機械学習モデルで機密データの忘却を実現するにはどうすればよいでしょうか?

I. 概要

サイバーセキュリティ分野のデータ分析では機械学習手法がますます使用されるようになっていますが、モデルがトレーニングデータから誤って機密情報を取得した場合、ある程度のプライバシー漏洩のリスクがあります。トレーニングデータはモデルパラメータ内に長期間存在するため、何らかの誘導データをモデルに入力すれば、トレーニングサンプルを直接出力することができる[1]。同時に、機密データが誤ってモデルのトレーニングに入り込んだ場合、データ保護の観点から、モデルにこれらの機密データや特徴を忘れさせ、モデルの効果を確保する方法が緊急に解決すべき問題となります。

この論文では、モデルパラメータの閉形式の更新に基づいてデータの忘却を実現する方法を紹介します。この研究は、2023年のネットワークおよび分散システムセキュリティ（NDSS）シンポジウム[3]の論文から引用したものです。モデルの損失関数が凸関数であるかどうかに関係なく、この方法は重要な特徴とラベルデータの忘却効果を実現できます。

2. 一般的なモデルデータの忘却方法

現在、一般的に使用されている機械学習データの忘却方法には、データを削除した後に再トレーニングできるものがあります。この方法では、元のデータを保持する必要があり、最初からトレーニングするのは比較的コストがかかります。修正が必要なデータが単独で存在しない場合や、匿名化が必要なデータが大量にある場合、データを削除してモデルを再トレーニングすることも困難です。他の研究では、機械学習の学習プロセスを部分的に逆転させ[2]、その過程で学習したデータポイントを削除することでプライバシー漏洩を減らすことを目指してきました。ただし、この方法の計算効率は通常低く、モデルの精度に一定の影響を与えるため、実際の運用では実現可能性が低くなります。

さらに、研究者らは、データを独立したパーティションに分割し、各パーティションに基づいてサブモデルをトレーニングし、それらを最終モデルに集約するシャーディング手法も提案しました。シャーディング アプローチでは、影響を受けるサブモデルのみを再トレーニングし、残りのサブモデルは変更せずに、データ ポイントを忘却することができます。この方法の欠点は、複数のデータ ポイントを変更する必要がある場合、再トレーニングの効率が急激に低下することです。削除する必要があるデータ ポイントの数が増えると、すべてのサブモデルを再トレーニングする必要がある可能性も大幅に増加します。たとえば、シャード数が 20 の場合、150 のデータ ポイントを削除するには、すべてのシャードを更新する必要があります。つまり、影響を受けるデータ ポイントの数が増えるにつれて、シャーディングが再トレーニングよりも運用効率に優れているという利点は徐々になくなります。 2 番目に、データ ポイント全体を削除すると、影響を受ける機能とラベルを削除した場合に比べて、再トレーニングされたモデルのパフォーマンスが低下します。

3. デザインのアイデア

この問題を解決するために、本論文で紹介する方法は、特徴とラベルのプライバシー問題を解決するという観点から出発し、データポイントの削除をモデルのクローズドパラメータ更新に変換し、図1に示すように、トレーニングデータ内の任意の位置で特徴とラベルの修正を実現します。

図1: (a) インスタンスベースのデータ忘却と (b) 特徴とラベルベースのデータ忘却

プライバシーの問題が複数のデータ ポイントに関係しているが、特定の機能とラベルに限定されている場合、このアプローチはデータ ポイントを削除するよりも効果的です。さらに、この方法は柔軟性が高く、特徴やラベルを変更するだけでなく、データ ポイントを削除して既存の方法を置き換えることもできます。

この方法は、サンプルがモデルパラメータに与える影響を測定するために、つまりサンプルの重要性を記述するために広く使用されている影響関数に基づいてモデルパラメータを更新します。影響関数を使用すると、モデルを変更することなく、元のモデルとの類似性の測定結果を得ることができます。

写真

データ ポイントまたは機能に対する一般的な変更には、データ ポイントの変更、機能の変更、機能の削除などがあります。その中で、特徴を削除するとモデル入力の次元が変更されます。大規模な機械学習モデルの場合、削除する特徴の値をゼロに設定して再度トレーニングすることは、特徴を削除したトレーニング結果と同等であるため、この方法では、特徴の削除をその値をゼロに設定することに変更することを選択します。このメソッドは、一次更新と二次更新の 2 つの更新モードを実装します。アイデアは、新しいモデルに重ね合わせてデータの忘却を引き起こすことができる更新を見つけることです。最初の方法は損失関数の勾配に基づいているため、損失が微分可能な任意のモデルに適用できます。ここで、τ は忘却率です。

写真

2 番目の方法は 2 次導関数を使用するため、その適用範囲は可逆ヘッセ行列を持つ損失関数に限定されます。技術的には、一般的な機械学習モデルで 2 次微分更新を適用するのは簡単ですが、逆ヘッセ行列は大規模なモデルでは計算が難しいことがよくあります。

写真

パラメータ数が少ないモデルの場合、逆ヘッセ行列を事前に計算して保存しておくことができ、その後の各データ忘却操作では単純な行列ベクトル乗算のみが行われるため、計算効率が非常に高くなります。たとえば、テストでは、約 2,000 個のパラメータを持つ線形モデルから特徴を削除する作業が 1 秒未満で完了することが示されています。ディープニューラルネットワークなどの複雑なモデルの場合、ヘッセ行列は大きくて保存が難しいため、代わりに近似逆ヘッセ行列を使用できます。テスト結果では、330 万のパラメータを持つリカレント ニューラル ネットワークで 2 次更新を実行するのに 30 秒もかかりませんでした。

4. サンプル表示

テスト例では、本論文で提案した方法の有効性を評価するために、(1)データの忘却の影響、(2)モデルの品質の確保、(3)再トレーニングよりも高い効率という3つの指標を使用しています。この手法を既存の機械学習モデルのデータ忘却手法と比較するために、本研究では再トレーニング、シャーディングなどの手法をベースラインとして選択しています。

4.1 敏感な特徴を忘れる

この手法は、スパムフィルタリング、Android マルウェア検出、糖尿病予測など、実際のデータセットでトレーニングされたロジスティック回帰モデルに最初に適用されました。電子メールや Android アプリケーション データセットなど、より多くの特徴次元を持つデータセットの場合、この方法では、個人名に関連する次元と Android アプリケーションから抽出された URL をそれぞれ機密特徴として選択し、モデルから特徴次元全体を削除します。特徴次元が少ないデータ セットの場合、この方法では選択した特徴値を置き換えることを選択します。たとえば、糖尿病データ セットの場合、個人の年齢、BMI、性別などの特徴値を直接削除するのではなく、調整することができます。図 2 は、糖尿病とマルウェアのデータセットで 100 個の特徴を削除または置き換えた場合の効果を示しています。ポイントが対角線に近いため、2 次更新は再トレーニングに非常に近いことがわかります。対照的に、他の方法では分布の変化に必ずしも適応できるとは限らず、大きな差異が生じます。

図 2. 影響を受ける特徴の数が 100 の場合の再トレーニングとデータ忘却方法の損失の差。

4.2 無意識の記憶の忘却

これまでの研究では、いくつかの言語学習モデルはトレーニングデータ内のまれな入力の記憶を形成し、適用中にこれらの入力を正確に表現できることが示されている[4]。このような無意識の記憶にプライバシーなどの機密情報が含まれている場合、プライバシー漏洩の問題が発生します。言語モデルは非凸損失関数を持つため、データ忘却効果を理論的に検証することはできません。さらに、モデルの最適化プロセスは非決定論的であり、局所的最小値に陥る可能性があるため、再トレーニングされたモデルと比較することは困難です。上記の制限に基づいて、本研究では、データの忘却の影響を評価するために露出マトリックスを使用することを選択しました。

写真

ここで、s はシーケンスであり、Q はアルファベットが与えられた場合に同じ長さになる可能性のあるシーケンスの集合です。露出メトリックは、モデルによって生成された同じ長さのすべての可能なシーケンスに対するシーケンス s の確率を表します。表1に示すように、すべてのシーケンス長において、1次更新法と2次更新法の露出値は0に近く、敏感なシーケンスを抽出できないことを意味します。

表1 異なる長さのシーケンスの露出度測定（露出値が低いほど、抽出が困難になります）

V. 結論

このデータ忘却法をさまざまなシナリオに適用することで、この戦略には高い効率性と精度という利点があることが実証されています。損失関数が凸であるロジスティック回帰とサポートベクターマシンの場合、モデルから特徴とラベルを削除できることが理論的に保証されています。実際の運用で検証した結果、この方法は他のデータ忘却方法と比較して効率が高く、精度も同等であり、必要なトレーニングデータも少量で済むため、元のデータが利用できない状況にも適しています。

同時に、本研究におけるデータ忘却法の効率は、影響を受ける特徴とラベルの数が増えるにつれて低下します。現在、数百の機密特徴と数千のラベルのプライバシー漏洩の問題を効果的に処理できますが、数百万のデータポイントに実装することは難しく、一定の制限があります。また、ディープラーニングニューラルネットワークなど、損失関数が凸関数ではないモデルの場合、この方法では非凸損失関数を持つモデルでのデータ忘却の実現を理論的に保証することはできませんが、データ忘却の有効性は他の手段で測定できます。生成言語モデルに適用すると、モデルの機能を維持しながら無意識の記憶を排除できるため、機密データの漏洩の問題を回避できます。

参考文献

[1] X. Ling他「大規模言語モデルからのトレーニングデータ抽出」USENIXセキュリティシンポジウム、2021年。

[2] L. Bourtoule他「機械学習の反学習」、IEEEセキュリティとプライバシーシンポジウム（S&P）、2021年。

[3] Alexander Warnecke他「特徴とラベルの機械学習による学習解除」NDSS 2023

[4] N. Carlini他「秘密共有者：ニューラルネットワークにおける意図しない記憶の評価とテスト」USENIXセキュリティシンポジウム、2019年、267～284ページ