拓海先生、お忙しいところ失礼します。最近、うちの部下が「垂直型フェデレーテッドラーニング(VFL)って危ないらしい」と言い出して困っているのですが、そもそもそれはどんなモデルなのでしょうか。
素晴らしい着眼点ですね!垂直型フェデレーテッドラーニング(Vertical Federated Learning、VFL:垂直型フェデレーテッドラーニング)は、顧客の同一サンプルに対して企業ごとに異なる特徴量を持ち寄り学習する仕組みで、銀行と保険会社が同一顧客の情報を分担するイメージですよ。
なるほど。で、その環境で「攻撃ができる」とはどういうことですか。具体的に現場の何が危なくなるのか教えてください。
ここが肝心ですよ。論文が示すのは、複数の参加者(クライアント)のうち一部を攻撃者が巧妙に汚染すると、推論結果そのものを誤らせる「敵対的事例(Adversarial Examples、AEs:敵対的事例)」が生成され得るという点です。つまり、個々のデータを直接盗まなくてもサービスの出力を壊せるのです。
それは困りますね。実務的に言うと、どのクライアントを狙えば効果が高いのか、攻撃側はどうやって決めるのですか。
良い問いです。論文はこの選択問題を「マルチアームドバンディット(Multi-Armed Bandit、MAB:多腕バンディット)」という枠組みに対応付けています。つまり、どのクライアントを汚染するかを腕の選択に見立て、効率的に最善の腕を探すアルゴリズムを適用するのです。
これって要するに、攻撃側が少ない試行で最も効果的なターゲット群を見つける賢い探索法を持っている、ということですか?
その通りです。論文はE-TSという手法を提案して、期待最大報酬の推定に基づき有望な候補群を絞り込むことで探索空間を大幅に削減しています。短く言えば、賢く探して短期間で大ダメージを与えられる、ということです。
なるほど。では防御側としては、どのような対策が現実的でしょうか。投資対効果の観点から教えてください。
大丈夫、一緒に考えればできますよ。要点を三つにまとめます。第一に、クライアントごとの出力の検査を強化し小さな異常を早期に検出すること、第二に、モデルを頑健化するための定期的な検証を導入すること、第三に、最悪ケースを想定した事業継続計画を整備することです。
ありがとうございます。自分の言葉で整理すると、部分的に参加者を汚染されると、攻撃者は効率的にその中から最も影響のある組み合わせを見つけ出し、推論を誤らせられる。対策は早期検知とモデルの頑健性強化、そしてBCP整備だ、という理解でよろしいですか。
