AI知財保護・汚染モデル除去を指向した連合学習の実行プラットフォーム

• 研究課題/領域番号: 23K11112
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 審査区分: 小区分60070:情報セキュリティ関連
• 研究機関: 名城大学
• 研究代表者: 吉川 雅弥 名城大学, 情報工学部, 教授 (50373098)
• 研究期間 (年度): 2023-04-01 – 2027-03-31
• 研究課題ステータス: 交付 (2023年度)
• 配分額: 4,680千円 (直接経費: 3,600千円、間接経費: 1,080千円); 2026年度: 780千円 (直接経費: 600千円、間接経費: 180千円); 2025年度: 780千円 (直接経費: 600千円、間接経費: 180千円); 2024年度: 1,430千円 (直接経費: 1,100千円、間接経費: 330千円); 2023年度: 1,690千円 (直接経費: 1,300千円、間接経費: 390千円)
• キーワード: 連合学習 / 知財保護 / セキュア認証 / セキュリティ

研究開始時の研究の概要

申請研究では，連合学習において(a) AI知財を保護する事と (b) 汚染された学習モデルの除去を実現する。具体的には(a) AI知財保護に関しては，(a-1) 連合学習でのサーバーとクライアント間でのモデルパラメータ等のセキュアなデータ交換手法を開発する事と，(a-2) モデルパラメータが流出してもAI知財の価値を担保する仕組みを開発する。また(b) 汚染学習モデル除去に関しては，「信頼できるデータで学習したモデル」か「汚染されたデータで学習したモデル」かを判別する手法を開発する。

研究実績の概要

内閣府のAI戦略2022では，「AIとデジタル化に伴う脆弱性の克服」を掲げており，それにはゼロトラスト環境下でも安全に利用できるAIが必須である。AIのセキュリティに関して，データを集約せずに分散した状態で学習する連合学習は，学習データの保護やプライバシーを確保することができる。しかし，連合学習では，学習モデル生成に必要な情報を交換するため，モデルパラメータなどのAI知財が窃取される危険性がある。また，悪意あるデータや間違ったデータで学習した汚染学習モデルが混入する恐れもある。
申請研究では，連合学習において(a)AI知財を保護する事と(b)汚染された学習モデルの除去を実現する。まず(a)AI知財保護での (a-1)連合学習でのモデルパラメータ等のセキュアなデータ交換手法では，令和5年度においては，AIを指向したPhysically unclonable function（PUF）による認証システムの要素技術として，複数のPUFの実装評価実験を行い，実装のオーバーヘッドを含めて，その特性を明らかにした。また，(b) 汚染学習モデル除去について，汚染学習モデルを生成するポイズニングやバックドアといった不正な攻撃は，少数の汚染されたデータを訓練データに混入する。そのため，ポイズニング・バックドア付学習モデルを作成して，確信度の偏りなどのその識別特性を明らかにした。
本年度の研究成果については，申請研究に関連するものも含めて，国内の学術論文誌での発表と，国内の研究会等で口頭発表を行った。また，申請研究をこれまでと同様に推進するためにセキュリティの専門家だけでなく人工知能の専門家とも，適宜，意見交換・情報交換を行った。

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

申請研究での(a)AI知財を保護する事ために必要な要素技術であるPUFを用いた認証手法などの実装評価実験は，当初の予定どおりに行うことが出来た。また，(b) 汚染学習モデル除去についても，汚染学習モデルの生成やその特性評価を定量的に行うことも出来た。
これらについては，予定通り外部発表も行い順調に進展しているが，仮想環境での連合学習のプラットフォームの構築に関しては，複数のライブラリのバージョンの問題などで，予定していた環境の構築が達成できていない。
一方で，当初の研究計画には無かった実装に関する新しい知見などを得ることができ，この知見により，より実用的なプラットフォームの開発の可能性が高まった。

今後の研究の推進方策

令和6年度は，申請研究について，当初の計画を進めると共に，令和5年度に達成できなかった仮想環境での連合学習のプラットフォームを構築して，実環境での必要要件を整理して，実機環境を整備する。
また，令和5年度と同様に，研究成果については，適宜，申請研究に関連するものも含めて，国内の学術論文誌での発表と，国内の研究会等で口頭発表を行う。また，申請研究を令和5年度と同様に推進するためにセキュリティの専門家だけでなく人工知能の専門家とも，適宜，意見交換・情報交換を行う予定である。

研究成果

• [雑誌論文] セキュアブロック暗号に対する網羅的な深層学習電力解析とその評価 (2024)
  • 著者名/発表者名: Takemoto Shu、Ikezaki Yoshiya、Nozaki Yusuke、Yoshikawa Masaya
  • 雑誌名: 電気学会論文誌Ｃ（電子・情報・システム部門誌） 巻: 144 号: 1 ページ: 7-14
  • DOI: 10.1541/ieejeiss.144.7
  • ISSN: 0385-4221, 1348-8155
  • 年月日: 2024-01-01
  • 査読あり
• [学会発表] AIハードウェアに対するAdversarial Examplesの対策手法とその評価 (2024)
  • 著者名/発表者名: 濵口晃輔，竹本修，野崎佑典，吉川雅弥
  • 学会等名: 電子情報通信学会技術研究報告，IEICE-HWS
• [学会発表] uperSonicに対するフォールト解析の安全性評価 (2024)
  • 著者名/発表者名: 竹本修，野崎佑典，吉川雅弥
  • 学会等名: 電子情報通信学会技術研究報告，IEICE-HWS
• [学会発表] SuperSonic を用いたグリッチPUFの定量的評価 (2024)
  • 著者名/発表者名: 竹本修，濵口晃輔，野崎佑典，吉川雅弥
  • 学会等名: 2024年暗号と情報セキュリティシンポジウム講演論文集
• [学会発表] セキュリティ対策ソフトを回避させる機能を有するダウンローダ型マルウェア対策とその評価 (2023)
  • 著者名/発表者名: 日比野芳輝，竹本修，野崎佑典，吉川雅弥
  • 学会等名: 情報処理学会研究報告， CSEC
• [学会発表] CNNによるピクトグラムの認識率の定量的評価とその改善手法 (2023)
  • 著者名/発表者名: 久野真輝，熊谷瞭，竹本修，野崎佑典，吉川雅弥
  • 学会等名: 電気学会研究会資料，IS
• [学会発表] 生成系AIでのセキュリティ対策の基本検討 (2023)
  • 著者名/発表者名: 熊谷瞭，竹本修，野崎佑典，吉川雅弥
  • 学会等名: 人工知能学会研究会資料，SIG-KBS