WO2021038788A1

WO2021038788A1 - ロバスト性評価装置、ロバスト性評価方法および記録媒体

Info

Publication number: WO2021038788A1
Application number: PCT/JP2019/033890
Authority: WO
Inventors: 和也柿崎
Original assignee: 日本電気株式会社
Priority date: 2019-08-29
Filing date: 2019-08-29
Publication date: 2021-03-04
Also published as: US20240062109A1; US20220343214A1; JP7255694B2; JPWO2021038788A1

Abstract

ロバスト性評価装置が、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する類似度算出部と、前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定するローカルリプシッツ定数推定部と、前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する評価値推定部と、を備える。

Description

ロバスト性評価装置、ロバスト性評価方法および記録媒体

　本発明は、ロバスト性評価装置、ロバスト性評価方法および記録媒体に関する。

　深層学習など機械学習に関して、学習済みモデルを欺くように精巧に作られた人工的なサンプルである敵対的サンプル（Adversarial Example；ＡＸ）によって、訓練時に設計者が想定していない誤動作が誘引される場合があるという問題が知られている。

　このような敵対的サンプルに関して、非特許文献１では、分類器ｇ：Ｒ^ｄ→Ｒ^ｋを対象とする敵対的サンプルに対する定量的なロバスト性評価方法が提案されている。非特許文献１に示される分類器は、入力されたデータに対して、ｋ個の分類先クラスにそれぞれ対応するｋ個の実数で表される分類度を出力する。この分類器では、入力されたデータに対して正解クラスの分類度が最も高くなるように、深層学習を用いて学習される。

Tsui-Wei Weng、外７名、"EVALUATING THE ROBUSTNESS OF NEURAL NETWORKS: AN EXTREME VALUE THEORY APPROACH"、International Conference on Learning Representations (ICLR)、２０１８年

　非特許文献１に記載された手法は、分類器を対象としたロバスト性評価値の算出手法である。このため、非特許文献１に記載された手法では、特徴量抽出器と認証対象のデータのテンプレートとしきい値とを用いる認証モデルの、敵対的サンプルに対するロバスト性を算出することはできない。

　本発明の目的の一例は、上記の問題を解決することができるロバスト性評価装置、ロバスト性評価方法および記録媒体を提供することである。

　本発明の第１の態様によれば、ロバスト性評価装置は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する類似度算出部と、前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定するローカルリプシッツ定数推定部と、前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する評価値推定部と、を備える。

　本発明の第２の態様によれば、ロバスト性評価方法は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する工程と、前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する工程と、前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する工程と、を含む。

　本発明の第３の態様によれば、記録媒体は、コンピュータに、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する工程と、前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する工程と、前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する工程と、を実行させるためのプログラムを記録した記録媒体である。

　上記したロバスト性評価装置、ロバスト性評価方法および記録媒体によれば、認証モデルのロバスト性を算出することができる。

第一実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。第一実施形態に係るロバスト性評価装置がロバスト性評価値算出の対象とする認証モデルの例を示す図である。第一実施形態に係るロバスト性評価装置が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。第二実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。第二実施形態に係るロバスト性評価装置がロバスト性評価値算出の対象とする認証モデルの例を示す図である。ロバスト性評価装置が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。第三実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。第三実施形態に係るロバスト性評価装置が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。第四実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。第四実施形態に係るロバスト性評価装置が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。第五実施形態に係るローカルリプシッツ定数推定装置の構成例を示す概略ブロック図である。第五実施形態に係るローカルリプシッツ定数推定装置がローカルリプシッツ定数を推定する処理手順の例を示すフローチャートである。第六実施形態に係るロバスト性評価装置の構成例を示す図である。第七実施形態に係るロバスト性評価方法における処理の手順の例を示すフローチャートである。少なくとも１つの実施形態に係るコンピュータの構成を示す概略ブロック図である。

　以下、本発明の実施形態を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。

＜第一実施形態＞
　図１は、第一実施形態に係るロバスト性（Robustness）評価装置の構成例を示す概略ブロック図である。図１に示す構成で、ロバスト性評価装置１００は、評価値推定部１０２と、差算出部１０４と、ローカルリプシッツ定数推定部１０６と、を備える。差算出部１０４は、類似度算出部１０５を備える。

　ロバスト性評価装置１００は、認証モデルに対する「認証外し」（Dodging）を目的として生成される敵対的サンプルに対する、認証モデルのロバスト性の定量的評価値の算出を行う。
　認証外しとは、登録されたテンプレートを用いて認証される認証対象と同一の認証対象のデータが入力されたにもかかわらず、認証モデルが認証に失敗することである。例えば、顔認証を行う認証モデルの場合、認証対象者の顔が認証対象である。認証外しでは、テンプレートとして顔画像が登録されている認証対象者と同一人物の顔画像が入力されたにもかかわらず、認証モデルが顔認証に失敗する。

　敵対的サンプルに対する認証モデルのロバスト性を定量的に評価することは重要である。認証モデルが「ロバスト」であるとは、あるデータが認証モデルに入力されたときと、そのデータが加工された敵対的サンプルが認証モデルに入力されたときとで、認証モデルによる認証結果が異なるものになりづらいことである。データを加工することを、そのデータにノイズを加えると表記する。加工前のデータをｘとし、ノイズをδとする場合、加工後のデータをｘ＋δで示す。

　認証モデルのロバスト性の定量的な評価が可能になると、ロバスト性の観点で認証モデルを比較可能となる。認証モデルのロバスト性の評価値を、敵対的サンプルに対してよりロバストな認証モデルを構築するための参考とすることができる。さらには、認証モデルのロバスト性の評価値を、敵対的サンプルに対してよりロバストな認証モデルを内包するシステムを構築するための参考とすることができる。

　ロバスト性評価装置１００は、特徴量間の類似度の指標として、値が小さいほど類似度が高いことを表す指標を用いた認証モデルを、ロバスト性評価値算出の対象とする。そのような指標を用いて類似度を計算する場合、認証モデルは特徴量間の類似度の指標値がしきい値以下ならば認証成功、しきい値より大きければ認証失敗と認証結果を決定する。そのような指標の例として、ユークリッド距離が挙げられる。

　第一実施形態では、類似度の指標として、ユークリッド距離を用いた認証モデルがロバスト性評価値算出の対象である場合を例に説明する。ただし、第一実施形態における認証モデルが用いる類似度の指標は、ユークリッド距離に限定されず、値が小さいほど類似度が高いことを示すいろいろな指標とすることができる。

　図２は、ロバスト性評価装置１００がロバスト性評価値算出の対象とする認証モデルの例を示す図である。ロバスト性評価装置１００がロバスト性評価値算出の対象とする認証モデルを、認証モデル９１０と表記する。
　認証モデル９１０の特徴量抽出器をｆで示し、しきい値をτで示し、認証対象ｉのテンプレートをｔ^ｉで示す。また、認証モデル９１０は、特徴量の類似度の指標としてユークリッド距離を用いる。
　しきい値τは、特徴量の類似度に対して適用される、認証に成功したか否かの判定のための判定しきい値の例に該当する。

　ｉは、認証対象を識別する識別番号を示す正の整数である。認証モデル９１０に複数のテンプレートが登録されている場合、複数のテンプレートのうち何れか１つのテンプレートが指定され、認証モデル９１０は、指定されたテンプレートを用いて認証を行う。認証モデル９１０は、入力されたデータの特徴量と指定されたテンプレートの特徴量との類似度に基づいて、入力されたデータに示される認証対象が、テンプレートを登録されている認証対象と同一の認証対象であるか否かを判定することで、認証を行う。

　特徴量抽出器ｆは、ｆ：Ｒ^ｄ→Ｒ^ｍと示される。ここでのＲは、実数を示す。ｄ、ｍはそれぞれ正の整数を示す。特徴量抽出器ｆは、ｄ次元の実数ベクトルのデータの入力を受けてｍ次元の実数ベクトルで示される特徴量を出力する。
　しきい値τは、τ＞０の実数である。
　認証対象ｉのテンプレートｔ^ｉは、ｄ次元の実数ベクトルのデータである。したがって、ｔ^ｉ∈Ｒ^ｄと示される。

　特徴量抽出器ｆは同じ認証対象のデータに対し、類似する特徴量を示すベクトル（特徴量ベクトル）を出力する。例えば、認証モデル９１０が顔認証を行う場合、特徴量抽出器ｆは、同じ人の異なる顔画像に対して類似度が高い特徴量ベクトルを出力する。

　特徴量抽出器ｆの形態は、特定の形態に限定されない。例えば、特徴量抽出器ｆが、ディープニューラルネットワーク（Deep Neural Network；ＤＮＮ）が深層学習（Deep Learning）を行うことによって生成されていてもよいが、これに限定されない。

　１つのテンプレートｔ^ｉが指定され、データｘ∈Ｒ^ｄが入力された場合、認証モデル９１０は、入力されたデータｘの特徴量と指定されたテンプレートｔ^ｉの特徴量との類似度を示す指標値を算出する。そして、認証モデル９１０は、算出した指標値としきい値τとを比較する。指標値がしきい値τ以下であると判定した場合、認証モデル９１０は、認証成功の認証結果を出力する。指標値がしきい値τより大きいと判定した場合、認証モデル９１０は、認証失敗の認証結果を出力する。

　ロバスト性評価装置１００は、認証モデル９１０に対して、認証対象ｉのデータｘ^ｉ∈Ｒ^ｄにノイズδ∈Ｒ^ｄが付加された敵対的サンプルｘ^ｉ＋δが入力されることを想定し、そのときの認証モデルのロバスト性評価値を算出する。ロバスト性評価装置１００は、ロバスト性評価値として、認証外しを達成するために必要な最小摂動（Perturbation）サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２を推定する。
　最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２は、式（１）のように示される。

　「｜｜　｜｜_ｐ」は、ｌ_ｐノルムを示す。「｜｜δ｜｜_ｐ」は、ノイズδ∈Ｒ^ｄのｌ_ｐノルムを示す。ｐは１、２、∞のいずれでもよい。
　「ｆ（ｘ^ｉ＋δ）」は、データｘ^ｉにノイズδが加えられた敵対的サンプルｘ^ｉ＋δの特徴量を示す。「ｆ（ｔ^ｉ）」は、テンプレートｔ^ｉの特徴量を示す。
　「｜｜ｆ（ｘ^ｉ＋δ）－ｆ（ｔ^ｉ）｜｜_２」は、敵対的サンプルｘ^ｉ＋δの特徴量とテンプレートｔ^ｉの特徴量との類似度の、ｌ_２ノルムによる指標値を示す。ｌ_２ノルムはユークリッド距離とも称される。

　「｜｜ｆ（ｘ^ｉ＋δ）－ｆ（ｔ^ｉ）｜｜_２＞τ」は、認証モデル９１０が認証失敗と判定する判定基準を示す。したがって、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２は、ノイズδのｌ_ｐノルムのうち、認証外しが生じる最小のｌ_ｐノルムを示す。
　ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２よりも小さい場合、認証モデル９１０は、敵対的サンプルｘ^ｉ＋δおよびテンプレートｔ^ｉに基づく認証で、認証成功と判定する。すなわち、ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２よりも小さい場合、認証外しは生じない。

　一般的には最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２を算出することは困難である。そこで、ロバスト性評価装置１００は、ロバスト性評価値として、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２を推定する。β_{ｄｏｄ，ｐ} ^ｌ２が最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限であることから、式（２）のように示される。

　ｐは１、２、∞のいずれでもよい。ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズの下限β_{ｄｏｄ，ｐ} ^ｌ２よりも小さい場合、認証外しは生じない。

　ロバスト性評価装置１００は、特徴量抽出器ｆと、しきい値τと、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｉの入力データｘ^ｉ∈Ｒ^ｄと、パラメータε＞０とが入力されたときに、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２を推定し、ロバスト性評価値として出力する。
　ロバスト性評価装置１００は、認証モデル９１０の入力データｘ^ｉ∈Ｒ^ｄに対する最小摂動サイズの下限β_{ｄｏｄ，ｐ} ^ｌ２を、式（３）を用いて計算する。

　「τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差を示す。
　「Ｌ_ｘｉ，ε ^ｌ２」は、式（４）で示される関数ｈ^ｌ２（ｘ）の、球Ｂ_ｐ ^ｉにおけるローカルリプシッツ定数（Local Lipschitz Constant）を示す。

　球Ｂ_ｐ ^ｉは、式（５）で示される球である。

　球Ｂ_ｐ ^ｉの中心はｘ^ｉであり、球Ｂ_ｐ ^ｉの半径はεである。εは、ローカルリプシッツ定数を求める際に用いられるパラメータを示し、ε＞０である。例えば、ロバスト性評価装置１００のユーザがパラメータεの値を決定し、ロバスト性評価装置１００に入力するようにしてもよい。あるいは、ロバスト性評価装置１００が、予め定められたパラメータεの値を記憶しておくようにしてもよい。

　ここで、ローカルリプシッツ定数について説明する。
　Ｓ⊂Ｒ^ｄを、凸状の境界で閉じられた領域とし、関数ｈ（ｘ）を、ｈ（ｘ）：Ｓ→Ｒとする。すなわち、関数ｈ（ｘ）を、領域Ｓ内のｄ次元実数ベクトルを実数に射影する、領域Ｓに関して連続な関数とする。ｘ、ｙをそれぞれ領域Ｓに含まれる任意のｄ次元実数ベクトルとして、式（６）が成り立つ場合、関数ｈ（ｘ）は、リプシッツ定数Ｌ_ｑのリプシッツ関数と称される。

　特に、特定のｘ_０∈Ｒ^ｄおよびその周囲におけるリプシッツ定数は、ローカルリプシッツ定数と称される。
　第一実施形態では、上記のようにｘ^ｉを中心とする球Ｂ_ｐ ^ｉにおける関数ｈ^ｌ２のローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２を用いる。
　なお、リプシッツ定数、および、ローカルリプシッツ定数については、例えば非特許文献１に記載されている。

　ロバスト性評価装置１００がローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２を算出する方法として、公知の方法を用いることができる。例えばロバスト性評価装置１００が、式（７）に基づいてローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２を算出するようにしてもよい。

　∇はナブラ（Nabla）演算子を示し、∇ｈ（ｘ）は式（８）のように示される。

　ｑは、式（９）を満たす正の整数である。

　上記のように、ｐは、１、２、∞の何れかの値をとる。ｐ＝１のとき、ｑ＝∞である。ｐ＝２のとき、ｑ＝２である。ｐ＝∞のとき、ｑ＝１である。

　差算出部１０４は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差「τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」を計算する。
　差算出部１０４の類似度算出部１０５は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」を算出する。
　ローカルリプシッツ定数推定部１０６は、上述したローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２を算出する。

　評価値推定部１０２は、差算出部１０４が算出する「τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」の値と、ローカルリプシッツ定数推定部１０６が算出するローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２とを用いて、「（τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２）／Ｌ_ｘｉ，ε ^ｌ２」を計算する。評価値推定部１０２は、「（τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２）／Ｌ_ｘｉ，ε ^ｌ２」の値と、パラメータεの値との大小を比較し、何れか値が小さい方を、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２として出力する。

　図３を参照して、ロバスト性評価装置１００の動作について説明する。
　図３は、ロバスト性評価装置１００が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。
　図３の処理で、評価値推定部１０２は、特徴量抽出器ｆ：Ｒ^ｄ→Ｒ^ｍと、しきい値τ＞０と、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｉの入力データｘ^ｉ∈Ｒ^ｄと、パラメータε＞０との入力を受け付ける（ステップＳ１０１）。

　次いで、差算出部１０４は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差「τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」を計算する（ステップＳ１０２）。ステップＳ１０２で、類似度算出部１０５が、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」を算出する。

　次いで、ローカルリプシッツ定数推定部１０６は、関数ｈ^ｌ２（ｘ）＝｜｜ｆ（ｘ）－ｆ（ｔ^ｉ）｜｜_２の、上記の式（５）で示される球Ｂ_ｐ ^ｉにおけるローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２の推定を行う（ステップＳ１０３）。
　次いで、評価値推定部１０２は、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２を算出し出力する（ステップＳ１０４）。具体的には、評価値推定部１０２は、差算出部１０４が計算した「τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２」の値と、ローカルリプシッツ定数推定部１０６が推定したローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｌ２の値とを用いて「（τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２）／Ｌ_ｘｉ，ε ^ｌ２」を計算する。評価値推定部１０２は、「（τ－｜｜ｆ（ｘ^ｉ）－ｆ（ｔ^ｉ）｜｜_２）／Ｌ_ｘｉ，ε ^ｌ２」の値とパラメータεの値とのうち、何れか小さい方の値を、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｌ２の下限β_{ｄｏｄ，ｐ} ^ｌ２として算出し出力する。
　ステップＳ１０４の後、ロバスト性評価装置１００は、図３の処理を終了する。

　以上のように、類似度算出部１０５は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する。ローカルリプシッツ定数推定部１０６は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する。評価値推定部１０２は、類似度算出部１０５が算出する類似度と、その類似度に対する判定閾値と、ローカルリプシッツ定数とに基づいて、認証モデルのロバスト性の評価値を推定する。

　これにより、ロバスト性評価装置１００によれば、認証モデルのロバスト性を定量的に評価することができる。
　ここで、入力データをクラス分けする分類器と認証モデルとでは、それぞれが解く問題、出力を決定する方法の何れも異なる。分類器は入力データを、分類度が最も大きくなるクラスに分類する。これに対して、認証モデルは、特徴量抽出器を用いて算出される入力データの特徴量とテンプレートの特徴量との類似度としきい値の比較により認証を行う。したがって、分類器のロバスト性評価値の計算式を用いて、認証モデルの敵対的サンプルに対するロバスト性評価値を計算することはできない。これに対し、ロバスト性評価装置１００によれば、認証モデルのロバスト性を定量的に評価することができる。

　また、類似度算出部１０５は、ユークリッド距離による類似度を算出する。評価値推定部１０２は、類似度算出部１０５が算出する類似度を判定しきい値から減算した値をローカルリプシッツ定数で減算した値に基づいて、認証外しに対する前記認証モデルのロバスト性の評価値を推定する。
　これにより、ロバスト性評価装置１００によれば、認証はずしを目的として生成される敵対的サンプルに対する認証モデルのロバスト性を定量的に評価することができる。

＜第二実施形態＞
　図４は、第二実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。図４に示す構成で、ロバスト性評価装置２００は、評価値推定部２０２と、差算出部２０４と、ローカルリプシッツ定数推定部２０６と、を備える。差算出部２０４は、類似度算出部２０５を備える。

　ロバスト性評価装置２００は、ロバスト性評価装置１００（図１）の場合と同様、認証モデルに対する「認証外し」（dodging）を目的として生成される敵対的サンプルに対する、認証モデルのロバスト性の定量的評価値の算出を行う。
　一方、ロバスト性評価装置２００は、特徴量間の類似度の指標として、値が大きいほど類似度が高いことを表す指標を用いた認証モデルを、ロバスト性評価値算出の対象とする。この点で、ロバスト性評価装置２００は、ロバスト性評価装置１００と異なる。

　値が大きいほど類似度が高いことを表す指標を用いて類似度を計算する場合、認証モデルは特徴量間の類似度の指標値がしきい値以上ならば認証成功、しきい値より小さければ認証失敗と認証結果を決定する。そのような指標の例として、コサイン類似度（Cosine Similarity）が挙げられる。

　第二実施形態では、類似度の指標として、コサイン類似度を用いた認証モデルがロバスト性評価値算出の対象である場合を例に説明する。ただし、第二実施形態における認証モデルが用いる類似度の指標は、コサイン類似度に限定されず、値が大きいほど類似度が高いことを示すいろいろな指標とすることができる。

　図５は、ロバスト性評価装置２００がロバスト性評価値算出の対象とする認証モデルの例を示す図である。ロバスト性評価装置２００がロバスト性評価値算出の対象とする認証モデルを、認証モデル９２０と表記する。認証モデル９２０の特徴量抽出器ｆ、しきい値τ、認証対象ｉのテンプレートｔ^ｉは、いずれも認証モデル９１０（図２）の場合と同様である。しきい値τの具体的な値は、認証モデル９１０の場合と異なっていてもよい。
　認証モデル９２０は、特徴量の類似度の指標としてコサイン類似度を用いる点で、認証モデル９１０と異なる。それ以外の点では、認証モデル９２０は、認証モデル９１０と同様である。

　第一実施形態の場合と同様、テンプレートｔ^ｉの「ｉ」は、認証対象を識別する識別番号を示す正の整数である。認証モデル９２０に複数のテンプレートが登録されている場合、複数のテンプレートのうち何れか１つのテンプレートが指定され、認証モデル９２０は、指定されたテンプレートを用いて認証を行う。認証モデル９２０は、入力されたデータの特徴量と指定されたテンプレートの特徴量との類似度に基づいて、入力されたデータに示される認証対象が、テンプレートを登録されている認証対象と同一の認証対象であるか否かを判定することで、認証を行う。

　１つのテンプレートｔ^ｉが指定され、データｘ∈Ｒ^ｄが入力された場合、認証モデル９２０は、入力されたデータｘの特徴量と指定されたテンプレートｔ^ｉの特徴量との類似度を示す指標値を算出する。そして、認証モデル９２０は、算出した指標値としきい値τとを比較する。指標値がしきい値τ以上であると判定した場合、認証モデル９１０は、認証成功の認証結果を出力する。指標値がしきい値τより小さいと判定した場合、認証モデル９２０は、認証失敗の認証結果を出力する。

　ロバスト性評価装置２００は、認証モデル９２０に対して、認証対象ｉのデータｘ^ｉ∈Ｒ^ｄにノイズδ∈Ｒ^ｄが付加された敵対的サンプルｘ^ｉ＋δが入力されることを想定し、そのときの認証モデルのロバスト性評価値を算出する。ロバスト性評価装置２００は、ロバスト性評価値として、認証外しを達成するために必要な最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限β_{ｄｏｄ，ｐ} ^ｃｏｓを推定する。
　最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓは、式（１０）のように示される。

　「ｃｏｓ（　，　）」は、２つのベクトルのコサイン類似度を算出する関数である。「ｃｏｓ（ｆ（ｘ^ｉ＋δ）,ｆ（ｔ^ｉ））」は、敵対的サンプルｘ^ｉ＋δの特徴量「ｆ（ｘ^ｉ＋δ）」と、テンプレートｔ^ｉの特徴量「ｆ（ｔ^ｉ）」とのコサイン類似度を示す。

　「ｃｏｓ（ｆ（ｘ^ｉ＋δ）,ｆ（ｔ^ｉ））＜τ」は、認証モデル９２０が認証失敗と判定する判定基準を示す。したがって、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓは、ノイズδのｌ_ｐノルムのうち、認証外しが生じる最小のｌ_ｐノルムを示す。
　ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓよりも小さい場合、認証モデル９２０は、敵対的サンプルｘ^ｉ＋δおよびテンプレートｔ^ｉに基づく認証で、認証成功と判定する。すなわち、ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓよりも小さい場合、認証外しは生じない。

　一般的には最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓを算出することは困難である。そこで、ロバスト性評価装置２００は、ロバスト性評価値として、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限β_{ｄｏｄ，ｐ} ^ｃｏｓを推定する。β_{ｄｏｄ，ｐ} ^ｃｏｓが最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限であることから、式（１１）のように示される。

　ｐは１、２、∞のいずれでもよい。ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズの下限β_{ｄｏｄ，ｐ} ^ｃｏｓよりも小さい場合、認証外しは生じない。

　ロバスト性評価装置２００は、特徴量抽出器ｆと、しきい値τと、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｉの入力データｘ^ｉ∈Ｒ^ｄと、パラメータε＞０とが入力されたときに、最小摂動サイズの下限β_{ｄｏｄ，ｐ} ^ｃｏｓを推定し、ロバスト性評価値として出力する。
　ロバスト性評価装置２００は、認証モデル９２０の入力データｘ^ｉ∈Ｒ^ｄに対する最小摂動サイズの下限β_{ｄｏｄ，ｐ} ^ｃｏｓを、式（１２）を用いて計算する。

　「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ」は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差を示す。
　「Ｌ_ｘｉ，ε ^ｃｏｓ」は、式（１３）で示される関数ｈ^ｃｏｓ（ｘ）の、式（５）で示される球Ｂ_ｐ ^ｉにおけるローカルリプシッツ定数を示す。

　ロバスト性評価装置２００がローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓを算出する方法として、公知の方法を用いることができる。例えばロバスト性評価装置２００が、式（１４）に基づいてローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓを算出するようにしてもよい。

　式（１４）は、左辺がＬ_ｘｉ，ε ^ｃｏｓとなっている点、および、右辺に関数ｈ^ｃｏｓ（ｘ）が示されている点で、式（７）と異なる。それ以外は、式（１４）は、式（７）と同様である。

　差算出部２０４は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ」を計算する。
　差算出部２０４の類似度算出部２０５は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」を算出する。
　ローカルリプシッツ定数推定部２０６は、上述したローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓを算出する。

　評価値推定部２０２は、差算出部２０４が算出する「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ」の値と、ローカルリプシッツ定数推定部２０６が算出するローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓとを用いて、「（ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ）／Ｌ_ｘｉ，ε ^ｃｏｓ」を計算する。評価値推定部２０２は、「（ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ）／Ｌ_ｘｉ，ε ^ｃｏｓ」の値と、パラメータεの値との大小を比較し、何れか値が小さい方を、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限β_{ｄｏｄ，ｐ} ^ｃｏｓとして出力する。

　図６を参照して、ロバスト性評価装置２００の動作について説明する。
　図６は、ロバスト性評価装置２００が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。
　図６の処理で、評価値推定部２０２は、特徴量抽出器ｆ：Ｒ^ｄ→Ｒ^ｍと、しきい値τ＞０と、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｉの入力データｘ^ｉ∈Ｒ^ｄと、パラメータε＞０との入力を受け付ける（ステップＳ２０１）。

　次いで、差算出部２０４は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ」を計算する（ステップＳ２０２）。ステップＳ２０２で、類似度算出部２０５が、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」を算出する。

　次いで、ローカルリプシッツ定数推定部２０６は、関数ｈ^ｃｏｓ（ｘ）＝ｃｏｓ（ｆ（ｘ），ｆ（ｔ^ｉ））の、上記の式（５）で示される球Ｂ_ｐ ^ｉにおけるローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓの推定を行う（ステップＳ２０３）。
　次いで、評価値推定部２０２は、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限β_{ｄｏｄ，ｐ} ^ｃｏｓを算出し出力する（ステップＳ２０４）。具体的には、評価値推定部２０２は、差算出部２０４が計算した「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ」の値と、ローカルリプシッツ定数推定部２０６が推定したローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓの値とを用いて「（ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ）／Ｌ_ｘｉ，ε ^ｃｏｓ」を計算する。評価値推定部２０２は、「（ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））－τ）／Ｌ_ｘｉ，ε ^ｃｏｓ」の値とパラメータεの値とのうち、何れか小さい方の値を、最小摂動サイズΔ_{ｐ，ｍｉｎ} ^ｃｏｓの下限β_{ｄｏｄ，ｐ} ^ｃｏｓとして算出し出力する。
　ステップＳ２０４の後、ロバスト性評価装置２００は、図６の処理を終了する。

　以上のように、類似度算出部２０５は、コサイン類似度を算出する。評価値推定部２０２は、類似度算出部２０５が算出する類似度から判定しきい値を減算した値をローカルリプシッツ定数で減算した値に基づいて、認証外しに対する認証モデルのロバスト性の評価値を推定する。
　これにより、ロバスト性評価装置２００によれば、認証はずしを目的として生成される敵対的サンプルに対する認証モデルのロバスト性を定量的に評価することができる。

＜第三実施形態＞
図７は、第三実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。図７に示す構成で、ロバスト性評価装置３００は、評価値推定部３０２と、差算出部３０４と、ローカルリプシッツ定数推定部３０６と、を備える。差算出部３０４は、類似度算出部３０５を備える。

　ロバスト性評価装置３００は、認証モデルに対する「なりすまし」を目的として生成される敵対的サンプルに対する認証モデルのロバスト性の定量的評価値の算出を行う。
　なりすましとは、登録されたテンプレートを用いて認証される認証対象と異なる認証対象のデータが入力されたにもかかわらず、認証モデルが認証に成功することである。例えば、顔認証を行う認証モデルの場合、なりすましでは、テンプレートとして顔画像が登録されている認証対象者とは別の人物の顔画像が入力されたにもかかわらず、認証モデルが顔認証に成功する。

　ロバスト性評価装置３００は、ロバスト性評価装置１００の場合と同様、特徴量間の類似度の指標として、値が小さいほど類似度が高いことを表す指標を用いた認証モデルを、ロバスト性評価値算出の対象とする。上述したように、そのような指標を用いて類似度を計算する場合、認証モデルは特徴量間の類似度の指標値がしきい値以下ならば認証成功、しきい値より大きければ認証失敗と認証結果を決定する。そのような指標の例として、ユークリッド距離が挙げられる。

　第三実施形態では、類似度の指標として、ユークリッド距離を用いた認証モデルがロバスト性評価値算出の対象である場合を例に説明する。ただし、第三実施形態における認証モデルが用いる類似度の指標は、ユークリッド距離に限定されず、値が小さいほど類似度が高いことを示すいろいろな指標とすることができる。

　ロバスト性評価装置３００は、ロバスト性評価装置１００の場合と同様、認証モデル９１０（図２）をロバスト性評価値算出の対象とする。
　ロバスト性評価装置３００は、認証モデル９１０に対して、認証対象ｓのデータｘ^ｓ∈Ｒ^ｄにノイズδ∈Ｒ^ｄが付加された敵対的サンプルｘ^ｓ＋δが入力されることを想定し、そのときの認証モデルのロバスト性評価値を算出する。

　ここで、ｓ≠ｉとする。具体的には、テンプレートが登録されている認証対象者と別人のデータを用いて敵対的サンプルを生成する場合を考える。
　ロバスト性評価装置３００は、ロバスト性評価値として、なりすましを達成するために必要な最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限β_{ｉｍｐ，ｐ} ^ｌ２を推定する。
　最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２は、式（１５）のように示される。

　「ｆ（ｘ^ｓ＋δ）」は、データｘ^ｓにノイズδが加えられた敵対的サンプルｘ^ｓ＋δの特徴量を示す。「｜｜ｆ（ｘ^ｓ＋δ）－ｆ（ｔ^ｉ）｜｜_２」は、敵対的サンプルｘ^ｓ＋δの特徴量とテンプレートｔ^ｉの特徴量との類似度の、ｌ_２ノルムによる指標値を示す。

　「｜｜ｆ（ｘ^ｓ＋δ）－ｆ（ｔ^ｉ）｜｜_２≦τ」は、認証モデル９１０が認証成功と判定する判定基準を示す。したがって、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２は、ノイズδのｌ_ｐノルムのうち、なりすましが生じる最小のｌ_ｐノルムを示す。
　ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２よりも小さい場合、認証モデル９１０は、敵対的サンプルｘ^ｓ＋δおよびテンプレートｔ^ｉに基づく認証で、認証失敗と判定する。すなわち、ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２よりも小さい場合、なりすましは生じない。

　一般的には最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２を算出することは困難である。そこで、ロバスト性評価装置３００は、ロバスト性評価値として、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限β_{ｉｍｐ，ｐ} ^ｌ２を推定する。β_{ｉｍｐ，ｐ} ^ｌ２が最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限であることから、式（１６）のように示される。

　ｐは１、２、∞のいずれでもよい。ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｌ２よりも小さい場合、なりすましは生じない。

　ロバスト性評価装置３００は、特徴量抽出器ｆと、しきい値τと、認証対象ｉｓのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｓの入力データｘ^ｓ∈Ｒ^ｄと、パラメータε＞０とが入力されたときに、最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｌ２を推定し、ロバスト性評価値として出力する。
　ロバスト性評価装置３００は、認証モデル９１０の入力データｘ^ｓ∈Ｒ^ｄに対する最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｌ２を、式（１７）を用いて計算する。

　「τ－｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２」は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差を示す。
　「Ｌ_ｘｓ，ε ^ｌ２」は、上記の式（４）で示される関数ｈ^ｌ２（ｘ）の、球Ｂ_ｐ ^ｓにおけるローカルリプシッツ定数を示す。
　球Ｂ_ｐ ^ｓは、式（１８）で示される球である。

　球Ｂ_ｐ ^ｓの中心はｘ^ｓであり、球Ｂ_ｐ ^ｓの半径はεである。
　ロバスト性評価装置３００がローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２を算出する方法として、公知の方法を用いることができる。例えばロバスト性評価装置３００が、式（１９）に基づいてローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２を算出するようにしてもよい。

　式（１９）は、左辺がＬ_ｘｓ，ε ^ｌ２となっている点、および、右辺に示される球が球Ｂ_ｐ ^ｓである点で、式（７）と異なる。それ以外は、式（１９）は、式（７）と同様である。

　差算出部３０４は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ」を計算する。
　差算出部３０４の類似度算出部３０５は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２」を算出する。
　ローカルリプシッツ定数推定部３０６は、上述したローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２を算出する。

　評価値推定部３０２は、差算出部３０４が算出する「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ」の値と、ローカルリプシッツ定数推定部１０６が算出するローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２とを用いて、「（｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ）／Ｌ_ｘｓ，ε ^ｌ２」を計算する。評価値推定部３０２は、「（｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ）／Ｌ_ｘｓ，ε ^ｌ２」の値と、パラメータεの値との大小を比較し、何れか値が小さい方を、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限β_{ｉｍｐ，ｐ} ^ｌ２として出力する。

　図８を参照して、ロバスト性評価装置３００の動作について説明する。
　図８は、ロバスト性評価装置３００が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。
　図８の処理で、評価値推定部３０２は、特徴量抽出器ｆ：Ｒ^ｄ→Ｒ^ｍと、しきい値τ＞０と、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｓの入力データｘ^ｓ∈Ｒ^ｄと、パラメータε＞０との入力を受け付ける（ステップＳ３０１）。

　次いで、差算出部３０４は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度から、しきい値τを減算した差「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ」を計算する（ステップＳ３０２）。ステップＳ３０２で、類似度算出部３０５が、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２」を算出する。

　次いで、ローカルリプシッツ定数推定部３０６は、関数ｈ^ｌ２（ｘ）＝｜｜ｆ（ｘ）－ｆ（ｔ^ｉ）｜｜_２の、上記の式（１８）で示される球Ｂ_ｐ ^ｓにおけるローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２の推定を行う（ステップＳ３０３）。
　次いで、評価値推定部３０２は、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限β_{ｉｍｐ，ｐ} ^ｌ２を算出し出力する（ステップＳ１０４）。具体的には、評価値推定部１０２は、差算出部３０４が計算した「｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ」の値と、ローカルリプシッツ定数推定部３０６が推定したローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｌ２の値とを用いて「（｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ）／Ｌ_ｘｓ，ε ^ｌ２」を計算する。評価値推定部３０２は、「（｜｜ｆ（ｘ^ｓ）－ｆ（ｔ^ｉ）｜｜_２－τ）／Ｌ_ｘｓ，ε ^ｌ２」の値とパラメータεの値とのうち、何れか小さい方の値を、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２の下限β_{ｉｍｐ，ｐ} ^ｌ２として算出し出力する。
　ステップＳ３０４の後、ロバスト性評価装置３００は、図８の処理を終了する。

　以上のように、類似度算出部３０５は、ユークリッド距離による類似度を算出する。評価値推定部３０２は、類似度算出部３０５が算出する類似度から判定しきい値を減算した値をローカルリプシッツ定数で減算した値に基づいて、なりすましに対する認証モデルのロバスト性の評価値を推定する。
　これにより、ロバスト性評価装置３００によれば、なりすましを目的として生成される敵対的サンプルに対する認証モデルのロバスト性を定量的に評価することができる。

＜第四実施形態＞
　図９は、第四実施形態に係るロバスト性評価装置の構成例を示す概略ブロック図である。図９に示す構成で、ロバスト性評価装置４００は、評価値推定部４０２と、差算出部４０４と、ローカルリプシッツ定数推定部４０６と、を備える。差算出部４０４は、類似度算出部４０５を備える。

　ロバスト性評価装置４００は、ロバスト性評価装置３００（図７）の場合と同様、認証モデルに対する「なりすまし」を目的として生成される敵対的サンプルに対する認証モデルのロバスト性の定量的評価値の算出を行う。
　一方、ロバスト性評価装置４００は、特徴量間の類似度の指標として、値が大きいほど類似度が高いことを表す指標を用いた認証モデルを、ロバスト性評価値算出の対象とする。この点で、ロバスト性評価装置４００は、ロバスト性評価装置３００と異なる。

　上述したように、値が大きいほど類似度が高いことを表す指標を用いて類似度を計算する場合、認証モデルは特徴量間の類似度の指標値がしきい値以上ならば認証成功、しきい値より小さければ認証失敗と認証結果を決定する。そのような指標の例として、コサイン類似度（Cosine Similarity）が挙げられる。

　第四実施形態では、類似度の指標として、コサイン類似度を用いた認証モデルがロバスト性評価値算出の対象である場合を例に説明する。ただし、第四実施形態における認証モデルが用いる類似度の指標は、コサイン類似度に限定されず、値が大きいほど類似度が高いことを示すいろいろな指標とすることができる。

　ロバスト性評価装置４００は、ロバスト性評価装置２００の場合と同様、認証モデル９２０（図５）をロバスト性評価値算出の対象とする。
　ロバスト性評価装置４００は、認証モデル９２０に対して、認証対象ｓのデータｘ^ｓ∈Ｒ^ｄにノイズδ∈Ｒ^ｄが付加された敵対的サンプルｘ^ｓ＋δが入力されることを想定し、そのときの認証モデルのロバスト性評価値を算出する。ロバスト性評価装置４００は、ロバスト性評価値として、なりすましを達成するために必要な最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限β_{ｉｍｐ，ｐ} ^ｃｏｓを推定する。
　最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓは、式（２０）のように示される。

　「ｃｏｓ（ｆ（ｘ^ｓ＋δ），ｆ（ｔ^ｉ）」は、敵対的サンプルｘ^ｓ＋δの特徴量とテンプレートｔ^ｉの特徴量との類似度の、コサイン類似度による指標値を示す。

　「ｃｏｓ（ｆ（ｘ^ｓ＋δ），ｆ（ｔ^ｉ）≧τ」は、認証モデル９１０が認証成功と判定する判定基準を示す。したがって、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓは、ノイズδのｌ_ｐノルムのうち、なりすましが生じる最小のｌ_ｐノルムを示す。
　ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓよりも小さい場合、認証モデル９２０は、敵対的サンプルｘ^ｓ＋δおよびテンプレートｔ^ｉに基づく認証で、認証失敗と判定する。すなわち、ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｌ２よりも小さい場合、なりすましは生じない。

　一般的には最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓを算出することは困難である。そこで、ロバスト性評価装置４００は、ロバスト性評価値として、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限β_{ｉｍｐ，ｐ} ^ｃｏｓを推定する。β_{ｉｍｐ，ｐ} ^ｃｏｓが最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限であることから、式（２１）のように示される。

　ｐは１、２、∞のいずれでもよい。ノイズδのｌ_ｐノルム「｜｜δ｜｜_ｐ」が最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｃｏｓよりも小さい場合、なりすましは生じない。

　ロバスト性評価装置４００は、特徴量抽出器ｆと、しきい値τと、認証対象ｉｓのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｓの入力データｘ^ｓ∈Ｒ^ｄと、パラメータε＞０とが入力されたときに、最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｃｏｓを推定し、ロバスト性評価値として出力する。
　ロバスト性評価装置４００は、認証モデル９２０の入力データｘ^ｓ∈Ｒ^ｄに対する最小摂動サイズの下限β_{ｉｍｐ，ｐ} ^ｃｏｓを、式（２２）を用いて計算する。

　「τ－ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」は、入力データｘ^ｉから計算される特徴量ｆ（ｘ^ｉ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差を示す。
　「Ｌ_ｘｓ，ε ^ｃｏｓ」は、上記の式（１３）で示される関数ｈ^ｃｏｓ（ｘ）の、上記の式（１８）で示される球Ｂ_ｐ ^ｓにおけるローカルリプシッツ定数を示す。

　ロバスト性評価装置４００がローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｃｏｓを算出する方法として、公知の方法を用いることができる。例えばロバスト性評価装置４００が、式（２３）に基づいてローカルリプシッツ定数Ｌ_ｘｉ，ε ^ｃｏｓを算出するようにしてもよい。

　式（２３）は、左辺がＬ_ｘｓ，ε ^ｃｏｓとなっている点、および、右辺に示される球が球Ｂ_ｐ ^ｓである点で、式（１４）と異なる。それ以外は、式（２３）は、式（１４）と同様である。

　差算出部４０４は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差「τ－ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」を計算する。
　差算出部３０４の類似度算出部３０５は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」を算出する。
　ローカルリプシッツ定数推定部４０６は、上述したローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｃｏｓを算出する。

　評価値推定部４０２は、差算出部４０４が算出する「τ－ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ））」の値と、ローカルリプシッツ定数推定部２０６が算出するローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｃｏｓとを用いて、「（τ－ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ）））／Ｌ_ｘｓ，ε ^ｃｏｓ」を計算する。評価値推定部２０２は、「（τ－ｃｏｓ（ｆ（ｘ^ｉ），ｆ（ｔ^ｉ）））／Ｌ_ｘｓ，ε ^ｃｏｓ」の値と、パラメータεの値との大小を比較し、何れか値が小さい方を、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限β_{ｉｍｐ，ｐ} ^ｃｏｓとして出力する。

　図１０を参照して、ロバスト性評価装置４００の動作について説明する。
　図１０は、ロバスト性評価装置４００が、認証モデルのロバスト性評価値を計算する処理手順の例を示すフローチャートである。
　図１０の処理で、評価値推定部４０２は、特徴量抽出器ｆ：Ｒ^ｄ→Ｒ^ｍと、しきい値τ＞０と、認証対象ｉのテンプレートｔ^ｉ∈Ｒ^ｄと、認証対象ｓの入力データｘ^ｓ∈Ｒ^ｄと、パラメータε＞０との入力を受け付ける（ステップＳ４０１）。

　次いで、差算出部４０４は、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）と、テンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度を、しきい値τから減算した差「τ－ｃｏｓ（ｆ（ｘ^ｓ），ｆ（ｔ^ｉ））」を計算する（ステップＳ４０２）。ステップＳ４０２で、類似度算出部４０５が、入力データｘ^ｓから計算される特徴量ｆ（ｘ^ｓ）とテンプレートｔ^ｉから計算される特徴量ｆ（ｔ^ｉ）との類似度「ｃｏｓ（ｆ（ｘ^ｓ），ｆ（ｔ^ｉ））」を算出する。

　次いで、ローカルリプシッツ定数推定部４０６は、関数ｈ^ｃｏｓ（ｘ）＝ｃｏｓ（ｆ（ｘ），ｆ（ｔ^ｉ））の、上記の式（１８）で示される球Ｂ_ｐ ^ｓにおけるローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｃｏｓの推定を行う（ステップＳ４０３）。
　次いで、評価値推定部４０２は、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限β_{ｉｍｐ，ｐ} ^ｃｏｓを算出し出力する（ステップＳ４０４）。具体的には、評価値推定部４０２は、差算出部４０４が計算した「τ－ｃｏｓ（ｆ（ｘ^ｓ），ｆ（ｔ^ｉ））」の値と、ローカルリプシッツ定数推定部４０６が推定したローカルリプシッツ定数Ｌ_ｘｓ，ε ^ｃｏｓの値とを用いて「（τ－ｃｏｓ（ｆ（ｘ^ｓ），ｆ（ｔ^ｉ）））／Ｌ_ｘｓ，ε ^ｃｏｓ」を計算する。評価値推定部４０２は、「（τ－ｃｏｓ（ｆ（ｘ^ｓ），ｆ（ｔ^ｉ）））／Ｌ_ｘｓ，ε ^ｃｏｓ」の値とパラメータεの値とのうち、何れか小さい方の値を、最小摂動サイズΔ_{ｐ，ｉｍｐ} ^ｃｏｓの下限β_{ｉｍｐ，ｐ} ^ｃｏｓとして算出し出力する。
　ステップＳ４０４の後、ロバスト性評価装置４００は、図１０の処理を終了する。

　以上のように、類似度算出部４０５は、コサイン類似度を算出する。評価値推定部４０２は、類似度算出部４０５が算出する類似度を判定しきい値から減算した値に基づいて、なりすましに対する前記認証モデルのロバスト性の評価値を推定する。
　これにより、ロバスト性評価装置４００によれば、なりすましを目的として生成される敵対的サンプルに対する認証モデルのロバスト性を定量的に評価することができる。

＜第五実施形態＞
　第五実施形態では、ローカルリプシッツ定数の推定について説明する。第五実施形態は、第一実施形態から第四実施形態のうち何れかに適用可能である。
　図１１は、第五実施形態に係るローカルリプシッツ定数推定装置の構成例を示す概略ブロック図である。図１１に示す構成で、ローカルリプシッツ定数推定装置５００は、最適化部５０２と、判定部５０４と、を備える。

　ローカルリプシッツ定数の推定方法の例として、非特許文献１に挙げられた方法がある。
　ここで、球Ｂ_ｐを、式（２４）に示される球とする。

　また、ｑは、上記の式（９）を満たす整数であるとする。
　この球Ｂ_ｐにおける関数ｈ：Ｒ^ｄ→Ｒのローカルリプシッツ定数Ｌ_ｘｃ，εは、式（２５）のようになることが知られている。

　非特許文献１では、球Ｂ_ｐから複数の点をサンプリングし、サンプリングに依存した方法でローカルリプシッツ定数Ｌ_ｘｃ，εを推定することが記載されている。
　一方、ローカルリプシッツ定数推定装置５００は、勾配法を活用した方法で、ローカルリプシッツ定数Ｌ_ｘｃ，εの推定を行う。サンプリングに依存せず、勾配法を利用することで、より正確なローカルリプシッツ定数Ｌ_ｘｃ，εを推定できることが期待される。

　ローカルリプシッツ定数推定装置５００は、関数ｈ：Ｒ^ｄ→Ｒと中心ｘ^ｃ∈Ｒ^ｄと半径ε＞０とを入力として受け付け、式（２４）に示される球Ｂ_ｐにおける、関数ｈ：Ｒ^ｄ→Ｒのローカルリプシッツ定数を推定し出力する。ローカルリプシッツ定数推定装置５００は、ｐが２の場合、および、ｐが∞の場合に対応する。

　ローカルリプシッツ定数推定装置５００はロバスト性評価装置１００、２００、３００、４００のいずれにおいても、ローカルリプシッツ定数推定部として用いることができる。例えば、ロバスト性評価装置１００の場合、ローカルリプシッツ定数推定装置５００が入力として受け付ける関数ｈは、ｈ（ｘ）＝｜｜ｆ（ｘ）－ｆ（ｔ^ｉ）｜｜_２となり、球Ｂ_ｐの中心ｘ^ｃ∈Ｒ^ｄは、ｘ^ｉ∈Ｒ^ｄとなる。

　最適化部５０２は、式（２６）に示される最適化問題を解くことで、ローカルリプシッツ定数の推定を行う。

　最適化部５０２は、初期点ｘ^０∈Ｒ^ｄを決定し、式（２７）に基づいて点ｘ^ｎをＭ回更新することで、上記の式（２６）の最適化問題を解く。

　ｘ^ｎは、ｎ回更新された点を示す。ｘ^ｎは、ローカルリプシッツ定数値の候補を算出する点の例に該当する。∇ｈ（ｘ^ｎ－１）は、点ｘ^ｎ－１における関数ｈの勾配を示す。
　ｌは、学習率を示す。ローカルリプシッツ定数推定装置５００が、学習率ｌを入力として受け付けるようにしてもよい。あるいは、学習率ｌが、ローカルリプシッツ定数推定装置５００に予め設定されていてもよい。

　初期点ｘ^０∈Ｒ^ｄの決定方法は、特定の方法に限定されない。
　ローカルリプシッツ定数推定装置５００が、更新回数Ｍを入力として受け付けるようにしてもよい。あるいは、更新回数Ｍが、ローカルリプシッツ定数推定装置５００に予め設定されていてもよい。

　上記のような更新を行うことで最適化問題の解に近づくことが期待される。一方、更新の途中で、最適化問題の制約を満たさなくなる場合がある。具体的には、ｘ^ｎ∈Ｂ_ｐが満たされなくなる場合がある。
　そこで、判定部５０４は、ｘ^ｎ∈Ｂ_ｐが満たされるか否かの判定を行う。最適化部５０２は、ｘ^ｎ∈Ｂ_ｐが満たされないと判定部５０４が判定した場合、ｘ^ｎ∈Ｂ_ｐが満たされるように、ｐに応じて下記のように修正を行う。
　ｐ＝２の場合、最適化部５０２は、点ｘ^ｎを式（２８）のように修正を行う。

　ｐ＝∞の場合、最適化部５０２は、点ｘ^ｎを式（２９）のように修正を行う。

　式（２９）のｍは、１からｄまでの整数の値をとる。ｘ^ｎ［ｍ］は、ｘ^ｎのｍ番目の要素の値を表す。
　式（２８）、式（２９）のいずれの修正も、ｘ^ｎ∈Ｂ_ｐが満たされるようするための修正である。

　最適化部５０２は、上記のような方法でｘ^ｎをＭ回更新する際に、｜｜∇ｈ（ｘ^ｎ）｜｜_ｑを、更新されたｘ^ｎのそれぞれについて計算する。更新されたｘ^ｎのそれぞれで計算される｜｜∇ｈ（ｘ^ｎ）｜｜_ｑは、ローカルリプシッツ定数の値の候補の例に該当する。
　そして、Ｍ個の計算された値の中で、式（３０）に示される最大の値をローカルリプシッツ定数Ｌ_ｘｃ，εの推定値として出力する。

　判定部５０４は、最適化部５０２にて更新されたｘ^ｎを受け取り、ｘ^ｎ∈Ｂ_ｐを満たしているかどうか判定し、判定結果を最適化部５０２に出力する。
　判定部５０４は、ｐの値に応じた式を用いて、ｘ^ｎ∈Ｂ_ｐを満たしているか否かの判定を行う。ｐ＝２の場合、判定部５０４は、式（３１）を用いて、ｘ^ｎ∈Ｂ_ｐを満たしているか否かの判定を行う。

　式（３１）が満たされる場合、判定部５０４は、ｘ^ｎがｘ^ｎ∈Ｂ_ｐを満たしていると判定する。一方、式（３１）が満たされない場合、判定部５０４は、ｘ^ｎがｘ^ｎ∈Ｂ_ｐを満たしていないと判定する。
　ｐ＝∞の場合、判定部５０４は、式（３２）を用いて、ｘ^ｎ∈Ｂ_ｐを満たしているか否かの判定を行う。

　式（３２）が満たされる場合、判定部５０４は、ｘ^ｎがｘ^ｎ∈Ｂ_ｐを満たしていると判定する。一方、式（３２）が満たされない場合、判定部５０４は、ｘ^ｎがｘ^ｎ∈Ｂ_ｐを満たしていないと判定する。

　図１２を用いてローカルリプシッツ定数推定装置５００の動作について説明する。
　図１２は、ローカルリプシッツ定数推定装置５００がローカルリプシッツ定数を推定する処理手順の例を示すフローチャートである。
　図１２の処理で、最適化部５０２は関数ｈ：Ｒ^ｄ→Ｒと中心ｘ^ｃ∈Ｒ^ｄと半径ε＞０を入力として受け付ける（ステップＳ５０１）。

　次いで、最適化部５０２は、初期点ｘ^０∈Ｒ^ｄの決定を行う（ステップＳ５０２）。
　次いで、最適化部５０２は、最適化計算を行うループを開始する（ステップＳ５０３）。
　次いで、最適化部５０２は、式（２７）を用いてｘ^ｎの計算を行い、ｘ^ｎを判定部５０４に出力する（ステップＳ５０４）。ステップＳ５０４の処理は、ｘ^ｎを更新する処理に該当する。

　次いで、判定部５０４は、ｘ^ｎが制約を満たしているかどうかの判定を行い、判定結果を最適化部５０２に返す（ステップＳ５０５）。
　次いで、最適化部５０２は、判定部５０４より得られる判定結果に基づき、修正式を用いてｘ^ｎに修正を加える。（ステップＳ５０６）。具体的には、ｘ^ｎがｘ^ｎ∈Ｂ_ｐを満たしていないと判定部５０４が判定した場合、最適化部５０２は、ｐに応じて式（２８）または式（２９）の何れかを用いてｘ^ｎの値を修正する。

　次いで、最適化部５０２は、｜｜∇ｈ（ｘ^ｎ）｜｜_ｑの計算を行い、得られた値を記憶する（ステップＳ５０７）。

　次いで、最適化部５０２は、最適化計算のループの終端処理を行う（ステップＳ５０８）。具体的には、最適化部５０２は、Ｍ回の更新が行われたか否かを判定する。Ｍ回の更新が行われていないと判定した場合、最適化部５０２は、引き続き、最適化のループの処理を繰り返す。Ｍ回の更新が行われたと判定した場合、最適化部５０２は、最適化のループを終了する。

　最適化のループを終了した場合、最適化部５０２は、ｎ＝１，…，Ｍのうち、｜｜∇ｈ（ｘ^ｎ）｜｜_ｑの値が最大となるものを判定し、得られた｜｜∇ｈ（ｘ^ｎ）｜｜_ｑの最大値をローカルリプシッツ定数Ｌ_ｘｃ，εの推定値として出力する（ステップＳ５０９）。
　ステップＳ５０９の後、ローカルリプシッツ定数推定装置５００は、図１２の処理を完了する。

　以上のように、ローカルリプシッツ定数推定装置５００は、球に含まれる点を、類似度を算出する関数のその点における傾きに応じて更新する処理を繰り返し、更新される点毎に算出されるローカルリプシッツ定数値の候補のうち最大の値を、ローカルリプシッツ定数値と推定する。

　これにより、ローカルリプシッツ定数推定装置５００は、ローカルリプシッツ定数を推定することができる。ローカルリプシッツ定数値の候補を算出する点を、類似度を算出する関数の傾きに応じて更新することで、例えば、ローカルリプシッツ定数値の候補をランダムにサンプリングする場合よりも、より正確なローカルリプシッツ定数を推定できることが期待される。

＜第六実施形態＞
　図１３は、第六実施形態に係るロバスト性評価装置の構成例を示す図である。図１３に示す構成で、ロバスト性評価装置６００は、評価値推定部６０１と、類似度算出部６０２と、ローカルリプシッツ定数推定部６０３とを備える。

　かかる構成で、類似度算出部６０２は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する。ローカルリプシッツ定数推定部６０３は、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する。評価値推定部６０１は、類似度算出部６０２が算出する類似度と、その類似度に対する判定しきい値と、ローカルリプシッツ定数とに基づいて、認証モデルのロバスト性の評価値を推定する。
　ロバスト性評価装置６００によれば、認証モデルのロバスト性を定量的に評価することができる。

＜第七実施形態＞
　図１４は、第七実施形態に係るロバスト性評価方法における処理の手順の例を示すフローチャートである。
　図１４に示すロバスト性評価方法は、類似度算出工程（ステップＳ６０１）と、ローカルリプシッツ定数推定工程（ステップＳ６０２）と、評価値推定工程（ステップＳ６０３）とを含む。

　類似度算出工程（ステップＳ６０１）では、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する。ローカルリプシッツ定数推定工程（ステップＳ６０２）では、認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する。評価値推定工程（ステップＳ６０３）では、ステップＳ６０１で算出する類似度と、その類似度に対する判定しきい値と、ローカルリプシッツ定数とに基づいて、認証モデルのロバスト性の評価値を推定する。
　図１４に示すロバスト性評価方法によれば、認証モデルのロバスト性を定量的に評価することができる。

　図１５は、少なくとも１つの実施形態に係るコンピュータの構成を示す概略ブロック図である。
　図１５に示す構成で、コンピュータ７００は、ＣＰＵ（Central Processing Unit）７１０と、主記憶装置７２０と、補助記憶装置７３０と、インタフェース７４０とを備える。

　上記のロバスト性評価装置１００、２００、３００、４００、６００、および、ローカルリプシッツ定数推定装置５００のうち何れか１つ以上が、コンピュータ７００に実装されてもよい。その場合、上述した各処理部の動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って上記処理を実行する。また、ＣＰＵ７１０は、プログラムに従って、上述した各記憶部に対応する記憶領域を主記憶装置７２０に確保する。

　ロバスト性評価装置１００がコンピュータ７００に実装される場合、評価値推定部１０２と、差算出部１０４と、類似度算出部１０５と、ローカルリプシッツ定数推定部１０６との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　認証モデルのロバスト性の評価値の出力は、インタフェース７４０が、例えば通信機能または表示機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　ロバスト性評価装置２００がコンピュータ７００に実装される場合、評価値推定部２０２と、差算出部２０４と、類似度算出部２０５と、ローカルリプシッツ定数推定部２０６との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　認証モデルのロバスト性の評価値の出力は、インタフェース７４０が、例えば通信機能または表示機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　ロバスト性評価装置３００がコンピュータ７００に実装される場合、評価値推定部３０２と、差算出部３０４と、類似度算出部３０５と、ローカルリプシッツ定数推定部３０６との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　認証モデルのロバスト性の評価値の出力は、インタフェース７４０が、例えば通信機能または表示機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　ロバスト性評価装置４００がコンピュータ７００に実装される場合、評価値推定部４０２と、差算出部４０４と、類似度算出部４０５と、ローカルリプシッツ定数推定部４０６との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　認証モデルのロバスト性の評価値の出力は、インタフェース７４０が、例えば通信機能または表示機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　ローカルリプシッツ定数推定装置５００がコンピュータ７００に実装される場合、最適化部５０２と、判定部５０４との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　ローカルリプシッツ定数の推定値の出力は、インタフェース７４０が、例えば通信機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　ロバスト性評価装置６００がコンピュータ７００に実装される場合、評価値推定部６０１と、類似度算出部６０２と、ローカルリプシッツ定数推定部６０３との動作は、プログラムの形式で補助記憶装置７３０に記憶されている。ＣＰＵ７１０は、プログラムを補助記憶装置７３０から読み出して主記憶装置７２０に展開し、当該プログラムに従って各部の動作を実行する。
　認証モデルのロバスト性の評価値の出力は、インタフェース７４０が、例えば通信機能または表示機能等の出力機能を有し、ＣＰＵ７１０の制御に従って出力処理を行うことで実行される。

　なお、ロバスト性評価装置１００、２００、３００、４００、６００、および、ローカルリプシッツ定数推定装置５００の全部または一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各部の処理を行ってもよい。ここでいう「コンピュータシステム」とは、ＯＳ（オペレーティングシステム）や周辺機器等のハードウェアを含む。
　「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ＲＯＭ（Read Only Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。

　以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。

　本発明の実施形態は、ロバスト性評価装置、ロバスト性評価方法および記録媒体に適用してもよい。

　１００、２００、３００、４００、６００　ロバスト性評価装置
　１０２、２０２、３０２、４０２、６０１　評価値推定部
　１０４、２０４、３０４、４０４　差算出部
　１０５、２０５、３０５、４０５、６０２　類似度算出部
　１０６、２０６、３０６、４０６、６０３　ローカルリプシッツ定数推定部
　５００　ローカルリプシッツ定数推定装置
　５０２　最適化部
　５０４　判定部

Claims

　認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する類似度算出部と、
　前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定するローカルリプシッツ定数推定部と、
　前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する評価値推定部と、
　を備えるロバスト性評価装置。
　前記類似度算出部は、ユークリッド距離による類似度を算出し、
　前記評価値推定部は、前記判定しきい値から前記類似度を減算した値を前記ローカルリプシッツ定数で減算した値に基づいて、認証外しに対する前記認証モデルのロバスト性の評価値を推定する、
　請求項１に記載のロバスト性評価装置。
　前記類似度算出部は、コサイン類似度を算出し、
　前記評価値推定部は、前記類似度から前記判定しきい値を減算した値を前記ローカルリプシッツ定数で減算した値に基づいて、認証外しに対する前記認証モデルのロバスト性の評価値を推定する、
　請求項１に記載のロバスト性評価装置。
　前記類似度算出部は、ユークリッド距離による類似度を算出し、
　前記評価値推定部は、前記類似度から前記判定しきい値を減算した値を前記ローカルリプシッツ定数で減算した値に基づいて、なりすましに対する前記認証モデルのロバスト性の評価値を推定する、
　請求項１に記載のロバスト性評価装置。
　前記類似度算出部は、コサイン類似度を算出し、
　前記評価値推定部は、前記判定しきい値から前記類似度を減算した値を前記ローカルリプシッツ定数で減算した値に基づいて、なりすましに対する前記認証モデルのロバスト性の評価値を推定する、
　請求項１に記載のロバスト性評価装置。
　前記ローカルリプシッツ定数推定部は、前記球に含まれる点を、前記類似度を算出する関数のその点における傾きに応じて更新する処理を繰り返し、更新される点毎に算出されるローカルリプシッツ定数値の候補のうち最大の値を、ローカルリプシッツ定数値と推定する、
　請求項１から５の何れか一項に記載のロバスト性評価装置。
　認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する工程と、
　前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する工程と、
　前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する工程と、
　を含むロバスト性評価方法。
　コンピュータに、
　認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する工程と、
　前記認証モデルへの入力の特徴量とテンプレートの特徴量との類似度を算出する関数の、前記認証モデルへの入力を中心とする球におけるローカルリプシッツ定数を推定する工程と、
　前記類似度と、前記類似度に対する判定しきい値と、前記ローカルリプシッツ定数とに基づいて、前記認証モデルのロバスト性の評価値を推定する工程と、
　を実行させるためのプログラムを記録した記録媒体。