ホーム / ブログ / ChatGPTのActive sessionsとは?不審ログインを見逃さない確認手順・SSO制限・全端末ログアウトを整理する管理チェックリスト【2026年速報】
ChatGPTのActive sessionsとは?不審ログインを見逃さない確認手順・SSO制限・全端末ログアウトを整理する管理チェックリスト【2026年速報】

ChatGPTのActive sessionsとは?不審ログインを見逃さない確認手順・SSO制限・全端末ログアウトを整理する管理チェックリスト【2026年速報】

2026年6月2日、OpenAIはChatGPTのSecurity設定にActive sessionsを追加しました。ChatGPT、Codex、API Platformのうち、セッション管理で把握できるOpenAI純正セッションを一覧し、不審な端末を個別または一括でログアウトできる機能です。社内でChatGPTやCodexの利用が広がるほど、"誰がどの端末で入りっぱなしなのか" を見える化したい場面は増えます。この記事では、公式ヘルプで確認できる範囲だけに絞って、何が見えるのか、何が見えないのか、SSO環境ではどう制限されるのか、管理担当者が最初に整えるべき確認手順を整理します。

Active sessionsで何ができる?

OpenAIのリリースノートによると、Active sessionsではSettings > Security > Active sessionsから、端末またはブラウザ情報、ChatGPT・Codex・API Platformといったアプリ文脈、概算の位置情報、サインイン日時、Trusted deviceかどうか、Current sessionかどうかを確認できます。要するに、"このアカウントがどのOpenAI純正画面で使われているか" を後追いしやすくなる機能です。個別ログアウトと全端末ログアウトの両方に対応しているため、共有PCの置き忘れや、退勤後もブラウザが開きっぱなしだったケースの初動を速められます。

見える範囲と見えない範囲を先に整理する

ここで重要なのは、Active sessionsが万能な監査台帳ではない点です。公式ヘルプでは、第三者アプリのセッション、Connected apps、Sign in with ChatGPTで第三者サービスだけに使われたセッション、Codex CLIのセッションは表示も管理もできないと明記されています。また、表示される情報は概算または不完全な場合があり、1つのブラウザ行が複数のOpenAI製品の利用をまとめて表すこともあります。つまり、"見えていない=使われていない" と断定してはいけません。社内説明では、まず対象範囲を限定して伝えることが運用事故を減らします。

SSO環境で注意したい制限

Active sessionsは全ChatGPTアカウントとworkspace typeで使える一方、組織のSSOサインインに紐づくアカウントでは利用できません。OpenAIはSAMLまたはOIDC連携のアカウントを対象外とし、組織が毎回SSOを強制していなくても、SSOリンク済みなら表示されない場合があると案内しています。ここは導入担当者が誤解しやすい点です。EnterpriseやBusiness相当の管理下だから必ず見える、ではありません。社内の本人確認や端末統制をSSO側で担保しているなら、Active sessionsは補助機能であり、主監査の置き換えにはならないと整理しておくべきです。

不審ログインを見つけたときの確認手順

実務では、1. Current session以外で見覚えのない端末や都市がないか確認する、2. 共有端末ならTrusted device表記の有無も見る、3. 不明な行は個別Log outを実行する、4. 状況が読めない場合はLog out of all sessionsで全端末を落とす、の順が現実的です。公式ヘルプでは、全端末ログアウトの反映に最大30分かかるとされています。インシデント初動ではこのタイムラグも前提にし、パスワード利用アカウントならパスワード変更、サインイン方法の見直し、OpenAI Supportへの連絡まで含めて手順書化しておくと迷いません。

社内ルールに落とし込むなら何を決めるべきか

HelloCraftAIとしては、月次で全員に画面確認を求めるより、退職・異動・共有端末利用・外部委託終了の4場面に絞って点検する運用を勧めます。Active sessionsは詳細な監査ログというより、利用者本人が自衛しやすくなる安全装置です。そのため、情報システム部門は"どの行が正常で、どの行で全端末ログアウトを使うか" を短いチェックリストにして配るのが効果的です。特にCodexやAPI Platformも同じ画面文脈に出る場合があるため、生成AI利用が複数製品にまたがる企業ほど、窓口をSecurity設定に一本化できる価値があります。

よくある質問

Q. Codex CLIの利用も確認できますか? A. できません。公式ヘルプではCodex CLI sessionsは対象外です。Q. SSOを使う会社でも全員使えますか? A. いいえ。組織のSSOサインインに紐づくアカウントでは利用できない場合があります。Q. ログアウト後すぐに消えますか? A. 行が残ることがあり、反映には通常の伝播待ちや最大30分程度を見込む必要があります。Q. 位置情報は正確ですか? A. 公式には概算または不完全な場合があるため、単独証拠としてではなく補助情報として扱うべきです。

ChatGPTやCodexの社内利用ルール、共有端末の扱い、SSO前提の運用整理まで含めて見直したい場合は、 HelloCraftAIへご相談ください 。現場で回るチェックリスト設計まで支援します。

← ブログ一覧に戻る