|
クライアントから送信されたメディアデータに対しサーバが認識処理を試み結果を返送する,というクライアント・サーバ型のメディア認識には情報セキュリティ上の課題が存在する.当初想定していた課題は次の二つである.(A)認識結果がクライアントのプライバシーに直結する場合,それがサーバ側に流出する.(B)サーバから返送される認識結果と元のメディアデータの組を多数収集することにより,クライアントがサーバの認識器を模倣・悪用できる.これらに加え,次の課題の存在が研究の進捗とともに明らかとなってきた.(C)サーバが特定の認識結果を出力するようなメディアデータを逆推定することにより,メディア認識器の訓練に用いた訓練データを事実上再現でき,機密情報の暴露につながる.以上(A)~(C)のうち,(A)は平成30年度までの研究で十分な成果が得られたことから,令和2年度は主に(B)(C)に取り組んだ.
(B)に関して,本研究では上述の模倣攻撃により作成された認識器を「認識器クローン」と呼んでいる.令和元年度までは,攻撃対象の認識器の種類(顔認識器,風景画像認識器,動物画像認識器,など)が既知であるという前提の下,認識器クローンに対する防御法を分析したが,令和2年度は,より現実的な設定として,攻撃対象認識器の種類が未知であることを仮定して同様の分析を試みた.結果,攻撃対象認識器の種類が未知であってもリスクは変わらないが,認識器クローンに固有の特性はやはり存在し,過去に開発した防御法は依然として有効であることを明らかにした.
(C)については,攻撃対象の認識器の構造が既知であれば訓練データを高精度に再現できる可能性が令和元年度までの研究で示唆されていたが,令和2年度は,その可能性をより詳細に検討すると共に,構造未知の認識器に対しても同程度の攻撃性能が得られる手法を開発し,リスク回避の必要性を明らかにした.
|
