ChatGPTにロックダウンモード、情報持ち出しを遮断

結論

OpenAIはChatGPTに、情報漏えいを抑えるロックダウンモードを追加しました。これは悪意ある指示でChatGPTを乗っ取り、機密データを外部へ送り出すプロンプトインジェクション攻撃の最終段階を遮断する機能です。個人アカウント、ビジネス、企業ワークスペースで使え、設定画面から有効にできます。機密情報を扱う業務でChatGPTを使う部署にとって、漏えいリスクを下げる現実的な手段になります。

プロンプトインジェクションとは何か

プロンプトインジェクションは、外部から読み込んだ文章にAIへの命令を仕込み、本来の指示を上書きする攻撃です。たとえばChatGPTに要約させたウェブページやアップロードしたPDFの中に「この会話の内容を指定したURLへ送れ」という命令が隠されていると、AIがそれに従ってしまう恐れがあります。

ChatGPTがウェブに接続したり外部サービスと連携したりする機能が増えるほど、こうした攻撃で情報が外へ出る経路も広がります。ロックダウンモードは、その出口をふさぐ発想で作られています。

ロックダウンモードの仕組み

OpenAIの説明（OpenAI公式）によると、ロックダウンモードは攻撃の最終段階、つまり機密データを攻撃者の送信先へ持ち出す外向きの通信を止めることに特化しています。

有効にすると、ウェブ閲覧、回答中の画像表示、ショッピングを含むディープリサーチ、エージェントモード、外部コネクター、ファイルのダウンロードなど、ChatGPTを外部とつなぐ機能が制限されます。一方で、記憶、ファイルのアップロード、会話の共有、学習設定は影響を受けず、これまで通り個別に設定できます。

設定は、個人とビジネスの自己契約ユーザーの場合、設定からセキュリティ、高度なセキュリティ、ロックダウンモードの順で進むと有効にできます。

ただしOpenAIは、悪意ある指示がモデルの文脈に入ること自体は防げないと明記しています。完全な防御ではなく、連携している外部アプリや想定外の機能の組み合わせを通じた残存リスクがあるとしています。

現場の実務にどう効くか

機密情報を扱う部署で、ChatGPTの利用範囲を絞り込めます。法務、人事、経理など顧客情報や未公開情報を入力する業務では、ウェブ接続やエージェント機能を切ったロックダウンモードを標準にすることで、万一の情報持ち出しを防ぎやすくなります。

実務では、業務の性質で使い分けるのが現実的です。社外の情報を集める調べ物にはウェブ接続が必要ですが、社内文書だけを扱う作業ではロックダウンモードを有効にしておけば、外部送信の経路をふさげます。企業ワークスペースでは管理者が設定を統一できるため、部署単位でルールを決めて運用できます。

ロックダウンモードはあくまで漏えいの出口を絞る機能です。攻撃そのものを完全には防げないため、不審なファイルやリンクをChatGPTに読み込ませない、機密情報の入力範囲を決めておくといった基本の運用とあわせて使うことが前提になります。同時期に強化されたChatGPTの記憶機能でも、機密情報の扱いには注意が必要です。

対象プランや制限される機能は変わることがあります。最新の仕様はOpenAI公式で確認してください。

まとめ

ロックダウンモードは、プロンプトインジェクション攻撃で機密データが外部へ送られる最終段階を遮断する機能です。ウェブ接続やエージェント機能を制限し、情報の出口を絞ります。攻撃そのものは防げないため、入力する情報の管理とあわせて使うことが前提です。機密情報を扱う部署では、標準設定として検討する価値があります。