産官学連携･研究支援サイト(MRCS)

Society5.0に向けて近年さらに重要度が増してきているハードウエアセキュリティについて研究されている情報工学部・情報工学科の野崎佑典助教にお話を聞きました。

技術の進化に伴って起きるさまざまな脅威

科研費でされている研究を教えてください

まず、2019年からの研究活動スタート支援は、人工知能（AI）へのあらゆる攻撃に対して、対策をとってだまされないようにするAIのシステムを開発しようというのが趣旨です。日本政府が推進しているSociety5.0は、簡単に言うといろいろなところから集めてきたデータを解析して人々の生活に役立てようという政策です。そこで使われるものの1つにIoT（Internet of Things:モノのインターネット）があり、あらゆるものがネットワークに繋がれ、いろいろなところから情報が取得できるようになります。取得した情報はAIを介して解析され、AI自身が学習していきます。たとえば自動車の自動運転では、AIが大量のデータを用いて学習することで、道路標識や人など様々なものの認識や推論・判断を行っています。そんな人の役に立つAIにおけるセキュリティをターゲットにしている研究です。

 

AIには大きく分けて4つのセキュリティの脅威があります。一番深刻なものとしてはAIをだますような攻撃です。たとえば、一時停止の道路標識に少しシールを貼るなどの細工をします。人が見たらシールは貼ってあるけれど、見間違えることは絶対にない程度のものですが、AIにとってはそれがノイズになってしまい、うまく認識できません。車が一時停止で止まらないとなると、事故が起きる可能性が高まってしまいます。

 

2つめは、人の顔の画像をたくさん集めてきて機械学習をするとします。これを訓練データと呼ぶのですが、個人のプライバシーにかかわる情報なので通常は秘密にする必要があります。そのままではその情報が漏洩することはないのですが、そのAIがどんな風に学習したのかを解析していくと、元々使っていた個人のプライバシーにかかわる情報が逆に推論できてしまうというものです。3つめは、ポイズニング攻撃と呼ばれていて、AIが学習するときに、訓練データにわざと間違いのデータを少し入れて学習させるというものです。これによって、AIが正しく動作しない可能性が高まります。4つめは企業が困るもので、モデル抽出攻撃と呼ばれています。AIの学習には大量のデータとたくさんのハイスペックなコンピューターが必要です。長時間かけて学習させて、やっと使用可能なモデルになります。いろいろなリソースが必要なので、モデルを作るのはかなり大変です。やっと出来上がったモデルは企業にとっては非常に貴重な財産です。それを盗み出すような攻撃のことをいいます。

 

スタート支援では特にモデル抽出攻撃の抽出と対策、AIをだます攻撃に関する研究を中心に進めました。攻撃への対策を取るためには、攻撃者の視点に立って、そもそもどうすれば攻撃できるのかという攻撃原理を解明する必要があります。同時に攻撃側の視点に立つと、作ったシステムが安全かどうかの評価もできます。対策をいきなり考えるのではなく、どうすれば解析が可能なのかという研究をまず進めて、その後に対策を検討します。

 

AIといっても色々なフェイズがありますが、私はデバイスに実装した時に出てくる課題や問題点を中心に研究を進めています。たとえば、暗号を取り上げてみると、元の文章をあるカギで暗号化することで元の文章をわからなくします。これに対して、解読では元はどんな文章か、使ったカギは何か、を推定します。代表的な解読は、総当たり計算、つまり、すべてのパターンを試す計算です。世の中に使われている暗号は、世界一のスーパーコンピューターを使って総当たり計算をしたとしても、とてつもない時間がかかり現実的な時間では解読できないように設計されています。

 

ただ、暗号は実際には紙と鉛筆で計算するのではなく、コンピューターやデバイスに実装して利用することになります。デバイス上での処理にかかる時間や消費電力などは、デバイス上でどんな計算をしているかに依存します。そのため、その変化を観測して分析していくと、このパターンならこのカギで計算しているというようなことがわかるようになります。このように、デバイス動作時の物理現象を利用することで解読が可能になります。以前は総当たり計算のような解読法への安全性を高めることに重きが置かれていましたが、測定技術などが進化してくるとこういった最初は思いもよらなかった脅威が発生します。

 

AIについても同じことが言えます。社会実装となると、AIを自動車など様々なデバイスに実装する必要があります。そうするとデバイス動作時の消費電力などから、どんなモデルが使われているかが解析される恐れが出てきます。AIが開発されるときには実装時の脅威が念頭に置かれていないため、このような思わぬ脅威が発生してしまうんです。

 

人間中心のAI社会原則

科研費についてはどういうスタンスで挑まれていますか

多くの研究者がそうだと思いますが、直前にどんな申請をしようと考えても、よい申請書が書けないので、次は何をやれば面白いかなと考えながら日々生活していますね。科研費は個人で応募のしやすい競争的資金ですし、採択されると実績にもなります。また研究期間が複数年あるので、まとまった研究計画を考えて自分の今後の研究方針を決めるきっかけにもなります。そういったものがないと日常に忙殺されて1年があっという間に過ぎてしまいますので、マイルストーンが置けるというのも大きいです。やっぱり締め切りがあると違いますよね。

 

科研費の申請書で工夫されていることはありますか

読み手がどう読むかを意識して申請書を作成しています。読みやすい、評価しやすいように書くことを意識しています。具体的には、一般に公開されている「審査における評定基準」や「審査の手引」を読みます。たとえば、「この項目が重要」と記載があれば、その項目が明記されていることが一目でわかるように書くことを心がけます。本質的にそういう内容が書いてあったとしても、読み手にとってはしっかり明示してある方が評価しやすいのではないかと考えてのことです。

 

社会的貢献という面でどんなお考えですか

元々、暗号ハードウエアセキュリティの研究室出身なのですが、AIのセキュリティは最近の話題です。スタート支援を申請した頃はまだまだ取り組んでいる研究者は少なかったですね。やはりほかの人がやっていないことは面白いと感じますし、人の役に立ちたいという思いは強いです。セキュリティは人々の安心安全な社会に貢献するという大きな意義があるので常にそこは考えていますね。AIのセキュリティは海外のほうが意識が高く、欧州やアメリカは国としての標準化が進んでいます。日本ではまだまだ個人レベルでの取り組みが多く、国としての意識は途上の段階です。