SEMI E187/E188は、半導体製造現場におけるサイバーセキュリティ対策の重要性が高まる中、注目されているセキュリティガイドラインです。
本記事では、SEMI E187/E188の概要、目的、内容、準拠のメリット、準拠対応方法などを解説し、半導体製造装置メーカーが取るべき行動を具体的に提示します。
SEMI E187/E188 とは?
SEMI E187/E188とは、半導体製造装置におけるセキュリティリスクへの対策を体系的にまとめた規格で、世界的な半導体業界団体であるSEMIが、2022年に発表しました。両規格は、互いに補完し合い、連携してサイバー脅威から半導体製造装置を保護します。多くの半導体サプライチェーンは両規格の関係性を理解しておくことが今後より求められることが考えられます。
SEMI E187 と SEMI E188 の違い
SEMI E187はあたらしい装置の開発段階に焦点を当てており、オペレーティングシステムのセキュリティ、ネットワークセキュリティ、エンドポイント保護、セキュリティ監視の4つの基本要素をカバーしています。特にWindowsおよびLinuxオペレーティングシステムを実行しているデバイスの場合、装置サプライヤーは装置の発送前にこれらのセキュリティ機能を実装することが義務付けられています。SEMI E187は、これらの装置におけるサイバーセキュリティ機能を標準化することにより、生産ラインに導入される新しい装置のための安全な基盤を築きます。
SEMI E188はSEMI E187とは対照的に、新装置だけでなく既存の装置や、コンピュータ、コントローラ、PLCなどのすべてのコンピューティングデバイスにも適用できます。SEMI E188は、装置のマルウェアフリーの展開プロセスを強調しており、サプライヤーに対し、装置の配送、設置、メンテナンス中にマルウェアフリーの手順を厳守し、工場に入る前と後の両方で装置のセキュリティを確保することを求めています。
いずれも、半導体製造現場のサイバーレジリエンス向上を目的として策定されたものであり、サプライチェーン全体の健全性を保護を強力に支援するものです。
それでは、なぜこれらの規格が必要とされているのか、背景と目的を見ていきましょう。
背景と目的
近年、半導体製造現場では、製造装置のネットワーク接続が一般化し、サイバー攻撃リスクが急速に高まっています。こうした中、EUで制定された「サイバーレジリエンス法(Cyber Resilience Act)」をはじめ、グローバルで製品やシステムに対するサイバーセキュリティ要件の厳格化も進んでいます。
半導体業界においても、国際的な要請に応えるため、製造装置や通信のセキュリティ強化が喫緊の課題となりました。これを受け、サイバーセキュリティ規格として策定されたのがSEMI E187とSEMI E188です。TXOne NetworksのCEO テレンス・リュウはSEMI TIAWAN Cybersecurity Committeeのグループリーダーを務めており、SEMI TAIWANは規格の策定、その規格の普及・啓蒙をしていくなど、図にあるように4つの柱で活動を行っています。
SEMI E187 の主な内容
SEMI E187は、SEMI E187は半導体の業界団体SEMIが発行した半導体製造装置(ファブ装置)向けサイバーセキュリティ規格です。装置のライフサイクル全体を対象とする具体的な内容を網羅しています。
装置メーカーが設計段階から実装まで、ライフサイクル全体のセキュリティ機能を明確にし、ネットワーク接続された装置が外部からの脅威に対して安全に運用できるようにすることを目的としています。
ここでは、SEMI E187が示す重要なポイントについて、リスクアセスメント、各種セキュリティ対策、サプライチェーン管理といった観点から整理して解説します。
セキュリティリスクアセスメント
SEMI E187では、製造装置のセキュリティリスクアセスメントの実施が求められています。
装置の構成要素やソフトウェア構成、通信経路、外部接続インターフェースなどを詳細に洗い出し、それぞれに潜む脅威や脆弱性を特定します。さらに、それぞれのリスクの発生確率と影響度を評価し、リスクマトリクスによる可視化を行うことが推奨されています。
アセスメント結果によりどの部分に重点的な対策を講じるべきか明確にし、限られたリソースを最適に配分した効果的なセキュリティ対策計画の立案につなげなければなりません。
セキュリティ対策
リスクアセスメントを実施したら、結果に基づき装置に対して必要なセキュリティ対策を講じることも求められます。
SEMI E187で示されているのは、アクセス制御、認証機構、ログ管理、不正プログラム対策といった基本的なサイバーセキュリティ施策に加え、運用・保守時の手順や緊急対応策についてのガイドラインです。
さらに、ユーザー権限管理やパスワードポリシーの設定、ソフトウェアアップデート手順の標準化など、装置のライフサイクル全体を通じたセキュリティ維持のための実務的な要求事項も盛り込まれています。
これらの対策により、設計段階から運用フェーズまで一貫したセキュリティを確保できます。
物理セキュリティ
サイバーセキュリティ対策と並行して、物理的なセキュリティ確保も重要です。SEMI E187では、装置の設置場所におけるアクセス制限や、入退室管理システムの導入、筐体の施錠、重要デバイスの取り外し防止措置など、さまざまな物理的対策が規定されています。
また、現場作業者やメンテナンス業者向けに、物理セキュリティに関する教育・訓練を実施することも推奨されています。サイバー空間だけでなく、現場に潜む物理的な侵害リスクにも目を向けた総合的な対策が必要です。
ネットワークセキュリティ
製造装置は、MESやERPなど上位システムとの連携を目的にネットワーク経由でさまざまなシステムと接続されるため、ネットワークレベルでの防御も不可欠です。
SEMI E187では、ファイアウォールの適切な設置、通信経路の暗号化、不要なポートやサービスの閉鎖といった基本対策に加え、通信相手の認証、通信ログの取得・監視についても指針を示しています。特に、装置間通信に使用される通信プロトコルのセキュリティ強化は重要なポイントであり、TLS(Transport Layer Security)などの標準的な暗号化技術の活用、安全な通信仕様の選定・設定が必要です。
こうした対策を実施し、外部からの不正アクセスや内部からの情報漏洩リスクを低減しなければなりません。
システムセキュリティ
装置に搭載されるOSや各種ソフトウェアも、セキュリティリスクの対象です。
SEMI E187では、システムにおける最小権限の原則の徹底、不要なサービスやポートの無効化、脆弱性を悪用されないためのパッチ管理体制の整備を求めています。さらに、即時適用か、事前検証後の適用かといったセキュリティパッチの適用方針や、ソフトウェア更新時の署名検証など、運用管理レベルでのセキュリティ強化も重要な要素です。
新規導入プログラムについても、セキュリティリスク評価を行った上での適切な導入判断が推奨されています。
データセキュリティ
製造条件データ、ログデータ、運用データなど、装置が取り扱う各種データの保護もSEMI E187では重視されています。
推奨されている対策には、データの保存時・送信時の暗号化、アクセス権限に基づく厳格なアクセスコントロール、改ざん防止のためのデジタル署名技術の活用などが含まれます。特に、製造工程に関する機微な情報は、競争力の源泉であると同時に、サプライチェーン全体に影響を及ぼすリスクを孕んでいるため、漏洩や不正アクセスを防ぐための多層的な保護策を講じなければなりません。
また、データのバックアップポリシーや復旧手順もあらかじめ整備しておくことが望まれます。
サプライチェーンセキュリティ
装置単体のセキュリティ対策だけでは十分とは言えません。SEMI E187では、部品・ソフトウェア・サービスを提供するサプライチェーン全体に対するセキュリティ管理の重要性が強調されています。
部品供給元やソフトウェアベンダーに対して、装置に求められるセキュリティ基準を明確に提示し、それに基づく選定・契約を行わなければなりません。さらに、調達段階でのサイバーリスク評価、サプライヤーへのセキュリティチェックシート提出要請、契約条項へのセキュリティ要求事項の組み込みなども推奨されています。
また、サプライヤーに対する定期的な監査や、サプライヤー自身のリスク管理体制の確認も必要です。サプライチェーン全体のセキュリティレベルを底上げすることで、装置のライフサイクルを通じたリスク低減につなげられます。
SEMI E188 の主な内容
2022年2月、SEMIは資産のライフサイクル保護アプローチを徹底的に詳しく説明した、新しいサイバーセキュリティ規格『SEMI E188 – マルウェアフリー機器統合のための仕様(Malware-Free Device Integration Specification)』を発行しました。
SEMI E187は、半導体製造装置向けの包括的なサイバーセキュリティ規格となっており、出荷前に新しい装置のセキュリティ基準を設定しています。SEMI E188は、これらの基準を装置の導入前のセキュリティプロセスに拡張し、マルウェアスキャン、脆弱性スキャン、ネットワークセキュリティの3つの主要なステップに重点を置いています。
ここでは、SEMI E188が定める通信の安全確保に向けた具体的な内容について整理し、どのように製造現場のサイバーリスク低減に貢献するかを見ていきます。
通信プロトコルのセキュリティ要件
SEMI E188は、製造装置間や装置とシステム間で交わされる通信プロトコルに特化したセキュリティガイドラインです。本規格では、通信時の認証、暗号化、改ざん防止といったセキュリティ要件が明確に定義されています。
たとえば、デバイス間の通信においては、通信開始時に相手の正当性を認証し、セッション全体を暗号化することが求められます。また、通信データの整合性を保つため、メッセージ認証コード(MAC)の導入も推奨されています。
外部からのなりすましや通信内容の改ざんリスクを低減し、安全な製造環境を実現するための規格です。
SEMI E187およびE188の補完性
2つのサイバーセキュリティ規格は互いに補完し合い、連携して半導体製造装置のサイバーセキュリティを保護します。この補完的な設計により、新しい装置のセキュリティが確保されるだけでなく、既存の装置の常駐防御も強化されます。これには、脆弱性スキャンを詳細に行うための適格なスキャンツールの定義、スキャン手順の実装、スキャンレポートの標準化が含まれ、包括的なセキュリティ保護システムを形成します。
なぜ半導体工場はSEMI E187とSEMI E188を組み合わせるべきなのか
世界的な半導体業界団体であるSEMIは、2022年に2つの将来を見据えたサイバーセキュリティ規格、SEMI E187とSEMI E188をリリースしました。どちらも、半導体工場の安全確保に関心のある組織向けの近代化ガイドラインの先駆けであり、近いうちに半導体サプライチェーン全体で導入されることが期待されます。
半導体サイバーセキュリティ規格SEMI E187/188の活用
SEMI E187 / E188とは?半導体製造装置向けサイバーセキュリティ規格SEMI E187 / E188の活用方法について解説します。
SEMI E187/E188 準拠のメリット
SEMI E187/E188に準拠すると、どのようなメリットがあるのでしょうか。ここでは、SEMI E187/E188準拠のメリットを見ていきます。
セキュリティリスクの低減
SEMI E187/E188に準拠することで、製造装置やその通信経路に潜むセキュリティリスクを大幅に低減できます。リスクアセスメント、物理・ネットワーク・システム各層の対策、通信プロトコルの保護といった多層的な防御を施すことで、サイバー攻撃や内部不正による被害発生のリスクを最小限に抑えることが可能です。
結果として、製造ラインの停止や情報漏洩といった重大インシデントの発生を防ぐことにつながります。
企業価値の向上
安全性の高い製造装置とサプライチェーンを構築できることは、企業価値の向上にも直結します。顧客企業やパートナー企業に対して高いセキュリティ意識と取り組みを示すことができるため、競合他社との差別化要素にもなるでしょう。
また、将来的な法規制強化への備えとしても、SEMI E187/E188準拠は大きな強みとなり、企業の持続的成長を支える基盤となります。
顧客からの信頼獲得
サイバーセキュリティに対する適切な対応は、顧客からの信頼獲得に直結します。
半導体業界ではサプライチェーン全体のセキュリティが重要視されるため、SEMI E187/E188準拠を対外的にアピールすることで、受注機会の拡大や長期的な取引関係の構築にもつながります。
SEMI E187に基づくセキュリティ認証の取得も、信頼性の裏付けとなる重要な施策のひとつです。
サプライチェーン全体のセキュリティレベル向上
SEMI E187/E188は、自社装置だけでなく部品やソフトウェアを提供するサプライヤーにも適用可能な考え方を示しています。そのため、SEMI E187/E188準拠によりサプライチェーン全体のセキュリティ意識と対策レベルが向上し、ひとつの弱点から全体が危険にさらされるリスクの低減が可能です。
結果として、より堅牢で信頼性の高い製造ネットワークを構築することが可能になります。
SEMI E187/E188 への対応方法
SEMI E187/E188に準拠することは、単なる規格対応にとどまらず、企業活動全体に大きなメリットをもたらします。
ここでは、準拠によって得られる主な効果について見ていきましょう。
現状分析
SEMI E187/E188に対応する第一歩は、自社の製造装置や通信インフラにおける現状分析です。装置の構成要素、接続ネットワーク、通信プロトコルの使用状況、既存のセキュリティ対策レベルなどを棚卸しし、脆弱な部分を洗い出しましょう。
サイバーセキュリティ専門部署や、装置メーカー、サプライヤーと連携しながら客観的な視点で分析を行うことが重要です。
対策計画の策定
現状分析で判明したリスクや課題をもとに、具体的な対策計画を策定します。SEMI E187の各項目に沿った対策をリストアップし、優先順位をつけながら導入スケジュールを定めなければなりません。
また、SEMI E188に準拠した通信プロトコルへの移行や、既存装置のアップデート計画もあわせて検討が必要です。リソース確保と実現可能性を見極め、現実的に計画立案を進めましょう。
対策の実施
策定した計画に基づき、実際にセキュリティ対策を実施します。装置へのパッチ適用、ファイアウォールや暗号化設定の見直し、不正アクセス対策機能の実装、通信プロトコルの強化など、多岐にわたる作業が必要です。
新たに装置を導入する場合は、SEMI E187/E188準拠モデルを選定するのも効果的です。対策実施時には、導入後の運用・保守体制も考慮した設計を意識してください。
監査と見直し
セキュリティ対策は一度実施すれば終わりではありません。SEMI E187/E188では、定期的な監査と継続的な見直しが推奨されています。
運用開始後も、装置の構成変更や新たな脅威の出現に対応するため、リスクアセスメントの再実施や設定内容の再確認を行いましょう。
また、第三者による監査を活用することで、より客観的な視点での検証と改善が可能になります。
まとめ:SEMI E187/E188 への対応で安全な半導体サプライチェーンを構築
SEMI E187とSEMI E188は本質的に親子関係に似ています。SEMI E187では、オペレーティング・システムのセキュリティ、ネットワーク・セキュリティ、エンドポイント保護、セキュリティ監視など、新しい半導体機器のネットワークに面したコンピュータに焦点を当てた、基本的なサイバーセキュリティ仕様の一般的なセットが定義されています。
ただし、SEMI E188は、コンピュータ、コントローラ、PLCなどのすべての機器コンポーネントに適しています。さらに、SEMI E188によって規制されるサイバーセキュリティドメインは、マルウェアスキャン、脆弱性スキャン、ネットワークセキュリティの3つの重要なポイントに焦点を当てています。これは、認定されたスキャンツール、プロセス、標準化されたスキャンレポートなど、SEMI E187でカバーされていない実装の側面を補完します。
これは半導体業界のサイバーセキュリティ強化に向けた最初の一歩にすぎません。これらのSEMI規格をそのすべての意味を含めて実装するには、サイバーセキュリティソリューションを組み合わせて、半導体サプライチェーンのサイバーセキュリティ規格への準拠を加速する必要があります。
SEMI E187とE188は、半導体装置のセキュリティ基盤を構築するための出発点であり、今後の高度なサイバー脅威への備えを整えるための重要なステップです。これらの規格を実装し、実効性のあるセキュリティ対策を講じることで、業界全体として信頼性の高いサプライチェーンを築いていくことが求められています。
世界の半導体製造工場トップ10のうち、5社が半導体資産のライフサイクル全体を保護するためにTXOneソリューションを導入しています。TXOne はプロセス保護から工場のセキュリティ管理に至るまで、業界の厳重な防御に対する要求に応えます。この戦略的なアプローチにより、資産ライフサイクル全体にわたって半導体製造工場を保護します。
