騙されない機械学習を米軍とインテルが共同開発へ

機械学習のモデルに対する騙し攻撃を防ぐ、サイバー防衛技術の改良を目指している米軍の研究開発機関DARPAは、チップメーカーのIntel(インテル)をその研究のリーダーとして選んだ。

人工知能技術の一種である機械学習(Machine Learning)は、新しいデータや経験を「学習」するたびに賢くなっていく。現在のところ最も一般的な用途は物の認識で、写真を見てそれが何か、誰かなどを当てる。目の不自由な人の視覚能力を助けたり、あるいは自動運転車が路上の物や状態を識別するのに利用している。

しかし、まれにある騙し攻撃は、機械学習のアルゴリズムに干渉する。例えば、自動運転車に普通の安全な物のようだけど実は違うという物を見せて、大きな事故を起こさせることもありえる。

数週間前にMcAfee(マカフィー)の研究者がTesla(テスラ車)を騙し、速度制限標識にわずか5cmのテープを貼っただけで、時速80kmという違反速度まで加速させることができた。その研究は、自動車などのデバイスの機械学習アルゴリズムを騙すMcAfee社の初期的な研究例の1つだった。

そこでDARPAは、その対策に乗り出した。同研究機関は今年の初めに、GARD(Guaranteeing AI Robustness against Deception、騙しに対して強いAIを保証する)と名付けたプログラムを発表した。機械学習に対する現在の防犯技術は、既定のルールを利用するものが多いが、DARPAが望むのは、ルールがあらかじめないような、さまざまな種類の犯行に対応できる幅広い防衛システムだ。

インテルは米国時間4月9日、同社はジョージア工科大学と共にその4年計画の事業の中心的契約企業になると発表した。

IntelのGARDチームを率いる主席エンジニアを務めるJason Martin(ジェイソン・マーティン)氏によると、同社とジョージア工科大が共同して「物を認識する能力を強化して、AIと機械学習の、敵対的な攻撃への対応を学習できる能力を高める」という。

インテルによると、プログラムの最初の段階はオブジェクト検出技術の強化にフォーカスし、空間(場所)とか時間、意味(セマンティクス)などが整合した物を正しく見つけるようにする。対象は静止画と動画の両方だ。

またDARPAによると、GARDは生物学などさまざまな異なる設定で使えるようにする。

DARPAのInformation Innovation Officeでプログラムマネージャーを務めているHava Siegelmann(ハバ・シーゲルマン)博士は「我々が作り出そうとしている幅広いシナリオに基づく防衛は、たとえば免疫系にもある。そこでは、攻撃を見つけ、それに勝ち、将来の遭遇においてより有効な反撃を作り出すためにその攻撃を記憶する」と語る。

「我々は機械学習を、確実に安全で、騙されることのありえないシステムにする必要がある」と同博士と語る。

関連記事: セキュリティにおけるAIへの要求(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。

そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。それにより有能なハッカーは、パスワードや暗号鍵などの機密データが保存されている場所を見つけることができる。多くの企業がその欠陥の一部を緩和してきたが、真の長期的な解決は、コンピューターのプロセッサーの設計の最初からのやり直しであることも知っていた。

このたび、MITのComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究者たちが、将来にわたって、MeltdownやSpectreのような欠陥を防止できる方法を見つけた。

アプリケーションが何かをメモリーに保存したくなったら、置くべき場所をプロセッサーに尋ねる。しかしメモリーの探索は遅いので、プロセッサーは“speculative execution”(投機実行)と呼ばれるトリックを使って、複数のタスクを同時に動かし、正しい空きメモリーを探そうとする。しかし悪質なハッカーは、その同じテクニックを使って、アプリケーションが自分に許されていない場所のメモリーから読めるようにする。

MITのCSAILによると、彼らのテクニックはメモリーを分割することによって、データが同じ場所に保存されないようにする。それを彼らは、“secure way partitioning.”(安全な方法によるパーティショニング)と呼んでいる。

彼らはこの方式をDAWG、“Dynamically Allocated Way Guard”(ガードを動的に割り当てる方法)と名付け、それは滑稽な名前のようにも聞こえるが、IntelのCache Allocation Technology, CAT(キャッシュ割り当て技術)を補完する意味を持つ。彼らの研究論文によると、DAWGはCATと同じような仕事をし、使うにあたってデバイスのオペレーティングシステムの変更箇所も少ない。したがって、Meltdownのフィックスとして問題のコンピューターにインストールするのも容易である。

ペーパーの著者の一人Vladimir Kirianskyによると、このテクニックは“共有が起きるべきところと、起きるべきでないところとの、明確な境界を確立し、機密情報を扱うプログラムがそのデータをまあまあ安全に保てるようにする”。

この技術は通常のコンピューターを保護するだけでなく、クラウドの脆弱なインフラストラクチャも保護できる。

DAWGはすべての投機的攻撃を防げるわけではないが、今研究者たちは技術の改良に取り組んでおり、すべての攻撃ではないものの、これまでよりも多くの攻撃を防げるようになる、と言っている。

しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、DAWGのようなテクニックは“パブリッククラウドのインフラストラクチャに対する信頼を再興し、ハードウェアとソフトウェアの共同設計によりパフォーマンスのオーバヘッドも最小化できる”、という。

〔関連記事: スペクター! メルトダウン! カーネル・パニック!――今回の脆弱性はほぼ全員に影響が及ぶ。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa