【Copilot】Copilot利用者の異常行動をInsider Riskで検知する手順とセキュリティ強化

Copilotの普及に伴い、その利用状況における異常行動の検知が重要になっています。Insider Risk Management(IRM)を活用することで、Copilot利用者のリスク行動を早期に発見できます。この記事では、IRMでCopilot利用者の異常行動を検知する具体的な手順と、セキュリティを強化するための方法を解説します。

Copilotの高度な機能が業務効率を向上させる一方で、意図しない情報漏洩や不正利用のリスクも存在します。Microsoft Purview Insider Risk Management(IRM)は、Copilotの利用状況を含むMicrosoft 365上の様々なアクティビティを監視し、リスクのある行動パターンを特定します。これにより、企業は潜在的なセキュリティインシデントを未然に防ぐことが可能になります。

Copilot利用におけるリスク行動の概要

Copilot利用者が起こしうるリスク行動には、機密情報の不適切な共有、過剰なデータアクセス、不正なCopilotの利用などが含まれます。IRMは、これらの行動を検知するために、Copilotのプロンプト履歴、生成されたコンテンツ、アクセスログなどを分析します。例えば、Copilotに機密性の高い情報を入力し、その内容が外部に漏洩するようなプロンプトが検知される場合があります。また、通常業務ではアクセスしないはずの機密ファイルに対してCopilot経由でアクセスしようとする行動もリスクとして捉えられます。

Insider Risk ManagementでCopilot利用者の異常行動を検知する手順

Copilot利用者の異常行動を検知するには、Microsoft PurviewコンプライアンスポータルでInsider Risk Managementを設定します。この設定は、Microsoft 365 E5ライセンスまたはIRMアドオンライセンスが必要です。管理者権限を持つユーザーが以下の手順を実行します。

1. Microsoft Purviewコンプライアンスポータルにアクセスする
   Webブラウザで「Microsoft Purview compliance portal」と検索し、サインインします。
2. Insider Risk Managementを選択する
   左側のナビゲーションメニューから「Insider risk management」を選択します。
3. ポリシーを作成する
   「Policies」タブで「Create policy」ボタンをクリックします。
4. ポリシーテンプレートを選択する
   「Data theft」や「Data leakage」などのテンプレートを選択します。Copilot利用者の異常行動に特化したテンプレートがない場合は、「Custom policy」を選択し、後述するカスタムアクティビティを定義します。
5. ポリシーの設定を行う
   ポリシー名を入力し、トリガーとなるアクティビティを設定します。Copilotに関連するアクティビティとしては、「Copilot activity」などのカスタムアクティビティを定義・選択します。これには、Copilotへの機密情報入力、Copilotによる機密情報へのアクセス、Copilot生成コンテンツの共有などが含まれます。
6. ユーザーとグループを指定する
   ポリシーを適用するユーザーまたはグループを選択します。
7. アラートと調査を設定する
   リスクレベルが設定されたら、アラートをトリガーする閾値や、調査担当者を指定します。
8. ポリシーをアクティブ化する
   設定内容を確認し、ポリシーをアクティブ化します。

Copilot利用におけるリスク検知の強化策

IRMの設定に加え、Copilot利用におけるリスク検知をさらに強化するための施策があります。これには、Copilotの利用ガイドライン策定や、従業員へのセキュリティ教育が含まれます。

Copilot利用ガイドラインの策定

Copilotの安全な利用を促進するため、明確な利用ガイドラインを策定します。ガイドラインには、Copilotに入力しても良い情報と、入力してはいけない情報の区分を明記します。特に、個人情報、顧客情報、未公開の財務情報、知的財産などの機密情報の入力を禁止または制限することが重要です。また、Copilotが生成したコンテンツの取り扱いについても、公開前のレビュープロセスなどを定めることが望ましいです。

従業員へのセキュリティ教育

Copilotの利用に伴うリスクについて、従業員への継続的な教育が必要です。AIツールの利用における倫理、プライバシー、セキュリティに関する意識を高めることで、リスク行動を未然に防ぐことができます。教育コンテンツには、具体的なリスクシナリオや、IRMによる監視が行われていることなどを盛り込むことが効果的です。

カスタムアクティビティの定義と監視

IRMでは、標準のアクティビティ以外にも、Microsoft Graph APIなどを活用してCopilotの特定の利用パターンをカスタムアクティビティとして定義し、監視することが可能です。例えば、Copilotが特定の機密ドキュメント群にアクセスした場合、あるいはCopilotが生成したコードに脆弱性が含まれる可能性を検知した場合などをカスタムイベントとして設定できます。これにより、より精緻なリスク検知が可能になります。

Insider Risk ManagementでCopilot利用者の異常行動を検知できない場合の対処法

IRMポリシーを設定しても、期待通りにCopilot利用者の異常行動が検知されない場合があります。その原因と対処法を以下に示します。

ポリシーのアクティブ化状況の確認

まず、作成したIRMポリシーが正しくアクティブ化されているかを確認します。ポリシーが「Draft」状態のままになっていると、検知は開始されません。Insider Risk Managementの「Policies」ページで、対象ポリシーのステータスが「Active」になっていることを確認してください。

ライセンスの確認

Insider Risk Managementの利用には、Microsoft 365 E5ライセンスまたはIRMアドオンライセンスが必要です。Copilot自体にIRM機能が含まれているわけではありません。IRMを利用するユーザーおよび管理者に適切なライセンスが割り当てられているか、Microsoft 365管理センターで確認してください。

カスタムアクティビティの設定不備

Copilot固有のリスク行動を検知するためにカスタムアクティビティを設定している場合、その定義に誤りがある可能性があります。例えば、Copilotのログデータと照合する際のイベント名やプロパティ名が間違っている、あるいはログの収集自体が行われていないなどが考えられます。Microsoft 365 Audit LogやCopilotの利用ログを確認し、カスタムアクティビティの設定が正確であることを検証してください。

閾値設定の不備

アラートをトリガーする閾値が、実際の異常行動の頻度や重大度に対して高すぎたり低すぎたりする場合があります。閾値設定が適切でないと、リスクのある行動を見逃したり、逆に過剰なアラートが発生したりします。IRMポリシーの設定画面で、アラートの閾値を調整し、テスト実行を行って最適な設定を見つけてください。

Copilot ProとMicrosoft 365 CopilotのInsider Risk Managementにおける違い

Insider Risk Managementは、Microsoft 365のエンタープライズ向け機能であり、主にMicrosoft 365 Copilot(法人向け)の利用状況を監視対象とします。Copilot Pro(個人向け)は、IRMの直接的な監視対象外となります。

まとめ

Insider Risk Managementを活用することで、Copilot利用者の異常行動を効果的に検知し、セキュリティリスクを低減できます。本記事では、Microsoft Purview Insider Risk Managementでのポリシー作成手順、Copilot利用におけるリスク検知強化策、および問題発生時の対処法を解説しました。まずはIRMポリシーを作成し、Copilot利用ガイドラインの策定と従業員教育を並行して進めることで、より安全なCopilot活用体制を構築できます。さらに、Microsoft Graph APIを活用したカスタムアクティビティの定義により、高度なリスク検知が可能になります。