OpenAIが企業向けセキュリティ刷新——パスワード廃止、自社も復旧不能に

OpenAIは2026年4月30日、企業向けのセキュリティ設定「Advanced Account Security（AAS）」を正式に公開した。ChatGPTのユーザーが任意で有効にできるオプション機能として提供が始まったが、その設計には異例の判断が含まれている——有効にすると、OpenAI自身のサポートチームですら、そのアカウントを取り戻せなくなる。

OpenAI、法人向けセキュリティ機能を4月30日に正式発表

この機能が特に想定しているのは、ジャーナリスト、政治家、研究者など、標的型攻撃を受けやすい立場の人々だ。ただし設定自体は一般ユーザーも利用できる。

サイバー攻撃の現場では、パスワードの使い回しが長年の弱点とされてきた。中小企業のサイバー被害の46%がパスワード関連の侵害から始まるとされる。同じパスワードを複数のサービスで使い回すと、どこか一箇所から漏れた瞬間に、他のすべてのサービスへの侵入口になる。OpenAIが今回の機能でパスワードを廃止する方向に踏み込んだ背景には、こうした現実がある。

パスワード廃止——OpenAI自身も復旧できない設計

AASを有効にした瞬間、ログインの仕組みが根本から変わる。パスワードは使えなくなり、スマートフォンの指紋認証か、物理的なUSBキーが必要になる。

サポートも復旧できない「銀行レベル」の意味

万が一それを失くしたとき——OpenAIのサポートに連絡しても、アカウントを取り戻してもらうことはできない。代わりに用意されているのが「リカバリーキー」だ。AAS設定時に一度だけ表示される長い数字の文字列で、紙に書いて物理的に保管する。銀行のキャッシュカードの暗証番号と同じ原則——知っているのは自分だけ、肩代わりは誰もできない。

これが「銀行レベル」の意味するところだ。金融機関では、電話口でいくら本人確認をしても、そこからパスワードを変更するような手順は存在しない。「他人のふりをしてサポートに電話する手口」に悪用されるからだ。OpenAIは今回、AIサービスにも同じ壁を作った。サポートを経由した侵入を、設計の段階でゼロにする。

OpenAIはセキュリティ企業Yubico（ユビコ）と提携し、「YubiKey（ユビキー）」と呼ばれる親指ほどの物理デバイスを共同ブランドで提供している。PCに差し込むだけで本人確認を行うこのキーは、2個セットで68ドル。既存ユーザー向けに通常価格の半額以下で販売されている。

企業向けAIの利用シェアで、AnthropicがOpenAIを逆転した（32%対25%）。企業が選ぶ基準は性能だけではなく信頼性——OpenAIにとってセキュリティ強化は競争戦略でもある。すでにFortune 500企業（米国の大企業ランキング上位500社）の80%以上がChatGPT Enterpriseを業務に導入しており、その顧客基盤を守るには、セキュリティへの本気度を可視化する必要があった。

同じ日にAIサービスへのなりすまし防止を求めるGUARD法案が可決された。法律が求める前に自ら動いた形だが、規制の圧力がなければここまで踏み込めたかは疑わしい。

エンタープライズAI市場では、セキュリティ要件の厳格化が契約の前提条件になりつつある。医療・金融・公共分野では、利用するAIサービスのセキュリティ認証を入札条件に含める動きが広がっており、OpenAIにとって法人市場の維持・拡大には避けられない対応だった。

具体的な変更内容と導入スケジュール

2種類のログイン手段の登録が必須に

AAS有効化後、ログインに使えるのはパスキーか物理キーだけになる。パスキーとは、スマートフォンの顔認証や指紋認証をそのままOpenAIへのログインに使う仕組みだ。従来のSMSで届く確認コードは廃止される。

設定時には、異なる2種類のログイン手段の登録が必須となる——一方を失くしたときのバックアップだ。両方を失った場合は、リカバリーキーだけが頼りになる。

不審アクセスの通知と端末管理

新しい端末からログインがあると、登録済みのデバイスに即座に通知が届く。管理画面では現在どの端末にログイン中かが一覧で確認でき、身に覚えのない端末を画面上から強制ログアウトさせることができる。

AASを有効にした時点で、チャット内容がAIの学習データに使われる設定も自動的にオフになる。企業が入力した業務情報が、モデル改善に流用されることを防ぐ。

日本含む複数の国でデータを国内完結

企業向けには、データを指定国の外に出さない「データレジデンシー」機能も整備される。日本を含む複数の国が対象で、AIへの入力データがその国のサーバー内だけで処理・保管される。対象国の全リストはOpenAIが順次公表している。

医療・金融・公共分野では、データの国外移転を法律で制限している国も多い。この機能は、そうした規制環境でのChatGPT Enterprise導入の現実的な条件になる。

6月1日から政府・インフラ企業には義務化

現時点では個人アカウント向けに先行提供されており、法人（Enterprise）向けへの展開は数週間以内とされているが、具体的な日付はOpenAIから明示されていない。

業界連携プログラム「Trusted Access for Cyber（TAC）」では、2026年6月1日からAASの有効化が義務付けられる予定だとOpenAIは発表している。金融・クラウド・サイバーセキュリティ分野の主要企業が参加するこのプログラムには、政府機関や重要インフラを担う組織が含まれるとされ、MicrosoftをはじめとするTAC参加企業はこの日以降パスワード認証を完全に使えなくなる。任意の機能として発表した同日に、主要取引先には2か月以内の義務化を通告する——セキュリティ強化と市場戦略が重なった判断だ。

一般のChatGPTユーザーに義務化のスケジュールはない。ただ、自分のアカウントへの不正アクセスが心配であれば、AASは今日から設定できる。リカバリーキーさえしっかり保管すれば、誰も——OpenAI自身も——手出しできないアカウントが手に入る。

関連ニュース

すべての新着情報を見る →

新着

2時間前 2026.05.26

電通AI戦略が3.0へ、マーケ全工程を専門AI10体で支援するシリーズ始動

新着

1日前 2026.05.25

Google I/O 2026：「Project Astra」が産業応用へ、カメラ越しの機器診断や多言語交渉支援を公開

新着

1日前 2026.05.25

「3分の1」の中身は4%だった　AIロボット導入、業種で明暗

新着

2日前 2026.05.24

求人倍率6倍超のGS業界、AIが無人化の突破口に　消防法改正から全国販売まで

新着

2日前 2026.05.24

元NSA局長が来日、OpenAIのサイバーAIが日本の重要インフラに入る

3日前 2026.05.23

米国がAIインフラを「国家融資で売る」時代へ、トランプ政権が覇権戦略を本格始動

3日前 2026.05.23

Copilot定着率95%——Microsoftが大企業導入の成果データを公表

4日前 2026.05.22

シャープが去った堺工場跡地でソフトバンクが電池を作る理由

4日前 2026.05.22

速くて安くてProより高性能、GoogleのGemini 3.5 Flashが国内でも即日使える

6日前 2026.05.20

欧州銀行がMistral AIに1400億円出資、AIが攻撃を7倍速にした