OpenAIの「ロックダウンモード(Lockdown Mode)」[1]は、ChatGPTの安全対策をモデルの判断だけに委ねないための機能だ。プロンプトインジェクションとは、Webページやファイル、外部サービスの中身を通じて紛れ込んだ第三者の指示が、モデルの振る舞いを書き換えてしまう攻撃手法を指す。ロックダウンモードはこの種の悪意ある指示を会話の前段で取り除くものではない。発想はむしろ逆で、指示が入り込んだ後でも、機密情報が外へ出ていく経路そのものを削ってしまおうというものである。
OpenAIは2026年2月13日にロックダウンモードと「Elevated Risk」ラベルを発表した。2026年6月4日の更新[2]で、個人向けChatGPTアカウントとセルフサービスのChatGPT Businessへも展開すると追記している。Help Centerによれば、Free、Go、Plus、Pro、セルフサービスChatGPT Businessを含む対象アカウントに順次ロールアウト中で、まだ使えない利用者もいる。今回の更新で大きいのは、企業管理者向けの設定だった同機能が、一般ユーザーが「この会話は接続機能を犠牲にしてもいい」と自分で選べる段階に来たことである。
防御の軸は、悪意ある指示の検出ではなく外部送信の遮断に置かれる
プロンプトインジェクションが厄介なのは、AIが触れる情報源の境界が、人間同士の会話のように閉じていない点にある。Webページを読む、ファイルを解析する、コネクタから業務データを引く、エージェントとして外部サービスを操作する。便利な機能ほど、ユーザーが書いていないテキストやデータが会話の文脈に入り込んでくる。
OpenAIの説明では、ロックダウンモードはモデル層・製品層・システム層の保護に追加する設定とのことだ。サンドボックス化、URL単位でのデータ流出対策、監視と執行、ロールベースアクセス制御、監査ログといった既存の防御を土台に、外部へのネットワーク要求を狭める。狙いは、攻撃の最終段で機密情報が攻撃者側へ送られる穴を塞ぐところにある。
この設計は、セキュリティ研究者のSimon Willison氏が「lethal trifecta(致命の三要素)」と呼ぶ整理と重なる[3]。LLMシステムが私的データに触れ、信頼できないコンテンツにさらされ、さらにデータを外部へ送り出す手段を持つとき、攻撃者はその三つの交差点を狙える。ロックダウンモードが手を入れるのは三つのうち、送出手段の側だ。モデルに「これは攻撃だから無視しろ」と毎回判断させるより、出口の数を設定として絞る方が、製品上の挙動としては扱いやすい。
OpenAI自身も、ロックダウンモードがプロンプトインジェクションの出現自体を防ぐとは明言していない。キャッシュ済みのWebコンテンツや、ユーザーがアップロードしたファイルに悪意ある指示が紛れていれば、ChatGPTの応答や正確性は引き続き影響を受けうる。つまりこの機能は「攻撃文を読まないための壁」ではなく、読んでしまったあとに情報を外へ運びにくくするための壁として位置づけられる。
制限される機能は、軒並み外部との接点に近い
ロックダウンモードをオンにすると、ライブWebブラウジングはキャッシュ済みの内容に限定される。検索結果は制限されるか、利用できないか、古い情報に留まる。Deep ResearchとAgent Modeは止まり、Canvasで生成したコードにネットワークへ出る許可を与えることもできない。データ分析用のファイルダウンロードも封じられる。
画像まわりにも制限がかかる。通常応答で画像を表示する動きや、Webから画像を取り出す動きは使えない。一方で、ユーザーが自分の端末から画像ファイルをアップロードする操作と、プランが許す範囲での画像生成はそのまま動く。仕切り方は一貫している。手元の入力を取り込む動作は残し、ChatGPTが外へ出て何かを取ってくる・送り出す動作を切る、という線引きである。
ロックダウンモードが扱わない領域もある。OpenAIは、メモリ、ファイルアップロード、会話共有、会話内容をモデルの改善に使うかどうかという論点を、この設定では変えないと説明している。学習利用やデータ保持の管理は別のデータコントロールやワークスペース設定の領分であり、ロックダウンモードをオンにしただけでプライバシー設定全体が一気に書き換わるわけではない。
ロックダウンモードはCodexのネットワークアクセスにも触れない。OpenAIは2月発表で、Codexのネットワークアクセスのような一部機能に「Elevated Risk」ラベルを付けてリスクを提示する方針も示している。ChatGPT側のロックダウンモードと、Codexなど他製品のリスク表示は、問題意識を共有しつつも作用する範囲が分かれている。
個人アカウントと管理ワークスペースでは、Appsの扱いが分かれる
個人アカウントとセルフサービスのChatGPT Businessでは、ロックダウンモードはSettingsのSecurityから有効化する。Advanced security配下でロックダウンモードをオンにし、確認モーダルで確定する手順で、コンポーザー上部に状態バッジが出る。必要なら会話ごとに一時的にオフに戻すこともできる。
手軽さの一方、Developer Modeとは併用できない。ロックダウンモードをオンにするとDeveloper Modeは自動でオフになり、Developer Modeを後からオンにするとロックダウンモードはオフに戻る。拡張的な開発者向け挙動と、保守的に外部接続を絞る挙動を同じ会話で両立させにくいという設計上の判断が透ける。
Appsとコネクタの扱いは一段細かい。個人・セルフサービスChatGPT Businessでは、同期済みデータを使うタイプのコネクタは使えるが、ライブのコネクタ操作と書き込みアクションはブロックされる。Finances in ChatGPTやショッピングエージェント体験のように、外部サービスと強く結びつく体験は提供されない。
管理ワークスペースでは、ロックダウンモードがApps、MCP、コネクタをまとめて自動的に切るわけではない。管理者がロールベースアクセス制御とアプリ設定を通じて、メンバーやグループごとにどのアプリとアクションを許可するかを制御する形になる。OpenAIは、信頼できないアプリの読み書きや、信頼済みアプリでも影響範囲が広い書き込みアクションを、ロックダウンモード環境下のユーザーには推奨しないとしている。
書き込みのほうが問題になりやすい。信頼済みアプリの読み取りは外部に副作用を残さないぶん、流出経路としての危険度は相対的に低い。書き込みはメッセージ投稿、ファイル作成、チケット更新のように、攻撃者の目に触れる場所へ機密情報を書き込んでしまう経路になりえる。管理ワークスペースでロックダウンモードを運用する意味は、機能を一括で落とすことそのものより、こうした副作用の範囲を職務単位で切り分けられるところにある。
名前ほどの隔離ではなく、敏感な作業だけ機能低下を選ぶ設計
「ロックダウンモード」という名前から受ける印象に反して、実態は完全な隔離ではない。OpenAIはデータ流出リスクを相当程度下げる設計だと説明しつつも、流出が起きないとは保証していない。残る経路として、許可されたApps、想定外の設定組み合わせ、将来見つかる新しい手法を挙げている。
プロンプトインジェクションが引き起こす問題はデータ流出に限らない。アップロードしたファイルに悪意ある指示が混じっていれば、ChatGPTが誤った答えを返すこともある。ロックダウンモードは外への送信路を絞るが、モデルが文脈中の悪意ある指示に影響される可能性そのものは残す。機密情報を扱う立場から見れば、送信リスクと回答品質のリスクを別々に捉える必要がある。
それでも、ロックダウンモードが示す方向性は小さくない。AI製品がWeb、業務アプリ、ファイル、エージェント機能とつながるほど、便利さは「外へ出る力」と表裏一体になる。外へ出られるシステムでは、プロンプトインジェクションは奇妙な回答の問題であると同時に、情報移動経路の問題でもある。ロックダウンモードは、その経路を製品設定の側から絞る選択肢をユーザーと管理者の両方に渡した。
ここから先、焦点になるのはどの作業をロックダウンモードの下で行うかだ。役員、セキュリティ担当、法務、医療、機密顧客情報や未公開情報を扱うチームにとっては、Deep ResearchやAgent Modeを諦めるコストを払っても外部接続を絞る意義がある。日常的な調べ物や買い物の相談、画像確認、ファイル取得が中心の使い方では、同じ設定が作業効率を大きく削る。
OpenAIはHelp CenterのFAQで、プロンプトインジェクションは現時点で主要なリスクではないが、攻撃側の高度化が進めば影響は大きくなりうると記している。同社はこの問題を「frontier, challenging research problem」とも位置づける。ロックダウンモードの投入は、AIの接続機能が広がる局面で、モデル自体を賢くするだけでは追いつかないという現実を、製品の仕様という形で表に出した動きだ。機微なデータを扱う場面で頼りになる防御は、巧妙に無視してくれるモデルではなく、そもそも外へ出られない経路をどれだけ用意できるかに軸足を移していく。
