OpenAI(ChatGPT)アカウントの守り方を考える

こないだChatGPTとAlexaを使って色々やりました。
プライベートで使う用途だったので、何も考えずアカウントを登録して利用していたんですが、ビジネス利用も考える機会が増えたので、このアカウントをどう守るのが良いのかを考えてみました。

OpenAIのアカウントについて

OpenAIアカウントは登録方法が3つあるようです。
  1. メールアドレスとパスワードで登録する
  2. Googleアカウントで登録する
  3. Microsoftアカウントで登録する
Microsoftアカウントをビジネス利用するケースは少ないのかなと思うので、今回の選択肢からは外して考えました。

また、登録したアカウントは組織に所属する事になり、それぞれのアカウントでsecret keyの発行が可能になります。

イメージ図

OpenAI
└ 組織
  └ owner
    └ secret key
  └ member
    └ secret key
  └ member
    └ secret key
    └ secret key

想定される利用シーン

OpenAIアカウントを使った利用シーンは下記のようなものが想定されるのかなと思います。
  • secret keyを使って何かしらのシステム開発
  • ブラウザで利用して何かしらの業務活用
システム開発する場合、開発者個別にアカウントを登録し、そのアカウントでsecret keyをそれぞれ発行して利用すると、退職時などアカウントを止める場合に利用しているシステムで影響が出てしまうので、共有アカウントでsecret keyを発行する事になるのかなと思います。

考えられるリスクとできる事

メールアドレスで登録した場合

MFAが無い!マジなのか?何度調べても無い。まぁそういう事やな…_(:3」∠)_

となると、セキュリティ対策としては、大した事はできない(というか、何もできん)ので、不正アクセスのリスクはそれなりにあると判断せざるを得ないのかなと思います。

Googleアカウントで登録した場合

Googleに委ねる事になるので、選択肢としてはコッチしかないかなという感じがします。
この場合、パスワードの登録は求められなかったので、Google SSOでGoogle側(もしくはその先のIdP)でMFAなり、IP制限、デバイス認証などなどの対策を実装すれば、それなりに堅牢にできるのかなと思います。

Googleだったら共有アカウントでも許可したデバイスだけ認証して複数名で運用できるけど、他のIdPがどうかはあまりわからないので、その辺は調べてみてくださいmm

まとめ

Googleアカウントで登録して、Google側でデバイス認証しましょう!

これとは別で、secret keyは固定なので、昨今のインシデントを考えると、何かしら対策は必要なのかなと思います。

TryHarder!!




    このブログの人気の投稿

    リスクアセスメント

    イメージ
      これまでに、上場準備やISMS、Pマークとかで、どこかの第三者機関にリスクアセスメントをされる機会が幾度となくあったんですが、あまりしっくりこなかったので、たぶんこんな感じでやるのが良いんやで!ってのを簡単にに書こうかなと思います。 普段リスクアセスメントをやってる(やらされている)けど、これでいいのかわからないという方の参考になれば良いなと思います。 大事なのは “ 解像度 ”
    Read more »

    セキュリティ監視入門! MITRE ATT&CK編 その①フレームワークの理解

    イメージ
    最近はもっぱらジム行って筋トレと水泳しかしてないですが、久し振りにブログを書こうと思います。 何を書くかと言うと、じつは少し前に、MITRE ATT&CKを完全に理解しました。せっかくなので、これを忘れないうちにアウトプットしていきます。あと、このフレームワークはセキュリティ監視をする上でとても役に立つため、知ってもらいたいと思っています。 今のところ、全部で10章くらいの予定なんですが、一気に書くのは不可能なので、1章ずつ小出しにして行こうと思ってます。 目次はこんな感じです。 セキュリティ監視入門! MITRE ATT&CK編 フレームワークの理解 現状の評価 テクニックの選定 ログ収集の最適化 検出ルールの作成・最適化 シミュレーションテスト 監視体制の強化 継続的な学習 定期的なレビュー スタッフの教育・トレーニング 今日は「1. フレームワークの理解」です。 では、さっそく。
    Read more »