生成AIアプリの統合認証の事例

生成AIの業務活用が急速に広がる一方、不正アクセスや情報漏洩のリスクへの対策も求められています。特に問題となるのが、従業員が会社の許可なく生成AIを使ういわゆる「シャドーAI」の存在です。機密情報が意図せず外部に流出するリスクを防ぐには、誰がどのAIツールを利用しているかを組織として把握・管理する仕組みが不可欠です。

こうした背景から注目されているのが、統合ID管理・SSO（シングルサインオン）・多要素認証を組み合わせた「統合認証システム」の整備です。本ページでは、生成AIと統合認証に関わる事例を3つのカテゴリに分けて紹介します。

生成AIアプリに多要素認証が必要な理由

生成AIアプリを業務で活用する動きが広がっています。一方で、精度の高い回答を得るために個人情報や機密情報を入力するケースも多く、不正アクセスによる情報漏洩リスクが課題となっています。

株式会社コーレが実施した調査では、53.4％が「会社が許可していない生成AIを業務で利用したことがある」と回答。入力情報について「機密情報だった」と答えた割合も10.4％に上ります。

また、セキュリティ企業Group-IBによると、生成AIのアカウントはダークウェブのマーケットプレイスで取引されており、確認されているだけでも10万件以上（2023年6月時点）のアカウントが流通しています。

これらのリスクに対応するには、多要素認証だけでなく、統合ID管理やSSOを含めた統合認証システム全体の整備が求められます。「誰がどのAIツールを使えるか」を組織として一元管理することが、安全な生成AI活用の出発点です。

生成AIについて詳しく見る

統合ID管理×生成AIの事例

Microsoft Entra IDで生成AIアクセスを一元管理｜電通総研の取り組み

電通総研AIトランスフォーメーションセンターでは、Microsoft Entra ID（旧Azure AD）を活用した統合ID管理基盤のもと、生成AIツールへのアクセス権限を一元管理する仕組みを整備しています。社員が普段使うMicrosoftアカウントで生成AIにログインできるため利便性を損なわず、部署や役職ごとにアクセスできるデータ範囲や利用可能なAI機能を細かく設定することも可能です。たとえば、機密データへの参照は管理職のみに限定するといった制御も実現できます。また、すべてのアクセスが統一されたID基盤に記録されるため、内部統制や監査対応の面でも有効な仕組みとして評価されています。

SSO（シングルサインオン）×生成AIの事例

OktaとChatGPT EnterpriseをSSO連携｜MIXIの全社展開事例

株式会社MIXIは、2025年3月のChatGPT Enterprise全社展開にあたり、IDaaS（Identity as a Service）であるOktaとのSAML連携によるシングルサインオン（SSO）を導入しました。以前は個人アカウントによる管理の分散が課題となっていましたが、OktaのSCIM機能を活用した自動プロビジョニングの導入により、入退社や異動に応じたアカウント管理の自動化を実現しました。退職者アカウントの残存リスクや、未管理のライセンスが放置されるといった問題を解消しました。約3週間という短期間で数千アカウントの全社展開を完了しており、安全性と管理効率を両立した事例として注目されています。

生成AIエンタープライズサーチにOktaのSSOを統合｜アシストの活用事例

株式会社アシストは、生成AIベースのエンタープライズサーチ「Glean」の認証にOktaのSSOを組み合わせて活用しています。GleanはMicrosoft 365・Google Workspace・Slackといった複数の業務ツールを横断的に検索し、ChatGPTと連携して回答を生成するサービスですが、OktaとのSAML連携により、社員は一度の認証で安全にアクセスできる環境を実現しました。生成AIサービス側に多要素認証機能が不十分な場合でも、Okta側でMFAや条件付きアクセスポリシーを一括適用できる点が、セキュリティ面での大きなメリットとなっています。

多要素認証×生成AIの事例

ChatGPTに多要素認証を導入｜OpenAIの公式対応

OpenAIは2024年3月、ChatGPTおよびAPIアカウントに多要素認証（MFA）を導入したことを公式X（旧Twitter）で発表しました。設定画面（Settings）で「Multi-factor authentication」の「Enable」を選択し、スマートフォンの認証アプリ（Google Authenticatorなど）でQRコードをスキャンするだけで設定が完了します。有効化後はログイン時にワンタイムコードの入力が求められるため、メールアドレスとパスワードが流出した場合でも不正ログインのリスクを大幅に軽減できます。ダークウェブで10万件超のChatGPTアカウントが流通している実態を踏まえると、多要素認証の有効化は生成AI利用における基本的なセキュリティ対策といえます。

生成AI時代のMFAは「方式の選択」が重要｜PwC Japanの提言

PwC Japanは、生成AIによるフィッシング攻撃の高度化を受け、「MFAを導入しているかどうか」ではなく「どの認証方式を選ぶか」が重要だと提言しています。AIによって精巧な偽サイトや自然な日本語のフィッシングメールが容易に生成できる現在、SMSコードやTOTPコードの入力方式は人間の注意力に依存するため限界があります。一方、パスキーのような公開鍵ベースの認証方式はフィッシングに対して技術的に強い構造を持ちます。企業側には、AI耐性を前提とした認証設計と、利用者の注意力に依存しない防御策の実装が強く求められています。

生成AIアプリに活用できる統合認証を確認しよう

生成AIの業務活用を安全に進めるには、多要素認証の導入だけでなく、統合ID管理とSSOを組み合わせた統合認証システムの整備が有効です。「誰が・どのツールを・どの範囲で使えるか」を一元管理することで、シャドーAIのリスクを抑えながら組織全体のセキュリティレベルを高めることができます。また、認証方式はフィッシング耐性の高いものを選ぶことが、生成AI時代においてより重要になっています。

生成AIを業務に取り入れる際は、ぜひ統合認証システムの導入も合わせてご検討ください。

統合ID管理関連システム
について確認する