高度なアカウントセキュリティの導入について
OpenAI は、ジャーナリストや政治家など高リスクユーザー向けに、パスワード認証を廃止し生体認証や物理キーのみを要求する「Advanced Account Security」機能を新設した。
キーポイント
高度な認証要件の導入
この機能ではパスワードによるログインが禁止され、フィッシング対策としてパスキーまたは物理セキュリティキーの使用が必須となる。
リカバリープロセスの厳格化とサポート制限
メールや SMS による復旧手段が無効化され、バックアップパスキーや回復キーのみが許可されるため、OpenAI サポートはアカウント復旧を支援できなくなる。
セッション管理の強化と可視性向上
セッション期間を短縮し、ユーザーが自分のアカウントアクティビティをより明確に把握・管理できる仕組みを提供する。
影響分析・編集コメントを表示
影響分析
この発表は、AI サービスにおけるセキュリティ基準の転換点を示しており、特に機密性の高い情報を扱う専門家の利用環境を劇的に改善するものである。しかし、パスワードや SMS を頼りにしていた一般ユーザーにとって復旧リスクが顕在化するため、ユーザー教育と自己責任の意識向上が不可欠となる重要な施策である。
編集コメント
セキュリティと利便性のトレードオフにおいて、OpenAI は「復旧不能」を覚悟の上で最強の防御を選択する姿勢を示しました。これは AI ツールが社会インフラとして定着する中で不可欠な、責任あるセキュリティ設計の一例と言えます。
本日、私たちは ChatGPT アカウント向けの新しいオプトイン設定である「高度なアカウントセキュリティ」を発表します。これは、デジタル攻撃のリスクが高まっている方々や、利用可能な最も強力なアカウント保護を望む方々のために設計されたものです。これにより、アカウント乗っ取りから守るための一連の強化されたセキュリティ対策が一つの場所で簡単に有効化できるようになります。登録すると、Codex 内のユーザーも保護されます。
人々は、深く個人的な質問や、ますます重要性が高まる業務のために AI を活用するようになっています。時間の経過とともに、ChatGPT アカウントには機密性の高い個人情報や専門的な文脈が蓄積され、連携するツールやワークフローの中心に位置することになります。ジャーナリスト、選出された公務員、政治的異議申し立て者、研究者、そして特にセキュリティ意識の高い人々にとっては、その重要性はさらに高まります。
この取り組みは、コミュニティ、重要システム、および国家安全保障を保護するために役立つ技術へのアクセスを広げるという、私たちのより広範な サイバーセキュリティ行動計画(新しいウィンドウで開く) の一部です。ユーザーが自分自身に最適なセキュリティとプライバシーの選択を行えるよう、コントロールを提供したいと考えています。同時に、高度なアカウントセキュリティによる保護の強化には、アカウント回復における責任も増大することを、ユーザーが理解していることを確保したいと考えています。
高度なアカウントセキュリティは、サインイン保護を強化し、アカウントの回復プロセスを厳格化し、乗っ取られたセッションからの暴露を減らし、ユーザーがアカウントアクティビティをより明確に把握できるようにする一連のコントロールを統合したものです。これは、ウェブ上の ChatGPT アカウントの「セキュリティ」セクションでオプトインして利用可能です。この保護は、そのログインを通じてアクセスされる ChatGPT および Codex の両方のアカウントに適用されます。
より強力なサインイン方法。高度なアカウントセキュリティでは、パスワードベースのログインを無効化し、パスキーまたは物理セキュリティキーの使用を必須とすることで、最も必要な人々にとってフィッシング耐性のあるサインインがデフォルトとなるよう支援します。
より安全なアカウント回復。ユーザーのメールアカウントや電話番号が乗っ取られた場合、攻撃者はそれらを利用して、メールまたは SMS ベースのリカバリーを通じて ChatGPT アカウントへのアクセスを試みる可能性があります。このリスクを軽減するため、高度なアカウントセキュリティではメールおよび SMS によるリカバリーを無効化し、より強力な回復方法を必須とします:バックアップパスキー、セキュリティキー、およびリカバリーキーです。アカウント回復がこれらのより安全な方法に制限されるため、OpenAI サポートは、高度なアカウントセキュリティに登録したユーザーのアカウント回復については支援できなくなります。
セッション時間の短縮と明確なセッション管理。デバイスまたはアクティブなセッションが侵害された場合に暴露される時間を減らすため、サインインセッションの時間が短縮されます。また、アカウントへのログインがあった際にユーザーにアラートが送信され、複数のデバイスでサインインしているアクティブなセッションを閲覧および管理することができます。
自動的なトレーニング除外。特に機密性の高い情報を扱う人々は、その会話内容がモデル学習に使用されることを望まない場合があります。Advanced Account Security を有効化すると、この設定は自動的に適用されます:これらのアカウントからの会話は、当社のモデルの学習には使用されません。
YubiKeys などの物理セキュリティキーの使用は、フィッシング攻撃に対する最も強力な防御手段の一つです。このレベルの保護をより簡単に利用できるようにするために、ハードウェアベースの認証とアカウント保護のリーダーである Yubico と提携し、ユーザーに最高クラスのセキュリティキーのカスタマイズされたバンドルを優先価格で提供します。YubiKey C Nano はラップトップに挿入したまま、シンプルで摩擦の少ない日常認証のために設計されており、YubiKey C NFC はバックアップ用およびラップトップとモバイルデバイス間での使用に適しています。
この提携は Advanced Account Security の一部として開始されますが、バンドルはウェブ上のセキュリティ設定においてすべての対象ユーザーに利用可能となり、より多くの人々が強力なフィッシング耐性のあるアカウント保護を採用できるようになります。また、ユーザーは他の FIDO 準拠のセキュリティキーを使用することも、ソフトウェアベースのパスキーを利用することもできます。
私たちは、検証済みディフェンダーがより高度で制限の緩いモデルにアクセスできるプログラムを継続的に拡大しており、これらのディフェンダーのアカウントを当社の最も先進的なセキュリティ保護で守る必要があります。
Trusted Access for Cyber にて最もサイバー対応力が高く制限の緩いモデルを利用する個人メンバーは、2026 年 6 月 1 日より Advanced Account Security(高度なアカウントセキュリティ)の有効化が義務付けられます。一方、信頼されたアクセス権を持つ組織は、代替手段として、シングルサインオンワークフローの一部としてフィッシング耐性認証を備えていることを証明することも可能です。
OpenAI は AI の中核インフラとなりつつあり、世界中の人々や大企業から中小企業までが物事を構築することを可能にしています。ChatGPT の広範な消費者層への到達力は、職場における強力な流通チャネルを生み出しており、そこでは需要が基本的なモデルアクセスからビジネスの運用方法を変革するインテリジェントシステムへと急速に移行しています。開発者は API を活用してプラットフォーム上で構築・拡張を進めており、Codex はアイデアを実働可能なソフトウェアに変換する方法を根本的に変えています。
AI が私たちの生活にますます組み込まれるにつれ、ユーザーがプライバシーとセキュリティを守るために必要なコントロールを有していることを確保することは、これまで以上に重要になっています。
プライバシーとセキュリティは、すべての製品を構築する際の基盤であり、時間とともに人々により多くのコントロールとより強力な保護を提供する対策への投資を継続していきます。この取り組みは、エンタープライズ環境を含む追加のユーザー層にも拡大される見込みです。そこでは、アカウントセキュリティの強化が極めて重要となる場合があります。
原文を表示
Today, we’re introducing Advanced Account Security, a new opt-in setting for ChatGPT accounts, designed for people at increased risk of digital attacks, as well as for those who want the strongest account protections available. It brings together a set of heightened security measures that help safeguard against account takeover while making those protections easier to activate in one place. Once enrolled, Advanced Account Security protects users in Codex as well.
People are turning to AI for deeply personal questions and increasingly high-stakes work. Over time, a ChatGPT account can hold sensitive personal and professional context, and sit at the center of connected tools and workflows. For some people, like journalists, elected officials, political dissidents, researchers, and those who are especially security-conscious, the stakes are even higher.
This effort is part of our broader cybersecurity action plan(opens in a new window) to broaden access to the technologies that can help protect communities, critical systems, and our national security. We want users to have the controls to make the security and privacy choices that are right for them. At the same time, we want to ensure users understand that the increased protection of Advanced Account Security comes with an increased responsibility for account recovery.
Advanced Account Security brings together a series of controls that strengthen sign-in protections, tighten account recovery, reduce exposure from compromised sessions, and give users more visibility into account activity. It’s available to opt into in the Security section of users’ ChatGPT accounts on web. Protection applies to both ChatGPT and Codex accounts that are accessed through that login.
Stronger sign-in methods. Advanced Account Security requires passkeys or physical security keys while disabling password-based login, helping make phishing-resistant sign-in the default for people who need it most.
More secure account recovery. If a user’s email account or phone number is compromised, an attacker may try to use one of them to gain access to their ChatGPT account via e-mail or SMS based recovery. To reduce this risk, Advanced Account Security disables email and SMS recovery and requires stronger recovery methods: backup passkeys, security keys, and recovery keys. Because account recovery is restricted to these more secure methods, OpenAI Support will not be able to assist with account recovery for users enrolled in Advanced Account Security.
Shorter sessions and clearer session management. Sign-in sessions are shortened to reduce the window of exposure if a device or active session is compromised. Users also receive alerts when there is a login to their account, and they can review and manage the active sessions across the various devices they’re signed into.
Automatic training exclusion. People working with especially sensitive information may opt not to have those conversations used for model training. With Advanced Account Security enabled, that preference is automatic: conversations from those accounts will not be used to train our models.
Using physical security keys, such as YubiKeys, is one of the strongest defenses against phishing. To make that level of protection easier to access, we have partnered with Yubico, a leader in hardware-based authentication and account protection, to offer our users preferred pricing on a customized bundle of best in class security keys. The YubiKey C Nano is designed to stay in your laptop for simple, low-friction daily authentication, and the YubiKey C NFC for backup, and use across laptops and mobile devices.
We’re launching this partnership as part of Advanced Account Security, but the bundle will be available to all eligible users in their security settings on web so more people can adopt stronger, phishing-resistant account protection. Users will also be able to use any other FIDO-compliant security key, or use software-based passkeys.
We continue to expand programs that give verified defenders access to more capable and permissive models, and we need to ensure that the accounts of those defenders are protected with our most advanced security protections.
Individual members of Trusted Access for Cyber accessing our most cyber capable and permissive models will be required to enable Advanced Account Security beginning June 1, 2026. Organizations with trusted access can, as an alternative, attest that they have phishing resistant authentication as part of their single sign-on workflow.
OpenAI is becoming the core infrastructure for AI, making it possible for people around the world and businesses, big and small, to just build things. The broad consumer reach of ChatGPT creates a powerful distribution channel into the workplace, where demand is rapidly shifting from basic model access to intelligent systems that reshape how businesses operate. Developers build on and expand the platform by leveraging our APIs, and Codex is transforming how developers turn ideas into working software.
As AI becomes increasingly embedded in our lives, it is more important than ever to ensure that users have the controls they need to help protect their privacy and security.
Privacy and security are foundational to how we build all of our products and we’ll continue investing in protections that give people more control and stronger safeguards over time. We expect to extend this work to additional audiences, including enterprise environments, where stronger account security can matter just as much.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み