概要
Trusted Access for Cyber は、OpenAI Daybreak のガバナンスモデルです。これは、適格なエンタープライズ顧客とサイバーセキュリティ実務者が、認可されたサイバーセキュリティ業務で OpenAI モデルをより効果的に使用できるよう支援するものです。また、より精密な安全対策によって不要な摩擦を減らし、正当なセキュリティワークフローをサポートするよう設計されています。OpenAI の利用ポリシー、その他の安全対策、アクセス制御は引き続き適用されます。
Trusted Access は、所有、運用している、またはテストや分析を明示的に認可されているシステム、アプリケーション、アカウント、ネットワーク、データに対する、認可済みの防御的サイバーセキュリティ業務を対象としています。
顧客ワークフローは一般に 3 つのカテゴリに分類されます。
Secure SDLC / AppSec:継続的なコードスキャン、テスト環境スキャン、セキュリティ検出事項の検証、セキュリティパッチの自動化、セキュアコードレビュー、パッチ適用
防御運用:ブルーチーミング、脅威モデリング、脅威インテリジェンス、脅威ハンティング、マルウェア分析、検出エンジニアリング、脆弱性トリアージ、パッチ検証
認可された攻撃的テスト:ペネトレーションテスト、レッドチーミング、エクスプロイトの検証または開発、マルウェア分析、リバースエンジニアリング、認可された環境での制御された検証
以下の表は、現在の Trusted Access レベルを説明しています。
| アクセス | 変更点 | 想定されるユースケース |
|---|---|---|
| GPT-5.5(デフォルト) | 汎用利用向けの標準的な安全対策 | 脅威モデリング、セキュアコードレビュー、パッチ適用、および一般的なブルーチーミングを含む Secure SDLC とアプリケーションセキュリティのワークフロー |
| Trusted Access for Cyber 付き GPT-5.5 | 認可された環境での検証済み防御業務向けの、より精密な安全対策 | 脆弱性のトリアージと検証、マルウェア分析、検出エンジニアリング、パッチ検証 |
| GPT-5.5-Cyber | 専門的な認可済みワークフロー向けに特化して構築され、より強力な検証とアカウントレベルの制御を組み合わせたもの | レッドチーミング、エクスプロイト開発、ペネトレーションテスト、脅威ハンティングを含む、認可された攻撃的テスト |
GPT-5.5 は、セキュアコードレビュー、パッチ適用、脅威モデリング、一般的なブルーチーミングなど、一般的なサイバータスクに優れたモデルです。ほとんどの防御担当者にとって、承認済みワークフローで認可済みの防御業務に対するより精密な安全対策が必要な場合、Trusted Access for Cyber 付き GPT-5.5 が適切な能力レベルです。このアクセスレベルは、モデルの幅広い強みと安全性の姿勢を維持しながら、正当な防御ワークフローの大半に対応できます。
より専門的なアクセスが関係するのは、認可済みワークフローで攻撃的サイバー能力が必要になる場合に限られます。これは、レッドチーミング、エクスプロイト開発、マルウェア分析、リバースエンジニアリングなど、よりリスクの高いワークフローで発生します。防御担当者が分析を超えて、制御された環境で悪用可能性を検証する必要がある場合です。GPT-5.5-Cyber は、こうしたより専門的なデュアルユースワークフローを促進するよう設計されています。
詳しくはGPT-5.5 と GPT-5.5-Cyber による Trusted Access for Cyber の拡大をご覧ください
制限事項
Trusted Access for Cyber では、次のことは行われません。
すべての安全対策やすべての拒否を解除すること
すべてのサイバー特化型モデルへのアクセスを保証すること
ゼロデータ保持をデフォルトで付与すること
第三者顧客または外部ユーザー向けの再販、プロキシ、組み込み、またはダウンストリームアクセスを許可すること
所有している、またはテストを明示的に許可されているシステムの範囲外での活動を認めること
アクセスは、承認済みの内部ユーザーと承認済みの内部ワークフローのみを対象としています。Trusted Access に使用する組織またはワークスペースは、内部セキュリティ業務専用にする必要があり、顧客向けアプリケーション、ダウンストリーム製品トラフィック、第三者アクセスにも使用すべきではありません。
Trusted Access for Cyber の申請
Trusted Access for Cyber をリクエストするには:
審査の一環として、次の情報の提供を求められる場合があります。
組織とサイバーセキュリティ能力
サポートしたい防御的サイバーセキュリティワークフロー
使用予定の OpenAI 組織またはワークスペース
適格性の評価に必要な検証情報または信頼情報
OpenAI は、アクセスを有効にする前にリクエストを審査します。承認は自動ではありません。
Trusted Access for Cyber を通じて利用できる利点は、リクエストに対して承認されたアクセスによって異なります。OpenAI は、本人確認および信頼性の検証、リスク上の考慮事項、想定されるユースケース、申請者がより広範なサイバーセキュリティエコシステムを強化できる能力などの要素に基づいて評価します。
Trusted Access の責任ある利用
利用が承認済みの範囲内にとどまり、OpenAI の規約および利用ポリシーに準拠していることを確認する責任は、お客様にあります。
承認された場合、Trusted Access は合法かつ認可されたサイバーセキュリティ業務にのみ使用し、当社の Cyber Abuse Policy に同意する必要があります。当社は、情報システムの完全性、機密性、または可用性を侵害するサイバー不正行為(悪意を持って、適切な認可なく、または付与された認可を超えて行われる「デュアルユース」のサイバー活動を含む)を助長するために当社サービスを使用することを認めません。
Trusted Access に使用する組織またはワークスペースが、内部セキュリティ業務に適していることも確認してください。同じ組織が顧客向けトラフィックやダウンストリーム製品ワークフローを支えている場合は、申請前に OpenAI の担当者と協議してください。Trusted Access for Cyber を第三者顧客、外部ユーザー、顧客向けワークフロー、またはダウンストリーム製品トラフィックに拡張することはできません。
トラブルシューティング
FAQ
承認後は何が変わりますか?
承認済みのお客様は、アクセスレベルに応じて、対象となるサイバーセキュリティワークフローで GPT-5.5 を使用できます。Trusted Access for Cyber は、Secure SDLC / AppSec、防御運用、認可された攻撃的テストワークフロー全体で、承認済みの防御業務に伴う不要な摩擦を軽減できます。その他の安全対策と利用ポリシー上の制御は引き続き適用されます。
承認には GPT-5.5-Cyber が含まれますか?
自動的には含まれません。Trusted Access for Cyber は、GPT-5.5 による多くの防御的サイバーセキュリティワークフローをサポートできます。GPT-5.5-Cyber は、レッドチーミングやエクスプロイトの検証または開発など、より限定された専門的な認可済みワークフローを対象としており、追加の承認と制御が必要になる場合があります。
Trusted Access を顧客や外部ユーザーに使用できますか?
いいえ。Trusted Access は、承認済みの内部利用のみを対象としています。第三者顧客、外部ユーザー、顧客向けワークフロー、またはダウンストリーム製品トラフィックに拡張することはできません。
Trusted Access にはゼロデータ保持が含まれますか?
いいえ。Trusted Access とゼロデータ保持は別のものです。データ保持や組織設定についてガイダンスが必要な場合は、OpenAI の担当者と協議してください。
所有していないシステムに Trusted Access を使用できますか?
そのシステムのテストまたは分析を明示的に認可されている場合に限ります。TAC アクセスを第三者と共有または販売したり、所有していないシステム、またはテストや分析の明示的な認可を得ていないシステムのテストに TAC を使用したりすることは許可されません。
Trusted Access for Cyber 付き GPT-5.5 は Codex 以外でも使用できますか?
はい。Trusted Access は Codex に限定されません。承認済みのアクセス経路が対応している場合、利用が承認済みかつ認可された防御範囲内にとどまる限り、CI/CD パイプラインやその他の内部セキュリティツールで Trusted Access for Cyber 付き GPT-5.5 を使用できます。
現在の OpenAI 組織が顧客向け API トラフィックを処理している場合、Trusted Access はどのように設定すべきですか?
承認済みの内部セキュリティ業務専用の組織またはワークスペースを使用してください。Trusted Access は、顧客向けアプリケーション、第三者アクセス、またはダウンストリーム製品トラフィックを支える組織で有効にすべきではありません。申請またはアクセスの有効化の前に、適切な設定について OpenAI の担当者と協議してください。
契約や購入によって GPT-5.5-Cyber へのアクセスは保証されますか?
いいえ。GPT-5.5-Cyber へのアクセスは限定的で、承認に基づきます。商業契約や購入だけでは、アクセスは保証されません。リクエストが承認された場合、OpenAI は利用可能なアクセス経路と適用される条件を確認します。
承認後もサイバー安全性メッセージが表示される場合、何を確認すべきですか?
承認済みの組織またはワークスペース、承認済みのモデルまたはアクセス経路、想定された製品面を使用していることを確認してください。承認後も一部の安全対策が適用される場合があります。明らかに防御的なリクエストが予期せずブロックされていると思われる場合は、正確なメッセージ、モデル、製品面、タイムスタンプ、利用可能であればリクエスト ID、およびタスクの簡潔な編集済み説明を添えてサポートに連絡してください。続きを読む:Trusted Access for Cyber - よくある問題とトラブルシューティング
組織は Trusted Access を適切な従業員に限定するにはどうすればよいですか?
Trusted Access は、認可されたセキュリティタスクに従事する承認済みの内部ユーザーのみが利用できるようにすべきです。アクセスを制限する必要がある場合は、OpenAI の担当者と協議して内部専用の組織またはワークスペースを設定し、適切なユーザーのみをプロビジョニングしてください。