浅井 裕希
近年,AI技術の発達に伴い,計算負荷の大きい処理が増加している.デバイス側で処理可能な軽量な部 分と,クラウドで処理を行う重い部分に,ニューラルネットワークを分割処理するスプリットコンピュー ティング(SC) が注目されている.SCは分割処理のメリットだけでなく,生データではなく中間特徴量を 送信するという点で,プライバシー保護のメリットもある.一方で,モデルの出力から入力を推測するモ デルインバージョン攻撃(MIA)の観点から見ると,学習モデルの出力層から入力層を推測する従来のMIA よりも,中間特徴量から入力層を推測するほうがプライバシー脆弱性が高まってしまう可能性が推測され る.既存のSC環境を対象としたMIAでは,攻撃対象モデルがホワイトボックスであること等,特定の条 件下のみで攻撃が成功することしか述べておらず,SCを用いることによるプライバシー脆弱性に関しての 議論はされていない. 本研究は,従来の出力層から入力層を推測するMIAをSC環境で行った場合に,プライバシー脆弱性に 関して調査し,その危険性に関して議論する.調査では攻撃対象モデルがブラックボックス,補助データ セットを用いることができるという状況で各層で分割した際の中間特徴量から入力を推測し,その精度を 出力層から推測した精度と比較することで,プライバシー脆弱性が上がるかどうかを検証する.
