研究課題/領域番号 |
17K00235
|
研究機関 | 大阪大学 |
研究代表者 |
中村 和晃 大阪大学, 工学研究科, 助教 (10584047)
|
研究期間 (年度) |
2017-04-01 – 2021-03-31
|
キーワード | メディア認識 / パターン認識 / 情報セキュリティ / クライアント・サーバ / 認識器クローン / プライバシー保護 / Model Inversion Attack |
研究実績の概要 |
クライアントから送信されたメディアデータに対しサーバが認識処理を試み結果を返送する,というクライアント・サーバ型のメディア認識には次の二つの問題がある.(A)認識結果がクライアントのプライバシーに直結する場合,それがサーバ側に流出する.(B)サーバから返送される認識結果と元のメディアデータの組を多数収集することにより,クライアントがサーバの認識器を模倣・悪用できる.以上の内(A)については,平成30年度までの研究で十分な成果が得られたことから,令和元年度は,主に(B)に取り組んだ.
(B)に関して,本研究では上述の模倣攻撃により構築された認識器を「認識器クローン」と呼んでいる.これを構築させないための手段として,サーバが認識結果を本来のラベルとは異なるものに故意に改変し返送する「故意誤り」をこれまでの研究で提案していた.しかし,故意誤りは非常にシンプルな対策であり,これを前提とした攻撃が成立する余地がある.具体的には,同一のメディアデータに対し微細な改変処理を様々に適用し,それらをサーバに送信して各々の認識結果を照合すれば,故意誤りが行われていても認識器クローンを構築できる.そこで令和元年度は,この攻撃法を防ぐための更なる防御法,具体的には,サーバに送信されたメディアデータに対し微細な改変が行われているか否かを自動的に判定する手法を検討・提案した.研究の結果,近年活発に研究されている深層ニューラルネットワークの各層から抽出される特徴量のメディアデータ間での差異が上記の判定処理に有効であることが分かった.
また,新たな課題として,認識器が所定のラベルを出力するようなメディアデータを推定・生成するModel Inversion Attack (MIA)についても検討を進めた.研究の結果,深層生成モデルの悪用により高精度なMIAが成立することが判明し,対策の必要性が示唆された.
|
現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当初の計画では(A)(B)共に3年目(令和元年度)までに基礎検討を終える予定であった.(A)については,上記の通り既に十分な研究成果が得られている.一方,(B)については,まだ理論が十分に確立できていない側面も少なくなく,この意味では当初の計画よりやや遅れているとも捉えられる.しかし,これは研究が進まなかった結果ではなく,むしろ,研究を進める中で,学術的に興味深い新たな課題が様々に見つかった結果である.
認識器クローンに関して言えば,当初はその構築防止手法の実現のみを計画していたが,これまでの研究で認識器クローンに特有の性質が存在することも分かっており,既に構築されてしまったクローンを検知するための理論がある程度のところまでまとまってきている.また,令和元年度には,上記の通り,MIAという新たな課題が浮上した.これは,例えば顔認識器のみから特定人物の顔画像の推定・生成を可能にする攻撃であり,深刻なプライバシーリスクを引き起こす恐れがある.そのMIAの脅威度が深層生成モデルの悪用により大きく増すこと,それへの対策が急務であることを明らかにした令和元年度の成果は,当初の計画では全く想定していなかったことである.
以上の点を総合的に判断し,現在までのところ,本研究はおおむね順調に進展していると自己評価する.
|
今後の研究の推進方策 |
前年度の成果報告においても述べたが,(B)の認識器クローンの問題は当初の想定以上に学術的に興味深く,また,令和元年度の研究の結果,MIAという新たなリスクが存在することも判明した.以上のことから,最終年度である令和2年度は,(B)に関して残っている課題(認識器クローンおよびMIA)に取り組み,その理論の深化を目指す.
認識器クローンについては,それに特有の性質に基づくクローン検知手法の実現を目指す.これに関して,昨年度までに検討した手法ではサーバ側からの働きかけを一切想定していなかったが,サーバが返送する情報を一定の方針に従って秘匿・抽象化すれば,それに基づいて構築される認識器クローンに特定の性質を意図的に持たせることが可能となる可能性がある.今年度は,その理論を検討し,また,実現可能性を実験的に評価する.
MIAについては,さらなる攻撃の可能性とその防御法について,可能な限り深く検討を加える.令和元年度の研究では,MIAの対象はホワイトボックスの認識器に限定していた.しかし,深層生成モデルを悪用したMIAはブラックボックスの認識器に対しても実行可能である恐れがあり,もしそれが実際に可能であれば,その脅威度は更に増すことになる.この点を実験的に解明することを目指す.一方,MIAに対する防御法としては,認識器クローンの場合と同じく,サーバが返送する情報を秘匿・抽象化することが考えられるが,それにより本当に防御が可能か,可能だとして,どのような抽象化法が最も効果的か,などについて検討を加える予定である.
|
次年度使用額が生じた理由 |
当初の計画では3年目(令和元年度)にそれまでの研究成果を基にしたプロトタイプサービスを開発する予定でおり,そのための計算資源の整備に本予算を充当するつもりであった.しかし,成果報告の欄でも述べた通り,研究を進める中で主にテーマ(B)においてプロトタイプサービスの開発よりも学術的に意義深い研究テーマが複数浮上してきた.それらのテーマについて基礎理論を検討する方向に舵を切ったため,多量の計算資源を準備する必要が当面はなくなった(2年目までに購入した資源で十分賄える状況となった).また,令和2年2月以降,新型コロナウイルス感染症の拡大防止の必要性から,発表や聴講を予定していた研究会等が相次いで中止となり,そのための旅費や参加費の支払いが発生しないこととなった.以上が次年度使用額が生じた主な理由である.
4年目にあたる本年度は,当初の計画では3年目に購入した計算資源を元に研究開発を進める方針であったが,上記の通り,3年目にそれらを購入しなかったことから,今回生じた次年度使用額は計算資源の整備に充当する予定である.これには,初年度に購入した物品の老朽化・陳腐化が進みつつあることへの対処という意味合いも兼ねている.
|