はじめに

こんにちは、グローバル戦略部の韓欣一です。

近年、半導体業界におけるセキュリティの重要性が高まっています。特に、半導体サプライチェーンで重要な役割を担う日本の半導体装置メーカーにとって、国際的な競争優位性を保つためのサイバーセキュリティ対策は必要不可欠なものとなっています。
私は2025年2月に、日本と同じく半導体サプライチェーンの中核を担い、且つ、サイバーセキュリティの取り組みで先行する台湾を訪れ、半導体セキュリティ規格「SEMI E187(※)」のAuditor Course（監査役用のトレーニングプログラム)を受講した後に、実際にSEMI E187のVoC（Verification of Conformity：適合性検査）を受けた偉勝乾燥工業を訪問しました。
本ブログでは私が台湾で得た知見をもとに、日本の半導体装置メーカーの皆様が知っておくべきセキュリティ対策について、最新の国際動向を踏まえて解説します。

（※）SEMI E187：Specification for Cybersecurity of Fab Equipment（ファブ装置のサイバーセキュリティ仕様）とはSEMI（国際半導体製造装置材料協会）が2022年に発行した、半導体製造装置等の設計・運用・保守における基本的なセキュリティ要件を包括的に定義したサイバーセキュリティ規格です。対象設備としては、半導体製造装置、AHMS（自動搬送システム）、Windows／Linux OSがインストールされたコンピューティングシステムが挙げられています。「OS」、「ネットワークセキュリティ」、「エンドポイント保護」、「セキュリティモニタリング」の4つの分野における12項目の要件を満たすことが求められています。対象者としては、半導体製造工場に装置やサービスを提供する装置サプライヤー、SIer（システムインテグレータ）などが想定されています。

SEMI E187 トレーニングプログラムで学んだこと

SEMI E187のトレーニングプログラムを受講するため、台湾工業技術研究院（略称: ITRI）を訪れました。ITRIはSEMI E187の作成を主導し、そのVoC評価を行うラボラトリを備えています。トレーニング講師は、ITRI情報通信研究ラボラトリでTechnical Directorを務めるAres Cho氏、ITRI量測技術発展センターでSenior Engineerを務めるBenson Chou氏、Lan Stanley氏の3名でした。Auditor courseのトレーニングでは、SEMI E187に記載されている4分野12要件について解説が行われました。

（左前）Ares Cho氏, ITRI情報通信研究ラボラトリ
（左奥）Benson Chou氏, ITRI量測技術発展センター
（右奥）Lan Stanley氏, ITRI量測技術発展センター
（右前）韓欣一, GMOサイバーセキュリティbyイエラエ株式会社

SEMI E187 4分野12要件の概要

SEMI E187は以下の4つの分野と12の要件で構成されています。概要を以下に示します。
※下記は掲載日時点の情報です。要件等が更新されている可能性があるため、最新の情報はSEMIのページをご確認ください。

特に印象的だったのは、ITRIがVoCを発行する際に、「Auditor（監査人）が対象企業の製品（半導体装置）に対して、実際にどのような文書証跡の確認や技術的な評価を行い、合否判定するのか」というポイントでした。
ここでは、トレーニングで学んだ、実際の監査人が確認する項目やVoCに記載される内容に関して、いくつかの要件をピックアップして解説します。

[RQ-1]搭載OSのサポート

RQ-1は、「半導体装置メーカーは、OSがサポートされていない機器を出荷してはならない」という要求事項です。Auditorによる評価の際には、機器内のコンソールを開き、OSのタイプ（Windows / Linux / その他）及びバージョンを特定し、OSのサポート期間が評価日時点から３か月以上であるか否かを確認します。例えば、Windowsであれば、設定＞バージョン情報＞Windowsの仕様のページに記載されているバージョン（ここでは“24H2”）を確認し、Microsoft社のホームページから“24H2”のサポート期限を確認します。ここではサポート終了日は2027年10月12日となっているため、サポート期間が3か月以上であることが分かります。

Windowsのバージョンが“24H2”であることを確認します。

MicrosoftページからOSバージョンを検索し、 “24H2”のサポート期限が2027年10月12日であることを確認します。

Linuxやその他OSについても同様にサポート期限を確認し、３か月以上のサポートが残っていれば、本要件はクリアとなります。
しかし、トレーニングの中で、2024年より検討が開始されているSEMI E187 Ver.2の状況について伺ったところ、本要件（RQ-1）で要求されるサポート期限が「3か月以上」から「12か月以上」に変更される可能性が高く、実際の評価の際に、サポート期限が12か月未満である場合は、可能な限り早く12か月以上に更新することを推奨しているようです。日本の半導体装置メーカーにおいても、今の段階から機器内のOSサポート期間が12か月以上となるように確認するプロセスの整備をしておくと良いでしょう。

[RQ-2]OSへのパッチ適用

RQ-2は、「最新のセキュリティパッチを適用するプロセスが存在し、パッチの適用に際して下記の4点を評価せよ」という要求事項です。

1. ソフトウェアの互換性
2. ソフトウェアの依存関係
3. パフォーマンスへの影響
4. パッチ適用による副作用

実際に機器内に最新のセキュリティパッチが適用されているかを確認し、パッチを適用するにあたり、上記1～4が適切に評価されているかを、技術文書（OSの提供者または装置メーカーが作成したもの）を確認して評価します。SEMI E187では、1～4の評価プロセスの確認対象は、必ずしも最新パッチである必要はないと読み取れますが、多くの場合、監査人は最新パッチを確認します。

[RQ-5, RQ-6]脆弱性スキャン、マルウェアスキャン

RQ-5は、「脆弱性スキャンを行い、識別された脆弱性に適切に対応せよ」という要求事項です。RQ-6は、「マルウェアスキャンを行い、識別された問題に適切に対応せよ」という要求事項であり、RQ-5と似たような要件であるため、まとめて説明します。
評価では、監査人の目の前で脆弱性スキャンをし、結果を提示する必要があります。使用したスキャンツール名、バージョン、スキャン対象範囲、設定条件、スキャンした日時が記録されます。スキャンツールの指定はありませんが、自前のツールや無名のツールだと、スキャン精度に疑問を持たれてしまう可能性があるため、商用のメジャーなものを使うことが推奨されます。

※脆弱性スキャンツール
https://www.gartner.com/reviews/market/vulnerability-assessment

※マルウェアスキャンツール
https://www.gartner.com/reviews/market/endpoint-protection-platforms

当然ながら、監査人の目の前でスキャンした結果、問題点があると本項目は不合格となりますので、評価を受ける前に事前にスキャンを行い、問題点を修正しておく必要があります。スキャンに時間がかかりすぎる場合は、監査人と事前に相談の上、評価当日のスキャンに関しては対象や設定条件の変更が認められます。

[RQ-7]アンチマルウェア保護

RQ-7は、「機器内にアンチマルウェア対策を導入し、適切にマルウェアを検知できることを確認せよ」という要求事項です。アンチマルウェア対策ソフトに指定はないですが、脆弱性/マルウェアスキャンツールと同様に、商用のメジャーなものを使用することが推奨されます。
※アンチマルウェア対策ソフトの例
https://www.av-test.org/en/antivirus/home-windows/

監査人は、要件後半の“適切にマルウェアを検知できる”ことを確認するために、怪しいファイルをダウンロード/設置/実行し、マルウェア対策ソフトがイベントの記録もしくはブロックするかどうかを試行します。個人的に、これを聞いたときは「出荷・納品前の製品にそこまでするのか、、、」と疑問に思いました。これを行使の方々に質問したところ、予想通り、半導体装置の納品前にこのような疑似サイバー攻撃を試行すること自体を嫌う、もしくは禁止している発注/調達側の企業が多いようでした。怪しいファイルを製品内に置きたくない、という場合は、無条件に本要件が不合格となるわけではなく、合理的な理由が説明できれば問題ないとのことでした。

その他の要求事項

今回ピックアップし、解説した要件は以上となりますが、お問い合わせを多くいただいた際にはその他の項目についても追記したいと思います。

Auditor Course受講完了

トレーニング終了後には、Auditor Course完了証明書をいただきました。

偉勝乾燥工業が認証取得に踏み切った理由

偉勝乾燥工業は、台湾新北市に工場を構える半導体ウェハー用乾燥機器を製造する半導体装置メーカーです(※)。偉勝乾燥工業は2024年に半導体業界で初めてSEMI E187の認証を取得しました。
※偉勝乾燥工業HP 　https://www.wei-sun-oven.com/

偉勝乾燥工業が取得したSEMI E187に関する適合性認証(VoC)

半導体業界内でサイバーセキュリティに関しては早期に取り組みを進めていた同社ですが、認証取得の決定打となった理由は、主要取引先からの調達要件でSEMI E187への適合を求められたからでした。
台湾には台湾積体電路製造（TSMC）、聯発科技（MediaTek）、聯華電子公司（UMC）等の世界に名だたる半導体企業が多くあり、サプライチェーンの上位に位置する彼らが調達要件としてSEMI E187を採用し始めたのです。本ブログ執筆時点では、TSMCのような大企業がSEMI E187の取得を要求しているのは台湾国内の半導体関連企業のみですが、今後日本を含む世界中のサプライヤーに対して、SEMI E187の認証を要求する可能性は高いと言えます。
工場見学では、社長室長のEric Wang氏、IT部部長のJack Liu氏から、実際に認証を取得した装置（半導体用乾燥機器）がどのようなセキュリティ対策を行っているのか、認証取得の際にどのような項目が検査対象となったかを説明いただいた。

ITRI情報通信研究ラボラトリのディレクターとしてSEMIの認証プログラム作成に携わったAres氏は「半導体産業においてもセキュリティ対策の重要性が認識され始めている。日本の半導体装置メーカーは、認証取得が調達要件となる近い将来に備えて、世界の半導体製造サプライチェーンにおいて競合優位性を保てるように、SEMI E187の要件を参考にセキュリティ対策を進めておくのが良い」と警鐘を鳴らします。

さいごに

本ブログでは、半導体セキュリティ規格「SEMI E187」に焦点を当て、トレーニングプログラムおよび現地企業訪問で得られた台湾における半導体産業のサイバーセキュリティの取り組みについて解説しました。台湾と同じく、日本も半導体サプライチェーンの中核を占める企業が多く、サイバーセキュリティ水準を向上させるために台湾の取り組みが参考になると感じました。本ブログを読んでいただいた半導体業界の皆様が、サイバーセキュリティに関して考えるきっかけとなれば幸いです。
弊社では、半導体セキュリティ規格「SEMI E187」の取得に特化した支援サービスを行っております。お気軽にお問合せください。

「SEMI E187」認証取得・準拠支援サービス: https://gmo-cybersecurity.com/news/20250305/