downloadGroupGroupnoun_press release_995423_000000 copyGroupnoun_Feed_96767_000000Group 19noun_pictures_1817522_000000Member company iconResource item iconStore item iconGroup 19Group 19noun_Photo_2085192_000000 Copynoun_presentation_2096081_000000Group 19Group Copy 7noun_webinar_692730_000000Path

 SEMI初となるサイバーセキュリティ規格を出版

SEMI本部, International Standards, EHS & Sustainability, Senior Director ,James Amano

 

近年、企業に対するサイバー攻撃が急増しており、半導体業界に影響を及ぼしています。
例えば、2018年にランサムウェアに感染した装置を調査するために、大手ファウンドリーが一時操業の停止を余儀なくされました。
将来起こりうるサイバー攻撃から工場設備を守るために、SEMIは2つの主要なSEMIスタンダード標準化活動を開始し、業界全体の努力の元に次の2つの新しい規格が発表されました。

SEMI E187 - Specification for Cybersecurity of Fab Equipment(ファブ装置のサイバーセキュリティ仕様) 
SEMI E188 - Specification for Malware Free Equipment Integration(マルウェアフリー装置組み込みの為の仕様) 

 

SEMI E187: Specification for Cybersecurity of Fab Equipment
 (ファブ装置のサイバーセキュリティ仕様)

SEMI E187はSEMIスタンダード台湾地区Information & Control (以下I&C)技術委員会傘下の、TSMCのLeon Chang氏とITRIのAres Cho氏が率いるFab & Equipment Information Security Task Forceによって開発されました。
SEMI E187は、Fab装置のセキュリティベースラインとして機能するFab装置の共通の最低限のセキュリティ要件を定義したものです。
この要件は、製造装置の4つの主要コンポーネント(オペレーティング・システム、ネットワークセキュリティ、エンドポイント保護、セキュリティモニタリング)に焦点を当てており、時間の経過とともに、新しいマルウェアの脅威に対応するよう進化していきます。

Four Categories of Fab & Equip Security Standards

 

「TSMCは、サプライチェーン全体のセキュリティを強化し、サイバーセキュリティを通じてサプライチェーンの回復力を構築し、サプライヤーとの企業の社会的責任を達成するために、SEMI E187の推進を主導しました」と、TSMCのコーポレート情報セキュリティトップのDr. James Tuは述べています。

 

SEMI E188: Specification for Malware Free Equipment Integration
(マルウェアフリー装置組み込みの為の仕様)

SEMI E188はIntelのRyan Bond氏とCimetrixのRichard Howard氏が率いるSEMI スタンダード北米地区I&C技術委員会傘下のFab & Equipment Computer and Device Security(以下CDS) Task Forceによって開発されました。SEMI E188は、初期の装置導入時、フィールドサービスの修理、パッチ適用、メンテナンスなどの継続的な活動を通じて、工場内へのマルウェアの感染から守ることに焦点を当てています。この新たな規格は、装置と、コンピュータ用のデバイスと、製造施設の工場ネットワーク上で動作するためにサプライヤーから持ち込まれたシステムに対する要件を定義しています。特に、製造施設に納入される様々な装置間で一貫性のある保護レベルと報告方法の概要が示されています。具体的には、

  • サプライヤーが出荷前に、保守・サポート業務で使用される装置やデバイスにマルウェアスキャンを保証するための最小限のマルウェアスキャン要件を定義します。
    マルウェアスキャンは、悪性コードの感染から保護されていることを証明する方法です。
  • 外部の信頼できるソースを参照して、システムを「強化」してマルウェアの攻撃対象を減らし、脆弱性を特定して報告します。
    これには、アメリカ国立標準技術研究所(NIST)が提供する セキュリティ設定共通化手順 (SCAP)や、脆弱性情報データベース(NVD)- 共通脆弱性評価システム(CVSS)が含まれます。
  • 装置が工場のネットワークに安全でないネットワーク構成を導入しないことを保証するために、装置ユーザーから見た構成要求を指定します。

 

Lead image 2

 

多くの製造施設では、すでに生産現場に接続されているデータベースやとサーバについて、独自のネットワークとセキュリティポリシーを持っています。

SEMI E188では、工場ネットワーク上で動作するために、サプライヤーから提供される装置やデバイスに対してセキュリティの追加レイヤーを提供します。

同タスクフォースのリーダーであるIntelのRyan Bond氏は、「半導体製品に対する需要が高まるにつれ、製造装置をサイバーセキュリティの脅威から守ることが不可欠になっている。この規格は、半導体デバイスメーカーと半導体装置メーカーの間に共通の期待を提供しながら、装置全体のセキュリティを高めるものだ」と、述べています。

 

cybersecurity standards前進

今回新しく発行されたSEMIサイバーセキュリティ規格は、ビッグデータやAI に主導の製造環境に対応した堅牢で安全なデータ交換インフラストラクチャを構築するという業界のニーズに端を発し、これらの「コネクテッドファブ(connected fab)」の進化をサポートします。半導体製造業界の次のステップとして、アプリケーションをアクセスリスト化することが、どのように装置やシステムを保護するかを概説する「アプリケーション アクセスリスト仕様(Specification for Application Accesslisting)」に焦点を当てています。これらの実装は、個々の装置ユーザーやファブのセキュリティ管理計画に合わせてカスタマイズすることができます。Fab&Equipment CDS Task Forceは、アプリケーションアクセスリストの使用経験のある業界メンバーを募り、この新しいSEMI規格の開発に貢献してもらいたいと考えています。

工場内やそれを超えてのスマートマニュファクチュアリングに不可欠なダイレクトデータ交換の数が増加していることを背景に、業界関係者たちは、新たなセキュリティ目標を達成するための共通の定義、手順、ベストプラクティスのセットを活用していきます。

今回の新たなSEMIセキュリティ規格の発行は、SEMI スタンダード標準化活動を行っている業界関係者間のグローバルな協力における重要なマイルストーンとなります。これらの新規格は、スマートマニュファクチュアリングに必要なデータ駆動型技術を可能にしながら、マルウェア攻撃から工場設備を保護します。

SEMIスタンダード開発活動は、年間を通じて、関連業界の主な生産地域にて行われています。SEMIスタンダード委員としてご参加いただくには、 地域のスタンダードスタッフへにお問い合わせいただくか、こちらのサイトにてSEMI スタンダード委員登録のお手続きを行ってください。

 

本件に関する日本国内でのお問合せ

SEMIジャパン スタンダード&EHS部
中條麻美([email protected]

初出:2022年3月7日、Standards Watch, Volume 17, Issue 1
※本稿は、Standards Watchに掲載されました記事を日本語訳したものです。
 元の記事 https://www.semi.org/en/standards-watch-2022-March/SEMI-publishes-first-cybersecurity-standards