Nebula: プライバシーを保護したBraveの分析システム

今回の投稿では、Ali Shahin Shamsabadi、Peter Snyder、Ralph Giles、Aurélien Bellet、Hamed Haddadiによる新たな開発を紹介します。この記事は、Braveのプライバシー・リサーチャー、Ali Shahin Shamsabadiによって書かれた記事の日本語訳です。

Braveリサーチチームが開発した、差分プライバシーによる保証を用いた製品利用分析のための斬新でクラス最高のシステム、Nebula を紹介します。Nebulaは、(検証可能なユーザー側の閾値設定やサンプルと閾値の差分プライバシーを含む)いくつかの最先端のプライバシー強化技術を組み合わせ、母集団内の個人(つまり個々のBraveユーザー)の行動について何も知ることなく、母集団(つまり多くのBraveユーザー)の製品使用/フィードバックについて有益な洞察を得ることができます。

Nebulaは 信頼を前提とすることなくユーザーのプライバシーを保証するため ユーザーにとっても有益なシステムとなります。Nebulaはまた、差分プライバシーのローカルモデルやシャッフリングモデルに基づく既存のソリューションと比較して、Braveがより優れたユーティリティを達成し、サーバにかかるオーバーヘッドを低減することを可能にします

Braveリサーチチームは、他のプロジェクトも使用できるよう、実装を公開しています。

プロダクト分析

開発者は、Braveの機能が多くのユーザーによってどのように使用されているかを知り、Web上のユーザー体験を改善できるようにする必要があります。たとえばBraveの開発者は「クッキーの同意アラートブロックを促すプロンプトが表示された場合、どのような操作をしましたか?」という質問によって、Braveのプライバシー保護機能のひとつであるクッキーバナーの除去機能がどのように機能しているかを知る必要があるでしょう。しかし、個々のユーザーの選択はプライベートである必要があります。下図に示すように、NebulaによってBraveは、個々のユーザの反応やどのようなクッキーバナーを見たかなどを確認することなく、ユーザのプライバシーを害するクッキーをブロックするために、リソースをどこにどれだけ割り当てるかを決定し、どのような反応が一般的なのかを理解することができます。例えばクッキーのバナーを見たときにほとんどのユーザがクッキーの通知に対して、クッキーをブロックするように対応するなど、Nebulaの差分プライバシーによる保証は、個々のユーザがこのような質問に対する回答を提供することをオプトインするかオプトアウトするかに関係なく、同じ結論を確実に導き出すことができます。

Nebulaによって、開発者はBraveの機能がどのように使用されているかを知ることができ、ユーザーのプライバシーを危険にさらすことなく、Web上でのユーザー体験を向上させることができるのです。

NebulaはBraveのユーザーファーストの精神のもとに、製品分析を可能にします

  1. Nebulaはユーザープライバシーを保証します。Braveはユーザーのプライバシー保護を最大限配慮しています。Nebulaは正式な差分プライバシーによる保証を提供し、製品分析が個々のユーザーの選択が可能な限り漏れないようにしています。Braveはユーザーのデータを学習することはおろか、ユーザーの有無すら知ることはありません。差分プライバシーは強固で意味のある、数学的に厳密なプライバシーの定義です。

  2. Nebulaはより優れた監査可能性、検証可能性、透明性を実現します。Nebulaを使用するにあたり、ユーザーがBraveを盲目的に信頼する必要はありません。ユーザーは、データを提供するかどうか、どのデータを提供するか、いつ提供するかを常にコントロールできます。私たちはBraveのSTARの一部としてNebulaをオープンソース化しました。以前のブログ記事で、私たちがどのようにプライバシーを保護した分析システムを設計し、STARでそれを改良したかを説明しました。そして今回、差分プライバシーを利用した更なる改良を行い、ユーザーに比類なきプライバシー保護を提供します。

  3. Nebulaは効率的で、ユーザーへの負荷はほとんどありません。ユーザーサイドのローカル計算も同様に、ほとんど負荷がかかりません。

Nebulaの本質的に効率的な設計により、あらゆる規模の企業が製品分析においてユーザーのプライバシーを手頃な方法で保護することができ、環境への悪影響も最小限に抑えることができます。

Nebulaの設計

ネビュラは概要レベルでは次のように機能します。

  1. ローカルで検証可能なユーザーサイドのサンプリング:ユーザーはわずかな可能性でデータの提出を決定し、そうでなければ実データの提供は行いません。

  2. ローカルユーザーデータの暗号化:(コインフリップの結果に基づいて)参加を決定したユーザーは、BraveのSTAR秘密共有スキームによりローカルで値を暗号化します。この秘密共有プロセスは、ユーザーにとってごくわずかな(計算/メモリー)オーバーヘッドしか生じません。

  3. ダミーデータ:少数のユーザーは一般的でない値(例:公表されていない、など)の分布を曖昧にするために、追加のダミーデータを提出します。

  4. データ集計:Braveは多数のユーザーが全く同じ値を送信しない限り、Braveがユーザーの値を知ることができないことを保証する秘密共有システムの逆の手法を使用して、値とそれに関連するカウントを復元します。

Nebulaは差分プライバシーを保証します

Nebulaは、次の3つのステップを通じて、ユーザーに対する正式な差分プライバシー保護を実施します。 1)特定のユーザーがどのような値を提供するか不確実です; 2)秘密共有メカニズム(すなわち閾値設定)を通じて、Braveに一般的でない値を見えなくします; 3)一部のユーザーに正確に定義された量のダミーデータを提供させ、一般的でない値の分布を見えなくします。

謝辞

Shivan Kaul Sahib、Darnell Andries、François Marier、各氏のフィードバックと、インフラ導入と製造メンテナンスの協力に感謝します。

Related articles

BLaDE: Braveの新たな性能評価基盤

BLaDEはBraveのオープンソース自動性能評価基盤です。このシステムは、ユーザーの行動をシミュレートしながらデバイスのメトリクスを正確に測定し、モバイルアプリの評価、診断を向上させます。

この記事を読む →

Braveで新しいWebを体験する準備はできましたか?

Braveはプライバシーとパフォーマンスを重視するWebのパイオニアからなるチームによって開発されています。Braveを利用しWebの再構築に協力していただけませんか?