研究概要

背景

AI技術、特に大規模な生成AIモデルは、社会の効率化に貢献する一方で、いくつかのセキュリティ上の大きな課題を抱えています。

AIモデルの保護（知的財産）: モデル学習には莫大なコストがかかっているため、クラウド上で第三者や内部の管理者などにモデル自体が盗まれたり（機密性の侵害）、改ざんされたり（完全性の侵害）するのを防ぐ必要があります。

ユーザデータの保護（プライバシー）: ユーザーがAIに入力する機密性の高いデータやAIが出力する結果などが、第三者やサービス管理者（クラウド事業者など）に漏れたり、改ざんされたりしないように守る必要があります。

さらに、企業での内部不正による情報漏洩が増加している現状 (IPA 2023 ¹)を踏まえると、管理者権限を持つ内部の人間からもAIモデルやデータを保護できる技術が不可欠です。

本研究の目的は、AIモデルとその入出力データの機密性・完全性を、悪意ある攻撃者や管理者権限を持つ者から守るための、実用的な手法を確立することです。

この技術を社会実装することで、誰でも安心して第三者のサーバーでAIを利用できる「AIの社会実装に必要不可欠な技術」の確立を目指します。

本研究では、AIモデルとその入出力データの機密性・完全性を両立しつつ、実用的な速度で動作する新しいセキュリティスキームを提案します。

具体的には、以下の技術を組み合わせて、防御力と実行速度（利便性）のバランスが取れた技術を開発します。

従来の「完全準同型暗号（FHE）」と「隔離実行環境（TEE）」を単純に組み合わせた方式では、暗号上での演算処理が極めて低速であり、平文実行の10⁴〜10⁶倍もの実行時間が必要となるため、実用に耐えません。

	準同型暗号（HE）	隔離実行環境（TEE）	提案手法 TEE + HE
システム構成の難易度	◎	○	○
AIモデル（プログラム）の完全性	×	○	○
AIモデル（AIパラメータ）の機密性	◎	△ (サイドチャネル攻撃)	○
AIモデルへの入出力データの機密性	◎	△ (サイドチャネル攻撃)	○
その他の欠点	– 膨大な時間(平文実行比で10⁶倍以上) – 膨大な空間計算量	ー	– HEによるレイテンシ増(O(10)倍増に抑える) – 空間計算量増(O(1)倍増に抑える)

そこで本研究では、防御力と実行速度（利便性）のバランスを取るために、「AIモデルの重要な部分のみを暗号化」する選択的暗号化方式を導入します。

このアプローチにより、平文実行の約10倍程度の遅延に抑えることを目標としています。

また、AIモデルの「どのパラメータを暗号化すべきか」を判断するために、パーシステント・ホモロジー（PH）を活用します。

PHにより、AIモデルの構造をトポロジー的に解析し、性能や再現性に大きく影響する「重要なノード・エッジ」を特定することで、暗号化すべき領域を自動的に抽出し、秘匿性と計算効率を両立させます。

さらに、近年報告されているTEEへのサイドチャネル攻撃を再現・評価し、提案スキームがどの程度の攻撃耐性を持つか、またどのようにレイテンシや精度に影響を与えるかを実験的に検証します。最終的には、本技術を汎用的に利用可能な標準仕様として確立し、AIセキュリティの基盤技術として社会実装を目指します。

	期間	主な目標と内容
準備研究	令和7年度	PHによるパラメーター選択の有効性を検証。HE鍵の漏洩対策プロトコルの実装。Intel SGX上でのサイドチャネル攻撃実験を実施し、機密性レベルを定義するための基礎データを取得。
本格研究1年目	令和8年度	CNN、DNNモデルに対し、選択的HE適用スキームを一通り完成。実証実験を通じ、「機密性の強度」を定義する手法を確立。
本格研究2年目	令和9年度	U-NET、BERTなどの大規模モデルへ適用を開始。AMD SEV-SNPなど異なるTEE上でも検証し、汎用性を高める。国際標準化に向けた活動を開始。
本格研究3年目	令和10年度	全対象AIモデルでのスキームを完成させ、防御の強度と実行速度の関係を実証実験で明確にする。最終的な研究成果を国際会議で発表し、実社会で利用できる技術として標準化を推進。