1. 「見えない」ことを選んだUX──ローカル限定設計が示すセキュリティ現実
導入事例で紹介している当社システムは、客先ローカル環境からしかアクセスできないUXとして設計・実装されています。
社内LANや専用端末からのみ閲覧でき、インターネット越しのブラウザアクセスやスマホアプリは用意していません。
一方で、システム提供者である当社のみが24時間監視を行う構成とし、運用責任とアクセス権限を明確に分離しています。
「誰でもどこからでも見られる」構成ではなく、「責任を負える主体だけが見られる」構成です。
これは、新しい技術を使うことよりも、10年単位の長期運用を現実的なコストで維持できるかどうかを優先した結果です。
2. なぜ「ローカル限定UX」なのか
多くの設備・エネルギー・IoT系システムは、次のような構成を取っています。
- ローカルで取得したデータを
- HTTP/HTTPSでクラウドや外部サーバへ送信し
- Web画面やアプリのUXとして表示する
一見、とても便利です。
「どこからでも見える」「アプリで簡単に確認できる」といった価値が強調されます。
しかし、長期運用という観点で見ると、この構成は非常に高コストかつ高リスクです。
特に「見るだけ」「読むだけ」のUXであっても、通信経路と認証を維持する以上、攻撃対象から外れることはありません。
むしろ「制御していないから大丈夫」と誤解される分だけ、管理が甘くなりやすい領域だと考えています。
3. 「ローカル → サーバ → UX」が抱える現実的リスク
ローカルからクラウドへデータを送り、アプリやWebで表示する構成では、次のような要素が必ず必要になります。
- 常時アウトバウンド通信の維持
- APIキーや認証情報の安全な管理
- 中間サーバやクラウド側の脆弱性対応
- OS・ライブラリ・ミドルウェアの継続的アップデート
- ログや通信データが持つ法的責任
- 想定外アクセスに対する監視体制とインシデント対応
これらは「一度作れば終わり」のコストではなく、サービスを続ける限り発生し続けるランニングコストと責任です。 UXが「見るだけ」であっても、認証基盤と通信経路が存在する限り、攻撃面は残り続けます。
「書き込みしていないから安全」「重要な制御は行っていないから問題ない」といった前提のシステムほど、 後回しにされ、結果として最も脆弱な場所になりがちです。
4. 30年前とは、前提がまったく違う
かつて、設備へのリモートアクセスは次のような前提で成り立っていました。
- VPNを張り、専用線や固定IPで接続する
- ネットワーク管理者が構成を全体把握している
- アクセス主体と責任主体がほぼ一致している
現在はどうでしょうか。ISP側のCGNAT、モバイル回線前提の接続形態、ゼロトラスト思想、端末OSの強制サンドボックス化などにより、 「つなぐこと自体」がそれだけでコストと責任を伴う行為に変わっています。
それにもかかわらず、UXだけは「アプリで簡単に見える」方向へと加速し続けています。この非対称性が、 サポート終了・サーバ停止・アプリ廃止といった形で、これから一気に表面化していきます。
5. UXとは「見えること」ではない
本システムでは、日常的に画面を見る必要はほとんどありません。むしろ、
「止まらない」運用ほど、画面を見る頻度は下がる。
それでも、確認したい時にすぐ開けることが安心につながる。
という前提で設計されています。UXとは「常に表示されていること」ではなく、 不要なときに存在を主張しないことでもあります。
止まらない・乱れない・いつも通り。エネルギーやインフラにおける最高のUXは、 「特に何も起きない日常」を支えることだと私たちは考えています。
6. この設計判断の背景にある、もう一つの導入事例
6-1. u-Japanと「つなぐ」ことが正義だった時代
2000年代、日本は国家戦略として「ブロードバンド」と「ユビキタス」を掲げていました。 小泉政権下で進められたu-Japan政策は、「いつでも・どこでも・誰でも」ネットワークにつながる社会を目指し、 現在のIoTやスマートホームの原型となった構想です。
当社は2006年、このu-Japan政策において「ベストプラクティス事例」に選定されています。 展開していたのは、ホームコントローラ「SAMOS®」商標登録第4996781号というサービスでした。
- 携帯電話(ガラケー)から
- 住宅内の家電・各種センサーを
- 遠隔監視・操作できる
当時としては先進的なスマートホームそのものであり、業界初のランニングコスト0円、仕様やメーカーに依存しないユニバーサル設計が評価され、 年間約2万棟規模で導入されました。
6-2. ガラケー時代だから成立していたセキュリティ
SAMOSが安全に成立していた最大の理由は、当時の携帯電話(ガラケー)の特性です。
- 端末そのものが電波網に紐づいたハードウェアであること
- 機体番号(端末ID)を伴う通信で、なりすましが極めて困難であったこと
- ソフトウェア的に複製できる識別子が存在しなかったこと
当社はこの機体番号を認証キーの中核に据え、ユーザーが保持する電子認証と組み合わせて運用していました。 物理的に複製できない端末IDとユーザー認証を組み合わせた、現在でいう二段階認証の先駆けともいえる構造です。
この前提がある限り、「つなぐ」ことは十分に安全であり、遠隔操作・遠隔監視は合理的な選択でした。
7. すべてが変わった転換点と、「撤退」という決断
この状況が一変したのが、iPhoneをはじめとするスマートフォンの登場です。 FacebookやYouTube、アプリストアが急速に普及し、ユーザーの主端末はガラケーからスマートフォンへ切り替わりました。
スマートフォンは、
- アプリ単位のサンドボックス
- OSアップデートによる挙動変更
- ソフトウェア的に複製可能な識別子
といった性質を持ち、ガラケー時代に前提としていた「端末ID=物理的な本人性」というモデルは成立しなくなりました。 端末固有の物理IDをセキュリティの土台にできなくなった時点で、従来の認証モデルは根本から見直しが必要になったのです。
当社も代替となる認証方式を検討しましたが、
- 一つのキー喪失が致命的になる構造
- ユーザー側に運用責任を負わせてしまう危険性
- 将来にわたって続くセキュリティ維持コスト
を総合的に評価した結果、サービス継続は不可能という結論に至りました。
利益を上げ、サービスとして拡大していたにもかかわらず、2016年にSAMOSから完全撤退しています。
その理由はただ一つ、「未来が見えてしまった」からです。
無理に継続すれば、いつか必ず大きな事故か、
ユーザーに過剰な負担を強いる局面が訪れる。
それがはっきり見えた時点で、「つながない」という選択肢しか残りませんでした。
8. 経験が導いた、現在の設計──「つながない」オフグリッドUX
現在当社が採用しているのは、
- ローカル環境で完結するUX
- インターネットへ外部公開しない設計
- 必要な主体のみが監視できる構成
という、ごくシンプルな方針です。これは保守的な選択ではありません。
むしろ、 最も早く「つなぐ」ことを実現し、最も早く「つながない」決断をした経験があるからこそ辿り着いた、
もっとも現実的な構造だと考えています。
本導入事例で採用している構成は、次のように役割を切り分けています。
客先側
- ローカル環境からのみアクセス可能
- 外部公開なし・常時接続なし
- セキュリティ更新・運用負担を最小化
提供者側(当社)
- 24時間監視体制
- 責任主体としての外部アクセス
- 設計・運用・保守の統合管理
「見たい人は誰でも見られる」UXではなく、「責任を負える主体だけが見られる」UX。
それが、オフグリッド/エネルギーインフラの現場にとって、最も安価で、最も安全で、最も長続きする形だと考えています。
9. まとめ──「便利そうなUX」より、「責任を持てる設計」を
本記事で扱ったポイントを整理すると、次のようになります。
- ローカル→サーバ→UXという構成は、長期運用の視点で見ると高コストかつ高リスクである
- 30年前と違い、「つなぐこと自体」がコストと責任を伴う行為へと変化している
- UXとは「常に見えること」ではなく、「不要なときに存在を主張しないこと」でもある
- u-Japan時代にスマートホームを大量実装した経験が、「つながない」決断の背景にある
- ローカル限定UXと責任主体の明確化こそが、将来にわたって最も安価で安全な選択になりうる
オフグリッドや分散電源は、単に新しい電源を導入する技術ではありません。「どこまでを自分で制御し、どこからを外部に任せるのか」という、 設計思想と責任分界の問題でもあります。最も早く「つなぐ」ことを経験し、最も早く「つながない」決断をした立場から、 私たちはこれからも「責任を持てる範囲で完結するUX」を提供していきます。