Microsoft 365 Copilotの利用状況をSOC2監査に対応させるための監査証跡整備手順について解説します。
組織がSOC2認証を取得する上で、CopilotのようなAIツールの利用に関する証跡管理は重要です。
この記事では、Copilotの監査証跡を第三者監査向けに効果的に整備する具体的な手順を説明します。
ADVERTISEMENT
目次
Copilotの監査証跡がSOC2で重視される背景
SOC2 (System and Organization Controls 2) は、サービス組織が顧客データを安全に管理していることを証明する基準です。特に「セキュリティ」「可用性」「処理の完全性」といったTrust Services Criteriaに基づいています。
Copilotは、組織内のデータにアクセスし、コンテンツを生成・要約する能力を持つため、その利用状況を正確に記録・管理することがSOC2の要件を満たす上で不可欠となります。監査担当者は、Copilotがどのように利用され、どのようなデータにアクセスしたかの証跡を確認します。
Copilotの監査証跡を整備する前提条件
Copilotの監査証跡を整備するには、いくつかの前提条件があります。まず、Microsoft 365 E3やE5などの適切なライセンスがユーザーに割り当てられている必要があります。Copilotアドオンライセンスも必須です。
次に、Microsoft 365の監査ログ機能が有効になっていることが重要です。通常、Microsoft 365環境ではデフォルトで有効になっていますが、管理者が無効にしている場合は有効化が必要です。監査ログの保持期間も、SOC2の要求事項に合わせて設定されているか確認が必要です。
Copilotの利用状況を監査ログで確認する手順
Copilotの利用状況は、Microsoft Purview ポータル(旧Microsoft 365 コンプライアンスセンター)の監査機能で確認できます。具体的な手順は以下の通りです。
- Microsoft Purview ポータルにアクセスする
Webブラウザを開き、Microsoft 365管理者の資格情報で https://purview.microsoft.com/ にサインインします。 - 監査機能を選択する
左側のナビゲーションメニューから「監査」を選択します。 - 検索条件を設定する
「監査」ページの上部にある検索バーで、以下の条件を設定します。- 日付範囲: 監査ログを確認したい期間を指定します。SOC2監査では、通常、過去12ヶ月以上の記録が求められます。
- アクティビティ: 「Copilot」に関連するアクティビティを検索します。検索ボックスに「Copilot」と入力すると、関連するアクティビティが表示されます。「Copilot with commercial data protection」などのアクティビティを選択します。
- ユーザー: 特定のユーザーのアクティビティを確認したい場合は、ユーザー名を入力します。組織全体のCopilot利用状況を確認する場合は、この項目は空欄のままにします。
- ファイル、フォルダー、またはサイト: 特定のファイルやデータへのアクセスを確認したい場合は、ファイル名などを入力します。
- 検索を実行する
条件設定後、「検索」ボタンをクリックします。 - 検索結果を確認・エクスポートする
検索結果が表示されたら、Copilotの利用日時、実行したユーザー、実行された操作(例:メール下書き生成、文書要約)などの詳細を確認できます。
必要に応じて、「エクスポート」ボタンをクリックして、CSV形式で監査ログをダウンロードします。このエクスポートされたデータは、第三者監査で提出する際の重要な証拠となります。
ADVERTISEMENT
Copilotの監査証跡整備における注意点
Copilotの監査証跡を整備する上で、いくつかの注意点があります。まず、監査ログの保持期間を確認し、SOC2の要件を満たすように設定されているか確認してください。デフォルトの保持期間では不十分な場合があります。
また、Copilotは様々なMicrosoft 365アプリケーションと連携するため、監査ログにはWord、Excel、PowerPoint、Outlook、Teamsなど、各アプリケーションにおけるCopilotの利用履歴が含まれます。これらのログを統合的に管理・分析できる体制を構築することが望ましいです。
さらに、Copilotの利用ポリシーを策定し、従業員に周知することも重要です。どのようなデータにCopilotを利用してよいか、どのような情報にアクセスすべきでないかなどのガイドラインを明確にすることで、不正な利用や意図しないデータ漏洩のリスクを低減できます。このポリシーも監査の際に提示を求められることがあります。
Copilot ProとMicrosoft 365 Copilotの監査証跡の違い
Copilot Proは個人向けまたは小規模チーム向けのサービスであり、Microsoft 365 Copilotは法人向けサービスです。監査証跡の取得方法や詳細度において違いがあります。
Microsoft 365 Copilotは、Microsoft Purviewポータルを通じて詳細な監査ログを取得できます。これには、組織内のデータへのアクセス状況や、各アプリケーションでの利用履歴が含まれます。これは、法人向けの厳格なコンプライアンス要件を満たすために設計されています。
一方、Copilot Proの監査証跡は、個人の利用状況に焦点を当てたものとなり、法人向けの包括的な監査には適さない場合があります。Copilot Proの利用に関するログは、個人のMicrosoftアカウントに関連付けられたサービスログとして提供されることが主です。そのため、SOC2のような組織全体のコンプライアンス監査では、Microsoft 365 Copilotの監査ログが必須となります。
まとめ
この記事では、Microsoft 365 Copilotの監査証跡をSOC2監査向けに整備する手順を解説しました。
Microsoft Purviewポータルを活用し、Copilotのアクティビティログを正確に取得・管理することで、第三者監査への対応が可能になります。
今後は、Copilotの利用ポリシーを策定し、従業員への周知徹底を図ることをお勧めします。さらに、Microsoft 365の監査ログ保持期間がSOC2要件を満たしているか定期的に確認してください。