SiC:エネルギー効率の向上を実現するために
エネルギー効率の向上は電力設計者にとって永遠の課題であり、初期のゲルマニウム整流器から今日のワイドバンドギャップ(WBG)半導体まで、長い技術進化の歴史がある。CO2削減が急がれる中、効率の向上だけでは不十分であり、社会、そして私たちの行動全てにおいて劇的な変化に直面している。最新のCOP26や国連が発表したレポートでも、その戦略的重要性が確認されており、カーボンベースの産業からカーボンフリーへと移行している。
再生可能エネルギーが拡大し、自動車、バス、トラックなどの地上輸送産業は、内燃機関からバッテリーで直接駆動する電気モーター、あるいは水素自動車のための燃料電池経由へと移行しつつあることは周知のとおりである。いずれの場合も、電力変換はマスターピースであり、エネルギーを最適な状態に管理するためには、ソフトウェアとハードウェアの最適な組み合わせが必要である。
サイリスタ、シリコンバイポーラ接合型トランジスタ、シリコンMOSFET、IGBT/IPMなどでパワーステージを設計するのが一般的だが、より高性能・高信頼性を求める中で、WBG半導体の開発は重要な技術的進化であり、結果としてすべてのパワー設計者は次世代製品へのWBG実装に大きな期待を持っている。
2000 年代初頭に炭化ケイ素(SiC)ダイオードを市場に投入してから、大手半導体メーカーが発表した最新の SiC MOSFET に至るまで、性能レベル、信頼性、コストにおいて目覚ましい進化を遂げてきた。これらすべてが、SiC技術を手頃な価格にし、電力変換段への実装と制御を容易にすることに貢献している。しかし、多くの電力設計者や私のような技術愛好家にとって、多くの疑問が残っており、このような技術に飛びつくことをためらい、採用が遅れているのが現状である。
10年足らずの間にWBGは関心を集め、採用されるようになったが、すべてのエンジニアにとって最も重要なことは、WBGについて学び、その知識を共有することである。自然科学者であるCharles Darwin氏は、「人類の長い歴史の中で、最も効果的に協力し即興することを学んだ者が勝ってきた」と述べているが、「AspenCore Guide to Silicon Carbide」は、知識共有の素晴らしい例であり、学習を容易にし、好奇心とさらなる進歩への扉を開いてくれることだろう。電力産業におけるアプリケーションの範囲は非常に広く、SiCはその多くに適している。このガイドは非常によく構成されており、研究から応用、さらには生産に至るまで一目でわかるようにまとめられている。
サプライチェーン問題の第二波が到来か
パンデミックによって、サプライチェーンの問題はメインストリーム・ニュースになったが、単に港で荷揚げを待つだけの船よりもはるかに重要なことがある。半導体や自動車をはじめとする多くの供給不足は、製品が出荷されるずっと以前から始まっていたことである。
先週開催されたSemiCon Westでサプライチェーンのセキュリティに関するパネルのモデレーターを務めたThe Next Solutions GroupのCEO、Raymond Kerins氏は、「製品を作るための原材料を手に入れることこそが真の懸念であり、製品の発明や製造ができなくなれば、それはもっと大きな問題となる」と述べている。
またRapidRatingsの会長兼CEOであるJames Gellert氏は、「現在の環境が異なっていて極端であるとしても、それは別の環境に過ぎず、サプライチェーンの不足に向かう企業の健康状態が、将来の業績を大きく左右することになる」とし、「もしも強い回復力があり、財務状態がよければ、衝撃を切り抜ける力もあるかもしれないが、何らかの形で弱体化した状態で臨めば、悪条件の影響を受ける可能性が高くなる。パンデミックに突入して、企業に投げかけられた課題は幾重にも重なっている」、と述べている。
ResilincのCEO兼共同創業者であるBindiya Vakil氏は、20年前に調達の仕事を始めて以来、サプライチェーンの崩壊を数多く経験しており、より多くのデータを活用することでサプライチェーンに透明性を持たせようと起業した。Gellert氏とVakil氏は、サプライチェーンのリスク管理を職務とするのは比較的新しいと指摘する。後者は、9・11危機後のサプライチェーンのリスクについて述べた「The Resilient Enterprise」の著者の授業を受けたという。この本の中で、Philipsの工場火災が大規模な混乱を引き起こし、Nokia Ericssonの携帯電話市場からの撤退につながったという事例が紹介されている。Resilincは、本質的にサプライチェーンのためのLinkedInであり、リスクを軽減することを望むなら、ダーツを投げて何かが刺さることを願うだけではだめだと認識している、とVakil氏は言う。ハリケーンや地震など、製品や材料、労働力を提供する能力に影響を与える問題であろうと、サプライチェーンをマッピングし、どのような施設が関係し、混乱が何を意味するかを明確かつ詳細に理解する必要がある。10年以上を経て、Resilincは50万以上のサプライヤーをマッピングしてきた。
Gellert氏は、同時期にサプライチェーンにおけるリスクマネジメントが進化し、より可視化されるのを目の当たりにしてきた。「企業は、サイロ化された方法とは対照的に、サプライヤーのリスクを協調的に見ることができるように、インフラと人員を設計している。
多くの企業は、納期、品質、価格といった従来のものだけでなく、インフォセックやサイバーセキュリティのリスクなど、サプライヤー内のコンプライアンスリスクにも目を向けるだろうと述べている。今日のリスクマネジメントには、幅広い領域が必要なのである。「財務状態が悪化している企業は、どこかで手を抜こうとするもので、それは納期や安全衛生、研究開発などにおける手抜きかもしれない。だから、リスクは、広範なリスクとそれが会社にどのような影響を及ぼすかを理解できるような方法で組み合わせる必要がある」とGellert氏は言う。
Vakil氏は、サプライヤーが倒産などの苦境を明らかにしたとしても、その時点では何もできない、つまり積極的にリスクを軽減するのではなく、反応するしかないことに気づいていない企業があると指摘する。企業の財務の健全性は、突然部品がなくなっても、何も見えないし、収入もないから問題ない。”利益もなければ、最大化するものもない”だのという。
光学チップがGPUよりも高速に最難関の数学問題を解く
光コンピューティングのスタートアップ企業であるLightelligenceは、イジング問題を通常のGPUセットアップの100倍以上の速度で実行するシリコンフォトニクスアクセラレータを実証した。
Lightelligenceのフォトニック演算コンピューティングエンジンは、Paceと呼ばれ、1GHzで動作する約12,000個のフォトニックデバイスで構成される統合光コンピューティングシステムである。これは、2019年に発表されたLightelligenceの100デバイスのプロトタイプ「Comet」に対して、約100万倍のスピードアップを意味する。また、今回のデモでは、Lightelligenceが同社のハードウェアでAIアクセラレーション以外のユースケースを初めて示したことになる。
Paceは、計算が極めて困難なNP-Completeクラスの問題のアルゴリズムを、既存のアクセラレータの何倍もの速度で実行することができる。すべてのアプリケーションで光学的な優位性を示すわけではないが、イジング問題を一般的なGPUよりも100倍速く実行し、イジング問題専用に作られたシステム(FPGA上で動作する東芝の分岐シミュレーションマシン)を25分の1で上回ったこともある。
NP完全問題は、状態空間が非常に大きく、解くのに膨大な計算資源を必要とする。また、解答に要する時間は、問題サイズの多項式で表される。イジング問題、グラフマックスカット/ミンカット問題、巡回セールスマン問題などがこれにあたる。実際には、バイオインフォマティクス、スケジューリング、回路設計、物質発見、暗号、電力網最適化などのアプリケーションでNP-Complete問題が発生する。
CEOのYichen Shen氏はEE Timesに、LightelligenceがNP-Completeアクセラレーションを実証することにしたのは、光コンピューティングの利点を説明するためだと語っている。
「当社の光コンピューティングエンジンの核心は、GPUよりもはるかに短時間で行列の乗算を終了できることだ」とShen氏は断言する。GPUは、64×64の行列の掛け算を完了するのに何百ものクロックを要するかもしれない。Lightelligenceは、これを10クロック以下、つまり約5nsecで処理できると主張している。
NP-Completeアルゴリズムの反復的な性質は、連続した行列の乗算が前の結果に依存している。そのため、システム電子部品に起因するボトルネックを最小化することができる。したがって、乗算の合間にデータをメモリと行き来させる必要はない。
「大規模な商用ユースケースでは、デジタルエレクトロニクスとメモリの読み書きによって、コンピューティングシステム全体が足を引っ張られることは間違いない。100倍とまではいかないかもしれないが、少なくとも数倍は速くなるだろう」とShen氏は言う。
Lightelligenceは、ボトルネックを緩和するために、データ放送やデータインターコネクトのためのフォトニック技術にも取り組んでいる。
情報漏えいの報告はいつから義務化されるのか?
SolarWindsのハッキング事件がサイバーセキュリティ業界を震撼させてから、1年が経った。
その結果、ソフトウェアのサプライチェーンの脆弱性、ソフトウェアの部品表をサプライヤーに要求すべきかどうか、重要かつ深刻度の高い脆弱性の可視性を高める必要性などが指摘された。これらの分野では、脆弱性開示プログラムなど、一定の進展が見られている。
また、特に重要なインフラを運用する組織が、データ侵害やその他のサイバー攻撃を迅速に報告するためのインセンティブも必要である。関連する法律がなかなか実現しない一方で、個人情報やその他の機密情報の漏洩があらゆる分野で続いている。
相次ぐ情報漏えい:11月、モバイル株式取引プラットフォーム「Robinhood」は、数百万人のユーザーの名前と電子メールアドレスが流出する被害に遭ったことを明らかにした。この情報漏洩には、さらに少数のユーザーの口座情報も含まれていた。
9月には、米国のすべての主要キャリアのSMSテキストメッセージをルーティングする企業であるSyniverseが、2021年5月からハッカーによる同社の業務およびITシステムのデータベースへのアクセスを知っていたことを、規制当局への提出書類を通じて明らかにした。侵入は5年以上にわたって発生した。Syniverseは、どのようなデータが流出した可能性があるかについては曖昧にしている。
一方、9月に明らかになったEpikのデータ流出は、壮絶なものだった。ウェブサービスのハッキングは、非顧客を含む1,500万人のユーザーに影響を与えた。
8月には、さらに大規模な情報漏えいが発生した。一つは、MicrosoftのPower Apps Portalに保存されていた1,000のWebアプリケーションの3,800万件のレコードが流出したものである。この記録には、Covid-19のコンタクト・トレーシング・プラットフォームや従業員データベースなどの機密個人データが含まれていた。
もうひとつは、T-Mobileの現在および過去の顧客5,000万人以上に影響を与え、その機密個人情報が盗まれたものである。
連邦政府の措置:SolarWinds以降、情報漏えい報告の義務化を求める声は大きくなり、現在の州レベルの寄せ集めの法律に代わる連邦法も制定された。
これを受けて、バイデン政権は5月に行政命令を出し、連邦政府機関とそのソフトウェア供給会社に対して、データ漏洩やサイバー攻撃の報告を義務付けた。しかし、この要件は範囲が限定されている。
すべての民間企業に影響するわけではないが、重要インフラを運用する組織に対する情報漏えいやサイバー攻撃の報告義務化については、SolarWindsのハッキング事件以来、作業が続けられている。
何カ月にもわたる議会での議論と、政府と業界の関係者による対話を経て、違反報告およびサイバー攻撃報告の義務化法案は9月に下院で承認された。しかし、今のところ上院を通過することはできていない。侵害報告とインシデント報告は超党派の支持を得ているが、12月7日に下院を通過した2022年国防権限法の妥協案には含まれていない。
省略された法案は、「2021年重要インフラ向けサイバーインシデント報告法」である。この法案は、重要インフラを運用する民間企業に対し、72時間以内にインシデントを米国サイバーセキュリティ・インフラ安全保障庁に報告することを義務付けるものである。
その他、他の連邦政府機関も議会の動きを待ってはいない。例えば10月には、司法省がデータ漏洩やサイバー攻撃の報告を怠った政府契約者を提訴すると発表した。
米国司法省副長官Lisa Monaco氏は、「あまりにも長い間、企業は情報漏洩を前面に出して報告するよりも、隠しておいた方がリスクが低いという誤った信念のもと、沈黙を選んできた」と述べている。連邦資金を受け取っている米国の請負業者は、False Claims Act(虚偽請求法)に基づき提訴される可能性がある。また、同法には民間人を保護する内部告発者規定もある。
IBMとSamsungがムーアの法則を拡張するVTFETを発表
IBMとSamsung Electronicsは、消費電力を85%削減することができると宣伝したIBMの新しいアーキテクチャに基づき、半導体設計におけるブレークスルーを主張した。両社は、Vertical Transport Field-Effect Transistors (VTFET)方式がFinFET設計よりも高い電力効率を提供し、現在の2次元ナノシートの閾値を越えてムーアの法則スケーリングを拡張する可能性があると発表している。FinFETは一般に、ウェーハの上に平らに置いて、電流が水平に流れるように設計されている。平面型トランジスタと比較して、FinFETは電力リークを低減し、より高いデバイス密度を提供することができる。VTFETは、FinFETとは異なり、チップの基板に対して垂直に配置され、電流を垂直に流すことができる、と両社は述べている。IBMのブログ記事によると、この設計により、例えばスマートフォンのバッテリー寿命を充電不要で1週間以上延ばすことができるとしている。VTFET技術がいつ商業的に利用できるようになるかは不明である。観測筋は、しばらく時間がかかるかもしれないと指摘している。
積層型トランジスタやナノチップを開発しているチップメーカーはIBMとサムスンだけではありません。他の数社は4nmや3nmのチップを開発中であり、1nmのチップ設計にスケールダウンする計画もある。
例えば、Taiwan Semiconductor Manufacturing Co.は最近、2022年に4nmと3nmのプロセス技術を使ったデバイスを生産する計画を発表した。
ロイター通信によると、積層型トランジスタはIntelでも開発中で、先週、チップに搭載できるトランジスタの数を最大50%増加させることを可能にする研究イニシアチブを発表している。
こうした技術的な取り組みを複雑にしているのが、サプライチェーンの混乱が続き、その結果生じるチップの不足である。半導体材料メーカーは、サプライチェーンの混乱を解消するために、製造工場とIC化学物質・材料メーカーをつなぐ取り組みを発表している。
一方、IBMとSamsungは、VTFETがいつ生産に入るかのタイムラインを示すことができなかった。
VTFETのリリースに先立ち、IBMは5月に世界初の2-nmチップの開発を発表した。
画素に処理を加え人間の視覚を模倣するスタートアップ企業
ジョンズ・ホプキンス大学からスピンアウトした初期段階の企業は、センサーの各ピクセルにメモリとコンピューティングを追加することで、マシンビジョンをより人間の視覚に近づけたいと考えている。Oculiは、消費者向けAR/VRシステムにおけるジェスチャー認識と視線追跡のための製品を開発している。その他の用途としては、スマートシティのインフラや、最終的には自動車のビジョンセンシングなどがある。
OculiのCEO、Charbel Rizk氏はEE Timesに対し、既存のイベントベースのビジョンセンシングフレームワークに対する話題を超えて、他の場所にもイノベーションの余地がたくさんあると語っている。
「マシンビジョンで今直面している問題は、異なる目的のために開発されたセンサやプロセッサを使い、それらを一緒にして、十分な処理を下流に投げれば問題が解決すると考えていることである。―なぜなら、問題はセンサーから始まっているからである。マシンビジョンは、画像をきれいに見せるためのものではなく、いかに効率的に情報を取得するかということである」と述べた。
Oculiのセンシング&プロセッシングユニット(SPU)チップは、人間の目の仕組みと同じように、ピクセルレベルで両方の機能を統合することを基本としている。Oculiのピクセルには、センサーとデジタル処理(ロジックと小さなメモリ)が含まれており、興味のあるものを検出すると、ピクセルが十分に賢くなり、情報を提供できるようになる。アプリケーションで必要であれば、フルフレーム出力も可能である。ユーザーは、プライバシー、レイテンシ、消費電力を最適化するために、さまざまな出力モードをソフトウェアで選択することができ、ほとんどのアプリケーションで、SPUはミリワットの電力で動作するという。
Oculiのセンサーは、イベントベースのビジョンを使用する既存のダイナミックビジョンセンサーと同様に、ピクセルデータの変化を検出するイベントを出力することができる。Rizk氏によると、このイベントタイプは、人間の視覚をエミュレートするのに必要な効率性に欠けるとのこと。
変化を探すのではなく、シーンにある何かを探す場合もあるとし、「現在のイベントセンサーは、その時点で何も情報を与えず、盲目になってしまう。フルフレームが必要な場合もある。そこで私たちは、ソフトウェアを使ってこれらの出力をすべて得られるようなアーキテクチャを構築した」と述べた。
すべてのピクセルが基本的な計算を行うことができるため、外部処理なしでSPUにアルゴリズムを実装することができ、フルフレーム画像やイベントに加えて、さらに2種類の出力が可能になる。
1つは「スマートイベント」で、フルフレームイメージと比較して帯域幅は10%未満だが、アプリケーションに十分な情報を含んでいる。スマートイベントは、カラーセンシングやデプスセンシングに基づくことも可能である。各ピクセルにメモリを搭載しているため、複数のフレームで一貫性を評価することができ、ノイズを除去することができる。また、純粋なイベントベースのビジョンと比較して、帯域幅も削減されている。
シカゴで行われたOculiのセンサーのフィールドテストでは、電子料金請求のために通過する車の車軸をカウントし、スマートイベントを使用して速度も推定した。
もう一つの出力である「実用的な情報」は、パターン認識技術を使用してSPUでスマートイベントを処理することにより、さらに帯域幅を削減することができる。アプリケーションによっては、さらなる視覚処理を必要としないものもある。
例えば、スマートシティのインフラストラクチャのフィールドテストの一部として配備されたOculiハードウェアは、顧客の要望により、鉄砲水警報システムとして機能するように再プログラムされた。カメラの前に落ちてくる雨粒を数えて降水量を推定するようにセンサーを較正し、雨粒の大きさや動きを識別することで降水量を推定した。
合成量子系が実世界の複雑なアプリケーションの解決に貢献
合成量子系を用いたシミュレーションは、従来の数値的アプローチが頻繁に失敗するNP-Hard問題(非決定論的多項式時間硬直性)に取り組むためのツールとして期待されている。Pasqalは、5人の科学者が2019年に設立したフランスの企業で、特にシミュレーションに適した量子処理ユニット(QPU)を開発中である。また、Nvidiaとの協業により、Nvidia DGX A100システム10台とNvidia InfiniBandネットワークで構成される量子コンピューティングセンターオブエクセレンスを構築し、ソリューションのポートフォリオを強化することを発表している。さらに、”フランス産業の再構築 “をテーマにしたパリでのイベント「Assises de L’Industrie」において、Usine NouvelleのStart-Up of the Year 2021賞を受賞している。電気自動車のスマートチャージ、ネットワーク設計、ネットワーク管理、ネットワークの信頼性、プロセス革新など、成功するための課題はほんの一例である。今日、量子プロセッサーは、トラップドイオン、超伝導回路、量子ドット、中性原子など、さまざまなプラットフォーム上に構築することが可能だ。どのような方法を用いるにせよ、設計者は2つの大きな障害を克服しなければならない。それは、パラメータを高品質に制御しながらアンサンブルサイズを拡大することと、これらの複雑で卓越したシステムに対する出力を検証することである。中性原子デバイスのトポロジーは、一般的な古典デバイスと比較した場合だけでなく、量子アナログに関しても、多くの側面で一種独特なものである。例えば、中性原子プラットフォームは、他の量子デバイスと比較して、より多くの量子ビットとより高い接続性を持つ量子レジスタを容易に実現することができる。PasqalのQPU:量子シミュレーションは、PasqalのQPUの最も有望な利用法であり、量子プロセッサを利用して、対象となる量子系に関する知識を得ることができる。20世紀にRichard Feynman氏が指摘したように、量子問題を解決するための計算資源として量子系を採用することは合理的だと思われる。中性原子量子プロセッサーは、純粋な科学的発見を助けるとともに、エネルギー貯蔵・輸送のための新材料の創製や、医薬品開発のための化学計算など、産業レベルで応用できる分野もいくつかある。Pasqalの顧客には、フランスの電力会社であるEDFが含まれている。エネルギー分野において、PasqalはEDFと共同でスマートモビリティのための革新的なソリューションを開発している。例えば、一日の終わりに充電が必要な電気自動車(フリートなど)を大量に抱える都市を考えてみよう。もちろん、充電をスケジュールし、将来の電力需要を管理する必要があるため、これは複雑な問題である。
Pasqalによると、スマートチャージとも呼ばれるこの問題の解決策は、従来のコンピュータでは見つからず、特に規模が大きくなると難しいという。しかし、量子プロセッサーを使えば、この問題を解決することができる。最近のブレークスルーにより、190個以上の原子を含む量子レジスタという、これまでにはなかったシステムサイズを達成することができるようになった。このように多数の量子粒子が相互作用することで、現在の古典的手法では不可能な多体系量子システムのダイナミクスをシミュレーションすることが可能になる。
Pasqal氏によれば、このアプローチには多くの利点があるという。まず、この装置は室温で作動し、冷却する必要がない。第二に、自然界に存在するものと同じ構造であること。第三に、パスカルの開発した量子コンピュータは、ヘアドライヤー4台分と非常に少ないエネルギーしか消費しない。最後に、Pasqalの量子ビットは光を使って制御することができ、ほとんどすべてのニーズに合わせることができる非常に強力なツールである。
モジュール式スマートフォン
欧州委員会の非法規的なサーキュラー・エレクトロニクス・イニシアチブを待っている間に、私たちは業界として「サーキュラー」の定義からどれだけ離れているのか、そして間違いなく追加の規制を受けることになるでしょうが、私は家電業界における循環思考の別の例を紹介しようと思う。
2010年に紛争鉱物の啓蒙活動から始まり、2013年に製造会社として法人化したFairphoneは、主流の家電製品を製造する魅力的な企業で、スマートフォンを生産している。現在はEU圏内でのみ販売されているが、先月書いた「Framework laptop」とコンセプトがやや似ている。Fairphoneは、その名の通り、アップグレード可能性や修理可能性だけでなく、サプライチェーンにおける人権にも着目している。
Fairphoneのウェブサイトでは、さまざまなスペアパーツやアップグレードが販売されている。私の旧式化しつつあるLG V20のスペアパーツは、新しいバッテリー以外には買うことができない。LGの純正バッテリーと同じラベルが貼られたものの非工場認定店での正当性は疑問だが、確かに、Fairphoneが販売しているようなカメラモジュール、スピーカー、イヤホンはない。
また、様々な売り手が、様々な製品の部品を販売している。ある部品は中古で、彼らはリファービッシュされたものだと主張しているが、他の部品は新品または実際のOEM品と称している。私は数年前、eBayで購入したUSB充電ポートで妻のSonyタブレットを修理することに成功したことがあるので、奇跡は起こるかもしれない。しかし、メーカーとしても消費者としても、製品のサポートはこのようなものでいいのだろうか?私たちは、修理ができるように設計され、カスタマーサポートが受けられることを望んでいるのではないのか?
Fairphoneの最新製品「Fairphone 4」の修理可能性は、昨年5月に紹介したフランスの修理可能性指数によると9.3点/10点となっている。
EUでは、家庭用食器洗い機や冷蔵庫、テレビやコンピューターのモニター・ディスプレイなどにも、規制の関係で修理や再利用を前提とした設計が取り入れられている。EUや米国で加速する「修理する権利」運動と来るべき規制により、非常に広範な家電・商業製品のメーカーは、製品アーキテクチャ、設計、製造目標や能力を変更し、最初から修理可能であるべき製品を修理可能にしなければならないと私は考えている。
米国といえば、先月、AppleがiPhone 12とiPhone 13の製品について「セルフサービス修理」を可能にすると発表した。これは大きなニュースであり、昔、iPhone 3Gの画面割れの交換に苦しんだ者としては、かなり歓迎すべきことである。実際、連邦取引委員会も同じかそれ以上に歓迎しているに違いない。昨年の夏、彼らは「中小企業、労働者、消費者、そして政府機関までもが自分たちの製品を修理することを妨げる修理制限に対する法執行を強化することを全会一致で決議した」のである。
私はAppleがこれらのメーカーの一つであるとは言わないが、私は3Gの画面の交換作業で新しいスクリーンを接着する際に、下手な作業をした結果、スクリーンの裏側に埃が入り込んでしまったことを思い出した。このように、モジュール性や修理性を高めつつ、機能性やお客様の期待に応えるための要件定義や技術的アプローチには、予見可能な問題が当然含まれることになる。
モジュール化には、相互接続の数が増えるというデメリットがあり、それは主に機械的な故障の可能性が増えることを意味する。
携帯電話のマザーボードの一部として設計されたカメラ・システムでは、このような相互接続をすべて追加する必要はないかもしれない。そのため、信頼性が損なわれる可能性があり、メーカーは機械的な堅牢性と信頼性を製品目標として意識的に取り組む必要がある。
IoTベンダーが脆弱性報告に難色を示す
IoTデバイスは記録的な数で増殖しており、データの窃盗や操作の乗っ取りを目的とした攻撃の増加もそれを上回っている。その一方で、消費者向けデバイスベンダーは、デバイスの脆弱性の報告に難色を示し続けている。1年半前にこのテーマを取り上げて以来、報告数はそれほど改善されていない。
IoTデバイスがどれだけ普及しているか、また今後普及するかについては、さまざまな推定がなされている。例えば、IoTアナリティクスは9月に、接続されているIoTデバイスの数は、2021年末までに世界中で123億台に達すると予測し、2025年には270億台以上になると予測している。昨年は、Covid-19パンデミックやチップ不足の影響で、デバイスの成長はわずかに鈍化した。
Kasperskyが9月に発表したデータによると、2021年上半期には、これらのデバイスに対する攻撃は倍増し、15億件に達している。
また、ForescoutとJSOFが発見した、1億台のIoT機器に影響を与える可能性のあるDNSバグ「NAME:WRECK」や、Nozomi Networksが報告した、数百万台の接続機器に影響を与えるセキュリティカメラの脆弱性など、脆弱性は引き続き明らかになっている。
7月には、Zscaler ThreatLabzの調査により、2020年12月15日から31日までの5億回のデバイストランザクションにおいて、IoTデバイスに対するマルウェアの攻撃が、ロックダウン前の2019年に行われた同様の攻撃と比較して700%増加したことが報告されている。
8月に発表されたOrdrの2021年版「Rise of the Machines」レポートによると、ネットワーク接続されたデバイスの40%以上が、従来のエンドポイントセキュリティエージェントでは保護できない「エージェントレス」になっている。これらのデバイスには、IP電話、プリンタ、セキュリティカメラ、バッジリーダーなど、産業界で一般的に使用されているデバイスが含まれる。接続されているデバイスの半数近くは、中程度および高程度の攻撃に対して脆弱であると言われている。
一方、Tripwireが昨年3月に実施した調査では、セキュリティ専門家の99%が、組織のIoTおよび産業用IoTデバイスのセキュリティ確保に課題があると回答している。また、約3分の2が、脆弱性を発見して修正しようとする際に問題があると回答している。
報告されていない脆弱性:脆弱性の報告プログラムは、現在、IoTデバイスのセキュリティの基本的な要件であると広く考えられている。しかし、IoT Security Foundationが発表したデバイスの脆弱性開示に関する第4回レポートによると、2020年の18.9%から2021年の21.26%への報告の増加はわずかだった。
若干の改善は見られるものの、2019年から2020年にかけて報告率が13.3%から18.9%に跳ね上がるのは、「規制要件を見越して」より多くの消費者向けデバイスカテゴリが追加されたことが主な原因だと、IoTSFのマネージングディレクターであるJohn Moor氏はEE Timesに語っている。報告書で取り上げられている保留または差し迫ったIoTセキュリティ規制には、英国政府および米国政府によるものが含まれている。例えば、英国では、IoTセキュリティ基準を義務化し、違反した場合には罰金を科すことを求めている。
2021年のIoTSFレポートでは、消費者と企業の実践の違いを評価するためにB2Bのカテゴリーが追加されたが、B2Bの数字はB2Cに比べてはるかに良いと同氏は言う。これは、効果的な協調型脆弱性情報開示プログラムを実施している企業が、大手の伝統的なITベンダーである傾向があるのに対し、小規模で比較的新しいコンシューマー企業はそうではないことが一因であるという。