OpenAIのセキュリティ情報を提供するサイト「OpenAI Security Portal」を調べてみた

2023.04.07

ChatGPTの業務利用の検討にあたって、セキュリティチェックを行う必要があるなど、OpenAI社のセキュリティの取り組みの詳細を知りたい、という方は多いのではないでしょうか。

OpenAI社では、自社のセキュリティ情報を提供する「OpenAI Security Portal」というポータルサイトを公開しています。

NDAの締結は必要となりますが、申請することでサービスのセキュリティや統制の保証報告書であるSOC2レポートや、ペネトレーションテストの結果、そのほかさまざまなセキュリティの取り組みについての情報を確認できます。当然、提供される資料の内容について触れることはできませんが、簡単にこのサイトの紹介をしてみたいと思います。

サイトについて

実際のサイトは下記となります。

SAFEBASEというセキュリティ/コンプライアンスを共有するためのサービスで提供されているようです。

提供される情報

このサイトを通じて取得できる情報の種類は、ログインをしなくても確認が可能です(実際に確認するには、後述のアクセス申請が必要)

ドキュメントとしては下記が存在します。

Pentest Report

第三者によるペネトレーションテストの実施レポートです。

SOC 2

SOCはサービス組織の統制を評価する認証です。SOC1/2/3, Type1/2といった複数の種類がありますが、OpenAI社ではAPIについて「SOC2 Type2」の認証を受けているようです。(これはOpenAIのAPIデータ利用ポリシーのページにも明記されています)

SOC2に関しては以前筆者が概要をまとめたブログ記事がありますのでご参照ください。

CAIQ Lite

CAIQはCloud Security Alliance (CSA)が提供しているクラウドサービスセキュリティのセルフアセスメント(自己評価)ツールです。CAIQ Liteはその簡易版となります。 CSAジャパンに解説があるため、詳細はそちらをご参照ください。

VSA Full

Vendor Security Alliance (VSA)が提供する質問票(Questionnaire)です。詳細はVSAのページをご確認ください。

これらのドキュメントほか、「Product Security」「Data Security」など、カテゴリごとに各種情報が掲載されています。いずれも、アクセスが承認されログインすると確認できるようになります。

利用方法

サイト内で提供される情報を取得するには、まずアクセスのリクエストを行う必要があります。流れは以下の通りです:

  • 画面上部の「Request Access」、またはドキュメントをクリックすると、初期登録フォームが表示されます。

  • 登録フォームから氏名、メール、所属企業等の情報を入力・プライバシーポリシーへの同意をすることでリクエストが送信されます。
  • しばらくするとアクセスが承認され(筆者の場合、だいたい半日ほどで承認されました)、メールにて資料へのアクセスが可能な(ログイできる)一時的なリンクが届きます。
  • 初回登録時は、NDAへの署名が求められます。条文を確認し、問題なければ署名を行います。
  • NDA署名後、ログインが行われ、各種資料のダウンロードが可能となります。

リンクからのログインは一定期間のみ有効で、有効期限を過ぎると再度アクセス権の再請求が必要となります(ログインパスワードがあるわけではなく、アクセスのたびにログイン用一時リンクを受け取る形のようです。

アクセス権の再請求は、画面上部の「Reclaim Access」から行うことができます。

申請時に利用したメールアドレスを入力すると、そのメールアドレスにログイン用の一時リンクが再度送られます。 ログインパスワードなどがあるわけではなく、アクセスの際は常にこの一時リンクを再請求する形のようです。

おわりに

以上、OpenAI Security Portalの簡単なご紹介でした。 掲載されている情報の詳細に触れることはできませんが、セキュリティに関する多くの情報が公開されています。 OpenAIのセキュリティの評価には非常に有用な情報源なので、活用してみてはいかがでしょうか。

ではでは。