AIBR プレミアム
拓海先生、最近現場から「分散学習が攻撃を受ける」と聞いて驚いています。うちの現場に関係ありますか?
素晴らしい着眼点ですね!分散学習とは複数のセンサや端末が協調して学ぶ仕組みですから、どこか一部が壊されると全体に影響が出ることがあるんです。今日はそれを止める研究を一緒に見ていけるんですよ。
分散学習、うちはいまだにデータを人が集めていますが、将来的には機械に任せたい。攻撃に対して備える必要があるということですね。
その通りです。今日扱う論文は分散版サポートベクターマシン、Distributed Support Vector Machines(DSVM、分散SVM)に対する攻撃と防御をゲーム理論で扱ったものです。要点を3つで整理すると、1) 攻撃者と学習者の利害対立をモデル化する、2) 均衡を分析して結果を予測する、3) 防御アルゴリズムを実装して有効性を検証する、という順番で対処できるんですよ。
これって要するに、攻撃側と防御側の駆け引きを数学に落とし込んで、どちらが勝つかを予測するということですか?
まさにその通りですよ。ゲーム理論(Game Theory)は利害が対立する場面を数式で表し、Nash Equilibrium(ナッシュ均衡)で落ち着く状態を予測します。ここでは学習器と攻撃者が戦略を選ぶゲームになっているんです。要するに、最悪ケースを想定しても安全に学習できるかを調べることができるんです。
現場に導入する際に気になるのは費用対効果です。防御をちゃんと入れると処理が遅くなったりコストが増えたりしませんか?
鋭い着眼点ですね!実務観点では3つの評価軸で見るべきです。1) 性能低下の度合い、2) 計算・通信コスト、3) 実装の複雑さ。論文では計算は分散化され通信のみで調整する方針を取るため、中央サーバを大幅に増強する必要はないという設計なんです。導入時はまず最も脆弱なノードを守る施策から始めると投資効率が高いんですよ。
攻撃者の能力を過小評価すると怖いですね。論文はどの程度強い攻撃者を想定しているのですか?
論文は最悪を想定しています。Kerckhoffs’s principle(カークホフの原理)に従い攻撃者が学習システムの設計を知っている前提です。つまり攻撃者はノードを乗っ取り、訓練データを改ざんできると仮定します。その条件下で均衡と防御の有無を比較して、どこまで影響を受けるかを定量化しているんです。
それなら対応の優先順位も決めやすいですね。現場でまず何をチェックすればよいですか?
いい質問です。現場で優先すべきは三点です。1) ノードのアクセス制御を固める、2) データ品質や異常値を監視する仕組みを入れる、3) 分散学習の合意(consensus)手順に異常検知を組み込む。まずは1)から着手すると効果が出やすいんですよ。
分かりました。要するにまずは外側の扉を固めて、中のデータの異常を見張り、最後に学習の合意ルールを強化するという階段を踏むわけですね。ありがとうございます。自分の言葉でまとめると、攻撃者と学習者の駆け引きをあらかじめ想定して、段階的に守る設計にするということだと理解しました。
