• Column
  • 実行性が問われる産業サイバーセキュリティ

東京エレクトロン、“準ライフライン”になった半導体業界のセキュリティ強化に向け自社と業界の活動を推進

「重要インフラ&産業サイバーセキュリティコンファレンス」より、東京エレクトロン 情報セキュリティ部 萩尾 英二 氏

阿部 欽一
2025年5月20日

サイバー攻撃の内容に合わせ3つのSIRTの役割と連携体制を決定

 リスクの分類を元に、OT(Operational Technology:制御・運用技術)セキュリティについては次の4レイヤーで対策を打っている。

レイヤー1=侵入防止 :次世代ファイアウォールへの置き換えや、アクセスコントロールの最適化
レイヤー2=資産管理 :資産棚卸しや、IPアドレスのスキャンなどにより未知のIPアドレスを見つけるEntity調査
レイヤー3=攻撃検知 :OT SOC(Security Operation Center)やSIRT(Security Incident Response Team)による検知
レイヤー4=被害最小化 :マイクロセグメンテーション

 これら以外にも、工場ではUSBメモリーを使って情報を受け渡すケースがある。その際に、「持ち込んだUSBメモリーがマルウェア感染していないかどうかを検査するほか、基本ソフトウェア(OS)の脆弱性対策など基本的なセキュリティ対策にも注力している」(萩尾氏)という。

 製品セキュリティの取り組みでは、生産技術から安全、環境までの全てを網羅する統一規格「SEMIスタンダード(Semiconductor Equipment and Materials International standards)」に準拠し、半導体業界の国際的な統一規格への対応を進めている。半導体製造装置のサイバーセキュリティ規格「E187」や工場内マルウェア感染防止に関する「E188」である。同社ではE187対応を2024年に完了しており「日本ではかなり早期の部類にあたる」(萩尾氏)とする。

 これらの実行においては、上述したように、OA環境を担うCSIRTと工場セキュリティを担うFSIRT、製品セキュリティを担うPSIRTが連携して活動している(図1)。例えば、製品にマルウェアが見つかった際は、「マルウェアの調査はCSIRTが担い、どこで発生したのかをFSIRTが調査する。そしてPSIRTが指揮命令系統を司る体制で対応を進める」(萩尾氏)

図1:東京エレクトロンにおける3つのSIRTの連携シナリオの例

 工場でマルウェアが発見された場合は指揮系統はFSIRTに移る。製品自体のチェック結果をPSIRTが提供し、CSIRTは「工場でなぜマルウェアが出てきたのか」の原因と経路の調査とともにマルウェアそのものも調査する。

 SIRTの連携のおいて大事な点を萩尾氏は「どういった時間軸で、どのようなフローで進めるか、プレイブックを作り規定するかだ」と説明する。「当社もアップデートの途上だが、それぞれの組織が有機的に連携できるよう、体制とフローを組み、実際のケースを想定した訓練とシミュレーションによって定着を図ることが大事だと考えている」(同)とする。

業界団体「SMCC」における標準化活動で主導的な立場を担う

 東京エレクトロンは半導体業界を対象にした標準化活動にも取り組んでいる。半導体業界では、サイバーセキュリティの強化を目的とする業界団体「SMCC(Semiconductor Manufacturing Cybersecurity Consortium)」が2023年12月に設立され、約60の企業・組織が参画している。2024年10月にはNIST(米国国立標準技術研究所)と連携し「NIST CSF(Cyber Security Framework)」に基づく半導体業界のプロファイル作成に着手した。

 SMCCにおいて東京エレクトロンは主導的な立場にある。全部で7つあるワーキンググループ(WG)の「全てに参加する数少ない会社の1社」(萩尾氏)で、特に主体的に関わっているのがWG3「Supply Chain Cybersecurity(サプライチェーン/取引先セキュリティ強化)」である(図2)。

図2:東京エレクトロンは、業界団体SMCCの7つあるワーキンググループ(WG)の全てに参加し、特にWG3のサプライチェーンの強化に取り組んでいる

 WG3は現在、業界標準となるチェックリスト(Question Bank)を作成している。自動車業界におけるセキュリティの評価・認証制度「TISAX(Trusted Information Security Assessment eXchange)を参照し、サプライヤーを重要度に応じてTier1からTier3までに分け、それぞれが満たさなければならない基準を定義する。

 萩尾氏は「このチェックリストを基に、サプライヤーをチェックする仕組みも作っている」と話す。半導体業界としては「将来的にはチェックリストの配布だけでなく、サプライヤーが監査に基づく認証を取得するところまで環境整備を進めたい」(同)考えだ。

 またWG7では東京エレクトロンはイベント企画を担当する。2024年7月に開かれた「SEMICON West 2024」では、萩尾氏がSMCC WG3とTELの代表として講演に立った。「日本はサイバーセキュリティが弱いといわれている。だが、日本の半導体業界のプレゼンス強化を一番の目的に、SMCCをリードする立場として講演に積極的に取り組んでいる」(同)とする。

 萩尾氏は「“準ライフライン”である半導体業界にとってセキュリティ対策で事業継続性を担保していくことが重要だ。半導体業界のセキュリティ強化と日本のプレゼンス強化に向けて今後も貢献していく」と力を込める。