ChatGPTも多要素認証(MFA)に

ホーム > ブログ > ChatGPTに多要素認証(MFA)を導入

ChatGPT – 多要素認証(MFA)の機能を搭載

生成AIの不正アクセスに対する脆弱性が指摘されている中で、OpenAIは2024年3月、ChatGPTとAPIのアカウントのセキュリティにさらなるレイヤーを追加するため、2つ以上の認証方法を組み合わせる多要素認証(MFA)の機能を搭載したとX上で発表しました。ユーザーは多要素認証を有効化することによって、アカウントへの不正アクセスに対するセキュリティを強化します。ChatGPTはビジネスシーンでも多用されるようになっており、社内の機密情報の漏洩に歯止めがかかると期待されています。


自然な対話形式で答えるAIだが、ハルシネーションの課題も

ChatGPTは、人工知能の研究開発を手掛けるOpenAIにより開発されました。ユーザーが入力した質問に対して、人間のように自然な対話形式で回答するAIチャットサービスです。2022年11月に公開されて以来、回答の精度が高いため、世界中で利用者が急増しています。

ChatGPTは、人間と変わらないレベルで文章を生成することが可能ですが、その文章の元となる情報は、過去にインターネット上に存在した情報です、このため、事実かどうかよりも単語の出現頻度や相互関係を考慮して文章を作成する傾向があります。その結果、正確ではない回答や嘘の情報を返す「ハルシネーション(幻覚)」が起きてしまうリスクがあります。さらに、学習するデータには最新の情報が含まれないため、直近の出来事に関する質問に回答することも苦手です。与えられたテキストの意図を完璧に理解できず、期待した回答とは異なる回答を行う時もあります。

こうした課題を解決するために、いくつかの手段はあります。手軽にできるのが「プロンプト(ユーザーが入力する文章)で情報を与える」という方法で、入力した情報をAIが学習し、回答に利用できるようになります。また、プラグインを利用し、ChatGPTに機能を追加することで、独自の情報を使ったやり取りができるようになります。OpenAI APIを使って、ファインチューニングすることで、すでに大量の情報を学習しているAIに対して、追加でデータを学習させることができます。

ChatGPTに入力するテキストの機密情報が狙われている

ChatGPTをビジネスで使う企業や団体は増えています。日本では人手不足が深刻で、人間の業務を代行できる範囲でChatGPTを活用し、業務効率を高めようという狙いです。例えば、社内規定を学習させて「社内問い合わせ対応」に利用したり、業界の最新情報をもとにした戦略設計やアイデア出しに使うケースもあります。そうした時に問題になるのが、不正アクセスによる情報漏洩です。

既に、ChatGPTのアカウントがダークウェブの闇市場で取引されているという指摘が出ています。アカウントなどの資格情報や個人情報を盗むマルウェアにコンピュータが感染し、攻撃者のサーバーに送られているといいます。ChatGPTの標準設定では、プロンプトとその回答は保存される仕組みなので、会話に機密情報が含まれている場合、アカウントを入手できればそれらを盗み見ることができてしまいます。また、生成AIとユーザーの間に割り込んでデータパケットを傍受し、AIの回答内容を高い精度で復元する攻撃に対する警戒も必要になっています。

ChatGPT経由の機密情報の漏洩を懸念する企業は多く、こうした事態を避けるために、ChatGPTの業務利用を禁止している企業もあり、利用を許可している企業の中でも、機密情報の入力を禁止するケースもあるといいます。それでも、社内資料を作成する目的で、機密情報に類する情報を入力してしまうケースは少なくありません。

認証アプリの一時的なセキュリティコードや生体認証を組み合わせる

ChatGPTを標的にした不正アクセスを防ぐ対策としては、多要素認証があります。ユーザーの身元を確認するために複数の認証方法を組み合わせる仕組みで、パスワードやPINコードなどの「知識情報」、スマートフォンやハードウェアトークンなどの「所持情報」、指紋や顔などの「生体情報」という3つの要素から2つ以上を必要とする認証方法です。 従来のログイン方法はパスワードに依存していましたが、多要素認証を利用することで、スマートフォン上の認証アプリで生成される一時的なセキュリティコードや指紋や顔認証などの生体認証を含めることで、アカウントへのアクセスセキュリティを大幅に向上させることができます。

設定方法は、ChatGPTの画面上で設定を選択し、「Multi-factor authentication」(多要素認証)の隣にある有効化を選びます。ユーザーはそのページで、自らのスマートフォンにある任意の認証アプリを用いてQRコードをスキャンし、提示されたワンタイムコードをテキストボックスに入力します。認証アプリとしては、「Google Authenticator」や「Microsoft Authenticator」などが利用できます。

多要素認証を設定することで、メールアドレスとパスワードが外部に漏えいした場合でも、アカウントへの不正アクセスを防ぐことができ、ChatGPTの安全性が向上することが期待されています。

Saleseforceの多要素認証(MFA)にFIDOセキュリティキー






関連記事

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化

コピープロテクトに最適なUSBドングル

PCI DSS v4.0への更新で重要性増す多要素認証(MFA)

Microsoft Entra ID – Azure ADから名称変更

情報セキュリティが脆弱に!BYODのデメリットとは