• Column
  • ”信用”を築くIoTセキュリティでAI時代の新脅威に備える

サプライチェーン全体で信頼できるデータ基盤に向けた標準化活動が重要に

「IoTセキュリティフォーラム2025」のパネルディスカッションより

阿部 欽一
2025年12月19日

EU(欧州連合)での「デジタル製品パスポート(DPP:Digital Product Passport)」導入など、グローバルなサプライチェーン全体でのデータ連携の重要性が高まっている。日独の製造業と議論を重ねるロボット革命・産業IoTイニシアティブ協議会(RRI)の会員企業であるアルゴグラフィックス、ソニーセミコンダクタソリューションズ、東芝、日立製作所、三菱重工業の担当者が「IoTセキュリティフォーラム2025」(主催:横浜国立大学 先端科学高等研究院、2025年9月3〜4日)に登壇し、データ連携の国際標準を見据えた議論を交わした。モデレーターは、RRI 産業セキュリティアクショングループ 委員の古川 文路 氏が務めた。(文中敬称略)

古川 文路(以下、古川) :ロボット革命・産業IoTイニシアティブ協議会(RRI)産業セキュリティアクショングループ 委員の古川 文路です。EU(欧州連合)を中心とした統合データ基盤プロジェクトである「Gaia-X」や「Catena-X」などの取り組みが活発になってきています。グローバルにサプライチェーン全体でのデータ連携が進む中で「トラスト(Trust:信頼)基盤」が注目されています。

写真1:ロボット革命・産業IoTイニシアティブ協議会(RRI) 産業セキュリティアクショングループ 委員の古川 文路 氏

甲斐 賢(以下、甲斐) :日立製作所 研究開発グループの甲斐 賢です。トラスト基盤は、企業同士が安心してデータをやり取りするための技術や制度、ルールをまとめたものです。日本では日本経済団体連合会(経団連)が発表した「産業データスペース」に関する提言において、トラスト基盤という言葉が盛り込まれたことで、産業界でも注目されるようになりました。利便性と保護の両立というバランスが重視され、データ活用が進むほどに信頼を確保する仕組みが不可欠になると考えられています。

写真2:日立製作所 研究開発グループの甲斐 賢 氏

 先行する欧州では「eIDAS2」という法制度の下に「トラストサービス」が定義され、電子署名やeシール、タイムスタンプなどの仕組みが、国境を越えて相互利用できる環境が整いつつあります。例えば、製品のトレーサビリティを確保するための「デジタル製品パスポート(DPP:Digital Product Passport)」でも、環境情報を信頼できる形で共有するために、トラスト基盤の活用を検討しています。

 日本では総務省を中心に制度設計が進んでおり、個人や組織の正当性や、データのなりすまし・改ざん防止といった観点で共通の仕組みづくりが急がれています。

古川 :トラスト基盤は、どのような技術で支えられているのでしょうか。

甲斐 :代表的な技術は公開鍵暗号や電子署名、電子証明書です。公開鍵暗号の仕組みにより、送信者が本物かどうかの確認や、データが改ざんされていないことの証明などが可能になります。

 電子証明書は「印鑑登録証明書」のデジタル版のような役割を果たし、認証局(CA:Certificate Authority)という第三者機関が発行します。それにより企業は、国境を越えても相手の正当性を確認できます。こうした技術を基盤にDX(デジタルトランスフォーメーション)やサプライチェーンのデータ連携が成立します。

データ流通では「信頼」と「信頼に応える能力」を分けて考える

古川 :企業間のモノの取引に関連する情報を共有・交換する仕組みを構築するためには「Trust」と「Trustworthiness」の2つの考え方が重要だと言われています。サプライチェーンのデータ連携では、これら2つの言葉は、どのように位置付けられていますか。

川端 健(以下、川端) :東芝 総合研究所 AIデジタルR&Dセンター セキュリティ基盤研究部の川端 健です。Trustは「信頼」、Trustworthinessは「信頼に応える能力」という意味で、データ流通の世界では特に、この2つを区別して考えることが重要です。

写真3:東芝 総合研究所 AIデジタルR&Dセンター セキュリティ基盤研究部の川端 健 氏

 モノの取引では一般に、購入者が製品やセキュリティ機能の品質を信頼しているのに対し、提供者は購入者に対しては大きな期待を寄せない場合が多い。しかしデータ流通では、データの利用者と提供者とが互いに期待を持ち、その期待に応える能力を確認し合う必要があります。

 期待に応える能力を確認する際には「TWE(Trustworthiness Expectation:信頼に応える能力への期待)」と「TWC(Trustworthiness Capability:信頼に応えるための能力)」という概念を使います。

 例えばデータの利用者が「このような条件でデータを提供してほしい」とTWEを提示し、データの提供者が「こうした条件を満たす能力があります」とTWCを示す。双方がこれを検証し納得したときにTrustが成立するというプロトコルです。一方向ではなく双方向で、それぞれの期待と能力を明確にすることが信頼関係の構築につながります。

古川 :データ連携の議論を進めるうえで重視しているポイントは何でしょうか。

川端 :具体的なユースケースの特定です。「どのデータが、どの程度重要か「「どれだけ改ざん防止が求められるか」はユースケスによって大きく異なります。

 そのため8つの検討項目を整理し、ユースケースの特定から課題定義、対象や関係者、共有・管理方法などを段階的に明らかにしてきています。こうしたプロセスを踏むことでTrustworthinessを具体化し、国際標準につなげていきたいと考えています。