ChatGPT「高度なアカウントセキュリティ」とは?パスキー・YubiKey・Trusted Access 6月必須化を完全解説
この記事のポイント
OpenAIが2026年4月30日に提供開始したChatGPT「高度なアカウントセキュリティ(Advanced Account Security)」の全機能を解説。パスキー・YubiKeyの違い・アカウント回復の変更点・Trusted Access 6月必須化の対象・有効化すべき人の判断基準まで網羅します。
ChatGPT「高度なアカウントセキュリティ(Advanced Account Security)」は、OpenAIが2026年4月30日に提供開始した、パスワード・SMS・メールによる認証を完全に廃止し、パスキーまたはFIDO2対応ハードウェアキーのみでログインするフィッシング耐性型の強化認証設定です。全ユーザーがオプトインで利用でき、Trusted Access for Cyberプログラムの個人メンバーには2026年6月1日から有効化が必須化されます。
この記事では、機能の全体像・パスキーとYubiKeyの選び方・アカウント回復の変更点・設定手順・6月必須化の対象範囲・「自分は有効化すべきか」の判断基準まで、必要な情報をまとめています。
こんな方に向けた記事です:
- ChatGPTで業務上の機密情報や個人情報を扱っているビジネスパーソン
- ジャーナリスト・政治関係者・研究者など標的型攻撃のリスクが高い職種の方
- Trusted Access for Cyberプログラムに参加しており、6月の必須化対応を確認したい方
- パスキーやYubiKeyをどう使えばよいか知りたい方
「高度なアカウントセキュリティ」とは何か
ChatGPT「高度なアカウントセキュリティ(Advanced Account Security)」は、フィッシング攻撃・SIMスワップ・パスワード漏洩といった現代的なサイバー攻撃に根本から対処するために設計された認証強化機能です。
- 認証方式の完全切り替え: パスワード・SMSコード・メールOTPを永久に無効化し、パスキーまたはFIDO2準拠ハードウェアキーのみに限定する
- アカウント回復手段の大幅変更: メール・SMS・OpenAIサポートによる回復が使えなくなる(リカバリーキーとバックアップキーが唯一の手段)
- プライバシー保護の自動適用: 有効化中は会話がOpenAIのモデル学習に使用されなくなる
有効化後の認証手段の変化は以下の通りです。
認証手段 | 有効化前 | 有効化後 |
|---|---|---|
パスワード | ✅ 使用可 | ❌ 永久に無効化 |
メールOTP(ワンタイムコード) | ✅ 使用可 | ❌ 無効化 |
SMS(テキスト)コード | ✅ 使用可 | ❌ 無効化 |
パスキー | ✅ オプション | ✅ 主要な認証手段 |
FIDO2ハードウェアキー(YubiKey等) | ✅ オプション | ✅ 主要な認証手段 |
対象ユーザーと提供形態:
- 提供形態: オプトイン(任意設定)
- 対象: 全ユーザー(無料プランを含む)
- 対応サービス: ChatGPT(Web)・Codex
- 対象地域: 「対応地域のパーソナルChatGPTアカウント」と公式に案内。日本語メディアが広く報道していることから日本でも利用可能と推察されますが、OpenAIからの日本向け公式明示は2026年5月時点で確認できていません
ChatGPTのセキュリティ設定全般については、生成AIのセキュリティリスクと対策も参照してください。
パスキーとYubiKey(ハードウェアセキュリティキー)の違い
高度なアカウントセキュリティでは、登録要件として最低2つのセキュアサインイン手段が必要です(うち1つはデバイスをまたいで使えるクロスデバイス対応のもの)。パスキーとハードウェアキーはどちらもFIDO2/WebAuthn準拠ですが、特性が大きく異なります。
比較項目 | パスキー(ソフトウェア) | ハードウェアキー(YubiKey等) |
|---|---|---|
保存場所 | デバイス内・クラウド同期 | 物理デバイス内(エクスポート不可) |
利便性 | ◎ 高い(デバイス間自動同期) | △ やや低い(物理キーが必要) |
セキュリティ強度 | ◯ 高い(フィッシング耐性) | ◎ 最強(秘密鍵がデバイス外に出ない) |
紛失リスク | ◯ 低い(クラウドバックアップ) | △ 高い(物理紛失で使用不能) |
コスト | 無料(端末機能・パスワードマネージャー) | 有料(YubiKey 2本 $68〜) |
マルウェア耐性 | △(端末感染時に影響を受ける可能性) | ◎(暗号鍵がデバイス外に出ない) |
対応規格 | FIDO2/WebAuthn | FIDO2/WebAuthn |
パスキーとは
パスキーは、FIDO2/WebAuthn規格に基づくパスワード不要の認証技術です。スマートフォン・PC・パスワードマネージャー(iCloud Keychain・Google Password Manager・1Passwordなど)に保存され、クラウド経由でデバイス間を自動同期できます。
フィッシングに原理的に耐性を持つ理由は、秘密鍵がデバイス外に出ない設計にあります。偽サイトにアクセスしても、ドメインが登録時と一致しないため認証が成立しません。SMSワンタイムコードやTOTPコードはフィッシングサイトでリアルタイムに盗用できますが、パスキーにその手法は通用しません。
ハードウェアセキュリティキー(YubiKey等)とは
ハードウェアセキュリティキーは、FIDO2準拠の物理デバイスです。USB接続またはNFCタップで認証でき、暗号鍵がデバイス内にのみ保存されます。パスキーよりもさらに強固なのは、端末がマルウェアに感染していても暗号鍵を取り出せない点です。
OpenAIはYubico社と提携し、OpenAI共同ブランドのYubiKeyを優待価格(2本セット $68、通常小売価格 約$126の半額以下)で提供しています。
- YubiKey C Nano-OpenAI: USB-Cポートに常時挿し込んで使う超小型モデル。ノートPCに挿したまま持ち運べる
- YubiKey C NFC-OpenAI: USB-C + NFC対応。スマートフォンにタップして使えるバックアップ兼用モデル
なお、Yubico以外のFIDO2準拠セキュリティキーも利用可能です。共同ブランド版YubiKeyは現在US・UK・EU向けの販売のため、日本在住ユーザーはYubico公式サイト(yubico.com)や国内の電子機器ショップからFIDO2対応キーを入手できます。USB-CのみのYubiKeyを使う場合、USB-Aポートのみのデバイスでは変換アダプターが必要な点にも注意してください。
推奨の組み合わせ
- パスキー × 2(うち1つはクロスデバイス対応)
- ハードウェアセキュリティキー × 2
- パスキー × 1 + ハードウェアセキュリティキー × 1(実用面でのバランスが良い)
一般ユーザーには「パスキー(メイン)+ ハードウェアキー(バックアップ)」の組み合わせが実用的です。日常の認証はパスキーで行い、ハードウェアキーを予備として安全な場所に保管する形が利便性とセキュリティのバランスが良い構成です。
アカウント回復の大きな変更点(必読)
高度なアカウントセキュリティの有効化で最も注意が必要なのが、アカウント回復手段の抜本的な変更です。
有効化後に使えなくなる回復手段
回復手段 | 有効化前 | 有効化後 |
|---|---|---|
メール経由の回復 | ✅ | ❌ 使用不可 |
SMS経由の回復 | ✅ | ❌ 使用不可 |
OpenAIサポートによる回復支援 | ✅(パスワードリセット等) | ❌ 対応不可 |
バックアップパスキー | — | ✅ 有効 |
バックアップセキュリティキー | — | ✅ 有効 |
リカバリーキー | — | ✅ 唯一の緊急手段 |
リカバリーキーの管理が最重要
リカバリーキーは設定時に一度だけ発行されます。このキーを安全な場所に保存することが、ロックアウト回避の最重要ステップです。
⚠️ 最重要の警告: パスキー・セキュリティキー・リカバリーキーをすべて紛失した場合、アカウントへのアクセスが永久に失われる可能性があります。 OpenAIサポートも有効化後は復旧対応ができません。有効化前に必ず複数のバックアップ手段を確保してください。
リカバリーキーの保存先の例:
- パスワードマネージャー(1Password・Bitwarden等)
- 安全な場所に保管する物理メモ(金庫・鍵付き引き出しなど)
- 信頼できるUSBメモリへのテキスト保存(複数作成を推奨)
設定手順(ステップバイステップ)
公式ヘルプに基づく設定手順です。設定前に必ず「ロックアウトを防ぐための事前準備チェックリスト」(後述)を確認してください。
Step 1: ChatGPT Webで 「設定」→「セキュリティ」 を開く
Step 2: 「Advanced Account Security(高度なアカウントセキュリティ)」 を選択
Step 3: 「登録」 をクリック
Step 4: セキュアセットアップページで 「続行」 を選択
Step 5: 少なくとも2つのセキュアサインイン手段を追加(うち1つはクロスデバイス対応のもの)
Step 6: リカバリーキーを保存し、保存済みを確認
Step 7: 登録完了後、全デバイスからサインアウトされる → パスキーまたはセキュリティキーで再サインイン
有効化が完了すると、すべてのデバイスから一斉にサインアウトされます。登録した新しい認証手段で正常にサインインできることを確認してから作業を終えましょう。
Trusted Access for Cyberプログラムと2026年6月1日の必須化
Trusted Access for Cyber(TAC)とは
Trusted Access for Cyber(TAC)は、OpenAIが運営するサイバーセキュリティ専門家向けの身元確認・信頼ベースアクセス管理プログラムです。認証されたサイバー防衛者・セキュリティ研究者・防衛チームを対象に、最高水準のサイバー能力を持つ特別なモデルへのアクセスを提供します。
TACで利用できる専用モデル:
- GPT-5.4-Cyber: GPT-5.4をサイバーセキュリティ用途向けにファインチューニング。バイナリリバースエンジニアリング等の高度な防衛的サイバーワークに対応。OpenAIのPreparednessフレームワーク上で「High」サイバー能力と評価(「Critical」には未達)
- GPT-5.5-Cyber: 2026年4月30日頃から展開開始
OpenAIはサイバー防衛加速のために$1,000万のAPIクレジットを拠出しており、TACはその一環として位置づけられています。
6月1日必須化の正確な対象範囲
項目 | 内容 |
|---|---|
必須化の日付 | 2026年6月1日 |
対象 | TACプログラムの個人メンバーで最高性能のサイバーモデルにアクセスする者 |
免除条件 | 雇用主が「フィッシング耐性SSO(シングルサインオン)が整備されている」とアテスト(証明)した場合 |
一般ユーザーへの影響 | 現時点で強制適用の予定はなし。オプトインのまま継続 |
「6月から全ユーザーに必須化される」という情報が一部で流れていますが、これは正確ではありません。6月の必須化はTACプログラムの個人メンバーのみが対象です。一般ChatGPTユーザーへの強制適用は現時点で発表されていません。
TACへの参加資格があるのは、認証されたサイバーセキュリティ防衛者・セキュリティ研究者・防衛チームです。参加審査はOpenAIが実施しており、身元確認とユースケースの審査が含まれます。
OpenAI Codexのセキュリティ設定については、Codexのセキュリティとはも参照してください。
有効化すべきか?ユーザー属性別の判断基準
今すぐ有効化が強く推奨される人
- ジャーナリスト・政治家・反体制派・人権活動家: OpenAIが公式に「デジタル攻撃のリスクが高いターゲット」として明記しているユーザー層
- 機密情報・個人情報を業務でChatGPTに入力している人: 社外秘・顧客データ・医療情報等を処理している場合
- Trusted Access for Cyberの個人メンバー: 2026年6月1日までの対応が必須
- 会話をOpenAIのモデル学習から確実に除外したい人: AAS有効化で自動適用される
- セキュリティ研究者・サイバー専門家: 業務上の機密性が高いため
慎重に検討すべき人
- デバイスが1台のみで、バックアップ手段の確保が難しい人
- パスキーやFIDO2キーの操作に不慣れで、設定トラブル時に自力対応が難しい人
- サポートに頼ってアカウント回復できる選択肢を残しておきたい人
現時点では有効化を急がなくてよい人
- 一般的な個人利用のみで機密情報を扱わない人
- 現在のログイン方法に問題がなく、再ログイン頻度の増加が困る環境の人(セッション短縮の影響を受ける)
- 設定ミスによるロックアウトリスクを避けたい人
有効化しないとどうなるか
高度なアカウントセキュリティを有効化しなくても、ChatGPTは通常どおり利用できます。ただし、以下のリスクが継続します。
パスワード・メール・SMSベース認証が持つリスク:
リスク種別 | 内容 |
|---|---|
フィッシング攻撃 | 本物そっくりの偽サイトにパスワードを入力してしまうリスク |
SIMスワップ攻撃 | 携帯番号を奪われてSMSコードを傍受されるリスク |
メールアカウント乗っ取り | メール経由のログインリンクが盗用されるリスク |
パスワードリスト攻撃 | 他サービスで漏洩したパスワードでの不正アクセス |
TOTPコード盗用 | フィッシングサイトでTOTPコードをリアルタイム転送されるリスク |
CISAは2024年12月にSMSベースのMFAを非推奨化するガイダンスを発表しており、Microsoft(2026年3月)・Google・Appleも同方向に動いています。業界全体でパスキー・FIDO2への移行が加速している背景があります。
現時点では任意設定のため、機密情報を扱わない一般利用であれば急ぎ有効化しなくても即座の問題にはなりません。ただし、公式がターゲットとして明示しているジャーナリストや政治関係者は早急な対応を推奨します。
生成AIのセキュリティリスク全般については、生成AIのセキュリティリスクと対策まとめを参照してください。
ロックアウトを防ぐための事前準備チェックリスト
有効化を検討する場合は、設定前に以下を確認してください。すべての項目にチェックが入ってから手続きを開始することを推奨します。
認証手段の準備
- パスキー対応デバイスが2台以上ある、またはFIDO2ハードウェアキーを2本用意している
- クロスデバイス対応のパスキー(iCloud Keychain・Google Password Manager等)を設定済み
- USB-Cのみ対応のYubiKeyを使う場合、USB-Aポートのみのデバイスには変換アダプターを用意している
バックアップ・リカバリーの確保
- リカバリーキーの保存先を決めている(パスワードマネージャーまたは安全な物理的場所)
- バックアップ用のパスキーまたはセキュリティキーを、メインとは別のデバイス・キーで用意している
設定後の確認
- 全デバイスからサインアウトされた後、新しい認証手段で正常にサインインできることを確認した
- リカバリーキーにアクセスできる状態を確認した
競合AIサービスとのセキュリティ比較
サービス | パスキー対応 | ハードウェアキー | 2FA | モデル学習除外 | 独自セキュリティプログラム |
|---|---|---|---|---|---|
ChatGPT | ✅(AAS機能として) | ✅(FIDO2/YubiKey等) | ✅ | ✅(AAS有効化で自動) | ✅(Trusted Access for Cyber) |
Claude(Anthropic) | 不明(未確認) | 不明(未確認) | ✅ | ✅(設定で可能) | — |
Gemini(Google) | ✅(Googleアカウント経由) | ✅(Googleアカウント経由) | ✅ | 設定で可能 | — |
Microsoft Copilot | ✅(Microsoftアカウント経由) | ✅(FIDO2) | ✅ | 設定で可能 | — |
現時点でChatGPTのみが、AIサービス独自のハードウェアキー連携プログラムとして専用のセキュリティ強化設定を展開しています。GeminiやCopilotはそれぞれのアカウントサービス(Google・Microsoft)のセキュリティ機能に依存する形で、AIサービスとして独立した強化設定は持っていません。
Claude(Anthropic)のパスキー対応状況については、公式情報での確認ができていません(2026年5月時点)。
ChatGPTとGeminiの比較については、ChatGPT vs Gemini 比較も参照してください。
こんな人におすすめ / おすすめしない人
こんな人には強く推奨
- 標的型攻撃のリスクが高い職種: ジャーナリスト・政治家・人権活動家・反体制派など(OpenAIが公式にターゲット明記)
- 業務でChatGPTに機密情報を入力している人: 社外秘・顧客情報・個人情報等を処理している場合
- Trusted Access for Cyber参加者: 2026年6月1日の必須化対応が必要
- 会話のOpenAI学習使用を確実に停止したい人: AAS有効化で個別設定不要で自動適用
- フィッシング耐性を最優先にしたい人: パスキー・YubiKeyは現行最強の認証手段
急がなくてよい人(現時点でオプトインのまま継続でも問題なし)
- 一般的な個人利用のみで機密情報を扱わない人
- デバイスが1台のみで複数のバックアップ手段を確保しにくい状況の人
- ITリテラシーが低く、設定トラブル時にサポートを必要とする人
- 再ログインの頻度増加が業務に影響する環境で使っている人
よくある質問(FAQ)
Q. 無料プランユーザーでも有効化できますか?
A. はい。公式情報では有料・無料を問わず全ユーザーがオプトインで利用できると案内されています。
Q. 有効化後に元の設定に戻せますか?
A. 公式ドキュメントでは有効化後の無効化の可否について明確な記載が確認できていません(2026年5月時点)。不明確な状態のため、有効化前に十分な準備を整えることが重要です。
Q. YubiKeyはどこで入手できますか?
A. OpenAI共同ブランドのYubiKeyはUS・UK・EU向けの販売です。日本在住の場合は、Yubico公式サイト(yubico.com)や国内の電子機器ショップでYubiKey C NFCなどFIDO2準拠キーを入手できます。
Q. チームプランや法人アカウントでも使えますか?
A. 現時点では個人アカウント向けの機能です。組織向けにはフィッシング耐性SSO(シングルサインオン)が代替手段として案内されています。
Q. 6月1日以降、一般ユーザーのアカウントが使えなくなりますか?
A. いいえ。6月1日の必須化はTrusted Access for Cyberプログラムの個人メンバーのみが対象です。一般ユーザーへの強制適用は現時点で発表されていません。
Q. パスキーだけで2つ登録すればYubiKeyは不要ですか?
A. パスキー2つ(うち1つがクロスデバイス対応)であれば登録は可能です。ただし、端末側のトラブルや紛失時のリスクを考えると、物理キー(YubiKey等)との組み合わせを推奨します。
Q. 設定するとどのデバイスも再ログインが必要になりますか?
A. はい。有効化完了後、すべてのデバイスからサインアウトされます。その後は登録したパスキーまたはセキュリティキーで再ログインします。
Q. ChatGPT APIを使っている開発者にも影響がありますか?
A. 公式情報ではAPIへの適用は明言されていません(2026年5月時点)。現時点では個人アカウントとCodexが対象とされています。
まとめ
ChatGPT「高度なアカウントセキュリティ」は、フィッシング・SIMスワップ・パスワード漏洩に根本から対処するための強化認証設定です。
- 何をするか: パスワード・SMS・メールOTPを廃止し、パスキーとFIDO2ハードウェアキーのみで認証する
- 誰向けか: 特に標的型攻撃リスクが高いユーザー(ジャーナリスト・政治関係者・機密情報を扱うビジネスユーザー)と、Trusted Access for Cyber参加者
- 6月必須化の対象: Trusted Access for Cyberの個人メンバーのみ(一般ユーザーへの強制適用なし)
- 最大の注意点: ロックアウトリスク。リカバリーキーとバックアップ手段の確保が最優先
便利さとのトレードオフを理解した上で、自分のリスクレベルと利用環境に合わせて有効化の判断をしてください。
AIツールのセキュリティ対策全般については、AIエージェントのセキュリティ対策ガイドも参考にしてください。ChatGPTの料金・プランについてはChatGPT料金プランの比較を、ChatGPTの基本機能についてはChatGPTとはをご覧ください。
この記事の著者
AI革命
編集部
AI革命株式会社の編集部です。最新のAI技術動向から実践的な導入事例まで、企業のデジタル変革に役立つ情報をお届けしています。豊富な経験と専門知識を活かし、読者の皆様にとって価値のあるコンテンツを制作しています。
最新記事
AIエージェントとは?仕組み・種類・活用事例・代表ツールをわかりやすく解説【2026年版】
2026/03/26
ChatGPT vs Gemini 比較|2026年版・機能/料金/日本語/セキュリティで違いを整理
2026/04/18
Mistral Medium 3.5とは?128B統合モデルの機能・料金・SWE-bench 77.6%を徹底解説【2026年4月最新】
2026/05/04
XChatとは?E2E暗号化+Grok内蔵AIメッセンジャーの機能・料金・安全性を徹底解説
2026/04/20
Meta Llama 4 Maverickとは?17B active/400B total・128エキスパートMoEを徹底解説
2026/04/22
Claudeとは?機能・料金・使い方・ChatGPTとの違いをわかりやすく解説
2026/03/26
