データセキュリティを保護しながらAIタスクを加速

MIT の研究者は、ディープ ニューラル ネットワーク アクセラレータの最適な設計を効率的に特定し、データ セキュリティを保護しながらパフォーマンスを向上させる検索エンジン、SecureLoop を開発しました。

リアルタイムの言語翻訳を実行するチャットボットなどの計算集約型の機械学習アプリケーションが急増するにつれ、デバイスメーカーは、これらのシステムに必要な膨大な量のデータを迅速に移動および処理するために、特殊なハードウェアコンポーネントに頼ることが多くなっています。

ディープ ニューラル ネットワーク アクセラレータと呼ばれるこれらのコンポーネントには多数の設計オプションがあるため、最適な設計を選択することは困難です。設計者が攻撃者からデータを保護するために暗号化操作を追加しようとすると、課題はさらに困難になります。

現在、MIT の研究者たちは、データの安全性を保ちながらパフォーマンスを向上させるディープ ニューラル ネットワーク アクセラレータの最適な設計を効率的に特定できる検索エンジンを開発しました。

SecureLoopと呼ばれる彼らの検索ツールは、データ暗号化と認証手段を追加すると、アクセラレータチップのパフォーマンスとエネルギー使用にどのような影響が及ぶかを検討するために設計されています。エンジニアはこのツールを使用して、ニューラル ネットワークや機械学習のタスクに最適なアクセラレータの設計に到達できます。

セキュリティを考慮しない従来のスケジューリング手法と比較して、SecureLoop はデータを保護しながらアクセラレータ設計のパフォーマンスを向上させることができます。

SecureLoop を使用すると、ユーザーは、自動運転や医療画像分類などの要求の厳しい AI アプリケーションの速度とパフォーマンスを向上させると同時に、機密性の高いユーザー データを特定の種類の攻撃から保護することができます。

「データ セキュリティを保証するコンピューティングに興味がある場合、最適な設計を見つけるために使用していたルールは今では破綻しています。そのため、すべての最適化をこの新しい、より複雑な制約に合わせて調整する必要があります。それがこの論文の目的です」と、SecureLoop 論文の共著者であり、MIT のコンピューター サイエンスと電気工学の教授である Joel Emer 氏は言います。

この研究は、2023年10月28日から11月1日まで開催されたIEEE/ACM国際マイクロアーキテクチャシンポジウムで10月29日に発表されました。

「コミュニティは、アクセラレータに暗号操作を追加するとオーバーヘッドが発生することを受動的に受け入れてきました。彼らは、設計のトレードオフ空間にわずかな違いしか生じないと考えています。しかし、これは誤解です。実際、暗号操作はエネルギー効率の高いアクセラレータの設計空間を大幅に歪める可能性があります。」キョンミはこの問題を特定する上で素晴らしい仕事をした」とヤン氏は付け加えた。

安全な加速

ディープ ニューラル ネットワークは、データを処理する相互接続されたノードの複数の層で構成されています。通常、1 つのレイヤーの出力は次のレイヤーへの入力になります。データは、オフチップ メモリとアクセラレータ間で処理および転送するために、ブロックと呼ばれる単位にグループ化されます。ニューラル ネットワークの各レイヤーには、独自のデータ タイル構成を設定できます。

ディープ ニューラル ネットワーク アクセラレータは、ネットワークの各層で乗算などの演算を並列に実行できる計算ユニットの配列を備えたプロセッサです。アクセラレータ プログラムは、データの移動方法と処理方法を記述します。

アクセラレータ チップ上のスペースは貴重であるため、ほとんどのデータはオフチップ メモリに保存され、必要に応じてアクセラレータによって取得されます。しかし、データはチップ外に保存されるため、攻撃者に対して脆弱であり、情報を盗んだり、特定の値を変更したりして、ニューラル ネットワークを誤動作させる可能性があります。

「チップメーカーとして、外部デバイスやオペレーティングシステム全体のセキュリティを保証することはできません」とリー氏は説明した。

メーカーは、アクセラレータに認証された暗号化を追加することでデータを保護できます。暗号化はキーを使用してデータを暗号化します。次に、認証によってデータが均一なチャンクに分割され、各データ チャンクに暗号化ハッシュ値が割り当てられ、そのハッシュ値はチャンクとともにオフチップ メモリに保存されます。

アクセラレータは、暗号化されたデータのブロック (認証ブロックと呼ばれる) を取得すると、キーを使用して元のデータを復元し、検証してから処理します。

ただし、認証チャンクとデータ スライスのサイズは一致しないため、1 つのチャンクに複数のスライスが存在したり、スライスが 2 つのチャンクに分割されたりする場合があります。アクセラレータは認証ブロックのごく一部を任意に取得することはできないため、余分なデータを取得することになり、余分なエネルギーを消費して計算速度が低下する可能性があります。

さらに、アクセラレータは各認証ブロックに対して暗号化操作を実行する必要があり、計算コストがさらに増加し​​ます。

効率的な検索エンジン

MIT の研究者たちは、SecureLoop を使用して、暗号化と認証のためにデバイスが追加のデータ ブロックを取得するためにオフチップ メモリにアクセスする回数を最小限に抑える、最も高速でエネルギー効率の高いアクセラレータ スケジュールを決定する方法を模索しました。

図: SecureLoop スケジュール検索エンジンの概要

彼らは、エマー氏とその協力者によって以前に開発された Timeloop と呼ばれる既存の検索エンジンを強化することから始めました。まず、暗号化と認証に必要な追加の計算を考慮したモデルを追加しました。

その後、彼らは検索問題を単純な数式として再定式化し、SecureLoop がすべての可能なオプションを検索するよりも効率的に理想的な真のブロック サイズを見つけられるようにしました。

「ブロックをどのように配布するかによって、不要なトラフィックは増加したり減少したりします。暗号化されたブロックを賢く配布すれば、余分なデータはわずかしか発生しません」とリー氏は語った。

最後に、研究者たちはヒューリスティックな手法を採用し、SecureLoop が単一レイヤーではなくディープ ニューラル ネットワーク全体のパフォーマンスを最大化するスケジュールを特定できるようにしました。

最後に、検索エンジンは、データ タイリング戦略と認証ブロックのサイズを含むアクセラレータ スケジュールを出力し、特定のニューラル ネットワークに最適な速度とエネルギー効率を提供します。

「こうした加速器の設計空間は広大です。キョンミが行ったのは、空間を徹底的に探索しなくても良い解決策を見つけられるように、探索を扱いやすくする非常に実用的な方法を考え出すことでした」とエマー氏は語った。

シミュレーターでテストしたところ、SecureLoop は、セキュリティを考慮しない他のアプローチと比較して、スケジューリングが 33.2% 高速化し、エネルギー遅延積 (エネルギー効率に関連する指標) が 50.2% 向上することがわかりました。

研究者らは、SecureLoop を使用して、セキュリティを考慮した場合にアクセラレータの設計空間がどのように変化するかを調査しました。リー氏は、暗号エンジンにさらに多くのチップ領域を割り当て、オンチップメモリ​​のスペースをいくらか犠牲にすることで、パフォーマンスが向上する可能性があることを学んだと述べた。

研究者らは将来、SecureLoop を使用して、攻撃者が物理ハードウェアにアクセスしたときに発生するサイドチャネル攻撃に耐性のあるアクセラレータ設計を見つけたいと考えています。たとえば、データが暗号化されている場合でも、攻撃者はデバイスの電力消費パターンを監視して秘密情報を取得する可能性があります。また、SecureLoop を拡張して、他の種類の計算にも適用できるようにしました。