TED日本語 - ダニー・ヒリス: インターネットがクラッシュする前にプランBを

TED日本語

TED Talks(英語 日本語字幕付き動画)

TED日本語 - ダニー・ヒリス: インターネットがクラッシュする前にプランBを

TED Talks

インターネットがクラッシュする前にプランBを
The Internet could crash. We need a Plan B
ダニー・ヒリス
Danny Hillis

内容

1970年代および1980年代のインターネットは寛大な精神で満ちていて、ユーザーの数はごく少数でまばらでした。現在インターネットはあまねく広がり、何十億もの人々や機器を繋ぐ必要不可欠なインフラとなっていますが、我々はサイバー攻撃やメルトダウンに対して脆弱になっています。インターネットは現在の規模に対応できるように設計されていなかった、とインターネットの先駆者のひとりであるダニー・ヒリスは主張します。時間の問題かもしれない万一のインターネットのクラッシュに備えて、『プランB』の代替ネットワークを並行して開発しておくことが必要だ、とダニーは警鐘を鳴らします。

Script

So, this book that I have in my hand is a directory of everybody who had an email address in 1982. (Laughter) Actually, it's deceptively large. There's actually only about 20 people on each page, because we have the name, address and telephone number of every single person. And, in fact, everybody's listed twice, because it's sorted once by name and once by email address. Obviously a very small community. There were only two other Dannys on the Internet then. I knew them both. We didn't all know each other, but we all kind of trusted each other, and that basic feeling of trust permeated the whole network, and there was a real sense that we could depend on each other to do things.

So just to give you an idea of the level of trust in this community, let me tell you what it was like to register a domain name in the early days. Now, it just so happened that I got to register the third domain name on the Internet. So I could have anything I wanted other than bbn.com and symbolics.com. So I picked think.com, but then I thought, you know, there's a lot of really interesting names out there. Maybe I should register a few extras just in case. And then I thought, "Nah, that wouldn't be very nice."

(Laughter)

That attitude of only taking what you need was really what everybody had on the network in those days, and in fact, it wasn't just the people on the network, but it was actually kind of built into the protocols of the Internet itself. So the basic idea of I.P., or Internet protocol, and the way that the -- the routing algorithm that used it, were fundamentally "from each according to their ability, to each according to their need." And so, if you had some extra bandwidth, you'd deliver a message for someone. If they had some extra bandwidth, they would deliver a message for you. You'd kind of depend on people to do that, and that was the building block. It was actually interesting that such a communist principle was the basis of a system developed during the Cold War by the Defense Department, but it obviously worked really well, and we all saw what happened with the Internet. It was incredibly successful.

In fact, it was so successful that there's no way that these days you could make a book like this. My rough calculation is it would be about 25 miles thick. But, of course, you couldn't do it, because we don't know the names of all the people with Internet or email addresses, and even if we did know their names, I'm pretty sure that they would not want their name, address and telephone number published to everyone.

So the fact is that there's a lot of bad guys on the Internet these days, and so we dealt with that by making walled communities, secure subnetworks, VPNs, little things that aren't really the Internet but are made out of the same building blocks, but we're still basically building it out of those same building blocks with those same assumptions of trust. And that means that it's vulnerable to certain kinds of mistakes that can happen, or certain kinds of deliberate attacks, but even the mistakes can be bad.

So, for instance, in all of Asia recently, it was impossible to get YouTube for a little while because Pakistan made some mistakes in how it was censoring YouTube in its internal network. They didn't intend to screw up Asia, but they did because of the way that the protocols work. Another example that may have affected many of you in this audience is, you may remember a couple of years ago, all the planes west of the Mississippi were grounded because a single routing card in Salt Lake City had a bug in it. Now, you don't really think that our airplane system depends on the Internet, and in some sense it doesn't. I'll come back to that later. But the fact is that people couldn't take off because something was going wrong on the Internet, and the router card was down.

And so, there are many of those things that start to happen. Now, there was an interesting thing that happened last April. All of a sudden, a very large percentage of the traffic on the whole Internet, including a lot of the traffic between U.S. military installations, started getting re-routed through China. So for a few hours, it all passed through China. Now, China Telecom says it was just an honest mistake, and it is actually possible that it was, the way things work, but certainly somebody could make a dishonest mistake of that sort if they wanted to, and it shows you how vulnerable the system is even to mistakes. Imagine how vulnerable the system is to deliberate attacks.

So if somebody really wanted to attack the United States or Western civilization these days, they're not going to do it with tanks. That will not succeed. What they'll probably do is something very much like the attack that happened on the Iranian nuclear facility. Nobody has claimed credit for that. There was basically a factory of industrial machines. It didn't think of itself as being on the Internet. It thought of itself as being disconnected from the Internet, but it was possible for somebody to smuggle a USB drive in there, or something like that, and software got in there that causes the centrifuges, in that case, to actually destroy themselves. Now that same kind of software could destroy an oil refinery or a pharmaceutical factory or a semiconductor plant. And so there's a lot of -- I'm sure you've read a lot in papers, about worries about cyber attacks and defenses against those.

But the fact is, people are mostly focused on defending the computers on the Internet, and there's been surprisingly little attention to defending the Internet itself as a communications medium. And I think we probably do need to pay some more attention to that, because it's actually kind of fragile. So actually, in the early days, back when it was the ARPANET, there were actually times -- there was a particular time it failed completely because one single message processor actually got a bug in it. And the way the Internet works is the routers are basically exchanging information about how they can get messages to places, and this one processor, because of a broken card, decided it could actually get a message to some place in negative time. So, in other words, it claimed it could deliver a message before you sent it. So of course, the fastest way to get a message anywhere was to send it to this guy, who would send it back in time and get it there super early, so every message in the Internet started getting switched through this one node, and of course that clogged everything up. Everything started breaking. The interesting thing was, though, that the sysadmins were able to fix it, but they had to basically turn every single thing on the Internet off. Now, of course you couldn't do that today. I mean, everything off, it's like the service call you get from the cable company, except for the whole world.

Now, in fact, they couldn't do it for a lot of reasons today. One of the reasons is a lot of their telephones use IP protocol and use things like Skype and so on that go through the Internet right now, and so in fact we're becoming dependent on it for more and more different things, like when you take off from LAX, you're really not thinking you're using the Internet. When you pump gas, you really don't think you're using the Internet. What's happening increasingly, though, is these systems are beginning to use the Internet. Most of them aren't based on the Internet yet, but they're starting to use the Internet for service functions, for administrative functions, and so if you take something like the cell phone system, which is still relatively independent of the Internet for the most part, Internet pieces are beginning to sneak into it in terms of some of the control and administrative functions, and it's so tempting to use these same building blocks because they work so well, they're cheap, they're repeated, and so on. So all of our systems, more and more, are starting to use the same technology and starting to depend on this technology. And so even a modern rocket ship these days actually uses Internet protocol to talk from one end of the rocket ship to the other. That's crazy. It was never designed to do things like that.

So we've built this system where we understand all the parts of it, but we're using it in a very, very different way than we expected to use it, and it's gotten a very, very different scale than it was designed for. And in fact, nobody really exactly understands all the things it's being used for right now. It's turning into one of these big emergent systems like the financial system, where we've designed all the parts but nobody really exactly understands how it operates and all the little details of it and what kinds of emergent behaviors it can have. And so if you hear an expert talking about the Internet and saying it can do this, or it does do this, or it will do that, you should treat it with the same skepticism that you might treat the comments of an economist about the economy or a weatherman about the weather, or something like that. They have an informed opinion, but it's changing so quickly that even the experts don't know exactly what's going on. So if you see one of these maps of the Internet, it's just somebody's guess. Nobody really knows what the Internet is right now because it's different than it was an hour ago. It's constantly changing. It's constantly reconfiguring.

And the problem with it is, I think we are setting ourselves up for a kind of disaster like the disaster we had in the financial system, where we take a system that's basically built on trust, was basically built for a smaller-scale system, and we've kind of expanded it way beyond the limits of how it was meant to operate. And so right now, I think it's literally true that we don't know what the consequences of an effective denial-of-service attack on the Internet would be, and whatever it would be is going to be worse next year, and worse next year, and so on.

But so what we need is a plan B. There is no plan B right now. There's no clear backup system that we've very carefully kept to be independent of the Internet, made out of completely different sets of building blocks. So what we need is something that doesn't necessarily have to have the performance of the Internet, but the police department has to be able to call up the fire department even without the Internet, or the hospitals have to order fuel oil. This doesn't need to be a multi-billion-dollar government project. It's actually relatively simple to do, technically, because it can use existing fibers that are in the ground, existing wireless infrastructure. It's basically a matter of deciding to do it.

But people won't decide to do it until they recognize the need for it, and that's the problem that we have right now. So there's been plenty of people, plenty of us have been quietly arguing that we should have this independent system for years, but it's very hard to get people focused on plan B when plan A seems to be working so well.

So I think that, if people understand how much we're starting to depend on the Internet, and how vulnerable it is, we could get focused on just wanting this other system to exist, and I think if enough people say, "Yeah, I would like to use it, I'd like to have such a system," then it will get built. It's not that hard a problem. It could definitely be done by people in this room.

And so I think that this is actually, of all the problems you're going to hear about at the conference, this is probably one of the very easiest to fix. So I'm happy to get a chance to tell you about it.

Thank you very much.

(Applause)

さて ここにある本には1982 年の時点で Eメールアドレスを所有していた全員の アドレス帳です(笑) 外見はかなり大きいのですが 実際には 1 ページにつき 20 人くらいしか載っていません 一人ひとりの名前や住所 電話番号が記載されているからです そして 全員が 2 回ずつ掲載されています 名前順と メールアドレス順の二通りで記載されているからです お察しの通り 小さなコミュニティでした 当時『ダニー』という名の人は私以外に2人しかいませんでした 2 人とも知り合いでした 全員とは知り合いではなくても なんとなく全員がお互いを信頼していました この基本的な信頼感は ネットワーク全体に浸透していて お互いに頼っていいんだという気持ちが 本当に感じられました

初期のインターネットコミュニティにおける相互信頼の 度合いを察して頂くために 当時の新しいドメイン名の登録の状況をお話ししましょう 実はインターネットで世界3番目の ドメイン名を登録したのは私なのです 何でも好きなドメイン名を選べました bbn.com か symbolics.com 以外であれば そこで think.com を選びましたが 他にも面白そうなドメイン名はたくさんあるので 念のため幾つか追加で登録しておこうかとも考えました でも結局『悪いから やめておこう』

という結論に達しました(笑)

必要なものだけを取るというのが 当時のネットワーク上の皆の姿勢でした ネットワーク上の人々だけに限りません インターネットのプロトコル自体に この姿勢が組み込まれていました IP(インターネットプロトコル)の基本的な考え方 および IP のルーティングアルゴリズムは 『能力に応じて働き、必要に応じて受け取る』 というモットーに基づくものでした たとえば自分の帯域に余裕があれば 他人のメッセージを届け 逆に他の回線に余裕があれば自分のメッセージを送ってもらう 全員がそれをしてくれるという信頼が インターネットの基盤となっていたのです このような共産主義的な原理が 冷戦時代に防衛省によって開発されたのは とても興味深い出来事でしたが インターネットの成功で分かるように この仕組みはとてもうまく行きました 信じられないほどの成功を収めました

あまりにも成功してしまったので 今日 このような本を作るのは無理な話です 私の概算では 40km以上の厚さになるでしょう 作れるはずも ありません Eメールアドレスを持っている全員の 名前を知らないからです 仮に名前を知っていたとしても 名前や住所 電話番号が公にされるのを 望む人は誰もいないでしょう

現実の問題として インターネット上には悪人がたくさんいます この問題に対処するために様々な 壁で守られたコミュニティを作りました セキュアなサブネットや VPN などインターネットそのものとは違いますが インターネットと同じ技術に基づいています 信頼を前提に作られた基盤を使って 安全なものを作ろうとしているということです その結果 ある種の間違いや ある種の意図的な攻撃に対して 脆弱です 単純なミスだけでも大事になりかねません

たとえば 最近 アジアの地域でしばらくの間 YouTube がアクセス不能になりました パキスタンが 国内ネットワークからの YouTube アクセスを遮断するのにミスを犯したからです アジア全体を巻き込むつもりはありませんでしたが プロトコルの仕様のため そのような結果になりました 多くの皆さんに関係する 別の例があります 記憶に残っている方もいると思いますが 数年前 ミシシッピ州 以西で航空機が全てが足止めになりました ソルトレークシティにある たったひとつのルーティングカードに バグがあったせいです 航空システムがインターネットに依存しているとは 誰も思いませんしある意味ではその通りです これについては後で詳しく説明します しかし事実として ルーターの故障により インターネットに不具合が生じ 飛行機を飛ばせなかったのです

このようなことは頻繁に起きるようになりました たとえば 昨年の 4 月に興味深い事件がありました 何の前触れもなく 米国軍の基地間の通信も含め ほぼ全てのインターネット上の通信が 中国を中継するようになってしまったのです 数時間 すべての通信が中国を中継しました 中国電信は うっかりミスだと主張しました その可能性も十分にありますが 悪意のあるミスをしようと思ったら それも十分に可能なのです システムが如何にミスに対して脆弱かを示しています 故意的な攻撃に対してどれだけ脆弱か想像してください

現代において 誰かが米国や西洋文明を 本当に攻撃しようと思ったら 戦車なんて使わないでしょう 成功しないですからね やるとしたら イランの核施設に対して 仕掛けられたような攻撃でしょう この攻撃に関しては誰も名乗りを上げていません そこは産業機械ばかりの工場の様なもので インターネットには繋がっていないはずでした インターネットからは隔離されているはずだったのに 誰かがUSBドライブを持ち込んだか あるいは違う方法でソフトウェアが混入し その結果 遠心分離機が このケースでは 自己破壊してしまいました 同様のソフトウェアは製油所や 薬品工場 あるいは半導体工場も破壊できるでしょう 新聞などでお読みなっていると思いますが サイバー攻撃は大きな心配の種であり 防御策にも関心が高くなっています

しかし多くの人々は インターネット上の コンピュータの防御のみに着目し 通信インフラであるインターネット自体の 防御については驚くほど関心が低いのです インターネットの防御にも注目が必要です インターネットはある意味 とても脆弱だからです インターネットが ARPANET だった 初期には 障害が何度もありました ある時には完全にダウンしてしまいました その原因はたった一つのメッセージプロセッサに バグがあったからでした インターネットの仕組みでは ルーター同士で 自分はどうメッセージを届けられるかという 情報をやりとりしています 問題のあったプロセッサではカードの故障のため メッセージを負の時間で伝達できると 判断してしまいました 送信時刻より前にメッセージを届けられると主張したのです そうなると メッセージを送る最速の方法は 当然 この壊れたもの経由となります 時間を逆戻りして届けてくれるんですから その結果 インターネット上のすべてのメッセージは このノードに集中してしまい もちろん ものすごい渋滞が発生し 色々なものが壊れ始めました 興味深いのは 当時のシステム管理者が 問題を直すことができたのですが インターネット上の全ての機器のスイッチを入れ直さなければならなかったということです 現在 それは無理な話です 全てのスイッチを切るというのは プロバイダーから障害の連絡を受けるようなものですが それが世界規模で’起こるのです

色々な理由でこれは現在不可能です ひとつの理由は 連絡に使う電話でさえ スカイプなどを含む IP 通信を使ったり インターネット経由のものが多いからです 我々は いろいろな方面でインターネットに 依存しはじめています ロサンジェルスから飛行機に乗って離陸する時 インターネットについて特に意識しません ガソリンスタンドで給油している時も意識しません しかしこのようなシステムの多くが インターネットを使うようになっています まだインターネット上に構築されたものは少ないですが 徐々にサービス機能や業務管理のために インターネットが利用されつつあります たとえば携帯電話のシステムは ほとんどの部分ではインターネットから独立していますが インターネットの要素が制御や業務管理の方面で 浸透しはじめています インターネットと同じ原理の利用は魅力的です 実績があり 安価であり そして 繰り返し使えるからなどの理由で より多くのシステムが 同じ技術を利用するようになり その技術に依存しはじめています 近代の宇宙船でさえ インターネットプロトコルを使い ロケットの先端から反対側までの通信を実現しています そのような用途で設計されていないので クレイジーです

構築されたシステムの 個々の部分については理解しているものの まったく想定していない形で利用されています 利用の規模に関しても 当初のデザインから大きくかけ離れています 現在インターネットが どのような用途で使われているかを 正確に理解している人は誰もいません インターネットは金融システムのように 新しい巨大システムに変わりつつあります 私たちが 個々の部分を設計したにもかかわらず 全体として実際どう機能するかとか 詳細や 影響について誰も厳密に理解していません もし専門家がインターネットについて語り あれができる これができる あるいは これが起きる などの主張を聞くとき 皆さんは疑うべきでしょう 経済についての経済学者のコメントや 気象予報士の予報と同じことです 彼らは情報に基づいた見解はあるでしょうけど あまりにも早く状況が変化するため 専門家でさえ実情の把握は難しいのです もしこのような地図をインターネットで見かけたら 誰かさんの推測に過ぎないと考えてください 現在のインターネットの状態は誰も知りません 1時間前と比べても変わっているからです 常に変化して 常に構成が変わっています

問題はこれです 我々は何かの大きな災害に向かっているのではないか 金融システムにおいて起きた危機と同様に 基本的に信頼に基づいた 基本的には小規模向けに構築されたシステムを 元に意図した機能の限界を超えて 拡張しているのです 現時点での真実として 効果的なサービス拒否攻撃(DoS攻撃)が インターネットにどのような 結末をもたらすのか 分かりませんが 言えるのは 影響は今年、来年、再来年と 年を増すごとに醜くなるでしょう

ここで必要なのはプラン B です 現在は代替案がありません インターネットから入念に独立させた まったく異なる基盤構成要素を使った バックアップシステムなど存在しません 必要なのは インターネット同等のパフォーマンスを 有するシステムではありませんが インターネットがない状態でも 警察が消防署を呼び出せたり 病院が燃料を注文できるシステムが必要です 何十億ドルもする政府のプロジェクトである必要はありません 技術的には比較的簡単なものなのです 既存の地下ファイバー網を利用したり 既存の無線基盤を利用できるからです やろうと思えばいつでもできます

しかし人々はその必要を感じるまでは 実行に移そうとは考えません これが現在の問題でしょう 多くの人々が 何年も前から 静かに 独立したシステムの必要性を訴えてきました しかし プラン A が表面上はうまく機能している間は プラン B に注目させるのは難しいのです

人々がどれほどインターネットに 依存し始めているのかを理解し その脆弱さを理解すれば もうひとつのシステムの存在を 欲するようになり そして もし多くの人が『そのシステムがあれば使いたい』 と思うようになれば 実際に構築されるでしょう 難しい問題ではありません 会場の皆さんであれば作れるでしょう

実際に このカンファレンスで皆さんが聞く 多くの問題の中で 一番簡単に解決できる問題のひとつだと思います ですから 今日このお話をできてよかったと思っています

ありがとうございました

(拍手)

― もっと見る ―
― 折りたたむ ―

品詞分類

  • 主語
  • 動詞
  • 助動詞
  • 準動詞
  • 関係詞等

関連動画