機械学習プライバシー防御の評価は誤解を招いている

機械学習モデルのプライバシー漏洩を正確に評価するには、最も脆弱なサンプルに焦点を当てる必要がある。既存の評価手法は平均的な漏洩度しか捉えておらず、実際の脅威を過小評価している。

本論文は、機械学習モデルのプライバシー防御の評価手法に深刻な問題があることを指摘している。 既存の評価手法の問題点は以下の3点: データセット全体の平均的な攻撃成功率を評価しており、最も脆弱なサンプルのプライバシー漏洩を正しく捉えていない。これにより、一部のサンプルの完全な漏洩を隠蔽できてしまう。 攻撃手法が最新のものではなく、防御手法の特性に合わせて適応されていない。これにより、防御手法の実際の脆弱性を過小評価してしまう。 防御手法と比較するベースラインとして、性能の低いDifferential Privacyアルゴリズムを用いている。これにより、防御手法の優位性を誇大に評価してしまう。 本論文では、これらの問題点を解決するための新しい評価手法を提案している。具体的には以下の3点: 最も脆弱なサンプルのプライバシー漏洩を評価する。効率的に評価するため、適切に設計したカナリーサンプルを用いる。 防御手法に適応した強力な攻撃手法を用いる。 高性能なDifferential Privacyベースラインと比較する。 5つの代表的な経験的プライバシー防御手法に対して、提案手法を適用した結果、既存の評価手法では1桁過小評価されていることが明らかになった。また、適切に調整したDifferential Privacyベースラインが、すべての防御手法よりも優れたプライバシー-性能トレードオフを提供することが示された。

最も脆弱なサンプルのTPR@0.1% FPRは99.9%に達するが、データセット全体では4.3%にとどまる。 提案手法により、既存の防御手法の脆弱性が1桁過小評価されていることが明らかになった。

"Empirical defenses for machine learning privacy forgo the provable guarantees of differential privacy in the hope of achieving higher utility while resisting realistic adversaries." "We identify severe pitfalls in existing empirical privacy evaluations (based on membership inference attacks) that result in misleading conclusions."