欧州サイバーレジリエンス法(CRA)を筆頭に、製造業を取り巻くサイバーセキュリティー規格は年々多様化・複雑化している。その中で日本電子は、半導体製造装置業界に導入が進むSEMI E187で、日本国内初※となる適合証明書(VoC=Verification of Conformity)を取得。裏側で、TXOne Networks(以下、TXOne)の「Elementシリーズ」が重要な役割を果たした。CRAをはじめとする様々な規格への対応を検討する企業に大きな示唆を与えうる、日本電子の挑戦に迫った。
※出所:「ビューローベリタス、日本電子へ国内初SEMI E187適合証明書を発行」
https://www.bureauveritas.jp/electronics-wireless/newsroom/241219
半導体業界において製造装置のネットワーク化が進展する中、サプライチェーン全体を標的としたサイバー攻撃のリスクが増大している。現状を受け国際業界団体SEMIは2022年1月、装置出荷段階でのサイバーセキュリティー要件を定めたセキュリティー規格「SEMI E187」を発行した。
同規格の主な目的は、装置導入時のセキュリティー強化。マルウエアの侵入や拡散リスクを最小限に抑える。
「SEMIがE187を発行した当初は、対応が必要と想定していませんでした」。日本電子PL技術開発部部長の金田源太氏は振り返る。しかし2023年4月、主要顧客から「2025年1月以降、SEMI E187適合を装置の購入仕様とする」と通達があり、対応が急務となった。
日本電子
SE技術本部 PL技術開発部 部長 博士(工学)
金田 源太 氏
当時はまだSEMI E187対応の適合証明書発行サービスがなく、自力での取り組みを模索。規格書の読解からスタートした。「慣れない用語を調べながら読み進めましたが、そもそも規格適合の基準が全く分からず、暗中模索の状態でした」(金田氏)。
SEMI E187対応の要件を満たすツールとして
TXOne製品を選びました
わずか5カ月で、取得に成功
模索する中で、積極的に情報を収集したが、当時のSEMI E187関連の公開情報は大半がTXOneによるものだったという。「知見のなかった当社にとって、TXOneのセミナーには大変ありがたい情報がありました」(金田氏)。
自力に限界の見えた2024年2月、転機が訪れる。TXOneからSEMI E187適合証明の発行実績を持つ第三者認証機関の紹介を受けたのだ。6月には同機関による準拠支援キックオフ兼トレーニングを実施。要件や評価基準が明確になり、大きく前進した。適合必須期限の6カ月前のことだ。
適合には12項目にわたる技術要件を満たす必要がある。最初の対応案は、ほとんどの項目で修正の指摘を受けた。以後何度もレビューを重ねていく。中でも対応に苦慮したのが脆弱性スキャンの要件だった。設計部の小泉蒼一郎氏は当時の状況を語る。
日本電子
SE技術本部 設計部 設計検証グループ
小泉 蒼一郎 氏
「重大な脆弱性がないことを示したスキャンレポートが必要でしたが、全くイメージが持てませんでした。市販の脆弱性スキャン製品は、出荷前の装置内PCを対象にしたものではなく、OT環境には適用が難しい。頭を悩ませていました」
打開の糸口となったのは、TXOneのElementシリーズだった。出荷前装置に対し、検査ツールPortable Inspectorで行ったスキャン結果をもとに、管理コンソールElementOneから出力された脆弱性およびマルウエアの検査レポートが第三者認証機関に認められたのだ。この実績を受け、日本電子は同シリーズの正式採用を決定。「要件を満たす脆弱性情報の取得にあたり、他の選択肢はありませんでした」(小泉氏)。
柔軟性、導入の容易さが特長
未使用サービスの無効化や不要ポートの閉鎖、装置内通信におけるセキュリティー強化といった重要課題についても、社内の知見を総動員し、試行錯誤を重ねて粘り強く対応を進めた。そして2024年11月、第三者評価の開始からわずか5カ月後、かつ適合期限の1カ月前という厳しいスケジュールの中で、日本電子は国内初※、SEMI E187適合証明書の取得に成功。多くの壁を乗り越えた快挙だった。
日本電子はElementシリーズの本格運用を開始。出荷前検査プロセスに組み込んだ。導入の効果を小泉氏は語る。「マルウエア検査と脆弱性検査を一度に実施できる点は大変便利です。またPDFレポートの自動生成機能は効果が大きいと実感しています」。
Elementシリーズの特長は、OT環境に適合する柔軟性と、導入の容易さにある。「TXOneの製品群は、OTセキュリティー強化のうえで非常に有用。特にElementシリーズは、これまでOTセキュリティー対応が難しかった業界や分野でも、第一歩を踏み出すうえで有効なツールだと感じています」(小泉氏)。
マルウエア検査と脆弱性検査を一度にまとめて実施できる点が大変便利。
PDFレポートの自動生成機能も、効果が大きいと実感しています
次のステップは、CRA対応
金田氏は「製品の信頼性が一段と高まった」と手応えを語る。「SEMI E187に対してどの水準で対応すべきか明確になったことは大きな収穫でした。製品のセキュリティー強化と自信につながりました。またSEMI E187に準拠した製品を提供できることは、当社の技術力と姿勢を対外的に示すうえでも重要と考えています」。
小泉氏は、SEMI E187への対応を検討している企業に向けてメッセージを送る。「サイバーセキュリティーは短期的には利益に直結しにくい。社内理解や予算確保に悩む企業も多いと思います。当社も適合証明の取得は工数やコスト面で困難だと考えていましたが、将来を見据えた製品開発の一環として取り組むことを決断しました。SEMI E187の要件はサイバーセキュリティー規格としての基本を押さえた内容であり、今後より高度な要件に備えるうえでも、有効な第一歩と考えています」。
今回の知見をもとに、日本電子では次のステップとしてグローバルなセキュリティー要件への対応に着手する。欧州で正式採択されたCRAへの対応が全社横断で進行中だ。あわせてIEC 62443をはじめとする国際標準への対応・認証取得も視野に入れる。グローバル市場におけるセキュリティー競争力のさらなる強化を目指す。
「国内外で調達条件にセキュリティー要件を含める傾向が強まっています。日本には産業用装置や組み込み機器のメーカーが数多く存在し、OTセキュリティーの重要性は今後さらに高まるでしょう。そうした中、OT領域に特化したTXOneの製品群は非常に重要。世界全体のサイバーインシデントが一つでも少なくなるよう、TXOneには大変期待しています」(金田氏)
関連リンク
お問い合わせ
