サイバーセキュリティ上の脅威は、日々貴社のビジネスにリスクをもたらし、業務のあらゆる側面を攻撃する可能性があります。そして、こうした脅威はますます増大しています。IBM Securityの 『データ侵害のコストに関するレポート』によると、2021年のデータ侵害による平均総コストは、前年比で約10%増加し、386万ドルから424万ドルとなりました。これは過去7年間で最大の単年度コスト増加幅です。
出典:IBM Security:データ侵害のコストに関するレポート 2021
こうしたサイバーセキュリティ侵害は、企業に短期的・長期的に甚大な影響を及ぼす可能性があります。Comparitechによると:
- 「ダークサイド」として知られるロシアのハッカー集団によるランサムウェア攻撃がコロニアル・パイプラインに対して行われ、同社はパイプラインシステムの稼働を停止せざるを得なくなり、消費者への影響を最小限に抑えるため、エネルギー省が燃料の輸送支援を行うこととなった。
- 化学品流通企業のブレントガは、暗号化されたファイルの復号ツールを受け取り、盗まれたデータの公開を防ぐため、ダークサイドにビットコインで440万ドルの身代金を支払った。
- エイサーはランサムウェアグループ「REvil」の攻撃を受け、5,000万ドルの身代金を要求された。
- 食肉供給業者のJBSUSAは、米国内の牛肉加工事業全体が停止に追い込まれたサイバー攻撃を受け、1,100万ドルの身代金を支払った。
ランサムウェア攻撃による利益が増大するにつれ、その手口はますます巧妙化しており、検知を逃れて密かに拡散し、データを暗号化し、リバースエンジニアリングをほぼ不可能にする能力を備えるようになっています。企業は自社のシステムやデータを保護することの重要性を認識し、経営判断を行う際にこれを最優先事項としています。
実際、ガートナーは 2022年6月21日のプレスリリースで、2022年から2023年にかけてのサイバーセキュリティに関する8つの主要な予測を発表し、「2025年までに、60%の組織が、ビジネス提携先を選定する際の重要な判断基準としてサイバーセキュリティリスクを考慮するようになる」と述べた。
基準は進化し続けている
エレクトロニクス産業の製品設計および製造チェーンを支援する世界的な業界団体であるSEMIは、このほどサイバーセキュリティに関するSEMI規格を公表した。SEMI 6506はファブ設備のサイバーセキュリティに関する仕様であり、SEMI 6566はマルウェアのない設備統合に関する仕様である。
SEMI 6506では、ファブ設備の4つの主要コンポーネントについて、以下のセキュリティ要件が規定されています:
- コンピュータのオペレーティングシステムのセキュリティ
- メインストリームサポート:OSベンダーは、新たに発見された脆弱性に対するセキュリティ更新プログラムの提供、新機能の追加、設計変更のリリース、および保証請求への対応を行います。これはフルサポートとも呼ばれます。
- 延長サポート:OSベンダーは新機能の追加や無償サポートを終了しますが、脆弱性への修正やパッチの提供は継続します。これはメンテナンスサポートとも呼ばれます。
- ネットワークセキュリティ:マルウェアの攻撃対象領域を縮小するために、システムとそのネットワークを強化する方法は数多くあります。これには、一般的な落とし穴を回避するためのシステムおよびネットワークの設定、不要な機能の無効化、機器ベンダーが特定した問題がパッチによって修正されていることの確認などが含まれますが、これらに限定されるものではありません。
- エンドポイントセキュリティ:エンドポイントとは、ファブ設備内のコンピューティング機器のうち、ネットワークに接続し、ネットワーク内で通信を行うデバイスのことを指します。エンドポイント保護とは、エンドポイントデバイスに導入されるソリューションであり、ファイル型マルウェア攻撃の防止、悪意のある活動の検知、および動的なセキュリティインシデントやアラートに対応するために必要な調査・修復機能を提供します。
- セキュリティ監視:問題が発生した際に、その時間帯にシステム内で作業していたユーザーに関する情報を提供することで、トラブルシューティングを支援します。また、この機能は、ファブ設備に導入された設定ミスやその他の潜在的な脅威を特定するのにも役立ちます。
SEMI 6566は、マルウェアのない設備統合に関する仕様です。この規格は、生産設備の完全性を確保するためのシステムおよびプロセスの保護について規定しており、具体的には以下の要件を定めています:
- ネットワークおよびリムーバブルメディアを介した生産設備へのアクセス制御
- 生産設備の据え付け
- 生産設備のアップグレードおよび保守業務
- HDDやコンピュータ部品の交換など、生産設備の復旧
世界がますます相互につながり、ランサムウェア攻撃が頻発する中、テラダインはこうした基準を深く理解し、お客様の安全を確保するために、これらをはじめとする数多くのサイバーセキュリティ対策を徹底して実施しています。当社の半導体テスト製品向けの包括的なサイバーセキュリティプログラムは、潜在的な脅威を予測し、万が一の問題発生時には迅速に対処できるよう積極的に解決策を策定することで、サイバーセキュリティ攻撃の可能性を排除するために全力を尽くしています。
テラダインのサイバーセキュリティ・プログラムは、公表されているSEMI規格に準拠した3つの基本原則に基づき、お客様がテラダイン製の半導体テスターを保護し、脆弱性を評価できるようにします。
- 脆弱性評価および管理のためのプロセスとツール
- 製品およびソリューションの定義、開発、製造、およびサポートに関するセキュリティ基準。
- 製品開発の全工程において、セキュアな設計原則とコーディング慣行が徹底されている。
サイバーセキュリティは、テラダインの製品設計プロセスに組み込まれています
テラダインの半導体テスト製品は、出荷されるたびに、お客様の施設に届く前に徹底的なテストと堅牢化処理が施されているため、安心してご使用いただけます。
ウイルス対策スキャン
テラダインは、半導体テスターに同梱されるすべてのコンピュータがウイルス対策ソフトウェアを使用してスキャン済みであることを確認する証明書を、プロセス文書に添付しています。
製品出荷前のイメージハーデニング
米国商務省傘下の国立標準技術研究所(NIST)は、イメージハーデニングを「脆弱性へのパッチ適用や不要なサービスの停止を通じて、攻撃の手段を排除することを目的としたプロセス」と定義している。
テラダインの半導体テスターは、お客様のエコシステム内で動作し、当社は2種類のシステム堅牢化に注力しています。
お客様への製品出荷前に実施されるイメージング作業により、セキュリティ・コンテンツ・オートメーション・プロトコル(SCAP)スキャンを可能にする基準が作成されます。SCAPスキャンでは、スキャン対象のシステムを基準値と比較し、コンプライアンスの遵守状況を確認します。SCAPスキャンおよび当社のサイバーセキュリティ対策のすべては、最近公表されたSEMI規格に準拠しています。
J750Ex-HD、UltraFLEX、 UltraFLEXplus、 ETS-88 、あるいはETS800のいずれであっても、既知の脆弱性が確実に軽減されるよう、テラダインのサイバーセキュリティプロセスを経ていることをご安心ください。
サイバーセキュリティの進化に伴い、テラダインも進化を続ける
テラダインのサイバーセキュリティプログラムは、さまざまな要因から発生し得るセキュリティインシデントに備え、ベストプラクティスを取り入れるべく絶えず進化しています。当社は、サイバーセキュリティインシデントが発生した場合に、リスクを迅速に特定、封じ込め、是正するためのプロセスを整備し、専門家で構成される部門横断的なチームを配置しています。
当社のインシデント管理対応プロセスには、以下の明確な手順が含まれています。
- エスカレーション:顧客を含む関係者に、関連情報を適時かつ効果的に伝達するプロセス。
- 調査:根本原因の分析、解決策の策定および実施。
- 結論: ソリューションの検証 と妥当性確認。
- 予防策:製品の信頼性を高めるためのインシデント追跡およびナレッジベースの構築。
- 顧客とのコミュニケーション:初期対応、事態の収束、報告書の作成、および案件の完了を含む体系的な計画。
このプロセスにより、テラダインはサイバーセキュリティ上の問題が発生した場合でも、迅速に対応し、解決することが可能となります。
SEMIはサイバーセキュリティについて次のように要約している。「半導体製造のサプライチェーンの性質上、潜在的な脅威を軽減するための基準が必要である。製造エコシステムへの外部からの脅威の侵入を防ぐことで、デバイスメーカーと装置サプライヤーは、明確な相互の期待関係と、装置の信頼性および稼働時間の向上という恩恵を受けることになる。」
テラダインは、半導体テスト製品向けに包括的なサイバーセキュリティ戦略を導入することで、リスクの軽減に積極的に取り組んでいます。万が一問題が発生した場合でも、包括的なセキュリティインシデント対応プロセスを整備しており、迅速な特定、封じ込め、および是正措置を講じることができます。新興技術向けのテストソリューション開発における業界リーダーとして、テラダインは、お客様のために半導体製造プロセスが最適化されるよう尽力するとともに、サイバーセキュリティ上の問題が発生した場合には、積極的に対処することをお約束します。
テラダインのサイバーセキュリティプログラムに関する詳細については、お問い合わせください。
イーライ・ロスは、テラダイン社のスマート製造部門のプロダクトマネージャーを務めており、データ、アナリティクス、サイバーセキュリティソリューションの戦略的製品開発を担当しています。テラダイン入社前は、アドバンスト・エナジー社でソフトウェア・制御部門のディレクターを務めていました。イーライはアイオワ州立大学でコンピュータ工学の理学士号を取得しています。