OpenAI(ChatGPT)アカウントの守り方を考える

こないだChatGPTとAlexaを使って色々やりました。
プライベートで使う用途だったので、何も考えずアカウントを登録して利用していたんですが、ビジネス利用も考える機会が増えたので、このアカウントをどう守るのが良いのかを考えてみました。

OpenAIのアカウントについて

OpenAIアカウントは登録方法が3つあるようです。
  1. メールアドレスとパスワードで登録する
  2. Googleアカウントで登録する
  3. Microsoftアカウントで登録する
Microsoftアカウントをビジネス利用するケースは少ないのかなと思うので、今回の選択肢からは外して考えました。

また、登録したアカウントは組織に所属する事になり、それぞれのアカウントでsecret keyの発行が可能になります。

イメージ図

OpenAI
└ 組織
  └ owner
    └ secret key
  └ member
    └ secret key
  └ member
    └ secret key
    └ secret key

想定される利用シーン

OpenAIアカウントを使った利用シーンは下記のようなものが想定されるのかなと思います。
  • secret keyを使って何かしらのシステム開発
  • ブラウザで利用して何かしらの業務活用
システム開発する場合、開発者個別にアカウントを登録し、そのアカウントでsecret keyをそれぞれ発行して利用すると、退職時などアカウントを止める場合に利用しているシステムで影響が出てしまうので、共有アカウントでsecret keyを発行する事になるのかなと思います。

考えられるリスクとできる事

メールアドレスで登録した場合

MFAが無い!マジなのか?何度調べても無い。まぁそういう事やな…_(:3」∠)_

となると、セキュリティ対策としては、大した事はできない(というか、何もできん)ので、不正アクセスのリスクはそれなりにあると判断せざるを得ないのかなと思います。

Googleアカウントで登録した場合

Googleに委ねる事になるので、選択肢としてはコッチしかないかなという感じがします。
この場合、パスワードの登録は求められなかったので、Google SSOでGoogle側(もしくはその先のIdP)でMFAなり、IP制限、デバイス認証などなどの対策を実装すれば、それなりに堅牢にできるのかなと思います。

Googleだったら共有アカウントでも許可したデバイスだけ認証して複数名で運用できるけど、他のIdPがどうかはあまりわからないので、その辺は調べてみてくださいmm

まとめ

Googleアカウントで登録して、Google側でデバイス認証しましょう!

これとは別で、secret keyは固定なので、昨今のインシデントを考えると、何かしら対策は必要なのかなと思います。

TryHarder!!




    このブログの人気の投稿

    リスクアセスメント

    セキュリティ監視入門! MITRE ATT&CK編 その②現状の評価