核心概念
セキュア集計は単一の学習ラウンドにおいても会員推論攻撃に対して十分なプライバシーを提供しない。高次元モデルの場合、他のクライアントの更新を利用してクライアントの更新を隠すことは困難である。
要約
本論文は、連合学習におけるセキュア集計のプライバシーを分析している。
- セキュア集計は、クライアントの個別の更新を隠しつつサーバーに集計された更新のみを公開する手法である。多くの研究では、セキュア集計が強力なプライバシーを提供すると主張されているが、その正式な分析は行われていない。
- 本論文では、セキュア集計をローカル微分プライバシー(LDP)の観点から分析する。具体的には、サーバーが2つの可能な更新ベクトルのうちどちらがクライアントから提出されたかを見分けようとする会員推論攻撃を設計し、その成功確率を評価する。
- 数値実験の結果、セキュア集計は単一の学習ラウンドにおいても十分なプライバシーを提供できないことが示された。特に、モデルサイズが大きい場合、他のクライアントの更新を利用してクライアントの更新を隠すことは困難である。
- これらの結果は、連合学習においてはノイズ付加などの追加的なプライバシー保護機構が必要であることを示唆している。
統計
単一の学習ラウンドにおいて、会員推論攻撃の偽陰性率と偽陽性率は同時に小さくなりうる。
監査された(ε, δ)-LDPにおいて、εとδの値は高くなる。
引用
"セキュア集計は会員推論攻撃に対して非プライバシーである"
"高次元モデルの場合、他のクライアントの更新を利用してクライアントの更新を隠すことは困難である"