AppleのアシスタントAI「Apple Intelligence」に使われるAI処理サーバー「Private Cloud Compute」の安全性への取り組みをAppleが説明

Appleが2024年6月11日に発表したAIアシスタント「Apple Intelligence」は、デバイス上で処理しきれない高負荷タスクをAppleのサーバー上で実行します。AppleはAI処理実行サーバーを「Private Cloud Compute(PCC)」と名付けており、PCCの安全性への取り組みを公式ブログで説明しています。
Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research
https://security.apple.com/blog/private-cloud-compute/
Apple IntelligenceはiPhoneやMacなどのApple製デバイスに統合されるAIアシスタントで、通知の要約やコンテンツの生成など多種多様なタスクを実行できます。Apple Intelligenceがどんな機能を備えているのかは、以下の記事にまとまっています。
Appleが新たなパーソナルAIの「Apple Intelligence」を発表、OpenAIとの提携でSiriがChatGPTをサポート - GIGAZINE

Apple Intelligenceにはデバイス上ですべての処理を実行するデバイス版モデルと、データをサーバーに送信してサーバーで処理を実行するサーバー版モデルが用意されています。サーバー版モデルは「デバイス上で処理しきれないタスク」を実行する際に用いられる高性能モデルで、OpenAIのGPT-4-Turboに迫る性能を示すことが明らかになっています。
AppleがアシスタントAI「Apple Intelligence」の性能を示すベンチマーク結果を公開、GPT-4-Turboとの性能差も明らかに - GIGAZINE

Appleはユーザーのセキュリティおよびプライバシー確保に力を入れており、例えばiMessageでは送受信内容がエンドツーエンドで暗号化され送受信者以外は情報を閲覧できないようになっています。しかし、Apple Intelligenceはサーバーで処理を実行する都合上、サーバーでは情報を閲覧可能な状態にする必要があります。このため、ユーザーにとっては「サーバーに送信した情報がApple社員に閲覧されるのではないか」「サーバーにデータが保存されて、サイバー攻撃によって流出してしまうのではないか」といった不安が生じます。
Appleはサーバーで情報を処理しつつユーザーのセキュリティとプライバシーも確保するために、既存のクラウドコンピューティングシステムとは一線を画すシステム「Private Cloud Compute(PCC)」を構築しました。AppleはPCCの主な特徴として、以下の点をアピールしています。
◆iPhoneと同じ技術で攻撃から保護
PCCのコンピューティングノードでは、iPhoneやMacなどのApple製デバイスで採用されているハードウェア保護技術「Secure Enclave」が使われているほか、iOSと同等のコード署名やサンドボックスなどのセキュリティ技術も備わっています。
さらに、Swift on Serverで新たな機械学習スタックを構築するなど、PCCの運用に特化したコンポーネントも新規に開発されています。
◆データの暗号化
デバイスからPCCへデータを送信する際に、デバイスではPCCノードの公開鍵を用いた暗号化が実行されます。データは暗号化された状態でPCCノードに送信された後、PCCノードで復号され、処理されます。PCCノードは処理完了後にデータを削除するため、Appleのサーバーにデータが残ることはありません。
また、データの復号に用いる秘密鍵はPCCノードのみが所有しており、プライバシーゲートウェイやロードバランサーなどの管理システムは秘密鍵を所有していません。このため、サーバーのメンテナンス権限を持ったApple社員であってもユーザーのデータを閲覧することはできません。
◆コードの改ざん防止
PCCで実行されるすべてのコードはAppleによって署名されている必要があります。裏を返すと、暗号的に改ざんされていないことを証明できるコードのみが実行されるというわけです。
◆特権アクセスの仕組みを排除
一般的なクラウドコンピューティングシステムでは、リモートシェルや対話的なデバッグシステムなどの特権的な仕組みが内包されており、理論的には特権ユーザーがシステムの内部をのぞき見ることができます。PCCでは特権アクセスを伴うシステムが徹底的に排除されており、いわゆる「開発者モード」も存在しないとのこと。また、PCCのログシステムは汎用(はんよう)的なシステムではなくPCC専用に構築され監査を通過したシステムが用いられており、「ログの監視に伴う情報漏えい」も発生しないようになっています。
◆ハードウェアの徹底的な再検証
PCCに用いられるハードウェアは、Appleのデータセンターに搬入されると同時に「相互に監視し合う複数のApple社内チーム」によって再検証され、再検証プロセス自体も「サードパーティーの監査チーム」によって監視されます。これによってハードウェアを対象とした攻撃からシステムを保護できるとのこと。
◆透明性の確保
Appleはセキュリティ研究者に向けて「PCCのすべての製品ビルドのソフトウェアイメージ」を公開するとのこと。これにより、セキュリティ研究者がPCCに存在する問題を特定したり、安全性を評価したりできるようになります。また、Appleはセキュリティ研究者のPCCに対する理解を深めるために、「Mac上で動作するPCCの仮想環境」も公開するとのこと。さらに、PCCのバグ発見に対して報奨金を支払うバグバウンティープログラムも展開します。
Appleは、セキュリティ研究者に対するデータの公開を間もなく開始する予定としています。
なお、ジョンズ・ホプキンス大学のセキュリティ研究機関に所属するマシュー・グリーン氏は、Apple製OSにChatGPTが統合されることを踏まえて、ChatGPTでの処理にはOpenAI独自のデータ処理ポリシーが適用される点に注意を促しています。
Wrapping up on a more positive note: it’s worth keeping in mind that sometimes the perfect is the enemy of the really good.
In practice the alternative to on-device is: ship private data to OpenAI or someplace sketchier, where who knows what might happen to it. 19/— Matthew Green (@matthew_d_green) June 10, 2024