數位轉型（Digital Transformation）成了疫情下最夯的名詞，為了維持內部運作，不少企業紛紛擁抱數位工具，在面對疫情封城、遠距辦公的新常態生活中找出解決之道。但也因企業紛紛以雲端、聯網等數位工具啟動數位轉型之路，讓內部的資訊安全面臨到空前危機。 剛結束的Rome Cybertech Europe 2022資安會議、義大利航太高科技集團Leonardo的執行長Alessandro Profumo就在開幕致詞時表示，2021年全球因駭客攻擊損失將近6兆美元，而他更將近兩年出現的資安威脅的矛頭指向於疫情的爆發與加速數位化之緣故。 強化半導體資安，支援半導體供應鏈從自動化到「智動化」 「當設備聯網後確實會產生許多資安疑慮，」SEMI全球行銷長暨台灣區總裁曹世綸如此觀察，特別是國內正逐步走向高科技製造業，疫情之下不少半導體業者的設備都從自動化走向智能化，尤其半導體產業的上中下游合作緊密，若資訊的傳遞安全稍有閃失將造成嚴重的後果，特別是疫情的催化讓全球不同的應用領域都迫切需要半導體技術的支持，更強化了半導體資安的重要性。 半導體資安防禦的關鍵：從「管理」下手，定期檢視、時刻保持警覺 對此，就以全球晶圓製造的龍頭台積電來看，不僅設立了企業資訊安全組織，規劃及制定公司資安政策與執行辦法，更藉由政策的執行與法規遵循查核，持續檢討資安風險控管機制的有效性，確保客戶與合作夥伴的利益。SEMI半導體資安委員會主席暨台積電企業資訊安全處長屠震於2021年底參與國際半導體產業協會（SEMI）所舉辦的SEMI Talks領袖對談時就曾經表示，多數的資安問題其實是可以被避免跟減少的，端看企業跟使用者是否有高度敏銳的警覺心。 他進一步指出，企業資安的關鍵是「管理」，需要持續評估存在的風險，同時研究資安技術與方案，畢竟駭客手法也與時俱進、作為企業資安人員也不得不防、更別冀望一勞永逸地解決方法；同時，網羅具備安全管理、安全架構甚至是應用程序方面的半導體資安人才，也相對重要，即使目前市場上常用雙因子認證的方式做到多重的防護，但百密總有一疏，使用者應保持警惕，避免訪問任何來路不明的商業網站或線上服務，大開企業資安的漏洞。 為了打造更安全的環境，SEMI半導體資安委員會主席暨台積電企業資訊安全處長屠震也讚譽台灣的PKI（Public Key Infrastructure，公開金鑰基礎建設架構），而健保卡正是其中的應用，其中的基礎架構因為是由官方機構打造的物理驗證，因此能大幅降低中間駭客的攻擊，同時、這樣的基礎建設也能提供內容加密，對於未來發展數位簽名等應用，有助於加速社會在安全的資安情況下迎向數位轉型。 制定半導體設備資安標準，減少駭客攻擊弱點 正因為半導體產業的上中下游合作緊密，如果其中一個環節遭受到攻擊，將可能中斷整個產業鏈的運作，因此SEMI發揮全球產業協會平台的角色，攜手台積電一同成立SEMI半導體資安委員會，希望能彼此共享經驗與戰略，提升供應商與產業供應鏈的整體安全，同時構建具韌性的供應鏈，促進產業提升網路安全意識及了解其重要性，「更重要的是向世界證明台灣在半導體的地位是有能力制定產業共同標準的。」SEMI全球行銷長暨台灣區總裁曹世綸說。 如今，耗時三年終於誕生了台灣首個半導體晶圓設備資安標準SEMI E187，針對機台設備的電腦作業系統、網路安全、端點保護及安全監控等層面進行標準制定，確保產業鏈上的機台採用相對新穎的作業系統、維持正確設定避免增加駭客的攻擊弱點。SEMI全球行銷長暨台灣區總裁曹世綸表示，為全面提升半導體產業資安防禦，SEMI與SEMI半導體資安委員會將積極投入SEMI E187 標準的導入與實務操作，致力協助全球供應商充分瞭解標準內容，並生產出符合半導體製造要求資安規格的設備。 同時，SEMI半導體資安委員會首屆主席暨台積電企業資訊安全處長屠震，也點出了4個重要的任務：第一，積極協助產業導入半導體資安標準SEMI E187；第二，持續推動資安意識的宣傳；第三，有效評估供應鏈網路安全態勢；第四，積極建構半導體供應鏈資安評估的框架、建立長久資安策略。 半導體資安理想大未來－追求Zero Touch的世界 「我希望能迎向一個Zero Touch（零接觸）的世界，」屠震說出了心中對於產業資安的遠景，他認為每個設備、使用者都應該要回到最單純的任務，讓設備專心製造、讓手機能暢通無阻，而不是不停更新軟體協助提升資安防禦能力，讓設備軟體負擔更重、運行更慢，也不需要打擾跟影響終端使用者的生活方式。 或許這不是短時間內可以實現的世界，但SEMI全球行銷長暨台灣區總裁曹世綸認為，透過協會跟業界的合作努力，打造出共同標準的規格，一起將國內半導體產業甚至是全球高科技製造業的資安全面升級，即便駭客無所不在，但在智慧製造的時代下，相信能更有效的強化產業的安全防護網，「數位的韌性及適應能力也將是未來企業在面對資安挑戰下不可或缺的一環，」他說。 半導體資安議題備受矚目，SEMI國際半導體產業協會即將於今年9月14-16日於南港展覽館1館舉辦SEMICON Taiwan 2022國際半導體展，再度規劃資安主題專區以及資安趨勢高峰論壇，邀請來自產業界與半導體資安領域的專家，透過對談、交流帶出目前業界重要的資安相關話題，分享實務經驗以及最新趨勢，若想了解更多資訊請見SEMICON Taiwan官網：https://www.semicontaiwan.org/zh 【延伸閱讀】半導體是什麼？晶片產業一次看懂 立即閱讀 About SEMI SEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過2,500多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展 SEMICON Taiwan 國際半導體展不僅匯集全球具影響力廠商、人才和技術，創造新市場機會，更是台灣最國際化且唯一的半導體專業展會。 SEMICON Taiwan 2022 | 9月14-16日 | 台北南港展覽館一館 | 了解更多

全球半導體供應失衡，影響了包含汽車、醫療在內的各大產業，以及無數工作者和一般消費者。世界各國政府現正竭盡所能提高半導體產能、強化供應鏈，推出總額高達千億美元的獎勵計劃，希望滿足對於半導體不斷增長的需求。然而，這一波提升半導體產能的全球浪潮能否成功，取決於額外半導體製造設備（Semiconductor manufacturing equipment, SME）的生產和安裝，也就是說，若無更多的SME，便不可能有額外產能。 晶片短缺導致晶圓廠設備和其他複雜半導體製造工具的交貨時間增加。2020年晶圓廠設備交貨時間為3至6個月，2021年第一季平均延長至10個月，2021年7月則平均延長至14 個月，某些晶圓廠設備交貨時間更是超過2年之久。[1] 如果半導體製造設備所需晶片供應充足，晶圓廠設備交貨時間也將大幅縮短，半導體元件製造商無須改變配置策略就能擴大產能。 衝晶片產能 全靠半導體製造設備 設備交貨時間延長，讓晶圓廠的擴張窒礙難行，同時也讓廣大元件業者和供應鏈的擴張行動無以為繼，影響範圍包含從封裝和測試供應商到材料和製程設備供應商。根據SEMI全球晶圓廠預測報告，2020年至2024年間將有86家新晶圓廠或大型晶圓廠擴建計畫投產（見圖1），佔預測期間8吋晶圓廠總產能增幅的20%、12吋晶圓廠產能增幅的44%。設備交貨時間變長，代表計劃中的晶片產能提升速度也將放慢，讓晶片短缺時間進一步拉長。 圖1：2020年至2024年各地區預計投產之新12吋和8吋晶圓廠 半導體製造設備（SME）的生產仰賴相對少量的半導體，通常由承包製造商向SME OEM代工廠購買，並整合到SME零組件中[2] 。這些SME OEM代工和承包商所需的晶片佔全球半導體市場比例極小，遠低於1%，然而這些SME所需的晶片，對於提高整體半導體產能和滿足不斷成長的需求至關重要，對於所有產能相關投資和公共政策的成效也有舉足輕重的影響。 能否保有充足、及時和可靠的半導體供應，是目前擴大SME生產最大的挑戰。對於生產半導體來說，同樣重要的還有矽基板。此外，裸晶圓製造商也需要SME來增加產能，相關設備同樣沒有晶片不行。對於疾呼增加產能的政府和業界全員來說，讓SME代工廠和承包製造商拿到所需晶片絕對是首要任務，才能用來打造新建晶圓廠不可或缺的重要工具。 半導體製造設備的乘數效應 值得一提的是，雖然製造SME所需的半導體量非常小，但一旦到位，所能生產的晶片數量卻是相當龐大，相當 1,000倍的乘數效應[3]。SME代工廠製造不同工具需要各式不同數量和類型的半導體元件，如可編程邏輯閘陣列（FPGA）、電源管理 IC（PMIC）、感測器、微控制器單元（MCU）、可編程邏輯器件（PLD）、類比數位轉換器、功率放大器和記憶體晶片等。乘數效應適用於所有工具，舉例如下： 一個典型FPGA測試工具需要約80個FPGA組建，該工具每年可以測試約32萬個FPGA—乘數效應約4千倍。 製程工具需要約100個FPGA組建，每小時可以處理120片或更多晶圓。製程中晶圓均會通過每個工具多次，大多數工具對整體生產的貢獻等同於每年至少200萬台設備—乘數效應約2萬倍。 光學晶圓檢測工具需要約100片高性能運算（HPC）伺服器晶片組建，乘數效應可達到約3萬倍甚至更高。 一個典型MCU測試器需要約100個FPGA組建，該工具每年可以測試近1,000萬個MCU，乘數效應約10萬倍。 美國商務部指出，目前以用於汽車及多種關鍵下游產業的MCU晶片短缺最為嚴重[4]。假設在汽車供應鏈中，讓測試器發揮10萬倍的乘數效應，若汽車製造所需MCU 數量約為每台車100個，那麼每一個測試器在足量MCU可用情況下，汽車製造數量可達10萬輛（見圖2）。 圖 2：SME乘數效應對汽車市場的影響案例（來源： SEMI產業研究與統計事業群） 此一MCU測試器案例讓我們看到提供SME OEM代工和承包製造商充足晶片之後所能產生的強大乘數效應。為了增加產能，半導體產業需要更多的SME。汽車製造商和其他業別的公司對於SME帶來的產能增長多所仰賴。可以說，為數不多的SME是數十億半導體和無數使用半導體製造的下游元件命脈所在。因此，半導體供應鏈中所有成員都應該確保SME晶片供應充足無虞，半導體產能才能持續增加、滿足未來的需求，並且進一步強化供應鏈，避免未來短缺的情況再次發生。 結論 半導體元件製造商現在一邊努力把晶片公平分配給汽車和醫療等關鍵產業，同時也要讓業界意識到SME OEM代工廠面臨的晶片短缺問題有多嚴重，挑戰確實相當艱鉅。由於SME所需晶片量很少，元件製造商無須改變配置策略，也能讓重要的半導體製造工具先行，優先使用晶片，進而創造SME OEM代工、半導體元件製造商、終端市場OEM代工和最終消費者多贏的局面。 如果沒有關鍵SME，想要擴大晶圓廠產能，讓無數下游產業所需的大規模半導體生產量到位無異於緣木求魚。以SME為先，確保晶片充足所帶來的效益簡直不可勝數。設備交貨時間縮短將帶動半導體產能飆升、緩解晶片短缺，讓投資報酬率直線上升。 [1] 資料來源：各SME OEM廠商 [2] 各SME OEM廠商 [3] 上述SME乘數效應和案例均出自SEMI綜合各SME OEM廠商資料所進行之研究 [4] https://www.commerce.gov/news/blog/2022/01/results-semiconductor-supply-chain-request-information About SEMI SEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過2,500多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展 全台年度最大半導體盛事SEMICON Taiwan 2022國際半導體展將於9月14日至16日於台北南港展覽館一館盛大登場。今年展覽規模亦再創27年新高，吸引700家國內外廠商參與，共計推出2,400個展覽攤位。探討台灣半導體產業的七大強項，包括先進製程、異質整合、化合物半導體、車用晶片、智慧製造、ESG永續、半導體資安等發展趨勢，持續引領全球半導體產業下世代關鍵技術之發展交流，以迎接未來數十年產業發展的黃金時代。 SEMICON Taiwan 2022 | 9月14-16日 | 台北南港展覽館一館 | 了解更多

原文請點此觀看 文／艾祖華 SEMI智慧儲能委員會主席、台達電子能源系統解決方案事業處資深處長 國發會在三月底公布「臺灣2050淨零排放路徑及策略」，政府將在2030年前陸續投入新台幣9,000億元，全力向2050年達到淨零碳排的目標邁進，其中的2,078億元、也就是近總預算的四分之一，將用於加強智慧電網與儲能系統。 這是很重要的宣示。近年政府持續推動能源轉型，綠能發電量快速增加，但也讓台灣電網面臨快速變動、穩定性與可靠性不足等重重考驗。比如今年三月全台大停電，不僅有549萬戶民眾飽受無電之苦，石化、養殖、半導體與鋼鐵等產業也大受影響，估計損失恐超過百億元，顯見「穩定供電」不僅是民生問題、更是關乎經濟發展的產業問題。 儲能結合微電網化解跳電危機 想要兼顧淨零碳排與電力穩定，儲能系統絕對是關鍵。它可以調節電網，在用電需求低時將剩餘電力轉換為化學能、動能、位能等型態儲存起來，再於用電尖峰時釋出，舒緩綠電入夜停擺對電網造成的壓力。也就是說當再生能源建置越多，電網對儲能調節的需求就越高。因此，世界各國在邁向淨零碳排的路上，多會加重投資儲能系統。 當分散式再生能源增加，電網供電自然從傳統集中式轉型為分散式電網。本地的發電、配電與用電若可結合儲能，則不僅能有效提高發電、輸電、配電與終端使用者系統的電力品質及可靠性，更能輔助電網轉型為區域性智慧微電網（Micro-Grid）。當這些電力都能就近使用，發電使用效率提高、電網的韌性也就隨之提升，從而減少單一電廠跳電造成大範圍停電事故機率。 另一方面，台電「電力交易平台」也是儲能系統嶄露頭角的舞台，當民間加入電力調度的行列，便能提升電網整體的韌性。截至今年5月25日，已有34.3MW民間儲能設備投入調頻備轉的輔助服務市場，協助電力系統穩定頻率。儘管如此，目前用電大戶或民間表後儲能尚未能參與輔助服務，換言之，如果突發狀況再起，藏在民間的電力將無法即時投入支援，較為可惜。 國內許多不同領域的業者都抱持高度意願投入儲能市場。SEMI能源產業部建議，若想要走自主研發製造路線，除了人才培育，也要確保有足夠資源用於研發生產設備及驗證電池安全性。而系統整合業者的考驗，則是要具備驗證各家產品與整合的能力，並確保有穩定供貨來源且可兌現系統生命週期內的維修保固。至於投資方，由於金額大、風險高，更應該進行周延的風險管理與投報精算。 盼政府重視電網韌性建設 儲能產業需要多元且跨領域的專業技術能力，包括電力電子、電力系統、電池化學、資通訊與機電等技術，要擁有更全面的前瞻視角，就需要一個無障礙的跨產業溝通平台。SEMI的會員來自半導體產業者、再生能源產業者、可協助將傳統電網智慧化的資通訊業者、以及最了解電力市場的電力電子與機電業者，SEMI能源產業部並於2021年成立智慧儲能委員會，至今已有近30家儲能相關企業加入，儲能生態圈已然成形。我們也積極調查會員技術需求，搭橋鋪路對接長期合作的教育單位，累積研發技術、儲備未來研發人才，為不同產業的夥伴提供跨平台溝通的服務。 展望未來，期望政府從加強電網韌性的角度進行五項關鍵行動： 以額外補貼方式增加再生能源裝置搭配儲能比例 針對現階段電網基礎設施之不足，重新盤點並完整規劃布局 饋線共用，讓電網級儲能設備可跟太陽能共用與互補饋線容量，提高饋線利用率與成本效益 開放用電大戶表後參與台電電力交易平台，吸引更多用電大戶投入儲能產業。 也能以儲能在再生能源案場、變電站或區域微電網的多功能應用，來維持整體電網的穩定性。從應用角度來看，要把儲能應用在電網斷電後離網進行獨立電網形成（grid forming）、多電源微電網運作、中壓固態開關進行無縫切換等新興應用，都需要政策引導發展、並制定相關法規。若想要兼顧淨零碳排與電力穩定，儲能系統扮演著關鍵角色，期待政府全力輔助業者投入，使儲能幫助實現淨零排放。

SEMI產業研究團隊分析師Inna Skvortsova受邀參加4月初舉行的2022年SEMI產業策略高峰論壇 (ISS)，面對現場將300多位高階主管時強調：「在世界各大經濟體數位化浪潮及半導體需求激增驅動下，全球半導體產業出現大幅成長」，對於2022年及之後的產業發展極具信心。 她引用SEMI材料市場報告（MMDS）數據指出：「過去幾年，我們看到材料消費量明顯增加，繼2021年創下市場營收紀錄後，2022年持續看漲，SEMI已將成長預測上修至7%。晶圓製造和封裝材料都是市場擴張的助力，晶圓製造材料2022年可望增長8.4%，封裝材料也有3.9%的增幅。」 半導體材料市場成長屢創新高 2021年至2023年晶圓廠投資額也將達到歷史新高，光是2022年支出就出現14%的增幅，將近260億美元。2022年即將起建的28座量產晶圓廠中，包含23家12吋晶圓廠以及5家8吋（及以下）晶圓廠。 晶圓廠建設支出達歷史新高 雖然與產能限制相關的挑戰持續在業界發酵，但SEMI全球晶圓廠預測報告（World Fab Forecast）仍看好12吋晶圓產能，在2022年及2023年將分別上升11%和8%；而8吋產能在2022年和2023年則各有5%和3%的增幅。 「不過，產業成長路上並非毫無不確定因素的干擾。」Skvortsova指出：「通膨壓力、持續的供應鏈挑戰和地緣政治局勢緊張都是潛在的風險，隨著產業加強擴大產能的力道，人才短缺的問題也將更為浮上水面。」 半導體產業可能於2030年成為上兆美元產業，是今年ISS論壇另一大熱門話題。3D InCites Françoise von Trapp與三位市場分析師同台，對於進入下個十年，產業該做什麼才能達成這個里程碑，有相當精彩的討論。 TechSearch International創始人暨總裁Jan Vardaman、TechInsights市場研究副總裁 Andrea Lati以及Gartner副總裁Bob Johnson都分享了獨到的觀點。 詳情見3D InCites原文報導：SEMI ISS 2022：尋找通往兆元產業的永續之路。 2022年SEMI產業策略高峰論壇 (ISS)以「半導體引領世界變革」為主軸，業界管理階層和產業資深經理人在為期三天的會議中共同探索全球電子製造業前景，同時檢視國際經濟、技術、市場、商業和地緣政治等可能影響產業發展的不同議題。

原文請點此觀看 作者：SEMI全球行銷長暨台灣區總裁 曹世綸 面對後疫情時代之數位經濟與轉型浪潮，物聯網、AI、5G技術快速發展，強韌安全的數位應用已成為現今顯學。近年以來，許多駭客組織的攻擊目標鎖定在高科技及製造產業，其中半導體製造業更不乏受害案例。為提高生產效率及良率，半導體製造業已在過去十年積極轉型，然設備及產線智慧化的提升，隨之而來的，卻是更大的網路惡意攻擊風險，及資安問題帶來的營運危機。資訊安全是全球相關業者在企業永續經營上必須正視的重要課題。 台灣位居全球半導體供應鏈關鍵地位，面對層出不窮的資安風險，我們更需盡速針對半導體產業供應鏈，推動符合國際規範所需之資安技術與機制，包含國際供應鏈產品資安政策、資安國際標準與相關安全要求。為此，SEMI於去年特別成立半導體資安委員會，攜手台積電、日月光、鴻海科技集團與供應鏈夥伴，致力於串連半導體製造上下游供應鏈、結合資安專家，凝聚產業資安共識，領頭制訂、並推動合規台灣產業設備運作系統的風險控管，與資安防護國際標準規範。 透過台灣半導體業者的共同投入，首款由台灣主導的半導體產線設備資安標準規範SEMI E187–Specification for Cybersecurity of Fab Equipment於今年1月正式上架，這一項全面性的半導體設備資安標準，涵蓋了作業系統規範、網路安全、端點防護安全，與資安持續性監控等四大半導體設備重要要素。該標準發表後，受益於台灣在全球半導體產業的關鍵地位，故迅速通行於全球。而今年初甫發表之SEMI E188惡意軟體攻擊防護標準，則是由Intel主導偕同SEMI美國資安標準技術委員會，依據E187標準內容深化後所延伸產出，兩項資安標準相輔相成，共同守護半導體設備資訊安全。 資安威脅日新月異，標準的制定完成，僅是強化半導體產業資安的第一步。主因半導體供應鏈是由眾多企業所共同組成之龐大生態圈，容易因單點問題，導致整體供應鏈暴露於風險之中。為精進防護工作，整體供應鏈導入資安標準成為刻不容緩的任務，一方面有助相關設備與軟體供應商依循標準指引設計資安防護；另一方面，則可供使用設備的企業，以此標準確認資安防護層級。我們期待供應鏈上下游廠商共同參與響應，持續將此標準推廣至更多高科技產業應用，共築半導體產業基礎防禦工事。 除了標準的制定及導入之外，SEMI資安委員會本著與供應鏈「共好」的宗旨，正在規劃提供企業資安評鑑服務，包含企業資安即時風險評估，以及資安委員會廠商協力推出的企業資安自評問卷。SEMI及資安委員會期盼能藉此服務，提供廣大的半導體供應鏈廠商客觀公正的資安評級，積極推動產業的資安意識。 唯有整體產業界的攜手合作，才能打造出更安全無虞的供應鏈生態圈，這也將是SEMI和資安委員會中的眾多廠商，未來要持續努力的目標，冀望能共同協助台灣半導體及高科技製造業供應鏈提升資安認知，化危機為商機，持續建立領先全球的關鍵競爭力。（作者是SEMI全球行銷長暨台灣區總裁）

隨著智慧製造發展趨勢，在半導體產業鏈中，包含晶圓製造與封裝測試在內的半導體製造，皆已開始推動產線智慧化、聯網化以提高競爭力。但伴隨著設備聯網而來的OT資安問題，也一直令許多業者困擾不已，2021國內上市櫃公司也發布多起重大資安攻擊事件訊息，造成或大或小的損失。 國際半導體產業協會(SEMI)全球行銷長暨台灣區總裁曹世綸指出，由於半導體產線的資訊安全，一直是半導體製造業者最關心的大事。因此，在SEMI於2018年發起號召，希望制訂出符合半導體產業需求的資安標準後，很快就獲得台灣多家產官學研單位的認同跟積極投入，最終在日前產出了全球第一個半導體晶圓設備資安標準 SEMI E187 - Specification for Cybersecurity of Fab Equipment（以下簡稱SEMI E187)。接下來，讓產業鏈普遍導入這個標準，提高整個半導體產業的資安防禦能力，將是最關鍵的工作。 SEMI深耕產業標準50年 半導體設備資安標準全球首發 為促進半導體產業發展，SEMI於1970年代就開始推動各項產業標準的制定。英特爾、IBM、超微、德州儀器、三星、台積電等半導體大廠，不僅都是SEMI系列標準的制定者，同時也是採用者。例如在半導體產線的環安衛方面，SEMI標準就廣獲業界採納。台積電創辦人張忠謀更曾表示，台積電所採購的設備，在環安衛方面，一定要符合SEMI標準規範，才能被列入採購清單。展望未來，在半導體設備資安方面，SEMI E187也將成為具有同等地位的標準。 近期由經濟部工業局及SEMI共同舉辦的SEMI E187設備資安標準導入與實務研討會，來自產官學研等重要代表包含經濟部工業局電子資訊組副組長顏鳳旗、台積電企業資訊安全處長暨SEMI台灣半導體資安委員會主席屠震、工研院資通所組長卓傳育均有參加，期望能讓藉由此研討會助SEMI E187標準成為半導體設備與OT資安的基石。 台積電企業資訊安全處長暨SEMI台灣半導體資安委員會主席屠震指出，SEMI E187標準是半導體設備資安進展的重要里程碑，更難能可貴的是，這是一個由台灣廠商與政府、學研機構共同主導，同時也是半導體業界第一個跟設備資安有關的標準。有好的標準只是一個開始，接下來更重要的工作是要讓這個標準在產業內擴散，獲得普遍採用，才能提高整個產業的資訊安全。 經濟部工業局電子資訊組副組長顏鳳旗則表示，半導體是台灣的重要產業，沒有資安就沒有產業的安全。有了SEMI E187標準，半導體的生產將變得更加安全，同時也能為台灣半導體設備跟資安相關業者，帶來更多發展契機。接下來，經濟部工業局以及SEMI，將會共同建立SEMI E187的導入範例，期望於接下來4年內，使台灣半導體產業全面導入SEMI E187標準。 供應/採購兩端著手 同步加速標準導入 SEMI Standards FAB及設備資訊安全工作組組長暨台積電企業資訊安全處部經理張啟煌說明，SEMI E187半導體設備資安標準是一個基本的資安需求。該標準涵蓋了作業系統、網路、端點防護與安全監控/資安稽核等四個面向的資安關鍵要素。在此標準的指引下，相關設備與軟體的供應商，以及使用這些設備的半導體製造商，都可以掌握半導體設備資安強化的重點，明白現有產線設備在資安上還有哪些不足之處，進而建構出更安全的OT環境。 接下來，身為SEMI E187標準的主要倡導者之一，台積電將會與設備供應商宣導，在條件許可的情況下，未來將SEMI E187標準列為設備採購的基本要求規範。 掌握標準具體要求至為關鍵 提升供應鏈資安要靠全方位協作 睿控網安首席解決方案架構師劉大川則指出，要導入SEMI E187標準，最重要的是掌握標準所涵蓋的四大要素--作業系統、網路、端點防護跟監控/稽核，各自有哪些要求。 例如在作業系統(OS)方面，SEMI E187標準明確規定，設備供應商所提供的產品上，不應該搭載OS供應商停止支援的OS。至於設備交付後，如果遇到OS停止支援，在實務上可以搭配其他資安方案來予以補強。 在網路傳輸方面、端點防護、監控/稽核方面，SEMI E187標準也都提出了十分明確而具體的規定。想進一步了解相關規定細節的業界廠商，可以到SEMI官網訂閱這份標準文件，進行深入研究。 工研院資通所組長卓傳育則再次強調建立導入範例的重要性。他指出，要提升半導體產業的整體資安防護水準，除了要有明確可執行的標準，還需要產業鏈中各個環節的成員共同採納跟配合。而提高產業導入意願跟加快導入速度，最好的做法就是建立實際的指引與範例，讓業界有明確的參考基準。若沒有可供參考的實作範例，由於每家業者對標準的詮釋跟理解不一，會在實務上形成不小的障礙。 展望未來，為打造出更安全可靠的半導體環境，SEMI台灣半導體資安委員會除了攜手半導體上下游產業鏈積極推廣標準外，SEMI也將於今年9月登場的SEMICON Taiwan 2022國際半導體展中設立資安專區，並舉辦資安趨勢高峰論壇，面對資安威脅攻擊變化百態，情勢也更加難以預測，特別邀請產業專家分享半導體資安指南、供應鏈數位韌性，更以實例助企業提升供應鏈生態圈的資安防護等議題。 若企業有需要多了解設備資安標準及惡意軟件相關的標準或導入服務需求，歡迎與SEMI Taiwan洽詢或上網選購SEMI全套標準。 SEMI Standards Staff https://www.semi.org/en/products-services/standards/staff-contact

半導體元件是絕大多數現代科技應用的大腦與心臟，不管是人工智慧(AI)、5G或物聯網，甚至是我們天天都會用到的手機、電視、PC及各種家電產品，都離不開半導體元件。因為半導體，台灣得以在全球科技供應鏈中扮演舉足輕重的角色，台灣的經濟跟產業發展，也跟半導體產業的榮枯，有著密不可分的關係。對於這樣一個重要的科技跟產業，您有多少了解呢？ Table of content半導體是什麼？半導體元件：IC的最小單位，有如半導體的「細胞」常見的半導體材料半導體產業的重要關鍵：半導體製程半導體產業發展與台灣半導體的產業影響力全球半導體設備及材料市場概況半導體產業的ESG永續轉型 半導體(Semiconductor)是什麼？半導體已經深入你我的日常生活，從手機、電腦到各種家電，乃至我們看不到卻天天在用的雲端應用服務，都是以半導體元件作為核心。半導體是一種具有特殊物理性質的材料，電導率介於導體和絕緣體之間，可藉由外部施加電壓來改變材料的導電能力。我們常見的半導體，在不施加外部電壓的情況下，是不導電的；若對材料施加電壓，原本不導電的材料會變成導電材料，讓電流得以通過。半導體應用最早是環繞在「材料可以自由切換其導電與否」的特性發展出來的，多數現代電子產品的核心單元就是利用半導體的電導率變化來處理資訊。由半導體材料製成的積體電路(IC)，透過控制電流的通行或阻斷，在電腦中執行邏輯運算。 半導體元件：IC的最小單位，有如半導體的「細胞」半導體是一種材料的總稱，半導體元件則是使用半導體材料製作出來的元件。那麼，半導體元件又有那些最基本的分類呢？答案是兩種：二極體(Diode)與電晶體(Transistor)。半導體元件可以視為一種開關，而開關則可以進一步細分成「單向開關」跟「雙向開關」兩種。二極體跟電晶體之間最大的區別就在於：二極體是單向開關，即便開關打開，也只有單一方向的電流可以通過；電晶體則是雙向開關，只要開關打開，兩個方向的電流都可以流通。因此，對於設計IC這類複雜電路的工程師而言，如何在電路裡面巧妙地對電晶體跟二極體進行排列組合，實現設計人員想要的功能，就是最基本的能力。 常見的半導體材料1.元素半導體 - 矽(Si)半導體材料種類繁多，我們最常聽到、應用也最普及的，是基於矽的半導體。矽是地球上隨處可見的元素，不僅容易取得且價格低廉。這使得矽在發展半導體技術初期便自然而然地成為主流材料，直到現在仍是最具商業應用影響力的半導體材料。 2. 化合物半導體(Compound Semiconductor)由化合物構成的半導體材料，其中化合物通常由兩種以上元素的原子構成，依構成的元素不同，具備不同的材料特性。2-1 砷化鎵(GaAs)：電子移動率比矽更快，具高頻特性，且耐高電壓、高溫。特別適合應用於需要極高開關速度的元件，例如射頻(RF)元件，在5G時代有極高的發揮空間。2-2 氮化鎵(GaN) 、碳化矽(SiC)：這兩個寬能隙化合物半導體，都具有比矽更高的操作頻率，而且因為能隙更寬，可以耐受更高的電壓，所以在大功率傳輸應用方面被視為極具發展潛力的新秀，也因此在電動車爆紅之後，進入大眾視野成為熱門科技關鍵字。 半導體產業的重要關鍵：半導體製程半導體製程或許是一般人最常聽到的半導體術語之一，尤其是製程節點(Process Node)，例如28奈米、7奈米等。但半導體製程一詞，其實涵蓋了製造IC的一整個流程、數百道加工步驟。半導體製程步驟可以粗分成微影、蝕刻、沉積、摻雜與平坦化等實際在晶圓上製造出電路的製程步驟，以及穿插在這些步驟之間的清洗製程，統稱為前段製程。晶圓製作完成後，還需要經過切割、測試、封裝等後段步驟，才會變成我們所看到的晶片。 半導體製程-晶圓尺寸為成本關鍵半導體製程中最花時間的就是前段製程。一張空白晶圓從投片到生產完畢，短則數十天，長則超過一百天。因此，一片晶圓上能製造的晶片數量越多，理論上生產效率就越高，成本也越便宜。 要在單一晶圓上生產更多晶片，有兩種方法。一是用更大尺寸的晶圓來生產，另一個則是把晶片尺寸做小，讓一片晶圓上可以塞進更多晶片。但前者會涉及到十分複雜的製程控制問題，設備投資也極其昂貴，因此在晶圓生產線進入12吋世代後，遲遲未能走向18吋世代。因此，製程微縮變成現階段提高晶片生產效率、降低成本的主要方式。把電路做得更細小，意味著晶片的尺寸也會跟著縮小，從而能在一片晶圓上生產出更多晶片。 半導體製程-先進製程與成熟製程的劃分所謂的先進製程，就是指可以把電路做得更細小的製程技術。但隨著科技與時俱進，先進製程的定義也是不斷改變的。目前業界通常將10奈米以下視為先進製程，10奈米以上則稱為成熟製程。【延伸閱讀】先進製程領軍：全面剖析半導體產業突破摩爾定律的極限 立即閱讀 半導體產業發展與台灣半導體的產業影響力電晶體及積體電路發明半導體產業的誕生與茁壯，跟電晶體及積體電路的發明，有密不可分的關係。1947年貝爾實驗室製造出人類第一顆電晶體，讓收音機、計算機等電子產品的微型化成為可能。在這個基礎之上，德州儀器(TI)的基爾比(Jack Kilby)與快捷半導體公司(Fairchild)的諾伊斯(Robert Noyce)各自發展出將電晶體等電子元件整合成單一裝置的IC製造方法，決定了今天積體電路的樣貌。 摩爾定律1968 年， 諾伊斯與摩爾(Gordon Moore)等人共同創立英特爾，這家以IC設計、製造為核心業務的公司，迅速發展成微處理器的霸主。其後，摩爾在英特爾產品的演進過程中觀察到，由於製程微縮的緣故，晶片上整合的電晶體數量，每隔18~24個月就會增加一倍。這個觀察發現，後來成為引領半導體產業發展數十年的「摩爾定律」。 如今，為了滿足多樣化的運算需求，現代的微處理器已經走上分歧發展的道路。除了泛用性最高的CPU之外，還有專門用來處理圖形運算的GPU、執行數位訊號處理的DSP等專門為了執行特定任務而設計的微處理器。 晶圓代工模式誕生-台灣積體電路製造公司(台積電)晶圓代工模式的誕生，是半導體產業發展上的另一個重要轉折。1986年，為培植台灣本地的半導體產業，政府決定由工研院主導，與荷蘭飛利浦共同成立一家專門從事半導體製造的公司，並交由時任工研院院長的張忠謀負責。這家公司就是如今叱吒全球半導體製造市場的台積電。 台灣擁有最完整的半導體產業聚落台積電的誕生，標誌著半導體的設計跟製造可以分割開來，實現專業分工。半導體產業的進入門檻，也因為IC設計模式的出現而降低，讓半導體產業能進一步蓬勃發展。而在台積電的示範下，不僅製造端，下游的封裝測試很快也走向專業分工的道路，並且在台灣形成完整的產業聚落。如今，在台灣這片3.6萬平方公里的小小土地上，已匯集了設備、材料、晶圓製造、封裝測試與IC設計產業，成為世界上密集度最高，運作最具效率的半導體產業族群所在地。專業分工是目前半導體產業的主流方向。因為專業分工，每家廠商可以集中所有資源，把自己選定的市場跟技術發展到極致，從而獲得競爭優勢。半導體產業是一門極專業的科技，唯有專注才能成就卓越，台積電的7奈米、5奈米與3奈米製程不僅準時推出，而且性能、良率都優於競爭同業，就是最好的例子。 全球半導體設備及材料市場概況半導體應用的蓬勃發展，使得半導體製造成為一個巨大而且深具戰略意義的產業。除了半導體製造之外，相關支援產業如原物料、化學品及設備，也是半導體製造業不可或缺的區塊。半導體材料包含：矽晶圓、各種化學品與氣體，以及導線架等封裝材料三大類，其中又以矽晶圓占比最大。根據SEMI的統計數據，2021年全球半導體材料市場營收成長15.9%，達到643億美元，再度刷新了2020年創下的555億美元紀錄。(詳見完整新聞稿) 半導體設備方面，據SEMI公布的全球晶圓廠預測報告(World Fab Forecast)，2022年全球前端晶圓廠設備支出總額將較前一年成長18%，來到1,070億美元的歷史新高，繼 2021年成長 42%之後，已連續三年大漲。(詳見完整新聞稿) SEMI 為一全球化的半導體產業協會，自 1986 年以來，通過各種數據收集計劃與 SEMI 會員密切合作，持續追蹤半導體設備、材料市場動態，為全球半導體產業提供及時的市場洞察。SEMI 的市場研究報告擁有超過 1,000 家客戶，包含設備製造商、設備供應商、材料供應商到研究和金融機構，為值得信賴的市場數據來源。欲進一步了解SEMI市場報告相關服務，請見產品官方網頁 半導體產業的ESG永續轉型在ESG浪潮的推波助瀾下，整個科技供應鏈都肩負進一步降低碳排放量，最終達成淨零碳排目標的使命。因此，ESG永續轉型也將是半導體產業發展的必然趨勢。除了擴大採用再生能源，讓半導體製程中所使用的電力也變「綠」以外，如何在半導體元件製造過程中更有效率地利用化學品和耗材等資源，也是產業很早就開始努力的方向。半導體產業供應鏈以SEMI作為凝聚產業共識的平台，制定出一系列產業標準，力求減少半導體製造過程中的資源用量，更進一步導入循環經濟的概念，將製造過程中所使用的資源盡可能回收再利用，並獲得巨大成果。【延伸影片】台積電如何兼顧永續目標及先進製程材料｜策略材料領袖對談 立即觀看 【延伸閱讀】ASIC客製化晶片崛起，微軟、谷哥及亞馬遜紛紛搶進？認識未來AI運算力的神隊友 立即閱讀【延伸閱讀】工業4.0大全，從淺到深一篇搞懂它！ 立即閱讀 結語半導體是一個龐大而複雜的產業，為了讓產業鏈裡成千上萬名成員能順利協作，共同推動產業向前邁進，一個匯集各方意見、凝聚共識，並適時代表產業向外發聲的產業團體，是必要的存在，也是SEMI 長期扮演的角色跟使命。 【SEMI 大學熱門套裝課程推薦】半導體世界概論矽晶片產業認知訓練半導體化學品安全課程 About SEMISEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過3,000多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展SEMICON Taiwan 國際半導體展不僅匯集全球具影響力廠商、人才和技術，創造新市場機會，更是台灣最國際化且唯一的半導體專業展會。SEMICON Taiwan 2026 | 9月2-4日 | 台北南港展覽館一館 二館 | 了解更多

資安威脅無所不在，駭客攻擊目標從以前集中於政府、金融機構，現在的頭號受害者則是製造業，供應鏈攻擊層出不窮，半導體產業亦無法倖免。為更有效提升產業供應鏈安全，催生出台灣首個半導體晶圓設備資安標準 SEMI E187 - Specification for Cybersecurity of Fab Equipment（以下簡稱SEMI E187)，同時也是少數由台灣主導制定的全球性產業標準之一。 SEMI台灣半導體資安委員會主導，訂定SEMI E187標準 SEMI E187標準的制定耗時3年，由SEMI國際半導體產業協會轄下的半導體資安委員會，結合產業鏈上中下游、大學、工研院等機構的力量所完成。其中，台積電扮演關鍵角色，以其採購機台設備之多、於半導體產業地位之動見觀瞻，影響力十分強大，許多半導體、資安領域的國內外企業紛紛響應加入，共同參與半導體設備資安國際標準的制定。 這項標準為何重要到讓半導體業界大動員？睿控網安（TXOne Networks）執行長、同時也是SEMI台灣半導體資安委員會成員的劉榮太說：「這項標準的建立，猶如建構了一套信賴機制，半導體業者可以相信供應商交出的設備是安全的。」SEMI E187使全球半導體設備的資安防護設計有標準可依循；企業在採購設備時也能據此釐清資安要求，避免設備成為資安罩門。 SEMI E187標準主要是針對機台設備的電腦作業系統、網路安全、端點保護、資訊安全監控等層面制定標準。「簡單來說，這個標準規定機台不能藏有病毒；必須採用相對新穎的作業系統；各項設定要正確無誤；不要開啟不需要的服務，避免增加攻擊弱點；以及機台要提供加密管道，不能採用危險的明碼傳輸等，」劉榮太歸納這些要求的目的，「供應商必須提供可以防護的機台。」 打造安全設備，台灣半導體設備商可望突破外商壟斷！ SEMI E187已於今年（2022）1月正式推出，為了進一步落實此項標準，SEMI台灣半導體資安委員會投入大量心力進行條文的詳細解釋、實務工作程序的建立，協助全球供應商者在充分了解標準內容後，製造出符合半導體製造業要求的設備。 劉榮太指出：「台灣半導體產業在全球的重量級地位已是毋庸置疑，因此這個標準推出後，全球設備廠商，包括美日業者都急於從SEMI得到詳細資訊，想要知道這個標準對於他們未來交付機台有何影響。」去年（2021）台灣半導體晶圓廠的設備投資金額約為新台幣7千億元，其中有6千億元是採購國外設備。 「在外商幾乎壟斷台灣半導體設備市場的情況下，我認為『資安』可以是台灣設備廠商的突破點」劉榮太指出，當各家機台的其他規格皆符合採購方要求時，誰在資安方面做得更好，誰就更有希望拿下訂單，「SEMI E187由台灣制定，我們的說明會也是先從台灣開始，所以台灣設備業者能較其他國家業者更快拿到第一手資訊，值得好好把握。」 SEMI台灣半導體資安委員會 4子群各司其職，持續投入資安改善 針對半導體產業的資安改善， SEMI台灣半導體資安委員會長期投入，設有4個子群，分別是：參考架構的提出、資安認知的推廣、供應鏈的資安態勢評估，以及其他產業資安標準的觀察及擷取。 「針對SEMI E187要求半導體設備需採用相對新穎的作業系統，負責參考架構的子群，要提出目前有哪些作業系統較為適合，」劉榮太進一步說明。 資安認知的推廣方面，主要工作為發布季度報告，讓會員了解重大資安事件及防護新觀念，此外還要舉辦說明會及研討會等，透過各種管道強化業者的資安意識；供應鏈的資安態勢評估方面，則是透過問卷調查、分析工具的使用，協助廠商了解自己的資安風險。 針對其他產業資安標準的觀察及擷取，劉榮太說明，此一子群主要評估其他資安標準，例如美國的NIST CSF 資安框架等，是否有半導體產業可以借鏡及直接擷取的部分，避免「重新發明輪子」的徒勞無功及浪費時間。 睿控網安（TXOne Networks）執行長劉榮太，同時身兼 SEMI 台灣半導體資安委員會成員。 「經由這4個子群的任務分工，半導體資安委員會採用現成可行、內化、評估、新納入等4種方法，持續優化半導體產業的資安能量。」劉榮太說。 SEMI半導體資安委員會於2021年成立，參與成員包含台積電、台灣應材、日月光、鴻海、微軟以及思科等大廠。期盼在近年網路威脅日益嚴峻的情況下，整合產、官、學、研力量建立有韌性的半導體供應鏈，全面實踐產業的資訊安全。 同時，SEMI也將於今年9月登場的SEMICON Taiwan 2022國際半導體展中舉辦半導體資安趨勢高峰論壇，面對資安威脅攻擊變化百態，情勢也更加難以預測，特別邀請產業專家分享半導體資安指南、供應鏈數位韌性，更以實例助企業提升供應鏈生態圈的資安防護等議題。

新冠疫情大浪來襲時，全球許多產業、甚至各經濟體都不得不緊急踩剎車。面對到供應鏈物流中斷到政府施加的限制等各種不確定性和挑戰，企業無不想方設法，在最短時間內提出有效措施降低潛在風險的可能，同時重新打造不同的商業模式。這種情況之下，也難怪追求永續成長的前景困難重重。不過，全球經濟數位轉型在疫情催化下正不斷加速，算是出人意料的連帶效應之一，也因此推動了結構性轉變，讓已屆成熟階段的半導體產業更上一層樓，邁向新的歷史顛峰。 地緣政治情勢緊繃、供應鏈受限，雖然全球在疫情衝擊下動盪不安，但半導體產業卻持續走強，2021年連續第二年出現破紀錄的成長。現在的數位經濟時代亟需各式半導體設備，也帶動矽晶圓的強勁需求，讓矽晶圓出貨量於2021年再創新高。半導體材料市場也持續擴張，超越2020年締造的市場高點。這一波顯著成長主要歸功於全球各產業的數位化浪潮，對半導體的需求長期不減。 從SEMI 設備市場報告（EMDS）可以看到， 2021年半導體產業一路狂飆，完全不見疲態。產能投資持續邑注，滿足增長動力，讓前端和後端半導體設備部門往上攀升。全球半導體製造設備銷售金額大漲44%，突破1,020億美元，打破了2020年才創下的歷史紀錄。設備市場大好主要由先端邏輯和代工產能開發、DRAM投資復甦以及NAND快閃記憶體強勁支出所帶動。2021年所有地區的設備支出均表現亮眼，前三大地區（中國、韓國和台灣）資本設備年支出首次全部超過200億美元大關。 在2021年底大幅成長了43%，主要拜代工和邏輯部門以及記憶體支出的強勢複甦所賜。代工/邏輯佔晶圓廠設備投資一半以上，2021年較前一年同比大漲50%。與此同時，對記憶體的強勁需求帶動了NAND和DRAM製造設備的支出，DRAM是2021年成長的火車頭，年增幅達52%，NAND設備則上升24%。 後端設備方面，組裝/封裝以及測試設備部門也都創下新高紀錄。組裝/封裝設備繼2020年成長34%之後，2021年更往上跳了一級，飆升87%，來到70億美元。組裝和封裝工具需求主要由覆晶、晶圓級封裝（WLP）和其他先進封裝技術，以及導線架產能增加所推動。自動化測試設備部門則是接續2020年增長20%的漲勢，2021年攀升30%，達78億美元。測試設備在5G、汽車、物聯網和高速記憶體等長期驅動因素帶動下，需求相當穩定。另外，在晶片複雜度持續提高和小晶片（chiplet）架構日益普及推波助瀾下，測試設備市場也正迅速不斷擴大。 可以說我們正在見證半導體產業的結構性轉變，資本密集度變高、成長幅度顯著，卻受限於供應鏈靈活性不足，無法完全滿足需求以及跟上產能擴張的速度。當前設備投資總額的水平，相對半導體營收，2021年為18.5%，高於2020年的16.2%。 半導體產業搭上數位經濟蓬勃發展的浪潮，資本密集程度和製造投資規模兩方面雙雙創下新高，然而前方的道路可能依舊顛簸。疫情爆發後，半導體產業面臨勞動力、材料和零件短缺，以及物流延誤和產能不足等重大挑戰接踵而來。各種難關再加上供應鏈受限，在在讓製造晶片所需要的設備交貨時間不斷拉長。除此之外，地緣政治局勢持續惡化以及潛在的出口限制也讓瓶頸加劇，更添供應鏈和監管措施的不確定性。不過，大規模供應鏈網絡重組，無論是由政治或市場力道所驅動，本就曠日廢時，動輒得花上好幾年的時間。 有鑑於半導體產業近年的各式加速衝刺，以及需要克服的種種障礙，讓人不禁好奇，成長動能會否已然到達瓶頸了呢？還沒。一般普遍認為2022年半導體設備仍保有10-12% 的穩健增長。根據SEMI半導體設備預測報告，從OEM的觀點預估市場受益於先進技術投資和強勁記憶體設備支出，將進一步擴大至1,140億美元的規模。從週期循環歷史來看，多年連續擴張難以維持，而連年增長通常伴隨支出收縮而來，讓產業消化新的產能，再次回到供需平衡的階段。不過，在目前數位轉型與各種新興技術相輔相成的大環境之下，各式指標紛紛指出，市場將持續大步往前邁進，半導體產業可望走上長期擴張之路。 更多半導體設備市場趨勢（依地區和部門分門別類）資訊，請參閱SEMI設備市場報告（EMDS）和其他相關報告。更多SEMI市場數據產品詳情或訂閱資訊，請洽[email protected]。 Inna Skvortsova為SEMI產業研究團隊之分析師。 About SEMI SEMI 為全球化的半導體產業協會，致力於促進電子供應鏈的整體發展，連結全球超過2,500多家會員企業以及130萬名專業人士。SEMI 會員致力於創新材料、設計、設備、軟體及服務，透過協會藉由互助合作促成更多的科技創新與商業媒合。自1970年起，SEMI 持續協助會員發展、拓展商機及加速市場成長。了解更多 SEMICON Taiwan 國際半導體展 全台年度最大半導體盛事SEMICON Taiwan 2022國際半導體展將於9月14日至16日於台北南港展覽館一館盛大登場。今年展覽規模亦再創27年新高，吸引700家國內外廠商參與，共計推出2,400個展覽攤位。探討台灣半導體產業的七大強項，包括先進製程、異質整合、化合物半導體、車用晶片、智慧製造、ESG永續、半導體資安等發展趨勢，持續引領全球半導體產業下世代關鍵技術之發展交流，以迎接未來數十年產業發展的黃金時代。 SEMICON Taiwan 2022 | 9月14-16日 | 台北南港展覽館一館 | 了解更多

What could happen? Are you ready? January 2022 saw the launch of the new security standard SEMI E187—Specification for Cybersecurity of Fab Equipment. SEMI E187 defines the overarching and fundamental cybersecurity baseline requirements to secure semiconductor fab equipment by design and support security protection in both operation and maintenance. This new baseline standard affects entities who provide equipment or services to semiconductor fabrication plants such as equipment suppliers and system integrators. SEMI E187 releases after what could be described as the year of supply chain attacks, with software supply chain attacks tripling in frequency. While the SolarWinds supply chain attack grabbed most of the headlines, other major attacks in 2021 included Microsoft Exchange Server, Colonial Pipeline, Kaseya, Log4j, Codecov, and ua-parser-js. In each incident, one single breach, compromise, or vulnerability exploited the software supply chain process and led to multiple—sometimes thousands—of victims. "To succeed, SRM leaders must: Use automation to augment and accelerate processes and activities. Gain a better understanding of the expanding attack surface. Embrace as-a-service security capabilities." -Gartner Responsibility no longer solely rests on the suppliers. Buyers and fab operators must now follow stricter security procedures prior to purchase, deployment, and operation. While SEMI E187 represents the baseline cybersecurity requirements, it is strongly advised to leverage 3rd party security assessments and as-a-service cybersecurity vendors to significantly reduce risk and harden defenses. Here is a quick start guide to help streamline your process. Computer Operating System Security Requirements While the OS requirements state suppliers shall not ship equipment with an end-of-life OS, equipment contracts are often longer than the life of an operating system; therefore, we recommend that all equipment run on an OS that is at the very most 2 years old. We recommend you hire a 3rd party security service to evaluate the supplier’s documentation and process for upgrading and patching software. Currently, there is no way to automate this as each ICS is unique and faces its own challenges when confronting the downtime necessary to do this. As equipment contracts are often longer than an operating system, a situation could occur where the equipment supplier would no longer be able to provide updates as the operating system reached its end-of-life date in the middle of the contract term. Therefore, the continuous monitoring and hardening of both your endpoints and network are still required to ensure the security of not only your digital environment but those of your partners in your supply chain as well. Leveraging cybersecurity solutions offering Detection and Response technologies coupled with continuous digital forensic capabilities help reduce risk through the continuous monitoring of your endpoints and network. Network Security Requirements The network security requirements cover basic security measures that should always be taken. In addition to assuring ports are properly assigned to default—HTTPS on 443, SFTP/SSH on 22—be sure to monitor network traffic to ensure packets aren’t traveling in clear text. Threat Intelligence Gateways allow organizations to monitor north/south traffic and should be able to block outbound traffic heading towards known malicious IPs or C2 servers. These requirements also require documentation. Be sure your retained 3rd party security service not only evaluates the supplier’s documentation and process for upgrading and patching software but also network configurations, including network protocols/ports. Due to the unique architecture of your ICS, automating this process would be more difficult than hiring experienced human analysts—particularly when it comes to the required downtime for equipment software upgrades/patching. Ideally, your 3rd party security service should be familiar with ICS as well as the semiconductor ecosystem and supply chain. Endpoint Protection Requirements Although suppliers will perform vulnerability assessments and malware scans as well as provide documentation of this, it is strongly recommended that buyers/operators perform these cybersecurity assessments again prior to purchase, deployment, and operation. Instead of separate waves of security assessments, Detection and Response solutions could perform continuous digital forensics, providing operators with continuous visibility and insight into each step of the deployment process. To save time in researching Detection and Response vendors, we recommend retaining a MITRE ATT CK evaluated cybersecurity vendor as their opensource results will help reduce the time for your selection process. Cybersecurity solutions from various vendors don’t always get along and could potentially cause integration problems—especially in ICS environments. Anti-malware (NGAV) solutions that come integrated into a turnkey MDR solution could be one way to circumvent this challenge. Disabling input/output interfaces and unused operating system utilities help to limit the attack surface and reduce risk. That risk includes multiple kinds of threats, such as insider threats. Whether intentional or unintentional, insider threats are very real and could easily bypass even the most sophisticated security systems. Reducing attack vectors and your attack surface— such as by disabling unused operating system utilities and services—eliminates commonly exploited attack vectors leveraged by attackers. AD-focused scans and AD critical path visualization tools don’t support segregation of duties but do help your SOC/IT team visualize them. Reducing the number of high-privilege accounts as well as their access burden attacks, prolonging their attacks, and increasing the probability of detection. No system is impenetrable. Failsafe solutions such as Detection and Response or Continuous Digital Forensics are becoming more commonplace in enterprises and organizations worldwide as preventive solutions continue to be bypassed. However, not all cybersecurity vendors have experience—or tested their solutions—in ICS environments and equipment. Security Monitor Requirements While event logs can be monitored by a SIEM solution, the manual workforce necessary to maintain this can be extremely exhaustive. In the event of an attack, manually correlating billions of event logs—let alone directly responding to the attack—is not feasible. Instead, we recommend a lightweight Detection and Response agent capable of both recording event logs and performing automated continuous scanning and monitoring of your digital environment for malicious activity. Continuous Digital Forensic cybersecurity solutions are capable of correlating event logs and mapping out the attacker’s attack path, giving you insight into their activity, their objectives, and how to best respond.