ChatGPTに物理キー認証が来た。スタートアップはどう動くか

投資家との打ち合わせで「御社のセキュリティ体制はどうなっていますか」と聞かれたとき、あなたはすぐ答えられるだろうか。

先週、OpenAIがChatGPTに「Advanced Account Security（AAS）」という新機能を導入した。パスキーや物理的なハードウェアキーで認証し、メールやSMSによるアカウント回復を無効化するというものだ。しかもAASを有効にすると、自分の入力データがAIの学習対象から自動で除外される仕組みになっている。

スタートアップこそ、これを見逃してはいけない理由

競合他社が使い始めたと聞いたら動く、というのが私の判断基準だ。今回もその感覚が働いた。うちのチームは8人で、全員がChatGPTやClaudeを日常的に使っている。セールスのトーク案、採用の面接質問、投資家向けの資料の叩き台——AIに投げるものは、正直かなりセンシティブな情報が多い。

問題は、今まで「そこまで厳密にやる必要あるか」と後回しにしていたことだ。でも考えてみると、採用候補者の情報や資金調達の戦略メモをAIに貼り付けるたびに、それが学習データになっていた可能性がある。AASを使えばその心配が消える。全ユーザーが無料で使えるのも大きい。

Yubicoとの提携で「物理キー」が現実的な選択肢になった

OpenAIはスウェーデンのYubicoと戦略的パートナーシップを組み、専用のYubiKeyを優待価格で販売している。通常126ドル以上のセットが68ドルで買える。モバイルでタップ認証できる「YubiKey C NFC-OpenAI」と、PCポートに挿したまま使える小型の「YubiKey C Nano-OpenAI」の2モデルだ。

「物理キーって大企業がやるやつでしょ」と思っていたが、68ドルなら試せる。パスワード認証の穴を埋める手段として、むしろスモールチームのほうが導入しやすいとさえ感じた。大企業は社内調整に時間がかかるが、うちなら来週には全員展開できる。

AASを有効にすると、パスワードログインの廃止、セッション時間の短縮、新規ログイン通知、アクティブセッションの管理機能も追加される。認証を強固にしながら、むしろ使い勝手が整理される印象だ。

次のシリーズA調達を見据えたとき、投資家が「AIツールのガバナンスどうしてますか」と聞いてくることは十分ある。そのときに「物理キー認証を全社導入し、学習データからも除外しています」と言えるのと、「パスワードで管理しています」では印象が全然違う。

セキュリティを「コスト」として見るか、「投資家や採用候補者への信頼構築」として見るかで、優先度が変わる。自分は後者だと思うようになった。まずAASを自分のアカウントで有効化して、来週中にチーム全員に展開してみるつもりだ。