経済産業省 「半導体デバイス工場におけるOTセキュリティガイドライン(案)」(2025.06.27)
こんにちは、丸山満彦です。
経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン(案)」の日本語版・英語版を公表し、意見募集をしていますね...
これは、経済産業省の産業サイバーセキュリティ研究会 ワーキンググループ1 半導体産業サブワーキンググループで検討されていたものですね...
日本語版110ページ...PDFではなく、HTMLで公開してもよいかもですね...
ちなみに、NISTが、2025.06.30にCSWP 46 半導体サプライチェーンにおける共謀脅威の分析を公表していますね...
適用範囲や問題意識の違いなども参考になるかもですね...
● 経済産業省
・2025.06.27 「半導体デバイス工場におけるOTセキュリティガイドライン(案)」の日本語版・英語版を取りまとめました
概要...
本ガイドライン(案)は、主として半導体デバイスメーカーの製造部門(実務者レベル)向けに、「生産目標の維持」、「機密情報の保護」、「半導体品質の維持」を守るべき対象として、最も高度な攻撃者(国家の支援を受けたAPTグループ等)を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針を示すものです。当該セキュリティ対策指針は、上述したE187/E188やNIST CSF 2.0などの各種セキュリティ規格と整合しています。
本ガイドライン(案)は、工場のセキュリティ対策を進めるための一般的なプロセスにおいて、リスクベースのサイバーセキュリティフレームワーク(サイバー空間とフィジカル空間を統合的に保護するための基本原則と具体的な指針を定めた「サイバー・フィジカル・セキュリティ対策フレームワーク」(CPSF)及びNIST CSF2.0)を活用したリスク分析や、具体的な対策を検討する際などに活用されることが想定されます。
本ガイドライン(案)で示す対策項目としては、大きく以下の2点です。
- 半導体デバイス工場のリファレンスアーキテクチャに基づき、リスク対策フレームワーク(CPSF及びNIST CSF2.0)を活用して洗い出された、半導体デバイス工場の特徴を踏まえたリスク源(脅威、脆弱性)に対応するセキュリティ対策項目
- Purdueモデルで分類したファブエリア、ファブシステムエリア、外部サービス及びIT/OT DMZ(ネットワーク間の緩衝領域)、組織・ヒト側面についての対策項目
・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン(案)」概要資料 日本語版
・[PDF] 半導体デバイス工場におけるOTセキュリティガイドライン(案)日本語版
・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン(案)」概要資料 英語版
・[PDF] 半導体デバイス工場におけるOTセキュリティガイドライン(案)英語版
議論の経過...
● 経済産業省 - 産業サイバーセキュリティ研究会 - WG1(実効性強化・国際連携) - 半導体産業サブWG
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.07.05 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)
・2025.07.05 経済産業省 「半導体デバイス工場におけるOTセキュリティガイドライン(案)」(2025.06.27)
・2025.03.11 米国 NIST IR 8546(初期公開ドラフト)サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)
・2022.02.24 半導体製造業界:SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様
« 米国 NIST SP 800-228 クラウドネイティブシステムのための API 保護に関するガイドライン (2025.06.27) | Main | 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30) »
Comments