downloadGroupGroupnoun_press release_995423_000000 copyGroupnoun_Feed_96767_000000Group 19noun_pictures_1817522_000000Member company iconResource item iconStore item iconGroup 19Group 19noun_Photo_2085192_000000 Copynoun_presentation_2096081_000000Group 19Group Copy 7noun_webinar_692730_000000Path

サプライチェーンにおけるサイバーセキュリティの成熟度への対応を支援する新たな規格

Ming-chang (Bright) Wu and Willis Towers Watson Taiwan

 

Fab装置は、もともとサイバーセキュリティの目的を果たすように設計されていません。しかし、2018年以降の世界の半導体業界におけるサイバーセキュリティ事件は、業界がこれらの重大であるがしばしば無視されている問題に直面することへの重大な目覚めの呼びかけでした。新しい規格に対する国際的な呼びかけは、断片化された独自のIT /サイバーセキュリティテクノロジーをグローバルサプライチェーンに統合することです。

FHE TW TC Chapter Mtg2018年以来、台湾地区Information & Control技術委員会(Taiwan Information and Control Technical Committee)の傘下にあるFab and Equipment Information Security Task Forceは、北米および日本の技術委員会やその他のグローバルメンバーと協力して、国際半導体の新しいサイバーセキュリティの規格を開始するための重要な役割を果たしてきました。 最小の技術要件を確立し、新しい規格アクティビティ6506 (Specification for Cybersecurity of Fab Equipment)の範囲には、レガシーオペレーティングシステム(オペレーティングシステムサポート)、ネットワーク構成(ネットワークセキュリティ)、マルウェアと脆弱性の管理(エンドポイント保護)、およびログ管理が含まれます。 (セキュリティ監視)。これらは、半導体装置では見過ごされがちな問題です。これらの問題に対処するために、6506は、生産ライフサイクル管理における設計、運用、および保守によるセキュリティの原則を推進することが期待されています。

 

管理上の問題

上記のように、これらのサイバーセキュリティの問題は、単一の機器所有者、調達、サイバーセキュリティ、またはサイバーリスク管理の同僚の範囲を超えています。サイバーセキュリティは企業の問題です。サイバーセキュリティが最優先事項になっているため、半導体業界ではサイバーセキュリティの費用は問題にならないようです。経営者の見解では、いくつかの新しい規格は、半導体業界のサイバーセキュリティ問題にどのように対処するのに役立つのでしょうか?

台湾の半導体クライアントでの最近のプロジェクトは、いくつかの手がかりを提供します。NIST Cybersecurity Framework(CSF)に基づいて、プロジェクトの調査結果は、ビジネス戦略、管理、および運用の間のいくつかの不整合は、インタビューされた8つの部門間でさまざまな問題によって異なると結論付けています。

これらの不整合に加えて、実践の実施は別の実際的な問題です。企業のサイバーセキュリティ体制にどのように対処できるのでしょうか?サイバーセキュリティの支出、設備、またはポリシーのリストは、実装結果を提供するのに十分ですか?何年にもわたって結果を構造的にレビューおよび評価するにはどうすればよいのでしょうか?CSFは、国際規格と慣行によって形成されており、サイバーセキュリティの改善の軌跡を何年にもわたって追跡するための体系的な構造を提供します。

 

マッピングアウト

機器の所有者にとって、サイバーセキュリティ管理のソース管理は、サイバーセキュリティの改善を追跡するための最良の方法です。在庫管理やサプライチェーン管理などのソース管理もCSFに含まれています。6506をCSFにマッピングする場合、6506は主に、NIST CSFで定義されている識別、保護、および検出に重点を置いています。これらの機能は、インシデント発生後の他の2つの機能、応答と回復の基礎を提供します。

サプライチェーンの観点からは、CSFによって明確に定義された実装層が、改善の追跡に適用できます。4つの層には、部分的(Tier 1)、リスク情報(Tier 2)、反復可能(Tier 3)、および適応(Tier 4)が含まれます。各層は、サプライチェーンにおける改善のさまざまな段階またはいわゆるサイバーセキュリティの成熟度を表しています。

サイバーセキュリティのライフサイクル管理を行うために、半導体サイバーセキュリティ規格と他の既存の規格を統合することが提案されています。これは、サイバーセキュリティの認識プログラムが、部門を越えて管理者と担当者により多くの注意を引くために提案されたものです。
台湾における規格草案の議論中に、CSFやIEC/ISA62443のような他の既存のサイバーセキュリティ標準が完全に議論され、Document 6506に埋め込まれました。
その他のSEMIサイバーセキュリティ規格に関する更なる研究が奨励され、サイバーセキュリティの不整合、実施と評価の実務及び継続的な改善といった問題の管理を深めます。

 

参加方法

SEMIスタンダードの開発活動は、全主要製造地域で年間を通じて行われています。

参加ご希望の際は、www.semi.org/standardsmembershipからSEMI International Standards Programにご参加ください。

詳細については、当社のメインWebサイト最新のイベントページをご覧ください。
SEMIスタンダードの活動に関してご不明な点がございましたら、現地のSEMIスタンダードスタッフまでお問い合わせください。

 

Standards Watch
SEMI
www.semi.org
2021年3月11日