Security Copilotは、ユーザのExchange OnlineメールやTeamsメッセージにアクセス可能か
組織内において何かしらのインシデントが発生した場合に、関連ユーザのExchange OnlineメールやTeamsメッセージを調査することがあります。
全て人間がチェックしていると大変なので、効率的にチェックする方法はないか?と問い合わせをいただきました。
具体的には、
・メールやTeamsメッセージにおいて、不正な行為を含むものが含まれていないか
ということをチェックしたいとのことです。
”不正な行為”というのも、様々なパターンがあるため、検索条件などを定義することが難しい状況です。
今回は、Security Copillotにより、「自然言語でプロンプトの意図を理解した上で、メールやTeamsメッセージをチェックしてくれるか」が実現できるかを確認してみました。
前提
Microsoft PurviewのeDiscoveryの機能を使うことで、管理者は、ユーザのExchange OnlineメールやTeamsメッセージの中身を確認できます。
今回は、Microsoft Purview画面にアドオンされている、Security Copilot画面から、それらのユーザデータにアクセスできるか確認してみました。
結論:可能
Microsoft Purview の eDiscovery(電子情報開示)のレビュー セット内に含まれる Exchange Online および Teams のデータ(メールやチャット データ)については、Security Copilot からアクセス可能であることが確認できました。
レビューセット「test-review004」内に以下の通りのメールのテストデータを用意いたしました。(特定のメールには、以下の図の通りハラスメント的な内容が含まれています)
Security Copilotにてプロンプト「ハラスメントや暴力的な要素を含んだメッセージを抽出してください」と入力したところ、期待した結果を得ることができました。
注意点
- AIによる回答であるため、常に期待通りの結果が得られるとは限らない
- 調査対象のデータ数などにもよるため、実環境(または実環境に近い環境)でのPoCが必須
参考)公式ドキュメント
Exchange Online や Teams のデータ(メールやチャットデータ)にSecurity Copilotが直接アクセス可能であると明記されたドキュメントは確認できませんでしたが、以下の公式ドキュメントにおいて、Microsoft Purview の eDiscovery(電子情報開示)におけるレビュー セット内でキャプチャされたデータがアクセス対象であると記載されておりました。
<Microsoft 365 サービスからのデータへのアクセス>