AI知財保護・汚染モデル除去を指向した連合学習の実行プラットフォーム

• Project/Area Number: 23K11112
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Meijo University
• Principal Investigator: 吉川 雅弥 名城大学, 情報工学部, 教授 (50373098)
• Project Period (FY): 2023-04-01 – 2027-03-31
• Project Status: Granted (Fiscal Year 2023)
• Budget Amount: ¥4,680,000 (Direct Cost: ¥3,600,000、Indirect Cost: ¥1,080,000); Fiscal Year 2026: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000); Fiscal Year 2025: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000); Fiscal Year 2024: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000); Fiscal Year 2023: ¥1,690,000 (Direct Cost: ¥1,300,000、Indirect Cost: ¥390,000)
• Keywords: 連合学習 / 知財保護 / セキュア認証 / セキュリティ

Outline of Research at the Start

申請研究では，連合学習において(a) AI知財を保護する事と (b) 汚染された学習モデルの除去を実現する。具体的には(a) AI知財保護に関しては，(a-1) 連合学習でのサーバーとクライアント間でのモデルパラメータ等のセキュアなデータ交換手法を開発する事と，(a-2) モデルパラメータが流出してもAI知財の価値を担保する仕組みを開発する。また(b) 汚染学習モデル除去に関しては，「信頼できるデータで学習したモデル」か「汚染されたデータで学習したモデル」かを判別する手法を開発する。

Outline of Annual Research Achievements

内閣府のAI戦略2022では，「AIとデジタル化に伴う脆弱性の克服」を掲げており，それにはゼロトラスト環境下でも安全に利用できるAIが必須である。AIのセキュリティに関して，データを集約せずに分散した状態で学習する連合学習は，学習データの保護やプライバシーを確保することができる。しかし，連合学習では，学習モデル生成に必要な情報を交換するため，モデルパラメータなどのAI知財が窃取される危険性がある。また，悪意あるデータや間違ったデータで学習した汚染学習モデルが混入する恐れもある。
申請研究では，連合学習において(a)AI知財を保護する事と(b)汚染された学習モデルの除去を実現する。まず(a)AI知財保護での (a-1)連合学習でのモデルパラメータ等のセキュアなデータ交換手法では，令和5年度においては，AIを指向したPhysically unclonable function（PUF）による認証システムの要素技術として，複数のPUFの実装評価実験を行い，実装のオーバーヘッドを含めて，その特性を明らかにした。また，(b) 汚染学習モデル除去について，汚染学習モデルを生成するポイズニングやバックドアといった不正な攻撃は，少数の汚染されたデータを訓練データに混入する。そのため，ポイズニング・バックドア付学習モデルを作成して，確信度の偏りなどのその識別特性を明らかにした。
本年度の研究成果については，申請研究に関連するものも含めて，国内の学術論文誌での発表と，国内の研究会等で口頭発表を行った。また，申請研究をこれまでと同様に推進するためにセキュリティの専門家だけでなく人工知能の専門家とも，適宜，意見交換・情報交換を行った。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

申請研究での(a)AI知財を保護する事ために必要な要素技術であるPUFを用いた認証手法などの実装評価実験は，当初の予定どおりに行うことが出来た。また，(b) 汚染学習モデル除去についても，汚染学習モデルの生成やその特性評価を定量的に行うことも出来た。
これらについては，予定通り外部発表も行い順調に進展しているが，仮想環境での連合学習のプラットフォームの構築に関しては，複数のライブラリのバージョンの問題などで，予定していた環境の構築が達成できていない。
一方で，当初の研究計画には無かった実装に関する新しい知見などを得ることができ，この知見により，より実用的なプラットフォームの開発の可能性が高まった。

Strategy for Future Research Activity

令和6年度は，申請研究について，当初の計画を進めると共に，令和5年度に達成できなかった仮想環境での連合学習のプラットフォームを構築して，実環境での必要要件を整理して，実機環境を整備する。
また，令和5年度と同様に，研究成果については，適宜，申請研究に関連するものも含めて，国内の学術論文誌での発表と，国内の研究会等で口頭発表を行う。また，申請研究を令和5年度と同様に推進するためにセキュリティの専門家だけでなく人工知能の専門家とも，適宜，意見交換・情報交換を行う予定である。

Research Products

• [Journal Article] Exhaustive Deep Learning Power Analysis for Secure Block Ciphers and Its Evaluation (2024)
  • Author(s): Takemoto Shu、Ikezaki Yoshiya、Nozaki Yusuke、Yoshikawa Masaya
  • Journal Title: IEEJ Transactions on Electronics, Information and Systems Volume: 144 Issue: 1 Pages: 7-14
  • DOI: 10.1541/ieejeiss.144.7
  • ISSN: 0385-4221, 1348-8155
  • Year and Date: 2024-01-01
  • Peer Reviewed
• [Presentation] AIハードウェアに対するAdversarial Examplesの対策手法とその評価 (2024)
  • Author(s): 濵口晃輔，竹本修，野崎佑典，吉川雅弥
  • Organizer: 電子情報通信学会技術研究報告，IEICE-HWS
• [Presentation] uperSonicに対するフォールト解析の安全性評価 (2024)
  • Author(s): 竹本修，野崎佑典，吉川雅弥
  • Organizer: 電子情報通信学会技術研究報告，IEICE-HWS
• [Presentation] SuperSonic を用いたグリッチPUFの定量的評価 (2024)
  • Author(s): 竹本修，濵口晃輔，野崎佑典，吉川雅弥
  • Organizer: 2024年暗号と情報セキュリティシンポジウム講演論文集
• [Presentation] セキュリティ対策ソフトを回避させる機能を有するダウンローダ型マルウェア対策とその評価 (2023)
  • Author(s): 日比野芳輝，竹本修，野崎佑典，吉川雅弥
  • Organizer: 情報処理学会研究報告， CSEC
• [Presentation] CNNによるピクトグラムの認識率の定量的評価とその改善手法 (2023)
  • Author(s): 久野真輝，熊谷瞭，竹本修，野崎佑典，吉川雅弥
  • Organizer: 電気学会研究会資料，IS
• [Presentation] 生成系AIでのセキュリティ対策の基本検討 (2023)
  • Author(s): 熊谷瞭，竹本修，野崎佑典，吉川雅弥
  • Organizer: 人工知能学会研究会資料，SIG-KBS