「半導体デバイス工場におけるOTセキュリティガイドライン(案)」(日本語版・英語版)の意見公募を開始 経産省
経済産業省は6月27日、「半導体デバイス工場におけるOTセキュリティガイドライン(案)」(日本語版・英語版)の意見公募を開始しました。同ガイドラインは国際的なセキュリティ規格との整合性を図るとともに、生産目標の維持▽機密情報の保護▽半導体品質の維持を目的とした工場セキュリティ対策について指針を示しています。意見の受け付けは8月27日まで。
半導体産業においては国際団体SEMIが2021年に発行した国際規格SEMI E187/E188のほか、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0(NIST CSF 2.0)に基づく「半導体製造プロファイル」(NIST IR 8546)の策定が進んでいます。日本では経済産業省が2022年に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定し公表していますが、半導体デバイス工場はプロセスオートメーション型であるため、工程の途中で停止したり再開したりすることが難しい上に工場の規模が大きく、汎用OSを用いた製造装置の台数も多いという特徴があるため、新たに半導体デバイス工場向けにガイドラインを策定しました。
ガイドラインの想定読者は半導体デバイスメーカーの製造部門です。ただ今後は装置メーカーや部素材メーカーでの対策も想定したガイドラインを目指すとしています。
想定する攻撃主体は最も高度な攻撃者(APT:Advanced Persistent Threat)、国家の支援を受けたグループを想定するとし、対策レベルは国際規格IEC62443(※)の最も高いセキュリティレベルである「SL4」となります。
守るべき対象はNIST CSF2.0に基づく「半導体製造プロファイル」で項目として挙げられている5つのうち3つ、生産目標の維持(供給責任)▽機密情報の保護▽半導体の品質の維持――に焦点をあてています。なお、NISTの「半導体製造プロファイル」もドラフト段階となり、7月末まで意見公募を実施しています。「半導体製造プロファイル」では守るべき項目として先の3つのほかに、環境安全の維持▽人間の安全の維持--を挙げています。
ガイドラインは全4章と付録で構成されます。第1章はガイドライン作成の背景と目的、続く第2章は「半導体デバイス工場におけるリファレンスアーキテクチャ」、第3章「半導体デバイス工場の特徴とリスク源及び関連フレームワークの対策項目の整理」、第4章「具体的対策事例」と続きます。付録には「NIST CSF2.0とCPSFの対応表」「用語/略語」が収録されています。なお、CPSFは「サイバー・フィジカル・セキュリティ対策フレームワーク」のことであり、サイバー空間とフィジカル空間を統合的に保護するための基本原則と具体的な指針を定めたフレームワークです。
※産業用オートメーションおよび制御システムのサイバーセキュリティに関する国際標準
