PGDとは

PGDとは、AIをだます細工データを少しずつ何度も調整して作り込む、強力な攻撃手法のことです。2017年に提案されました。一発で仕上げるFGSMに対し、PGDは小さな修正を粘り強く繰り返すことで、より手強い細工を生み出します。新しい防御が本当に役立つかを確かめる、いわば「いちばん厳しい腕試し」の相手。その強さゆえ、研究の現場では防御の実力を測る標準として定着しています。

小さな一歩を、粘り強く繰り返す

PGDの考え方は、坂道を少しずつ下りていくのに似ています。AIが最も間違えやすい方向へ、ごく小さな一歩を何度も踏み出して細工を磨いていくのです。ここで大事なのが「投影」という仕組み。ノイズが大きくなりすぎて人間に気づかれそうになると、許される範囲の中へ押し戻す（投影する）。だから見た目はほとんど変わらないまま、AIにとってだけ強烈に効く細工が出来上がります。一発勝負のFGSMより手間はかかりますが、その分だまし方が巧妙になるわけです。

防御の「合格ライン」として使われる

PGDは、攻撃のなかでも特に手強い部類とされ、防御の実力を測る事実上の基準になっています。新しい守りの手法を発表する研究者は、「PGDの攻撃に耐えられるか」を示すのが通過儀礼のようになりました。提案したMadryらは、このPGDで作った手強い細工をあえて教材に使い、攻撃に耐えるAIを鍛える方法もあわせて示しています。攻撃と防御が表裏一体になっている好例でしょう。

「強い攻撃に耐えるか」が本気度の目安

肝心なのは、防御の実力は、弱い攻撃ではなく強い攻撃で試して初めて分かるという一点でしょう。手軽な攻撃をしのげても、PGDのような粘り強い攻撃に崩されるなら、その守りは過信できません。AIのセキュリティをうたう製品やベンダーを評価するときは、「どの程度強い攻撃を想定して検証したのか」を尋ねてみる。そこに守りの本気度がにじみます。

PGDに関するよくある質問

PGDは「最強の攻撃手法」と考えてよいですか？

勾配を使う基本的な攻撃のなかで最も強い部類とされますが、あらゆる攻撃の中で無敵という意味ではありません。より特殊な攻撃も研究されており、PGDに耐えれば完全に安全、とは言い切れません。

PGDは自社のAI利用にどう関係しますか？

直接使うのは主に研究者や検証チームですが、AIセキュリティ製品の実力を測る基準として関わります。ベンダー選定の際に「どの強さの攻撃で検証したのか」を尋ねる材料になります。

PGDとFGSMは、どちらを気にすべきですか？

両方です。FGSMは手軽な攻撃にも耐えるか、PGDは強い攻撃にも耐えるかを測ります。守りの実力を見るには、弱い攻撃と強い攻撃の両方で検証されているかが目安になります。