7 詳しく見るDigital Workplace

M365 Copilot を導入する予定ですか？知っておくべきセキュリティの基本事項

Otavio GoesExpert Technology Implementation & Consulting, SoftwareOne Brazil

manage-secure-microsoft-365-copilot-getty-1370699455-blog-hero

もし社内でMicrosoft 365 Copilot の導入を準備しているのであれば、セキュリティを最優先に考えるアプローチを取ることが重要です。

まず、Copilot は Microsoft 365 に既に設定されているセキュリティ設定を使用していることを認識してください。そのため、セキュリティポリシー、アクセス権限、データ設定を見直し、それらが最新の状態であり、組織の要件を満たしているかを確認することをおすすめします。

Microsoft は「ゼロトラスト」アプローチを推奨しています。これは「すべての接続やリソース要求を、制御されていないネットワークや脅威のある環境からのものとして扱う」という考え方です。 Copilot を導入する際にこのアプローチを実現できるよう、Microsoft は包括的なツール群を提供しています。これには、Microsoft Defender、Microsoft Entra、Microsoft Intune、Microsoft Purview Information Protection などが含まれます。

組織はこれらのツールを活用して、Copilot に関連する潜在的なリスクを特定・防御し、Copilot を利用するすべてのアプリケーションとデータを保護し、責任あるかつコンプライアンスに準拠した方法で Copilot を活用する必要があります。

Copilotのセキュリティに関して考慮すること

Microsoft Purview やその他のツールを活用することで、生成系 AI に関連する潜在的なリスクを管理するための安全な基盤を構築できます。主なリスクには以下のようなものがあります：

データの過剰共有：Copilot ユーザーが業務に不要な情報やアクセス権限のない情報にアクセスするのを防ぐことが重要です。Purview を使えば、秘密度ラベル（一般、公開、機密など）を使ってデータを分類し、アクセス管理が可能です。また、SharePoint Advanced Management を利用することで、SharePoint Online に保存されたデータに適切なユーザーのみがアクセスできるように制御できます。
データ保持に関するリスク：データ保持ポリシーがコンプライアンス要件に合致しているか確認する必要があります。場合によっては、 Copilot のプロンプトや応答を一定期間保存する必要があるかもしれません。
データ主権のコンプライアンス：Copilot は、ユーザーが活動する地域に適した Microsoft 365 のセキュリティポリシーを使用します。たとえば、EU では GDPR や EU データ境界要件に準拠しています。
著作権の問題：Copilot は著作権保護やライセンス制限のある情報の検出をサポートしていますが、ユーザーは責任ある AI 利用を心がけ、Copilot のアウトプット内容を手動で確認する必要があります。Microsoft は「Customer Copyright Commitment（顧客著作権保護の約束）」を通じて保護を提供していますが、これには適切なガードレールや対策の実装が必要です。
不正確な情報：Copilot は大規模言語モデル（LLM）を使用しているため、不正確な応答を生成する可能性があります。組織のユーザーは、結果を手動で確認し、正確性とコンプライアンスを確保する必要があります。
プロンプトの操作：ユーザーがプロンプトを操作して、本来アクセスできない情報を引き出そうとするリスクがあります。Microsoft のゼロトラストセキュリティアプローチは、このようなリスクに対する防御を支援します。

Copilot のセキュリティを管理する方法

Copilot のために安全な基盤を構築する最初のステップは、Microsoft 365 のポリシー、アクセス権限、設定を慎重に見直すことです。ユーザーが業務に必要な情報のみにアクセスできるようにすることが重要です。また、Copilot を安全かつ安心して利用できるよう、従業員へのガイダンスや教育の提供も欠かせません。

Copilot の導入は段階的に進めましょう。まずは少人数のユーザーとリスクの低いコンテンツから始めることで、広範囲に展開する前に対処すべきセキュリティ上の課題を特定できます。

最後に、常に人間による確認を取り入れ、Copilot のアウトプット内容を手動でレビューすることをポリシーとして定めましょう。これにより、誤情報や過剰な情報共有、その他のセキュリティリスクを防ぐことができます。また、リスクやセキュリティ対策の変化に対応するために、継続的なモニタリング、トレーニング、最適化に取り組むことが重要です。

次のステップは？

SoftwareOne は、1,300 件以上の Copilot サービス導入支援と 82万3,000 人以上の Microsoft 365 Copilot ライセンスユーザーをサポートしてきた実績があり、Copilot セキュリティ管理において他に類を見ない専門知識を有しています。当社は、豊富な知識と最新のガイダンスを活用し、組織における Copilot の導入を成功へと導くお手伝いを致します