Ignite 2024 で発表されたセキュリティとガバナンスに関する Microsoft 365 Copilot のイノベーション

※ 本ブログは、米国時間 2024/11/19 に公開された “Security and governance innovations for Microsoft 365 Copilot from Ignite 2024” の抄訳です。

Microsoft 365 Copilot に導入される最新のセキュリティおよびガバナンス機能の紹介

本日、Microsoft 365 Copilot に導入される最新のセキュリティおよびガバナンス機能を発表します。これにより、機密データの保護、AI によるリスクの検出、Copilot の使用の管理においてユーザーを支援します。

Copilot による過剰共有への対処

コンテンツ ガバナンスを効果的に行うことは、組織のコンテンツの完全性、セキュリティ、関連性を維持するうえで常に重要となります。AI の力によって従来以上にコンテンツを見つけやすくなっていることで、このニーズがさらに高まっています。このような状況下でコンテンツ ガバナンスをより確実に行うには、コンテンツ管理のプロセスを効率化し、データの関連性とセキュリティを確保しながら、全体的なコンテンツの品質を向上させるための戦略とツールの両方を実装する必要があります。

マイクロソフトは過剰共有の懸念に対処するため、サイト管理とコンテンツ ガバナンスの機能を備える SharePoint Advanced Management と、データやファイル全般のセキュリティ、コンプライアンス、ガバナンスを目的とした Microsoft Purview という 2 つの強力なツールを提供しています。本日、過剰共有への対処に役立つ新機能を両方のツールに追加することを発表します。

組み込みのコンテンツ ガバナンス機能で Microsoft 365 Copilot の導入を加速

本日、Microsoft 365 Copilot に、SharePoint Advanced Management による組み込みのコンテンツ ガバナンス制御機能およびインサイトが追加されることを発表します (2025 年の初めに提供開始予定)。これにより Copilot の展開が加速され、監視の自動化を大規模に実施することができます。この更新の詳細については、こちらの記事 (英語) をご確認ください。

SharePoint Advanced Management は、Microsoft Copilot の展開プロセス全体にわたってコンテンツ ガバナンスを強化する強力なツール スイートを提供します。これには、過剰共有のリスクの軽減、コンテンツの乱立の制御、サイトのライフサイクル管理といった複数の新機能が含まれています。

Copilot や組織全体の検索でのサイト コンテンツの表示を防ぐ

組織内で責任を持つグループや個人がデータにアクセスし、データについて説明し、データを保護して品質を管理できるようにすることは、ガバナンスの基本です。9 月に発表された制限付きコンテンツ検出 (RCD) は、12 月初旬までにパブリック プレビューとしてロール アウトされます。RCD を使用すると、検索や Copilot が特定のデータ サイトに対して推論を実行しないよう制限するためのポリシーを構成できます。これにより、サイトへのアクセス権限を変更せずに、サイトのコンテンツが Copilot や組織全体の検索で表示されないようにすることができます。チーム サイトとコミュニケーション サイトのいずれに対してもきめ細かく制御可能です。

特定のサイトやコンテンツへのアクセスを制限

SharePoint Advanced Management (SAM) で提供が開始された制限付きアクセス制御 (RAC) ポリシーの分析情報は、セキュリティとガバナンスを強化するための強力なツールです。RAC ポリシーを使用すると、特定のサイトやコンテンツへのアクセス許可を、指定したユーザー グループのみに制限できます。これにより、ファイルやフォルダーが過剰共有されている場合でも、承認されたユーザーのみが機密情報にアクセスできるように制限することができます。制限付きアクセス制御ポリシーの分析情報からは、RAC ポリシーの適用によって 1 つ以上のサイトへのアクセスを拒否されたユーザーのレポートが提供され、RAC が強化されます。

サードパーティ アプリケーションからのアクセスをすばやく検出

アプリケーションによって自身のコンテンツがどのように扱われるかを理解することは、ユーザーがコンテンツにどのようにアクセスするかを理解することと同じくらい重要です。12 月にリリースされるEnterprise Application Insightsは、詳細なレポートを提供する機能であり、テナントに登録されているサード パーティ アプリケーションによるアクセスが許可されているすべての SharePoint サイトを把握するのに役立ちます。また、アプリケーションのアクセス許可と要求数に関する分析情報も提供されるため、それを基に必要な措置を講じてサイトのセキュリティを強化できます。

過剰共有されている可能性のあるコンテンツを含む OneDrive を特定

ファイルのアクセス権限を適切に設定することは、デジタル資産の保護、機密性の維持、ファイルの完全性の確保において不可欠です。12 月にリリースされるデータ アクセス ガバナンスでは、過剰共有されている可能性のあるコンテンツや機密性の高いコンテンツを含む OneDrive サイトを特定し、レポートとして表示することができます。このレポートを使用すると、セキュリティおよびコンプライアンス ポリシーを適切に評価して適用することが可能です。

Copilot エージェントによるコンテンツへのアクセスの適切性を検証

Copilot エージェントは、個人やチーム、組織と協調して、またはその代理として、ビジネス プロセスを自動化し実行することを目的に設計された AI アシスタントです。指示に対して応答を返す単純なものから、より高度で完全に自律化されたものまで多岐にわたります。12 月にプレビューとしてリリースされる Copilot エージェントのインサイトおよびアクションを使用すると、SharePoint 環境内でのガバナンスと生産性を強化できます。Copilot エージェントが SharePoint コンテンツをどのように取り扱うかに関する詳細なレポートを取得できるため、エージェントのアクティビティを効果的に監視および管理するのに役立ちます。

こうしたインサイトを活用すると、Copilot エージェントによるコンテンツへのアクセスやコンテンツの利用が適切に行われているかを確認し、不正アクセスのリスクを軽減して、全体的なデータ ガバナンスを向上させることができます。

アクセス権限が過剰に付与されている可能性のあるコンテンツの特定を支援

12 月にプレビューとしてリリースされるアクセス許可範囲制限レポートでは、個人およびグループに割り当てられた権限について、SharePoint サイト全体の詳細な情報が得られます。これらのレポートは、権限が過剰に付与されている可能性のあるコンテンツを特定し、承認されたユーザーのみが機密情報にアクセスできるようにするのに役立ちます。

レポートを活用することで、セキュリティ態勢の強化、アクセス管理の効率化、企業ポリシーへの準拠を実現できます。

また、9 月に発表された SharePoint Advanced Management の機能の一般提供が開始されました。

• アクセス許可状況レポート: テナント内でアクセス権限が過剰に付与されている可能性のあるコンテンツを管理者が発見できるようにします。
• サイト所有権ポリシー: 管理者がサイト所有者数を最小限に維持したり、最も適切で責任のある個人を特定したりといった、コンテンツ所有権の管理に関連する時間のかかるタスクを自動化できます。
• 非アクティブな SharePoint サイト ポリシー: 古くなったコンテンツや無関係のコンテンツを削除して、過剰共有を最小限に抑え、ガバナンスが必要な範囲を絞り込みます。
• 制限付きサイト作成: 管理者が SharePoint サイトの作成を特定のユーザーに制限し、組織内にコンテンツが乱立するのを抑制できます。
• サイト アクセス レビュー: データ アクセス ガバナンス レポートのレビュー プロセスを、IT 管理者から過剰共有されたサイトの所有者に委任できます。

これらの機能の詳細については、9 月の発表時のブログ記事「SharePoint Advanced Management で生成 AI のデータを管理する」をご覧ください。

新しい Microsoft Purview の機能でデータとファイルのセキュリティ、コンプライアンス、ガバナンスの管理を支援

Microsoft Purview によってデータおよびファイルのセキュリティ、コンプライアンス、ガバナンスに関連するリスクを管理することで、Microsoft 365 Copilot による変革を加速させることができます。Purview は SharePoint Advanced Management が備える組み込みのコンテンツ ガバナンス機能を補完するもので、データの過剰共有、漏えい、コンプライアンスに反する使用といった懸念に対処します。

過剰共有のリスクがあるデータを検出

現在パブリック プレビュー中の新機能である AI 向けデータ セキュリティ態勢管理 (DSPM for AI) の過剰共有評価は、過剰共有のリスクがあるデータの検出に役立ちます。この機能では、データをスキャンして機密情報の種類を調べ、既存のユーザー アクセスのパターンに基づいて過剰共有の可能性がある場所を特定することでリスクを評価します。過剰共有評価では、わずか数クリックで、過剰共有のリスクを軽減する方法の推奨事項が提案されます。たとえば、過剰共有されたコンテンツに秘密度ラベルを適用する、SharePoint Access Management を使用してサイトを制限付きコンテンツ検出に追加する、新しいサイト アクセス レビューを開始するなどが挙げられます。管理者は、Copilot を展開する前に評価を実行することで、ラベルが適用されていないファイルへのユーザー アクセスなどのリスクを特定し、軽減できます。展開後の評価では、Copilot による応答での機密データの参照といったリスクが特定されます。詳細については、発表時の記事 (英語) をご覧ください。

ラベルに基づいて Copilot によるドキュメント内の機密コンテンツへのアクセスを防止

データの過剰共有と漏えいは、Microsoft 365 Copilot のような生成 AI テクノロジを導入している組織にとって重大な懸念事項です。このような懸念に対処するため、AI による過剰共有のリスクの軽減を目的とした Microsoft 365 Copilot 向け Microsoft Purview データ損失防止 (DLP) のパブリック プレビューを開始します。この新機能は、Microsoft 365 Business Chat がドキュメントの内容を使用して要約や回答を作成することを防止するものです。これは SharePoint や OneDrive に保存されている Office ファイルと PDF を対象としており、ファイルの秘密度ラベルに基づいて行われます。これにより、ラベルが適用されたドキュメントに含まれる機密性の高いコンテンツは Copilot の処理対象から除外され、回答をコピーして他のアプリケーションに貼り付けることができなくなります。

こうしたアプローチにより、管理者は機密性の高いコンテンツが M365 Copilot で使用されないようにするための設定を簡単に行えます。この機能は、ファイル、グループ、サイト、ユーザーといったさまざまなレベルで構成できます。たとえば、DLP ポリシーにより、個人情報の秘密度ラベルや指定した任意の秘密度ラベルが適用されたドキュメントのコンテンツを、M365 Copilot が処理に使用しないようにすることができます。詳細についてはこちら (英語) をご覧ください。

ユーザーと AI のやり取りにおける過剰共有の可能性を特定し、対処

Microsoft Purview インサイダー リスク管理 (IRM) は、さまざまなシグナルを関連付けて、IP の盗用、データ漏えい、セキュリティ違反といった不注意や過失による、または悪意のある組織内の人物による潜在的なリスクを特定します。そして本日、Purview IRM での危険な AI 利用の検出のパブリック プレビューを開始します。この機能は、機密情報へのアクセス要求が含まれるプロンプトや、機密ファイルから生成された回答といった、過剰共有のリスクが潜んでいる操作の特定に重点を置いています。この新しい検出機能により、ユーザーが M365 Copilot や Copilot Studio を利用することによって発生する潜在的なデータ関連のリスクを特定して対処し、こうしたテクノロジが誤った形で使用されるのを防ぐことができます。さらに、分析ダッシュボードは、組織内での危険な AI 利用に関連する主なリスクを特定するのに役立つほか、リスクの高い操作を減らすために推奨されるポリシーを提案します。詳細についてはこちら (英語) をご覧ください。

生成 AI 向けに情報を整理する方法

組織内での過剰共有のリスクに対処するお客様をサポートするため、新しいリソースを 2 つ公開しました。

マイクロソフトの展開ブループリント「Microsoft 365 Copilot での過剰共有に関する問題への対処」は、M365 Copilot の展開中に組織内での過剰共有に関する懸念に対処するための方法を提案するものです。このブループリントでは、展開の過程をパイロット、展開、初期展開後の運用の 3 つのフェーズに分割しています。また、このブログで取り上げた新機能の SAM や Purview も含まれています。

Microsoft Mechanics の動画シリーズの最新エピソード「エンタープライズ規模での過剰共有の制御 | Microsoft Purview での Microsoft 365 Copilot の更新」では、展開ブループリントで概説されている手法のデモを紹介しています。この動画では、DSPM for AI、DLP for M365 Copilot、SAM を使用して、データの可視性の制御、サイト アクセス レビューの自動化、アクセス許可の微調整を行い、過剰共有のリスクを最小限に抑える方法について説明しています。

AI のセキュリティおよびリスク管理のためのイノベーションを継続

Microsoft 365 Copilot および Microsoft Copilot のデータ セキュリティとコンプライアンス保護の管理

ここからは、Microsoft 365 Copilot での過剰共有やその他の問題に対応する Microsoft Purview のセキュリティ、コンプライアンス、ガバナンスの機能をいくつか見ていきます。

AI の使用状況の可視化

セキュリティ チームが、AI の使用状況に関連するデータ セキュリティとコンプライアンスのリスクについて十分に理解していないというケースはよくあります。これらが適切に可視化されていないと、組織の資産を効果的に保護することはできません。一般提供が開始されている AI 向けデータ セキュリティ態勢管理 (DSPM for AI) は、Copilot のプロンプトと回答における機密データの流れを可視化し、データの過剰共有や漏えい、コンプライアンスに反する Microsoft 365 Copilot の使用に関連するリスクを明確化します。DSPM for AI では、このような事態を回避するために AI の使用を制限する代わりに、既存の Microsoft Purview 機能を使用した保護ポリシーが提案されます。詳細についてはこちら (英語) をご覧ください。

生成 AI の使用におけるセキュリティとコンプライアンスを強化

生成 AI によってセキュリティや安全性に関するリスクが新たに発生しており、それに対処するには新しい制御機能が必要です。その例として、悪意のあるユーザーがプロンプト インジェクション攻撃によって生成 AI を許可されていない方法で動作させようとしたり、ユーザーが知的財産法に違反する可能性のあるコンテンツを作成したりすることなどが挙げられます。そして本日、新たに Microsoft Purview コミュニケーション コンプライアンスの生成 AI リスク検出を発表します。これは、Azure AI Content Safety チームのプロンプト シールドおよび保護されたマテリアルの分類子を使用して構築された新機能です。Microsoft Purview では、直接的および間接的なプロンプト インジェクションや、Copilot の回答で保護されたマテリアルが使用されることなどのリスクを検出できるようになりました。保護されたマテリアルの使用には、ニュース記事、歌詞、既知の GitHub リポジトリから取得されたコード、生成 AI の回答内のソフトウェア ライブラリといったソースが含まれます。適切なアクセス権限を持つ管理者はアラートを受け取ることができるため、インシデントが発生するリスクを調査し、より安全かつコンプライアンスに準拠した Copilot の使用を実現できます。詳細についてはこちら (英語) をご覧ください。

Copilot とのやり取りを保持および削除する管理オプションを改良

Purview データ ライフサイクル管理ポリシーを使用して、Copilot のプロンプトと回答を保持および削除することができます。これまで、Copilot とのやり取りには Microsoft Teams チャットと同じポリシーが適用されていたため、Copilot とのやり取りと Teams チャットはいずれも、同じ設定の下で保持と削除が行われていました。本日、Microsoft Copilot エクスペリエンス専用のデータ ライフサイクル管理ポリシーの場所を新たに追加することを発表します。これにより、管理者が Copilot とのやり取り専用に、Microsoft Teams チャットと異なる保持および削除設定を指定できるようになります。詳細についてはこちら (英語) をご覧ください。

Web 検索の制御機能を強化

Copilot が Web コンテンツを参照できるようにすることのメリットを実感するお客様が増えており、Bing 検索サービスから情報を取得するために Copilot が生成したクエリを確認できるようにしたいという要望が高まっています。

本日一般提供を開始する新機能により、Microsoft 365 Copilot Business Chat で、Copilot が生成した Web クエリをユーザーと管理者が詳細に確認できるようになります。ユーザー向けの Bing Web 検索クエリ引用では、Copilot の回答の引用元リンク セクションで、プロンプトから生成された Web 検索クエリを確認できます。これにより、Bing 検索に送信される Web クエリの生成にプロンプトがどのように使用されているかに関する有益なフィードバックが提供されるため、プロンプトを改善して Copilot をより効果的に使用するために必要な情報が得られます。Web 検索クエリのログを使用すると、管理者は Copilot がユーザーのプロンプトから生成した Web 検索クエリに対して、検索、監査、電子情報開示を行うことができます。

先日ロールアウトを開始した Allow web search in Copilot という新しいポリシー オプションでは、Microsoft 365 の他のオプションの接続エクスペリエンスと切り離して Web 検索を管理することができます。また、Microsoft 365 Copilot Business Chat (Web) で Web 検索を有効にしたまま、Business Chat (Work) で Web 検索を無効化することもできるようになります。

これらの新しい制御機能を使用して Copilot での Web 検索の可視性と制御性を向上させる方法については、発表時のブログ記事をご確認ください。

Copilot 制御システムを導入し AI による変革をリード

CIO や IT 担当者は、AI による変革の中心的役割を担っています。マイクロソフトは、すべての IT チームが組織をリードできるよう支援するため、Copilot 制御システムを発表します。これは、IT 部門が Copilot やエージェントを安心して導入し、そのビジネス価値を加速させることを目的として設計されています。

Copilot 制御システムには以下のような機能があります。

• データ保護: 組織のコントロールを尊重しながら、企業データへのインテリジェントなグラウンディングを実現します。
• 管理コントロール: IT 部門が Copilot とエージェントのアクセスや使用を管理できるようにする機能です。Copilot とエージェントを使用できるユーザーを制御したり、エージェントの状態やライフサイクルを可視化したりすることができます。
• 測定と価値レポート: IT 部門の責任者やビジネス リーダーが、Copilot とエージェントの利用による投資収益率、導入パターン、ビジネス成果を追跡できます。

Copilot 制御システムで使用できる新しいガバナンスおよび管理機能の詳細については、発表時のブログ記事をご確認ください。

これまで以上に生成 AI によって情報を活用できるようになり、情報を整備しておくことがますます重要になっています。本日ご紹介した機能は、情報の準備を整える際に役立つ強力なツールです。マイクロソフトは今後も、お客様がデータ保護やセキュリティ、プライバシーの制御を効果的に行えるようにする機能の開発に取り組んでいきます。

関連資料

• SharePoint Advanced Management で提供される M365 Copilot 用の組み込みのコンテンツ ガバナンス制御機能やインサイト: https://aka.ms/SAMCopilot (英語)
• マイクロソフトの展開ブループリント「Microsoft 365 Copilot での過剰共有に関する問題への対処」: https://aka.ms/Copilot/OversharingBlueprintLearn
• Copilot 制御システム: https://aka.ms/CopilotControlSystem
• Microsoft Purview に関する Ignite での発表: https://aka.ms/SecurityforAIIgnitenews (英語)