OpenAI は 2026 年 4 月 30 日、ChatGPT アカウント向けの任意の高度なセキュリティ設定として Advanced Account Security を発表した。
主な対象は二つのユーザー層だ。一つは、ジャーナリスト、選挙で選ばれた公職者、政治的反体制派、研究者など、標的型攻撃を受けやすい人たち。もう一つは、ChatGPT と Codex のアカウントにより強い保護を加えたい、セキュリティ意識の高いユーザーである。
この機能を有効にすると、ChatGPT だけでなく、同じログインアカウントでアクセスする Codex も保護される。
なぜ ChatGPT アカウントにより高い安全性が必要なのか
現在、多くの人が ChatGPT をますます私的で、リスクの高い仕事に使うようになっている。
一つの ChatGPT アカウントには、次のようなものが含まれる可能性がある。
- 個人的な相談や長期的な会話
- 業務文書とプロジェクトの文脈
- 接続済みのツールとワークフロー
- Codex 内のコードや開発タスク
- 企業、研究、セキュリティ関連の資料
アカウントが乗っ取られた場合、被害はチャット履歴の漏洩だけでは済まない。攻撃者は接続済みツールへアクセスしたり、機密性の高い文脈を見たり、進行中の作業に干渉したりする可能性がある。
そのため、今回 OpenAI が導入したのは単なるログインオプションではなく、より厳格なアカウント保護のセットである。
Advanced Account Security に含まれる保護
OpenAI はこの機能を、ChatGPT ウェブ版アカウントの Security 設定に配置している。ユーザーは任意で有効にできる。
有効にすると、いくつかの面でアカウントの安全性が高まる。
第一に、ログイン方法が強化される。
Advanced Account Security は passkeys または物理セキュリティキーを要求し、パスワードベースのログインを無効にする。目的は、フィッシングに強いログイン方法を、それを必要とする人たちの標準にすることだ。
第二に、アカウント復旧がより厳格になる。
従来のアカウント復旧は、多くの場合メールやSMSに依存している。攻撃者がユーザーのメールアカウントや電話番号を支配した場合、それを使ってアカウントをリセットできる可能性がある。このリスクを下げるため、Advanced Account Security はメールと SMS による復旧を無効化し、バックアップ passkeys、セキュリティキー、復旧キーなど、より強力な復旧方法を使う。
ここには重要な代償がある。有効にした後は、アカウント復旧がユーザー自身による復旧手段の管理に大きく依存する。OpenAI は、この機能を有効にしたユーザーが復旧手段を失った場合、OpenAI Support はアカウント復旧を支援できないと明示している。
第三に、セッションが短くなり、管理がより明確になる。
OpenAI はログインセッションを短くし、端末やアクティブなセッションが侵害された場合の露出時間を減らす。ユーザーはログイン通知も受け取り、複数デバイスでのアクティブセッションを確認・管理できる。
第四に、学習除外が自動になる。
機密情報を扱う人にとって、会話をモデル学習に使わせないことは重要なプライバシー設定である。Advanced Account Security を有効にすると、この設定が自動的に適用される。つまり、これらのアカウントの会話は OpenAI モデルの学習に使われない。
Yubico と連携して物理セキュリティキーを広げる
OpenAI は、Yubico と提携してカスタムのセキュリティキーセットを提供することも発表した。
含まれるのは次の二つだ。
YubiKey C Nano:ノートPCに挿したまま使うことを想定し、日常のログイン負担を減らすYubiKey C NFC:バックアップとして、またノートPCとモバイルデバイスの両方で使いやすい
OpenAI は、ユーザーが他の FIDO 準拠の物理セキュリティキーや、ソフトウェア passkeys を使うこともできるとしている。
これは、Advanced Account Security が特定のハードウェアに縛られているわけではなく、フィッシングに強い認証方式を中心に設計されていることを示している。
Trusted Access for Cyber ユーザーには有効化が求められる
OpenAI はさらに、Trusted Access for Cyber の個人メンバーが、より高性能で許容範囲の広いサイバーセキュリティ向けモデルにアクセスする場合、2026 年 6 月 1 日から Advanced Account Security の有効化が必要になると述べている。
組織ユーザーは別の方法でも要件を満たせる。自社のシングルサインオンのワークフローが、すでにフィッシング耐性のある認証を採用していると証明する方法だ。
この方針は妥当だ。モデル能力が強くなるほど、アカウント保護も強くする必要がある。特にサイバーセキュリティ研究、脆弱性分析、レッドチームといった場面では、アカウント自体が高価値の標的になる。
誰が有効にすべきか
この機能は、必ずしもすべての人に向いているわけではない。
普通の会話に使うだけで、より厳格なアカウント復旧の複雑さを負いたくない場合は、しばらく様子を見るのもよい。
ただし、次のようなユーザーは真剣に検討する価値がある。
- ChatGPT で機密性の高い業務資料をよく扱う人
- Codex でプライベートコードリポジトリを扱う人
- ジャーナリスト、公共政策関係者、研究者、企業幹部などの高リスクユーザー
- サイバーセキュリティ従事者
- すでに passkeys や物理セキュリティキーに慣れている人
- フィッシング、SMS乗っ取り、メールアカウント乗っ取りを特に警戒している人
有効にする前に、バックアップ passkey、セキュリティキー、復旧キーを用意し、それらが適切に保管されていることを確認したほうがよい。そうしないと、安全性は高まる一方で、アカウント復旧の難度も明らかに上がる。
AI プロダクトにとって何を意味するのか
Advanced Account Security はモデル能力の更新ではない。しかし、AI プロダクトがより高リスクな利用段階に入っていることを反映している。
ChatGPT と Codex がワークフロー、コード、文書、企業向けコネクター、長期的な文脈を担い始めると、アカウントはもはや「チャットツールにログインする入口」ではなく、AI 作業環境の鍵になる。
こうしたプロダクトが個人の作業台に近づくほど、アカウントセキュリティ、復旧メカニズム、セッション管理、学習データ制御は重要になる。
OpenAI が passkeys、物理セキュリティキー、復旧制限、セッション管理、学習除外を一つの設定にまとめた方向性は妥当だ。高リスクユーザーが明確な入口から、機密性の高い作業に適したレベルまでアカウント保護を引き上げられる。
まとめ
Advanced Account Security は、ChatGPT と Codex の高セキュリティモードと理解できる。
より強いログイン、より厳格な復旧、短いセッション、ログイン通知、自動的な学習除外によって、アカウント乗っ取り後のリスクを下げる。その代わり、ユーザーは自分の復旧手段をより慎重に管理する必要がある。有効化後は従来のメールや SMS による復旧が使えず、OpenAI Support も代わりに救済できないからだ。
すでに ChatGPT や Codex を重要な仕事に使っているなら、特にプライベートコード、機密文書、高リスクな立場に関わる場合、この機能は注目に値する。
参考リンク: