経産省「半導体デバイス工場におけるOTセキュリティガイドライン」から読み解く 取るべきアクションとポイント

2. 「半導体デバイス工場におけるOTセキュリティガイドライン」の読み解き

本ガイドラインは概ね以下の構成で整理されています。第2章にて汎用的な半導体デバイス工場のアーキテクチャを示し、第3章にてアーキテクチャのエリア毎のリスクと関連フレームワークにおいて求められるセキュリティ対策を紐づけています。また、第4章では対策検討を進める上での参考となる、重要かつ実行が難しい対策に対する具体事例が記載されています。

以降に、各章の目的と概要をまとめます。

「半導体デバイス工場におけるリファレンスアーキテクチャ」

第2章では、半導体デバイス工場を対象に、「生産目標の維持（供給責任）」、「機密情報の保護」、「半導体品質の維持」のためのセキュリティ対策を検討しやすくすることを目的として、リファレンスアーキテクチャを提示しています。

リファレンスアーキテクチャの要点は次の通りです（図表1）。

• OT（Operational Technology）環境の階層構造による分類に適したセキュリティフレームワークであるPurdueモデルを半導体デバイス工場に適用し、OT（Level0–Level3）とIT（Level4–Level5）のつながりを、レベル構造で明確化。また、OTとITの分離と制御を目的に、Level3とLevel4の間にDMZ（IT／OT DMZ）を配置
• Purdueモデルの階層構造にCPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）*を適用し、組織、人、システム、データなどの関係性を整理
  * 産業社会をサイバー、フィジカル、そのつながりの三層構造で捉え、その構成要素を「ソシキ、ヒト、モノ、データ、プロシージャ、システム」の6つで整理することで、リスクと対策を体系化する枠組み
• 工場内の領域・エリアごとの役割と、許可する通信（種別、経路、ログ監視箇所など）を明確化

図表1：半導体デバイス工場のリファレンスアーキテクチャ

出所：経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン」

「半導体デバイス工場の特徴とリスク源および関連フレームワークの対策項目の整理」

第3章では、第2章のリファレンスアーキテクチャを活用し、半導体デバイス工場の特徴から想定されるセキュリティインシデントとリスク源を洗い出し、それに対応するセキュリティ対策をCPSFおよびNIST CSF 2.0のフレームワークに紐づけて整理・提供します。これにより、リスク分析において参照すべき情報を提示しています。

リスク分析のための情報は以下の3つで構成されており、ガイドラインを参考に自社の場合のリスクを洗い出していくことが想定されています。

• CPSFの6つの要素（ソシキ、ヒト、システム、プロシージャ、モノ、データ）ごとに、半導体デバイス工場に固有の特徴や考慮すべき点を整理
• 各領域・エリアにおいて、リスク源（脅威・脆弱性・脆弱性ID）とそれが悪用された場合に生産停止や情報漏えいなどのセキュリティインシデントに至る流れを整理・可視化
• 洗い出した脆弱性（CVEなど）やリスク源に対し、対策フレームワークの該当箇所を抽出

「半導体デバイス工場における具体的対策例」

第4章では第2章および第3章で整理したリファレンスアーキテクチャやリスク分析結果を踏まえ、半導体デバイス工場の現場で実装できるように、以下の具体的な対策事例を提示しています。

• 装置ツールの資産管理、重要度設定、脆弱性・脅威の把握と評価
• 多層防御とマイクロセグメンテーション、NDR（ネットワーク検知・対応）などによる監視
• FSIRT（工場向けセキュリティインシデント対応チーム）による監視、対応、復旧、改善運用
• ファブエリアの入室・持ち込み・接続を中心とした物理対策

4. セキュリティ対策を行う上でのポイント

本ガイドラインに沿ってリスク対応までを実効性をもって推進するために重要となる、2つのポイントについて説明します。

ポイント1：リスク分析・管理における部門間の連携

• リスク分析を行う際に重要度の判定基準を策定しますが、事業継続性や製品品質、安全性への影響に加え、法規制の順守や財務影響など複数のビジネス上の観点を考慮する必要があります。そのため、システムの管理部門や品質管理部門、法務部門などの部門間をまたいだ連携や調整が必要です。
• マルウェア対策やネットワーク対策などの技術的な対策実施、インシデント発生時の対応体制の構築など、対策の実装においても、各設備や業務を主管する部門との連携が必要です。

ポイント2：製造設備や運用、コスト上の制約を踏まえた対策検討

製造設備は、可用性や機能、コストに関する制約が多く、アセスメントの結果として導出された対策が実施できないケースがあり得ます。そのため、以下の観点を考慮することが重要となります。

• 目的に照らして実現可能であり、同等の効果が期待できる代替対策を選定する（例：直接的な対策導入を避け、ネットワーク上や運用による対策を検討するなど）
• 対策導入時のコスト（製品費用や運用コスト）を分析し、費用対効果を考慮して対策を選定する

5. まとめ

経産省より公開された「半導体デバイス工場におけるOTセキュリティガイドライン」の概要と活用方法、活用時のポイントについて解説しました。これらのポイントを踏まえて対策を行うには、OTの専門性とセキュリティの専門性の両方に精通する人材を配置することが望まれます。ただし、OTとセキュリティの両方のスキルを持つ人材は一般的には多くないため、社内のリソースだけでOTセキュリティの活動を推進することが難しいケースもあります。その場合は、積極的に外部の知見やリソースを活用することも推奨されます。

PwCコンサルティング合同会社では、制御システムエンジニアの経験を有する者をはじめとしてOTセキュリティの専門性と経験を有するコンサルタントを擁しており、実際の環境・事情を踏まえてこうしたガイドラインに沿った活動に関する支援を提供しています。ご興味がある方はお気軽にお問合せください。