ご自身のアカウントまたは API キーが侵害された可能性があると懸念される場合は、直ちに OpenAI サポートにお問い合わせください。ヘルプセンターのどのページでも、右下にある新しいチャットを開くことで、OpenAI サポートにお問い合わせいただけます。
概要
OpenAI サービスを利用する際は、API キーとアカウントの両方を安全に保つことが重要です。これらのベストプラクティスに従って、API キーの漏洩やアカウントの乗っ取りを防ぎましょう。
アカウントを安全に保つ
セキュリティは共同責任です。OpenAI はアカウントアクセスの保護に取り組んでおり、これらの手順は不正使用のリスクを軽減するのに役立ちます。アカウントの認証情報が許可なく使用された場合は、できるだけ早くご報告ください。
API キーの漏洩を防ぐ
API キーは、OpenAI API を呼び出すために使用されるアクセスコードです。漏えいした場合、権限のないユーザーがあなたのアカウントを通じて API にアクセスできる可能性があります。これにより、不正な請求が発生したり、当社の利用規約に違反する活動が行われたりする可能性があります。
環境変数を使用する
開発環境の環境変数に API キーを保存してください。これにより、キーをアプリケーションコードに含めず、情報漏えいのリスクを低減できます。
GitHub Actions を使用している場合は、API キーを保存するために GitHub シークレットを使用してください。
サードパーティ製品の利用には注意してください。
API キーへのアクセスを要求するサードパーティのライブラリ、フレームワーク、またはツールを使用する際は、十分注意してください。製品が信頼できそうに見えても、キーの情報漏えいや悪用のリスクは依然として存在します。
API キーを必要とするサードパーティ製品を使用する前に、その提供元や製品内容を慎重に確認してください。レビューを確認し、プライバシーポリシーを読み、コミュニティでセキュリティ上の懸念が提起されていないかを確認してください。
適切な支出制限を設定する
組織レベルまたはプロジェクトレベルで月次予算に対して複数の支出しきい値(例:90%、95%)を設定し、月間支出を監視します。
メーリングリスト、インシデント管理プラットフォーム、メッセージングプラットフォームと連携するために、カスタムメール受信者を設定します。これはプラットフォーム設定で行えます。
API キーをアプリケーションに含めて公開しないでください。
モバイルアプリなどでサーバーを運用する手間を省くために、API キーをアプリケーションに直接埋め込みたくなることがあります。しかし、これにより API キーが悪用されるリスクが高まります。
徹底的なコードレビューを実施する
公開リポジトリにコードをプッシュする前に、API キーなどの機密情報が漏洩していないことを確認するために、コードをレビューしてください。
漏えいの可能性を検出できる自動スキャンツールを活用してください。詳細については、GitHub のシークレットスキャンのチュートリアルもご覧ください。
OpenAI が公開インターネット上やアプリストア内のアプリで API キーの漏えいを検出した場合、その API キーは直ちに無効化されます。
キーローテーションを実装する
API キーダッシュボード から古いキーを削除し、新しいキーを作成して、定期的に API キーを更新してください。
アカウントの乗っ取りを防ぐ
アカウントの乗っ取りとは、第三者が不正にあなたのアカウントへアクセスし、そのアカウントを使って OpenAI サービスを利用することで、料金がアカウント所有者に請求される事態を指します。
強力で一意のサインイン認証情報を使用する
パスワードを使用する場合は、他のサイトで使い回していない一意のパスワードを使用してください。パスワードの生成と保存には、パスワードマネージャーの使用をおすすめします。パスワードの漏えい、使い回し、共有が疑われる場合は、すぐにパスワードを変更してください。
多要素認証(MFA)を有効にする
サインイン時に別の認証手順を追加するには、多要素認証(MFA)を有効にしてください。詳細については、「多要素認証(MFA)の有効化または無効化」を参照してください。これで、第三者がパスワードを入手したとしても、アカウントにアクセスするには第2の要素が必要となります。MFA を有効にしても、既存のログインセッションは無効になりません。すでにアカウントにアクセスしているユーザーを遮断するには、まずパスワードをリセットしてから MFA を有効にしてください。ハードウェアによるアカウント保護をご希望で、まだセキュリティキーをお持ちでない場合、対象となる OpenAI ユーザーは OpenAI + Yubico YubiKey バンドルについてご確認ください。詳細については、「OpenAI + Yubico YubiKey バンドル」をご覧ください。
「高度なアカウントセキュリティ」を利用する
対象となる個人向け ChatGPT アカウントでは、「高度なアカウントセキュリティ」により、サインイン要件が強化され、アカウント保護がより厳格になります。詳細については、「高度なアカウントセキュリティ」を参照してください。ChatGPT Enterprise ユーザー、エンタープライズ管理対象アカウント、またはエンタープライズ管理対象ドメインに関連付けられたアカウントではご利用いただけません。
メールやリンクに注意を払ってください
認証情報の入力を求めるメールや、アカウント情報の入力を求める Web ページへ誘導するメールには注意してください。
メールアドレスと URL が信頼できる情報源のものであることを必ず再確認してください。
侵害の疑いへの対応
API キーの漏えいが疑われる場合や、アカウントで不正なアクティビティが見られる場合は、速やかに対応してください。
API キーを削除する
API キーは API キーダッシュボード から削除してください。
OpenAI は API キーごとの使用状況の追跡にも対応しています。これにより、用途ごとに API キーを分けて使用することで、機能、チーム、製品、プロジェクトごとの使用状況を確認しやすくなります。
OpenAI サポートへのお問い合わせ
問題を早くご報告いただくほど、OpenAI は迅速に対応し、被害の拡大を防ぐことができます。ヘルプセンターの任意のページから新しいチャットを開き、OpenAI サポートにお問い合わせください。
アカウントのアクティビティの確認
予期しない API の使用など、アカウントに身に覚えのないアクティビティがないか確認してください。ご提供いただく詳細情報は、アカウント復元に役立つ場合があります。
すべてのセッションからログアウト
すべてのデバイスのアクティブなセッションからログアウトできます。手順については、「すべてのセッションからログアウト」を参照してください。ChatGPT で:
「設定」に移動します。
「セキュリティ」を選択します。
「アクティブなセッション」を選択します。
「すべてのセッションからログアウト」を見つけます。
「すべてログアウト」を選択します。
確認画面で、「すべてのデバイスからログアウト」を選択します。
これにより、現在のセッションを含むすべてのデバイス上のアクティブなセッションからログアウトされます。これには最大30分かかる場合があります。プラットフォームで、「プロフィール」>「セキュリティ」の順に移動し、「すべてのデバイスからログアウト」を選択します。
他の ChatGPT セッションがログアウトされるまでに最大で30分かかることがあります。