
7万3,000台の「スマート」メーターが一夜にして機能停止——インフラ向けAIの作り方の何が間違っているかを、すべて露呈させた事件
中規模の水道事業を運営する友人が、ある土曜の朝に私に電話をかけてきた。近況報告のためではない——愚痴をこぼすためだった。彼のチームは、前週にスマートメーター群へ配信されたファームウェアのアップデートが、数千件のアカウントの請求データを密かに破損させていたことを、たった今突き止めたところだった。ダッシュボード上ではメーターは問題なく見えた。どこも緑のランプが点灯していた。しかし請求システムに流れ込む数値は誤っており、顧客からの苦情が押し寄せるまで誰も気づかなかった。
「ベンダーは既知の問題だと言っている」と彼は言った。「パッチを準備中だそうだ」
私は、メーターがどれくらいの間、不正なデータを送信していたのかと尋ねた。彼は一瞬言葉を詰まらせた。「おそらく9日ほどだと思う」
あの会話は私の心に残った——テクノロジーが故障したからではなく、その失敗がいかに目に見えないものだったかによる。これらはオフラインになったメーターではなかった。動き続けたまま、もっともらしく見えるが密かに誤ったデータを送信していたメーターだった。そして北米と英国全体のスマートメーター故障について調べ始めたとき、私は友人の土曜の朝の危機が、はるかに大きな物語の脚注にすぎないことに気づいた。
7万3,000台のメーターが沈黙した夜
テキサス州プラノでは、市はAclara Technologies製のスマート水道メーター8万7,000台に1,020万ドルを投じ、20年もつことを期待していた。ところが2023年までに、バッテリーが早期に消耗し始めた。ベンダーの解決策は? 消費電力を最適化するために、2024年11月に配信されたリモートのファームウェア・アップデートだった。
そのアップデートが、7万3,000台のメーターを文鎮化させた。
「性能低下」ではない。「断続的な不具合」でもない。電子式の伝送システムが、単純に動作を停止したのだ。ダラス・フォートワース都市圏にある人口およそ30万人の都市プラノは、臨時の検針員を20人雇い、一軒一軒を歩いて回る方式に逆戻りせざるを得なかった。費用は2年間で76万5,000ドル、しかもこれは手作業の人件費だけの額だ。
私はこの苦い皮肉に何度も立ち返ってしまう。そのファームウェアが本来解決するはずだったのは、バッテリーの問題だった。ところが実際には、それは局所的なハードウェアの問題を、ネットワーク全体の崩壊へと変えてしまった。私はこれを「ファームウェア・バッテリーのパラドックス」と呼ぶようになった——ハードウェアの寿命を延ばすために設計されたソフトウェアが、その故障を引き起こす主要なメカニズムになるのだ。
ハードウェアの寿命を延ばすために設計されたソフトウェアが、しばしばその故障を引き起こす主要なメカニズムになる。
そして、プラノだけではない。トロントは早期劣化により47万台の送信機を失い——初期の是正費用は560万ドルにのぼった。メンフィス電力・ガス・水道公社(Memphis Light, Gas and Water)は、スマートメーター群全体で8%という系統的な故障率に直面し、修理のために900万ドルを引き当てた。英国では、規制当局が注視し始めて以来、90万台を超えるスマートメーターが修理または交換されている。
私は、こうした故障の背後にある技術的アーキテクチャについて、より詳しく私たちの研究のインタラクティブ版で書いた。しかし、どこを見てもパターンは一貫している。公益事業者は送電網のデジタル化に何十億ドルも費やしたのに、「スマート」なインフラは、それが置き換えた機械式メーターよりも速く故障しているのだ。
なぜスマートメーターは早死にするのか?

私のチームが根本原因の分析を始めたとき、私たちは杜撰な製造や安価な部品が見つかるだろうと予想していた。だが現実は、もっと不穏なものだった。
スマートメーターは単純な計測機器ではない。それらはネットワークに接続されたコンピューターだ——統合プロセッサ、エッジAIチップ、セキュアな通信プロトコル、データ保存用のフラッシュメモリを備えている。そしてあらゆるコンピューターと同様に、機械式メーターにはなかった故障モードにさらされている。
フラッシュメモリの問題は特に厄介だ。スマートメーターは、ファームウェアや診断ログの保存にNANDフラッシュを使用する。書き込み操作のたびに不要なデータが生成され、それはガベージコレクションと呼ばれるプロセスによって消去されるが、その過程でメモリセルは物理的に摩耗していく。組み込みのファイルシステムが最適化されていなければ——そして実際に配備された多くのメーターでは最適化されていない——ストレージは、想定される耐用年数の何年も前からデータの破損を始める。
ここで、友人の土曜の朝の電話がより腑に落ちる。この破損はしばしば静かに進行する。メーターはエラーを出さない。オフラインにもならない。ただ、わずかに誤った数値を送信し始めるだけだ。誰かが気づく頃には、9日分——あるいは9か月分——の不正な請求データと、どんなファームウェアのパッチでも修復できない顧客の信頼問題を抱えることになる。
さらに、エッジケースの危機がある。スマートメーターのソフトウェアの複雑さは近年おおよそ倍増したが、テスト手法はそれに追いついていない。ファームウェアのアップデートはラボでは完璧に動作するが、電波の弱い地方で、バッテリーがわずかに劣化したメーターにそれを展開すれば、プラノの事態が起きる。
この研究で私が本当に肝を冷やした事実がある。現代のスマートメーターには、管理上の利便性のために遠隔操作の「OFF」スイッチが組み込まれているのだ。もしファームウェアの論理エラーが、そのスイッチを大規模に誤って作動させたら、直面するのは請求の誤りどころではない——数百万世帯が同時に停電するという事態だ。
規制当局が数え始めると、何が起きるのか?
英国のエネルギー規制当局Ofgemは、もう十分だと判断した。2026年2月から、スマートメーターのサービス基準が満たされない場合に顧客へ自動で40ポンドを支払うことを義務づける「保証されたパフォーマンス基準(Guaranteed Standards of Performance)」を施行する。設置の予約に6週間以上待たされた? 自動的に支払い。供給業者が適切な機材を持たずに来たために設置が失敗した? 自動的に支払い。メーターの不具合を報告したのに、5営業日以内に解決計画が示されない? 自動的に支払い。
これは軽いお咎めではない。数百万の顧客と老朽化したスマートメーター群を抱える公益事業者にとって、その計算はあっという間に恐ろしいものになる。このコンプライアンス上の圧力は、英国ですでに90万台を超える、以前は稼働していなかったメーターの修理を促してきた。
Ofgemのこの動きは、一つの規制当局が厳しくなったという以上の、より大きな何かを示していると私は思う。それは、本来なら最初から明白であるべきだった原則の明文化だ。すなわち、「スマート」なインフラを展開するなら、それをスマートに保つ責任は自分にある、ということだ。ハードウェアを設置し、あとは立ち去って、うまくいくことを祈るだけの時代は終わった。
「スマート」なインフラを展開するなら、それをスマートに保つ責任は自分にある。設置したら忘れる時代は終わった。
これを読んでいる公益事業のリーダーにとって、その含意は厳然としている。不具合のあるメーターを維持するコスト——規制上の罰則、手作業による是正、顧客の離反、請求をめぐる紛争——は、いまやリアルタイムでAIを活用した診断を導入するコストを上回っている。経済合理性は逆転したのだ。
「GPTを使えばいい」——私を夜も眠らせない助言

スマートメーターの脆弱性に関する初期の調査結果をいくつか公表した後、私はある潜在的な投資家と、今でも思い返す会話を交わした。彼はファームウェア故障のデータを見て、問題が現実のものだと認めた。そのうえでこう言ったのだ。「なら、メーターのデータを分析するChatGPTのラッパーを作ればいい。3か月で出荷しろ」
私は、なぜそれではうまくいかないのかを説明しようとした。彼は私の言葉を遮った。「どのAIスタートアップも、カスタムモデルを作る必要があると言う。その大半は、ただ考えすぎているだけだ」
彼の論理は理解できる。市場には、本質的にはOpenAIやAnthropicのAPIの上にかぶせた薄いインターフェースにすぎない企業——業界で「LLMラッパー」と呼ばれるもの——があふれている。その中には、リスクの低い用途では本当に役立つものもある。しかし、重要インフラに対してはどうか? そのアプローチは根本的に破綻しており、私はその理由を説明する必要がある。
データはどこへ行くのか?
公開されたAIのAPIを使うと、あなたのデータはネットワークの外に出て、第三者のサーバーに入る。公益事業者にとって、そのデータには送電網のアーキテクチャ、顧客の消費パターン、独自のファームウェアコード、そして場合によっては機密扱いのインフラの脆弱性までが含まれる。これは仮定上のリスクではない——米国のCLOUD法や、そのAPIプロバイダーがこの四半期にたまたま採用しているデータ保持ポリシーに、さらされるということだ。
私はこれを「セキュリティ・シアター(見せかけのセキュリティ)」と呼んでいる。そのツールは、見た目も使い心地もプライベートな企業向けアプリケーションのようだ。ダッシュボードには自社のロゴが表示されている。しかしバックエンドは公共の設備であり、あなたの最も機微な運用データは、他人のインフラの中を流れているのだ。
汎用モデルに、あなたの送電網が理解できるのか?
公開されたLLMはインターネットを読み込んでいる。抽象的な意味で、スマートメーターが何であるかは知っている。だが、それが知らないのは、北東区画にあるあなたのAclara製メーターで動作している具体的なファームウェアのバージョンや、その地域に電力を供給する変圧器の保守履歴、あるいはあなたのレガシー請求システムが、小さな測定誤差を覆い隠すような形で小数点以下を切り捨てているという事実だ。
公開APIのコンテキストウィンドウは、あなた固有のインフラの機微を忘れてしまう。特定の気候帯に配備された特定のハードウェアリビジョンにとって、あるファームウェアのアップデートが安全かどうかを検証するために必要なバイナリ解析を、それは実行できない。それを頼むのは、旅行者に道を尋ねるようなものだ——自信ありげに聞こえるかもしれないが、彼らは実際には自分がどこへ向かっているのか分かっていない。
APIが変わったら、何が起きるのか?
これは、公益事業のリーダーが手遅れになるまでめったに考えない部分だ。もしあなたの「AIソリューション」が他人のモデルの上にかぶせたプロンプトの層にすぎないなら、あなたは相手の価格設定、モデルの更新、稼働率、そして経営判断に依存することになる。OpenAIがAPIの構造を変更したり、あるモデルのバージョンを廃止したりすれば、あなたの重要インフラのツールは、誰かがプロンプトを書き直すまで動かなくなる。
重要インフラは、シリコンバレーのスタートアップのAPI価格ページの事業継続性に依存することはできない。
Deep AIとは実際にどのようなものか
あの投資家との会話のあと、私は1週間、悶々として過ごした。それから3か月をかけて、私が本当の答えだと思うものを作り上げた。
Veriprajnaでは、私たちはAPIキーを転売しない。ラッパーも作らない。私たちはAI推論スタック全体——vLLM、Text Generation Inference、BentoMLといったエンジン——を、クライアント自身のインフラの上に直接展開する。彼らのKubernetesクラスター。彼らのベアメタルGPU。彼らの仮想プライベートクラウド(VPC)だ。
私たちが公益事業のクライアントのために初めてゼロ・イグレスのVPCを構成したとき——つまり、ネットワークが物理的に構成されていて、データが決して環境の外に出られないようにしてあったとき——たとえ誰かが何かの設定を誤ったとしてもだ——彼らのセキュリティエンジニアの一人がアーキテクチャ図を見て、こう言った。「AIベンダーが、我々のデータポリシーに例外を作ってくれと頼んでこなかったのは、これが初めてだ」。その瞬間、私たちは正しい方向に進んでいるのだと分かった。
セマンティックな頭脳を構築する
文脈の問題——汎用LLMを現実のインフラ業務では役に立たなくしてしまう、あの問題——を、私たちは「セマンティックな頭脳」と考えているもので解決する。私たちは公益事業者の独自文書を取り込む。技術マニュアル、過去の保守報告書、ファームウェアのソースコード、インシデント記録だ。そのすべてが、MilvusやQdrantのようなローカルのベクトルデータベースにインデックス化され、クライアントの環境から外に出ることは決してない。
しかし、私が最も誇りに思っている部分はここだ。このシステムは、既存のアクセス制御を尊重する。ある従業員がSharePoint上の文書を閲覧する権限を持っていなければ、AIはその情報を取得して問い合わせに答えることはしない。私たちはセキュリティを後付けで無理やり取り付けたのではない——組織の既存のセキュリティ体制を継承するように、知能の層そのものを設計したのだ。
精度のラストワンマイル
私たちはLlama 3のようなオープンな基盤モデルを用い、LoRA(Low-Rank Adaptation)などの技術を使って、その公益事業者固有のコーパスでファインチューニングを行う。その結果できあがるのは、クライアント独自の用語体系、レガシーシステム、運用上の癖までを理解する、あつらえのモデルだ。私たちのテストでは、このドメイン特化のファインチューニングにより、専門的なタスクの精度がベースモデルと比べて最大15%向上した。
その15%は、わずかな上乗せのように聞こえるかもしれない。だが、そうではない。ファームウェア検証において、精度85%と100%の差は、危険なアップデートを捕捉するか、それを見逃して7万3,000台のメーターを文鎮化させるかの差なのだ。
ファームウェアのバグを、現場に届く前にどう捕まえるか?

これは、プラノの惨事を検証したあと、私を突き動かした問いだ。あのメーターを死に至らしめたファームウェアのアップデートは、悪意によるものではなかった。無能なエンジニアが書いたものでもなかった。ただ、それが遭遇するであろう現実世界の条件の全域に対して、テストされていなかっただけなのだ。
私たちは、このためのパイプラインを構築した。それはバイナリの識別から始まる——EMBAやFirmwalkerといったツールを使い、ソースコードが手に入らない場合でも、ファームウェアのファイルシステムを抽出して解析する。次に、Ghidraを使ってバイナリを逆コンパイルし、私たちのプライベートなLLMが、逆コンパイルされたコードを論理上の欠陥、安全でない実装、潜在的な脆弱性の観点から解析する。
しかし、ファームウェアの安全性についての私の考え方を変えたのは、デジタルツインのアプローチだ。現場の物理デバイス上でファームウェアをテストするのは、遅く、費用がかかり、そしてリスクが高い。その代わりに私たちは、スマートホームや送電網のセグメントの詳細な仮想レプリカを構築し、強化学習を用いてこれらのデジタルツインとやり取りするAIエージェントを展開する——人間のテスターが見逃すエッジケースを、体系的に探り出すのだ。
私たちの研究では、この手法はランダムなテスト手法よりも38%速く脆弱性を発見した。ファームウェア検証パイプラインとデジタルツイン手法の完全な技術的解説については、ぜひ論文を読んでいただきたい——しかし、重要な洞察はこうだ。私たちは今や、プラノの故障を引き起こした状況を再現できる——先手を打って、アップデートが出荷される前に。
私たちは今や、壊滅的なファームウェア故障を引き起こした状況を、アップデートが現場に出荷されるより前に再現できる。
事後対応から予測へ——AIが送電網を見守るとき、何が変わるのか
公益事業の保守に対する従来のアプローチは、事後対応型(壊れたら直す)か、定期実施型(必要かどうかにかかわらずXか月ごとに点検する)のどちらかだ。どちらも費用がかさみ、そしてどちらも、最も重要な故障を見逃す——すでに被害を引き起こしてしまうまで、自らその存在を告げない、遅く静かな劣化だ。
高頻度のセンサーデータで訓練されたDeep AIモデルは、各デバイス、各変圧器、各送電網セグメントにとって「正常」とはどのようなものかを学習する。何かが逸脱したとき——異常な振動パターン、天候と一致しない温度変動、あるいは一群のメーターがすべて同時に通信遅延の増加を示すといった事象——システムは、それが危機になる前にフラグを立てる。
初期のテスト中に、こんな瞬間があった。異常検知システムが、いずれも応答遅延のわずかな増加を示す一群のメーターにフラグを立てたのだ。劇的なものではない——ベースラインよりせいぜい15ミリ秒ほど遅い程度だった。私のチームは、これがノイズなのか信号なのかを議論した。私たちのエンジニアは、それは環境要因——温度に関係するものだと主張した。私は、さらに調査するよう強く求めた。結果として、それは特定のロットのデバイスにおけるフラッシュメモリ劣化の早期の兆候であることが判明した。放置していれば、それらのメーターは数か月のうちにデータの破損を始めていただろう。
これこそ、投資全体を正当化するたぐいの発見だ。そして数字がそれを裏づけている。AIを活用した予知保全は、インフラの故障を73%削減し、保守コストを18〜25%削減し、資産の寿命を最大40%延ばすことが示されている。
このシステムは説明可能なAI(XAI)も利用している——異常にフラグを立てるとき、システムは人間のオペレーターに対して、それがなぜなのかを示す。GradCAMのような可視化ツールを用いてだ。オペレーターは、AIの判断を検証し、修正し、あるいは覆すことができる。そのフィードバックループがあるおかげで、システムは時間とともに賢くなり、誤検知を減らし、通常は退職まで残り5年を切ったベテランエンジニアの頭の中にしか存在しないような、組織的な知見を蓄積していく。
では、ROI(投資対効果)はどうか?
人々はいつも、ただAPIを使うのに比べて、プライベートなAIインフラを展開するコストに異を唱える。それはもっともな疑問だ。自前のGPUクラスターを運用し、自前のモデルを維持するのは、安くはない。
だが、代替策にいくらかかるかを考えてみてほしい。プラノ——検針員の手作業に76万5,000ドル、加えて、いまや大幅に価値を損なった1,020万ドルの当初投資。メンフィス——900万ドルの修理基金。トロント——560万ドル、しかもまだ増え続けている。英国の公益事業者——90万台のメーター交換にかかる累積コストに加え、まさに打撃を与え始めようとしている規制上の罰金。
各産業は、停止(アウテージ)のコストが平均で1時間あたり12万5,000ドルにのぼると報告している。ダウンタイムを30〜50%削減すれば、それはAIの費用をまかなうにとどまらず、公益事業者の財務プロファイルそのものを一変させる。ここに、資産寿命を40%延ばすことによる設備投資の繰り延べ、部品サプライチェーンの遅延の28%削減、そして安全上のインシデントの40%削減を加えれば、ROIの計算に迷う余地はない。
問うべきは、公益事業者が主権的なAIインフラを導入する余裕があるかどうかではない。もう一度プラノのような事態を招く余裕があるかどうかだ。
公益事業者にとっての本当の堀(moat)は、AIモデルそのものではない——Llama 3は無料でダウンロードできる。堀とは、独自データとの深い統合であり、ドメインに特化したファインチューニングであり、自分が管理するインフラの上で動くシステムに刻み込まれた組織的な知見だ。それは、時間とともに価値を増していく資産だ。APIのサブスクリプションは、いつでも取り上げられうるコストにすぎない。
私たちが目指して築いている送電網
IoTデバイスは2026年までに300億台を超えると予測されており、複雑さの問題は消えてなくならない。むしろ加速している。次のフロンティア——そして私のチームがまさに目指して築いているもの——は、エージェント型AI(agentic AI)のワークフローだ。すなわち、異常にフラグを立てるだけでなく、行動まで起こすシステムである。侵害されたIoTデバイスを自動的に隔離する。予測された負荷パターンに基づいて、変圧器のパラメータをリアルタイムで調整する。アップデートが問題を引き起こす兆候を見せた瞬間に、ファームウェアのロールバックを実行する。
エッジAIは、知能をさらに外側へと押し出していく——スマートメーターがマイクロな意思決定エンジンとして機能し、10ミリ秒未満の遅延でローカルの異常検知を実行し、クラウドとの往復を待たずに判断を下すようになる。
しかし、土台が間違っていれば、こうしたことは何ひとつ機能しない。そして今まさに、ほとんどの公益事業者にとって、その土台は間違っている。彼らは21世紀のインフラを、20世紀の保守パラダイムの上で動かしており、AIに手を伸ばすときには、主権的な能力を構築する代わりに、最も安く、最も手軽な選択肢——他人の知能をかぶせたラッパー——に飛びついている。
プラノ、トロント、メンフィス、そして英国全土で起きた故障は、技術的な不具合ではない。それらは、現代のインフラの複雑さと、それを管理するために私たちが使っているツールとのあいだにある、系統的なミスマッチがもたらす、予測可能な結果だ。スマートメーターを展開しながら、それを実際に統治するための知能に投資しない公益事業者はどこも、自らでは検知できない形で故障するように設計されたシステムを、築き上げているのだ。
公益事業のリーダーが直面している選択は、AIか、AIなしか、ではない。その論争はもう終わっている。選択とは、あなたの送電網の信頼性に何の利害も持たないプロバイダーから知能を借りるか、それとも、あなたの運用データを最も価値ある資産へと変える主権的な能力を築くか、である。一方の道は、次のプラノへとつながる。もう一方は、私たちがずっと約束し続けてきた通りに、本当の意味でスマートな送電網へとつながる。


