【Copilot】外部ユーザーがCopilotで社内データにアクセスする事を防ぐ手順

Copilotは社内データとの連携を強化し、業務効率を向上させます。しかし、外部ユーザーによる機密情報へのアクセスは避けなければなりません。意図しない情報漏洩を防ぐための設定手順を解説します。この記事で、Copilotにおける外部ユーザーからの社内データアクセスを効果的にブロックする方法がわかります。

Copilot と社内データ連携の仕組み

Copilot は、Microsoft Graph を介してユーザーがアクセス権を持つ社内データ(SharePoint、OneDrive、Outlook など)を検索・参照します。これにより、過去のメール、ドキュメント、会議の議事録などを基にした回答生成が可能になります。Copilot は、ユーザーの権限以上の情報にアクセスすることはできません。しかし、外部ユーザーが社内リソースへアクセスできる設定になっている場合、Copilot を介して間接的に情報が漏洩するリスクが生じます。そのため、組織のセキュリティポリシーに基づいた適切なアクセス制御が不可欠です。

外部共有を制限する設定手順

Copilot が社内データにアクセスするのを防ぐには、まず Microsoft 365 全体での外部共有設定を見直す必要があります。これは、Microsoft 365 管理センターから設定できます。この設定は、Copilot だけでなく、SharePoint や OneDrive など、他の Microsoft 365 サービスにおける外部共有にも影響します。

1. Microsoft 365 管理センターにサインインする
   グローバル管理者または SharePoint 管理者権限を持つアカウントで、Microsoft 365 管理センターにアクセスします。
2. 「設定」メニューを開く
   左側のナビゲーションメニューから「設定」を展開し、「組織の設定」を選択します。
3. 「共有」タブを選択する
   組織の設定画面で、「共有」タブをクリックします。
4. SharePoint の外部共有設定を確認・変更する
   「SharePoint」の項目で、外部共有のレベルを確認します。外部ユーザーからのアクセスを完全にブロックするには、「既存のファイルとフォルダー」および「新しいファイルとフォルダー」の共有レベルを「非公開」または「制限付き」に設定します。
5. OneDrive の外部共有設定を確認・変更する
   同様に、「OneDrive」の項目でも外部共有レベルを「非公開」または「制限付き」に設定します。
6. 設定を保存する
   変更を行った場合は、「保存」ボタンをクリックして設定を適用します。

Copilot 固有のアクセス許可設定

Microsoft 365 全体の共有設定に加え、Copilot がアクセスできるデータソースをより詳細に制御することも可能です。これは、Copilot が参照する Microsoft Graph のデータアクセス許可設定によって行われます。ただし、この設定は通常、Microsoft 365 管理者が行う必要があります。

1. Microsoft Graph の API アクセス許可を確認する
   Microsoft 365 管理者は、Azure Active Directory (Azure AD) ポータルまたは Microsoft 365 管理センターから、Copilot が使用するアプリケーションの API アクセス許可を確認できます。
2. 不要なデータソースへのアクセス許可を削除する
   Copilot がアクセスする必要のないデータソース(例:特定の SharePoint サイト、外部共有されている OneDrive データ)へのアクセス許可を削除または制限します。
3. アプリケーションの同意設定を構成する
   外部ユーザーが所属するテナントのアプリケーションが、社内リソースへのアクセス許可を要求する際の同意プロセスを管理します。管理者の同意が必要な設定にすることで、勝手なアクセス許可の付与を防げます。

外部ユーザーの Copilot 利用を制限する

Copilot は、ユーザーの Microsoft 365 ライセンスと紐づいています。外部ユーザーが社内の Microsoft 365 テナントのライセンスを持っていない場合、そもそも Copilot を利用できません。しかし、ゲストアカウントとして招待されている場合などは、ライセンスによっては Copilot を利用できる可能性があります。ゲストアカウントの Copilot 利用を制限するには、以下の方法が考えられます。

1. Azure AD のゲストアクセス設定を構成する
   Azure AD ポータルで、ゲストユーザーのアクセス権限を制限します。
2. Copilot ライセンスをゲストユーザーに割り当てない
   Copilot アドオンライセンスは、社内ユーザーのみに割り当てるように管理します。

条件付きアクセス ポリシーの活用

Azure AD の条件付きアクセス ポリシーは、Copilot へのアクセスをさらに強化するのに役立ちます。これにより、特定の条件(場所、デバイスの状態、サインインリスクなど)に基づいてアクセスを許可または拒否できます。

1. Azure AD ポータルにサインインする
   Azure AD ポータルに、グローバル管理者権限を持つアカウントでサインインします。
2. 「条件付きアクセス」メニューを選択する
   「Azure Active Directory」から「セキュリティ」>「条件付きアクセス」を選択します。
3. 新しいポリシーを作成する
   「新しいポリシー」をクリックします。
4. 対象ユーザーを設定する
   「ユーザーとグループ」で、ポリシーを適用するユーザー(例:外部ユーザーのみ、または特定のグループ)を選択します。
5. 対象アプリケーションを設定する
   「クラウド アプリまたは操作」で、「Microsoft Copilot」または「Microsoft Graph」を選択します。
6. 条件を設定する
   「条件」で、アクセスを制限したい条件(例:場所、デバイスのコンプライアンス状態、サインインリスク)を設定します。
7. アクセス制御を設定する
   「アクセス制御」で、「許可」または「ブロック」を選択します。外部ユーザーからのアクセスをブロックしたい場合は、「ブロック」を選択します。
8. ポリシーを有効にする
   「ポリシーを有効にする」を「オン」にして、ポリシーを保存します。

よくある誤解と注意点

Copilot のアクセス制御に関して、いくつか誤解されやすい点があります。

Copilot はユーザー権限を超えてアクセスしない

Copilot は、あくまでユーザーが持つアクセス権限の範囲内で情報にアクセスします。外部ユーザーが社内データへのアクセス権限を持っていない限り、Copilot を通じてそのデータを見ることはできません。しかし、ゲストアクセスや共有設定の不備が原因で、意図せずアクセス権が付与されている場合があります。

外部共有設定の重要性

SharePoint や OneDrive の外部共有設定が「すべての人」や「組織外のユーザー」に許可されている場合、Copilot だけでなく、他の方法でも社内データが外部に漏洩するリスクがあります。Copilot の設定以前に、組織全体のデータ共有ポリシーを確立・遵守することが最も重要です。

ライセンス管理の徹底

Copilot の利用は、Microsoft 365 ライセンスに依存します。社内ユーザーにのみ Copilot ライセンスを割り当て、外部ユーザーには割り当てないことが基本です。ゲストアカウントであっても、ライセンスが付与されれば Copilot を利用できる可能性があるため、ライセンス管理は厳格に行う必要があります。

Web アプリとデスクトップアプリでの Copilot の違い

Copilot は、Web アプリ(Edge ブラウザ経由など)やデスクトップアプリ(Teams、Word、Excel など)で利用できます。外部ユーザーからのアクセス制御という観点では、基本的な考え方は同じです。しかし、利用インターフェースによって、アクセスできるデータソースや機能に若干の違いが生じることがあります。

いずれの場合も、外部ユーザーが社内データにアクセスするには、そのユーザーが社内リソースへのアクセス権限を持っていることが前提となります。そのため、Web 版・デスクトップ版に関わらず、組織全体の共有設定やアクセス許可の管理が最も重要です。

まとめ

Copilot 経由での外部ユーザーによる社内データアクセスを防ぐためには、Microsoft 365 管理センターでの共有設定の見直し、Azure AD の条件付きアクセス ポリシーの活用、そして Copilot ライセンスの適切な管理が不可欠です。これらの設定を適切に行うことで、機密情報の漏洩リスクを最小限に抑えながら、Copilot の利便性を享受できます。今後は、定期的なアクセス権限の見直しと、組織のセキュリティポリシーの更新を継続的に実施してください。