機械にプライバシーを学習させることはできるでしょうか?

機械学習では、モデルをトレーニングするために大量のデータが必要であり、通常、このトレーニング データを Amazon や Google などのオペレーターがホストする機械学習クラウド サービスにアップロードしますが、これによりデータが悪意のある攻撃者にさらされる可能性があります。では、機械学習をサービスとして使用し (Machine Learning as a Service - MLaaS)、プライバシーを保護することはできるのでしょうか?

[[225773]]

機械学習は今日のコンピュータサイエンスで最もホットなテーマの 1 つであり、多くのクラウド サービス プロバイダーが機械学習サービス (MLaaS) を急速に拡大しています。

しかし、これらの MLaaS には警告が伴います。すべてのモデルトレーニング データはサービス オペレーターに公開されます。サービス運営者が特にこのデータにアクセスしない場合でも、他の目的を持つ誰かがアクセスできる可能性があります。

注: テキサス大学の Tyler Hunt 氏と他の研究者は最近、「Chiron: プライバシー保護を備えたサービスとしての機械学習」というタイトルの研究論文を発表しました。この論文では、クラウド MLaaS を使用する際にプライバシーを保護できるシステム アーキテクチャについて説明しています。興味のある学生は読むことができます。

プライバシーは双方向である

ユーザーはモデルのトレーニング データを公開したくないかもしれませんが、サービス プロバイダーは独自のプライバシー上の懸念事項を考慮する必要があります。一般的に言えば、MLaaS テクノロジーの基礎となる実装アルゴリズムをユーザーが閲覧することは許可されていません。

Chiron システム モデルは、サービス オペレーターがトレーニング データを閲覧できないようにすることができます。既存の機械学習サービス プラットフォームがどのようなモードで実行されているかに関係なく、Chiron はトレーニング アルゴリズムとモデル アーキテクチャをユーザーに公開せず、トレーニング モデルにアクセスするためのブラック ボックス アクセス モードのみをユーザーに提供します。

Chiron は、アプリケーション コードのセキュリティを強化するために使用されるアーキテクチャ設計である Intel の Software Guard Extensions (SGX) を使用しますが、SGX のみを使用するだけでは不十分です。Chiron は、信頼できないユーザー コードが悪意のあるアーキテクチャで実行されるのを防ぐ分散セキュリティ保護サンドボックスである Ryoan サンドボックスでも SGX プラットフォームを使用します。

脅威モデル

Chiron の目標は、クラウド環境でユーザーのトレーニング データとトレーニング モデル (クエリと出力データを含む) を保護することです。そのため、まず、オペレーティング システムと対応するハイパーバイザーを含むプラットフォーム全体が信頼できないと想定します。攻撃者は、デバイス管理者やサービスオペレーターである場合もあれば、サービスプラットフォームへの侵入に成功した悪意のある攻撃者である場合もあります。もちろん、攻撃者はユーザーの入出力情報を直接記録できるため、悪意のある OS 開発者である可能性もあります。

トレーニング モデルは特定のクエリ ステートメントを通じてトレーニング データを漏らすため、Chiron はトレーニング データを提供するユーザーだけがトレーニング済みモデルにアクセスできるようにすることができます。たとえ攻撃者がクラウド インフラストラクチャに完全にアクセスできたとしても、モデルをクエリしてトレーニング データにアクセスすることはできません。

Chiron は表面的には包括的なカバレッジを備えているように見えますが、MLaaS の基盤となるハードウェアには依然としてセキュリティ上の問題が残っています。

制限要因

SGX 自体は無防備というわけではなく、Intel のパフォーマンス モニタリング ユニット (PMU) により、信頼できないプラットフォームがターゲット システムの基盤となる動作メカニズムや実行中のタスクについて詳細な情報を取得できるようになります。現在の SGX では、高レベルの権限を持つソフトウェアがメモリ ページ テーブルを変更したり、関連するコードやページ データのトレースを表示したりできるため、非常に深刻な結果を招くことになります。

Chiron は Intel の SGX に基づいて実装されているため、GPU がまだ SGX 関連の機能を十分にサポートできないため、GPU では動作しません。したがって、現在の Chiron の実装はまだ完璧ではなく、GPU ベンダーがセキュリティ問題を真剣に検討し始めたときにのみ、さらに前進できる可能性があります。

パフォーマンス

制限要因を超えて、Hunt らは Chiron のパフォーマンスをテストし、標準的な機械学習インフラストラクチャを保護しながらデバイスのパフォーマンスを維持できることを実証しました。

要約する

データが豊富な現代の世界では、何千ものセキュリティホールが存在し、攻撃者はさまざまな方法でそれらを悪用する可能性があります。絶対に安全なシステムはありませんが、より安全なシステムを目指して努力することはできます。機械学習が私たちの将来の生活において重要な役割を果たすことは間違いありません。機械学習が私たちのプライバシーを保護できたらどれほど安心できるでしょうか?