけるセキュリティ対策」と「工場セキュリティ対策」を結び付けた本ガイドラインの活用が期待されています。
今後、経済産業省の半導体業界における投資促進施策の要件に本ガイドラインを紐づけることも検討されており、本ガイドラインに沿った対応によって国際競争力を強化するための支援が得られる可能性があります。
本ガイドラインは、リスク分析における現状把握とあるべき姿の定義及びセキュリティ対策の検討を進める際の参考資料として活用が想定されています。
(※)制御システムのセキュリティリスク分析ガイド(2023年3月版)を基にNRIセキュアが作成
本ガイドラインでは主に以下の内容について解説しています。
|
項目 |
概要 |
|
半導体デバイス工場におけるリファレンスアーキテクチャの説明 |
効果的な脅威リスク分析を実施するために、概念モデル及びフレームワークを活用し半導体デバイス工場の特徴を抽出する方法について説明しています。 |
|
半導体デバイス工場の特徴を踏まえたリスク源の抽出と対策項目の整理 |
整理した半導体デバイス工場の特徴に起因するリスク源を洗い出し、リスクを低減する対策を決定するための観点をNIST CSF2.0半導体製造プロファイル、CPSF対策要件IDまたはSEMIの要件と紐づけて説明しています。 |
|
具体的な対策事例 |
第3章の対策項目のうち特に重要な項目について、より詳細な対策事例を紹介しています。 |
本ガイドラインにおける想定読者、守るべき対象及び想定攻撃者は次のとおりです。
|
想定読者 |
半導体デバイス工場における製造部門の実務者 装置メーカー・設備メーカーの保守担当・エンジニア |
|
守るべき対象 |
「生産目標の維持」「機密情報の保護」「品質の維持」 |
|
想定攻撃者と対策 |
国家支援を受けた高度な攻撃者(APT)を想定した対策レベルを提示 |
守るべき対象及び想定する攻撃者は経済安全保障の観点で優先順位付けを実施しています。想定する攻撃者に関する定義は下図のとおりです。
リファレンスアーキテクチャは、半導体デバイス工場を業務単位、機能単位で領域、エリアに分割するPurdueモデル[iv]に加え、半導体デバイス工場を中心とした外部との繋がりによって生じるリスク源を説明するCPSF[v]を活用し、脅威リスク分析に必要な半導体デバイス工場の構成要素、リスク源及びデータフローをレイヤーごとに可視化できるようにしています。
リファレンスアーキテクチャを参考に自社向けのアーキテクチャを作成することで、半導体デバイスメーカーは自社工場の特徴に応じた適切なセキュリティ対策を講じることが可能になる他、半導体デバイスメーカーに機器等を納入する装置メーカーや設備メーカーにとっても、自社製品及び自社製品製造工場に対する効果的なセキュリティ対策を講じることが可能です。
|
領域 |
Purdue |
エリア |
|
|
IT領域 |
レベル4-5 |
【エンタープライズIT】 生産計画や設計などの基幹業務を担うオフィス系機器が接続されるエリア |
|
|
IT/OT DMZ |
レベル3.5 |
【IT/OT DMZ】 IT領域とOT領域をファイア・ウォールで分離し、中継を行うエリア |
|
|
OT領域 |
レベル3 |
【ファブシステム】 製造プロセス全体を制御・最適化するシステムが属するエリア 装置例:MES等 |
【ファシリティ】 工場や施設内の設備監視・制御の統合管理や防犯・セキュリティ対策の一元管理を行うエリア システム例:FMCS、入退室管理、火災検知等 |
|
レベル0-2 |
【ファブ】 装置ツール群が属する清浄なクリーンルームのエリア 装置例:EAP、MCS等 |
||
上図の分類に沿って作成されたリファレンスアーキテクチャ(下図)をもとに自社の半導体デバイス工場または製品を取り巻く構成要素を当てはめ、要素間におけるデータフローを明確化した自社のアーキテクチャを作成します。
(半導体デバイス工場におけるOTセキュリティガイドライン Ver 1.0 p.9引用)
アーキテクチャを6つの構成要素に整理します(下図)。この表を活用することにより、半導体デバイス工場の構成要素の特徴をとらえた効果的なリスク分析が実施でき、洗い出した脅威を低減するための適切なセキュリティ対策を講じることが可能になります。
(半導体デバイス工場におけるOTセキュリティガイドライン Ver 1.0 p.10引用)
半導体デバイス工場におけるOTセキュリティガイドラインの第3章では、第2章のリファレンスアーキテクチャで整理したPurdueモデルに基づき、OT領域の各エリアに対して、技術・物理的側面から特徴と考慮すべき観点を洗い出し、脅威や脆弱性をリスク源の視点からまとめています。さらに、半導体業界の代表的なフレームワークや規格(NIST CSF2.0 半導体製造プロファイル、SEMI E187 製造リファレンス)及びCPSFとの関係を整理することで、対策根拠の裏づけを強化しています。
整理した内容は、次の3通りの活用方法が想定されています。
リファレンスアーキテクチャに沿って、各領域・エリアごとの特徴を捉えたセキュリティ対策を分類しています。
|
生産目標・半導体品質の維持のための装置ツール群のセキュリティ対策 |
生産機密情報の保護(ファブエリア全体、装置内データ) |
|
① 装置ツールの資産管理と脆弱性評価 |
④ 生産機密情報の把握とデータ管理 |
|
② 装置ツールの被害の極小化と早期復旧を備えた追加防御対策 |
⑤ 物理アクセスの制限(入室・持込み・接続) |
|
③ 安全な装置ツールの調達と導入 |
⑥ 論理的アクセスの制限(ID管理、認証及びアクセス制御) |
|
分類 |
概要説明 |
|
① システム可用性 |
連続稼働におけるパッチ適用等を含めた運用考慮点 |
|
② データ保全 |
大容量バックアップと事業継続を考慮した早期リストア |
|
③ サーバルームの物理的対策 |
機密データ保管エリアとしての物理的対策 |
|
分類 |
概要説明 |
|
① 外部サービス活用(クラウドサービス) |
OTファブシステムにあるデータをクラウドデータ分析サービスに活用 |
|
② 外部サービス活用(遠隔診断サービス利用) |
保守先の装置メーカーからファブエリアにある装置ツールへの遠隔診断サービス活用 |
|
③ IT/OT DMZ |
IT/OT DMZによるOT領域の分離制御 |
|
① ガバナンス(ビジネス環境の理解、役割・責任・権限の確立) |
|
② 法規制・業界標準対応 (人材の確保及び環境安全の維持) |
|
③ 供給責任・サプライチェーン対応(生産目標・製品品質の維持) |
|
④ 生産機密情報の保護 |
|
⑤ リスクマネジメント・ポリシー・レジリエンス |
|
⑥ 運用(監視・対応・復旧・改善) |
|
⑦ 意識向上とトレーニング |
※その他の領域・エリアの対策は、別のガイドラインまたは今後本ガイドラインで拡充予定。
領域・エリアの特徴からセキュリティ対策を行う上で考慮すべき観点をまとめ、脅威源・脆弱性とともに代表的な国際規格と紐づけた情報を分類した対策ごとに列挙しています。これをリスク分析と対策要件の導出に活用することで抜け漏れのない対策を検討することができます。
(半導体デバイス工場におけるOTセキュリティガイドライン Ver 1.0 p.19引用)
領域・エリアごとの特徴を踏まえたリスク源、脆弱性情報及び関連する国際規格の対策要件をマッピング
半導体デバイス工場におけるOTセキュリティガイドラインの第4章では、第3章で整理した関連フレームワークの対策項目から特に重要な対策を抜粋し具体的な事例を4つ紹介しています。ここでは、半導体デバイスメーカーだけにとどまらず、半導体デバイス工場に導入する装置メーカーや設備メーカーにとってもフィールドサポート契約等で要求される可能性が高い項目について言及されています。
|
具体的対策事例の概要 |
|
|
4.1 1 |
装置ツールの資産管理と脆弱性評価 |
|
半導体デバイス工場特有の「1工場2千台以上にのぼる装置ツールを効率的かつ適切な状態で運用・管理していくにはどうすればよいか?」に焦点を当て、想定被害から逆算して、対応優先度を決めるための考え方を説明しています。 |
|
|
2 |
装置ツールの被害の極小化と早期復旧を備えた追加防御対策 |
|
生産継続のための被害極小化と早期復旧の対策として、多層防御、マイクロセグメンテーション及びネットワーク監視を取り上げて説明しています。 装置メーカーは、装置ツール内でマイクロセグメンテーションを実現するなどの対策が今後見込まれていることに加え、国際規格SEMI E187及びE 188に基づき、実装したセキュリティ対策と適切な運用方法(推奨する構成や設定内容、運用方法等)の説明を求められる可能性があります。 |
|
|
3 |
運用(監視・対応・復旧・改善)FSIRTによる運用 |
|
工場のOT領域に対するサイバー攻撃の検知・対応・復旧を行うインシデント対応組織FSIRTの必要性と半導体デバイス工場の特徴(誤検知が多い等)に基づく対策やインシデント対応プロセスについて説明しています。 また、デバイスメーカーのFSIRTと装置メーカーのPSIRTの連携を強化するために、SEMI E187及びE188のセキュリティ要件を企業間の契約書に追加することにまで踏み込んで説明しています。 |
|
|
4 |
物理アクセスの制限(入室・持ち込み・接続)-ファブエリアにおける物理的対策 |
|
半導体デバイス工場の生産現場であるファブエリアが物理的な侵入口として狙われやすいことから、ファブエリアに焦点を当てた物理セキュリティの対策事例について説明しています。 |
|
本記事では「半導体デバイス工場におけるOTセキュリティガイドライン Ver 1.0」について解説しました。
ガイドラインでは、リスク分析時に脅威源の洗い出しとセキュリティ対策の紐づけに抜け漏れが生じないよう、Purdueモデルのフレームワークの活用を推奨しています。さらに、抜け漏れのないセキュリティ対策を実現するためには、半導体デバイスメーカーだけでなく、装置メーカーや設備メーカーを含むサプライヤー全体での対応が必要であることも示唆されています。しかし、リスク分析・リスク管理を適切な体制や手順に基づいて実施できているサプライヤー企業はまだ少数であり、十分とは言えません。加えて、セキュリティ関連法規・規格や脅威情報などの最新動向を継続的に追従することも求められており、企業に課される負担は一層増しています。こうした状況を背景に今後、同等の信頼性を持つ企業間での迅速な情報共有の仕組みの導入が、企業の信頼性を公的に評価・認定する「サプライチェーン強化に向けたセキュリティ対策評価制度」の活用によって加速していくと考えられます。
当社では、半導体デバイスメーカー様や半導体製造装置メーカー様に向けたOTセキュリティ・製品セキュリティに関するコンサルティングサービスを提供しており、半導体業界の最新動向の把握や数多くのコンサルティング支援を提供してきた実績・ノウハウがございます。本記事で解説した「リファレンスアーキテクチャ」を活用する脅威リスク分析の実行支援や装置メーカーにも要求されることの多いSEMI E187/E188に対する準拠支援など多数のコンサルティングメニューをワンストップでご提供することが可能です。
お困りの際にはぜひお声がけください。
<関連サービス>
[i] 半導体材料を用いて作られたトランジスタやダイオード、IC(集積回路)などの電子部品であり、電気信号の制御・変換・処理などの機能を持つ。
[ii] 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
[iii] ソフォスホワイトペーパー「製造/生産業のランサムウェアの現状 2024」
[iv] Purdueモデル:産業用制御システムのネットワークアーキテクチャを構築する際に、システム全体を階層的に整理し標準化したもの。産業用制御システムと周辺機器及び連接システムを機能別のレイヤー(レベル0-5)に分類することで、領域単位で適切なセキュリティ対策を講じることが可能となる。
[v] CPSF:経産省が2019年にSociety5.0時代に対応するための包括的なセキュリティ対策を説明したフレームワーク。CPSFにおける三層構造では、半導体デバイス工場を取り巻く企業間の繋がりから生起するリスク源、フィジカル空間とサイバー空間における情報のやり取り等に生起するリスク源、サイバー空間における情報等やり取りに生起するリスク源を3つの層で整理するとともに、リスク対象を6つの構成要素(ソシキ、ヒト、モノ、データ、プロシージャ、システム)に分類することで、構成要素の特徴をとらえた効果的な脅威リスク分析が実施できる。