この記事のポイント
ChatGPTのアカウント保護はまずMFA有効化が最優先、Settings→Securityから数分で設定可、パスワード単独突破のリスクを解消- 認証方式は認証アプリが第一候補。強度では認証アプリがSMSを上回り、SMSは手軽さの反面SIMスワップに弱いため業務利用は認証アプリの標準採用が現実的
- パスキー(FIDO2/WebAuthn)に2026年から本格対応。フィッシング耐性が高く、対応端末ならパスワードレスでサインインできる
- Advanced Account Securityはパスワード・SMS・Email復旧を全無効化する最強オプション、標的型攻撃の懸念がある個人向け
- 企業利用はIdP SSO経由でMFA全社強制が定石、Biz/Ent/EduでSAML対応、SCIMはEnt/Eduのみ
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
ChatGPTのアカウントには、業務での会話履歴・カスタム指示・連携アプリの権限・API利用枠・有料プランの決済情報まで、業務の意思決定に直結する情報が集約されています。
パスワード1枚だけの保護では、漏洩や使い回しによる乗っ取りを防ぎきれません。
本記事では、2026年5月時点のChatGPT(OpenAIアカウント)における2段階認証(多要素認証/MFA)の設定方法を、認証アプリ・プッシュ通知・SMSの3方式に分けて解説します。
あわせて、パスワード不要でログインできるパスキー、ハードウェアキーで防御を最強化するAdvanced Account Security、認証方式の選び方、ログインできなくなった時の対処、企業・チームでMFAを全社徹底する方法、料金まで、2026年最新のUI・機能で体系的に整理します。
目次
ChatGPTアカウントが狙われる理由と2段階認証(2FA/MFA)の基本
ChatGPTで多要素認証(認証アプリ・プッシュ・SMS)を設定する手順
ChatGPTのパスキーでパスワード不要のサインインを設定する
Advanced Account Securityでハイリスクユーザー向けの最強防御を有効化する
Advanced Account Securityで何が変わるか
Advanced Account Securityに必要なもの
Advanced Account Securityの設定手順
ChatGPT Business/Enterprise/EduのSSO・SCIM対応の違い
admin.openai.com Global Admin Consoleでの段階展開
Business/Enterpriseのどちらから着手するか
Trusted Access for Cyberプログラム経由の組織アクセス
ChatGPTアカウントが狙われる理由と2段階認証(2FA/MFA)の基本
ChatGPTを業務で使うほど、そのアカウントは「守るべき情報の集積点」になります。
過去のやり取り・カスタム指示・連携アプリの権限・API利用枠・有料プランの決済情報がひとつのアカウントに紐づくため、乗っ取られれば社外に出せないやり取りの流出やAPI経由の高額課金が一度に発生します。
こうしたリスクに対し、ログイン時にもう一段の本人確認を挟むのが2段階認証(2FA)・多要素認証(MFA)です。攻撃者がパスワードを入手しても、それだけではログインできない状態をつくれます。
本セクションでは、2FA/MFAの用語整理と、2026年5月時点でChatGPTが用意している認証方式の全体像を先に押さえます。
2段階認証(2FA)と多要素認証(MFA)の違い
2段階認証と多要素認証はどちらも「パスワードにもう一つの確認を足す」点では同じですが、指す範囲がわずかに異なります。
ChatGPTの設定画面では「Multi-factor authentication(MFA)」という表記が使われていますが、実際に有効化される動作は「パスワード+もう1要素」の2段階構成です。一般的なWebサービスと同様、本記事では2FAとMFAをほぼ同義として扱います。
なぜ2026年に改めてMFAが必要なのか
「面倒だから後回し」と感じる方も多い設定ですが、2026年に入ってからの脅威環境を見ると、後回しのリスクが急速に高まっています。
- AI生成フィッシングが攻撃側で本格運用に乗り、2025年3月時点で熟練の人間レッドチームより24%効果的とされる水準まで到達した
- Sift Q3 2025 Digital Trust Index では、フィンテック領域のアカウント乗っ取り(ATO)攻撃率が前年比122%増と急増している
- ChatGPT固有でも、Permisoが2026年4月29日にOpenAIへ報告した「ChatGPhish」というmarkdownレンダリングを悪用するフィッシング手法が、2026年5月29日に公開されている
パスワードは「漏れる前提」で守る時代に入っており、漏れても入られないための最低限の壁が2FA/MFAです。
OpenAI自身も2026年4月30日にパスキー対応とAdvanced Account Securityをあわせて発表し、アカウント保護の選択肢を段階的に拡張しています。
ChatGPT全般の利用リスクと安全な活用法は、ChatGPTのリスクと安全な活用法・ChatGPTのセキュリティリスクとは?実際の事例を踏まえて対策を解説・ChatGPTの情報漏洩事例とは?実際の事例や対策方法を解説もあわせて把握しておくと、MFAの位置づけが整理しやすくなります。
ChatGPTで使える認証方式の全体像
ChatGPT(OpenAIアカウント)が用意している主な保護手段は次の5種類です。
- 認証アプリ(Authenticator App)
Google Authenticator・Microsoft Authenticator・Authy等で6桁のワンタイムコードを発行
- プッシュ通知
信頼済みデバイスのChatGPTモバイルアプリで「Yes, it's me」をタップして承認
- SMS/WhatsApp
登録した電話番号宛に6桁コードをテキスト送信
- パスキー(Passkey)
端末の生体認証またはPINでパスワード不要のサインインを実現
- Advanced Account Security
パスワード認証自体を削除し、パスキーまたはハードウェアキーに固定する最上位モード(個人向けの対象アカウントが対象)
OpenAI Help Centerは、実際に有効化できる方式は端末・国・プラン・アカウントの作成経緯によって異なると説明しており、設定画面に表示される方式の範囲で選ぶ前提です。複数有効化した場合はOpenAI側が「最もセキュアな方式」をデフォルトに選び、ユーザーは任意で他方式に切り替えてサインインできます。次のセクションで、各方式をどう使い分けるかを整理します。
ChatGPTで使える認証方式と選び方
5つの認証方式は、強度・利便性・端末要件・紛失時の復旧難易度が大きく異なります。
「とりあえずSMSを設定して終わり」にしてしまうと、肝心のフィッシング・SIMスワップ攻撃には弱いままです。ここでは方式間の特性を表で並べたうえで、利用シーン別の推奨をまとめます。
5つの認証方式の比較
以下の表で、ChatGPTで利用できる認証方式の特性を整理しました。強度(フィッシング耐性)・利便性・端末要件・紛失時の復旧難易度を軸にしています。
| 方式 | 強度 | フィッシング耐性 | 利便性 | 必要なもの | 紛失時の復旧 |
|---|---|---|---|---|---|
| 認証アプリ | 高 | 中 | 中 | スマホ+アプリ | バックアップコードで対応可 |
| プッシュ通知 | 高 | 中 | 高(ワンタップ) | ChatGPTモバイルアプリ | 別方式に切替 |
| SMS/WhatsApp | 中 | 低(SIMスワップ・転送に弱い) | 高 | 受信可能な電話番号 | SMS自体が来ない/番号変更で詰む |
| パスキー | 最高 | 最高(FIDO2/WebAuthn) | 最高 | 対応端末+生体/PIN | 同期パスキーまたは別端末 |
| Advanced Account Security | 最強 | 最高 | 中(操作が増える) | パスキー/FIDO2キーを2つ以上(うち1つはデバイス横断) | リカバリーキー必須 |
強度の観点では、フィッシング耐性を持つパスキーとAdvanced Account Securityが上位、TOTP(認証アプリ)とプッシュが中位、SMSが下位という序列になります。
特に下位のSMSは、攻撃者が携帯キャリアにソーシャルエンジニアリングを仕掛けてSIMを乗っ取る「SIMスワップ攻撃」に弱く、業務利用ではメインに据えるべきではありません。
利用シーン別の推奨
特性が分かったところで、シーン別にどの方式を選ぶべきかを整理します。
- 個人で気軽に使いたい(無料/Plus)
認証アプリを第一候補、バックアップとしてプッシュ通知を併用。SMSは「他方式が使えない時の最終手段」に位置づける
- 業務でChatGPTを継続的に使う(Plus/Pro/Business)
パスキーが利用できる環境ならパスキーを主、認証アプリをバックアップ。社用スマホでプッシュ通知も登録しておくと出張先で詰まない
- 標的型攻撃が懸念される個人(ジャーナリスト・公務員・研究者等)
Advanced Account Securityで最強防御に切り替え。ハードウェアキーまたはパスキーを2要素確保し、リカバリーキーをオフラインで保管
- 企業・チームでの全社展開(Business/Enterprise/Edu)
個人任せにせず、IdP(Okta/Microsoft Entra ID等)のSSO経由でMFAを強制。SCIMが必要ならEnterprise/Edu、ChatGPT単体ならBusinessから着手する
業務利用なら、まずは認証アプリかパスキーから着手し、バックアップ手段として別方式を1つ追加で登録するのが現実的です。「1つしか登録していない方式が動かなくなった瞬間にロックアウト」を避けることが、復旧で詰まないための鉄則になります。
ChatGPTの利用全般を整理しておきたい場合は、ChatGPTとは?日本語での始め方や料金、使い方を徹底解説もあわせて参照してください。
ChatGPTで多要素認証(認証アプリ・プッシュ・SMS)を設定する手順
ここからは、最も使われる「認証アプリ・プッシュ通知・SMS」3方式の設定手順を順に解説します。
3方式とも入口は共通で、ChatGPTの設定画面からSecurityタブに進み、Multi-factor authenticationのセクションで方式を選びます。設定後はChatGPTだけでなくOpenAI API PlatformやCodexなど他のOpenAIサービスにも同じMFAが適用されます。
共通の設定入口
まず、どの方式でも共通の入口を押さえておきます。
- ChatGPT(chatgpt.com)にログイン
- 画面右上のプロフィールアイコンから「設定」を選択
- 左メニューの「セキュリティ」タブを開く
- 「多要素認証(MFA)」セクションで有効化したい方式を選ぶ
Security画面でMFAとパスキーの設定項目を確認している画面
各方式は同じMFAセクション内に並んでおり、複数を順に追加できる構成です。複数を有効化している場合、OpenAIは最もセキュアな方式をデフォルトとして先に提示し、ユーザーはサインイン画面の「Try another method」から他の登録済み方式に切り替えられます。
認証アプリ(Authenticator App)を設定する
業務用途で最も推奨される方式が、認証アプリによるTOTP(Time-based One-Time Password)です。設定手順は以下のとおりです。
- スマートフォンに認証アプリをインストールする(Google Authenticator/Microsoft Authenticator/Authy/1Password等のうち普段使うもの)
MFAセクションでAuthenticator appのEnableを選択する画面
- ChatGPTのMFA設定画面で「Authenticator app」を選択し、表示されるQRコードを認証アプリでスキャン
認証アプリで読み取るQRコードが表示された画面
- 認証アプリに登録された「OpenAI」エントリの6桁コードを、ChatGPT側の入力欄に入れて確定
認証アプリの6桁コードを入力する画面
- 設定が完了したことを確認し、MFAが有効になっているかをセキュリティ画面で確認
認証アプリによるMFA設定が完了した画面
認証アプリを設定した後は、端末の紛失・故障に備えて、認証アプリ自体のバックアップ機能や、パスキー・SMSなど別の認証方式も確認しておきましょう。1つの認証手段だけに依存すると、スマートフォンの故障や機種変更時にログインできなくなる可能性があります。
なお、Beebomなど一部の海外記事では「ChatGPTのMFAは認証アプリのみ」と書かれていますが、これは初期リリース時の情報です。現在は次の項で解説するプッシュ通知やSMSも併設されています。
プッシュ通知を設定する
普段ChatGPTのモバイルアプリを使っているなら、プッシュ通知は最も摩擦が少ない方式です。
- iOS/Android版ChatGPTアプリにログインしておく(プッシュ通知の宛先になるため)
- ブラウザのChatGPT設定画面で「Push notifications」を有効化
- テスト通知が信頼済みデバイスに届き、「Yes, it's me」をタップして紐付け完了
サインイン時は、登録済みのモバイルアプリに通知が届き、ワンタップで承認できます。コード入力がない分早いものの、信頼済みデバイスを紛失すると同時にMFA経路も失われるため、認証アプリやパスキーをバックアップとして併設しておくのが現実的です。
OpenAI Help Centerの説明によれば、通常のサインインに加えて「異常なログインの可能性がある場合」にも自動的にプッシュ確認が走る挙動です。利便性と検知の両方を兼ねる手段として、サブで登録しておく価値があります。
SMS/WhatsAppを設定する
SMSはOpenAIが正式に提供する3方式の中で最も強度が低いものの、認証アプリが使えない事情がある場合の選択肢として存在します。
- ChatGPTのMFA設定画面で「Text message」を選択
- 登録する電話番号を入力(一部の国ではWhatsApp経由でのコード受信も選択可)
- 受信した6桁コードを入力して登録完了
まず電話番号を登録し、その番号宛に届いた確認コードをChatGPT側で入力します。
電話番号を入力する画面
電話番号を送信すると、SMSまたはWhatsAppで6桁の確認コードが届きます。コード入力画面では、受信したコードを入力して設定を完了します。
受け取った6桁コードを入力する画面
注意点として、SMSは前述のとおりSIMスワップ攻撃に弱く、米国を中心にFBI・FTCも公式に注意喚起している攻撃手法です。攻撃者が携帯キャリアを欺いて被害者の電話番号を別端末に転送できれば、SMSコードはそのまま攻撃者に届きます。
SMSは「他方式が使えない時の最終手段」として登録するに留め、メインの手段にしないことを強く推奨します。ログインできなくなる別パターンとして、海外出張で日本のSIMが圏外になり、SMSが届かずに詰まる事例も多くあります。
設定後の挙動と他OpenAIサービスへの自動適用
MFAを有効化すると、ChatGPTのサインイン時に「パスワード入力 → MFAコード入力」の2ステップが標準になります。複数方式を登録している場合は、デフォルト方式が最初に提示され、サインイン画面の「Try another method」リンクから他方式に切り替えられます。
設定はChatGPTだけでなくOpenAIアカウント全体に適用されるため、OpenAI APIプラットフォーム・Codex・Sora等の連携サービスでも同じMFAが要求されます。チームで複数サービスを利用している場合、サービスごとに別の認証手段を覚える必要がなく、運用が単純になります。
ChatGPTのパスワード変更・リセット方法を再設定したいタイミングは、MFAの登録・整理と同時に進めると効率的です。
ChatGPTのパスキーでパスワード不要のサインインを設定する
2026年に入って本格対応した「パスキー(Passkey)」は、パスワードや6桁コードを使わずに、端末の生体認証だけでサインインできる仕組みです。
ChatGPT固有の発明ではなく、Apple・Google・Microsoft・GitHub等が採用しているFIDO2/WebAuthnという業界標準を、OpenAIアカウントに適用したものです。
パスキーが「TOTP+パスワード」より優れている理由
パスキーが推奨される最大の理由は、フィッシング耐性が認証アプリやSMSより一段上であることです。
- 公開鍵暗号でログイン情報自体がサーバーに送られない
端末側で生成された秘密鍵が外に出ないため、サーバー侵害でもパスキー資格情報は漏れない
- ドメイン縛りでフィッシングサイトに使えない
パスキーは「openai.com」用と紐づくため、酷似した偽サイトに自動で送信されることがない
- TOTPコードの目視入力不要
6桁を打ち間違える事故、フィッシングサイトで打ち込まされる事故がそもそも発生しない
従来のパスワード+TOTPコードでも、フィッシングサイトでコードを打ち込んでしまえば一度は通ってしまう穴がありました。パスキーはその穴を構造的に塞ぐ仕組みです。
パスキーの対応端末・対応ブラウザ
パスキーを使うには、FIDO2/WebAuthnに対応した端末とブラウザの組み合わせが必要です。代表的な対応環境は以下のとおりです。
- iPhone/iPad(iOS 16以降)、Mac(macOS Ventura以降)でiCloud Keychain
- Android端末(Android 9以降)でGoogle Password Manager
- Windows 10/11でWindows Hello(PIN・指紋・顔認証)
- 最新のChrome・Safari・Edge・Firefox
OpenAI Help Centerは、パスキーの選択肢が端末・国・プラン・アカウントの作成経緯で表示されない場合があると説明しています。ChatGPTの「Settings → Security → Passkeys」に「Add passkey」が表示されない場合は、端末側のパスキー対応状況や地域条件を先に確認するのが現実的です。
パスキーの設定手順
ChatGPTでパスキーを登録する手順は次のとおりです。
- ChatGPTの「設定 → セキュリティ」で「セキュリティーキーとパスキー」セクションに進む
- 「Add a Security key or Passkey」を選択
セキュリティ設定でパスキーを追加する画面
- ブラウザ/OSのダイアログに従って、生体認証(Touch ID・Face ID・Windows Hello等)またはPINを認証
Windows Helloでパスキー作成を確認する画面
- 登録完了。一覧に「名前 + 登録日時」のエントリが追加される
登録済みのパスキーが一覧に追加された画面
登録後は次回サインイン時から、メールアドレス入力後に「Sign in with passkey」が選択肢として現れます。タップ+生体認証だけでサインインが完了するため、TOTPコードの入力ステップが不要になります。
同期パスキー・クロスデバイス・ハードウェアキーの使い分け
パスキーには形態が3種類あり、用途で使い分ける必要があります。
- 同期パスキー
iCloud KeychainやGoogle Password Manager経由で、同じアカウントにサインインしている自分の端末間で自動同期される。買い替えにも強い
- クロスデバイス(QRコード)パスキー
ノートPCにパスキーが保存されていない時、スマホのパスキーをQRコードで呼び出してサインインする。出張先や共用PCで便利
- ハードウェアキー(YubiKey等)
USBやNFCで挿入する物理デバイス。最強の耐タンパー性を持ち、後述するAdvanced Account Securityの主要構成要素になる
個人用途では同期パスキーが圧倒的に楽です。一方、後述するハイリスクユーザー向けのAdvanced Account Securityでは、同期パスキーやハードウェアキーを組み合わせて運用します。
OpenAI Help Centerによれば、パスキー1つだけを登録した状態でその端末を失うとアカウントロックのリスクが高まるため、バックアップ用の認証手段(パスキーをもう1本/認証アプリ/リカバリーコード)を必ず併設することが公式の推奨です。
Advanced Account Securityでハイリスクユーザー向けの最強防御を有効化する
Advanced Account Securityは、OpenAIが2026年4月30日に発表した最上位のアカウント保護モードです。
通常のMFAと違い、パスワード認証自体を削除し、SMS/メール経由のサポート復旧も無効化するという強い防御モードに切り替わります。一般ユーザー向けというより、明確な脅威対象になっている個人向けの選択肢です。
Advanced Account Securityで何が変わるか
通常のMFAに比べると、Advanced Account Securityは以下の点で挙動が大きく変わります。
- パスワードログインが無効化される
サインインはパスキーまたはハードウェアセキュリティキーでのみ可能
- 認証アプリ(TOTP)はサインインの2段目には使えなくなる
パスキー/ハードキー前提の構成に切り替わる
- SMS/メールでの復旧経路が削除される
SIMスワップやメール乗っ取り経由の侵入経路がそもそも無くなる
- リカバリーキーが発行される
バックアップパスキー・セキュリティキーと並ぶ復旧手段。各キーは1回のみ使用可能で、入力後48時間の待機を経てアカウント解除に進む
- 会話がモデル学習から自動的に除外される
登録アカウントの会話はOpt-out扱いになる
- セッション挙動がより慎重になる
通常モードよりこまめな再認証が求められる
つまり、利便性を一段下げる代わりに、フィッシング・SIMスワップ・メール乗っ取りといった主要な侵入経路を構造的に閉じる設計です。
対象になるべき人・ならない人
OpenAIが想定する対象は、フィッシング耐性認証を必要とする個人ChatGPTアカウントの利用者で、Help Net Securityの解説では次のような層が挙げられています。
- ジャーナリスト・調査報道関係者
- 選出公務員・政府関係者
- 研究者・学術機関に所属し機微情報を扱う立場
- 政治的反体制派・人権活動家
- Trusted Access for Cyberプログラムの個人メンバー
逆に、業務でChatGPTを使う一般的なビジネスパーソンや個人クリエイターには過剰防御です。バックアップ手段を持たないまま設定するとロックアウトのリスクが急増するため、まずは前述のパスキー+MFAで十分です。
なお、Trusted Access for Cyberの個人メンバーは2026年6月1日以降、Advanced Account Securityの有効化が必須になります。該当者は早めに設定を済ませておく必要があります。
Enterpriseなど企業管理アカウントは対象外
公式ヘルプは、Advanced Account Securityを対象となる個人ChatGPTアカウント向けのオプションと位置づけています。明確に対象外となるのは、Enterpriseユーザー・Enterprise管理アカウント・企業管理ドメイン配下のアカウントです。ChatGPT Business等のワークスペース連携アカウントについては、ワークスペース側の設定やロールアウトの状況によって表示可否が変わるため、Securityタブで実際に「Advanced Account Security」項目が表示される場合のみ利用できます。
組織側で同等の保護を実現したい場合は、IdP(Okta/Microsoft Entra ID等)側でフィッシング耐性MFA(パスキー/FIDO2キー)を必須化し、SSO経由でChatGPTサインインに適用する構成が現実的な代替になります。
Advanced Account Securityに必要なもの
設定にはフィッシング耐性のある認証手段を2つ以上用意する必要があります。具体的にはパスキー(FIDO2/WebAuthn)またはハードウェアセキュリティキー(YubiKey等)を、パスキー2つ/ハードキー2本/パスキー1+ハードキー1のいずれかで揃えます。SMS・認証アプリは要件を満たしません。
加えて、登録する2つの手段のうち少なくとも1つはデバイス横断で使えるもの(iCloud Keychain等で同期されるパスキー、または持ち運べるハードウェアセキュリティキー)である必要があります。1つの端末に紐づくパスキーだけを2つ登録すると、その端末を失った時点で復旧が立ち行かなくなるためです。
これに加えて、発行されるリカバリーキーをオフラインで安全に保管できる体制が前提になります。
Advanced Account Securityの設定手順
要件を満たしたら、設定はおおむね以下の流れで進みます。
-
ChatGPTの「設定 → セキュリティ → 高度なアカウント セキュリティ」に進む
-
エンロール画面の案内に沿って、フィッシング耐性のある認証手段を2つ登録する(パスキー追加またはハードウェアキー登録)
Advanced Account Securityの有効化条件を確認する画面
-
表示されるリカバリーキーをダウンロードし、オフラインの安全な場所に保管する
Advanced Account Securityのリカバリーキーを保存する画面
-
最終確認画面で「パスワードログイン無効化/SMS・メール復旧削除」などの変更内容に同意して有効化
Advanced Account Securityの有効化内容を最終確認する画面
有効化後はパスワードでサインインできなくなり、以後はパスキーまたはハードキーが必須になります。登録済みの認証手段とリカバリーキーをすべて失った場合、アカウント復旧は事実上難しくなります。
Yubico提携によるハードウェアキー入手経路
ハードウェアキーの選定で悩む方向けに、OpenAIはYubicoとの提携で専用バンドルを提供しています。
- 構成は「YubiKey C Nano(ノートPCに挿しっぱなしで日常利用)」+「YubiKey C NFC(バックアップ&スマホ用)」の2本セット
- 価格は$68(通常販売価格の半額程度)
- 米国・英国・EUの居住者向けにエンロール画面から注文可能
ただしOpenAI Help Centerの説明では、Yubico製である必要はなくFIDO2互換のセキュリティキーであれば任意の製品で動作します。社内ですでに別ブランド(Feitian等)を採用しているなら、それをそのまま流用できます。
ChatGPT以外のサービス(Google・Microsoft・GitHub等)でも同じハードウェアキーが使えるため、複数サービスの保護を1セットで賄える点も実務上のメリットです。
設定後の運用・復旧・無効化
Advanced Account Securityを設定したあとの運用は、以下の点を押さえておきます。
- 片方の認証手段(例: ノートPC側のパスキー)を失った場合
もう1つの認証手段でサインインしてから、新しい代替を登録し直す
- 両方の認証手段を失った場合のリカバリーキー利用
リカバリーキーを入力後、セキュリティ確保のために48時間の待機期間があり、その後で復旧プロセスに進む。各リカバリーキーは1回のみ使用可
- 無効化(オプトアウト)は可能
Securityタブから無効化でき、無効化後は標準のサインインと復旧設定に戻る
- リカバリーキー紛失への備え
保管方法は紙印刷+金庫やオフライン暗号化ストレージなど、複数経路を用意するのが堅実
OpenAIは「強力な保護と引き換えに、ユーザー側に運用責任が移る」設計であることを明示しています。リカバリーキーを「とりあえずクラウドメモに貼り付け」のような扱いをした瞬間、Advanced Account Securityの意味は半減します。
ChatGPTにログインできなくなった時の対処と復旧手順
どれだけ慎重に設定しても、認証アプリの入った端末を失う・電話番号が変わる・コードが届かないといったトラブルは起こります。
ここでは、典型的なトラブルパターンと復旧手順を整理します。先に予防策を講じておくほど、復旧の選択肢が増える点が最大のポイントです。
認証コードが届かない/コードが無効になる時の即対処
最も多いのが「認証アプリのコードが受け付けられない」「SMSコードがそもそも届かない」というパターンです。
- 認証アプリで時計ずれ
スマホの時刻が手動設定でずれている場合、TOTPコードが無効になる。「設定→日付と時刻→自動設定」で時計を同期し直してから再試行
- SMSが届かない
キャリアブロック・国際SMS拒否設定・データ通信のみのSIM等で発生。別キャリアの番号にデフォルトを切り替えるか、認証アプリへ移行
- 複数回失敗でアカウント一時ロック
「複数回の失敗でアカウントが一時的にロックされる」挙動がある。30分〜数時間程度待ってから再試行する
- ネットワークの問題
社内Proxy・VPNでChatGPTへの接続自体が不安定な場合、ログイン処理が途中で切れる。別ネットワーク(テザリング等)で再試行
これらは「設定間違い」ではなく「環境要因」で起きるため、サポート問い合わせの前に環境を切り替える試行を1〜2回挟むだけで解消することが多いです。
利用可能な別方式で復旧する(通常MFAの場合)
通常MFAで設定した認証アプリの端末を失った場合、まず確認するのは他に登録済みの認証手段が残っているかです。
- ChatGPTのサインイン画面でメールアドレス+パスワードを入力
- MFAコード入力画面で「他の方法を試す」を選択
- 別のMFA方式(プッシュ通知・SMS・パスキー等、登録済みのもの)でサインインを完了する
- サインイン後、ただちに新しい認証手段を追加登録し、古いMFAエントリを整理
MFAコード入力画面で別の認証方式を選択する画面
MFA設定時にリカバリーコードを保管していれば、これも復旧手段として使えます。ただしOpenAI Help Centerは復旧経路の最終的な詳細を「設定や登録方式によって異なる」前提で説明しており、桁数や復旧フローはサインイン画面の案内に従うのが確実です。リカバリーコードは1回使用したら、新しいセットを再発行して安全な場所に保管し直してください。
復旧手段がすべて失われた時のOpenAI問い合わせ
別方式もリカバリーコードも残っていない場合は、OpenAI Help Centerへ問い合わせる経路に進みます。
- OpenAI Help Center右下のチャットウィンドウを開く
- 「I need help with my account」を選択
- 続いて「I lost access to my 2FA method」を選択
- 案内に従って身元・所有証明を提出(過去のOpenAIからの請求メール/決済領収書/登録時のメール文面等)
OpenAI Help Centerのチャットでアカウント復旧について問い合わせている画面
応答時間や受理可否は時期・申請内容によって変動し、必ず復旧できる保証はありません。なお、復旧手段がすべて失われた場合の「サポートでも救えないリスク」は、特にAdvanced Account Securityを有効化した個人アカウントで顕著になります。通常MFAでも備えは必要ですが、Advanced Account Securityでは登録済み認証手段とリカバリーキー以外の救済経路が公式に存在しません。
問い合わせの全般的なフローは、ChatGPT(OpenAI)ヘルプセンターへの問い合わせ方法と注意点でも整理しています。あわせて参照してください。
ロックアウトを起こさないための予防設計
復旧の不確実性を踏まえると、「ロックアウトが起こらない構成を最初に組む」ことが本質的な対策です。具体的には次の3点を満たした状態を目指します。
- MFA手段を最低2つ登録(例: 認証アプリ+プッシュ/パスキー+認証アプリ)し、片方を失っても残りで入れる構成
- リカバリーコードを2経路で保管(パスワードマネージャーのSecure Note+紙印刷オフライン)
- 認証アプリはクラウドバックアップ対応のもの(Authy・Microsoft Authenticator・1Password等)を使い、機種変更時に移行できる状態にしておく
これらが整っていれば、端末を失っても自分の手だけで復旧の入口に立てます。Advanced Account Securityを設定する場合はリカバリーキーの安全な保管が加わるため、保管経路の二重化はより重要になります。
ChatGPT全般でログインできない他のトラブル(パスワード忘れ・ブラウザ問題・サーバー側問題等)は、ChatGPTにログインできない・使えない原因と対処法をエラー別に解説でまとめています。
企業・チームでChatGPTのMFAを全社徹底する方法
ここまでは個人のアカウント保護の話でしたが、企業利用ではアプローチが変わります。
「全社員に個別に2段階認証を設定してね」と通達するだけでは、未設定の社員が必ず残ります。企業利用ではIdP(Identity Provider)経由でMFAを全社強制するのが定石です。
本セクションでは、ChatGPT Business/Enterprise/EduプランのSSO/SAML機能と、強制化の段階展開を整理します。
なお、ChatGPT Teamは2025年8月29日にChatGPT Businessへ名称変更されており、機能・料金・制限は変わっていません。本記事でも以降は「Business」として扱います。
個人任せMFAの限界とシャドーITリスク
企業がChatGPTのMFAを「個人任せ」にしたままだと、次の問題が連鎖します。
- 設定しない社員が必ず残り、組織全体の保護水準が「最も弱い1人」に引きずられる
- 退職者のアカウントが残り、退職後もChatGPTに会話履歴と業務知識が紐づいたまま放置される
- 個人プランで業務利用する社員が増え、ガバナンス対象外の「シャドーIT」が発生する
コーレ株式会社が公表した調査では、業務で生成AIを使う回答者の53.4%が「会社が許可していないAIを業務で使ったことがある」と答えています。MFAだけでは解決しない問題が、企業利用には複合的に存在します。
シャドーAI全般の構造と対策は、シャドーAIとは?企業リスクや被害事例、対策方法で整理しています。MFAの強制化とシャドーAI対策はセットで設計するのが現実的です。
ChatGPT Business/Enterprise/EduのSSO・SCIM対応の違い
OpenAIはChatGPT Business/Enterprise/Eduプラン向けにSAML 2.0ベースのSSOを公式提供していますが、SCIMの可否とカバー範囲がプランで明確に分かれます。以下の表で整理します。
| プラン | SSO(SAML 2.0) | SCIM自動プロビジョニング | SSOのスコープ |
|---|---|---|---|
| Business | 対応 | 非対応(手動でユーザー管理) | ChatGPTのみ |
| Enterprise/Edu | 対応 | 対応 | ChatGPT+API Platform |
| Free/Plus/Pro | 非対応 | 非対応 | 個人MFAのみ |
表のとおり、ChatGPT BusinessはSSOには対応しますがSCIM/AD group syncは非対応で、ユーザーのプロビジョニング/デプロビジョニングは手動運用になります。退職者の自動無効化やグループベースのアクセス制御を組み込みたい場合は、Enterprise/Eduへのアップグレードが必要です。
対応IdPはMicrosoft Entra ID(旧Azure AD)・Okta・Google Workspace・OneLogin・Ping Identity等の主要IdPで、IdP側でMFAを必須にしておけば、ChatGPT側で個別に設定する必要なく、全社員に統一されたMFAポリシーが適用される構成になります。OktaとChatGPTを連携した場合の具体的な構成は、NextmodeのOktaブログに解説があります。
IdP側のMFAポリシー設計は、利用しているIdP製品の仕様に沿って組みます。Microsoft Entra ID(旧Azure AD)の多要素認証設計を整理したい場合は、Azureの多要素認証とは?概要やメリット、認証方式を徹底解説も参考になります。
admin.openai.com Global Admin Consoleでの段階展開
OpenAIはadmin.openai.com(Global Admin Console)を提供し、大規模組織向けに統合的なテナント管理ができるようになりました。
Manage SSOページの設定では、SSOの設定値として Required / Optional / Off の3つが用意されています。MFAを全社強制するための段階展開では、主に Optional から Required への切り替えを段階的に進める形になります。
Enterprise/Edu環境では、admin.openai.comのGlobal Admin Consoleから、テナント単位でドメイン、SSO、ワークスペース、API組織を管理できます。
Global Admin ConsoleのIdentity & Accessでドメイン設定を管理する画面(出典:OpenAI Help Center)
Global Admin Consoleでは、SSOの適用状態をChatGPT、API Platform、Admin Portalごとに管理できます。特に重要なのがRequired / Optional / Offの切り替えで、まずOptionalで動作確認し、対象ドメインやユーザーへの影響を確認したうえでRequiredへ移行する流れが現実的です。
SSO設定でRequired / Optional / Offを切り替える画面(出典:OpenAI Help Center)
- Optional
SSOを設定するが任意。ChatGPTユーザーはSSO・ソーシャル認証(Google/Microsoft/Apple)・パスワードのいずれかでサインインできる(API Platformはパスワード不可)。初期検証期や例外ユーザー対応の期間に使う
- Required
SSOを完全強制。テナント内の全ユーザーはSSO経由でしかサインインできず、個別パスワード/ソーシャルログインは無効化される
- Off
SSO自体を無効化する設定値も用意されている。設定時の戻し先として把握しておく
いきなりRequiredにすると、SCIMプロビジョニング(Business未対応)の不備や設定ミスで全員ログインできない事故が起きやすいため、まずOptionalで設定を検証し、IdP側のプロビジョニング・グループ割り当てが正しく動くことを確認してからRequiredに切り替えるのが安全な進め方です。
OpenAI公式も、Global Admin自身はAdmin Portal側のSSOはOptionalのまま維持するよう推奨しています(管理者自身がロックアウトされるのを防ぐため)。
Business/Enterpriseのどちらから着手するか
業務でChatGPTを継続的に使う規模になっているなら、まずはChatGPT Business/Enterprise/Eduへの移行を検討する段階です。
- Business: ChatGPTのSSO徹底だけ先に進めたい場合の入口。ユーザー管理は手動運用。API Platform側は別の認証として残る
- Enterprise/Edu: 数百人規模やIdP上の退職者連動を一気に組みたい場合の本命。SCIMで自動デプロビジョニング、SSOはAPI Platformもカバー
- Free/Plus/Pro: 個人プランはSSO自体が用意されていないため、MFA徹底は個別お願いベース
法人利用全般の選び方は、ChatGPTの法人契約方法とおすすめ利用法にもまとめています。
退職者対応とSCIMによる自動デプロビジョニング
MFA強制と並んで重要なのが、退職者アカウントの即時無効化です。
- IdPとChatGPTがSCIM連携されていれば、IdP上で社員を無効化した瞬間にChatGPTアカウントも自動でデプロビジョニング(無効化)される
- SCIM非対応のBusinessでは管理画面から手動削除する形になるため、削除漏れ・タイミング遅延が起きやすい
- 退職者アカウントを残したまま放置すると、過去の会話履歴に含まれる業務情報の流出経路として残り続ける
MFA徹底とSCIMデプロビジョニングはセットで設計してこそ、アカウントセキュリティが企業として担保できる構成になります。中規模以上の組織でSCIMが必須要件なら、Enterprise/Eduに揃えるのが現実的な落としどころです。
Trusted Access for Cyberプログラム経由の組織アクセス
サイバー防御業務を持つ組織であれば、OpenAIのTrusted Access for Cyberプログラムに組織として参加することで、SSOによるフィッシング耐性認証の証明と引き換えにGPT-5.5の高度なサイバー能力にアクセスできます。
組織がフィッシング耐性のあるSSOを構成していることがプログラム参加の条件になっており、Advanced Account Securityと同じ思想を組織レベルで適用する設計です。MFA徹底の延長線で、組織として防御業務に最先端モデルを取り込みたいケースで検討する価値があります。
ChatGPTの2段階認証にかかる料金
ChatGPTのMFA関連機能は、設定画面に表示される範囲のほとんどが追加費用なしで使えます。ここでは料金の構造と、ハードウェアキーで発生する実費、企業向けのSSO/SCIMのプラン関係を整理します。
MFA・パスキー・Advanced Account Securityの料金
OpenAIアカウントのMFA・パスキー・Advanced Account Securityは、機能そのものに追加課金はありません。ただし実際に表示される選択肢は端末・国・プラン・アカウントの作成経緯によって変動するため、「全プラン共通で同じ方式が表示される」とは言えない点に注意が必要です。
- 認証アプリ・プッシュ通知・SMS/WhatsAppの3方式は、設定画面に表示された方式の範囲で追加課金なしで利用できる
- パスキーは対応端末・対応地域の条件を満たす場合に表示され、利用は無料
- Advanced Account Securityは対象となる個人ChatGPTアカウント向けのオプトインで、機能自体に追加課金はない
追加課金が発生するのは、Advanced Account Security等で物理的なハードウェアセキュリティキーを購入する場合と、企業向けプランのSSO・SCIMを伴う上位プランへのアップグレードの2点です。
唯一の実費はハードウェアセキュリティキーの本体価格
Advanced Account Securityや業務での物理キー運用のためにハードウェアセキュリティキーを購入する場合、本体の実費が発生します。
| 方式 | 参考価格(2026年5月時点) | 備考 |
|---|---|---|
| OpenAI×Yubico提携バンドル(C Nano+C NFC) | $68 | 米国・英国・EU居住者のみエンロール画面から注文可能 |
| YubiKey 5シリーズ単品 | $50〜$95(モデルによる) | Yubico公式ストアで個別注文 |
| Feitian・SoloKeys等の他社FIDO2キー | $25〜$60 | FIDO2互換であればOpenAIに登録可能 |
提携バンドルが半額相当の優遇価格ですが、地域制約があります。米英EU以外の居住者やすでに別ブランドのキーを持っているなら、手持ちのキー(YubiKey 5C NFC等)をそのまま登録すれば追加コストはほぼゼロです。
ハードウェアキーは1台でChatGPT・Google・Microsoft・GitHub等の主要サービスを横断保護できるため、1人あたり$50〜$100程度の投資で複数サービスの保護を一括強化できます。
企業利用でのSSO/SCIMコストはプラン構成で変わる
企業向けの認証管理機能はプランで提供範囲が分かれます。
- Business: SSO(SAML)が含まれる。SCIMは含まれず、ユーザー管理は手動運用
- Enterprise/Edu: SSO(SAML)に加えてSCIM・監査ログ等の高度な管理機能が含まれる
- Free/Plus/Pro: SSO機能自体が含まれず、MFAは個人設定に依存
- IdP(Okta・Microsoft Entra ID等)側の契約は別途必要だが、すでに社内で認証基盤として運用しているなら追加コストは発生しない
SCIMでの自動デプロビジョニングが要件に入る場合はEnterprise/Edu、ChatGPTのSSO適用だけ先に進めたい場合はBusinessから着手するのが現実的です。料金の最新情報は、ChatGPT料金完全ガイドGPT-5・GPT-4o・Pro徹底比較も参照してください。プラン全体の比較を踏まえてセキュリティ機能の総コストを見積もるのが現実的です。
アカウント保護からAI業務活用までを一気通貫で整える
ChatGPTのMFA徹底は、業務でAIを使い始める前提条件ではあるものの、それ自体は出発点にすぎません。アカウント保護を入口にAIの業務活用を本格化するなら、次に必要になるのは「組織として業務にAIを定着させる段階設計」です。
社内データの取り扱い・権限管理・PoCの進め方・部門別ユースケース設計など、MFAだけでは届かない論点を整理せずに全社展開へ進むと、点在するAI活用がガバナンスから抜けて「シャドーAI」を量産しがちです。AI総合研究所では、Microsoft環境でAI業務自動化を段階的に進めるための「AI業務自動化ガイド(220ページ)」を無料公開しており、Copilot Chat→M365 Copilot→Copilot Studio→Microsoft Foundry/AI Agent Hubの順で、セキュリティと権限設計を含めた段階導入の進め方を整理しています。
AI総合研究所の専任チームが、MFA徹底後のAI業務定着まで含めて設計から伴走支援します。MFAでアカウント保護を整えた次のステップとして資料をダウンロードください。
MFAの次の一手は業務へのAI定着
220ページの実践ガイドで段階設計
ChatGPTのMFA徹底はAIを業務に組み込む入口でしかありません。AI総合研究所では、Microsoft環境でAI業務自動化を段階的に進めるためのガイドをまとめており、Copilot Chat→M365 Copilot→Copilot Studio→Foundry/Agent Hubの順で、セキュリティと権限設計を含めた組織導入の進め方を整理しています。
まとめ
本記事では、ChatGPTにおける2段階認証(MFA)の設定方法を、認証アプリ・プッシュ通知・SMS・パスキー・Advanced Account Securityの5方式に整理し、選び方からトラブル対処、企業徹底、料金までを2026年5月時点の最新情報で解説しました。各セクションの要点を改めて整理します。
- 2FAとMFAは事実上同義で扱われるが、ChatGPTでは「Multi-factor authentication」表記で主要5方式から選択可能。AI生成フィッシングやATO攻撃が2026年に急増しており、パスワード単独保護のリスクは過去最大の水準
- 認証方式は強度・利便性・復旧性で大きく差がつく。業務利用はパスキーまたは認証アプリを主とし、SMSは最終手段。複数方式の併設でロックアウトを防ぐ設計が前提
- 設定の入口はSettings→Securityで共通。認証アプリは6桁TOTPの汎用方式、プッシュ通知はモバイルアプリ前提で最も操作が速い、SMSはSIMスワップに弱いためサブ位置。実際に表示される方式は端末・国・プラン・アカウント条件で変動する
- パスキー(FIDO2/WebAuthn)はフィッシング耐性が構造的に高く、対応環境ならパスワードレスでサインインできる。同期パスキー+認証アプリの組み合わせが個人業務利用の現実解
- Advanced Account Securityはパスワード認証を無効化する最強モードで、2026年4月30日に発表された。対象は個人ChatGPT/Codexアカウントで、Trusted Access for Cyber個人メンバーは2026年6月1日から必須化。Enterprise/企業管理ドメインは明確に対象外、Business等は表示される場合のみ利用可。組織側はIdPでフィッシング耐性MFAを強制する形が代替になる
- **通常MFAのトラブル復旧は「別方式を試す→Help Center」**が基本フロー。Advanced Account Securityではリカバリーキー入力後48時間の待機を経て解除が始まり、登録済み手段とリカバリーキーをすべて失うと事実上復旧不可
- 企業利用はIdP経由のSSO/SAMLでMFAを全社強制する。BusinessでSSO(SCIMなし・ChatGPTのみ)、Enterprise/EduでSSO+SCIM(API Platformもカバー)と段階を上げ、admin.openai.comでOptionalからRequiredへ慎重に切り替える
- 料金はMFA・パスキー・Advanced Account Securityともに機能課金なし。実費はハードウェアキー(提携バンドル$68または手持ちFIDO2キーで対応可)と、企業利用でのプラン費用(SCIMが要件ならEnterprise/Edu)に集約される
ChatGPTを業務で継続的に使うなら、MFAは「やっておけば安心」ではなく「やっていないと事故時に説明責任を負う」段階の標準装備になっています。まずはSettings→Securityから認証アプリかパスキーを5分で有効化し、バックアップ手段とリカバリーコードの保管経路まで含めて整えるところから始めるのが、最短で実用的な第一歩です。
そのうえで、ハイリスク個人ならAdvanced Account Security、企業ならIdP経由のSSO強制と段階を上げていく形が、2026年時点で取り得る現実的なアカウント保護戦略になります。
