Apple の Private Cloud Compute の概要

2024年6月13日 08:35

Apple の「Private Cloud Compute」の概要をまとめました。

・Private Cloud Compute: A new frontier for AI privacy in the cloud

1. Private Cloud Compute

「Apple Intelligence」は、iPhone、iPad、Macに強力な生成モデルをもたらすパーソナルインテリジェンスシステムです。このシステムで複雑な推論が必要な場合のために、AppleではプライベートAI処理専用に設計されたクラウドインテリジェンスシステム「Private Cloud Compute」(PCC) を開発しました。PCCは、Appleデバイスのセキュリティとプライバシーを初めてクラウドに拡張し、PCCに送信されたユーザーの個人データがユーザー以外の誰にもアクセスできないようにします。Appleでさえもアクセスできません。

2. Private Cloud Computeの基本要件

「Private Cloud Compute」の基本要件は次のとおりです。

2-1. 個人データに対するステートレスな計算

PCCは、受け取った個人データをユーザーのリクエストを満たす目的でのみ使用する必要があります。このデータは、Appleのスタッフを含む誰にも、処理中であっても利用可能にしてはなりません。また、このデータはユーザーへの応答が返された後には、ログ記録やデバッグを含め、保持されてはなりません。つまり、個人データがPCCシステムに痕跡を残さない強力なステートレスデータ処理が求められます。

2-2. 強制可能な保証

セキュリティとプライバシーの保証は、完全に技術的に強制可能な場合に最も強力です。つまり、PCCシステム全体の保証に重要な貢献をするすべてのコンポーネントを制約し、分析することが可能でなければなりません。例えば、TLS終端のロードバランサーがデバッグセッション中にユーザーデータをどのように扱うかを推論することは非常に困難です。したがって、PCCはそのコアセキュリティおよびプライバシー保証のために、こうした外部コンポーネントに依存してはいけません。同様に、サーバーメトリクスやエラーログの収集といった運用上の要件は、プライバシー保護を損なわないメカニズムでサポートされる必要があります。

2-3. 特権的なランタイムアクセスの排除

PCCには、Appleのサイト信頼性スタッフがPCCのプライバシー保証を迂回できる特権的なインターフェースが含まれてはなりません。これは、障害やその他の重大なインシデントを解決する際にも同様です。また、PCCはランタイム中に追加のソフトウェアをロードするなどして特権的なアクセス範囲を拡大するメカニズムをサポートしてはなりません。

2-4. ターゲット不可能性

攻撃者は、特定のPCCに属する個人データを狙うことなく、PCCシステム全体を広範に侵害させなければ、個人データを危険にさらすことができないようにしなければなりません。これは、PCCノードに物理的な攻撃を試みる、またはPCCデータセンターに悪意あるアクセスを試みるような非常に高度な攻撃者に対しても当てはまる必要があります。つまり、限定的なPCCの侵害が、攻撃者に特定のユーザーのリクエストを侵害したノードに誘導させることを許してはいけません。ユーザーをターゲットにするには、検出される可能性の高い広範な攻撃が必要です。これを直感的に理解するために、すべてのアプリケーションサーバーがアプリケーションデータベース全体のデータベース認証情報を持つ従来のクラウドサービス設計と対比させると、単一のアプリケーションサーバーが侵害されるだけで、そのユーザーがその侵害されたアプリケーションサーバーとアクティブなセッションを持っていなくても、任意のユーザーのデータにアクセスできることになります。

2-5. 検証可能な透明性

セキュリティ研究者は、PCCのプライバシーおよびセキュリティ保証が公開されている約束と一致することを高い信頼性を持って検証できる必要があります。すでに、保証が強制可能であるという要件があります。仮に、セキュリティ研究者がシステムに十分なアクセスを持っていれば、保証を検証できるでしょう。しかし、この最後の要件である検証可能な透明性は、仮定を一歩進めて、セキュリティ研究者がPCCのセキュリティおよびプライバシー保証を検証できるようにする必要があります。また、彼らが検証した保証が、PCCのプロダクション環境で実行されているソフトウェアと同じであることを検証できる必要があります。