OpenAIは2026年4月30日、Advanced Account Securityを発表した。柱は3つで、フィッシング耐性を持つログイン手段としてのパスキー/FIDO2の採用、アカウント回復プロセスの強化、そして機密データ保護とアカウント乗っ取り防止のための追加保護機能である。Business・Enterprise・Edu向けには管理者コントロールの強化が含まれ、組織単位でのユーザー認証ポリシー適用が従来より踏み込んだ形で可能になった。
重要なのは、ChatGPTが扱う情報の性質が変わってきている点だ。個人のチャット履歴にとどまらず、業務文書、コード、社内ナレッジ、顧客データが投入される場面が増え、アカウント乗っ取りは即座に情報漏洩インシデントに直結する。従来のパスワード+TOTPでは、リバースプロキシを介したフィッシング(AiTM)で資格情報とセッションが同時に奪われるケースに対抗しきれなかった。FIDO2ベースの公開鍵認証はドメインバインドされているため、この攻撃経路を構造的に塞ぐ。
エンタープライズ調達の観点では、セキュリティ審査におけるフィッシング耐性認証の有無はすでに論点になっており、今回の対応はChatGPT Enterprise/Business/Eduの導入判断において1つのチェック項目を埋める材料になる。一方で、設定を有効化しなければ恩恵は得られない。管理者はテナント側の設定範囲、既存のSSO/IdP連携との重なり、回復フローの運用負荷を具体的に確認し、ユーザーへの展開計画を組む段階に入る。
