セキュリティの変更情報

セキュリティに分類された変更を、影響、必要な対応、期限とともに新しい順で確認できます。

5 記事0 期限あり0 更新・訂正最終更新 2026年7月13日

変更記事

変更種別一覧
新規セキュリティ
OpenAI

OpenAI Safety Usage DashboardとInline Moderationを運用へ組み込む、遮断・誤検知・監査設計

OpenAIはsafety_identifierに基づく遮断状況を確認できるSafety Usage Dashboardと、Responses API・Chat Completions APIで入力・出力のModerationスコアを返すInline Moderationを追加した。可視化と判定材料は増えたが、スコアは自社ポリシーへ変換し、モデル出力を利用者へ表示する前に検査し、誤検知・回避・個人識別子のハッシュ化・異議申立てを設計する必要がある。

影響
ユーザー生成入力、公開出力、子ども向け機能、高リスク業務、UGC、エージェントをOpenAI APIで提供するプロダクト・Trust & Safety・セキュリティ部門
対応
安定した匿名safety_identifierを付与し、入力・出力スコアを自社ポリシーへマッピングし、表示前遮断、レビュー、誤検知、監査、Dashboard監視を実装する
期限
期限なし
新規セキュリティ
OpenAI

OpenAI Secure MCP Tunnelで社内MCPを公開せず接続する、境界防御と監査の実装

OpenAI Secure MCP Tunnelは、社内やオンプレミスのMCPサーバーからOpenAIへアウトバウンド接続し、公開インバウンドポートなしでChatGPT、Codex、Responses APIから利用できるようにする。公開URLを消せる一方、トンネルクライアント、OpenAI側RBAC、MCPツール権限、OAuth、ログ境界を一体で設計しなければ、非公開化が過剰権限を隠すだけになる。

影響
社内DB、CRM、ファイル、チケット、オンプレミス業務システムをMCP経由でChatGPT、Codex、Responses APIへ接続する開発・セキュリティ・ネットワーク部門
対応
専用トンネルクライアント、最小権限RBAC、許可MCP・Tool、OAuth、Egress制御、監査ログ、停止手順を設計し、読み取り専用から段階導入する
期限
期限なし
新規セキュリティ
OpenAI

OpenAIのWorkload Identity FederationでAPIキーを廃止する、短期トークン移行の設計と落とし穴

OpenAI APIのWorkload Identity Federationは、クラウドやKubernetes、GitHub ActionsなどのOIDCアイデンティティを短期OpenAIトークンへ交換し、長期APIキーの配布を減らす。導入効果は大きいが、Issuer・Subject・Audienceの設計、サービスアカウント対応、失効、監査、段階移行を誤ると、鍵管理の問題がフェデレーション設定の問題へ移るだけになる。

影響
OpenAI APIキーをCI/CD、Kubernetes、クラウドワークロード、バッチ処理、社内サービスへ配布している開発・セキュリティ・プラットフォーム部門
対応
信頼するIssuerとSubjectを最小化し、サービスアカウント対応、Audience、TTL、権限、監査ログ、緊急停止を設計したうえでAPIキーから段階移行する
期限
期限なし
新規セキュリティ
Anthropic

AnthropicがCMEK保存イベントを明確化、顧客鍵の外へ再暗号化される例外をどう監査するか

AnthropicはAccess Transparencyでcmek_preserveイベントの仕様を明確化した。重大な安全調査などで保存対象となった内容は、CMEK組織でも顧客管理鍵の外へ再暗号化される場合があり、その変更はCompliance APIへ記録される。企業は鍵管理、保持方針、契約、SIEM、インシデント対応を一体で見直す必要がある。

影響
Claude APIでCMEK、Zero Data Retention、Compliance API、Access Transparencyを利用するセキュリティ・法務・監査・基盤運用部門
対応
cmek_preserveとanthropic_accessをCompliance APIから収集し、契約上の保持例外、通知遅延、対象外サーフェスを反映した監視・証跡・対応手順を整備する
期限
期限なし
新規セキュリティ
OpenAI

AIエージェントの安全性は「賢さ」ではなく、渡した権限で決まる

プロンプトインジェクションを完全に見抜く前提では、実行権限を持つAIエージェントを安全に運用できない。必要なのは入力検知だけでなく、最小権限、承認、分離、監査、取り消しを組み合わせた能力制御である。

影響
対象サービスの管理者・利用者
対応
影響範囲を確認
期限
期限なし