TXOne Networks Japanは12月9日、戦略物資とされるようになった半導体の生産におけるセキュリティに対する最新動向についてのメディア向け説明会を開催。サイバー攻撃から半導体の生産を守るためには工場内のみならず、サプライチェーン全体のセキュリティ体制をいかに構築するかが重要なポイントとなることなどを説明した。

TXOne Networksは2019年にトレンドマイクロとMoxaが産業制御システムを保護するサイバーセキュリティ・ソリューションを共同開発することを目的に設立された企業。本社は半導体の一大集積地である台湾にあり、半導体製造や半導体製造装置などを中心に世界350社を超える大手企業が同社のソリューションを採用しているという。

サプライチェーンのリスクは「環境的」、「地政学的」、「経済的」、「技術的」の4種類に大きく分けられるが、サイバー攻撃はこのうち、技術的リスクに位置づけられる。すでに半導体業界もデバイスメーカーのみならず装置や素材メーカーも攻撃対象となっており、日本の素材メーカーも攻撃を受け、生産出荷を一時停止する事態に追い込まれるなど、実害も出ている。

同社では、現状の半導体関連企業のセキュリティ対策の課題として、以下の4つを挙げている。

  1. 重要資産の価格高騰
  2. 重要資産の精密な設計
  3. 工場のフラットなネットワーク環境
  4. 膨大な資産
  • 半導体関連企業におけるセキュリティ対策の課題

    半導体関連企業におけるセキュリティ対策の課題 (資料提供:TXOne)

この中でも膨大な資産という意味では、半導体ファブの存在があげられる。現在の半導体ファブでは8000~1万5000台の端末が稼働しているとされ、膨大な数の端末のログイベントおよび脆弱性を集中管理する仕組みが求められる状態となっている。現に11月より1β DRAMの生産を広島工場で開始したMicron Technologyは、1β DRAMの生産に際し、1000以上の個別のプロセスステップを管理する必要があると説明しており、その管理の難しさを強調していた。

  • 最先端の半導体工場におけるセキュリティリスク

    最先端の半導体工場では、少なくとも数千台規模のコンピュータ端末が稼働しており、セキュリティという観点では、それらをすべて集中管理する仕組みを構築する必要がある (資料提供:TXOne)

  • Micornの1β DRAMの場合のプロセスステップ

    Micornの1β DRAMの場合、1枚のウェハを製造するのに1000以上の個別のプロセスステップを管理する必要があるとしている (出所:2022年11月に開催されたMicron 1β DRAM記念式典配布資料)

SEMIがファブ設備に関するサイバーセキュリティ規格を策定

こうした高まる半導体生産に対する脅威に対策をするべく、業界団体であるSEMIではSEMIスタンダート(標準規格)として2022年1月にファブ装置のサイバーセキュリティ仕様「SEMI E187」を発行した。

E187で目標として掲げられているのは、「装置のサプライチェーン全体におけるグローバルなサイバーセキュリティ・コンプライアンスの確立」で、半導体製造装置を設計上安全にし、運用・保守上のセキュリティ保護を支援するための基本的なサイバーセキュリティの要件を包括的に定義したものとなっている。対象としているのは装置サプライヤやシステムイングレータとなっており、装置サプライヤは装置の設計段階でこの規格の要求事項を考慮すると同時に、設備所有者がセキュリティポリシーを策定する際のセキュリティベースラインとして活用することも期待されているという。

また、同年2月には装置導入時や、フィールドサービスの修理、パッチ適用、メンテナンスなどの継続的な活動を通じて、工場内へのマルウェアの感染を予防する事を目的としたSEMIスタンダート「E188」も発行しており、この2つは相互補完的な関係性を有している。

  • SEMI E187とE188の概要

    SEMI E187とE188の概要 (資料提供:TXOne)

具体的には、E187が対象としているのは、製造装置、自動マテハンシステム、WindowsやLinuxが搭載されたコンピューティングシステムであり、E188はWindowsやLinuxが搭載されたコンピューティングシステムは対象になっていない代わりにPLCを対象として含んでいる。

  • SEMI E187の対象設備

    SEMI E187の対象設備 (資料提供:TXOne)

  • SEMI E187とE188の対象設備の関係性

    SEMI E187とE188の対象設備の関係性 (資料提供:TXOne)

E187の要求事項のスコープは大きく「OS」、「ネットワークセキュリティ」、「エンドポイント保護」、「セキュリティモニタリング」の4つで、以下の12項目が要求事項として記載されている。

  1. 装置搭載OSに関する要求
  2. パッチ適用手順の技術文書作成
  3. 安全な通信転送プロトコルのサポート
  4. ネットワーク構成の技術文書作成
  5. 脆弱性の軽減
  6. マルウェアスキャン実行
  7. アンチマルウェア対策
  8. システムハードニング
  9. 認証機構の適用
  10. アクセス権の設定
  11. セキュリティイベントログ
  12. ログタイプ

半導体業界の幅広いステップに対応するセキュリティを提供するTXOne

こうしたセキュリティニーズの高まりを見せる半導体業界に対し、装置や設備をすべてのステージで「常に疑い、常に検証」というコンセプトの「OT Zero Trust」を提唱。装置の導入時から、ステージング、製造工程、メンテナンスまで、それぞれのステージにおいた最適なセキュリティ検査ソリューションを提供することで、ゼロトラストを実現しようという取り組みを推進しており、すでに半導体製造装置上位10社中5社が、半導体製造企業上位10社中4社が、パッケージング・テスティング(OSAT)上位10社中4社が、同社の何らかのソリューションを採用しているという。「半導体関連企業が重視する要求仕様を踏まえた製品も展開している」とのことで、半導体業界を重視した取り組みを行っていることを強調している。

  • TXOneに対する半導体業界からの要求仕様と、それに対応するソリューション概要
  • TXOneに対する半導体業界からの要求仕様と、それに対応するソリューション概要

  • TXOneに対する半導体業界からの要求仕様と、それに対応するソリューション概要 (資料提供:TXOne)

また、同社では独自にSMEI E187のレファレンスガイドを発行しているほか、11月5日からSEMI Taiwanが提供を開始した「半導体情報セキュリティリスク評価サービス」の評価の仕組みづくりにも参画するなど、半導体生産における情報セキュリティの深いところから関与しており、今後もグローバルレベルで半導体産業のセキュリティレベルの底上げに向けた活動を続けることで、サイバー攻撃によって止まらない半導体生産の実現に寄与することを目指すとしている。

  • SEMI Taiwanが11月より提供を開始した半導体情報セキュリティリスク評価サービスの概要

    SEMI Taiwanが11月より提供を開始した半導体情報セキュリティリスク評価サービスの概要 (資料提供:TXOne)