OpenAIが発表した「Advanced Account Security」の衝撃:AI時代に求められる「パスワードレス」と「自己責任」のセキュリティ
要点
- パスワード廃止とフィッシング耐性の義務化: 「Advanced Account Security」を有効にすると、パスワードによるログインが無効化され、パスキー(Passkeys)や物理セキュリティキーによる認証が必須となります。
- 強力だが「自己責任」のリカバリ: メールやSMSによるアカウント復旧が利用不能になり、バックアップ用の物理キーやリカバリコードのみが有効となります。紛失時のOpenAIサポートによる救済も行われません。
- プライバシー保護の自動化: この機能を有効にしたアカウントの会話データは、モデルの学習から自動的に除外されるようになり、機密情報の保護が強化されます。
- 特定分野での義務化: サイバーセキュリティ分野で高度なモデルを利用する「Trusted Access for Cyber」のメンバーには、2026年6月よりこの設定が義務付けられます。
冒頭:なぜ今、AIアカウントに「最強の盾」が必要なのか
OpenAIは、ChatGPTやCodex(プログラミング支援AI)のアカウントを強力に保護するための新機能「Advanced Account Security(高度なアカウントセキュリティ)」を発表しました。
現在、ChatGPTは単なるチャットツールを超え、個人のプライベートな相談から企業の機密に関わる業務まで、極めて機微な情報が集まる「知識の集積地」となっています。万が一、アカウントが乗っ取られた場合、過去の対話履歴から個人の思考や企業の戦略が筒抜けになるリスクがあります。
今回の発表は、ジャーナリストや政治家、研究者といった「標的になりやすいユーザー」だけでなく、最高レベルのセキュリティを求めるすべてのユーザーに対し、現在のインターネット標準で最も強力とされる保護手段を提供するものです。
詳細解説:技術的に何が変わるのか?
「Advanced Account Security」は、単なる二要素認証(2FA)の追加ではありません。ログインから復旧、セッション管理に至るまで、既存の脆弱な仕組みを「物理的に遮断」するドラスティックな変更が含まれています。
1. パスワードレスとFIDO2への完全移行
最大の特徴は、従来の「ユーザー名+パスワード」という認証方式を捨て、パスキー(Passkeys)や物理セキュリティキー(YubiKeyなど)による認証をデフォルトにすることです。
従来のパスワードは、フィッシングサイトに入力してしまえば簡単に盗まれます。一方、パスキーや物理キーが採用している「FIDO2」規格では、公開鍵暗号方式を利用しており、特定のデバイスや物理的な鍵を持っていない限りログインできません。これにより、巧妙なフィッシング攻撃を実質的に無効化します。
2. 「メール・SMS復旧」の廃止という決断
多くのサービスでは、パスワードを忘れた際に「登録メールアドレスに届くリンク」や「SMSに届くコード」でアカウントを復旧できます。しかし、これらは「SIMスワップ(電話番号の乗っ取り)」やメールアカウント自体のハッキングに対して脆弱です。
Advanced Account Securityでは、これらの中間的な復旧手段をすべて無効化します。代わりに、バックアップ用のパスキーや、物理的なリカバリキー(復旧コード)の管理が求められます。
ここで重要なのは、「OpenAIのサポートチームも復旧を手助けできない」という点です。これは、攻撃者がサポートを騙してアカウントを乗っ取る「ソーシャルエンジニアリング」を防ぐための究極の対策ですが、ユーザーには「キーを絶対に紛失しない」という高い責任が伴います。
3. セッション管理の厳格化と検知
ログイン状態(セッション)の有効期間が短縮されます。これにより、万が一PCが物理的に盗まれたり、ブラウザのCookieが盗まれたりした場合の被害を最小限に抑えます。また、新しいデバイスからのログイン時には即座にアラートが飛び、アクティブなセッションを一括で管理・切断できるようになります。
4. 学習除外(Opt-out)の標準装備
通常、ChatGPTでの会話はモデルの品質向上のために学習に利用されることがありますが(設定でオフに可能)、Advanced Account Securityを有効にすると、この「学習に利用しない」という設定が自動的に適用されます。機密性の高い研究や開発を行うユーザーにとって、設定漏れを防ぐ重要なガードレールとなります。
業界への影響・意義:AIは「インフラ」のフェーズへ
今回のOpenAIの動きは、AI技術が単なる「便利なツール」から、社会を支える「クリティカルなインフラ」へと進化したことを象徴しています。
セキュリティと利便性のトレードオフの終焉
これまでは「セキュリティを高めると使いにくくなる」のが常識でした。しかし、今回OpenAIが認証デバイス大手のYubico(ユビコ)社と提携し、ユーザーに特別価格で物理キーを提供し始めたことは注目に値します。
指紋認証や顔認証と連動するパスキーや、USBポートに差し込むだけの物理キーを活用することで、「パスワードを覚える手間」を省きつつ、最高レベルの安全性を確保する「パスワードレス社会」への移行を加速させようとしています。
サイバー防衛者への高い要求
特に興味深いのは、「Trusted Access for Cyber」という、AIを活用してサイバー攻撃を防ぐ専門家チームに対する義務化です。高度な能力を持つAIモデル(より制限の少ない、攻撃手法の分析などが可能なモデル)を扱う者には、それ相応の「門番」としての厳格さが求められるという、AI倫理・安全性の新しいスタンダードを示しています。
まとめ:エンジニアとユーザーが取るべきアクション
OpenAIの「Advanced Account Security」は、単なる機能追加ではなく、AI時代のデータ保護に対するOpenAIの強い覚悟の表れです。
読者へのアクション提案
- パスキーの導入: まずは今回の設定を有効にせずとも、日常的に利用しているデバイスでパスキーを登録し、パスワードレスの利便性を体験してみることをお勧めします。
- 物理キーの検討: 重要なコード(Codex)や機密性の高いプロジェクトを扱っている場合、YubiKeyなどの物理セキュリティキーの導入を検討すべきです。
- リカバリ手段の確保: Advanced Account Securityを有効にする場合は、必ず複数のリカバリ手段(物理的なメモでのコード保管や、予備のセキュリティキー)を用意してください。
今後、この強力なセキュリティ設定は、企業向けの「ChatGPT Enterprise」などにも波及していくことが予想されます。AIを使いこなす技術だけでなく、AIアカウントを「守り切る技術」もまた、現代のエンジニアにとって必須のスキルとなっていくでしょう。
用語解説
- FIDO2: パスワードを使わずに、指紋認証やデバイス、物理キーを使って安全にログインするための国際規格。
- パスキー (Passkeys): FIDO2をベースにした、パスワードに代わる新しい認証方式。iCloudやGoogleアカウント等で広く普及し始めている。
- SIMスワップ: 攻撃者が通信事業者を騙し、被害者の電話番号を攻撃者のSIMカードに移し替える攻撃手法。SMSによる二要素認証を破るために使われる。