Security Copilotは、ユーザのExchange OnlineメールやTeamsメッセージにアクセス可能か
組織内において何かしらのインシデントが発生した場合に、関連ユーザのExchange OnlineメールやTeamsメッセージを調査することがあります。
全て人間がチェックしていると大変なので、効率的にチェックする方法はないか?と問い合わせをいただきました。
具体的には、
・ExOメールやTeamsメッセージにおいて、”不正な行為を示すコンテンツ”が含まれていないか
ということをチェックしたいとのことです。
”不正な行為”というのも、様々なパターンがあるため、検索条件などを定義することが難しい状況です。
今回は、Security Copillotにより、「自然言語でプロンプトの意図を理解した上で、メールやTeamsメッセージをチェックしてくれるか」が実現できるかを確認してみました。
前提
Microsoft PurviewのeDiscoveryの機能を使うことで、管理者は、ユーザのExchange OnlineメールやTeamsメッセージの中身を確認できます。
今回は、Microsoft Purview画面にアドオンされている、Security Copilot画面から、それらのユーザデータにアクセスさせ、期待した結果が得られるか確認しました。
結論:不可能
レビューセットの特定の一つのアイテムを選択した場合は機能する
Microsoft Purview の eDiscovery(電子情報開示)のレビュー セット内に含まれる Exchange Online および Teams のデータ(メールやチャット データ)については、Security Copilot からアクセス可能であることが確認できました。
レビューセット「test-review004」内に以下の通りのメールのテストデータを用意しました(特定のメールには、以下の図の通りハラスメント的な内容が含まれています)
Security Copilotにてプロンプト「ハラスメントや暴力的な要素を含んだメッセージを抽出してください」と入力したところ、期待した結果を得ることができました。
Teamsメッセージに対しても機能しました。
参考)公式ドキュメント
Exchange Online や Teams のデータ(メールやチャットデータ)にSecurity Copilotが直接アクセス可能であると明記されたドキュメントは確認できませんでしたが、以下の公式ドキュメントにおいて、Microsoft Purview の eDiscovery(電子情報開示)におけるレビュー セット内でキャプチャされたデータがアクセス対象であると記載されておりました。
<Microsoft 365 サービスからのデータへのアクセス>
レビューセットの複数アイテムを選択した場合は機能しなくなった
複数のアイテムを選択した状態でプロンプトを実行しても、それらを横断的に分析されませんでした。
個別にアイテムを選択した際にはハラスメントや暴力的な要素を含むメッセージとして抽出可能であった Teams メッセージを含む複数のアイテムを同時に選択してプロンプトを実行したところ、該当のTeams メッセージは検出されませんでした。
また、プロンプトの内容を変更して複数回試行いたしましたが、いずれも応答は 1 件のアイテムに対する内容に限られていました。
以上のことから、現時点の仕様では、1 件のアイテムに対してのみ要約機能が動作するものだと思われます。
<複数のアイテムを選択:Teamsメッセージ、ExOメール混在> :機能しない
上記は、Teamsメッセージ、ExOメール混在させて、複数選択していますが、Teamsメッセージのみを複数選択した場合も、ExOメールのみを複数選択した場合も、同じく期待した結果は得られませんでした。
なお、以下の公式ドキュメントでは、レビューセット内のアイテムを Security Copilot を使用して要約する機能について記載されています。
ドキュメント内では、アイテムを選択した際に表示されるプレビュー画面下部の「Summarize」ボタンをクリックすることで、内容を要約する手順が記載されていますが、この「Summarize」ボタンは 1 アイテムずつしか実行できない仕様となっております。
複数のアイテムを同時に選択して横断的に分析することはできないことは明記されていませんが、ドキュメントの手順からもレビューセット内のアイテムを Security Copilot で要約する機能は、複数アイテムを横断的に分析するのではなく、1 件ずつ個別に実行することを前提としていると思われます。
<レビュー セット内のアイテムを集計する>
<参考画面:「Summarize」ボタン>
