機密 AI
AI は、最近の生成 AI の進歩のずっと前に、金融、広告、製造、医療などのいくつかの業界を形成してきました。 生成 AI モデルには、社会に対するさらに大きな影響を生み出す潜在能力があります。 Microsoft は、AI テクノロジの責任ある使用のためのガードレールとして機能する責任ある AI の原則を定義する最前線に位置してきました。 機密コンピューティングと機密 AI は、責任ある AI ツールボックスでセキュリティとプライバシーを有効にするための重要なツールです。
機密 AI とは何ですか?
機密 AI は、AI ライフサイクル全体 (データやモデルが使用されている場合を含む) にわたってデータやモデルの暗号的に検証可能な保護を提供する、ハードウェア ベースの一連のテクノロジです。 機密 AI のテクノロジには、高信頼実行環境 (TEE) の作成をサポートする汎用の CPU や GPU などのアクセラレータと、AI モデルのデータ収集、前処理、トレーニング、デプロイを可能にするサービスが含まれます。 機密 AI にはまた、AI のデプロイにおける信頼、透明性、アカウンタビリティを向上させるためのツールも用意されています。
機密 AI はどのようなシナリオに対処しますか?
機密 AI は、AI ライフサイクル全体にまたがるいくつかのシナリオに対処します。
機密トレーニング。 機密 AI は、トレーニング中のトレーニング データ、モデル アーキテクチャ、モデルの重みを、悪意のある管理者や内部関係者などの高度な攻撃者から保護します。 トレーニング データが公開されている場合でも、モデルのトレーニングで多量のリソースが消費されたり、機密性の高いモデル IP が使用されたりしているシナリオでは、重みの保護だけでも重要になることがあります。 機密トレーニングを使用すると、モデル ビルダーは、トレーニング中にノード間で交換されるモデルの重み、チェックポイントなどの中間データ、グラデーションの更新が TEE の外部に表示されないようにすることができます。
機密微調整。 特定のタスクの精度を向上させるには、ドメイン固有のプライベート データを使用して汎用の AI モデルを微調整することが一般的です。 たとえば、金融機関では、独自の財務データを使用して既存の言語モデルを微調整する可能性があります。 機密 AI を使用すると、微調整中に独自のデータやトレーニング済みのモデルを保護できます。
機密マルチパーティ トレーニング。 機密 AI では、新しいクラスのマルチパーティ トレーニング シナリオが可能になります。 組織は、そのモデルやデータを互いに公開したり、成果が参加者間で共有される方法に関するポリシーを適用したりすることなく、共同作業してモデルをトレーニングできます。
機密フェデレーション学習。 フェデレーション学習は、トレーニング データを (データ所在地の要件やセキュリティ上の問題などのために) 集計できないシナリオで、一元化されたトレーニングまたは分散トレーニングの代わりに提案されてきました。 フェデレーション学習と組み合わせると、機密コンピューティングは、より強力なセキュリティとプライバシーを提供できます。 たとえば、各クライアントによって生成されたグラデーションの更新は、中央のアグリゲーターを TEE でホストすることによって、モデル ビルダーから保護できます。 同様に、モデル開発者は、クライアントがトレーニング パイプラインを TEE で実行することを要求することによって、トレーニング済みのモデルの信頼を構築できます。 これにより、各クライアントのモデルへの貢献が、そのクライアントのデータへのアクセスを必要とすることなく、事前に認定された有効なプロセスを使用して生成されたことが保証されます。
機密推論。 標準的なモデル デプロイには、複数の参加者が関与します。 モデル開発者は、そのモデル IP をサービス オペレーターや、場合によってはクラウド サービス プロバイダーから保護することに関心があります。 モデルを (たとえば、機密データが含まれている可能性のあるプロンプトを生成 AI モデルに送信することによって) 操作するクライアントは、プライバシーや不正使用の可能性を懸念しています。 機密推論では、モデル IP の検証可能な保護を行いながら、同時にモデル開発者、サービス操作、クラウド プロバイダーからの推論要求や応答を保護することが可能になります。 たとえば、機密 AI を使用すると、要求が特定の推論タスクのためにのみ使用され、その応答が TEE 内で完結するセキュリティで保護された接続を経由して要求の発信者に返されるという検証可能な証拠を提供できます。
機密 AI に関連する業界のユース ケースはどのようなものですか?
Azure Confidential Computing を使用して、顧客とパートナーは、多くのユース ケースに対応する機密 AI ソリューションを構築しています。
音声認識と顔認識。 音声認識と顔認識のモデルは、機密データが含まれているオーディオおよびビデオ ストリームで動作します。 一部のシナリオ (公共の場所での監視など) では、プライバシー要件を満たすための手段としての同意が実際的でない場合があります。 機密 AI では、データ プロセッサがモデルをトレーニングし、推論をリアルタイムに実行しながら、データ漏洩のリスクを最小限に抑えることができます。
マネー ロンダリング対策/不正検出。 機密 AI では、顧客の個人データを公開することなく、より正確な AML モデルをトレーニングするために、複数の銀行がクラウド内のデータセットを結合できます。 結合されたデータセットを使用してトレーニングされたモデルでは、銀行が互いのデータにアクセスすることなく、複数の銀行間での 1 人のユーザーによるお金の動きを検出できます。 これらの金融機関は、機密 AI を使用して不正検出率を向上させ、擬陽性を減らすことができます。
支援診断と予測医療。 診断や予測医療モデルの開発には、きわめて機密性の高い医療データへのアクセスが必要です。 このようなデータセットへのアクセス権の取得はコストが高く、時間もかかります。 機密 AI では、このようなデータセット内の値のロックを解除できるため、AI モデルを機密データでトレーニングながら、ライフサイクル全体にわたってデータセットとモデルの両方を保護できるようになります。
なぜ機密コンピューティングを使用するのですか?
AI モデルの有効性は、データの品質と量の両方に依存します。 一般公開されているデータセットを使用したトレーニング モデルによって大きな進歩が達成されてきましたが、モデルが医療診断、財務リスクの評価、ビジネス分析などのきわめて複雑なアドバイザリ タスクを実行できるようにするには、トレーニング中と推論中の両方でプライベート データへのアクセスが必要になります。
使用中のデータも保護できる、プライベート データを保護するプライバシー保護テクノロジは多数存在します。 たとえば、共有の前に、データを除去して匿名化することができます。 ただし、匿名化だけでは脆弱であることが示されており、場合によっては実用性が低下することがあります。 完全準同型暗号 (FHE) やセキュリティで保護されたマルチパーティ計算 (MPC) などの他のアプローチでは、表現力が制限されたり、大きなパフォーマンス オーバーヘッドが導入されたりする場合があります。
機密コンピューティングでは、機密性の高いデータセットへのアクセスのロックを解除しながら、低いオーバーヘッドでセキュリティとコンプライアンスの問題を満足させることができます。 機密コンピューティングを使用すると、データ プロバイダーはそのデータセットの使用を、データが保護された状態を維持しながら、合意されたモデルのトレーニングや微調整などの (構成証明によって検証された) 特定のタスクに対して認可できます。 機密トレーニングを差分プライバシーと組み合わせると、推論によってトレーニング データの漏洩をさらに削減できます。 モデル ビルダーは、機密コンピューティングを使用して、否認不可能なデータやモデルの来歴レコードを生成することによって、そのモデルをより透過的にすることができます。 クライアントは、リモート構成証明を使用して、推論サービスでは宣言されたデータ使用ポリシーに従った推論要求のみが使用されることを確認できます。
使用を開始するためのオプションはどのようなものですか?
機密 AI を有効にするために役立つ ACC プラットフォーム オファリング
Azure には、データと AI ワークロードをセキュリティで保護するための最先端のオファリングが既に用意されています。 次の Azure Confidential Computing プラットフォーム オファリングを使用すると、ワークロードのセキュリティ体制をさらに強化できます。
SNP 上の機密 VM と TDX (限定プレビュー段階)。 CPU ベースの AI ワークロード (データの前処理や、より小さなモデルのトレーニングと推論など) では、SNP と TDX に基づいて機密 VM を使用して、機密性の高いコードと使用中のデータを保護できます。
ACI 上の機密コンテナー。 ACI 上の機密コンテナーは、コンテナー化されたワークロードを Azure にデプロイするための別の方法です。 クラウド管理者からの保護に加えて、機密コンテナーにはテナント管理者からの保護と、コンテナー ポリシーを使用した強力な整合性プロパティが用意されています。 これにより、信頼度の低いマルチパーティ コラボレーションのシナリオに最適なものになります。 変更されていない NVIDIA Triton 推論サーバーに基づいた機密推論を示すサンプルについては、ここを参照してください。
GPU に依存する AI ワークロードに関して、Microsoft と NVIDIA は、NVIDIA GPU に機密コンピューティングを導入するために共同作業しています。 AMD SEV-SNP と A100 GPU に基づいた Azure 機密 GPU VM は現在、限定プレビューの段階にあります。
機密 AI を有効にする ACC パートナー ソリューション
Azure Confidential Computing プラットフォームに基づいて機密 AI ソリューションを構築したパートナーを使用します。
Anjuna は、組織が機密情報を公開することなく機械学習モデルを開発するためのさまざまなユース ケースを可能にする機密コンピューティング プラットフォームを提供します。
Beekeeper AI は、アルゴリズム所有者やデータ スチュワードのためのセキュリティで保護されたコラボレーション プラットフォームを使用して医療 AI を実現します。 BeeKeeperAI では、機密コンピューティング環境内の保護されたデータの複数機関のソースに対してプライバシー保護分析を使用します。 このソリューションは、エンド ツー エンド暗号化、セキュア コンピューティング エンクレーブ、Intel の最新の SGX 対応プロセッサをサポートして、データとアルゴリズムの IP を保護します。
Fortanix は、機密 AI を有効にできる機密コンピューティング プラットフォーム (複数の組織によるマルチパーティ分析のための共同作業を含む) を提供します。
Mithril Security は、SaaS ベンダーがセキュリティで保護されたエンクレーブ内で AI モデルを処理するのに役立つツールを提供すると共に、データ所有者にオンプレミス レベルのセキュリティと制御を提供します。 データ所有者は、コンプライアンスを保ちつつ、またデータの制御を保ちつつ、SaaS AI ソリューションを使用できます。
Opaque は、コラボレーション分析と AI のための機密コンピューティング プラットフォームを提供することにより、データをエンド ツー エンドで保護し、組織が法律および規制上の要件に準拠できるようにしながら分析を実行する機能を提供します。