WO2023135682A1

WO2023135682A1 - 認証装置、通信システム、認証方法、及びプログラム

Info

Publication number: WO2023135682A1
Application number: PCT/JP2022/000720
Authority: WO
Inventors: 奈実芦澤; 貴史原田; 亮平鈴木; 彰永井; 知暁鷲尾
Original assignee: 日本電信電話株式会社
Priority date: 2022-01-12
Filing date: 2022-01-12
Publication date: 2023-07-20

Abstract

本開示は、従来以外の手法により、新たに作成された人工知能装置が既存の人工知能装置の非公開情報を参照したかどうかを検証することを目的とする。　そこで、本開示は、認証対象装置が保持する機械学習モデルの正当性を認証する認証装置であって、前記認証対象装置が送信した情報に基づき、前記機械学習モデルの第１の入力情報の分類根拠を可視化した情報を示す第１の分類根拠情報を得る第１の取得部と、非公開情報管理装置が送信した情報として、正当な第２の入力情報及び当該第２の入力情報の分類根拠を可視化した情報を示す第２の分類根拠情報がデータセットである非公開情報を取得する第２の取得部と、前記第１の分類根拠情報と前記第２の分類根拠情報を比較することで、前記認証対象装置の前記機械学習モデルの正当性を認証する認証部と、を有する認証装置である。

Description

認証装置、通信システム、認証方法、及びプログラム

　本開示内容は、認証装置、通信システム、認証方法、及びプログラムに関する。

　学習済みモデルを有する人工知能装置は、それぞれ適切なアーキテクチャと学習用データを用いた学習によって構築される。このとき、既存の機械学習モデルについて公開情報のみを参考にして新たな機械学習モデルを作り出すことが通常だが、非公開情報を暴き出し、これを参考にして新たな機械学習モデルを作り出そうとする者が存在する。

　これに対して、機械学習モデルに関する非公開情報を反映した入出力情報をあらかじめ記録しておき、別の機械学習モデルに対して、記録した入力情報を渡し、記録した通りの出力情報が返されるか確認することで、新たに作成された機械学習モデルが既存の機械学習モデルの非公開情報を参照したかどうかを検証する知的財産保護技術が提案されている（非特許文献１参照）。

Lukas, Nils, et al. "SoK: How Robust is Image Classification Deep Neural Network Watermarking?(Extended Version)." arXiv preprint arXiv:2108.04974 (2021).

　しかしながら、非特許文献１に開示の従来以外の手法により、新たに作成された機械学習モデルが既存の機械学習モデルの非公開情報を参照したかどうかを検証するニーズが高まっている。

　本発明は、上記の点に鑑みてなされたものであり、従来以外の手法により、新たに作成された機械学習モデルが既存の機械学習モデルの非公開情報を参照したかどうかを検証することを目的とする。

　上記目的を達成するため、請求項１に係る発明は、認証対象装置が保持する機械学習モデルの正当性を認証する認証装置であって、前記認証対象装置が送信した情報に基づき、前記機械学習モデルの第１の入力情報の分類根拠を可視化した情報を示す第１の分類根拠情報を得る第１の取得部と、非公開情報管理装置が送信した情報として、正当な第２の入力情報及び当該第２の入力情報の分類根拠を可視化した情報を示す第２の分類根拠情報がデータセットである非公開情報を取得する第２の取得部と、前記第１の分類根拠情報と前記第２の分類根拠情報を比較することで、前記認証対象装置の前記機械学習モデルの正当性を認証する認証部と、を有する認証装置である。

　以上説明したように本発明によれば、従来以外の手法により、新たに作成された機械学習モデルが既存の機械学習モデルの非公開情報を参照したかどうかを検証するニーズに対応することができるという効果を奏する。

本発明の実施形態に係る通信システムの概略図である。実施形態に係る通信システムの各装置のハードウェア構成図である。第１の実施形態に係る通信システムの各装置の機能構成図である。第１の実施形態に係る通信システムの処理又は動作を示すシーケンス図である。第２の実施形態に係る通信システムの各装置の機能構成図である。第２の実施形態に係る通信システムの処理又は動作を示すシーケンス図である。

　〔全体構成の概略〕
　図１は、本発明の実施形態に係る通信システムの概略図である。図１に示されているように、本実施形態の通信システム１は、認証対象装置３、認証装置５、及び非公開情報管理装置７によって構築されている。

　また、認証対象装置３、認証装置５、及び非公開情報管理装置７は、インターネット等の通信ネットワーク１００を介して通信することができる。通信ネットワーク１００の接続形態は、無線又は有線のいずれでも良い。

　認証対象装置３は、単数又は複数のコンピュータによって構成されている。認証対象装置３は、学習済みの機械学習モデルを構築するのに使用したアーキテクチャと学習用データを保持した人工知能装置であり、機械学習モデルの正当性が認証される対象である。認証対象装置３は、認証装置５が行う認証のために、認証装置５に対して、機械学習モデルの第１の入力情報、及びCNN(Convolutional Neural Network:畳み込みニューラルネットワーク)において第１の入力情報の分類に必要な単一又は複数の層である特徴マップを含む情報を送信する。

　なお、機械学習モデル（機械学習アルゴリズム）は、CNNを用いる場合に限られない。機械学習モデルが用いる他の例として、RF(Random Forest: ランダムフォレスト)、SVM（Support Vector Machine: サポートベクターマシーン）、又はNN（Neural Network: ニューラルネットワーク）等が挙げられる。

　また、特徴マップは、後述の分類根拠を生成するために必要であり認証対象装置３に紐づいた分類特徴情報の一例である。この分類特徴情報の他の例としては、特徴量（機械学習モデルへの入力要素）、疑似学習用データ（機械学習モデルの学習用データからランダムにいくつかのデータを選び、当該選んだデータを機械学習モデルに入力した際の出力と入力の組み合わせ）等が挙げられる。

　認証装置５は、単数又は複数のコンピュータによって構成されている。認証装置５は、認証対象装置３の機械学習モデルの正当性を認証する装置である。

　非公開情報管理装置７は、単数又は複数のコンピュータによって構成されている。非公開情報管理装置７は、例えば、認証装置５が行う認証のために、認証装置５に対して、正当な第２の入力情報及びこの第２の入力情報の分類根拠を可視化した第２のヒートマップを示す第２の分類根拠情報がデータセットである非公開情報を送信する装置である。ヒートマップは、分類情報を可視化した情報（又は可視化した状態の名称）である分類根拠情報の一例である。分類根拠情報の他の例として、分類特徴情報が上述の特徴量の場合の波形、分類特徴情報が上述の疑似学習用データの場合の決定木等が挙げられる。

　〔ハードウェア構成〕
　＜各装置のハードウェア構成＞
　次に、図２を用いて、通信システム1の各装置（認証対象装置３、認証装置５、非公開情報管理装置７）のハードウェア構成について説明する。図２は、実施形態に係る通信システムの各装置のハードウェア構成図である。

　図２に示されているように、認証対象装置３は、プロセッサ３０１、メモリ３０２、補助記憶装置３０３、接続装置３０４、通信装置３０５、ドライブ装置３０６を有する。なお、認証対象装置３を構成する各ハードウェアは、バス３０７を介して相互に接続される。

　プロセッサ３０１は、認証対象装置３全体の制御を行う制御部の役割を果たし、ＣＰＵ（Central Processing Unit）等の各種演算デバイスを有する。プロセッサ３０１は、各種プログラムをメモリ３０２上に読み出して実行する。なお、プロセッサ３０１には、ＧＰＧＰＵ(General-purpose computing on graphics processing units)が含まれていてもよい。

　メモリ３０２は、ＲＯＭ（Read Only Memory）、ＲＡＭ（Random Access Memory）等の主記憶デバイスを有する。プロセッサ３０１とメモリ３０２とは、いわゆるコンピュータを形成し、プロセッサ３０１が、メモリ３０２上に読み出した各種プログラムを実行することで、当該コンピュータは各種機能を実現する。

　補助記憶装置３０３は、各種プログラムや、各種プログラムがプロセッサ３０１によって実行される際に用いられる各種情報を格納する。

　接続装置３０４は、外部装置（例えば、表示装置３１０、操作装置３１１）と認証対象装置３とを接続する接続デバイスである。

　通信装置３０５は、他の装置（機器、サーバ、システムを含む）との間で各種情報を送受信するための通信デバイスである。

　ドライブ装置３０６は記録媒体３３０をセットするためのデバイスである。ここでいう記録媒体３３０には、ＣＤ－ＲＯＭ(Compact Disc Read-Only Memory)、フレキシブルディスク、光磁気ディスク等のように情報を光学的、電気的あるいは磁気的に記録する媒体が含まれる。また、記録媒体３３０には、ＲＯＭ(Read Only Memory)、フラッシュメモリ等のように情報を電気的に記録する半導体メモリ等が含まれていてもよい。

　なお、補助記憶装置３０３にインストールされる各種プログラムは、例えば、配布された記録媒体３３０がドライブ装置３０６にセットされ、該記録媒体３３０に記録された各種プログラムがドライブ装置３０６により読み出されることでインストールされる。あるいは、補助記憶装置３０３にインストールされる各種プログラムは、通信装置３０５を介してネットワークからダウンロードされることで、インストールされてもよい。

　また、図２には、認証装置５のハードウェア構成が示されているが、符号が３００番台から５００番台に変わっただけで、各構成は同様であるため、これらの説明を省略する。同様に、図２には、非公開情報管理装置７のハードウェア構成が示されているが、符号が３００番台から７００番台に変わっただけで、各構成は同様であるため、これらの説明を省略する。

　●第１の実施形態
　〔第１の実施形態の機能構成〕
　続いて、図３及び図４を用いて、本発明の第１の実施形態について説明する。図３は、第１の実施形態に係る通信システムの各装置の機能構成図である。第１の実施形態では、Ａ社が認証対象装置３を管理しており、Ｂ社が認証装置５ａ及び非公開情報管理装置７を管理している。通信システム１ａは、認証対象装置３、認証装置５ａ、及び非公開情報管理装置７を有している。なお、認証装置５ａは、図１の認証装置５の一例である。また、通信システム１ａは、通信システム１の一例である。

　＜認証対象装置３の機能構成＞
　認証対象装置３は、送受信部３１を有している。この送受信部３１は、認証対象装置３にインストールされた１以上のプログラムを使用して、プロセッサ３０１が認証対象装置３に実現させる機能である。更に、認証対象装置３は、記憶部３０を有している。記憶部３０は、メモリ３０２又は補助記憶装置３０３によって実現される。記憶部３０には、認証（検証）対象となる機械学習モデルが記憶されている。

　送受信部３１は、認証装置５ａに対して、認証対象の機械学習モデルの第１の入力情報及びCNNにおいて第１の入力情報の分類に必要な単一又は複数の層である特徴マップを含む情報を送信する。

　＜認証装置５ａの機能構成＞
　認証装置５ａは、送受信部５１、及び認証部５３を有している。これら各部は、認証装置５ａにインストールされた１以上のプログラムを使用して、プロセッサ５０１が認証装置５ａに実現させる機能である。更に、認証装置５ａは、記憶部５０を有している。記憶部５０は、メモリ５０２又は補助記憶装置５０３によって実現される。記憶部５０には、認証結果のデータが記憶される。

　また、送受信部５１は、第１の取得部５１ａ及び第２の取得部５１ｂを有する。このうち、第１の取得部５１ａは、Grad-CAM(Gradient-weighted Class Activation Mapping)を用いて、認証対象装置３から、第１の入力情報及びCNNにおいて第１の入力情報の分類に必要な単一又は複数の層である特徴マップを含む情報を受信し、第１の入力情報及び特徴マップに基づき、認証対象の機械学習モデルの第１の入力情報の分類根拠を可視化した第１のヒートマップを示す第１の分類根拠情報を生成して得る。

　なお、第１の取得部５１ａは、Grad-CAMではなく、他の手法を用いてもよい。他の手法として、例えば、より詳細に分類するGuidedGrad-CAM、分類根拠情報としての波形を生成するPDP（Partial Dependence Plot）、分類根拠情報としての決定木を生成するBorn Again Tree等が挙げられる。第１の取得部５１ａがPDPを用いる場合、第１の取得部５１ａは、特徴マップ（分類特徴情報の一例）ではなく、特徴量（分類特徴情報の一例）を用いて波形（分類根拠情報の一例）を生成する。また、第１の取得部５１ａがBorn Again Treeを用いる場合、第１の取得部５１ａは、特徴マップ（分類特徴情報の一例）ではなく、疑似学習用データ（分類特徴情報の一例）を用いて決定木（分類根拠情報の一例）を生成する。

　第２の取得部５１ｂは、非公開情報管理装置７が送信した情報として、正当な第２の入力情報及びこの第２の入力情報の分類根拠を可視化した第２のヒートマップを示す第２の分類根拠情報がデータセットである非公開情報を取得する。

　また、認証部５３は、第１の分類根拠情報と第２の分類根拠情報を比較することで、認証対象装置３の認証対象の機械学習モデルの正当性を認証する。この場合、認証部５３は、比較した結果が閾値以上の類似度を示す場合に、認証対象の機械学習モデルが正当であると判断する。

　また、認証部５３は、準同型暗号(HE:Homomorphic Encryption）技術を用いて、２つの情報の比較を行う。準同型暗号技術は、暗号化した複数のデータ同士の比較が可能であり、暗号化したデータと暗号化されていないデータ（平文）の比較も可能である。なお、平文同士の比較の場合、認証部５３は、準同型暗号技術を用いなくてもよい。

　＜非公開情報管理装置７の機能構成＞
　非公開情報管理装置７は、送受信部７１を有している。この送受信部７１は、非公開情報管理装置７にインストールされた１以上のプログラムを使用して、プロセッサ７０１が非公開情報管理装置７に実現させる機能である。更に、非公開情報管理装置７は、記憶部７０を有している。記憶部７０は、メモリ７０２又は補助記憶装置７０３によって実現される。記憶部７０には、正当な第２の入力情報及びこの第２の入力情報の分類根拠を可視化した第２のヒートマップを示す第２の分類根拠情報がデータセットである非公開情報が記憶されている。なお、この非公開情報は、暗号化されている場合と暗号化されていない場合のどちらでもよい。暗号化されている場合には、悪意のある攻撃者により、非公開情報が暴き出され、この非公開情報を参考にして無断で新たな人工知能装置が作り出される等の行為を防止することができる。

　送受信部７１は、認証装置５ａに対して、正当な第２の入力情報及び当該第２の入力情報の分類根拠を可視化した第２のヒートマップを示す第２の分類根拠情報がデータセットである非公開情報を送信する。

　〔第１の実施形態の処理又は動作〕
　続いて、図４を用いて、通信システム１ａの処理又は動作を説明する。

　認証装置５ａの第１の取得部５１ａが、認証対象装置３から、認証対象の機械学習モデルの第１の入力情報及びCNNにおいて第１の入力情報の分類に必要な単一又は複数の層である特徴マップの情報を受信する（Ｓ１１）。更に、第１の取得部５１ａは、第１の入力情報及び記特徴マップに基づき、認証対象の機械学習モデルの第１の入力情報の分類根拠を可視化した第１のヒートマップを示す第１の分類根拠情報を生成して得る（Ｓ１２）。

　次に、認証装置５ａの第２の取得部５１ｂは、非公開情報管理装置７が送信した情報として、正当な第２の入力情報及びこの第２の入力情報の分類根拠を可視化した第２のヒートマップを示す第２の分類根拠情報がデータセットである非公開情報を受信することで取得する（Ｓ１４）。

　次に、認証部５３は、第１の分類根拠情報と前記第２の分類根拠情報を比較することで、認証対象装置３の機械学習モデルの正当性を認証する（Ｓ１５）。

　最後に、記憶部５０は、認証部５３による認証結果のデータを記憶する。

　以上により、第１の実施形態の処理又は動作が終了する。

　〔第１の実施形態の効果〕
　以上説明したように、第１の実施形態によれば、認証対象の機械学習モデルの入力情報及び出力情報の組によるデータセットではなく、入力情報と特徴マップから生成するヒートマップを示す第１の分類根拠情報を用いて認証を行うため、従来以外の手法により、新たに作成された機械学習モデルが既存の機械学習モデルの非公開情報を参照したかどうかを検証するニーズに対応することができるという効果を奏する。

　また、攻撃者が、非公開情報を参照して、新たな機械学習モデル（認証対象装置）を作成した場合、その攻撃者の認証対象装置には使用者に対する攻撃が仕掛けられている可能性がある。そのため、機械学習モデルを使用する際には、使用者自身が使用したい機械学習モデルが、別の機械学習モデルに関する非公開情報を暴いたうえで攻撃者によって作成された機械学習モデルではないことを確認する必要がある。しかし、非特許文献１に示された従来の手法では、別の機械学習モデルに関する非公開情報を参考にして攻撃者が作成した機械学習モデルかどうか検証するために必要な入出力情報が、機械学習モデルの使用者には公開されていないため、認証装置５ａは、認証（検証）することができない。これに対して、本実施形態では、入出力情報に代わって第１の入力情報と特徴マップの情報により、第１の入力情報の分類根拠を可視化した第１のヒートマップを示す第１の分類根拠情報を用いることで、入力情報を機械学習モデルの使用者に公開し、第１の分類根拠情報を使用者に秘匿する。これにより、機械学習モデルの使用者を含む任意の者は、機械学習モデルが攻撃者によって作成された機械学習モデルか否かを検証することのできるという効果を奏する。

　●第２の実施形態
　続いて、図５及び図６を用いて、本発明の第２の実施形態について説明する。なお、第２の実施形態は第１の実施形態と共通する部分が多いため、相違する部分を主に説明する。

　〔第２の実施形態の機能構成〕
　図５は、第２の実施形態に係る通信システムの各装置の機能構成図である。図６は、第２の実施形態に係る通信システムの処理又は動作を示すシーケンス図である。

　第２の実施形態では、Ａ社が認証対象装置３を管理しており、Ｂ社が認証装置５ｂを管理しており、Ｃ者が非公開情報管理装置７を管理している。通信システム１ｂは、認証対象装置３、認証装置５ｂ、及び非公開情報管理装置７を有している。なお、認証装置５ｂは、図１の認証装置５の一例である。また、通信システム１ｂは、通信システム１の一例である。

　なお、認証対象装置３及び非公開情報管理装置７は、第１の実施形態と同様であるため、その説明を省略する。

　＜認証装置５ｂの機能構成＞
　認証装置５ｂは、認証装置５ａに対して暗号化部５２が追加された以外は同様の構成を有している。暗号化部５２を含めた各部は、認証装置５ｂにインストールされた１以上のプログラムを使用して、プロセッサ５０１が認証装置５ｂに実現させる機能である。

　暗号化部５２は、第１の取得部によって取得された第１の分類根拠情報を暗号化する。

　〔第２の実施形態の処理又は動作〕
　続いて、図６を用いて、通信システム１ｂの処理又は動作を説明する。

　第２の実施形態では、処理（Ｓ２１，Ｓ２２，Ｓ２４，Ｓ２５，Ｓ２６）は、それぞれ第１の実施形態における処理（Ｓ１１，Ｓ１２，Ｓ１４，Ｓ１５，Ｓ１６）と同様の処理であるため、これらの説明を省略する。

　第２の実施形態では、処理（Ｓ２２）後、暗号化部５２が、第１の取得部によって生成すうことで取得された第１の分類根拠情報を暗号化する。この場合、認証部５３は、準同型暗号技術を用いる。

　〔第２の実施形態の効果〕
　以上説明したように本実施形態によれば、第１の実施形態の効果に加え、たとえ、非公開情報が暗号化されていても、第１の分類根拠情報を暗号化することで、認証部５３は、準同型暗号技術を用いて認証を行うことができる。

　〔補足〕
　本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理（動作）であってもよい。

　認証対象装置３、認証装置５、及び非公開情報管理装置７は、コンピュータとプログラムによっても実現できるが、このプログラムを（非一時的な）記録媒体に記録することも、インターネット等のネットワークを通して提供することも可能である。

１　通信システム
１ａ　通信システム
１ｂ　通信システム
３　認証対象装置
５　認証装置
７　非公開情報管理装置
５１　送受信部
５１ａ　第１の取得部
５１ｂ　第２の取得部
５２　暗号化部
５３　認証部
５０　記憶部
１００　通信ネットワーク

Claims

　認証対象装置が保持する機械学習モデルの正当性を認証する認証装置であって、
　前記認証対象装置が送信した情報に基づき、前記機械学習モデルの第１の入力情報の分類根拠を可視化した情報を示す第１の分類根拠情報を得る第１の取得部と、
　非公開情報管理装置が送信した情報として、正当な第２の入力情報及び当該第２の入力情報の分類根拠を可視化した情報を示す第２の分類根拠情報がデータセットである非公開情報を取得する第２の取得部と、
　前記第１の分類根拠情報と前記第２の分類根拠情報を比較することで、前記認証対象装置の前記機械学習モデルの正当性を認証する認証部と、
　を有する認証装置。
　前記第１の取得部は、前記認証対象装置が送信した前記情報として、前記第１の入力情報、及び機械学習アルゴリズムにおいて前記第１の入力情報の分類に必要であり前記認証対象装置に紐づいた分類特徴情報を受信し、前記第１の入力情報及び前記分類特徴情報に基づき前記第１の分類根拠情報を生成して得る、請求項１に記載の認証装置。
　請求項１又は２に記載の認証装置であって、
　前記第１の取得部によって取得された前記第１の分類根拠情報を暗号化する暗号化部を有し、
　前記認証部は、暗号化された前記第１の分類根拠情報と前記第２の分類根拠情報を比較することで、前記認証対象装置の前記機械学習モデルの正当性を認証する、認証装置。
　前記第２の分類根拠情報は、非公開情報管理装置が送信した際には既に暗号化されている、請求項１乃至３のいずれか一項に記載の認証装置。
　前記第１の取得部は、Grad-CAM又はGuidedGrad-CAMを用いて、前記第１の入力情報の分類根拠を可視化した情報としてのヒートマップを示す前記第１の分類根拠情報を得る、請求項１乃至４のいずれか一項に記載の認証装置。
　前記認証部は、準同型暗号技術を用いて認証する、請求項１乃至５のいずれか一項に記載の認証装置。
　認証対象装置が保持する機械学習モデルの正当性を認証する認証装置が実行する認証方法であって、
　前記認証装置は、
　前記認証対象装置が送信した情報に基づき、前記機械学習モデルの第１の入力情報の分類根拠を可視化した情報を示す第１の分類根拠情報を得る第１の取得処理と、
　非公開情報管理装置が送信した情報として、正当な第２の入力情報及び当該第２の入力情報の分類根拠を可視化した情報を示す第２の分類根拠情報がデータセットである非公開情報を取得する第２の取得処理と、
　前記第１の分類根拠情報と前記第２の分類根拠情報を比較することで、前記認証対象装置の前記機械学習モデルの正当性を認証する認証処理と、
　を実行する認証方法。
　コンピュータに、請求項７に記載の方法を実行させるプログラム。