PwC Japanグループは4月3日、「地政学リスクが映すサイバーインテリジェンスの重要性」と題したメディア向けセミナーを開催した。
同セミナーでは、地政学リスクがサイバー空間におよぼす影響や半導体業界の見通し、同業界の企業を標的としたサイバー攻撃、日本企業に求められる対応などについて、PwCコンサルティングのコンサルタントが解説した。
サイバーリスクの背後にある地政学リスクに注目
PwC Japanグループは効果的なサイバーディフェンスを実現するうえで、現実社会の出来事と照らし合わせた分析とともに地政学リスクのモニタリングを重視する。地政学リスクとは、特定の国・地域における政治的・社会的・軍事的な緊張の高まりや、地理的な位置関係などから生じる将来のリスクを指す。
PwCコンサルティング 執行役員 パートナーの山本直樹氏は、「例えば、特定国家の支援を受けた攻撃者は、国家の思惑に沿った攻撃を仕掛ける。その攻撃は、国際的な政治イベントなどとの関連性が高くなる傾向にある。国政選挙、G20のような国際会議、主要国間の首脳会談などは通常、事前に計画され、その実施時期はあらかじめ公表されているため、それらに付随するサイバー攻撃に対しては、ある程度備えることもできる」と解説した。
さまざまな地政学リスクのうち、PwC Japanグループは半導体業界の動向に注目する。
半導体は複雑な製造工程を経て市場に供給されるため、サプライチェーンごとに多数の専業企業が関与し、それが地理的に偏在するため地政学の影響を受けやすいそうだ。また、半導体そのものが軍事・経済の戦略物資であった歴史から、主要国において国策産業として半導体産業が重視されていることもあり、地政学リスクの1つと見なされている。
PwCコンサルティング PwC Intelligence マネージャーの祝出洋輔氏は、「米国による対中輸出規制が強化されるほか、世界の先端半導体製造拠点である台湾をめぐって米国と中国は対立している。近年の動向に関連したサイバー空間の事象にも留意すべきだ」と述べた。
エンジニアのスカウト目的で個人情報もターゲットに
半導体のグローバルサプライチェーンにおけるサイバーリスクは、「情報窃取」と「破壊」に大別されるという。
情報窃取では設計・製造に関連した情報のほか、製造ノウハウを奪ったり従業員をスカウトしたりすることを目的として、従業員やエンジニアの個人情報もターゲットにされる。一方、破壊では製造ラインの停止など、事業活動の妨害を狙った攻撃が想定される。
国内の半導体業界においては、日本企業が強みを持つ先端製品向け装置や、シェアが高いフォトレジスト、エッチングガス、スパッタターゲットといった材料の工程がサイバー攻撃のリスクが高いという。
「他方で、半導体製造装置のサプライヤーの中からサイバーセキュリティのソリューションを商材に組み込む企業も現れている。こうした動向は、半導体産業における新たなビジネスチャンス創出に繋がるだろう」(祝出氏)
中国の5カ年計画に合わせて標的を変える「Red Kelpie」
半導体産業を標的としたサイバー攻撃について、PwC Japanグループではランサムウェアなどの一般的な脅威に加えて、中国を拠点とするRed Djinn(レッドジン)、Red Kelpie(レッドケルピー)、Red Typhon(レッドタイポン)という3つの脅威アクターを特定している。 このうちRed Kelpieは、中国の中期的な政策大綱である5カ年計画で重視する分野に合わせて標的を変えているという。
このほか、注目すべきサイバーリスクとしては、ネットワーク機器・セキュリティ機器の脆弱性を悪用した攻撃が全世界的に増加している点や、ダークウェブ上で脆弱性を放置している機器のIPアドレスの一覧が売買されている点が挙げられた。
日本の半導体業界の企業には、インテリジェンスとコンプライアンスの両面でセキュリティ対策を推進することが求められるという。具体的にはサイバー脅威の継続モニタリング、脅威アクターのTTP(Tactics, Techniques, and Procedures)に基づいたセキュリティ対策の立案・実行、半導体業界の国際規格であるSEMI Standardsに基づいたセキュリティ対策のアセスメントと改善だ。
サイバーセキュリティ対策を講じるうえでは、脅威アクターが用いるTTPを体系化したMITRE ATT&CK(マイターアタック)のフレームワークを用いて、脅威アクターの手口を整理するのが基本となるが、PwC JapanグループではThreat-Informed Defenseへのシフトを推奨している。
PwCコンサルティング ディレクターの村上純一氏は、「Threat-Informed Defenseでは、 脅威アクターが悪用するTTPおよび既存のセキュリティ対策を基礎情報とする。脅威アクターの行動と組織内で対策済みの領域を図式化によって整理し、『どのフェーズにどのような対策を適用するか』を策定することで、実効性の高い対策が実現できる」と語った。