ネットワーク接続型製品、そのライフサイクルのジレンマ

製品のライフサイクルは、どのくらいの長さであるべきでしょうか？当然ながら製品によります。自動車は何年も、時には何十年も使われますが、歯ブラシは数か月もすれば交換です。

ここに条件を1つ加えてみましょう。「ネットワークに接続する」製品のライフサイクルは、どのくらいの長さであるべきでしょうか？ネットワーク接続する製品が増える一方の今、答えに行き着くのは容易なことではありません。ケンブリッジ大学のロス・アンダーソン（Ross Anderson）教授は、第36回Chaos Communication Congress（36C3）の講演で、このトピックに触れました。私たちはそれをさらに少しばかり掘り下げてみたいと思います。

ネットワーク接続型製品のライフサイクル

インターネット接続しない製品は、インターネット接続する製品よりもハッキングされる可能性が低く、持ち主に不利益をもたらすこともあまりありません。ITセキュリティの観点からすると、こういった「”スマート”ではない」「インターネット接続しない」製品については考慮の対象外としてよいでしょう。

インターネット接続する製品となると、話は別です。こうした製品は、ライフサイクル全体を通して保護が必要です。場合によっては（たとえば、自動車の場合）、サイバーセキュリティと安全性が密接に関連しています。ジープのハッキング実験のことを覚えていますか？これこそまさにネットワーク接続型製品に起こりうることで、人命にも関わります。

製品の安全を保つには、サポートと定期的なソフトウェアアップデートが必要です。アップデートはタイムリーに行われなければならず、製品それぞれに対して一定数の人々が関わることになります。新製品リリースの頻度が上昇傾向にある現状では、すべてをうまく回すためにセキュリティ担当チームが必要になってきます。

そんなわけで、答えは単純なように思われます。「ネット接続型製品のライフサイクルはできるかぎり短くあるべきである」。スマートフォンは、保って3年くらいがだいたいの傾向です。発売から1、2年後にはその機種のパッチ提供をストップするスマートフォンメーカーもあれば、発売したきりパッチを出すことすらしないメーカーもあります。しかし、ここで別の問題が出てきます。持続可能性の問題です。

製品ライフサイクルと二酸化炭素排出の関係性

環境意識の高い人は環境に優しい製品をできるだけ選ぼうとするものですが、この姿勢は「できるだけライフサイクルを短く」の概念と真っ向から衝突します。どの製品も二酸化炭素排出と無縁ではないのですから。

あなたが使うネットワーク接続型製品は、環境に優しくなければならない。そこまでは明白です。では「環境に優しい」とは？燃料や電力の消費を抑えるだけでは十分ではありません。多くの場合、「もっと環境に優しい」製品を新しく購入することの方が、古くてあまり環境に優しくないものを使い続けるよりも地球にダメージを与えます。たとえば、一般的な自動車の二酸化炭素排出量は、運用している間の方が生産過程での排出量より少ないですし、スマートフォンの製造には、スマートフォンが寿命を迎えるまでに消費するエネルギーの約10倍のエネルギーが費やされます。

基本的に、環境に優しくあろうとするなら、私たちは皆、車やスマートフォンの新規購入をできるだけ最小限にとどめる必要があるということなのです。したがって、我らが地球を傷つけないようにするには、ライフサイクルはできるだけ長くあるべきです。

矛盾は明らかです。ネットワーク接続型製品のライフサイクルは、サポートのコストを抑えるために短くあらねばならない。一方で、地球を守るには製品ライフサイクルは長くあるべきである。どうしたらよいのでしょう？

ライフサイクルの難題を解く

解決の難しそうなこの問題には、実際のところ、解決策があります。サポートコストの削減は、製品ライフサイクルの短縮だけでなく、そもそも安全性の高い製品を製造することでも実現できます。要は、設計段階から安全性を考慮に入れるのです。安全な製品ならば、脆弱性を解消するために定期的なアップデートを実施する必要性があまりないので、ライフサイクル全体におけるサポートの必要性も下がります。

当然ながら、そもそも安全性を考慮した製品を作るということは、言うほど簡単ではありません。安全な土台（たとえば当社のKasperskyOS）をベースに製造する必要があります。KasperskyOSはデフォルト拒否/許可リスト機能を備えたマイクロコアベースのOSで、許可されたアクションだけを明示的に許し、それ以外のアクションは実行させません。こうすることで脆弱性は発生しにくくなります。脆弱性とは、デバイス作成者が想定しなかったアクションの実行を許すものであるからです。

KasperskyOSのようにセキュリティが考慮されたシステムを利用することで、ネットワーク接続型製品のサポートコストを削減し、ライフサイクルを引き延ばせる可能性があります。製品のライフサイクルが長いほど、エコロジーの観点から見てビジネスの持続可能性を保つことができます。

セキュリティが考慮されたシステムとKasperskyOSの詳細については、こちらのページ（英語）をご覧ください。日本語での解説は、こちらの記事を参照いただければと思います。