2022年1月、SEMIはSEMI E187 - Specification for Cybersecurity of Fab Equipmentを出版しました。この仕様は、SEMIスタンダード 台湾地区Information & Control 技術委員会、Fab & Equipment Information Security TFにて3年にわたって開発され、 3回の電子投票を経て出版されたものです。さて、SEMI E187は最終的にどのようなサイバーセキュリティに関連する企業や顧客が直面している問題や課題に対応するのでしょうか。
レガシーソフトウェアは、世界の半導体業界全体においてセキュリティ上の脆弱性となっています。ハードウェアに問題がなくても、ソフトウェアが最新パッチのサポートを受けないまま製品ライフサイクルの終了を迎え、ソフトウェア業界でよく見られるEoL(End of Life)やEoS(End of Service)と呼ばれる状態に陥ります。しかし、一度だけ購入する旧来のソフトウェア販売モデルでは、EoLの時点でもファブ装置のソフトウェアは機能的に動作しており、トップマネジメントは「装置に問題はない、したがってアップグレードやリプレースの必要はない」と考えがちです。
半導体装置のライフサイクルは最長で40年に及ぶ
半導体装置のライフサイクルは最大40年に達するため、サイバーセキュリティの減価償却問題は軽視できません。通常、半導体工場には少なくとも20のバージョンのOSがインストールされており、平均して毎年1つか2つのOSがEoLの問題に直面することになります。例えば、2001年に発売されたWindows XPは、2014年にパッチアップデートを終了しましたが、新しい半導体装置には、このオペレーティングシステム(OS)がインストールされ続けています。他のOSはさらにライフサイクルが短く、平均して4~6年でパッチ更新サービスが終了しています。このように、半導体装置は、ハードウェアの減価償却が進んでいない段階で、OSの減価償却というサイバーセキュリティの問題にかなり早くから直面していることが多いです。
このような装置のサイバーセキュリティ問題は、一企業だけでは解決できず、OSプロバイダだけでなく、半導体装置のサプライチェーンにあるアプリケーションプロバイダーも巻き込んで、部門間や企業全体で取り組むことが必要です。SEMI E187は、エンドポイント保護、OS、ネットワークセキュリティ、セキュリティ記録と監視をカバーしており、これらは半導体装置システムおよびアプリケーションにおいて長年見過ごされてきたサイバーセキュリティの問題です。SEMI E187は、装置プロバイダが新しい製造装置の研究開発中にセキュリティーバイデザイン(Security by Design)を取り入れることを可能にする方法として、製造装置調達のサイバーセキュリティの要件を定義することにより、新しい装置のサイバーセキュリティを強化することを支援します。
また、ライフサイクル内のファブ装置にあるレガシーソフトウェアはどうでしょうか。このようなサイバーセキュリティ保護が不十分な装置に対しては、特定の装置を許可リスト(allow list)化して別の装置と接続することが解決策となる場合があります。簡単に言えば、許可リストとは、ある装置が事前に承認されたネットワークにのみ接続できるパスを発行するようなもので、ハッカーがネットワークにアクセスすることをより困難にします。しかし、許可リストに登録された装置を別の装置にインストールすると、ソフトウェアのアップデートによって設定がデフォルトに戻され、装置の設定が消去されてしまうことがあります。ファイアウォールを導入している場合は、ファイアウォールホワイトリストを設定することで、装置へのアクセスを制御することができます。SEMI E187に準拠した新しい装置が徐々に稼働し、ライフサイクルが終了したファイアウォールは徐々に置き換えることが可能です。
SEMIジャパンでは、2022年6月8日に本テーマのウェビナーを実施し、およそ400名の方にご聴講いただきました。詳細概要は上の画像をクリックしてください。
SEMI E187の普及は、調達部門だけの責任ではありません。SEMI E187を導入しようとする企業は、装置管理、IT、サイバーセキュリティ、調達、生産ラインのエンジニアなど、さまざまな部門の意見や懸念を考慮する必要があります。
装置管理者は、装置のサイバーセキュリティは自分の役割や重要業績評価指標(KPI)の一部ではないと考えていることが多く、ITやサイバーセキュリティを担当する作業者も、ファブ装置のサイバーセキュリティが自分の責任だとは考えていません。一方、調達担当者は、IT部門やサイバーセキュリティ部門に装置のサイバーセキュリティ仕様書を提出するよう求めています。このため、装置やサプライチェーンのサイバーセキュリティの問題に関するサイバーセキュリティ全体の監視と緩和の状況にギャップが生じ、社内に責任者不在の状況を簡単に作ることになります。したがって、装置のサイバーセキュリティ調達の観点から、SEMI E187は装置のサプライチェーン全体におけるグローバルなサイバーセキュリティ・コンプライアンスの基盤を確立します。
導入時に装置がウイルスに感染していないことを証明することが、最初のステップです。一部のプロバイダは、当初からSEMI Taiwanサイバーセキュリティ委員会との議論に加わっています。業界主導の議論は、コラボレーションと実行可能なソリューションを確保するための鍵です。意見を収集し、委員会の会議に参加することで、プロバイダが最前線で問題を理解し、解決に貢献することを目指します。
2018年以降、装置メーカーの顧客は、新しい装置を納入する際に、ウイルスフリーの証明書を提供することを求めるようになってきています。装置がウイルスフリーであることを証明するためにSEMI E187を用いて簡素化することは、装置プロバイダとその顧客が前進するための最初の一歩を踏み出すのに役立つと思われます。
注:この記事の中国語版は、2022年2月にBloomberg Businessweekに掲載されたものです。上記の見解はMing-Chang (Bright) Wu氏個人のものであり、必ずしも雇用主の見解を反映するものではありません。
参考文献
Wu, M.C., Legacy Systems Pose Broad Security Risk for Chipmakers, EE Times (2022). https://www.eetimes.com/legacy-systems-pose-broad-security-risk-for-chipmakers/
Wu, M.C., Key Implementation Challenges on International Cybersecurity Standards and their Supportive Management Resources, ISSA Journal.(November 2021). https://www.issa.org/
Wu, M.C., “Emerging Standard Helps Address Cybersecurity,” Standards Watch (March 2021), SEMI, www.semi.org/en/standards-watch-2021March/tw-cybersecurity.
著者について
Ming-Chang (Bright) Wuは、SEMI Taiwanのサイバーセキュリティ委員会の創設メンバーであり、2018年からSEMI187の開発を行うタスクフォースに参加しています。台湾コーポレートガバナンス協会の講演者でもあります。また、彼のレジリエンスな本は、台湾の国家公務員院によって推薦された2020年の「今月の本」に選ばれました。
現在、SEMI E187、NIST CSF、ISA/IEC 62443の台湾でのローカライズを支援しています。Bright WuのLinkedInはこちら。
本件に関する日本国内でのお問合せ
SEMIジャパン スタンダード&EHS部
中島敬吾(jstandards@semi.org)
初出:2022年月6月、Standards Watch, Volume 17, Issue 2
※本稿は、Standards Watchに掲載されました記事を日本語訳したものです。
元の記事 https://www.semi.org/en/blogs/semi-news/legacy-software-is-not-an-it-issue-but-an-issue-of-cybersecurity-depreciation