- HOME
- 半導体工場にもセキュリティ対策は必要?サイバー攻撃から考えるこれからの対策
生産現場 計測・検査
半導体工場にもセキュリティ対策は必要?
サイバー攻撃から考えるこれからの対策
近年、サイバー攻撃が増加し、半導体業界においてもセキュリティ対策が急務となっています。本インタビューでは、半導体業界の工場におけるリスクを実際のサイバー攻撃の事例を交えながら紹介し、今後どのように対策を進めていけばよいのかについてお話しします。
東京エレクトロンデバイス
ECBU クラウドIoTカンパニー IIoTソリューション部
菅野 和弘
サイバー攻撃のリスクはレガシーOSに潜む!
――半導体製造装置メーカーや半導体製造工場におけるセキュリティ対策の課題を教えてください。
半導体製造装置メーカーの課題
半導体製造装置の中には、新しい製品であっても、レガシーOS(サポートが終了した古いバージョンのOS)を使っている装置が多く存在します。これは、過去の資産を活用しつつ段階的にアップグレードしていくという手法が一般的であり、その結果、古いOSを長期間使用し、必要に応じてカスタマイズを行っていくケースが多いのです。しかし、このように脆弱性の高いOSを継続して使用することは、セキュリティ上の課題を引き起こす可能性があります。
さらに、一度エンドユーザーに納入された装置は、工場が24時間365日稼働しているため、新しいセキュリティのパッチの適用が困難になり、その結果、サイバー攻撃を受けやすい環境になってしまうことにもつながります。
また、半導体製造装置の性能を重視しながら最先端の製品を作ることに焦点を当てているため、装置にセキュリティ対策を入れてしまうと性能が落ちてしまうということもあり、なかなか対応できないという課題もあります。
半導体製造工場の課題
先ほど述べたように、半導体の製造工場では、今でもレガシーOSの半導体製造装置を使用していることが大きな課題です。工場内には多くのロボットや重要な資産がありますが、実際にはお客様自身も全ての資産を把握していない場合があり、そこには脆弱性のリスクが存在する可能性があります。この状況では、未更新の古いシステムや装置が攻撃やデータ漏洩の標的になる危険性が高まります。
半導体製造装置メーカーも、半導体製造工場も、どちらも常に課題を抱えたまま、稼働している状況です。
――古いOSを使用していると、一般的なセキュリティ対策が難しくなるんですね。
はい、一般的なセキュリティソフトウェアはサポートされないことがあるため、セキュリティ対策を行うためには、他の方法を検討する必要があります。
【関連資料】
導入事例4選 OTを止めるな!
半導体業界に必須のサイバー攻撃対策
工場へのサイバー攻撃増加でセキュリティの重要性が高まった
――セキュリティの重要性が高まった背景を教えてください。
半導体製造工場に対するサイバー攻撃が増加したということが一番の大きな要因です。
特に2018年に某半導体工場の主力工場がランサムウェアの被害に遭い生産停止を余儀なくされ、影響額が最大190億円に及んだ被害は、大きな影響を及ぼしたと思います。一度ランサムウェアに感染してしまうと、データの中身が暗号化され、そのデータの暗号化を解くために身代金が要求されます。ウイルスを除去するのには3日程要しました。
コンピューターシステムに侵入してファイルやデータを暗号化し、その後被害者に復号化キーを提供する代わりに身代金を要求する悪意のあるソフトウェア
大きな原因は、実は社内の方が使用していたソフトウェアツールにウイルスが存在し、それを工場内のネットワークに接続したところ一気に広まり、残念ながら社内感染がきっかけとなりました。
半導体工場は一般的にクローズド環境であり、外部のネットワークに接続されないことが多いですが、このようにPCやUSBなどの端末が持ち込まれる機会があるため、そこからの感染が起こることが多いです。
一部の企業では、損害額を最小限に抑えるために身代金を支払うケースも見受けられます。工場の稼働停止による損害額を計算すると、身代金を支払う方が、コストが低くなる場合もありますが、最も重要なのは事前に対策をしておくということです。セキュリティ対策は初期投資が必要ですが、身代金や損害額と比べれば遥かに小さくなります。
その被害を受け、2023年には半導体装置のセキュリティ規格である「SEMI E187」が導入され、それに準拠する必要性が生じています。世界中のサイバー攻撃の被害を受けて、自ずとセキュリティの重要性が高まっています。
――規格というのは国が定めているのでしょうか。
「SEMI」という半導体産業に関連する企業や機関が加盟する国際的な業界団体が、半導体のセキュリティ規格である「SEMI E187」を策定しました。
SEMI E187は、半導体製造装置のサイバーセキュリティ仕様で、半導体製造装置に対するサイバー攻撃の急増を受け、2022年1月にリリースされました。半導体工場に製品やサービスを提供する製造装置メーカーやシステムインテグレーターを対象とし、OS、ネットワークセキュリティ、エンドポイント保護、セキュリティモニタリングの4分野にわたり、基本的なセキュリティ要件が定義されています。
また、同年2月には装置導入時やフィールドサービスの修理、パッチ適用、メンテナンスなどの継続的な活動を通じて、工場内へのマルウェア感染を予防することを目的としたSEMIスタンダード「E188」も発行され、この2つは相互補完的な関係にあります。
一般的なセキュリティ製品が使えない工場ではどうすれば・・?
―― 一般的な工場における、サイバー攻撃を防ぐ方法を教えてください。
サイバー攻撃を防ぐためには、製造装置の中にエンドポイントセキュリティのようなセキュリティ製品を組み込んで出荷するのが一般的です。
また、工場側ではファイアウォールと呼ばれるセキュリティシステムを工場の入り口に導入し、入り口でセキュリティを強化する方法が一般的です。しかし、半導体製造装置メーカーや半導体製造工場のような環境では、このような方法が実行できない場合があります。
ネットワークの末端に接続されているデスクトップ、ノートパソコン、携帯電話などのデバイスを保護するためのセキュリティ対策
―― 半導体の工場は、24時間365日で稼働し、かつ装置の性能を重要視している点が、一般的な工場とは異なるため、導入が難しいということですね。そのような現場ではどのようにセキュリティ対策を行えばよいのでしょうか。
一般的なセキュリティ対策では、半導体製造装置の性能が低下してしまう可能性があるため、それを防ぐために脆弱性攻撃や不正アクセスを未然に防ぐネットワークセキュリティを使用します。
TXOne社の「EdgeIPS製品」であれば、ネットワーク上に配置(透過的な導入)するだけで、セキュリティ保護対象装置に手を加えることなく、レガシーOSを搭載している場合や、スペックを重視している装置であっても対策が可能です。
産業制御システム向けネットワークセキュリティ「Edgeシリーズ」
また、専用USBを端末に挿すだけでウイルスを検知し、駆除してくれる製品は、実は国内で最も普及しているタイプです。非常にシンプルで、セキュリティに詳しくない工場現場の方でも簡単に操作できます。
TXOne社の「Portable Inspector」は、ウイルス感染時に駆除を行う際や、他にも持ち込み端末がクリーンな状態かどうか確認する際にも利用されます。さらには、装置の出荷前検査にも使用され、クリーンな状態であることを示すレポートをエビデンスとしてエンドユーザーに提供することも可能です。
本製品は、一本で複数の端末をチェックできるのが魅力かと思います。工場は広いため、メンテナンス担当者の数に応じて製品を複数購入して同時に使用される場合も多いですね。
持ち込み機器・デバイスへのセキュリティ対策 「Elementシリーズ」
――USBタイプの製品は、納品後のアップデートはどのようにされるのですか?
こちらの製品をご購入いただくと、管理ツールが付属しますので、そのソフトウェアをお客様のPCにダウンロードしていただきます。ダウンロードされたソフトウェアは、TXOneのクラウドにアクセスして最新のパターンを取得しますので、その後、PCにUSBを接続し、最新版にアップデートする手順になります。
――半導体製造装置メーカーや半導体製造工場のお客様は、両方セットで使用されていることが多いのでしょうか。
はい。どちらも併せて導入いただくことで工場全体のセキュリティ対策向上を実現されています。
――お客様の採用の決め手は何ですか?
EdgeIPSは、外付けでセキュリティ対応できるため、お客様の装置に何かダウンロードなどする必要がなく導入が容易な点と、既存のネットワークを変更することなく透過型で導入できる点が導入の決め手となっていると思います。ネットワーク構成を変更する必要がないため、お客様の初期導入コストを抑えられる点も導入を加速している要因かと思います。
――他のセキュリティ製品と比べて、特徴は何でしょうか。
工場向けセキュリティ対策に特化しているため、EdgeIPS自体が耐熱性に優れ、可用性を重視したハードウェアバイパス機能を有した機器になっております。IT向けセキュリティ製品と違い、工場向けに特化した脆弱性攻撃に対処する対策を提供しています。そのため、工場向けにはこちらの方がより適していると言えます。
工場におけるセキュリティ対策のこれから
――今後、半導体業界における工場のセキュリティ対策はどのように変化していくと考えられますか?
セキュリティ製品は、いわゆる保険に似ているところがあります。一目で費用対効果がわかりづらいということもあり、最初はそれにどれだけお金を支払う必要があるのかという疑問が生まれるかもしれません。
以前は、「ITシステム側は守っているから、工場側にはセキュリティ対策はいらない」と考えているお客様も多かったと思います。ただ最近お客様と話していると、直近工場のインシデントが増えてきている背景から、セキュリティに対する感度も上がってきていると感じます。また、ニュースでは病院の事故も多いので、病院からの問い合わせも増えていますね。
半導体製造環境において、以前は工場の運用が外部環境とは独立していたため、外部攻撃のリスクは考慮されていなかったかもしれません。しかし、半導体業界でもデジタルトランスフォーメーション(DX)の波が押し寄せ、外部ネットワークへの接続が必要不可欠になってきました。さらに、新型コロナウイルスの影響により、工場への立ち入りが制限されるなどして、メンテナンス作業員の方々も工場内に入れない状況が生じています。その結果、メンテナンスや保守作業において外部ネットワークとの接続が増える一方で、サイバー攻撃のリスクも著しく増加しています。
半導体業界においても工場のセキュリティ強化がますます重要になっていくと考えられます。工場セキュリティの増強が、業界全体の安全性と信頼性を高めるために必要な取り組みとなっていくと思います。
――時代の流れにより半導体業界もクローズド環境ではなくなっているのですね。
――製品を購入後、サポートはあるのでしょうか。
はい、製品導入時の工場への設置や設定など、提案から導入まで一貫して行えるのがTEDの強みです。代理店は現時点で国内に4社ありますが、それらを全てサポートできるのは当社のみとなりますので、安心してお任せいただければと思います。
