{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
半導体・セキュリティ
半導体関連企業を取り巻くリスク環境
急速に高まるリスク
半導体産業は、設計・製造・装置・素材といった各領域に分業化されており、数百社から数千社が関与する巨大なサプライチェーンによって成り立っています。水平分業の進展により取引企業数は飛躍的に増加し、その供給ネットワークは世界規模で細分化・多層化が進んでいます。背景には、需要変化、技術革新や地政学リスク、さらにはESGやサステナビリティへの対応など、さまざまな要因があります。
リスクの観点では、半導体産業は企業同士が密接に連携し、一社で発生したリスクやトラブルがサプライチェーン全体に波及しやすい産業と言えます。また、昨今では、地政学リスクの増大により、特定地域への依存や国際関係の変化が、部素材や製造装置の供給制約、事業継続リスクとして顕在化する可能性が高まっています。サイバー攻撃の対象としての注目度も上昇しており、知的財産の窃取や工場停止を狙った攻撃がサプライチェーン全体に影響を及ぼすリスクが増しています。
半導体自体の重要性が高まるなか、こうした複雑でリスクが高い状況は今後もより深刻化することが想定されます。単独の企業だけで、このような状況に十分に対処することは困難です。
政府・国際機関の取り組みと企業の実態
「産業の血液」に例えられるほど重要な半導体。サイバー脅威やリスクの急速な高まりを受けて、各国政府や国際機関は半導体産業の防衛に向けた対応を加速させています。
- 国際的には、SEMI規格(E187/E188)やNISTサイバーセキュリティフレームワーク(CSF)2.0の半導体向けプロファイルなど、産業特化型の標準化が進展
- 国内においては、経済産業省が工場運営や供給網の強靭化に関するガイドラインを整備しており、政策的支援とルール形成が加速
政府や国際機関、そして取引先企業からの高度なセキュリティ要求に対して、デバイスメーカー・半導体装置メーカー・部素材メーカーはそれぞれの責任と役割におけるセキュリティ管理とサイバーセキュリティ対策を高度化する必要に迫られています(図表1)。
図表1 半導体産業の各プレイヤーの責任と役割・活動
|
デバイスメーカー |
半導体製造装置メーカー (前工程、後工程、マスク/ウェーハ製造など) |
部素材メーカー (半導体材料、部品・コンポーネントなど) |
責任 |
回路設計データやプロセス条件などの重要な知的財産を、グローバルに分散した設計・製造体制全体で一貫して保護し、内外の攻撃による改ざんや不正流出を防止するためのセキュリティ統制を構築・運用 |
製造装置および制御ソフトウェアの設計・提供・更新・保守の全過程において、装置停止や動作異常、設計データの改ざん等のリスクを低減するため、セキュアな設計と安全な運用・保守を実現 |
配合レシピや製造条件などの技術情報・知的財産を厳格に管理し、その機密性および完全性を確保するとともに、安定供給を継続するためのレジリエンスを確保 |
役割・活動 |
全社の OA環境、製造環境およびサプライチェーン全体を対象に、法規制、業界標準や最新脅威を踏まえたセキュリティ目標を定義し、その達成状況を継続的に管理、改善するとともに、取引先に対するセキュリティ要求を明確化し、強化を主導することで事業継続性を確保 |
OA環境、製造環境、製品やサプライチェーンを横断してセキュリティを管理し、デバイスメーカーの要求や規制動向に適合した対策を製品ライフサイクル全体に組み込むとともに、事業部門主導の対応を含めたセキュリティ管理を統合的に運用 |
OA環境および製造環境を対象に、半導体業界に求められる水準のセキュリティ管理を実施し、部素材の製品特性やサプライチェーンにおける役割を踏まえ、知的財産の保護、供給影響の最小化、関連規制への適合を目的としたセキュリティ対策を講じ、継続的なリスク管理を行う |
高度なセキュリティ管理体制と実現アプローチ
成熟度に応じた段階的アプローチ
PwCコンサルティングは、半導体産業を構成するさまざまな企業に対して、IT環境やOT環境のセキュリティ、IoTセキュリティ、セキュリティ関連規制の対応など、豊富な支援実績を有しています。PwCグローバルネットワークのナレッジを活用することで、セキュリティ態勢のクイックな立ち上げと、自社固有のリスクに最適化した強固なセキュリティ管理態勢への進化を支援します。支援にあたっては、各社のセキュリティ対策の成熟度に合わせた段階的なアプローチで課題解決をサポートします(図表2)
図表2 セキュリティ対策の成熟度に応じた支援
セキュリティ対策の初期段階にある企業 |
一定の成熟度にある企業 |
|
|
提供サービス
セキュリティガバナンス構築
- セキュリティガバナンス
- IT/OT/製品セキュリティの相互連携
- セキュリティ統制組織体制
- セキュリティマネジメントサイクル
- リスクシナリオの特定
- SOCおよび各種SIRT(CSIRT、ICS-SIRT、PSIRT)
規程体系整備
- ガバナンス設計に基づく関連規程群の体系化
- セキュリティポリシー/スタンダード/プロシージャの策定
法規制対応
- 国内外の関連法規制の調査および準拠対応
- 業界ガイドライン対応(SEMI 187/188、NIST関連文書など)
脅威インテリジェンス
- 国家支援型/ランサム系アクター分析
- プレイヤー別脅威整理(デバイス/装置/素材)
- 想定攻撃シナリオ作成
内部不正対策
- 内部不正シナリオ整理
- 権限管理/職掌分離設計
- ログ監視、振る舞い検知
サプライヤーセキュリティ管理体制構築
- 重要取引先の識別
- 契約時~取引終了までのセキュリティ管理ライフサイクル
- サプライヤーのセキュリティアセスメント
資産・脆弱性管理
- IT/OT資産の把握と可視化
- 構成および依存関係の把握
- 脆弱性管理プロセス(例外管理含む)
- 脆弱性管理ツール導入
セキュリティアーキテクチャの最適化
- IT/OTネットワークの分離およびセグメンテーション設計
- リモート保守、外部接続、USB利用等の安全設計
- クラウドEDA/研究環境のセキュリティ設計
- ゼロトラスト/段階的導入設計
データ保護
- 機密データ分類/保護方針策定
- データレジデンシー対応
セキュアSDLC構築
- Secure by Design方針策定
- セキュアコーディング設計
サイバーBCP
- セキュリティインシデント影響分析
- 生産停止シナリオ特定
- 復旧計画・訓練設計
- 既存BCP統合・包括化
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
