半導体デバイス工場向け「OTセキュリティガイドライン」Ver1.0が公表 Purdue×CPSFで体系化し、NIST CSF2.0と整合

セキュリティニュース

投稿日時: 更新日時:

半導体デバイス工場向け「OTセキュリティガイドライン」Ver1.0が公表 Purdue×CPSFで体系化し、NIST CSF2.0と整合

産業サイバーセキュリティ研究会のワーキンググループ1(実効性強化・国際連携)半導体産業サブWGは、半導体デバイス工場のための「OTセキュリティガイドライン」Ver1.0を2025年10月24日に公表しました。ガイドラインは、半導体製造の現場で求められる実装寄りの対策を体系的に整理し、現場での使いやすさを重視して構成されています。

公表の背景と狙い

本ガイドラインは、国内半導体産業における統一的な工場セキュリティの枠組みが不足している現状を踏まえ、国際規格(SEMI E187/E188、NIST CSF2.0)との整合を図りつつ、国内の実情に即した指針を提示することを目的としています。半導体デバイス工場はプロセスオートメーション型の特徴を持ち、規模が大きく汎用OSを用いる装置が多いことから、専用の指針策定が喫緊の課題と位置づけられました。

守るべき対象としては、NIST CSF2.0の半導体製造プロファイルに基づき、「生産目標の維持(供給責任)」「機密情報の保護」「半導体品質の維持」を中心に据えています。供給責任や品質確保に直結する観点を優先し、経済安全保障にも資する内容となっています。

参照アーキテクチャ:Purdueモデル×CPSF

ガイドラインの中核は、半導体デバイス工場の参照アーキテクチャです。産業制御向けのPurdueモデルを工場に適用し、IT領域(L4–5)、OT領域(L0–3)、IT/OT DMZ(L3.5)に分割。領域間をファイアウォールで分離し、通信制御や不正アクセス防止を明確化します。

さらに、CPSF(三層構造と6つの構成要素:ソシキ、ヒト、システム、プロシージャ、モノ、データ)を適用し、半導体工場の特徴やリスクを多面的に整理できるようにしています。これにより、Purdueの階層とCPSFの要素を対応付け、対策設計の視点を網羅します。

対策フレームワークとのひも付け

第3章では、参照アーキテクチャを使って想定インシデントとリスク源(脅威・脆弱性・脆弱性ID)を洗い出し、CPSFおよびNIST CSF2.0の対策項目、SEMI E187の該当箇所にマッピングします。これにより、各社は自社工場の特徴に合わせて、リスクと対策を国際整合的に整理できます。

現場で使える「具体的対策例」

第4章は実装のための具体策が中心で、次の観点を詳細に解説します。

  • 装置ツールの資産管理と脆弱性評価(棚卸・構成管理、重要度付け、脆弱性把握と優先度決定)

  • 被害極小化と早期復旧を見据えた追加防御(セグメンテーション等の多層防御)

  • 運用(監視・対応・復旧・改善):FSIRTを核にした運用体制

  • 物理アクセスの制限(入室・持込み・接続):ファブエリアの実務ルール
    いずれも章立てと手順が示され、現場での適用を想定した実務的な内容となっています。

活用方法

ガイドラインは、リスク評価から対策設計・実装までのプロセスを通して参照できるよう設計されています。CPSFやNIST CSF2.0などリスクベースの枠組みを活用し、自社のアーキテクチャ整理とリスク分析、対策選定に段階的に適用することを想定しています。

出典

半導体デバイス工場におけるOTセキュリティガイドラインの日本語版・英語版を策定しました