OpenAIはChatGPTなどのOpenAI製品向けに高度なセキュリティ設定「Lockdown Mode」を案内しています。
「Lockdown Mode」は、AIがWebや外部サービスへ接続できる範囲を絞り、プロンプトインジェクションをきっかけにしたデータ持ち出しリスクを下げるための設定です。便利な機能を一部制限する代わりに、機密性の高い情報を扱う場面でより慎重な使い方を選べます。
AIがファイル、Web、アプリ、コネクタとつながるほど、作業は便利になります。その一方で、外部から紛れ込んだ悪意ある指示が、意図しない通信や共有につながる可能性もあります。Lockdown Modeは、AIを仕事の道具として使ううえで「つながりすぎない安全策」を選ぶ流れを示す機能です。
データ持ち出しの出口を絞る
OpenAIの説明によると、Lockdown Modeはプロンプトインジェクション攻撃そのものを消す機能ではありません。攻撃文がWebページ、キャッシュされたコンテンツ、アップロードファイルなどに含まれる可能性は残ります。
Lockdown Modeが狙うのは、その後の段階です。悪意ある指示によって機密情報が外部へ送られるリスクを下げるため、外向きのネットワークリクエストや外部サービスへの接続を制限します。
つまり、Lockdown Modeは「AIが悪い指示を絶対に見ないようにする」機能ではなく、「悪い指示を見てしまった場合でも、外へ持ち出しにくくする」ための安全策です。
プロンプトインジェクション攻撃とは
プロンプトインジェクション攻撃(Prompt Injection Attack)とは、AI(特にChatGPTやGeminiなどの大規模言語モデル:LLM)に対し、開発者が設定したルールや制限を無視させ、攻撃者の意図した通りの不正な操作を行わせる攻撃手法のことです。
- 直接的インジェクション(脱獄 / Jailbreak)
ユーザーがAIのチャット画面に直接、悪意のある指示を入力する手法です。通常、AIは「爆弾の作り方」や「他人の誹謗中傷」などには答えないよう倫理的なガードレールが設定されていますが、これを言葉のトリックで突破します。 - 間接的インジェクション(Indirect Prompt Injection)
ユーザーではなく、外部のWebサイトやファイルに悪意のある指示を仕込んでおき、AIにそれを読み込ませることで発動させる非常に危険な手法です。
使えなくなる機能と残る機能
Lockdown Modeを有効にすると、OpenAI製品の一部機能が無効化または制限されます。公式ヘルプでは、ライブWebブラウジング、Deep research、Agent mode、Canvasからのネットワークアクセス承認、データ分析でのファイルダウンロードなどが制限対象として挙げられています。
Webブラウジングはキャッシュ済みコンテンツへのアクセスに限られ、検索結果が制限されたり、利用できなかったり、古くなる場合があります。通常の応答内での画像表示やWeb由来画像の取得も制限されます。
一方で、ユーザーが手動でアップロードしたファイルを扱うことや、利用可能な環境での画像生成は、Lockdown Modeによって自動的に無効になるわけではありません。
Appsとコネクタは権限設計が焦点
Appsやコネクタの扱いは、アカウント種別やワークスペース設定によって変わります。
個人アカウントやセルフサービスのChatGPT Businessでは、同期済みデータを使うコネクタは許可される一方で、ライブのコネクタアクセスや書き込みアクションはブロックされます。OpenAIは、金融関連のChatGPT体験やショッピングエージェント体験の一部がLockdown Modeでは利用できない場合があると説明しています。
管理対象ワークスペースでは、アプリ、MCP、コネクタはワークスペース設定やロールベースアクセス制御に従います。Lockdown Modeがすべてのアプリを自動的に無効化するわけではないため、管理者は信頼できるアプリや必要な操作だけを有効にする必要があります。
高リスクなのは書き込みアクション
OpenAIは、Lockdown Mode利用者に対して、信頼できないアプリの読み取り・書き込みアクションを推奨していません。
特に注意が必要なのは、外部に見える副作用を作る書き込みアクションです。たとえば、チケット作成、メッセージ送信、ファイル更新のような操作は、操作先や閲覧範囲によってはデータ持ち出しの経路になり得ます。
同期コネクタや信頼済みアプリの読み取りアクションは相対的にリスクが低いとされますが、外部へ送信しない場合でも、AIがアクセスできる機密情報の「入口」にはなります。Lockdown Modeでは、何を読ませ、何を書かせるのかを分けて考える必要があります。
個人アカウントでは設定から有効化
対象となる個人アカウントやセルフサービスのChatGPT Businessでは、SettingsのSecurityからLockdown Modeを有効にできます。OpenAIは、Free、Go、Plus、Pro、セルフサービスのChatGPT Businessを含む対象アカウントへ順次展開していると説明しています。
設定画面にLockdown Modeが表示されない場合、そのアカウントではまだ利用できない可能性があります。
また、Lockdown Modeはチャット単位で一時的に無効化できます。Lockdown Modeがオンのときは、composer上部の表示やメニューから、そのチャットだけ無効にする操作が用意されています。
Developer Modeとは同時に使えない
Lockdown ModeとDeveloper Modeは同時に使えません。Lockdown Modeを有効にするとDeveloper Modeはオフになり、後からDeveloper Modeを有効にするとLockdown Modeはオフになります。
これは、外部接続や拡張的な機能を使いやすくする方向と、外部への出口を絞る方向が衝突しやすいためです。高度な機能を使う場面と、機密性を優先する場面では、設定を切り替えて運用する必要があります。
なお、OpenAIはLockdown Modeについて、Codexのネットワークアクセスには影響しないと説明しています。
学習利用やログ設定は別の管理項目
Lockdown Modeは、会話がモデル改善に使われるかどうかを変更する機能ではありません。データコントロールやワークスペース設定は別途管理されます。
また、Compliance API Logs Platformの記録内容も、Lockdown Modeによって変わるわけではないとされています。管理者がアプリ利用、共有データ、接続元を把握するためのログは、別の監査・管理の仕組みとして扱われます。
この点は誤解しやすいところです。Lockdown Modeは「外部への接続や持ち出し経路を絞る」ための設定であり、学習利用、記録、共有、メモリなどのすべてを一括で止めるスイッチではありません。
便利さより安全側に倒す選択肢
Lockdown Modeは、すべての利用者に常時必要な機能ではありません。OpenAI自身も、機密データを扱い、プロンプトインジェクション由来のデータ持ち出しリスクをより厳しく抑えたい人や組織向けの高度な設定として説明しています。
ただし、AIがWeb、ファイル、アプリ、社内データとつながるほど、こうした「安全側に倒すモード」の重要性は増していきます。AIエージェントや外部ツール連携が広がるなかで、便利さだけでなく、どこまで接続を許すのかを選ぶ設計が現実的なテーマになってきました。
導入する場合は、制限される機能、必要なアプリ権限、ワークスペースのロール設定、データコントロールをあわせて確認するのがよさそうです。
