AIBR プレミアム
拓海先生、最近部下から『ツリー型の垂直フェデレーテッドラーニングが危ない』と言われまして。要するにうちの顧客データがバレるってことでしょうか?
素晴らしい着眼点ですね!大丈夫、端的に説明しますよ。まず垂直フェデレーテッドラーニング(Vertical Federated Learning、VFL)は各社が持つ異なる特徴量を合わせて学習する仕組みです。データそのものは共有しないのに、情報が漏れる可能性があるんです。
ツリー型というのは、決定木とかランダムフォレストのことですか?うちの営業部が使っているモデルに似ていますが、それが狙われるんですか。
その通りです。ツリー型モデルは特徴の閾値でデータを分けるため、各ノードに割り当てられたレコードIDの集合(インスタンス空間)が結果に強く影響します。研究はその『割り当て情報』を使ってラベルを推測する攻撃を紹介していますよ。
これって要するに、どの顧客がどの枝に入ったかをこっそり見れば、その顧客の属性やラベルがわかるということ?
おっしゃる通りです!簡単に言えば『どの顧客がどこの箱に入るか』のパターンを利用して、正解ラベルを逆算するんです。ポイントは攻撃はデータ本体を取らずに、割り当て情報や統計的関係から推測する点です。
なるほど。で、防御策は何かありますか?投資対効果が気になります。守るのに膨大なコストがかかると困ります。
良い質問です。要点を3つにまとめます。1つ目、攻撃はIDの集合をグラフに変換してコミュニティ検出を行う点。2つ目、防御はラベルに対する差分プライバシー(Label Differential Privacy)などで情報をぼかす手法。3つ目、相互情報量の正則化(mutual information regularization)でモデルがラベル依存の分割をしにくくする方法です。
専門用語が多くて恐縮ですが、その差分プライバシーというのは要するにデータにノイズを足して本当の値をわからなくする技術という理解でいいですか?コストはどの程度ですか。
素晴らしい着眼点ですね!差分プライバシーはまさにその通りで、ラベルに対してランダム性を加えることで推測を困難にします。ただ単純にノイズを増やすと予測精度が落ちるため、研究ではノイズ後に回復処理を行う『Grafting-LDP』のような手法を提案しており、実運用では精度とプライバシーのトレードオフを調整するのが現実的です。
分かりました。まとめると、攻撃はIDの配置パターンからラベルを推測し、防御はノイズと正則化でその関連を弱めるということですね。自分の言葉で説明すると『箱の並び方で答えを推測されるが、箱の中身を少し隠せば推測しにくくなる』という理解でよろしいですか。
まさにその通りですよ。素晴らしい着眼点です!大丈夫、一緒に進めれば社内で最小限の投資で安全性を高められます。次のステップは現状のモデルやログの確認と、影響評価の簡単なプロトタイプ実行ですね。
ありがとうございます。ではまずログを見せてもらって、攻撃リスクの簡易診断をお願いします。私の理解は『IDの割り当てパターンからラベルが漏れる可能性があり、ノイズと正則化でその道を塞げる』ということで間違いありません。
