AIのセキュリティ:NPUを使った新しいアプローチ
新しいフレームワークがAIアプリのデータセキュリティを強化するよ。
― 1 分で読む
目次
クラウドコンピューティングは、テクノロジーの使い方を変えちゃった。どこからでも強力なコンピュータにアクセスできるようになって、AIみたいな高度なタスクもできるようになったんだ。AIは特に大規模言語モデル(LLM)を通じて人気が出て、チャットボットや画像生成、コード支援なんかにも使われてる。
でも、AIや大規模データセットを扱うと、セキュリティの問題が大きくなる。センシティブなデータは、互いに信頼できないさまざまな関係者から出てくることが多くて、データを安全に保つための新しい方法が必要になってる。従来のコンピュータ保護手段じゃ、今の要求には応えられないんだ。
AIのセキュリティ問題
AIのためにクラウドサービスを使うと、センシティブなデータが主に3つのパーティ間で共有されることが多い:
- モデルプロバイダー:AIモデルを所有し、開発しているパーティ。
- データプロバイダー:AIモデルが使うデータを提供する。
- クラウドプロバイダー:AIタスクを処理するための技術を運営している。
これらのパーティはお互いを信頼しないことが多く、それぞれの利害や秘密を守らなきゃいけない。個人の健康記録や機密のビジネス情報など、適切に保護されていないとリスクがある。
現在の解決策の問題
従来のセキュリティ対策、たとえば信頼実行環境(TEE)はデータを守ろうとしてるけど、主にCPUに焦点を当ててるんだ。情報を守る手助けはできるけど、多くの関係者が関わっているときのリスクには完全には対応できない。
Intel SGXやAMD SEVのような一般的なTEEは、コンピュータのCPUにセキュリティを依存しているから、CPUやオペレーティングシステムが侵害されると、攻撃者がこれらの保護を乗り越えちゃう。だから、既存の解決策はセキュリティ対策を単純化するんじゃなくて、システムの複雑さを増しちゃってるんだ。
新しいアプローチの必要性
生成AIの急速な成長に伴って、従来のCPUやその限界に依存しない新しい解決策が必要なんだ。目標は、センシティブなデータを安全かつ効率的に処理できる、信頼できるフレームワークを作ること。
この新しいフレームワークは、AIタスクを扱うために特別に設計されたハードウェアを使う必要がある。また、セキュリティ対策も強力でなきゃいけない。期待できる技術の一つがニューラルプロセッシングユニット(NPU)で、これはAIのワークロードに特化して作られてるんだ。
NPUって何?
ニューラルプロセッシングユニット(NPU)は、AIの計算を加速するために設計されたハードウェアの一種だ。従来のCPUは一般的なタスクを扱うけど、NPUはAIでよく使われる複雑な数学的操作に最適化されてるから、大きなデータセットの処理やモデルのトレーニングがめっちゃ早い。
NPUはセンシティブな情報を保護するためのセキュリティ機能も内蔵してる。NPUを使うことで、あまり安全じゃないCPUベースのシステムへの依存を減らせて、AIワークロードを扱うためのより強固な解決策を作れるんだ。
新しい秘密計算フレームワークの紹介
私たちが提案するのは、離散NPU用に特別に設計された秘密計算アーキテクチャだ。このアーキテクチャは、ホストシステムを信頼する必要をなくすことで、最大限のセキュリティを確保する。データとモデルの暗号化を可能にし、データ自体だけじゃなく、AIモデルのパラメータや操作指示も守るんだ。
委任ベースのメモリシステムを使うことで、このアーキテクチャはホストソフトウェアの潜在的な危険な行動から安全な操作を隔離できる。それに、タスク認証という方法で、処理中にAIモデルが改ざんされてないか確認するんだ。
どうやって動くの?
ステップ1:セキュリティ設定
セッティングプロセスでは、データプロバイダーとモデルプロバイダーがNPUとの安全な接続を作る。認証された鍵交換方法を使って、安全でプライベートなセッションを確立するんだ。
鍵を共有することで、NPUはデータを暗号化・復号化できて、信頼できないホストシステムに曝露することがない。これで、センシティブな情報がプロセス中ずっと安全に保たれる。
ステップ2:データとモデルの準備
安全な接続ができたら、データプロバイダーがデータを準備する。このデータは共有された秘密鍵を使って暗号化されて、許可されたパーティしかアクセスできないようになってる。
同様に、モデルプロバイダーは処理のためにAIモデルを準備する。モデルのパラメータや操作指示も暗号化されてからNPUに送られる。
ステップ3:安全な実行
データを処理する時、ホストがNPUにAIモデルを実行するよう呼び出す。NPUは実行中にデータとモデルへのアクセスを管理する責任を持つ。これを実現するために、ホストが関連するメモリ領域にアクセスできないようにするんだ。
NPUはデータが隔離されていることを確認した後にのみ、モデルとデータを復号化する。これでホストが情報を見たり操作したりするのを防げる。復号化が終わったら、NPUは必要な計算をして結果を生成できる。
ステップ4:結果の処理
AIタスクを実行した後、結果も暗号化されてホストに返される。これで、処理後もセンシティブなデータが安全に保たれ、許可されたパーティだけがアクセスできるようになる。
ステップ5:セッションのクリーンアップ
タスクが完了したら、NPUはメモリから残っているセンシティブなデータを消去して、環境をリセットし、プロセス後のデータ漏洩が起こらないようにする。
新しいフレームワークの利点
強化されたセキュリティ:NPUと安全なアーキテクチャを使うことで、センシティブなデータはライフサイクル全体を通じて保護される。
複雑さの軽減:組織は複雑なCPUベースのセキュリティプロトコルを管理する必要がなくなり、デプロイやメンテナンスが簡単に。
既存のソリューションとの互換性:このフレームワークは、PyTorchやTensorFlowの既存のAIフレームワークとシームレスに連携できて、開発者はシステムに大きな変更を加えずに導入できる。
スケーラビリティ:AIモデルが大きさや複雑さを増しても、セキュリティを損なうことなく効率的にスケールできるように設計されてる。
コスト効果的:既存のインフラを利用しながらセキュリティを強化することで、複数のセキュリティシステム管理にかかるコストを削減できる。
評価とテスト
このフレームワークの効果を確かめるためには、厳密な評価が必要だ。これには、さまざまなAIモデルをシステム上で動かして、パフォーマンス、セキュリティ、使いやすさを測定することが含まれる。
最先端のLLMを使ったテストでは、提案したシステムが処理時間にほとんど影響を与えないことが示されていて、ユーザーはセキュリティを損なうことなく迅速な結果を期待できる。
実世界での応用
この新しい秘密計算フレームワークには、さまざまな応用がある:
- 医療:AIを使った医療診断や分析の際にセンシティブな患者データを保護する。
- 金融:AI支援のトレーディングシステムや信用評価で財務記録を保護する。
- 法務:機密の法的文書を保存・処理する際に、不正アクセスのリスクを避ける。
結論
AI技術が進化し続ける中で、安全な計算ソリューションの必要性がますます重要になってきた。NPUを活用した提案された秘密計算フレームワークは、生成AIの時代にセンシティブなデータを保護するための有望な方法を提供している。
従来のCPUからNPUへの焦点を移し、強固な暗号化と隔離技術を採用することで、データをプライベートかつ安全に保ちながらAI技術の全潜在能力を活かせるようになる。これによって、業界全体でAIの採用が進みつつ、センシティブな情報を守ることができる。
タイトル: Ascend-CC: Confidential Computing on Heterogeneous NPU for Emerging Generative AI Workloads
概要: Cloud workloads have dominated generative AI based on large language models (LLM). Specialized hardware accelerators, such as GPUs, NPUs, and TPUs, play a key role in AI adoption due to their superior performance over general-purpose CPUs. The AI models and the data are often highly sensitive and come from mutually distrusting parties. Existing CPU-based TEEs such as Intel SGX or AMD SEV do not provide sufficient protection. Device-centric TEEs like Nvidia-CC only address tightly coupled CPU-GPU systems with a proprietary solution requiring TEE on the host CPU side. On the other hand, existing academic proposals are tailored toward specific CPU-TEE platforms. To address this gap, we propose Ascend-CC, a confidential computing architecture based on discrete NPU devices that requires no trust in the host system. Ascend-CC provides strong security by ensuring data and model encryption that protects not only the data but also the model parameters and operator binaries. Ascend-CC uses delegation-based memory semantics to ensure isolation from the host software stack, and task attestation provides strong model integrity guarantees. Our Ascend-CC implementation and evaluation with state-of-the-art LLMs such as Llama2 and Llama3 shows that Ascend-CC introduces minimal overhead with no changes in the AI software stack.
著者: Aritra Dhar, Clément Thorens, Lara Magdalena Lazier, Lukas Cavigelli
最終更新: 2024-07-16 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2407.11888
ソースPDF: https://arxiv.org/pdf/2407.11888
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。