【2024年12月23日開催】便利だけどリスクも増える?Microsoft 365 Copilotとセキュリティの関係について学ぼう
目次
Microsoft 365 Copilot
・TeamsなどのMicrosoft 365アプリに組み込みこまれたAI機能
・プロンプト(自然言語)でMicrosoft 365アプリを操作
Microsoft 365 Copilot と Microsoft 365 データの関係
・ユーザはCopilot経由で、自身がアクセス権を持つMicrosoft 365データにアクセスが可能
プロンプト例
〇:「昨日自分が受信したメールで未返信のものを教えて」など
×:「ユーザB個人が受信したメールで重要そうなもの教えて」など
Microsoft 365 Copilot とデータセキュリティリスク
SharePoint上のデータに適切なアクセス権限設定がされていなければ、ユーザAに「経営に関わる重要な情報」がCopilotから回答される可能性がある
アクセス権のかけ方(フォルダ単位のアクセス制御)
ユーザAは、経営フォルダにアクセスできない設定にしておけば、「経営に関わる重要な情報を教えて」というプロンプトは機能しない
間違って、経営層がファイル①を、一般社員フォルダにコピーしてしまうリスクがある
→ 「経営に関わる重要な情報を教えて」というプロンプトは機能する可能性が出てくる
アクセス権のかけ方(ファイル単位のアクセス制御)
ファイル単位でアクセス制御を行うと、ファイルがコピーされてもアクセス制限が機能するためよりセキュア
Microsoft 365 copilotを利用する際のセキュリティ対策
Microsoft 365 Copilot は昨日拡充が進んでおり、できることが益々増えていく
(例:自然言語によるメール送付など)
→ 利便性向上に合わせて、セキュリティリスクも向上するため、セキュリティ対策がより重要になる
① Microsoft 365 (Copilot)に対する適切なアクセス管理(地盤固め)
| 実施すべき項目 | 実現方法 |
|---|---|
| 不必要なユーザにMicrosoft 365 (Copilot)へのアクセス権が付与されていない状態をつくる | Entra ID ガバナンス |
| 適切な状態(適切な端末、適切な場所など)で、 Microsoft 365 (Copilot)にアクセスさせるようにする | Entra ID 条件付きアクセス |
| 強度の高い認証方法で、Microsoft 365 (Copilot)にアクセスするユーザを認証を行う | Entra ID 条件付きアクセス |
② Microsoft 365 内に存在するデータの保護
| 実施すべき項目 | 実現方法 |
|---|---|
| Microsoft 365 Copilot からMicrosoft 365 内データへのアクセス権を適切に設定する | Purview 情報保護 (秘密度ラベル) |
| Microsoft 365 Copilotによる社外秘データの外部流出を防ぐ | Purview DLP |