全球首個半導體資安標準SEMI E187出爐，台積電與工研院號召臺灣多家半導體與資安業者制定與推動，臺灣制定國際標準新突破

近年來，半導體產業的資安議題備受關注，協助產業機臺安全的半導體產業資安標準，歷經三年制定，確定將於2022年1月正式發布，但，這其實只是第一步，未來將透過SEMI資安委員會的推動，讓標準能夠落實，並期盼這樣的資安標準，進一步能擴及更多高科技相關產業。

今年的國際半導體展SEMICON Taiwan 2021，除了第三代化合物半導體、先進製程、智慧製造、綠色製造等重要議題，資安也成要角，不僅資安展區規模逐年擴大，在12月28日並舉辦了半導體資安標準SEMI E187的發布會，受關注的是，這是首次由臺灣主導制定的半導體國際標準，別具意義。

從資安切入！臺灣第一次主導制定半導體相關國際標準

SEMI全球行銷長暨台灣區總裁曹世綸表示，面對後疫情時代，半導體產業在全球扮演不可或缺的角色，臺灣處於產業供應鏈中的關鍵地位，更受矚目的是，SEMI制定標準已有50年之久，這次，首次由臺灣主導制定的半導體國際標準，相當具代表性，在在顯示臺灣半導體行業在全球的影響力，也突顯了對於資訊安全迫切的需求。

如今，這個半導體資安標準將於2022年1月正式上架，將從原本案號6506C的草案，正式發布成為「SEMI E187 - Specification for Cybersecurity of Fab Equipment」標準。

基本上，標準內容涵蓋四大層面：包括作業系統規範、網路安全相關、端點保護相關，以及資訊安全監控。簡單來說，也就是聚焦作業系統的長期支援、網路傳輸安全、網路組態管理、弱點掃描、惡意程式掃描、端點防禦機制、存取控制，以及Log記錄等面向。

2018年台積電機臺中毒事件，催生晶圓廠設備資安標準

之所以制定這項半導體資安國際標準，要從三年前說起，在2018年8月，台積電遭遇電腦病毒感染、部分電腦與機臺受影響的事件，讓高科技業機臺資安問題浮上檯面。

例如，設備昂貴需30年來攤提成本，但使用的電腦作業系統，是早已終止支援的Windows XP作業系統等，除了更新修補不易，傳統實體隔離的作法，在智慧製造浪潮之下，也難以落實。

為了因應這樣的局面，自2018年9月，由台積電大力推動、在SEMI國際半導體組織標準平臺下，籌畫資安工作小組，由台積電部經理張啟煌與工研院資通所副組長卓傳育共同主持（TF），以制定標準草案範疇。

當時，iThome在兩年半前即開始關注這項標準的制定，並持續追蹤報導，在2020年底一度傳出將有結果，終於在歷經多次來回提交SEMI修改後，現在標準終於確定出爐。

特別的是，過往我們對於上述資安工作小組的個人成員，僅知道是來自許多國內多家業者共同參與這項國際標準制定，包括，台積電、日月光、聯電、力積電（當時力晶），以及工研院，還有微軟、趨勢科技等，但沒有特別清楚。根據工研院的說明，為了促使標準草案成形，這個工作小組的參與成員，集結了許多半導體業、設備商與資安公司的專家，包括聯電、日月光、力積電、南亞科、台灣應用材料、台達電，以及精品、安華聯網、奧義智慧、華電聯網、全景、尚承、擎願、四零四科技、捷而思、台灣檢驗科技與神盾等，早期還有Intel、華邦電、趨勢科技、IBM、TEL、Cimetrix與SGS，當中大半都是來自臺灣，之後草案並經過SEMI全球的標準技術專家審核，將標準文件落實。

對此，身為SEMI資訊與控制標準技術主席，也是台積電部經理的游志源指出，這相當具代表性，因為是臺灣半導體產業共同努力完成的第一條資安標準，並已付諸實現。

●延伸閱讀：台積電產線中毒大當機事件簿(Day1~Day4時程懶人包）
●延伸閱讀：生產機臺安全亮紅燈，防護威脅迫在眉睫
●延伸閱讀：臺灣帶頭推動半導體資安標準，解決高科技產業資安防護難題
●延伸閱讀：國際半導體展首度談資安，工作小組揭露推動資安標準現況

關於半導體晶圓產線設備資安標準SEMI E187的制定，背後的推手，就是在2018年9月，由台積電部經理張啟煌（左）與工研院資通所副組長卓傳育（右）共同主持的SEMI資安工作小組，這個工作小組的參與成員，也包含場中來自臺灣多個半導體科技大廠與資安業者的專家們。（攝影／羅正漢）

半導體資安標準只是開始，SEMI資安委員會將推動全面落實資安與供應鏈安全

儘管SEMI E187標準規範的發布，可望成為全球半導體設備的最低門檻，但是，標準制定完成，只是推動半導體產業資安的第一步。

為何這樣說？因為有了標準，後續還要進行標準落地與相關推廣，才能讓產業資安水準真正提升，這也是為何在2021年6月成立SEMI資安委員會的原因。

有了SEMI E187的規範，SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示，企業除了要顧好自己的資安問題，也一定要協助上下游合作夥伴，協力做好資安。

過去，我們看到台積電已經這麼做，設立供應商資訊安全協會，現在他們也將相關經驗，帶到全球半導體產業。

對於標準制定的好處，屠震說明，對於全球供應商而言，在設備的資安防護設計上，將能有所依循，對於企業而言，在設備採購合約上，也能以此標準作為資安要求。長期來看，除了確保晶圓廠機臺設備安全，也將帶動上游產業對設備安全品質的重視。

隨著SEMI晶圓設備資安標準的正式建立，屠震強調，資安標準只是第一步，接下來如何徵詢與採用更是關鍵。他指出，SEMI全球第一個資安委員會已成立，主要研討供應鏈資安面的重要議題，現在將聚焦以下4個重點：首先，制定參考架構與解決方案，以協助標準的推廣與導入；第二，加強資訊安全的意識宣傳與推廣；第三，做到如何有效評估資訊安全等級與成熟度；第四點是長遠的計畫，將基於國際標準評估SEMI供應鏈資訊安全的風險，並建立長久的資安策略。

同時，現場許多資安委員會與工作小組成員也表示，這項標準只是第一步，後續還有許多工作要進行，包括具體的規範內容、認驗證制度的建立，以及完成第一家通過認證標準的設備商等。這也意味著，資安標準的制定確實帶動產業達到新的里程，但後續的任務要能接續發展，才能讓整體所談的資安落實，以及供應鏈安全推動，能夠真正深化到半導體產業之中。

目前，這個SEMI資安委員會的參與成員，包含來自台積電、台灣應材、日月光、富士康、思科、奧義智慧、戴夫寇爾、富士康、工研院、科林研發、微軟、台灣迪恩士半導體、睿控網安、聯電與台灣韋萊韜悅的意見領袖。

SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示，這項資安標準的建立只是第一步，隨著SEMI全球第一個資安委員會成立，接下來，將聚焦4大重點面向，除了制定參考架構與解決方案以協助標準的推廣與導入，加強資訊安全意識的宣傳與推廣，有效評估資訊安全等級與成熟度，未來，還要基於國際標準評估SEMI供應鏈資訊安全的風險，並建立長久的資安策略。（攝影／羅正漢）

關於SEMI資安委員會的任務，在前兩個月的SEMICON Taiwan線上資安趨勢高峰論壇上，SEMI資安委員會主席暨台積電企業資訊安全處長屠震已闡明作法，其中推動半導體供應鏈網路安全意識是一大重點。例如，將參考台積電先前的作法，SEMI資安委員會將從2021年11月起，每季度發布SEMI資安更新電子報（Cybersecrity Update Newsletter），讓資安意識與防護相關資訊都能宣導到所有SEMI會員。

另外，不只是半導體產業需要資安，希望帶動更多高科技產業也這麼做。經濟部工業局電子資訊組林俊秀組長指出，國內半導體產業與國際大廠有很密切的合作，而這些國際品牌大廠通常主導了許多標準制定，因此也會要求自身供應鏈的廠商，需符合相關規範，包括環保與勞工權益層面，現在資安也將納入。

因此，要維持臺灣在ICT產業的競爭力，資安已是不可或缺的要素，未來更希望不只是半導體的資安標準，還要擴散到其他產業，讓臺灣所有行業都做到資安。

SEMI國際半導體展，資安能見度更提升

今年國際半導體展實體展於12月28日到30日舉行，不僅規畫了資安專區，而且相較於往年，資安主題館的規模更擴大。本次活動，有多家資安業者設置獨立展區，例如睿控網安、奧義智慧、中華資安國際、數聯資安等品牌，以及德國萊因TÜV驗證檢測公司，還有工研院設立的SECPAAS展區，邀請國內多家資安業者參與，包括全景軟體、來毅數位科技、精誠資訊、眾至資訊、庫柏資訊軟體與I·X Trio，以及宏數創意、中華龍網、安華聯網科技、杜浦數位安全、竣盟科技、匯智安全科技等資安廠商，並邀請MIH、台灣思科、韋萊韜悅、FIDO台灣分會、憾訊科技與建迪企業等產業代表分享資安經驗與觀點。特別的是，現場還設置了建立資安觀念的線上遊戲攤位，現場觀眾可參與iThome設計的釣魚剋星答題遊戲，增進對於釣魚郵件的識別能力，也能參與奧義智慧設計的資安攻防桌遊，學習運用CDM安全模型，來建立防禦面向的概觀。

此外，這場活動這幾年來也有資安相關議題的演講，除2020年推出晶片資安論壇，在稍早舉行的2021年線上國際論壇期間，也舉辦聚焦供應鏈安全的資安趨勢高峰論壇。

●延伸閱讀：臺灣成半導體產業資安主要推手，SEMI臺灣資安委員會今年成立
●延伸閱讀：歷經三年制定，台積電透露半導體資安標準將在今年12月發布
●延伸閱讀：推動半導體供應鏈網路安全意識，11月起SEMI資安電子報每月發布
●延伸閱讀：供應商安全狀況需透明化，半導體產業應構建供應鏈資安評估方法