半導体サプライチェーンへのサイバー攻撃は、もはや企業が単独で防ぎきれるものではありません。近年の攻撃では、サプライチェーンの頂点にいる大手メーカーではなく、相対的にセキュリティ対策が手薄なサプライヤーや委託先を「入口」として狙う手口が主流になりつつあります。一方、業界側はどうでしょうか。大手企業はすでに独自の対策を走らせ、中小企業は「そこまでの費用は出せない」と二の足を踏む。ばらばらに守る限り、業界全体の弱点は埋まりません。経済安全保障の要である半導体サプライチェーンの防御力を、どのように底上げするか。業種・業界を横断するセキュリティの知見と、半導体業界固有の専門性を掛け合わせる――その協働のなかにこそ、サプライチェーン全体の防御を底上げする道筋があります。半導体製造サプライチェーンの国際工業会SEMIの日本支部「SEMIジャパン」代表取締役の浜島雅彦氏、同スタンダード&EHS部 コーディネーターの平原岳明氏と、PwCコンサルティングで「半導体・セキュリティ」イニシアチブを率いる執行役員パートナーの上村益永、ディレクターの布目亮の4名が、業界の突破口を語り合いました。
出演者
浜島 雅彦(はまじま・まさひこ)氏
SEMIジャパン 代表取締役。半導体製造装置メーカーでのサービスエンジニアを経て、SEMIに参画。グローバルな標準化活動と政策提言を主導し、内閣官房のサイバー安全保障関連の取り組みにも協力している。
平原 岳明(ひらばら・たけあき)氏
SEMIジャパン スタンダード&EHS部 コーディネーター。SEMI標準の策定・普及活動を担当し、サイバーセキュリティ分野の標準化にも携わる。
上村 益永(うえむら・よしひさ)
PwCコンサルティング合同会社 執行役員 パートナー。トラストコンサルティング事業部に所属し、「半導体・セキュリティ」イニシアチブを率いる。PwCコンサルティングのCISO(Chief Information Security Office)も兼務。
布目 亮(ぬのめ・りょう)
PwCコンサルティング合同会社 ディレクター。半導体業界を中心にサイバーセキュリティ戦略の立案・実行を支援。
※本文中敬称略
左から、布目 亮、浜島 雅彦氏、平原 岳明氏、上村 益永
布目:
半導体サプライチェーンのサイバーセキュリティに関し、SEMIジャパンとPwCコンサルティングの複合視点から、現状・課題・今後を議論してまいりましょう。まず、SEMIがサイバーセキュリティの「標準化」に取り組まれてきた経緯を教えてください。
浜島氏:
SEMIは、半導体業界の各社が公正に競争できるよう、さまざまな規格を標準化することを目的に創設された国際工業会です。60年以上前にシリコンウェーハ(半導体の基板となる薄い円盤)のサイズ規格を策定したことに始まり、利用しやすい「標準規格」を業界が自主的に決めるためのプラットフォームを提供してきました。サイバーセキュリティに関して大きな転機となったのは、2018年夏のインシデントです。
世界的半導体メーカーの工場で新たに導入された製造装置にマルウェアが潜んでおり、クリーンルーム内の製造システムに次々と伝染。複数の生産ラインが停止し、損失は数百億〜数千億円規模に及んだといわれています。外部との接触がないクリーンルームの“閉じた環境”ならば安全――そんな常識が根底から覆された事件でした。
そこで同年秋、SEMIのグローバルな標準策定の仕組みを用い、サイバーセキュリティに関する規格づくりに着手しました。大変な努力を重ねたすえ、2022年に半導体製造装置の設計から導入までを対象にしたセキュリティ規格「E187」と、装置導入後のマルウェア対策やネットワークセキュリティを含む運用管理の要件を定めた規格「E188」を発行、国際標準としてはかなりのスピードでした。
2023年にはSMCC(Semiconductor Manufacturing Cybersecurity Consortium)が発足。現在はデバイスメーカー/ファブレス18社、装置メーカー24社、ソリューションプロバイダー23社、他を含めて合計約75社が世界中から参加し、7つほどのワーキンググループが活動しています。
SEMIジャパン 代表取締役 浜島 雅彦氏
上村:
対策の動きが世界各地で急速に進んでいますね。2026年に入り、EU(欧州連合)では「サイバーセキュリティ・アクト2」(CSA2)の検討が始まりました。従来は製品単体の認証が中心でしたが、CSA2は「サプライチェーン全体の健全さ」を認証する新しい発想に基づく規制です。米国も、半導体の国内製造を促すCHIPS法や輸出管理のなかでサプライチェーン全体を統制する方向に動いています。
浜島氏:
規制の手立てをきちんと組み立てるスピードは、やはり欧州が迅速ですね。日本はどちらかというと法令等よりも規範の策定から始めるソフトロー型。ガイドラインを示し、「皆で取り組もう」というアプローチが伝統的に多かった。
しかし国家戦略に直結する半導体のような産業に関しては、より強いリーダーシップがあってよいはずです。それを、「法規制には逆らえない」「だがコストがかさむ」と消極的に捉えるのではなく、「この産業を守るため」と主体的・積極的に発想するべきです。もはや性善説に立脚した「安心のための備え」では通じないところまで来ています。
よく「日本は標準づくりが下手だ」「デファクトに負ける」と言われますが、私はそうは思いません。現在主力の「300ミリウェーハ」の規格を主導して世界標準に仕上げたのは、日本のエンジニアたちでした。ワーキングチームでたたき上げ、国際投票(バロット)をかけてデファクトスタンダードにした実績がある。目標を共有できれば、日本は猛烈なスピードで動ける。何しろ、ここで競争する必要は全然ないわけですから。
上村:
非常に心強いお話です。業界がまとまって共通の目標を打ち出し、それに賛同が得られれば一致団結して前進できるという文化的な土壌が、日本には確かにあります。サイバーセキュリティでも一気呵成にゴールに向かえる可能性がある――今のお話を伺って、そう感じました。
浜島氏:
現在の日本の装置メーカーや材料メーカーは、真っ当な技術競争を「勝ち抜いてきた」企業です。国内のみならず海外の市場にも打って出て、競合する現地企業と真っ向勝負し、勝ってきた。
が、それは半面、理不尽な妨害を経験してこなかったからともいえます。「少しでも良い製品をつくる」ことが最優先の競争――それゆえ、サイバー攻撃のような見えない脅威への感度がどうしても鈍くなっているのです。「安全」をめぐる環境が激変したにもかかわらず、その認識が十分ではない企業が少なくありません。
上村:
まさにそこに、私たちも支援の現場で難しさを感じています。私や布目は2018年ころから半導体業界を支援していますが、日本のメーカーは他国と比較してもともと良質なサプライチェーンのなかで運営されてきた企業が多い。そのため、「なぜセキュリティにそこまでコストをかける必要があるのか?」と疑問を持ちがちです。良好な経営環境のもとで培われた成功体験があるだけに、セキュリティ投資の優先度を引き上げる判断は容易ではない――支援の現場でそう感じる場面は少なくありません。
また、業界内での混乱を避けるため「標準化に向けて皆でやっていこう」という姿勢はある一方で、各社がオリジナルのフレームワークをすでに持っている面がある。日本企業の特徴といえるでしょう。
PwCコンサルティング合同会社 執行役員 パートナー 上村 益永
浜島氏:
そうなんです。大手企業はもう独自で走っている。標準化を呼びかけても、「いやいや、うちはもうやっていますから」となりがちです。対して中小規模の企業は「リスク対策に追加の費用をかける余裕がない」と。ひとたび業界内で足並みがそろえば、一気に進むポテンシャルはある。それだけに、もったいないんですよ。
もし現場の担当者が問題の兆候を感じたとして、どう対応するかの最終決定は経営トップの決断次第です。CEOや役員クラスの経営者が「当社は本当に大丈夫か?」「全体を徹底的に見直そう」と明確に意思表示し、工場の全面調査などに乗り出す必要があります。ただ現実には、「現場で何とか解決してほしい」となりがちで、簡単には予算もつかない。本当にその危機感をどこまでトップに届けられるか、ですよね。
上村:
おっしゃる通りです。「セキュリティ上、少し気になることがある」という現場の声がコンサルティング会社に届いただけでは、ファクト調査に必要な情報へのアクセスは難しく、「その程度の懸念で工場のあれこれを開示するわけにはいかない」となるでしょう。組織としての危機感をトップダウンで共有できるかどうかが、セキュリティ高度化の鍵だと考えています。
平原氏:
SEMIでは、サイバーセキュリティのスコアリングサービスを業界向けに提供しています。現状の備えがどの程度安全なのかを、具体的な数字=スコアで提示するサービスです。
ただ、「事前に手を打とう」という発想が浸透しているかというと、まだ道半ばです。「当社が攻撃されるはずがない」「保険に加入しているので問題ない」とおっしゃって同サービスの利用を避ける企業は、決して少なくありません。これまで技術的な攻撃を受けた経験などなかったから、どんな被害が生じ得るか想定できないのだと推察されます。
しかし実態は違います。ここ数年、今までターゲットになっていなかった規模の企業へのアタックが明らかに増えているのです。スコアリングサービスの需要は本来もっと高いのではないかと考えています。PwCコンサルティングの視点で最近の攻撃の実態をどうご覧になっていますか。
SEMIジャパン スタンダード&EHS部 コーディネーター 平原 岳明氏
上村:
半導体関連企業の大半は、すでに攻撃を受けていると推定されます。その事実に「気づいていない」だけ、というのが実態です。
近年はデジタル化の進展を背景に、アジア太平洋地域におけるサイバー攻撃が急増しており、その観測件数は北米・欧州を上回る水準にあると指摘されています。製造業は世界的にサイバー攻撃の主要ターゲットとなっており、日本企業も例外ではありません。特に近年は、大手企業そのものではなく、セキュリティ対策やリソースが十分でないサプライヤーや委託先を「入口」として侵入するサプライチェーン攻撃が一般化しています。
これまで特に対策を講じてこなかった企業を対象に、工場セキュリティを確認する目的でネットワーク上の不審な動きを検知するツールをPoC(概念実証)的に導入すると、「過去に攻撃を受けた痕跡」が見つかる場合が大多数で、見つからない事例のほうが少ないのが実情です。実は何年も前に侵入されていた、攻撃者は証拠を消しとっくに立ち去った、今ではもう何を“やられた”のかすら分からない――ただ侵入の痕跡だけが残っているのです。
浜島氏:
つまり「狙われている」のではなく、「実はすでに侵入されている」と。
上村:
そう考えるのが現実的です。しかも、攻撃者がそれを知らせることもないので、気づけていないのです。
「どんな資産がターゲットにされたのか」は、プレイヤーごとに異なります。例えばファブレス(工場を持たない設計専業の半導体企業)であれば回路設計データやIPコアのソースコード。ファウンドリ(半導体の受託製造企業)であればプロセスレシピや歩留まり改善のノウハウ。製造装置メーカーなら装置の設計情報やリモート保守のアクセスルート。部素材メーカーならば配合情報や製造条件、さらには制御システムそのものがターゲットです。
部素材メーカーの場合、さらに厄介な事情があります。半導体に加え、電池、エネルギー、航空宇宙、医療など他分野の産業にも材料を供給している企業が多いからです。半導体産業を狙う者だけでなく、別の産業を標的とする攻撃者の脅威にもさらされている。その危うさを、部素材メーカーの皆さんとも共有していかなければと考えています。
浜島氏:
化学プラントでの素材の配合割合なんて、材料メーカーにとって「秘中の秘」です。
上村:
その通りです。重要事項という認識はお持ちなのですが、「誰かがそれを奪いに来ている」という脅威の切迫感とは、まだ距離があるのが実情です。材料のレシピ情報が流出したことで数千億円相当の機会損失を被ったとされる事例も実際にあります。事実を公表する必要がない犯行側は、黙って情報を盗み、ハッキングの痕跡を消し、盗んだ情報で利得を図る。盗まれた側が気づいた時には、事態はもう手遅れになっているのです。
浜島氏:
ニュースで大きく報じられるランサムウェア型攻撃に加えて、「いつの間にか情報が抜かれていた」というタイプの被害も同様に多く発生している――そういう実情なのですね。
上村:
ええ。脅迫して「身代金」を要求するランサムウェアは確かに目立ちますが、それと同じくらい警戒すべきなのが、「静かに情報を盗むタイプ」の攻撃です。世間の関心がランサムウェアに集中しがちな分、こちらの脅威が見過ごされやすく、注意が必要なのです。攻撃者は、目的や能力に応じて手法を使い分けています。短期間で収益化を狙うのであれば、可視化された圧力をかけるランサムウェア型が選ばれる。一方、知財や技術情報そのものに長期的な価値を見いだすのであれば、検知を回避しながら静かに情報を抜き出し、価値を最大化する手法が選ばれます。後者は「気づかれない」ことが攻撃成功の条件であり、被害者側が長期間にわたって損失に気づけないという点で、極めてやっかいな存在なのです。
布目:
工場でヒアリングを実施すると、「うちの工場はネットワークに接続していないから安全です」と回答されることがあります。では、「OA環境とのデータの受け渡しにクラウドサービスは使っていませんか?」「保守点検用のリモートメンテナンスの装置を入れていませんか?」「現場でUSBメモリを挿し込むことはありませんか?」といった質問を重ねると、「そういう意味では一部、外とつながっている」と明らかになります。
つながっていること自体が問題なのではなく、現状の自社の環境をしっかり把握し、適切に管理・運用できているかがポイントです。私たちが実際にサイバー攻撃者が用いるリスクシナリオに基づき工場のネットワーク環境を評価した結果、外部から侵入される可能性のあるアタックサーフェス、内部への侵入拡大を許す恐れのある脆弱なネットワーク経路が実際に見つかり、最終的には機微な情報を外部に持ち出せる状態になっていたケースもありました。そのようなファクトを目の当たりにすれば、「これは危ない。全体を見直そう」となるのですが、実際には、そのきっかけを得られないまま、潜在リスクが見過ごされているケースが少なくないのです。PwCコンサルティングは、ファブレス・ファウンドリ・装置メーカー・部素材メーカーといったプレイヤー別に「どのような文脈で、何が狙われるのか」を類型化し、インサイト記事として発信しています。そうした“ファクトを見せる”ことが、トップマネジメントを動かす最初の一歩になります。
布目:
大手企業やティアワンサプライヤーならばある程度の対応力があると思われますが、中小企業や町工場まで含めた全体の底上げには何が必要でしょうか。
PwCコンサルティング合同会社 ディレクター 布目 亮
浜島氏:
SEMIが提供しているスコアリングサービスはその一助となるものですが、中小企業は「重要性は分かるが、そこまでの費用をかける余裕がない」、大手は「自社でやっているから」といった理由で二の足を踏まれることが多々あります。公的助成や税制面の支援がなければ、最初の一歩を踏み出しにくいのが現実です。
ただ、希望も見えています。レーティング結果を匿名で集約して分析すれば、業界に共通する脆弱性やリスクの全体像をあぶり出せます。サンプルが30社ほど集まれば、個社名を伏せて業界全体で共有できるはずです。
そもそも、半導体製造装置には30~40年の耐久性があり、古いPCが組み込まれたまま現役稼働しているケースが珍しくありません。私はかつて装置メーカーでサービスエンジニアを務めていましたが、当時立ち上げた装置が今もまだ稼働していて驚いたことがあります。そういう“レガシー環境”には、一定の共通リスクが必ず存在します。
上村:
まさにそこです。個社の課題はバラバラでも、匿名データの集約分析からは、「業界として優先的に対処すべきリスク」が見えてくる。すると、「目標の共有化」を待つまでもなく、対策の方向性は一致するはずです。他業界では最近になりISAC(情報共有分析センター)が新設されるなどして、サイバーセキュリティに関する情報の連携ニーズが高まっています。日本企業の特性を考えれば、このアプローチが起爆剤になる可能性はありそうです。
平原氏:
また、内閣官房のサイバー安全保障体制整備の一環で、「脅威ハンティング」の研修プログラムが計画されています。攻撃の痕跡を自社のログから能動的に発見しようとする取り組みです。半導体産業にも広げ得る試みではないかと、SEMI内で議論しています。
浜島氏:
半導体業界は国の基幹産業であり、政府の支援も受けながら大きな成長が期待されている業界です。攻撃者にとってこれほどの標的はない。だからこそ、官民が連携して業界全体の防御力を底上げする仕組みが不可欠なのです。
浜島氏:
SEMIではグローバルのポリシーサミットを年に2~3回開催しています。各国経済産業省の局長クラスが集まる150名規模の国際会議で、そこにサイバーセキュリティを新たなテーマとして加えました。具体政策の意思決定層が集まる場に、刺さる情報を届ける――この活動を今後はさらに強化していきます。
PwCコンサルティングにぜひ要望したいのは、各分野の産業を横断的に支援されてきた経験からの知見を、半導体産業界にインプットしてほしい、ということです。SEMIのメンバー企業は、技術開発で世界と競争してきた百戦錬磨の面々ですが、サイバー上の脅威にはまだ十分なアウェアネス(認識)がありません。啓発面でのお力添えを願います。
上村:
ぜひ貢献させてください。PwCコンサルティングは「半導体・セキュリティ」イニシアチブを立ち上げ、プレイヤー別の具体的な脅威情報や、半導体業界の企業が知っておくべき規制、セキュリティ対策などに関する情報を発信しています。「サイバー空間には危険が潜んでいる」と誰もが分かっています。しかし、「当社を実際に襲う攻撃とは何か」といった具体的な危険性の認識はまだ不足しています。その溝を埋める役割を果たさねばなりません。
布目:
SEMIが整えた土俵の上で、半導体企業の「標準化」や「トップマネジメント」の意識変革を支援していければ、サイバーセキュリティに関する各社の取り組み状況、サイバー攻撃動向やインシデントなどについての普段なかなか他社へ発信できない有用な情報を、積極的に共有する風土醸成にもつながるはずです。
浜島氏:
標準化やSMCCの活動を通じ、「やってよかった」という成功体験を得ることこそ、業界全体のセキュリティ意識を底上げする何よりの近道でしょう。
PwCコンサルティングは「半導体・セキュリティ」イニシアチブを通じ、多様な業種・業界で培ったセキュリティの知見と半導体業界の専門性を掛け合わせ、戦略策定からアセスメント、インシデント対応、グローバル規制対応まで、半導体産業に特化した包括的なセキュリティ支援を提供しています。サービスの全体像については、半導体・セキュリティのページをご覧ください。
本記事で取り上げたテーマに関連しては、特に以下の領域でクライアントを支援しています。
半導体サプライチェーンに関わる経営層・セキュリティ責任者の皆様からのご相談を承っています。詳細は「お問い合わせフォーム」からお寄せください。