ChatGPTにロックダウンモード、プロンプトインジェクションによるデータ持ち出しリスクを低減|セキュリティとAIのニュース-セキュリティ対策Lab

投稿日時: 2026年06月11日更新日時: 2026年06月11日

OpenAIは、ChatGPTなどのOpenAI製品で利用できる高度なセキュリティ設定として、Lockdown Modeを案内しました。

Lockdown Modeは、Webや外部サービスへ接続できる機能の一部を制限し、プロンプトインジェクション攻撃によるデータ持ち出しリスクを低減するための機能です。OpenAIは、Free、Go、Plus、Proなどの個人アカウントと、セルフサービス型のChatGPT Businessアカウントに順次展開しており、すべてのアカウント種別とワークスペースで利用可能と説明しています。

サマリー

OpenAIがChatGPT向けの高度なセキュリティ設定としてLockdown Modeを案内しました。
目的は、プロンプトインジェクションによるデータ持ち出しリスクを下げることです。
ライブWeb閲覧はキャッシュ済みコンテンツへのアクセスに限定されます。
Deep Research、Agent Mode、Canvasのネットワーク利用、ファイルダウンロードなどが制限されます。
画像生成は利用できますが、通常回答内での画像表示やWeb画像取得は制限されます。
Lockdown Modeは、プロンプトインジェクションそのものを完全に防ぐ機能ではありません。
アップロードファイルやキャッシュ済みWebコンテンツ内の悪意ある指示は、モデルの挙動や回答精度に影響する可能性があります。
個人アカウントとセルフサービス型ChatGPT Businessでは、設定画面のSecurityから有効化できます。
Developer Modeとは同時利用できず、Lockdown Modeを有効にするとDeveloper Modeは無効になります。
管理対象ワークスペースでは、管理者がロールベースアクセス制御を使って有効化します

1 ロックダウンモードとは
2 プロンプトインジェクションとは
3 Lockdown Modeで制限される機能
4 Lockdown Modeで防げること、防げないこと
5 URL経由のデータ持ち出しリスクとの関係
6 Apps・コネクタ・MCP利用時の注意点
7 利用できるアカウント
8 有効化する方法
9 Active sessions管理との関係
10 企業が確認すべきポイント
11 注意点
12 今後確認すべきこと
13 参考情報・出典

ロックダウンモードとは

Lockdown Mode(ロックダウンモード)は、OpenAI製品のうち、Webや外部サービスに接続できるツールや機能を制限する高度なセキュリティ設定です。

OpenAIは、プロンプトインジェクションによるデータ持ち出しリスクを下げるため、外部へのネットワークリクエストを制限する設計だと説明しています。利便性は下がりますが、AIが悪意ある指示に誘導され、外部サイトや外部サービスへ機密情報を送信してしまう経路を減らすことが狙いです。

対象は、機密性の高い情報を扱う個人や組織です。すべての利用者に常時必要な設定ではありませんが、業務上の機密情報、顧客情報、未公開資料、契約情報、研究情報などをChatGPTで扱う可能性がある利用者には、検討すべき設定です。

プロンプトインジェクションとは

プロンプトインジェクションは、会話型AIに対するソーシャルエンジニアリング攻撃の一種です。

OpenAIは、第三者がWebページ、文書、メール、外部コンテンツなどに悪意ある指示を埋め込み、AIの会話コンテキストに混入させることで、利用者が意図しない動作をAIに行わせようとする攻撃だと説明しています。たとえば、利用者がAIにWebページや文書を読ませた際、その中に隠された指示によって、AIが本来の依頼から外れた行動を取る可能性があります。

従来のフィッシングが人間をだまして認証情報や機密情報を入力させるのに対し、プロンプトインジェクションはAIをだまして不適切な処理を行わせる点が特徴です。OpenAIは、業界全体で対応が必要な進化中のセキュリティ課題として位置付けています。

Lockdown Modeで制限される機能

Lockdown Modeを有効にすると、ChatGPTの複数の外部接続機能が制限されます。

機能	Lockdown Modeでの扱い
ライブWeb閲覧	キャッシュ済みコンテンツへのアクセスに限定
画像サポート	通常回答での画像表示やWeb画像取得を制限
画像生成	利用可能な環境では引き続き利用可能
Deep Research	無効化
Agent Mode	無効化
Canvasネットワーク	Canvas生成コードによるネットワークアクセスを承認不可
ファイルダウンロード	データ分析用のファイルダウンロード不可
手動アップロードファイル	引き続き利用可能
メモリ・会話共有	Lockdown Mode自体では変更なし
Codexのネットワークアクセス	影響なし

OpenAIは、これらの制限により、プロンプトインジェクション攻撃で最終的に機密情報を外部へ送信する段階を防ぎやすくすると説明しています。一方で、検索結果が限定されたり古くなったりするなど、通常利用時の利便性は低下します。

Lockdown Modeで防げること、防げないこと

Lockdown Modeは、外部へのデータ持ち出し経路を減らすための機能です。

重要なのは、プロンプトインジェクションそのものを完全に遮断する機能ではない点です。OpenAIは、キャッシュ済みWebコンテンツやアップロードされたファイル内に悪意ある指示が含まれる可能性があり、それがChatGPTの挙動や回答精度に影響する可能性は残ると説明しています。

つまり、Lockdown Modeは入口を完全に閉じるものではなく、外部への送信経路を減らす防御策です。機密情報を扱う組織では、Lockdown Modeに加えて、アップロードするファイルの管理、外部コネクタの制限、利用者教育、監査ログ確認を組み合わせる必要があります。

URL経由のデータ持ち出しリスクとの関係

OpenAIは別の技術解説で、AIエージェントがリンクや画像を読み込む際、URLそのものが情報持ち出し経路になり得ると説明しています。

攻撃者がAIを誘導し、機密情報をクエリ文字列などに含めたURLへアクセスさせると、攻撃者はWebサーバーのログからその情報を取得できる可能性があります。利用者の画面上では目立たなくても、背景で外部URLが読み込まれるだけで情報が漏れるリスクがあるためです。

Lockdown ModeがライブWeb閲覧や外部ネットワークアクセスを制限するのは、この種の静かなデータ持ち出し経路を減らす狙いがあります。

Apps・コネクタ・MCP利用時の注意点

Lockdown ModeにおけるApps、コネクタ、MCPの扱いは、アカウント種別やワークスペース設定によって異なります。

個人アカウントとセルフサービス型ChatGPT Businessでは、同期済みデータを使うコネクタは許可されますが、ライブコネクタアクセスや書き込み操作はブロックされます。Finances in ChatGPTやショッピングエージェント系の体験など、一部の接続体験も利用できません。

管理対象ワークスペースでは、Apps、MCP、コネクタはワークスペース設定とロールベースアクセス制御で管理されます。OpenAIは、Lockdown Modeが管理対象ワークスペース内のすべてのアプリを自動的に無効化するわけではないため、管理者が信頼できるアプリと必要なアクションだけを有効化すべきだと説明しています。

利用できるアカウント

OpenAIの公式ヘルプでは、Lockdown Modeはすべてのアカウント種別とワークスペースで利用可能とされています。

一方で、Free、Go、Plus、Proなどの個人アカウントとセルフサービス型ChatGPT Businessアカウントには順次展開中であり、設定画面に表示されない場合は、そのアカウントではまだ利用できない可能性があります。

管理対象ワークスペースでは、ワークスペース管理者がカスタムロールを作成し、Lockdown Modeロールとして指定したうえで、対象メンバーやグループへ割り当てる形になります。

有効化する方法

個人アカウントとセルフサービス型ChatGPT Businessでは、以下の手順で有効化できます。

手順	内容
1	ChatGPTのSettingsを開く
2	Securityを選択
3	Advanced securityのLockdown Modeを有効化
4	確認画面でTurn onを選択

Lockdown ModeとDeveloper Modeは同時に利用できません。Lockdown Modeを有効にするとDeveloper Modeは無効になり、後からDeveloper Modeを有効にするとLockdown Modeが無効になります。

Lockdown Modeを有効にしている場合でも、現在のチャットだけ無効にすることは可能です。OpenAIは、コンポーザー上部のステータスメッセージやメニューから、対象チャットのみLockdown Modeを無効化できると説明しています。

Active sessions管理との関係

SecurityOnlineの記事では、Lockdown ModeとあわせてActive Session Managerにも触れています。OpenAIの公式ヘルプでは、Active sessionsはChatGPTのSecurity設定から、最近のセッションや信頼済みデバイスを確認し、個別ログアウトや全セッションからのログアウトを行う機能として説明されています。

Active sessionsは、個人アカウントと管理対象ワークスペースを含むすべてのChatGPTアカウントとワークスペース種別で利用可能です。ただし、SAMLやOIDCなど組織のSSOサインインに紐づくアカウントでは利用できない場合があります。

全セッションからログアウトした場合、反映には最大30分かかることがあります。アカウント不正利用が疑われる場合は、Active sessionsの確認、不要セッションのログアウト、パスワード変更、サインイン方式の確認を行う必要があります。

企業が確認すべきポイント

機密情報を扱うユーザーから優先して適用する

Lockdown Modeは利便性を下げるため、全社員に一律適用するよりも、機密情報を扱うユーザーから優先して検討するのが現実的です。

優先対象	理由
経営企画・M&A担当	未公開情報や投資判断資料を扱うため
法務・知財	契約書、訴訟、知的財産情報を扱うため
情報システム部門	構成情報、ログ、認証情報を扱う可能性があるため
セキュリティ部門	インシデント情報や脆弱性情報を扱うため
人事・労務	従業員情報や評価情報を扱うため
研究開発	未公開技術や研究資料を扱うため
医療・教育・公共系	機微な個人情報を扱う可能性があるため

コネクタとアプリの権限を見直す

Lockdown Modeを有効化しても、管理対象ワークスペースではAppsやMCP、コネクタが自動的にすべて無効になるわけではありません。

ワークスペース管理者は、どのアプリがどのデータにアクセスできるか、読み取りだけか書き込みも可能か、外部へ副作用を持つ処理があるかを確認してください。OpenAIは、信頼できないアプリの読み書きアクションや、可視範囲が広い書き込みアクションはLockdown Mode利用者には推奨しないと説明しています。

ChatGPTに投入するデータのルールを整理する

Lockdown Modeは、機密情報を外部へ送信する経路を減らす対策です。ただし、ChatGPTへ入力する情報そのものの管理を置き換えるものではありません。

確認項目	内容
入力禁止情報	パスワード、秘密鍵、個人番号、顧客情報などを明確化
ファイルアップロード	アップロード可能な資料の分類を定義
ログ確認	監査ログやCompliance API Logs Platformの確認体制
外部コネクタ	Google Drive、GitHub、メール、SaaS連携の利用範囲
利用者教育	プロンプトインジェクションと外部コンテンツ読取リスクを周知
例外運用	Lockdown Modeを一時無効化する場合の判断基準

注意点

Lockdown Modeは、AI利用時のデータ持ち出しリスクを下げる有効な選択肢ですが、万能ではありません。

OpenAIは、Lockdown Modeがプロンプトインジェクション由来のデータ持ち出しリスクを大きく減らすよう設計されている一方で、データ持ち出しが絶対に起こらないことを保証するものではないと説明しています。リスクは、有効化されたApps、予期しない機能の組み合わせ、新たに発見される手法などを通じて残る可能性があります。

また、Lockdown Modeは学習利用設定を変更しません。会話データがモデル改善に使われるかどうかは、別途データコントロールやワークスペース設定で管理する必要があります。

今後確認すべきこと

今後、企業の情報システム部門は以下を確認してください。

確認点	理由
自社アカウントでLockdown Modeが利用可能か	順次展開のため、アカウントによって表示状況が異なる可能性があるため
管理対象ワークスペースのRBAC設計	Lockdown Modeの適用対象をロールで管理するため
Apps・MCP・コネクタ設定	Lockdown Modeでも許可されるアプリやアクションが残る可能性があるため
機密情報取扱ユーザーの選定	利便性低下を踏まえ、優先適用対象を決めるため
Developer Mode利用者	Lockdown Modeと同時利用できないため
Active sessions確認	不要なログインセッションや不審なデバイスを確認するため
利用者教育	プロンプトインジェクションは完全には防げないため