半導体工場のサイバー対策を、なお情報システム部門の守備範囲として片付ける見方は、もはや実態に合わない。いま工場で問われているのは、PCやサーバーを守ることではなく、生産を止めず、品質を崩さず、機密を漏らさない体制をどう築くかである。
その転機を明確に示したのが、経済産業省が2025年10月に公表した「半導体デバイス工場におけるOTセキュリティガイドライン」だ。そこでは、主な対象を半導体デバイスメーカーの製造部門の実務者レベルに置き、守るべき対象として「生産目標の維持」「機密情報の保護」「半導体品質の維持」を明記した。OTセキュリティはITの周辺論点ではない。工場を成立させるための実務として位置付け直されたのである。
この流れは、日本の政策だけで閉じない。SEMIも2025年12月、半導体サプライチェーンのサイバーセキュリティで2025年が前進の年だったと総括し、装置規格の適合ガイダンスやサプライヤ評価の標準化が進んだと整理した。個社ごとの経験則で回してきたOTセキュリティは、いまや供給網全体で説明責任を伴うテーマへ移り始めている。
本稿は、半導体に訪れているOTセキュリティの変化を考察する。
「止めない、漏らさない、品質を崩さない」が工場防衛の新常識
今回の経産省ガイドラインで目立つのは、脅威のとらえ方である。前提とされるのは、一般的な情報漏えいやランサムウェア被害の延長ではない。国家支援を受けたAPTのような高度な攻撃者を念頭に置き、その上で工場が守るべきものを整理している。
そこで示された優先順位は明快だ。第一に生産目標、第二に機密、第三に品質。半導体工場では、この三つは分けては考えられない。レシピや工程条件、品質データ、装置ログの一部が改ざんあるいは欠損すれば、それは情報事故にとどまらず、歩留まり悪化や顧客対応、供給責任の問題へ直結するからだ。サイバー対策が工場実務そのものになったというのは、誇張ではない。
しかも経産省は、今後、投資促進関連施策とガイドライン上の対策基準との紐付けを検討するとしている。現時点で直ちに補助要件へ転化したわけではないにせよ、OTセキュリティが政策支援や工場投資の議論に入り始めた意味は大きい。半導体工場の競争力は、設備能力や立地、電力、水だけでなく、サイバー耐性を含めて問われる局面に向かっている。
半導体工場に求められるMES、装置、搬送、ファシリティまで一体で守ること
半導体工場でOTセキュリティが難しい理由は、守る対象の広さと相互依存の強さにある。経産省の概要資料は、半導体工場をPurdueモデル(セキュリティを確保するための構造モデル)に沿ってIT、IT/OT DMZ、OTに分け、そのOT領域の内部にファブシステム、ファブ、ファシリティを置いた。そこにはMES(指示、進捗・品質管理、設備監視などをリアルタイムに行うシステム)、品質管理、装置制御、搬送、レシピ、進捗管理、施設制御までが連なる。
つまり半導体工場では、ネットワーク障害、装置異常、品質データ欠損、搬送制御の乱れ、ユーティリティ不整合が、別々の事故として切り分けて現れにくい。ひとつの侵害や設定不備が、生産性、歩留まり、トレーサビリティ、顧客説明まで連鎖する構造にある。
この現実を踏まえると、価値が高まるのは単にITに詳しい人ではない。どの装置がどの工程に影響し、どの時間帯なら変更が可能で、どこまで止めると品質影響評価が必要になるかを理解したうえで、対策を現場運用へ落とし込める人である。OTセキュリティ人材は、情報システム部門の外にいるのではない。むしろ製造、品質、設備の交点に立つ存在になりつつある。
求められるのは「監視要員」ではなく、被害極小化と復旧を設計できる人材
経産省が示した対策もまた、工場現場に即している。多層防御、マイクロセグメンテーション、ネットワーク監視、レガシー装置への仮想パッチ――。要点は明らかだ。OT領域をITから分離したうえで、ファブシステム、ファブ、ファシリティを分け、さらに工程や用途ごとに通信を絞り込む。侵害を完全に防げない前提で、広げない、止血する、復旧を早める設計へ軸足を置いている。
ここで必要となるのは、SOCの画面を見るだけの監視要員ではない。どこを分け、どこを通し、どこで遮断するのかを、装置構成、工程計画、保守制約、品質影響の観点から判断できる人材だ。半導体工場は「止めれば安全」という単純な世界ではない。装置停止は他工程へ波及し、ロット進行や納期、顧客説明責任まで揺らす。現場を止め過ぎず、しかし止めるべきところでは迷わない。その判断力こそが価値になる。
さらに、経産省は工場OT領域における検知・対応・復旧を担う体制として工場内の生産設備やOTネットワークをサイバー攻撃から守る専門組織であるFSIRTの事例もあげている。有事に問われるのは、侵害の有無の判定だけではない。どのロットに影響が及んだのか、どの装置を隔離するのか、品質影響評価をどこまで広げるのか、取引先へどう説明するのかまで含め、復旧を回し切れるかが問われる。OTセキュリティ人材の価値は、検知能力そのものより、被害極小化と早期復旧を設計できるかどうかに宿る。
常駐保守、持込機器、物理管理まで含めて初めて守れる
半導体工場のOTセキュリティを、ネットワーク論だけで語れない理由は明白だ。工場には、社員だけでなく、装置メーカーの常駐保守員、訪問保守員、委託業者が日常的に出入りする。クリーンルームでは個人識別が難しく、保守用PCや外部記憶媒体、交換部品の持ち込みも発生する。録画機能付き機器や無線通信機器の扱いも、現場では無視できない論点になる。
つまり、OTセキュリティは認証やファイアウォール設定だけでは終わらない。入退室、持込機器、保守手順、装置コンソール認証、物理ポート保護を含めた運用設計そのものだ。ここでも必要なのは、サイバーの専門家というだけの人ではない。装置メーカー、システムサービス会社、ファシリティ事業者、品質保証、生産技術と会話を成立させ、工場の運用を崩さずに防御を実装できる人である。
OTセキュリティ人材とは「供給網の翻訳者」
この役割をさらに重要にするのが、業界標準化の進展だ。SEMIは2025年を節目の年と位置付け、SEMI E187の適合ガイダンス文書と、同年9月のSSCA(半導体サプライチェーン特有のサイバーセキュリティリスクを評価・向上させるための標準化されたフレームワーク)導入を主要成果に挙げた。サプライヤが複数顧客へ共通で提示できる標準質問票が整えば、求められるのは単なる回答作成ではない。どの接続が必要で、どのデータが機密で、どの運用が品質に影響し、どこまでを取引先管理の対象とするのかを、標準と現場の両方を踏まえて説明する力である。
OTセキュリティ人材は、社内の担当者にとどまらない。装置メーカー、システムベンダー、材料・部材サプライヤ、常駐保守、顧客監査の間に立ち、現場の事情を標準の言葉へ、標準の要件を現場の手順へ置き換える役割が重くなる。言い換えれば、工場の防御担当であると同時に、供給網の翻訳者である。
求められるのは「生産目標」「機密」「品質」を守れる人
半導体工場を守る人材像は、確実に変わった。求められているのは、PC管理や境界防御に詳しいだけの人ではない。MESと装置の関係を理解し、レシピと品質データの重みを知り、搬送やファシリティまで含めた工程全体を見渡し、異常時には生産と品質を両立させながら復旧を指揮できる人である。
経産省が示した「生産目標」「機密」「品質」という三つの守るべき対象は、そのまま半導体工場におけるOTセキュリティ人材の職務定義になりつつある。OTセキュリティは、もはや工場の周辺機能ではない。供給責任を支える新たな中核職として、存在感を強めていく。
*この記事は以下のサイトを参考に執筆しました。
- 経済産業省「半導体デバイス工場におけるOTセキュリティガイドラインの日本語版・英語版を策定しました」
- 経済産業省「『半導体デバイス工場におけるOTセキュリティガイドライン』概要資料」
- SEMI「A Year of Progress for Semiconductor Cybersecurity」
-
求人
生産技術エンジニア この分野に関連する最新の求人情報はこちら›
-
求人
品質管理エンジニア この分野に関連する最新の求人情報はこちら›
-
求人
設備エンジニア この分野に関連する最新の求人情報はこちら›