【2024年10月1日開催】AI(M365 Copilot)の登場で益々重要になるデータセキュリティ対策

イベント

https://www.soumu.go.jp/menu_news/s-news/01tsushin08_02000180.html (総務省HP)

https://west-sec.connpass.com/event/329621

LT用資料

M365 Copilot

・TeamsなどのM365アプリに組み込みこまれたAI機能

・プロンプト(自然言語)でM365アプリを操作

M365 Copilot と M365 データの関係

・ユーザはCopilot経由で、自身がアクセス権を持つM365データにアクセスが可能

  プロンプト例

  〇:「昨日自分が受信したメールで未返信のものを教えて」など

  ×:「ユーザB個人が受信したメールで重要そうなもの教えて」など

M365 Copilot とデータセキュリティリスク

SharePoint上のデータに適切なアクセス権限設定がされていなければ、ユーザAに「経営に関わる重要な情報」がCopilotから回答される可能性がある

アクセス権のかけ方(フォルダ単位のアクセス制御)

ユーザAは、経営フォルダにアクセスできない設定にしておけば、「経営に関わる重要な情報を教えて」というプロンプトは機能しない

間違って、経営層がファイル①を、一般社員フォルダにコピーしてしまうリスクがある

 → 「経営に関わる重要な情報を教えて」というプロンプトは機能する可能性が出てくる

アクセス権のかけ方(ファイル単位のアクセス制御)

ファイル単位でアクセス制御を行うと、ファイルがコピーされてもアクセス制限が機能するためよりセキュア

M365 Copilot導入検討の際は、セキュリティ対策も並行して検討することが大切

WEST-SEC,コミュニティ活動

Posted by mitsuru