• Column
  • ”信用”を築くIoTセキュリティでAI時代の新脅威に備える

サプライチェーン全体で信頼できるデータ基盤に向けた標準化活動が重要に

「IoTセキュリティフォーラム2025」のパネルディスカッションより

阿部 欽一
2025年12月19日

サスティナビリティに関する製品データの流通も始まる

古川 :製品に関わるデータとして「PRD(Product Related Data:製品要求仕様書)」の議論が進んでいます。

益 啓純(以下、益) :アルゴグラフィックス ALMビジネス推進統括部の益 啓純です。PRDは、製品に付随するCO2(二酸化炭素)排出量やリサイクル性、耐久性など、持続可能性(サステナビリティ)に関わる多様なデータを指します。EUの「持続可能な製品のためのエコデザイン規則(ESPR)」にも具体例が列挙されており、PRDを製品と共に流通させることが求められています。

写真4:アルゴグラフィックス ALMビジネス推進統括部の益 啓純 氏

:PRDにおけるTrustとTrustworthinessの確保に向けては、例えば、製造過程でのCO2発生量データを、その利用者は「Trustだ」と言うためには、データの提供者が複数の要件に対するTrustworthinessを証明する必要があります。計測方法の妥当性や、データと製品の正確な紐付け、保存・送受信・利用条件の遵守といった要件です。

 経済産業省の「CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)」では、PRDを扱うための3層モデルが提示されています。(1)フィジカル層(計測)、(2)中間層(紐付け・管理)、(3)サイバー層(流通・利用)の3層です。

 利用者から提供者へのTWEとしては、標準化された計測技術、認定された測定者、識別ルールの遵守、データ保存・送受信手順の確立などがあります。提供者から利用者へのTWCとしては、これらのTWEをエビデンス(証拠)をもって示すことが求められます。TWE/TWCを双方向にやり取りし、検証可能な状態にすることでTrustworthinessが確認され、最終的にデータがTrustであることが担保できます。

サプライヤーの負担軽減には標準化が重要に

古川 :データを提供する側、いわゆるサプライヤーの立場から見ると、Trustworthinessは、どのような意味を持ちますか。

馬原 久美子 :ソニーセミコンダクタソリューションズ イメージングシステム事業部の馬原 久美子です。サプライヤーにとっては「提供したデータが予期しない使われ方をしないか」という懸念は大きいです。だからこそ、データの利用者に対して適切な利用条件を提示し、その条件が守られるかどうかを確認する必要があります。つまり、データの提供者が一方的に責任を負うのではなく、利用者との間でTWEとTWCを明確にし、相互に確認することが重要になります。

写真5:ソニーセミコンダクタソリューションズ イメージングシステム事業部の馬原 久美子 氏

 製造業のケースでは、素材のサプライヤーは相対する部品サプライヤーにのみデータを開示すれば良かったものが今後は、サプライチェーン全体でデータを管理することになれば、より下流のサプライヤーにもTWCとしてのデータを開示する必要があります。

 そこではデータの提供者は、改ざん防止や、なりすまし防止の仕組み、アクセス制御、利用条件の明示などが不可欠になります。データを受け取った側が、そのデータをどのように使っているのかを追跡し、逸脱があれば検知できる体制づくりも課題です。RRIのセキュリティAGのメンバーの間でも「どのレベルまでのエビデンスを、どのタイミングで示すべきか」について議論を重ねています。

 そこで期待されるのが、トラスト基盤の国際連携や標準化です。国や企業ごとにルールが異なるとサプライヤーの負担は増大します。TWEとTWCのプロトコルの標準化が進めば、共通の基準に沿ってデータの提供・利用が可能になり、コストやリスクを抑えられるはずです。サプライヤー側から見ても標準化は非常に重要だと感じています。

信頼できるデータ連携が持続可能な社会や新たなビジネス創出につながる

古川 :今後、TrustとTrustworthinessの議論は、どのような方向に進むと考えられますか。

安西 史圭 :三菱重工業 デジタルイノベーション本部 EPI部の安西 史圭です。製造業が描く“目指すべき世界”は、サプライチェーンに関わる全ての企業が、共通の言語と基準に基づいてデータをやり取りし、その信頼性が自動的に検証できる状態です。製品の環境情報や工程情報が、サプライチェーンでリアルタイムに共有され、その正当性を誰もが確認できれば、持続可能性への取り組みも製品価値の訴求も格段に進むからです。

写真6:三菱重工業 デジタルイノベーション本部 EPI部の安西 史圭 氏

 そのためには単なる技術導入ではなく、文化やプロセスを含めた全体最適が重要です。「誰が、どのデータを、どのように扱い、どのレベルのエビデンスを示すか」について予め合意したうえで運用することが欠かせません。

 RRIやドイツの産業政策である「Industry4.0」との協力は、その実現に向けた大きな一歩です。TWE/TWCをISO(International Organization for Standardization:国際標準化機構)に提案する動きも着実に進んでいます。標準化により、企業規模にかかわらず、公平で効率的なデータ連携が可能になると期待しています。

 競争領域では競合する企業同士でも、セキュリティやトラストは協調領域です。国境を越えたサプライチェーンで信頼できるデータ流通を確立できれば、ものづくりの価値をデータに反映しやすくなり、持続可能な社会や新たなビジネス創出にもつながります。それが私たちが目指す世界です。

古川 :RRIの産業セキュリティアクショングループは、ドイツの業界団体「プラットフォーム インダストリー4.0」とホワイトペーパーをまとめ毎年、産業展示会「ハノーバーメッセ」で発表してきました。現在はTWE/TWCの概念をISOに提案し国際標準化を目指しています。

 今後は「誰が、どのようにデータを扱うか」を明確にし、その能力をエビデンスとともに提示する文化が広がるでしょう。サプライチェーン全体で「Trustできるデータ連携」が実現し、製造業の未来を支える基盤になると考えています。