経産省 半導体デバイス工場におけるOTセキュリティ指針案
ガイドラインの公開と意見募集を開始
背景
経済産業省は、半導体産業向けに「半導体デバイス工場におけるOT(Operational Technology)セキュリティガイドライン(案)」を取りまとめ、日本語版・英語版の両方でパブリックコメントを開始した。高度化するサイバー攻撃により生産停止や知財流出のリスクが拡大するなか、国際規格SEMI E187/E188やNIST CSF 2.0と整合した国内指針を定め、半導体工場のセキュリティ水準を底上げすることが狙いである。
ガイドライン策定の経緯
- 2022年:汎用組立型向け「工場システムサイバー・フィジカル・セキュリティ対策ガイドライン」公表
- 2024年11月:産業サイバーセキュリティ研究会に半導体産業サブWG設置
- 2025年6月:WGでの議論を踏まえ、半導体工場特化の指針案を公表
従来ガイドラインはプロセスオートメーション型・大規模・汎用OS搭載装置が多数並ぶ半導体ファブには適合しづらく、専用対策が求められていた。
ガイドライン(案)の位置づけ
対象は半導体デバイスメーカー製造部門の実務者。
守るべき資産は
- 生産目標の維持
- 機密情報の保護
- 半導体品質の維持
想定攻撃者は国家支援APTレベルを含む最高度の脅威で、リスクベースで対策を整理する。CPSFおよびNIST CSF 2.0を活用し、国内外規格と統一性を確保した。
主な対策構成
| 領域 | 対策例 | 備考 |
|---|---|---|
| ファブエリア (レベル0-2) | 製造装置アクセス制御、脆弱性管理、ネットワーク分離 | Purdueモデル準拠 |
| ファブシステムエリア (レベル3) | 生産管理サーバの多要素認証、資産インベントリ | |
| 外部サービス/IT-OT DMZ | データ連携用APIのゼロトラスト設計、暗号化ゲートウエイ | |
| 組織・ヒト | SOC/CSIRT体制、開発ベンダのSBOM提出義務化 |
意見募集の概要
- 対象資料:ガイドライン案 日本語版/英語版
- 期間:2025年6月27日(金)〜8月26日(火)必着
- 提出方法:電子政府総合窓口(e-Gov)のフォーム、または所定様式をメール送付
- 留意事項:個別回答は行わず、意見内容は氏名等を除き公開の可能性あり
意見提出先・提出方法
電子政府の総合窓口「e-Gov」から本件の意見提出フォーム(※ 案内は日本語のみ)に進み、日本語又は英語で記入の上提出。
なお、電子政府の総合窓口(e-Gov)の利用が難しい場合は、別紙の意見提出用紙に日本語又は英語で記入の上、下記のメールアドレス宛に送付。
- 「意見公募要領」の「別紙:意見提出用紙」に、日本語又は英語で御記入の上、下記のメールアドレス宛。
メールアドレス:bzl-cybersec_comment@meti.go.jp
(件名は「半導体デバイス工場におけるOTセキュリティガイドライン(案)に対する意見」とし、意見提出用紙を添付して送付。) - ※ 電話での意見提出は不可。
今後の見通し
秋頃をめどに寄せられた意見を反映し最終版を成案化。完成後は
- 経産省の投資促進策におけるセキュリティ要件との紐付け
- 国内半導体サプライチェーン全体への展開
- 国際規格とのさらなる調和
を検討する。工場のOTセキュリティは生産継続と経済安全保障の両面で喫緊課題となっており、同ガイドラインが国際競争力強化の土台となることが期待される。
