【要点】Copilotにおけるゼロトラスト原則の適用とセキュリティ設計
- Microsoft Entra ID (旧Azure AD) によるID管理: ユーザー認証とアクセス制御の基盤を構築する。
- 条件付きアクセス ポリシーの設定: ログイン時のリスク評価とアクセス制限を強化する。
- Copilotのデータガバナンス設定: 機密情報の取り扱いルールを定義し、適用する。
- Microsoft Purview によるデータ保護: 機密ラベルや情報保護ポリシーでデータを保護する。
ADVERTISEMENT
目次
Copilotとゼロトラスト原則の関連性
Microsoft 365 Copilotは、Microsoft Graphを通じて組織内の多様なデータにアクセスします。そのため、従来の境界型セキュリティモデルでは、社内外のネットワーク境界を越えたデータアクセスに対する保護が不十分になる可能性があります。
ゼロトラスト原則は、「決して信頼せず、常に検証する」という考え方に基づき、すべてのアクセス要求を検証し、最小権限の原則を適用することで、セキュリティリスクを低減します。Copilotの利用においても、この原則を適用することで、不正アクセスや意図しない情報漏洩を防ぐことが重要です。
Copilotにおけるゼロトラスト適用手順
Copilot環境にゼロトラスト原則を適用するには、以下の手順で進めます。
- IDとアクセスの管理 (Microsoft Entra ID) の設定
Copilotへのアクセスは、Microsoft Entra ID (旧Azure AD) による認証と認可に基づきます。ユーザーアカウントの管理、多要素認証 (MFA) の必須化、サインイン頻度の設定などを実施し、IDの保護を強化します。 - 条件付きアクセスの構成
Microsoft Entra ID の条件付きアクセス機能を使用し、ユーザーの場所、デバイスの状態、アプリケーションのリスクレベルなど、さまざまな条件に基づいてアクセスを制御します。例えば、社外からのアクセスや、リスクが高いと判断されたサインインに対しては、追加の認証を要求するなどのポリシーを設定します。 - Copilotのデータガバナンス設定
Microsoft 365 管理センターや Microsoft Purview コンプライアンスポータルで、Copilotがアクセスできるデータソースを制限したり、機密情報の取り扱いに関するルールを設定します。 - Microsoft Purview によるデータ保護の強化
機密ラベルや情報保護ポリシーをCopilotが利用するデータに適用します。これにより、Copilotが生成するコンテンツや、Copilotが参照するデータに対して、適切な暗号化やアクセス制限をかけることができます。 - アクセス権限の定期的な見直し
Copilotへのアクセス権限や、Copilotがアクセスできるデータソースの権限を定期的にレビューし、不要になった権限を削除します。最小権限の原則を継続的に適用することが重要です。
Copilotのセキュリティ設計における考慮事項
Copilotのセキュリティ設計では、以下の点を考慮する必要があります。
機密データの取り扱いとプロンプトエンジニアリング
Copilotへの指示(プロンプト)に機密情報を含めると、その情報が意図せず共有されたり、学習データとして利用されたりするリスクがあります。プロンプトエンジニアリングにおいては、個人情報、営業秘密、顧客データなどの機密情報を直接入力しないように注意が必要です。組織として、プロンプト作成時のガイドラインを策定し、従業員に周知徹底することが求められます。
データソースへのアクセス制御
CopilotはMicrosoft Graphを通じてSharePoint、OneDrive、Outlookなどのデータにアクセスします。Copilotの利用者は、自身が本来アクセス権を持たない情報にはCopilotを通じてアクセスできないように、Microsoft Entra ID のアクセス許可設定が正しく構成されている必要があります。Copilotの機能が、ユーザーの既存のアクセス権限を迂回するものではないことを確認してください。
監査と監視
Copilotの利用状況や、Copilotによるデータアクセスを監査ログで監視することが重要です。Microsoft 365 の監査ログ機能を利用して、誰がいつ、どのようなデータにアクセスしたかを追跡できるように設定します。異常なアクセスパターンや、ポリシー違反の兆候がないか定期的に確認します。
Copilotの利用範囲と制限
Copilotの機能は、組織のセキュリティポリシーやコンプライアンス要件に合わせて、利用できる範囲を制限することが可能です。例えば、特定の部署やユーザーグループのみにCopilotの利用を許可したり、特定のデータソースへのアクセスを制限したりする設定を行います。Copilot for Microsoft 365 は、管理者がアクセス権限を管理できます。
ADVERTISEMENT
Copilot ProとMicrosoft 365 Copilotのセキュリティ設計の違い
Copilot Proは個人向けサービスであり、主に個人のMicrosoftアカウントと紐づきます。そのため、組織全体のセキュリティポリシーを適用するMicrosoft 365 Copilotとは、セキュリティ設計の考え方が異なります。
Copilot Proのセキュリティ設計
Copilot Proのセキュリティは、個人のMicrosoftアカウントのセキュリティ設定(パスワード、MFAなど)に依存します。データは個人のMicrosoftアカウントに紐づくOneDriveやOutlookなどのデータが対象となります。組織の機密情報をCopilot Proで扱うことは推奨されません。個人が業務利用する場合でも、組織のセキュリティポリシーに従う必要があります。
Microsoft 365 Copilotのセキュリティ設計
Microsoft 365 Copilotは、組織のMicrosoft 365テナントに紐づきます。そのため、組織のID管理、条件付きアクセス、データガバナンス、コンプライアンスポリシーなどがそのまま適用されます。管理者は、Copilot for Microsoft 365 の管理センターで、組織全体のセキュリティ設定を構成・管理できます。これにより、エンタープライズレベルのセキュリティとコンプライアンスを実現します。
| 項目 | Copilot Pro | Microsoft 365 Copilot |
|---|---|---|
| 対象ユーザー | 個人 | 組織 |
| ID管理 | 個人のMicrosoftアカウント | Microsoft Entra ID (組織のID管理) |
| データアクセス | 個人のOneDrive, Outlook等 | 組織のSharePoint, OneDrive, Teams, Outlook等 (ユーザー権限による) |
| セキュリティポリシー適用 | 個人の設定に依存 | 組織のセキュリティ・コンプライアンスポリシーが適用 |
| 管理機能 | なし | Microsoft 365 管理センター/Copilot管理センターで管理可能 |
Copilot Proは個人の生産性向上を目的としており、機密性の高い業務データを取り扱う場合は、Microsoft 365 Copilotの利用を推奨します。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
- 【Outlook】メールの受信が数分遅れる!リアルタイムで届かない時の同期設定と送受信グループ設定
- 【Outlook】「メール送信を5分遅らせる」設定!誤送信を防ぐ最強のディレイ機能
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順