Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Introduction to TensorFlow Privacy

Asei Sugiyama
March 14, 2022
Technology
0
120

Introduction to TensorFlow Privacy

機械学習における Privacy について、TensorFlow Privacy を例に調査しまとめた資料です。Money Forward 社内で開かれた MLOps についての勉強会のために作成しました。

Asei Sugiyama

March 14, 2022
Tweet

More Decks by Asei Sugiyama

See All by Asei Sugiyama
MLOps のはじめかた
asei
2
1.2k
State of MLOps in 2022
asei
1
370
MLOps のこれまでとこれから
asei
10
2.7k
速習 Machine Learning Lens
asei
1
560
When should we use Kubernetes for the Machine Learning platform?
asei
1
270
インタビューから見えてきた MLOps のレベルと現場の課題
asei
2
1.4k
機械学習システム開発と運用の落とし穴
asei
18
7.6k
実用 Confident Learning
asei
1
1.6k
Introduction to Model Registry
asei
0
240

Other Decks in Technology

See All in Technology
Technologists around the campfire: Social audio as a vector for engineering wisdom
bcantrill
0
290
Scrum Fest Niigata 2023 QAはチームの外から支援するのか?中から支援するのか?
moritamasami
1
190
「時系列データ」を ChatGPT で活かすには?!
soracom
PRO
0
240
Hunting for macOS attack techniques. Part 1 – Initial Access, Execution, Credential Access, Persistence
heirhabarov
1
470
ChatGPTとこころを整理してみる
nagauta
0
300
Google I/O 2023で話されたWeb MLの話を紹介したい! / IoTLT vol.99
you
0
110
Datadogで実現するセキュリティ オブザーバビリティ
taka2noda
1
130
【JAWS-UG朝会】ガバメントクラウド・デジタル庁の基本方針から考えるクラウドサービスの適切な利用
kumamatsu
PRO
3
480
ShowNet2022 Topology
shownet
PRO
0
660
Vision.framework - 商品画像からのテキスト検出と並列化実装への試み
hcrane
0
200
ハンズオンで学ぶ! Instana基礎
daihiraoka
1
100
cgroup の歩き方 / TechFeed Experts Night #19
tenforward
0
220

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
110
17k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
8.3k
The Brand Is Dead. Long Live the Brand.
mthomps
48
3.8k
[RailsConf 2023] Rails as a piece of cake
palkan
6
1.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
7
990
Designing Experiences People Love
moore
130
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
The World Runs on Bad Software
bkeepers
PRO
59
5.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
15
1.2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
In The Pink: A Labor of Love
frogandcode
133
21k

Transcript

  1. Introduction to TensorFlow Privacy
    Asei Sugiyama

    View Slide

  2. まとめ
    Differential Privacy は Privacy の概念を形式的に定義したもので、個別
    のデータに推論結果が依存する度合いに制限を加えたもの
    DPSGD (Differential Private SGD) は SGD を拡張したもので、勾配に正
    則化とノイズ付加を行うもの
    TensorFlow Privacy を用いることで DPSGD を Keras の API で実装でき

    DPSGD については高速化や Fairness とのトレードオフなどの研究が進
    行中

    View Slide

  3. TOC
    Differential Privacy <-
    TensorFlow Privacy
    発展的な話題

    View Slide

  4. Differential Privacy
    問題提起
    Differential Privacy の定義
    Differentially Private SGD

    View Slide

  5. 問題提起
    言語の生成モデルにおいて発見され
    た問題
    データセットに個人番号があった場
    合、その番号が生成されてしまう
    Penn Treebank dataset に意図的に
    個人番号を混入させたところ、たし
    かにその番号が生成された
    [1802.08232] The Secret Sharer: Evaluating and Testing Unintended Memorization in Neural
    Networks

    View Slide

  6. Differential Privacy の定義
    Differential Privacy: A Survey of Results

    View Slide

  7. Differential Privacy の解
    釈 (1/2)
    「高々1要素だけ異なるデー
    タベースからある値の出力
    される確率 (密度) の対数の
    -距離が で抑えられる」
    のときには全く確率
    が変わらない
    L1 ϵ
    ϵ = 0
    注目のプライバシー Differential Privacy

    View Slide

  8. Differential Privacy の解
    釈 (2/2)
    差分プライバシーとは何
    か? (定義 & 解釈編) とい
    うスライドがわかりやすい
    のでオススメ
    差分プライバシーとは何か? (定義 & 解釈編)

    View Slide

  9. Differentially Private SGD (1/2)
    Membership inference attack against differentially private deep learning model.

    View Slide

  10. Differentially Private SGD
    (2/2)
    SGD における勾配の大きさ
    を制限
    勾配に正規分布などの確率
    分布からの出力をノイズと
    して付加
    Membership inference attack against differentially private deep learning
    model.

    View Slide

  11. 日本語による解説
    Idein によるブログ記事が公
    開されている
    記述がわかりやすくオスス

    引用元の資料を確認しやす

    Idein Ideas — 機械学習におけるDifferential Privacyについて

    View Slide

  12. TOC
    Differential Privacy
    TensorFlow Privacy <-
    発展的な話題

    View Slide

  13. TensorFlow Privacy
    設計方針
    使い方

    View Slide

  14. 設計方針
    実装者は差分プライバシーの専門家
    ではないし、モデルのコードは大概
    の場合作られたあと
    ミニバッチの作成などは既存のロジ
    ックを利用し、そのあと Privacy の
    ための計算をする
    上記を踏まえて -DP を実現す

    (ϵ, δ)
    A General Approach to Adding Differential Privacy to Iterative Training Procedures

    View Slide

  15. 使い方 (1/3)
    # Load training and test data.

    train_data, train_labels, test_data, test_labels = load_mnist()
    # Define a sequential Keras model

    model = tf.keras.Sequential([

    tf.keras.layers.Conv2D(

    16,
    8,

    strides=2,

    padding='same',

    activation='relu',

    input_shape=(28, 28, 1)),
    tf.keras.layers.MaxPool2D(2, 1),

    tf.keras.layers.Conv2D(

    32, 4, strides=2, padding='valid', activation='relu'),

    tf.keras.layers.MaxPool2D(2, 1),

    tf.keras.layers.Flatten(),

    tf.keras.layers.Dense(32, activation='relu'),

    tf.keras.layers.Dense(10)

    ])

    View Slide

  16. 使い方 (2/3)
    Optimizer だけが通常と異なる
    optimizer = DPKerasSGDOptimizer(

    l2_norm_clip=FLAGS.l2_norm_clip,

    noise_multiplier=FLAGS.noise_multiplier,

    num_microbatches=FLAGS.microbatches,

    learning_rate=FLAGS.learning_rate)

    # Compute vector of per-example

    # loss rather than its mean over a minibatch.

    loss = tf.keras.losses.CategoricalCrossentropy(

    from_logits=True, reduction=tf.losses.Reduction.NONE)

    # Compile model with Keras

    model.compile(optimizer=optimizer, loss=loss, metrics=['accuracy'])

    View Slide

  17. 使い方 (3/3)
    Optimizer 以外は通常通りの Keras
    model.fit(

    train_data,

    train_labels,

    epochs=FLAGS.epochs,

    validation_data=(test_data, test_labels),

    batch_size=FLAGS.batch_size)

    View Slide

  18. TOC
    Differential Privacy
    TensorFlow Privacy
    発展的な話題 <-

    View Slide

  19. 発展的な話題
    DPSGD の高速化
    Privacy と Fairness のトレードオフ

    View Slide

  20. DPSGD の高速化 (1/2)
    DPSGD は「通常の SGD と
    比較して10-100倍くらい遅
    い」
    Vectorization と JIT コンパ
    イルによる高速化が提案さ
    れている
    Enabling Fast Differentially Private SGD via Just-in-Time Compilation and
    Vectorization

    View Slide

  21. DPSGD の高速化 (2/2)
    TensorFlow Privacy で確認 (Colab 上で GPU ありで実行)
    最適化前は約 90 min に対し、最適化後は 9 min (10x)
    Method time (total)
    DPKerasSGDOptimizer 1h 29min 18s
    VectorizedDPKerasSGDOptimizer (Vectorization) 50min 40s
    DPSequential (Vectorization + XLA) 8min 57s
    tensorflow-privacy-mnist-tutorial.ipynb

    View Slide

  22. Privacy と Fairness のト
    レードオフ
    Fairness のためにはマイノ
    リティのデータを収集し学
    習することが重要
    Privacy を実現するためにノ
    イズを乗せると、全体に対
    して少数のデータが利用さ
    れなくなる
    Can a Model Be Differentially Private and Fair?

    View Slide

  23. まとめ
    Differential Privacy は Privacy の概念を形式的に定義したもので、個別
    のデータに推論結果が依存する度合いに制限を加えたもの
    DPSGD (Differential Private SGD) は SGD を拡張したもので、勾配に正
    則化とノイズ付加を行うもの
    TensorFlow Privacy を用いることで DPSGD を Keras の API で実装でき

    DPSGD については高速化や Fairness とのトレードオフなどの研究が進
    行中

    View Slide