「サーベイ疲れ」から脱却せよ。半導体特化型セキュリティフレームワーク「SSCA」の実践的価値
| 執筆者: | チーフコンサルタント 木村 俊輔 |
SSCAとは、半導体業界の発展を目指す国際的な団体であるSEMIが策定した、サイバーセキュリティ評価フレームワークです。その最大の特徴として、半導体業界特有の環境に合わせて整理された評価項目が設けられており、業界内におけるサプライチェーンセキュリティの標準として活用されることが期待されています。
本稿では、このSSCAの概要や特徴とメリット、自組織での活用方法について紹介します。
1.SSCAとは
SSCA(Standardized Semiconductor Cyber Assessment)とは、半導体業界において半導体メーカー(発注元企業)が製造装置やソフトウェアベンダーなど(サプライヤー)のセキュリティ対策状況を把握する際に用いる評価フレームワークです。
サプライチェーンが多岐にわたり、経済安全保障分野にも密接に関わる半導体業界において、セキュリティレベルの向上は不可欠です。しかしながら、半導体業界が持つ特徴から、そのセキュリティ強化にあたって以下のような課題がありました。
- 課題①:独自環境(OT・独自システム)の壁
- 半導体工場(ファブ)の製造ラインには、最新のITシステムだけでなく、稼働を止めることが許されないOT(制御技術)システムや、独自のファームウェアで動く製造装置が混在しています。そのため、一般的なITシステム向けのセキュリティ基準(例えば、定期的なパッチ適用など)をそのまま持ち込むと、工場の稼働が停止してしまうなどの懸念がありました。
- 課題②:サプライヤーを疲弊させる「サーベイ疲れ」
- これまで、半導体を活用するデバイスメーカーやOEM企業は、サプライヤーのセキュリティレベルを確認するために、各社が独自に作成したサーベイをサプライヤーへ送付していました。サプライヤー側は、顧客ごとに異なるフォーマット・異なる基準の設問に都度回答しなければならず、サーベイへの回答に膨大なリソースを奪われていました。
このような背景から、サプライヤーによるサーベイ回答の負担を低減しつつ、半導体業界特有の環境に沿った評価フレームワークを整備すべく、2025年8月にSSCAが公表されました。
2.SSCAの構成
以下の表1に示している通り、SSCAは実際の半導体製造環境の運用に即した計168個の評価項目から構成されています。また、各評価カテゴリはNIST CSF2.0のコア(ガバナンス・特定・防御・検知・対応・復旧)に合わせて分類されています。特に、「防御」へ分類される評価項目は計119項目もあり、全体の7割程度を占めています。この中には、製品や搭載されるソフトウェアの管理策など、半導体関連企業が意識すべき項目が数多く含まれています。
中には、「任意項目」と分類され、サプライヤーに対して回答を求めるか発注元企業が決定できる項目も存在します。なお、サプライヤーは回答要否を決定することができず、回答を求められた場合は必ず回答しなければなりません。
【表1】SSCAの評価カテゴリと設問数
| NIST CSF2.0コア | 評価カテゴリ | 評価項目数 | うち任意項目 |
|---|---|---|---|
| ガバナンス | サイバーセキュリティ サプライチェーンマネジメント | 6 | - |
| セキュリティ基本方針 | 14 | - | |
| 事業継続 | 1 | - | |
| クラウドセキュリティ | 7 | - | |
| 情報セキュリティチーム | 3 | 3 | |
| ガバナンス/リスクマネジメント戦略 | 4 | - | |
| 特定 | IT/OT資産管理 | 1 | - |
| 指標およびKPI | 2 | - | |
| 防御 | 物理的セキュリティ基本方針 | 9 | - |
| 教育・訓練 | 6 | - | |
| アクセス制御 | 1 | - | |
| ネットワークセキュリティ | 13 | 1 | |
| メール対策 | 5 | 3 | |
| インターネット接続 | 4 | 1 | |
| エンドポイント保護 | 25 | 3 | |
| データ保護 | 17 | 6 | |
| ソフトウェア/アプリケーションセキュリティ | 9 | - | |
| 製品セキュリティ | 30 | - | |
| 検知 | イベント管理/セキュリティ監視 | 1 | - |
| 対応 | サイバーセキュリティインシデント対応 | 7 | 3 |
| 復旧 | バックアップおよび復旧 | 3 | - |
| 168 | 20 |
SEMI「SSCA」を基にニュートン・コンサルティングが作成
3.SSCAの特徴
① NIST CSF2.0との親和性
表1に示していた通り、SSCAの評価項目はNIST CSF2.0のコア(ガバナンス・特定・防御・検知・対応・復旧)と連動しています。つまり、SSCAは、世界中の企業や政府機関で採用されているセキュリティガイドラインのグローバルスタンダードであるNIST CSF2.0をフレームワークの土台としつつ、半導体業界において追加的に確認が必要な評価項目(OT資産の把握状況や、製品セキュリティなど)を上乗せしている形になります。
なお、NISTは現在、NIST CSF2.0に基づく「半導体プロファイル」のドラフト版を公表しており、SEMIはこのドラフト版の策定においても関与しています。こうした動きから、SSCAは国際的な標準との整合性や連携を意識して整備されたフレームワークであると考えられます。
② 業界標準として統一された評価項目
SSCAの策定により、半導体業界内のセキュリティ対策として標準的な評価項目が確立されました。業界において求められるセキュリティ対策の水準が明確化されたことで、各企業は目指すべき水準や取得・参照するガイドラインなどに悩むことなく対応を推進することが可能となりました。
こうした各企業の対応の円滑化が、後述するSSCA活用のメリットである「半導体業界に合わせたサーベイによる業界としてのセキュリティレベルの底上げ」につながります。
③ 様々な回答形式による充実したサーベイ
SSCAには、大きく分類して4種類の回答形式が組み合わされています。
【表2】SSCAにおける回答形式
| 回答形式 | 設問数 | 本回答形式が用いられる設問の特徴 |
|---|---|---|
| Yes/No※ | 89問 | 基準やポリシーの設定有無を問う設問に用いられる。 |
| 多肢選択 | 9問 | 複数の選択肢が存在、またはYes/Noでは回答が不足する内容を問う設問に用いられる。 |
| 6段階の対応レベル | 44問 | 整備している各プロセスの整備有無、実行状況や見直しについて、その対応レベルを問う設問に用いられる。 |
| 自由記述 | 26問 | 各社で対応が異なる内容(組織体制、利用ツール、社内プロセスなど)を問う設問に用いられる。 |
※「Yes/No/該当せず」の形式を含む
SEMI「SSCA」を基にニュートン・コンサルティングが作成
組織のセキュリティ対策状況は、必ずしも「Yes/No」の二択で単純に表せるものではありません。そこで、多肢選択や対応レベルで回答する形式など、設問に応じて柔軟な回答形式を取り入れることで、各組織のセキュリティ対策状況をより詳細に把握できるようにしています。
なお、「6段階の対応レベル」形式については、ソフトウェア開発などの幅広い領域で活用されている「CMMI(能力成熟度モデル統合)」の考え方が取り入れられているため、セキュリティ対策状況に濃淡をつけて表現することが可能になっています。(CMMIの5段階に、Level0=未整備(不在・不完全)が追加され6段階)
4.SSCAを活用するメリット
世の中には情報セキュリティに関連する基準が数多く存在します。その中で、半導体関連企業があえてSSCAを用いるメリットを、半導体業界・発注元企業・サプライヤーのそれぞれの立場から考えてみます。
① 半導体業界:業界に特化した評価項目による業界全体のセキュリティレベル底上げ
冒頭「課題①:独自環境(OT・独自システム)の壁」で述べた通り、半導体業界には一般的なガイドラインの内容ではカバーしきれない特有のセキュリティ事情が存在しました。そうした実情も加味した評価項目が用いられることで、実効性のない表面的な評価や対策を防ぎ、半導体業界全体のセキュリティレベルの底上げを図ることができます。
例えば、OT環境における資産の把握や標準パッチを適用できない機器のネットワーク分離、製造装置などの製品に組み込まれるソフトウェアのセキュリティ管理、サードパーティのコンポーネントを組み込む際のプロセスなど、半導体業界特有の環境を踏まえた評価項目が含まれています。こうした半導体業界で特に確認すべき項目が盛り込まれることで、セキュリティ対応の抜け漏れを防ぐことが可能となります。
② 発注元企業:効果の高いサーベイによるサプライヤーの実情把握
半導体業界に特化した評価項目の整備は、発注元企業においても大きなメリットを発揮します。発注元企業はサプライヤーのセキュリティ対策状況を確認する際に、これまでは自組織でサーベイの評価項目を検討・用意する必要がありました。
そこにSSCAが登場し、半導体業界の実情に沿った適切な評価が行われることで、サプライヤーの実情をこれまでよりも正確に測ることが可能となりました。サプライヤーの実態把握が進むことで、サプライチェーン全体を含めたセキュリティ状況の把握およびレベル向上につなげることができます。
③ サプライヤー:発注元企業ごとに都度求められていたサーベイ回答負荷の軽減
業界内の標準的なセキュリティ評価指標が確立されることで、これまでサプライヤーが各発注元企業独自のサーベイへの回答に要していた時間を劇的に短縮することができます。これは、事前にSSCAに基づいた評価を実施し、回答を用意することで、サーベイ対応を回答の転記または提出のみで済ませることが可能となるからです。
これにより、これまでサーベイ対応に奪われていたリソースを、実際のセキュリティ対策の導入・推進やインシデント対応訓練など、本来の業務に充てられるようになります。
なお、SSCAが参考とする、自動車業界における情報セキュリティ評価共有プラットフォーム「TISAX」では、評価結果をポータル上に登録することで、発注元企業など関係先に共有できる仕組みが整備されています。このような仕組みであれば、サプライヤーは一度登録を済ませれば回答の提出すら不要となりますが、現状、SSCAにおいてはポータルなどの整備までには至っていません。
5.サーベイ以外でのSSCAの活用方法
SSCAは、発注元企業のサプライチェーン管理における「サーベイ」としての利用に留まるものではありません。発注元企業・サプライヤーを問わず、企業価値向上のための監査・改善ツールとしても活用することができます。具体的には、「自組織のセキュリティ成熟度の可視化および改善対応の推進」に整理することができます。
それでは、大きく2つのステップに分けて、具体的な活用方法をお伝えします。
① 自組織のセキュリティ成熟度の可視化
まずは、自組織のグループ会社や各拠点に対して、SSCAの項目を用いた評価を実施します。これにより、「A工場はガバナンス面の統制に優れているが、防御策の整備が不足している」や「B拠点は資産管理が適切に実施できていない」といったグループ会社や拠点ごとの強み・弱みが明確なデータとして可視化されます。
そのため、発注元企業においては、サプライヤーに対してセキュリティ対策を求めるにあたり、まずは自組織のセキュリティ対策状況の可視化を図ることができます。一方、サプライヤーにおいては、発注元からセキュリティ対策状況を確認される前に、一通りの現状分析を行い、改善対応に移ることができます。
② 改善対応の推進
①の結果を基に、自組織のセキュリティ改善ロードマップを策定することができます。改善事項には全社的に対応が必要な項目、個別の拠点に対して早急に対応が必要な項目、中長期的に改善を図る項目など、優先度を付けながら整理することで、経営層への報告や予算取得の根拠説明にも説得力を持たせることができます。
このように、前項で述べたSSCAの活用メリットは、決して発注元企業におけるサーベイとしての利用に限定されるものではなく、自組織のセキュリティ向上、ひいては企業価値の向上においても効果を発揮します。
6.まとめ
本稿では、新たに半導体業界の標準的なサイバーセキュリティ評価フレームワークとして期待を集めるSEMIのSSCAについて、その策定の背景や具体的なメリット、そして自組織内での活用方法をお伝えしました。
現段階では、自動車業界におけるフレームワークであるTISAXのように「これを取得しなければ取引ができない」という強固な認証制度として業界全体へ完全に浸透していくかは不透明な部分もあります。しかし、各国の経済安全保障政策が強まる中、事実上の業界標準として定着していく可能性は十分にあると考えられます。企業価値の向上という側面でも、単なるセキュリティやコンプライアンス対応として受け身で捉えるのではなく、いち早くSSCAを理解し、自社のサイバーレジリエンス強化の武器として能動的に活用していくことが重要となるでしょう。
