経済産業省、半導体工場向けOTセキュリティガイドライン案を公表―APT攻撃対策で国際規格と整合

経済産業省は2025年6月27日、半導体産業における国際的なセキュリティ規格と整合した形で、日本国内の半導体デバイス工場向けのセキュリティ対策指針「半導体デバイス工場におけるOTセキュリティガイドライン（案）」を公表した。

サイバー攻撃の高度化・多様化を背景に、産業サイバーセキュリティ研究会のもと、産業界関係者と議論を重ねた成果としてまとめられた同ガイドライン（案）は、国家支援型の高度な攻撃者（APTグループ等）を想定した対策レベルを掲げる。対象は主に製造部門の実務者レベルであり、「生産目標の維持」「機密情報の保護」「半導体品質の維持」の3点を目的とする。

ガイドラインでは、CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）やNIST CSF 2.0に準拠したリスク分析や対策検討の活用が想定されている。主な対策項目としては、半導体デバイス工場のリファレンスアーキテクチャに基づくリスク源への対策と、Purdueモデルに基づく各エリア（ファブ、システム、外部サービス、IT/OT DMZ、組織・ヒト）に対する分類が挙げられている。

このガイドライン案は、国内外の関係者から広く意見を募るため、日本語版・英語版の双方を公開し、60日間のパブリックコメントを実施中である。寄せられた意見は今秋頃に予定されている最終化に向けて反映され、将来的には経済産業省の投資促進施策等の要件に本ガイドラインの基準が連動する可能性がある。