信頼の連鎖がサプライチェーン全体の信頼性を確立する

組織の信頼性がモノの信頼性につながる

　一方、モノの信頼性について古川氏は、「製品は、部品の統合や試験、認証といったプロセスを経てエンドユーザーに届く。サプライチェーンへのサイバー攻撃が増加する中、製品の開発ライフサイクルを追跡し、信頼できるソースから供給されており、特定市場に適用される標準や規制に従っているかどうかを確認することの重要性が高まっている」と指摘する。

　RRIは、モノの信頼性を「製品について宣言された属性が、受け手のステークホルダーによって検証され、その期待を満たすことができること」と定義している（図2）。

図2：サプライチェーンの信頼性に必要なモノの信頼性の定義（右下）

　サプライチェーンの信頼性の確保では、上述したようにまず、組織に関する信頼性、すなわちセキュリティに関するガバナンスの構築やマネジメントの有無などが開示・検討される。その後に、契約した納品物の信頼性について、契約時に求めた事項が遵守されているかどうかを確認する。

　その際は、サプライヤーが組織の信頼性を示すために提示したTWPで得られる信頼性をベースに、サプライヤーが主張する製品信頼性能力を加味してモノの信頼性を検証する。つまり「サプライヤーの組織の信頼性を示す要素は、モノの信頼性の検証にも伝播する」（古川氏）。ドイツでは、組織の信頼性が製品の信頼性につながる考え方を「Trust Transitivity（信頼の伝播性）」と呼ぶという。

　例えば、サプライヤーのTWPが、制御システムの開発におけるセキュアや製品要件とライフサイクル要件を規定する「IEC 62443 4-1」を含むRRIの質問票に準拠していれば、「そのサプライヤーの製品は、製品の信頼性としての安全性を、ある程度備えていることが期待できることになる（古川氏）

　モノの信頼性の担保に第三者認証の活用についてドイツは、「第三者認証の活用を念頭に置いている」（古川氏）という。そのうえで、「自己認証で信頼性に関するエビデンスを確認できる仕組みを持つことが重要だ。求められる信頼性のレベルや事業内容に応じて柔軟に対応する必要がある」（同）とも言う。

サプライチェーンの「信頼の連鎖」を支える3つのトポロジー

　RRIはさらに、サプライチェーンの上流から下流までのすべての関係において信頼性を確保できることを意味する「信頼の連鎖」という概念を導入した。「信頼能力の伝達」とも位置づけられる連鎖のを実現には、3つのトポロジー（ステップ）が考えられるとする（図3）。

図3：「Chain of Trust Topologies（信頼の連鎖）」

トポロジー1 ：サプライチェーンにおける2つの当事者間、例えばバイヤーとサプライヤー、サプライヤーと小売事業者などの相互作用に関するもの。サプライチェーンの各ステークホルダーは、契約を締結する前に条件を交渉し、TWPを活用しながら取引相手の信頼価値を決定する。電子署名や第三者が発行する品質証明書も、2つのステークホルダー間の信頼性の確立に役立つ。

トポロジー2 ：サプライチェーンの信頼性能力が2者間を超えてステークホルダーに伝達される状態。例えば、カスタマーが製造業者に求める信頼性の期待が、上流のサブサプライヤーに伝わるなど、2者間で交換されたTWPが領域を超えて拡張されるもの。このような信頼の伝播は現状、サプライヤーとバイヤー間の契約の形でサポートされているのが一般的だ。将来的には、分散型IDや認証のために検証可能な情報である「クレデンシャル」といった技術により、サプライチェーン内の複数のノードに沿った信頼関係の伝播がサポートされると考えられる。

トポロジー3 ：サプライチェーンの全ノードの信頼性能力が追跡され、サプライチェーンのどの段階でも上流まで追跡可能である状態。サプライチェーンに沿った双方向の信頼を意味し、信頼性への期待と能力の両方がサプライチェーンの下流と上流に伝搬される。様々な規制や取引に関するルールがある中で、製品が適用される市場が明確になり、社会ルールを守った取引であることを証明できることは、サプライヤーにとってもメリットがある。トポロジー3が実現できれば、サプライチェーン全体の信頼性が確立される」と古川氏は期待を寄せる。

　ただサプライチェーン上でやり取りされるデータの信頼性の観点では、「ドイツを含め議論が不十分のようにも感じる」（古川氏）という。RRIは今後も「モノの信頼性に関する議論をドイツとの間でも深めていきたい」（同）考えだ。