A study of privacy-preserving machine learning methods

(1)

プライバシー保護を考慮した機械学習法に関する研究

A study of privacy-preserving machine learning methods

首都大学東京大学院システムデザイン研究科情報科学域

18860626

^{河村綾菜} 指導教員貴家仁志教授

(2)

i

1

はじめに

1

2

準備

4 2.1 EtC

^{画像の生成}

. . . . 4

2.2

プライバシー保護を考慮した認証システム

. . . . 5

2.3

機械学習における次元削減

. . . . 6

2.3.1

ダウンサンプリング法

. . . . 6

2.3.2

ランダム射影

. . . . 7

3 EtC

画像を用いた機械学習法

8 3.1

テンプレートの直交変換とその性質

. . . . 8

3.2 EtC

画像の性質

. . . . 9

3.2.1

ブロックスクランブル，ブロックの回転・反転変換

. . . . 9

3.2.2

^{ネガポジ変換}

. . . . 9

3.3 EtC

画像の次元削減

. . . . 11

3.3.1 EtC

画像のブロックサイズを考慮したダウンサンプリング法

. . . . 11

3.3.2

ランダム射影

. . . . 13

3.4

プライバシー保護を考慮した機械学習

. . . . 13

3.5

鍵の選択

. . . . 16

3.6

実験

. . . . 16

3.6.1

^実験準備

. . . . 16

3.6.2

実験結果

(SVM) . . . . 17

3.6.3

実験結果

(

ランダムフォレスト

) . . . . 20 4

プライバシー保護を考慮した機械学習法のためのランダムサ

ンプリング次元削減法

22

(3)

ii

4.1 . . . . 22

4.2

ランダムサンプリング次元削減法

. . . . 23

4.3

提案法の特徴

. . . . 24

4.4

^実験

. . . . 24

4.4.1

実験準備

. . . . 25

4.4.2

^実験結果

. . . . 25

5

まとめ

28

6

謝辞

29

(4)

あらまし

iii

あらまし

本研究では，プライバシー保護を考慮した機械学習法を提案する．機械学習の利用には一般に膨大な訓練用データと高い計算コストを必要とするため，クラウドコンピューティングが用いられることが多い．しかしプロバイダーの信頼性の欠如や事故によって，データの不正利用や流失，プライバシーの侵害といった問題の発生が危惧されている．このような問題を解決するために，本研究では，

EtC

画像を用いた機械学習法を提案する．ここで，

EtC

^{画像とは，}

EtC

^システムのために提案された圧縮可能な暗号化法が適用された画像である．本研究では，

z-score

正規化処理を施したデータの下で，

EtC

画像生成に使用されるブロックベース暗号化が機械学習の認識性能を劣化させないことを示す．一方で，

EtC

画像を用いた機械学習法では，画像の空間情報を保持することが困難である．そのため本研究では，プライバシー保護を考慮した機械学習法のための次元削減法を提案する．提案法では，画像をブロックに分割し，ブロック単位でランダムにサンプリングすることで，画像の視覚情報保護と空間情報の保持を可能とする．実験では，機械学習法の一例として

SVM

を用いた顔認証実験を行い，二つの提案法の有効性を評価する．

Summary

In this paper, privacy-preserving machine learning methods are pro- posed. Cloud computing is used for machine learning because it is required a huge amount of data and high computational costs.

However, the computing environment has some serious issues for

end users, such as the unauthorized use of services, data leaks, and

privacy being compromised due to unreliable providers and some

accidents. Because of this, a privacy-preserving machine learning

method using EtC images is proposed. EtC images are images en-

crypted by the method which has been proposed for Encryption-

(5)

あらまし

iv

then-Compression s

^。

ystems with JPEG compression. It is shown that generating EtC images do not eﬀect the classification accuracy of machine learning under the use of z-score normalization of the data. On the other hand, it is diﬃcult to maintain spatial relation between images in the machine learning method using EtC images.

Therefore, a dimensionality reduction method for privacy-preserving

machine learning is proposed. The proposed method allows us to

preserve visual information of images and maintain the relative spa-

tial relation between images by dividing an image into blocks and

sampling the blocks randomly. Some face recognition experiments

are carried out by using a support vector machine algorithm as an

example of machine learning algorithms to demonstrate the eﬀective-

ness of the proposed methods.

(6)

1.

はじめに

1

^はじめに

近年，様々な分野において，機械学習の利用が普及してきている．

機械学習の利用には一般に膨大な訓練用データと高い計算コストを必要とする．そのため，プロバイダーの計算資源を利用するクラウドコンピューティングやエッジコンピューティングが用いられることが多い．しかしクラウドコンピューティングの利用は，プロバイダーの信頼性を前提にしており，その信頼性の欠如や事故によって，

データの不正利用や流失，プライバシーの侵害といった問題の発生が危惧されている

[1]

．今後のクラウドコンピューティングの普及にとって，データの不正利用や流失，エンドユーザーのプライバシーの問題をいかに解決するかが重要な課題となっている．このような背景から本研究では，ユーザーのプライバシー保護を考慮した機械学習法を検討する．

上述の問題を解決するための方法として，データを直接公開することなく，暗号化したデータを第三者に渡し計算を依頼する二つのアプローチが検討されている．第一のアプローチは秘密計算に基づくものである

[2–14]

．秘密計算は，一般にマルチパーティプロトコルや準同型暗号に基づき実行される．しかし，暗号化に伴う計算コストの増大が大きいことに加えて，厳密な鍵の管理が必要であり，適用できる応用が限定される．第二のアプローチは知覚暗号化を用いたものである．広く普及した多くのアプリケーションソフトウェアを直接利用可能で，かつユーザーのプライバシーの保護を考慮したサポートベクターマシン

(SVM)

での学習法が検討されている

[15]

^．その先行研究では，画像などから抽出されるテンプレート

(

特徴量

)

からランダムユニタリ行列を用いて保護テンプレートを生成する．この方法では，ユニタリ性が

SVM

学習を可能とする重要な性質であることが指摘された．

一方，プライバシー保護を考慮した機械学習の研究とは独立に，画像の視覚情報を保護した形式でのデータ圧縮法が研究されている

[16–

(7)

1.

はじめに

2 22]

^{．その一つとして，}

JPEG

圧縮の使用を前提とした

EtC(Encryption-

then-Compression)

システムが提案された．この方法は，暗号化画像

をデータ圧縮された形式での保存を可能として，かつ総当たり攻撃やジグソーパズル解放攻撃などに対して安全性がすでに評価されているが，機械学習への適用は検討されていない．

以上の背景から，本研究では，圧縮可能な知覚暗号化法として提案された

EtC

画像を用いた機械学習法を提案する．本研究で対象とする

EtC

画像とは，

EtC

システムのために提案された暗号化法が適用された画像である．本研究では，

EtC

画像生成に使用されるブロックベース暗号化法が，機械学習における代表的な正規化法である

z-

score

正規化処理を施したデータの下で，直交変換処理として表現さ

れることを明らかにする．その結果，原画像間の内積と

EtC

画像間の内積が保存されることが導かれる．さらに，このことは，機械学習において，内積や距離に基づく代表的なカーネルトリックを使用した場合においても，暗号化法が，機械学習の認識性能を劣化させないことを意味する．

また，本研究ではプライバシー保護を考慮した機械学習法のための次元削減法についても検討する．

EtC

画像を用いた機械学習法では，画像の空間情報を保持することは困難であるため，物体検出のような画素の相対的な位置情報を利用する機械学習や深層学習に基づく応用には有効ではない．鍵の管理が必要であるといった問題点も依然解決されていない．

以上の問題を解決するために，本研究では，画像の視覚情報保護と空間情報の保持を考慮した機械学習法を提案する．提案法では，画像をブロックに分割し，ブロック単位でランダムにサンプリングすることで，画像の視覚情報保護と空間情報の保持を可能とする．この方法は，画像の視覚情報保護と同時に，画像を用いた機械学習では一般的に行われる，次元削減を行うことができる．従来機械学習においてプライバシーの保護と次元削減は独立に扱われてきており，

かつ従来の次元削減法ではデータに含まれるプライバシーの保護や

(8)

1.

はじめに

3

空間情報を同時に保持することは考慮されてこなかった．提案法は，

両者を同時に考慮することによって，鍵の管理を不要としている．

実験では，提案法の有効性を評価するために，機械学習法の一例として

SVM

を用いた顔認証実験を行った．

EtC

^{画像を用いた機械学習} 法では，暗号化処理が機械学習の性能に影響を及ぼさないことを実験的にも確認した．またプライバシー保護を考慮した次元削減法では，従来の次元削減法と比較して提案法は同程度またはそれ以上の精度が得られることを確認した．

(9)

2.

準備

4 I

g

I

e

K₁ K K₃

2 Grayscale-based Image

Generation Method

Dividing into 8x8 blocks

Block Scrambling

Negative-Positive Transformation Block Rotation

and Inversion

Key

Block Scrambling Steps

I

Color Space Transformation

YCbCr

I

RGB

図

1: EtC

画像の生成

[18, 19]

2

^準備

2.1 EtC

画像の生成

前述のとおり，本稿では

EtC

画像に焦点を当てる

. EtC

画像はジグソーパズル解法による攻撃を含む，暗号文単独攻撃において十分な攻撃耐性を持つことが確認されている

[23, 24]

．本稿では，

EtC

画像が持つ性質と，それによってプライバシー保護を考慮した機械学習を行えることを示す．

EtC

画像は，図

1

に示すような手順で生成される

[18, 19]

．各手順の詳細を以下に示す

.

STEP1

X × Y

ピクセルのカラー画像

I _RGB

を

YCbCr

色空間の画像

I _{Y CbCr}

に変換する．

STEP2

I _{Y CbCr}

を

i _Y , i _Cb ,i _Cr

として表される

3

チャネルの画像に分割する

.

そ

して，

3

枚の画像をを連結し

X × 3Y

ピクセルのグレースケール画像

I _g

を生成する

.

STEP3

I _g

を

B _x

×

B _y

ピクセルのブロックに分割し，そのブロックの位置を乱数によって生成された秘密鍵

K ₁

を用いてランダムに置換する

.

(10)

2.

準備

5 STEP4

各ブロックを鍵

K ₂

を用いてランダムに回転・反転変換を行う

.

ブロックの回転変換は，ブロックの位置関係を変更せずに，ブロックを

0

°，

90

°，

180

°，

270

°のいずれかの角度だけランダムに回転させる方法である．ブロックの反転変換は，ブロックの位置関係を変更せずに，

ブロックを水平・垂直方向にランダムに反転させる方法であり，回転しない，もしくは水平・垂直方向どちらにも反転するといったことも起こりえる．

STEP5

各ブロックにネガポジ変換を適用する

.

ネガポジ変換は，ランダムにブロックを選択して，選択されたブロック内のすべての画素値を反転させる方法である．ここでは，ネガポジ変換された

i

番目のブロック

B _i

の画素値

p ^′

は以下のように計算される．

 

 

 



p ^′ = p (r(i) = 0) p ^′ = 255 − p (r(i) = 1)

, (1)

ここで，

r(i)

は

P (r (i)) = 0.5

の確率の下で

K ₃

によって生成されたランダムな

2

^{値の整数であり，}

p

^は

8bpp

の原画像の画素値である

.

本稿では，以上の手順で暗号化された画像を

EtC

画像とよぶ．グレースケール画像を暗号化する際には

STEP1

^と

2

^{は省略される}

.

^さらに，

B _x × B _y = 1 × 1

とするピクセルベース暗号化のとき，

STEP4

は省略される

.

2.2

プライバシー保護を考慮した認証システム

本稿では，プライバシー保護を考慮した認証システムとして図

2

のようなシステムを想定する

. Client i, i = 1, ..., N

^{は，顔画像などの} トレーニングデータ

g _i,j , j = 1, ..., M

を準備し，鍵

B _i

を用いて

M

個の暗号化されたテンプレート

(

^{保護テンプレート}

)I i,j

を作成する．次にそれらを

Cloud Server

に送信する．

Cloud Server

は，それらに次

(11)

2.

準備

6

図

2:

認証システム

元削減を施し，データベースに保管すると同時に，機械学習での認証に必要なモデルを保護テンプレートを用いて実行する．認証時に

は，

Client i

はクエリから鍵

B _i

を用いて保護テンプレートを作成し，

Cloud Server

へ送信する．

Cloud Server

は受信した保護テンプレートに次元削減を施し，構築した機械学習モデルを用いて認証を行い，

認証結果を

Client i

に返す．このような認証システムにおいては，画像の視覚情報と鍵は

Cloud server

^{には与えない．}

2.3

機械学習では，入力された特徴ベクトルをより高速，正確に分類するために，次元削減が行われる．本稿では，

2

つの次元削減法を例にして，議論を展開する．

2.3.1

^{ダウンサンプリング法}

[25]

は，図

3

に示すように画像を重複のないブロックに分割し，ブロックの平均値を計算することで，特徴を抽出し次元削減を行う方法である．全てのブロックにおいて同じよ

(12)

2.

準備

7

図

3:

うに平均値を計算することで，次元が

1/(B _x × B _y )

に削減された画像を得ることができる．

2.3.2

^{ランダム射影}

ランダム射影

[26]

は，高次元の特徴ベクトルを低次元の空間に写像することで次元削減を行う方法である．元の

d

次元の特徴ベクトル

X , Y ∈ R ^d

^{は以下の式で}

d _r

次元の空間

(d _r ≤ d)

に射影される．

X ^RP = RX (2)

ここで，

X ^RP

は

X

の射影後の特徴ベクトルであり，

R

は

d _r × d

のランダム行列である．このとき

R

として

N (0, 1)

の正規分布の乱数を用いることで，高い確率で射影前の特徴ベクトル間のユークリッド距離を保存することが知られている．さらに，

∥ X ∥ ≤ 1

および

∥ Y ∥ ≤ 1

を満たすとき，

X

^と

Y

の間の内積を保存することも示されている．

(13)

3. ETC

8 3 EtC

ここでは，圧縮可能な知覚暗号化法として提案された

EtC

^画像を用いた機械学習法を提案する．

3.1

テンプレートの直交変換とその性質

先行研究において

,

ランダムユニタリ変換に基づく

,

テンプレート保護法が研究されている

[16, 17].

ここで，

Clienti

の

j

番目のテンプレートを

T _i,j

とおく．ランダムユニタリ行列に基づくテンプレートの保護では，鍵

B i

によって生成されるランダムユニタリ行列

Q B

_iを用いた変換によって，次式のように保護テンプレート

T ˆ _i,j

が生成される．

T ˆ _i,j = Q _B

_i

T _i,j (3)

ただし，

Q _B

_i

∈ R ^d ^× ^d

^，

T _i,j ∈ R ^d

^{である．ここで，}

Q _B

_iはユニタリ行列なので以下の式を満たす．

Q ^T _B

i

Q _B

_i

= E (4)

T

と

E

は，それぞれ転置と単位行列を示す．

B _i = B _s

の下で，式

(3)

によって生成された保護テンプレートは，

Q _B

_i

= Q _B

_sの下で以下の性質を持っている．

性質

1:

ユークリッド距離の保存

∥ T _i,j − T _s,t ∥ ² = ∥ T ˆ _i,j − T ˆ _s,t ∥ ² (5)

性質

2:

^{内積の保存}

⟨ T _i,j , T _s,t ⟩ = ⟨ T ˆ _i,j , T ˆ _s,t ⟩ (6)

性質

3:

相関係数の保存

⟨ T i,j , T s,t ⟩

√ ⟨ T i,j , T i,j ⟩ ^√ ⟨ T s,t , T s,t ⟩ = _√ ⟨ T ˆ i,j T ˆ s,t ⟩

⟨ T ˆ _i,j , T ˆ _i,j ⟩ ^√ ⟨ T ˆ _s,t , T ˆ _s,t ⟩ (7)

(14)

3. ETC

9 3.2 EtC

画像の性質

次に

EtC

画像の性質について考察する．ここで，

X × Y

^{ピクセルの} グレースケール画像

I _i,j

をベクトル

T _i,j = { p _i,j (0), . . . , p _i,j (d − 1) } ^T ∈ R ^d , d = X × Y

に変換する．

p _i,j (k), k = 0, 1, . . . , d − 1

は

I _i,j

の画素値を示す．

3.2.1

ブロックスクランブル，ブロックの回転・反転変換

まず，ブロックスクランブルはブロック単位での画素の置換であり，

ブロックの回転・反転変換はブロック内での画素の置換と考えられるため，

Q B

_iは置換行列になる．置換行列は

Q _B

_i

=



 



1 0 0 0 0 1 0 1 0



 

 (8)

のように，各行各列に一つだけ

1

の要素を持ち，それ以外は全て

0

となる行列により表され，単位行列を

E

とすると，

E = Q ^T _B

_i

Q B

_i

(9)

が成立する．したがって，

T ˆ _i,j

は式

(5)

，

(6)

，

(7)

の性質を持つ．そのため，ブロックスクランブル，回転・反転変換の操作は，直交変換されたテンプレートの性質を維持できる．

3.2.2

ネガポジ変換

次に，ネガポジ変換の性質について考える．ネガポジ変換では，

p ^′ _i,j (k) = 255 − p _i,j (k)

と

p ^′ _s,t (k) = 255 − p _s,t (k)

の間の関係は

∥ p ^′ _i,j (k) + p ^′ _s,t (k) ∥ ²

= ∥ − p _i,j (k) + p _s,t (k) ∥ ²

= ∥ p _i,j (k) − p _s,t (k) ∥ ² (10)

(15)

3. ETC

10

となる．したがって，式

(5)

が成り立ち，ユークリッド距離が保存される．

しかし，内積については，

p ^′ _i,j (k)

^×

p ^′ _s,t (k)

= 255 ² − 255(p i,j (k) + p s,t (k)) + p i,j (k)

^×

p s,t (k))

, p _i,j (k)

×

p _s,t (k) (11)

となるため，式

(6)

^{は成立しない．}

ここで，

EtC

画像に対して正規化を行った場合について考える．今回想定する正規化は，広く用いられている

z-score

^正規化

[27]

^であり，

データ

x _i , i = 1, 2, ..., N

を次式によって

z _i

に置き換える操作である．

z _i = (x _i − X ¯ )

S (12)

ただし，

X ¯

は各データの平均値である．また，標準偏差

S

は

S =

v u u t ∑ N

i=1 (x _i − X ¯ ) ²

N (13)

で与えられる．

ネガポジ変換では，式

(12)

^{に対応する表現として}

ˆ

z _i,j (k) = (255 − p _i,j (k)) − (255 − P ¯ _k ) S ^′

= − p i,j (k) − P ¯ k

S

= − z _i,j (k) (14)

ただし，

P ¯ _k = 1 N

^×

M

∑ N i=1

∑ M j=1

p _i,j (k) (15)

(16)

3. ETC

11 S ^′ =

v u u u t

∑ N i=1

∑ M

j=1 ((255 − p _i,j (k)) − (255 − P ¯ _k )) ² N

×

M

=

v u u u t

∑ N i=1

∑ M

j=1 ( − p _i,j (k) + ¯ P _k ) ² N

×

M

= S (16)

である．ネガポジ変換を行った値を正規化した値

z ˆ _i,j (k)

は元の画像を正規化した値

z _i,j (k)

を符号反転した値になる．符号反転行列は直交行列であるため，式

(5)

，

(6)

，

(7)

が成り立ち，内積が保存される．

したがって，

EtC

画像に正規化を施した場合，ブロックスクランブル，回転・反転変換に加え，ネガポジ変換を施しても内積が保存されることがわかる．

3.3 EtC

画像の次元削減

2.3

で述べたように，機械学習では，データの次元削減を行うことが一般的である．そのため，暗号化画像を直接次元削減することを考える．

3.3.1 EtC

画像のブロックサイズを考慮したダウンサンプリング

法

本稿ではまず，

EtC

画像のブロックサイズを考慮したダウンサンプリング法を次元削減法として提案する．

A

．ブロックスクランブル，回転・反転

EtC

画像

I ˆ _i,j

において，

B _x

×

B _y

のブロック内の画素値の平均をブロックごとに計算し新しい画素値とすることで，削減率

¹

B

x

× B

y で次元削減された

EtC

画像

I ˆ _i,j

を得る．ブロックスクランブルおよび回転・反転変換は画素の置換であるので，ブロック内で画素値の平均を取っても直交変換されたテンプレートの性質を維持できる．従って，

次元削減された

EtC

画像と，原画像から同様の条件で次元削減され

(17)

3. ETC

12

たものとの間で

,

^{ブロックスクランブル}

,

回転・反転の操作では内積が保存される．

B

．ネガポジ変換

ブロックの平均を取った画素を

p ˆ _i,j (k)

とすると，ネガポジ変換では式

(14)

と同様に，

ˆ

z _i,j (k) = (255 − p ˆ _i,j (k)) − (255 − P ¯ _k ) S ^′

= − p ˆ _i,j (k) − P ¯ _k S

= − z _i,j (k) (17)

が成立する．従って，次元削減された

EtC

画像と，原画像から同様の条件で次元削減されたものとの間では，

3.2.1

，

3.2.2

のときと同様の性質を持つことがわかる．よって，ネガポジ変換では，

z-score

正規化を施した場合内積が保存される．

C

^{．次元削減率の自由度}

上述では，ブロックサイズ

B _x

×

B _y

に対して，

_B ¹

x

× B

y に次元削減できることを述べた．ここでは，より一般的な場合について考える．

2.2

^で述べた

EtC

画像の生成では，全てのステップで同一のブロックサイズ

B _x

×

B _y

を用いて暗号化を行った．

JPEG

圧縮を考慮したうえでの最小のブロックサイズは

B _x = B _y = 8

である．したがって，

1

64

の削減率になる．

さらに大きな次元削減を行う場合を考察する．

3.3.1

で述べた理由から，ブロックスクランブル，回転・反転変換では，ブロックサイズに限らず，ブロックサイズの整数倍のもとで次元削減を行うことができる．しかし，ネガポジ変換に関しては，ブロックサイズと一致した次元削減のみが，暗号化の影響を回避する．この制約を緩和するために，ネガポジ変換処理のためのブロックサイズのみを

B _x

×

B _y

ではなく，それらの整数倍に選択することを提案する．このことによって，次元削減率は

_B ¹

x

× B

y のみならず，

₂ _× _B ¹

x

× B

y あるいは

₃ _× _B ¹

x

× B

y

のように，さらに整数分の

1

に削減することが可能となる．

(18)

3. ETC

13

3.3.2

ランダム射影

次に，次元削減法としてランダム射影を用いた場合を考える．

2.3.2

で述べたとおり，ランダム射影は

R

として

N (0, 1)

の正規分布の乱数を用いることで，高い確率で射影前の特徴ベクトル間のユークリッド距離を保存することが知られている．さらに，

∥ X ∥ ≤ 1

^および

∥ Y ∥ ≤ 1

を満たすとき，

X

と

Y

の間の内積を保存することも示されている．

従って，以上の条件を満たす場合，ランダム射影を用いて次元削減された

EtC

画像と，原画像から同様の条件で次元削減されたものとの間では，高い確率で

3.2.1

^，

3.2.2

のときと同様の性質を持つことがわかる．

3.4

プライバシー保護を考慮した機械学習

本稿では，機械学習法のひとつとしてサポートベクターマシン

(SVM)

を例にあげて説明する．

SVM

では，入力特徴ベクトル

x

に対し，識別関数

f (x) = sign(ω ^T x + b) (18)

により，

2

値の出力値を計算する．ここで，

ω

^{は重みに対応するパ} ラメータであり，

b

はバイアス項である．

T

は転置を示す．また関数

sign(u)

は，

u > 1

のとき

1

をとり，

u ≤ 0

のとき

-1

をとる符号関数である．

SVM

にはカーネルトリックと呼ばれる技法がある．これは，低次元の入力空間を，カーネル関数によって高次元の空間へ変換する方法である．ここで，次元とは，入力特徴ベクトル

x

に含まれる要素の個数のことである．カーネルトリックを式

(18)

に適用すると，より高次元の特徴空間上に入力ベクトルを写像し，その空間上で以下のように分類することができる．

f (x) = sign(ω ^T ϕ(x) + b) (19)

(19)

3. ETC

14

ここで

ϕ(x) : R ^d −→ F

^{は，入力ベクトル}

x

を高次元の特徴空間

F

へ写像する関数である．

d

は特徴空間の次元数である．この場合，パラメータ

ω

も特徴空間

F

内の要素として定義される．

2

つの入力ベクトルを

x _i

，

x _j

とすると，そのカーネル関数は以下のように定義される．

K(x _i , x _j ) = ⟨ ϕ(x _i ), ϕ(x _j ) ⟩ (20)

ここで，

⟨· , ·⟩

は内積を表す．カーネル関数にはさまざまな種類がある．例えば，

Radian Basis Function(RBF)

カーネルは

K(x _i , x _j ) = exp( − γ ∥ x _i − x _j ∥ ² ) (21)

また多項式カーネルは

K (x _i , x _j ) = (1 + ⟨ x _i , x _j ⟩ ) ^l (22)

で与えられる．ここで

γ

は決定境界の複雑さを決めるハイパーパラメータ，

l

は多項式の次数を決めるパラメータである．ここで，

EtC

画像を入力とした場合における，使用できるカーネル関数の制約を考察する．

EtC

画像のテンプレート間のユークリッド距離が保存されているならば，カーネル関数が

RBF

カーネルの時，次式が成立する．

K( ˆ T i,j , T ˆ s,t ) = exp( − γ ∥ T ˆ i,j − T ˆ s,t ∥ ² )

= exp( − γ ∥ T i,j − T s,t ∥ ² )

= K (T _i,j , T _s,t ) (23) RBF

カーネルは，次式を満たす

isotropic stationay kernel [28]

のクラスに属する．

K (x i , x j ) = K I ( ∥ x i − x j ∥ ) (24)

また，テンプレートの内積が保存されているならば，次式が成立する．

K ( ˆ T i,j , T ˆ s,t ) = ⟨ T ˆ i,j , T ˆ s,t ⟩

= ⟨ T _i,j , T _s,t ⟩

= K (T _i,j , T _s,t ) (25)

(20)

3. ETC

15

表

1:

カーネル関数と

EtC

画像の関係

EtC

画像の性質距離保存内積保存

(

正規化なし

) (

正規化あり

)

線形カーネル ○

RBF

カーネル ○ ○

多項式カーネル ○

WAVE

カーネル ○ ○

線形カーネルや多項式カーネルは，

K (x _i , x _j ) = K _In ( ⟨ x _i , x _j ⟩ ) (26)

を満たす，二つのベクトルの内積のみに依存するカーネルのクラスに属する．

以上のカーネル関数と暗号化画像の関係を表

1

に示す．○は暗号化しても原画像の計算結果と一致するカーネル関数である．

以下では，カーネル関数の計算結果が変化しない場合を想定する．

与えられた

EtC

画像を

SVM

に基づき

2

値分類する問題を設定する．

これは，

SVM

の学習に対する双対問題

max _α − 1

2 ∑ i,s ∈ N j,t ∈ M

α _i,j α _s,t y _i,j y _s,t ⟨ ϕ( ˆ T _i,j ), ϕ( ˆ T _s,t ) ⟩ + ^∑

i ∈ N

α _i

s.t. ^∑

i ∈ N

α _i y _i = 0

0 ≤ α _i ≤ C, i ∈ N (27)

として与えられる．ここで，

y _i,j , y _s,t ∈ { +1, − 1 }

^{は各トレーニング} データに対する正解ラベルであり，

α i,j , α s,t

は双対変数，

C

^{は正則化係} 数である．ここで，内積

⟨ ϕ( ˆ T _i,j ), ϕ( ˆ T _s,t ) ⟩

^{がカーネル関数}

K(T _i,j , T _s,t )

と等しくなるとき，暗号化を施した場合でも，双対問題は原画像を用いた場合と同じ問題に帰着することになる．したがって，正規化された

EtC

画像と原画像では

SVM

の計算結果は一致する．

(21)

3. ETC

16

3.5

鍵の選択

図

2

のように，暗号化された画像

I ˆ i,j

は

I i,j

から鍵

B i

を用いて生成される

.

ここでは，鍵

B _i

の

2

つの選択法について述べる

.

1.

全てのクライアントで同一の鍵

(B ₁ = B ₂ = . . . = B _N )

1

つめの選択は，全てのクライアントで同一の鍵

B 1 = B 2 =

. . . = B _N

を使用する方法である

.

この場合，全ての暗号化画像

は式

(5)

，

(6)

を満たすため，

SVM

の性能は原画像を用いた場合と一致する．

2.

クライアントごとに異なる鍵

(B ₁ , B ₂ , . . . , B _N )

2

つめの選択は，クライアントごとに異なる鍵

B ₁ = B ₂ = . . . = B _N

を使用する方法である

.

この場合，先ほどの性質は共通の鍵を使った暗号化画像間のみで満たされる．この選択は，テンプレートと鍵による認証を同時に行うことに相当し，同時に２つが認証されたときのみに，認証が成立したと判断する処理に相当する．また，テンプレート間での異なる鍵の使用は，保護テンプレートの安全性の向上にも貢献する．

3.6

^実験

提案法の有効性を

SVM

を用いた顔認証実験によって評価する．

3.6.1

^実験準備

本実験では，代表的な顔画像データベースである

Extended Yale Database B [29]

^{を用いた．}

38

^{人の顔画像が}

64

^{枚ずつ，計}

2432

^枚で構成され，すべて

192

×

160

のサイズに統一されている．各被験者に対する

64

枚の画像を，トレーニング

32

^{枚とクエリ}

32

^{枚に分けて実} 験を行った．実験では，線形カーネルと

RBF

カーネルを使用した．

RBF

カーネルでは，ハイパーパラメータ

γ

を

83

とした．

(22)

3. ETC

17 (a)

原画像

(192

×

160)

(b)EtC

画像

(192

×

160)

図

4:

実験画像とその暗号化例

また，次元削減法としてはダウンサンプリング法とランダム射影を用いた．ダウンサンプリング法で特徴量を抽出する際には

B _x

×

B _y = 8

×

8

画素の画素値の平均値を新しい画素値とし，削減率

1/64

で次元削減を行った．

192

×

160

の画像を

24

×

20

に次元削減して，

480

次元のベクトルを生成した．ランダム射影では削減率を

1/20

^，

1/40

^，

1/60

，

1/80

としてそれぞれ実験を行った．図

4

には，原画像，

EtC

画像の例を示す．暗号化を施したことによって，視覚的な情報が保護されていることがわかる．

3.6.2

実験結果

(SVM)

SVM

^{による顔認識では，}

DB

^{の各登録者に対して}

1

^{つの分類器が} 作成される．分類器は，各クエリテンプレート

I ˆ _q

に対する予測ラベルおよび分類スコアを出力する．

I ˆ _q

は，クエリテンプレート

I _q

から生成された

EtC

画像のテンプレートである．分類スコアは，クエリから分類境界までの距離である．

I ˆ _q

の正のラベルに対する分類スコア

S q

と閾値

τ

との間の関係は以下のように与えられる．

if S q ≤ τ then accept; else reject. (28)

実験での評価尺度には，本人棄却率

(False Reject Rate

^：

FRR)

^と他人受理率

(False Accept Rate

：

FAR)

，それらが等しくなる点である等価エラー率

(Equal Error Rate

：

EER)

を用いた．

(23)

3. ETC

18

0 0.2 0.4 0.6 0.8 1

FAR,FRR

FAR encrypted

FRR encrypted FAR not encrypted

FRR not encrypted

(a)

^{線形カーネル}

0 0.2 0.4 0.6 0.8 1

FAR,FRR

FAR not encrypted

FAR encrypted

FRR encrypted

FRR not encrypted

(b) RBF

^カーネル

図

5:

ダウンサンプリング法を用いた場合の

EER (B

₁

= B

₂

= . . . = B

_N

)

1. B ₁ = B ₂ = . . . = B _N

ここでは，全てのクライアントで同じ鍵を用いる．次元削減としてダウンサンプリング法を用いた時の

EER

を図

5

に示す．これより，線形カーネル，

RBF

カーネルの両方で，次元削減された

EtC

画像

(

暗号化あり

)

と，原画像から同様に次元削減されたもの

(

暗号化なし

)

を用いたときの計算結果が一致していることがわかる．また，次元削減としてランダム射影を用いた時の

EER

を表

2

，

3

に示す．ランダム射影の影響で暗号化ありの

EER

がわずかに低下しているが，暗号化なしとほぼ一致していること

(24)

3. ETC

19

表

2:

ランダム射影を用いた場合の

EER：線形カーネル (B

₁

= B

₂

= . . . = B

_N

)

reduction rate

not

encrypted encrypted

1/20 0.0223 0.0220

1/40 0.0247 0.0251

1/60 0.0271 0.0273

1/80 0.0296 0.0298

表

3:

EER：RBF

カーネル

(B

₁

= B

₂

= . . . = B

_N

)

reduction rate

not

encrypted encrypted

1/20 0.0504 0.0497

1/40 0.0644 0.0643

1/60 0.0732 0.0735

1/80 0.0863 0.0852

がわかる．先の理論的検証に加え，この実験結果からも，提案法は

SVM

によるクラス分類に影響を与えないことがわかる．

2. B ₁ , B ₂ , . . . , B _N

ここではクライアントごとに異なる鍵を用いる．図

6

，表

4

に，

それぞれ次元削減法としてダウンサンプリング法，ランダム射影を用いた場合の

RBF

カーネルでの結果を示す．この場合では，

クエリは

2

つの条件

(

本人の鍵，本人の顔画像

)

を満たした場合にのみ本人であると認証される．従って，同じ鍵を使用した場合と比べて条件が厳しくなり，暗号化ありの

EER

は暗号化なしの

EER

より小さくなったと考えられる．以上の理由により，クライアントによって異なる鍵を使用することで安全性を高めることができることがわかる．

(25)

3. ETC

20

0 0.2 0.4 0.6 0.8 1

FAR,FRR

FRR encrypted FAR encrypted

図

6:

ダウンサンプリング法を用いた場合の

EER (B

₁

, B

₂

, . . . , B

_N

)

表

4:

EER (B

₁

, B

₂

, . . . , B

_N

) reduction

ratio

not

encrypted encrypted

1/20 0.0504 0.000448

1/40 0.0644 0.00112

1/60 0.0732 0.00779

1/80 0.0863 0.00855

3.6.3

実験結果

(

ランダムフォレスト

)

別の機械学習法での例として，ここでは提案法をランダムフォレストに適用した．ランダムフォレスト

[30]

は，特徴ベクトルの大小関係によって分類結果が決定される．従って，提案法はランダムフォレストにも性能を落とすことなく適用できる．

表

5

^に，鍵

B 1 = B 2 = . . . = B N

の条件でランダムフォレストを使用した場合の結果を示す．

SVM

での実験と同様に，

EtC

画像を使用した場合の結果は，原画像を使用した場合の結果とほぼ一致することがわかる．

(26)

3. ETC

21

表

5:

ランダムフォレストを用いた場合の

EER (B

₁

= B

₂

= . . . = B

_N

)

reduction ratio

not

encrypted encrypted

1/20 0.104 0.106

1/40 0.113 0.115

1/60 0.121 0.121

1/80 0.124 0.125

(27)

4.

プライバシー保護を考慮した機械学習法のためのランダムサンプリング次元削減法

22

4

4.1 (a) (192

^原画像×

160) (b)

^{ダウンサンプリング法}

(24

×

20) (c)

^{ランダム射影}

(24

×

20)

図

7:

原画像とその次元削減例

2.3

でも述べたとおり，機械学習では，入力された特徴ベクトルをより高速，正確に分類するために，次元削減が行われる．従来の次元削減法のうち，本章ではダウンサンプリング法とランダム射影の

2

つに焦点を当てる．図

7

に，画像をダウンサンプリング法とランダム射影で次元削減した例を示す．

ダウンサンプリング法は，画像をブロックに分割し，ブロックの平均値を計算することで，特徴を抽出し次元削減を行う方法である．

この方法を用いると，次元を削減する過程でブロック同士の位置関係は変わらないため，画像の相対的な空間情報を保持したまま次元削減することができる．しかし，視覚的な情報は保護することができない

(

図

7b

参照

)

．

ランダム射影は，高次元の特徴ベクトルを低次元の空間に写像することで次元削減を行う方法である．この方法は，視覚情報を保護することができるが空間情報は保持することができない

(

図

7c

参照

)

．

上で述べた従来の次元削減法の問題点を解決するために，本稿ではプライバシー保護と空間情報の保持を同時に考慮した次元削減法を提案する．

(28)

4.

23

図

8:

ブロックのランダムサンプリング

図

9:

ランダムサンプリング例

4.2

ランダムサンプリング次元削減法

従来，プライバシー保護を考慮した認証システムでは，

2.2

で述べた図

2

のようなシステムが想定されていた

.

提案法では，以上のシステムにおいて暗号化と次元削減をクライアント側で同時に行う．

本稿では，画像の次元削減法としてランダムサンプリング次元削減法を提案する．この方法では，画像をブロックに分割し，その中からブロックをランダムにサンプリングすることで次元削減を行う．

提案法の具体的な手順を以下で説明する．まず，

X × Y

^{ピクセルの} 画像を

B _x × B _y

のブロックに分割する．このとき，

B _x × B _y = 1 × 1

とすると，ピクセル単位で次元を削減することに相当する．次に，分割したブロックの中から，鍵によって生成された乱数を用いて図

8

^のようにランダムにブロックを選択する．例えば，

次元削減率

=

^{削減後の次元数}

元の次元数

× 100 (29)

(29)

4.

24

が

D r [%]

の場合，選択するブロックの数

n

^は，

n = X × Y

B _x × B _y × D _r

100 (30)

で与えられ，

n

個のブロックをランダムに選択することによって，次元削減が実行される．元画像の空間情報を保持するために，ブロックの位置の入れ替えは行わない．

図

9

に，ブロックサイズ

B _x = B _y = 1

，次元削減率がそれぞれ

D r = 5, 10[%]

のときの次元削減の例を示す．画像の視覚情報はブ

ロックサイズと次元削減率で制御できることがわかる．機械学習では選択されたブロックの情報を特徴ベクトルとして用いて学習・テストを行う．

4.3

^{提案法の特徴}

提案法の特徴をまとめると，以下のようになる．

(a)

画像の視覚情報を保護できる

(b)

画素の相対的な位置情報を保持できる

(c)

鍵の管理が不要である

(d)

機械学習の高い精度を維持できる

従来法と比較すると，ダウンサンプリング法より

(a)

の点で，ランダム射影より

(b)

の点で提案法は従来法よりも優れている．位置情報を保持できることで，物体検出など画像の位置情報を使用する機械学習への応用も期待される．また提案法を用いた場合，クラウドプロバイダーや第三者に鍵が渡ったとしても，次元削減後の画像からは原画像を復元することは困難であり，実質的には鍵の管理が不要となる．さらに後述するように，提案法は従来法と比較して，機械学習において同等またはそれ以上の精度を得ることができる．

4.4

^実験

提案法の有効性を顔認証実験によって評価する．