半導体エンジニアリングに掲載: 元の記事を見るにはここをクリック
著者:アラン・ヴェーバー
- サイバー対応態勢を評価し、サプライチェーンリスクを低減する
- 標準化された評価でコンプライアンスを効率化
- 複数のクライアント間で信頼を築き、成果を共有する
- NIST CSF 2.0および業界のベストプラクティスに準拠する
SSCAはどのように構成されていますか?
本調査票の基本構造は、ソフトウェア開発、システムエンジニアリング、システムテスト、さらには人材管理など、複数の分野にわたるプロセスの改善と統合を目的とした能力成熟度モデル統合(CMMI)フレームワークに基づいています。組織の関連部分または主要トピックの側面について、5つの異なる成熟度レベルを定義し(下図参照)、各レベルが何を意味するかについて一般的な説明を加えています。
出典: ウィキペディア
ワーキンググループ3は、半導体製造サプライチェーンが直面する固有のサイバーセキュリティ課題に対応するため、このモデルを調整しました。NISTサイバーセキュリティフレームワーク2.0にヒントを得た6つの活動領域——統制、識別、保護、検知、対応、復旧——を特定しています。各領域内には、組織が特定のレベルに達するために備えるべき属性の具体的な記述が含まれています。
SSCAには何が含まれますか?
SSCAはマルチタブ形式のスプレッドシートで提供され、説明タブと質問タブで構成されています。質問の一部は多肢選択式(「記載された属性に基づき、貴組織のCMMI成熟度レベルはどれですか?」)であり、多くはYes/No形式(「組織は機密データをサプライヤーと共有する際に安全な技術を使用していますか?」)です。全6活動領域にわたる質問数は合計165問です。
後者は既に5言語で提供されています:英語、韓国語、繁体字中国語、簡体字中国語、日本語。
SSCAをどのように入手できますか?
こちらをクリックし、フォームに記入してSSCAをダウンロードしてください。
『失われた時を求めて』、それともこれは既に成し遂げられたことなのか?
いや…でも、まあ、そういうことかな。
1990年代初頭の半導体製造業界の状況をご記憶の方なら、当時の最大の問題領域の一つが、組み込み機器制御および通信インターフェースソフトウェアの品質の低さと不均一さであったことを思い出すでしょう。 SEMATECHとその加盟企業は、これをコンソーシアムが注力すべき理想的な競争前段階領域と見なし、製造システム部門は当時のソフトウェア工学コミュニティにおけるベストプラクティスを評価した結果、カーネギーメロン大学ソフトウェア工学研究所の能力成熟度モデル(CMM)を採用した。聞き覚えがあるだろうか?
当時、CMMを完全に導入することはほとんどの機器サプライヤーにとって困難でしたが、そこから生まれた核心的な成果は、ソフトウェア品質指標の最も基本的な要素を伝える「4-Up」チャート一式の標準化を決定したことでした。これにより、全員が同じ用語、定義、可視化手法を用いてプロセス領域や時間軸を超えた進捗を比較できるようになり、ソフトウェア問題の根本原因を特定し対処する上で極めて有効でした。 典型的なソフトウェア品質「4-Up」チャートの例を以下に示す。
ソース: テクノ-pm