ChatGPT Teamを導入している組織も増えてきているかもしれません。企業で導入するにあたり重要になるのがセキュリティです。ChatGPT Teamでセキュリティリスクを減らすために設定すべきことアカウントの観点で解説したいと思います。
ChatGPT Teamとは
ChatGPT TeamはOpenAIが提供するChatGPTを小規模な組織で使うためのプランです。入力データが学習に利用されない点とTeam内でGPTs(RAG)を共有できる点が大きなメリットとなります。生成AIを業務に取り入れたいと考えている中小企業では最初に選択肢にあがるのではないでしょうか。
アカウント流出のリスク
ChatGPT Teamでは入力データが学習に利用されないので社内のルールに則った形で業務データを扱えます。業務データを覚えさせたGPTs(RAG)を構築して共有することもできます。つまり、アカウントの流出がそのまま情報漏洩につながります。
アカウント流出への対応
パスワードを強固なものにするだけではリスクを抑えきれません。ChatGPTのアカウントにMFA(多要素認証)を適用することができます。MFA(多要素認証)を適用することでアカウント流出のリスクを抑えることができます。
MFA(多要素認証)は面倒だと思われるかもしれませんが、AWSのルートアカウントの管理でもMFA(多要素認証)を適用することはベストプラクティスになっています。面倒さはセキュリティを高めてくれます。
MFA(多要素認証)の適用方法
以下の手順でFMAを適用することができます。新しい端末からログインする際に多要素認証を求められるようになります。
リカバリーコードはワンタイムコードの替わり入力することでログインすることができます。
大切な情報なので厳重に保管しましょう。
退職による情報漏洩のリスク
個人で使っていたアカウントをChatGPT Teamに招待すると個人アカウントとは別にTeamアカウントが作成されます。ChatGPT Team導入後はTeamアカウントで作業することになると思いますが、個人アカウントも引き続き使えます。ルールに反して個人アカウントで業務を行っていた社員が退職したとして、Teamから削除したとしても個人アカウントは引き続き使えてしまいます。退職した社員が引き続き個人アカウントで行っていた業務の情報が見えてしまうのは大きな問題です。
個人アカウントへの対応
個人アカウントを使わないように利用ガイドラインで決めたとしてもルールを破って使われるリスクがあります。そのリスクを無くすための設定がアカウントのマージです。Teamアカウントに個人アカウントをマージして1つのアカウントにすることができます。マージすることでTeamから削除するとアカウント自体が使えなくなり、退職後に情報が漏洩するリスクが無くなります。
アカウントのマージ方法
以下の手順でアカウントをマージすることができます。
マージをすると個人アカウントのチャット履歴は消えてしまうので注意が必要です。
ガバナンス
MFA(多要素認証)の適用もアカウントのマージもユーザに行ってもらう必要があります。Teamに招待したユーザについては2つが適用されたことを確認できるスクリーンショットを提出してもらうことを運用ルールにしておくと良いかもしれません。
まとめ
ChatGPT Teamのセキュリティリスクについてアカウントの観点でまとめました。これからChatGPT Teamを導入しようと思う企業の方や、すでにChatGPT Teamを導入していてセキュリティに不安を感じている方は参考にしてみてください。
コメント