「不只 Know your Customer,企業更需要 Know your Supplier。」工研院資通所副所長暨 SEMI 半導體資安委員會委員黃維中解析半導體供應鏈資安趨勢與應對策略
根據 KPMG《2025 半導體產業趨勢》報告,隨著地緣政治局勢的加劇,導致企業風險不確定性攀升,影響整個半導體生態系。為了分散地緣政治風險,各國紛紛提高供應鏈彈性,將生產基地擴及東南亞、印度、美國等地,並強化半導體自主供應鏈,以預防供應鏈中斷危機。面對這個趨勢,台灣如何藉由全球通用的標準,提升半導體供應鏈資安防護水平?工研院資通所副所長暨 SEMI 半導體資安委員會委員黃維中日前在 TechOrange 科技報橘舉辦的「2025 製造業資安論壇」,深度探討「SEMI E187 的演進與供應鏈資安的挑戰與趨勢」。
黃維中指出,在數位科技演進下,企業迎來資安防護的 3 大挑戰,第一是運用帳號密碼和一次性密碼機制進行身份授權,這種過時技術讓駭客能輕易破解,並發動低成本的網路釣魚攻擊。第二個挑戰是 AI 的雙面刃,AI 帶給企業更多降本增效的應用機會,卻也成為不法人士的犯罪工具,例如能以 Deepfake 技術製作虛假信息、進行詐騙;第三個挑戰是供應鏈複雜化及駭客集團化,「我們看見大型駭客集團持續將最新攻擊技術轉化為武器,甚至全面提升進攻數量、種類與規模,實現犯罪服務化。」
而台灣半導體產業在全球供應鏈中扮演著關鍵角色,加強資安不僅能保護台灣的產業優勢,也能確保供應鏈的穩定,提升市場競爭力,因此,SEMI 特別成立資安工作小組,研究半導體製造領域的安全對策。黃維中分享,SEMI 近年來積極制定首個由台灣主導的半導體晶圓設備資安標準 SEMI E187,推動設備合規、場域導入,為了解半導體供應鏈的資安成熟度,也致力研議資安評級,建立防護、治理、成熟度指標,透過問卷調查供應商風險、採用的資安措施,同時深入探討自動化、智慧化供應鏈資安風險分析工具的應用,助力半導體升級資安防線,「企業在供應鏈不只是 Know your Customer,更需要 Know your Supplier,清楚掌握所有供應商的往來。」
SEMI E187 以四大核心安全構面,提供半導體產業具體資安指引
「SEMI E187 成功推進的最大原因,在於鎖定明確目標 —— 半導體製造場域的設備,並透過政府的支持,引導 Fab 設備的供應鏈將資安要求原生內嵌在產品與服務之中,」進一步剖析 SEMI E187 的核心概念,黃維中表示,因應各種新興資安威脅與日俱增,工研院攜手 SEMI 國際半導體協會,再結合半導體產業龍頭與國際標準組織,共同推動半導體產線資安標準制定。此標準針對 Fab 設備的供應鏈所設計,也採用通用性原則,讓半導體和供應商業者在可以負擔的前提下,具備對抗惡意程式威脅的能力,Fab 設備供應鏈還可依此標準進行產品與服務自我評估,確保是否符合最低資安要求。
黃維中接著說明,SEMI E187 關注四項重點,包含作業系統規範、網路安全、端點防護與資訊安全監控。在作業系統規範部分,SEMI E187 要求半導體業者、設備供應商和系統整合商,產線設備電腦不使用已終止服務支援的作業系統版本;在網路安全部分,網路傳輸須採用安全協定,並關閉非必要的通訊埠;在端點防護部分,須定期進行弱點掃描,建立針對勒索軟體的安全機制;在資訊安全監控部分,則須監控並建構完整的系統日誌功能,用於回顧與管理資安事件,「我們引領產業界一同規格化供應鏈上下游的資安標準,目標建立台灣半導體產業領先全球的關鍵競爭力。」
全球逾十家企業取得 SEMI E187 認證,打造堅固設備資安防線
黃維中也分享,在 SEMI 設備資安標準推動的歷程,最初階段是成立工作小組、凝聚共識,歷經三年的努力,SEMI E187 於 2022 年 1 月正式釋出,並且同步發表產業參考指引與檢核項目,過程中還促成 SEMI 資安委員會的設立,包含台積電、日月光、聯電、富士康等大廠參與。
標準發布後,各界持續投入計畫資源,加速台灣設備業者實踐。2023 年已有 2 案完成半導體設備 SEMI E187 VoC,產業署也大力支持 SEMI E187 參考實務指引的產出、辦理系列推廣活動、邀請專家分享標準內涵及實務經驗,於 SEMICON Taiwan 等國際展會及場域,並搭配情境展示有助合規的國產資安方案,協助半導體產業親身體驗供應鏈資安的重要性,提升標準落實進度,「目前全球與台灣已有十多個設備通過 SEMI E187 VoC,能夠作為企業採購時的重要參考,」黃維中強調。
SEMI E187 提供半導體產業管理供應鏈資安時的參考依據,協助企業建構多層次的防護機制、將資安風險降至最低,展望未來,工研院、SEMI 也將持續藉由攜手產業及公部門的協同合作,建構穩固半導體供應鏈安全網。
留言 0