経済産業省は10月24日、半導体産業向けの工場セキュリティ対策指針を「半導体デバイス工場におけるOTセキュリティガイドライン」として策定しました。
近年、多様化・高度化するサイバー攻撃により工場の制御装置が攻撃され、生産停止の被害が発生しているほか、知的財産流出の危険性が高まっています。本ガイドラインは、このような高度なサイバー攻撃にも対応できるセキュリティ対策を進めていく必要があるとして、生産目標の維持・機密情報保護・半導体品質の維持のための工場セキュリティ対策の指針を示しています。指針は、国際的な半導体関連のセキュリティ規格「E187/E188規格」や「Cybersecurity Framework 2.0(以下、NIST CSF2.0)」と整合したものとなっています。
これまでは、汎用的な組み立て型の工場を対象として2022年に策定された「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」がありましたが、半導体デバイス工場には適していない内容となっていました。そのため、半導体デバイス工場の特徴である、プロセスオートメーション型の工場で、規模が大きく、汎用OSを用いた製造装置の台数が多いといった設備に対応したガイドラインの策定が検討されることになりました。
同省の産業サイバーセキュリティ研究会の下、有識者による半導体産業サブワーキンググループでの議論を深め、国際的な半導体産業における各種セキュリティ規格と整合したガイドライン案(日本語版・英語版)が取りまとめられた後、2025年6月27日から8月26日に募集したパブリックコメントを踏まえ、成案化されました。
ガイドラインは、主に半導体デバイスメーカーの製造部門(実務者レベル)を対象としています。国家の支援を受けたグループ(APT)などの最も高度な攻撃者を想定した対策レベルを実現する必要があるとして、対策項目が記されています。
示された対策項目は主に2つです。1つ目は、半導体デバイス工場のリファレンスアーキテクチャに基づき、CPSF(※1)およびNIST CSF2.0を活用して洗い出された、半導体デバイス工場の特徴を踏まえたリスクの元となる脅威や脆弱性に対応するセキュリティ対策の項目です。
2つ目は、Purdueモデル(※2)を用いて工場内を複数の物理的な構成要素に分類し、さらに「組織・ヒト側面」といった要素も含めた分類での対策項目です。これらの対策項目を活用することで、組織プロファイルの作成や行動計画の策定に役立てられるとしています。
また、工場における制御系システムの具体的なリスク分析の方法については、情報処理推進機構(IPA)が公開している「制御システムのセキュリティリスク分析ガイド」を参考にするよう求めています。
※1 サイバー・フィジカル・セキュリティ対策フレームワーク
※2 産業制御システムの構成などを階層的に示すアーキテクチャ
