東京エレクトロン、“準ライフライン”になった半導体業界のセキュリティ強化に向け自社と業界の活動を推進

　「半導体業界におけるセキュリティ対策は、私たちの日常生活を守ることに直結する問題だ」−−。東京エレクトロン（TEL） 情報セキュリティ部 部長の萩尾 英二 氏は、こう指摘する（写真1）。

写真1：東京エレクトロン 情報セキュリティ部 部長の萩尾 英二 氏

　デジタル化の進展やAI（人工知能）技術などの活用に伴い、半導体の重要性は高まる一方だ。その市場規模は「2024年実績が5268億ドル（約79兆円、1ドル150円換算。以下同）で、2030年は1兆ドル（約150兆円）に達すると予想されている」（萩尾氏）

　2020年秋頃には世界的な半導体不足が発生した。新型コロナウィルス感染症（COVID-19）のパンデミックにより生活様式が変わり需要が拡大した一方で、工場閉鎖や輸送コストの高騰に伴う供給不足が生じたためである。結果、自動車やエアコンが作れないなど日常生活に多大なる影響が及んだ。

　2023年にはランサムウェア感染に伴う生産停止などのリスクが顕在した。萩尾氏は「半導体は電気やガス、水道に次ぐ“準ライフライン”とも呼べる存在だと言える。その半導体業界のセキュリティ対策は、企業活動のみならず日常生活の防御に直結する」と、その重要性を語る。

社内の共通認識のためにリスクカテゴリーを独自に17に分類

　半導体業界のサプライチェーンは、部素材メーカー、製造装置メーカー、半導体チップを製造するデバイスメーカーにより構成されている。その中で東京エレクトロンは、1963年設立の製造装置メーカーである。同社のセキュリティ体制は、「情報セキュリティと製品セキュリティの別に組織を置き、双方が連携しながらセキュリティガバナンスを担っている」（萩尾氏）

　具体的には、情報セキュリティとしては会社全体のセキュリティをCSIRT（Computer Security Incident Response Team）が、工場のセキュリティをFSIRT（Factory Security Incident Response Team）が担っている。製品セキュリティはPSIRT（Product Security Incident Response Team）が担う。この体制について萩尾氏は「適材適所で人材を登用できる長所がある反面、人材不足になりやすい懸念点もある」とする。

　その中で萩尾氏は「長年の経験の中でセキュリティに携わる担当者と経営層の“ギャップ”を感じていた」と明かす。セキュリティ施策について経営層から「どの程度、事業リスクが減ったのか？」「費用対効果を示してほしい」などと指摘された経験を引き合いに「セキュリティの取り組みを経営の言葉に置き換える工夫の必要性を痛感している」と話す。

　それだけに「経営と現場の“目線合わせ”を重要視している」（萩尾氏）という。「一般的には対策ベースでセキュリティの成熟度や施策を語りがちだが、当社ではリスクベースで『経営を脅かすリスクにはどういうものがあり、それがどんな状況を招くのか』を説明している」（同）

　そこで問題になるのが「共通理解のためのフレームワークがない」（萩尾氏）という点だ。この問題を解消するために東京エレクトロンはスキームを自作した。情報セキュリティのリスクマネジメントに関する国際規格「ISO/IEC 27005」を参照しながら、リスクシナリオを17のリスクに分類。それへのリスク対策をSDGs（Sustainable Development Goals：持続可能な開発目標）のフレームワークアプローチを参考に「Security Development Goals」と名付け推進した。

　整理の過程では、100近いリスクを列挙した。ただ「リスクは業界ごとに異なるため『MECE（ミーシー：抜け漏れをなくすこと）』にあまりこだわりすぎないことをポイントに作業を進めた」と萩尾氏は説明する。

　リスクごとに縦軸を「影響度」、横軸を「対策度」としてカルテを作成する「リスクマッピング」も効果的だという。「影響度が高く、対策度合いの低いリスクを優先的に、しっかりと対策を進めていこうという共通認識を経営層との間に形成できた」と萩尾氏は評価する。