投稿者 global-ai-media 
OpenAIがChatGPTへのパスキーおよび物理セキュリティキーによる認証を導入しました。生成AIの業務利用が日常化する中、アカウントの不正利用を防ぎつつ、利便性を損なわないためのセキュリティ戦略について、日本企業の実情を踏まえて解説します。
生成AIの普及とアカウント保護の重要性
ChatGPTをはじめとする生成AIツールが業務効率化や新規事業開発の現場に浸透する中、企業にとって看過できないリスクとなっているのがアカウントの不正利用です。生成AIの対話履歴(プロンプト)には、未発表の企画書、顧客情報、独自のソースコードなど、機密性の高い情報が含まれている可能性があります。もし悪意のある第三者にアカウントを乗っ取られれば、重大な情報漏洩インシデントに直結しかねません。こうした背景から、AI活用におけるアクセス管理と認証の強化は、AIガバナンスにおける喫緊の課題となっています。
パスキーと物理セキュリティキーによるパスワードレス認証の導入
今回、OpenAIはChatGPTのアカウントに対して、パスキー(Passkey)やYubico社製品などの物理セキュリティキーを用いたパスワードレス認証の設定を導入しました。パスキーとは、スマートフォンやPCに搭載された生体認証(指紋認証や顔認証)を利用して、安全かつ簡単にログインできる次世代の認証技術です。パスワードを使わないため、単純な推測やパスワードの使い回しによる「リスト型攻撃」、あるいは精巧な偽サイトに誘導して認証情報を入力させる「フィッシング詐欺」に対して、非常に高い耐性を発揮します。
日本の組織文化における「利便性」と「統制」のジレンマ
日本企業では、コンプライアンスを重視するあまり「複雑なパスワードの設定と定期変更」といった、現場の負担を強いる旧来のセキュリティルールが残存しているケースが少なくありません。しかし、利便性を著しく損なうルールは従業員の不満を招き、結果として個人用のスマートフォンや個人アカウントで会社の業務を処理してしまう「シャドーAI(会社非公認でのAI利用)」を誘発するリスクがあります。パスキーの導入は、顔認証などで瞬時にログインを完了できるため、従業員体験(EX)を損なうことなく、強固なセキュリティ要件を満たす現実的な解決策と言えます。
個人アカウントでの対策の限界と、企業としての対応
一方で、従業員個人のChatGPTアカウントに対してパスキー導入を推奨するだけでは、企業としてのガバナンスは不十分です。会社が管理していないアカウントである以上、退職時のアクセス権剥奪や、利用状況の監査ができないという限界があります。本格的に業務へAIを組み込む場合は、法人向けプラン(ChatGPT Enterpriseなど)を契約し、自社で利用しているIdP(IDプロバイダ)やSSO(シングルサインオン)と連携させた上で、企業側でアクセスを一元管理・統制することが不可欠です。今回のアップデートは、あくまで個々のエンドポイント保護のベースラインが底上げされた事実として受け止めるべきでしょう。
日本企業のAI活用への示唆
第一に、AIガバナンスの第一歩は「誰が、どのようにAIシステムにアクセスしているか」という認証基盤の整備から始まります。AIの導入検討と並行して、自社のID管理体制が最新の脅威に対応できているか再点検することが重要です。第二に、シャドーAIを防ぐためには、従業員の利便性とセキュリティを両立させる仕組みが必要です。パスキーのようなパスワードレス技術は、その有効な手段となります。第三に、業務の機密性に応じた認証方式の使い分けです。例えば、システム管理を行う特権IDや、基幹システムと連携するAIプロダクトの運用担当者には物理セキュリティキーを支給し、一般従業員にはデバイスベースのパスキーを利用させるなど、リスク評価に基づいた柔軟なポリシー設計が求められます。