前回までの記事で、私たちは次の 2 点を明らかにしました。 装置を更新できない場合、Virtual Patch は不可欠なリスク低減手段であること AI 自動化がなければ、Virtual Patch は長期的に維持できないこと では、この戦略は実際の産業現場でどのように活用されているのでしょうか。 以下では、3 つの代表的な産業分野から Virtual Patch の実例を紹介します。 1. 半導体製造：1 台の装置が全ライン停止につながる 現場の現実 半導体製造ラインでは、以下のような多様な装置が連携しています： プロセス装置 検査・計測装置 AMHS（自動搬送システム） MES / EDA / レシピサーバ これらは高度に接続された大規模な内部ネットワークを形成しています。 多くの装置は： 長期間使用され 古い OS を使用し 更新が困難 セキュリティエージェントを導入できません 本当のリスク 攻撃者が以下を通じて侵入した場合： 脆弱性 バックドア ソーシャルエンジニアリング 装置間通信を利用して横展開（Lateral Movement）し、

前回の記事では、装置が更新できない場合に、マイクロセグメンテーションが最も実用的な Virtual Patch であることを説明しました。しかし実際の現場では、さらに重要な問いが浮かび上がります。Virtual Patch は実装できても、長期的に維持できるのか？ 多くの場合、その答えを阻む最大の要因は 人手による運用コスト です。 従来型 Virtual Patch が直面する 3 つの現実的課題 多くの企業や装置環境において、Virtual Patch が失敗する理由は 技術的に不可能だからではなく、維持できないからです。 1.ルールが人手に大きく依存する 従来の Virtual Patch では以下が必要です： 装置通信の手動分析 ファイアウォール／隔離ルールの手動作成 接続の可否を継続的に判断 研究環境では可能でも、実運用ではスケールしません。 2.ホワイトリストがすぐに陳腐化する 装置は常に変化します： 定期メンテナンス ソフトウェア更新 製程変更 新規装置の追加 これらの変化により、正しかったホワイトリストは瞬時に無効化され、 誤遮断

理想的な世界では、すべての脆弱性が即座に修正されます。しかし現実の産業環境では、「更新できない」ことの方が一般的です。半導体装置、医療機器、産業制御システム、重要インフラには、EOS / EOL（サポート終了／製品寿命終了） の機器が数多く稼働し続けています。これらの装置は重要な役割を担いながらも、ベンダーからのセキュリティ更新を受けられません。 脆弱性を物理的に修正できない場合、企業はどうすべきでしょうか。その答えが Virtual Patch（仮想パッチ） です。 Virtual Patch とは何か Virtual Patch は、コード修正や OS 更新を行うものではありません。脆弱性が修正される前に、 攻撃経路そのものを遮断 します。 つまり： 脆弱性は存在していても、攻撃者は到達できない。 Virtual Patch が用いられる主な場面： 旧式機器で更新できない 更新により操業や医療業務が停止する 認証済み装置でシステム変更が許されない ベンダーから正式な修正が提供されていない これらの環境では、Virtual Patch は代替策

近年、国際的に 「製品サイバーセキュリティ」 への要求が急速に高まっています。半導体製造装置、医療機器、IoT 機器など、あらゆる分野で 出荷前に実証可能なセキュリティ能力 を求める潮流が強まっています。 この流れを牽引している主な 3 つの枠組みが以下です： SEMI E187：SEMI 国際半導体協会が策定した、最初で最も広く採用されている装置向けサイバーセキュリティ標準 EU Cyber Resilience Act（CRA）：EU のデジタル要素を含む製品向けサイバーセキュリティ法規 FDA Cybersecurity Guidance：米国医療機器向けサイバーセキュリティ指針 対象分野は異なるものの、共通点は非常に明確です： 製品が不必要な通信を行わず、サプライチェーン攻撃の足がかりにならないこと。 ここにこそ、マイクロセグメンテーション（Micro-Segmentation） が製品サイバーセキュリティの核心技術とみなされる理由があります。 三つの規制に共通する本質：「デバイスは自由に通信してはならない」 1. SEMI...

半導体セキュリティの見えない戦場:スマート製造がサイバー脅威に遭遇するとき 台湾が誇る半導体産業において、すべてのファブは高度にネットワーク化されたデジタルエコシステムです。精密なウェーハローダー、数億円規模のEUVスキャナー、化学機械研磨(CMP)装置から、ウェット洗浄システム、自動テスト・パッケージング設備まで、これらの装置はSECS/GEM、OPC-UA、Modbusなどの産業通信プロトコルを通じて、毎秒数万回のデータ交換とプロセス調整を行っています。 この「スマート製造」(Smart Manufacturing)は、かつてない効率と歩留まりをもたらしましたが、同時にサイバーセキュリティリスクのパンドラの箱を開けました。Bitsightの2025年産業レポートによると、製造業は2024年から2025年第1四半期にかけて脅威アクターの活動が71%急増し、29の異なる脅威組織がこの産業を標的にしています。IBMの2024年データ漏洩コストレポートは、工業部門の平均データ漏洩コストが556万ドル(約1.7億台湾ドル)に達し、2023年から18%増

誤解を解き、サプライヤーがより早くコンプライアンスを達成するために 近年、TSMC（台積電） を中心とする半導体大手がサプライチェーンに SEMI E187 サイバーセキュリティ規格 の導入を求め始め、多くの装置メーカーが「E187 認証」「監査準備」「コンプライアンスプロセス」に取り組んでいます。しかし、Janus がサポートする中で、多くの誤解が市場に広がっていることが分かりました。ここでは、特に多い 3 つの誤解と、その正しい理解を解説します。 誤解 1｜SEMI E187 は工場（Fab）のための規格である 多くの人は E187 が半導体工場のための規格だと考えていますが、実際には E187 は「半導体製造装置」に対するサイバーセキュリティ規格  です。装置（ウェーハ搬送機、エッチング装置、露光装置など）を納品する前に、 装置メーカーがセキュリティ強化と自己評価報告を完了する必要があります。 つまり： 実施主体は装置メーカー （工場ではありません） 目的  は、装置が工場に搬入される前に最低限のセキュリティ基準を満たし、侵入経路とならない