【Copilot】Copilot利用時にMicrosoft Customer Key暗号化を適用する手順と運用設計

Microsoft 365 Copilotは、組織内のデータ活用を革新するAIアシスタントです。Copilotが組織の機密情報にアクセスする際、セキュリティは最重要事項となります。Microsoft Customer Key(MCK)を利用することで、Copilotが利用するデータに対する暗号化キーを組織自身で管理できます。本記事では、Copilot利用時にMCKを適用する手順と、その運用設計について解説します。これにより、Copilotの利便性を維持しつつ、高度なデータ保護を実現します。

Copilotは、Microsoft 365のデータ(Exchange Online、SharePoint Online、OneDrive for Businessなど)を基盤として動作します。MCKは、これらのデータが保存される際に利用される暗号化キーを、Microsoftではなく組織が管理する仕組みです。Copilotがこれらのデータにアクセスする際も、MCKによって保護された状態となります。これにより、組織はデータに対する統制を強化できます。

Microsoft Customer Key(MCK)によるCopilotデータの暗号化の仕組み

MCKは、Microsoft 365のサービスで保存されるデータを、組織が管理する暗号化キーで保護する機能です。Copilotは、その処理のためにSharePoint OnlineやExchange Onlineなどのデータにアクセスしますが、これらのデータはMCKによって暗号化されています。MCKを適用することで、Microsoftでさえも、組織が提供したキーなしではデータを復号化できません。これにより、Copilotによるデータ処理時も、データの機密性が維持されます。MCKは、Azure Key Vaultと連携し、キーの生成、管理、ローテーションを組織の責任で行います。

Microsoft Customer Key(MCK)をCopilot利用時に適用する手順

MCKをCopilot利用時に適用するには、Microsoft 365テナント全体にMCKを有効化し、Copilotがアクセスするデータサービスに適用する必要があります。これは、Microsoft 365の管理者権限が必要です。

1. Microsoft 365管理センターへのアクセス
   Microsoft 365管理センター(admin.microsoft.com)に、グローバル管理者権限を持つアカウントでサインインします。
2. セキュリティ&コンプライアンスセンターへの移動
   左側のナビゲーションメニューから「すべてを表示」を展開し、「コンプライアンス」を選択します。
3. Microsoft Purview コンプライアンスポータルへのアクセス
   コンプライアンスポータル(compliance.microsoft.com)に移動します。
4. データ暗号化設定への移動
   左側のメニューで「データライフサイクル管理」または「情報保護」などの関連セクションを探し、「カスタマーキー」または「データ暗号化」といった項目を選択します。(UIは変更される可能性があります)
5. MCKの有効化とキーの構成
   MCKを有効にするオプションを選択します。ここでは、Azure Key Vaultの設定とキーのアップロードが必要になります。
6. Azure Key Vaultの設定
   Microsoft 365テナントと連携するAzureサブスクリプションに、Azure Key Vaultを作成または指定します。
7. 暗号化キーの生成とアップロード
   Azure Key Vault内で、RSA 2048ビット以上のキーペアを生成するか、組織のHSMで生成したキーをインポートします。キーは、暗号化、署名、ラップ/アンラップの操作を許可するように設定します。
8. Microsoft 365テナントへのキー適用
   Azure Key Vaultで生成・設定したキーを、Microsoft 365管理センターまたはコンプライアンスポータルからテナントに適用します。このプロセスには時間がかかる場合があります。
9. Copilotサービスへの適用確認
   MCKが適用された後、Copilotが利用するExchange Online、SharePoint Online、OneDrive for Businessなどのサービスで、MCKによる暗号化が有効になっていることを確認します。これは、各サービスの管理センターやPowerShellコマンドレットを使用して確認できます。

Copilot利用におけるMicrosoft Customer Key(MCK)の運用設計

MCKをCopilotで利用する際の運用設計は、セキュリティ、可用性、管理の観点から重要です。

キー管理とローテーション

MCKの運用で最も重要なのは、暗号化キーの厳格な管理です。キーの作成、保管、アクセス権限、そして定期的なローテーション(更新)は、組織のセキュリティポリシーに基づいて実施する必要があります。キーが漏洩すると、データが危険にさらされるため、アクセス権限は最小限に絞り、監査ログを常に監視することが不可欠です。キーのローテーションは、Microsoft 365のドキュメントに従い、サービスへの影響を最小限に抑える計画で行う必要があります。

可用性とディザスタリカバリ

MCKを適用したデータは、組織が管理するキーがないと復号化できません。そのため、Azure Key Vaultの可用性と、キーのバックアップ・リカバリ計画は極めて重要です。Azure Key Vaultは高可用性を提供しますが、組織はキーの紛失やアクセス不能な状況に備える必要があります。ディザスタリカバリ計画には、キーを安全にバックアップし、必要に応じて復旧できる手順を含めるべきです。Copilotの利用継続性も、このキー管理に依存します。

サービスへの影響と展開計画

MCKの適用は、Microsoft 365の複数のサービスに影響を与えます。特に、Exchange Online、SharePoint Online、OneDrive for BusinessといったCopilotのデータソースとなるサービスへの適用は、段階的に行うことが推奨されます。展開計画には、影響を受けるユーザーやサービスを特定し、テスト環境での十分な検証を含めるべきです。適用後、Copilotのパフォーマンスや機能に予期せぬ影響がないか監視することも重要です。

ライセンスと権限管理

MCK機能を利用するには、適切なMicrosoft 365ライセンス(例: Microsoft 365 E5、Office 365 E5、または関連するコンプライアンスアドオン)が必要です。また、MCKの設定と管理には、Microsoft 365のグローバル管理者権限、またはコンプライアンス管理者権限が必要です。Azure Key Vaultの管理にも、Azureの適切な権限が必要となります。これらの権限とライセンス要件を事前に確認し、準備を進めることが重要です。

Microsoft Customer Key(MCK)とCopilotの比較

まとめ

Microsoft Customer Key(MCK)をCopilot利用時に適用することで、組織はCopilotがアクセスするデータに対する暗号化キーを自身で管理できます。これにより、データの機密性をさらに高め、コンプライアンス要件を満たすことが可能です。本記事では、MCKの適用手順と、キー管理、可用性、展開計画といった運用設計の要点について解説しました。MCKの導入は、組織のセキュリティ体制を強化し、Copilotをより安全に活用するための重要なステップとなります。まずは、MCKに対応するライセンスの確認と、Azure Key Vaultの準備から着手することをお勧めします。