イベント

信頼の連鎖がサプライチェーン全体の信頼性を確立する

「IoTセキュリティフォーラム 2022 オンライン」より、ロボット革命・産業IoTイニシアティブ協議会/東芝の古川 文路 氏

デジタル技術が牽引する「Industry 4.0(第4次産業革命)」の実現に向けては、グローバルなサプライチェーンにおける取引のリスクを低減する信頼性(Trustworthiness)の確立が不可欠だ。古川文路氏は、サプライチェーンにおける組織とモノの信頼性について解説した。

 ロボット革命・産業IoTイニシアティブ協議会(RRI:The Robot Revolution & Industrial IoT Initiative)は2015年、政府のロボット戦略に基づいて設立された民間主体の協議会である。その目的は、製造業のデジタル変革プロジェクト「Industry 4.0(第4次産業革命)」を進めるドイツと連携し、両国での知見を共有しIndustry 4.0の実現を支援することにある。

 RRIには、主に製造業と業界団体、研究機関や大学など約400の組織・個人が加盟し、いくつかのワーキンググループ(WG)に分かれて活動している。RRIのメンバーで、東芝 技術企画部 サイバーセキュリティセンター 参事の古川 文路 氏は、「産業セキュリティアクショングループ」に所属し、「企業や国を超えたモノや情報のやり取りに必要な 『信頼性(Trustworthiness)』を確保するために、日独の知見と経験を共有しながらメンバー間で議論を重ねている」と活動内容について話す。

写真1:ロボット革命・産業IoTイニシアティブ協議会(RRI)メンバーで東芝 技術企画部 サイバーセキュリティセンター 参事でもある古川 文路 氏

 信頼性の重要性を古川氏は、「グローバルなサプライチェーンやバリューネットワークでは、地理的な位置に関係なく、すべてのプレーヤーをカバーする包括的な信頼性を提供できるアーキテクチャーが求められる。製造業は今、『急速に変化する顧客ニーズに応える製品開発』や『サプライヤー間で協力したセキュアな製品開発』『インターネットを活用した適切なサプライヤーの発見』への取り組みを迫られているからだ」と強調する。

 そこで求められる信頼性について産業セキュリティアクショングループは、「潜在的な契約相手の期待に検証可能な方法で応えるサプライヤーの能力に相当する」と定義する(図1)。

図1:産業セキュリティアクショングループによる「信頼性(Trustworthiness)」の定義

デジタル経済では、まず組織の信頼性が求められる

 グループの議論の対象は、「組織」と「モノ(Product)」の信頼性のあり方である。具体的には、従来の製造管理や品質管理の手法に対し、デジタルを活用することで信頼性を、より高められる手法の確立を目指す。

 まず組織の信頼性の確保において、重視するのがオンライン調達の側面である。その理由を古川氏は、「ドイツのWGメンバーと議論するなかで、契約前に実行するオンライン調達を注目した。バイヤーは取引リスクを低減するために、契約締結の前にサプライヤーが取引先として信頼できるかどうかをオンラインで確認できる必要があるからだ」と説明する。

 そこで検討したのが、バイヤーとサプライヤーの双方が機械的に読み出し可能な「Trustworthinessプロファイル(TWP)」の交換による信頼関係の構築である。TWPには、取引相手の真正性や、製品/サプライヤーの生産活動におけるセキュリティ対応能力などの項目を記載する。

 想定するプロセスは、こうだ。まずバイヤーが、サプライヤーの信頼性を評価するために、セキュリティ管理策の実施状況や評価基準などを含む質問票を取引先候補に開示する。

 取引に関心のあるサプライヤーは、質問票への回答と、その回答を裏付けるエビデンスをバイヤーに提示する。このサプライヤーの回答票がTWPになる。バイヤーはTWPを参照し、各社の信頼レベルが事前に設定した期待値に合っているかどうかを検証・判定し、期待値に最も近いサプライヤーを選べば良い。契約に向けて不十分な項目があれば追加の要求を出してもよい。

 「TWPに含まれる要素は、グローバルで共通であり、かつ個々の製造分野固有の状況を含めて最適化されたプロファイルになるべきだ。そのためには、ISO(国際標準化機構)やIEC(国際電気標準会議)の国際規格や各国固有の規格など、主要なセキュリティ標準をベースに製造現場において実績のあるセキュリティ管理策も参考にする必要がある」と古川氏は話す。

 RRIでは、サプライチェーンにおける組織のセキュリティ管理と運用に関するTWPに必要な要素を可視化した質問票を開発し、インターネット上で無料でダウンロード可能にしている(RRIサプライチェーン質問票)。質問票は、表形式に整理された25の質問項目からなる。各質問項目に答えることでサプライヤーは、セキュリティに関する信頼レベルやセキュリティ対策状況の成熟度を可視化できる。