ゼロ トラストの原則を Microsoft Copilot Chat に適用する

概要: ゼロ トラスト原則を Microsoft Copilot Chat に適用するには、次の操作を行う必要があります。

1. インターネットに対する Web ベースのプロンプトにセキュリティ保護を実装する。
2. Microsoft Edge ブラウザーの要約にセキュリティ保護を追加する。

はじめに

Copilot Chat は、Microsoft 365 Copilot アプリ、Edge、および次の URL (M365copilot.com と Copilot.cloud.microsoft) の AI コンパニオンです。 これは、資格のあるライセンスを持つ Entra アカウント ユーザー向けに提供されています。 Copilot チャットには、エンタープライズ データ保護が含まれています。 個人使用のための Copilot Chat (コンシューマー バージョン) には、エンタープライズ データ保護は含まれません。 この記事は、Copilot Chat を使用している間、組織とデータを安全に保つためにセキュリティ保護を実装するのに役立ちます。 これらの保護を実装することで、ゼロ トラストの基盤を構築します。

Copilot Chat のゼロ トラスト セキュリティに関する推奨事項では、Edge の Copilot Chat で要約できるユーザー アカウント、ユーザー デバイス、および組織データの保護に重点を置いて説明します。

ゼロ トラストは AI にどのように役立ちますか?

セキュリティ、特にデータ保護は、多くの場合、AI ツールを組織に導入する際に最も重要な問題です。 ゼロ トラストは、すべてのユーザー、デバイス、リソース要求を検証して、各要求が許可されていることを確認するセキュリティ戦略です。 "ゼロ トラスト" という用語は、各接続とリソース要求を、制御されていないネットワークと悪いアクターから発生したかのように扱う戦略を指します。 要求の発信元やアクセス先のリソースに関係なく、ゼロ トラストでは「決して信頼しない、常に検証する」と考えます。

Microsoft は、セキュリティのリーダーとして、ゼロ トラストを実装するための実践的なロードマップと明確なガイダンスを提供しています。 Microsoft の Copilot のセットは、既存のプラットフォームの上に構築されており、これらのプラットフォームに適用される保護を継承しています。 Microsoft のプラットフォームへのゼロ トラストの適用の詳細については、「ゼロ トラスト ガイダンス センター」を参照してください。 これらの保護を実装することで、ゼロ トラスト セキュリティの基盤を構築します。

この記事では、そのガイダンスに基づいて、Copilot に関連するゼロ トラスト保護を規定します。

この記事に含まれる内容

この記事では、2 つの段階で適用されるセキュリティに関する推奨事項について説明します。 これにより、Copilot によってアクセスされるユーザー、デバイス、およびデータにセキュリティ保護を適用しながら、Copilot チャットを環境に導入するためのパスが提供されます。

段階	構成	セキュリティで保護するコンポーネント
1	インターネットに対する Web ベースのプロンプト	ID およびアクセス ポリシーを使用したユーザーとデバイスの基本的なセキュリティ検疫。
2	Edge ブラウザー ページの要約を有効にしたインターネットに対する Web ベースのプロンプト	Copilot in Edge が集計できるローカル、イントラネット、クラウドの場所に関する組織のデータ。

ステージ 1。 インターネットに対する Web ベースのプロンプトのセキュリティに関する推奨事項から開始

Copilot の最も単純な構成では、Web ベースのプロンプトで AI 支援が提供されます。

この図は次のことを示しています。

• ユーザーは、M365copilot.com、Copilot.cloud.microsoft、Microsoft 365 Copilot アプリ、Edge を介して Copilot Chat と対話できます。
• プロンプトは Web ベースです。 Copilot Chat では、公開されているデータのみを使用してプロンプトに応答します。
• Edge ブラウザー ページの概要設定が有効になっていません。

この構成では、組織のデータは、Copilot Chat が参照するデータのスコープに含まれません。 ただし、ブラウザー ページの要約が有効になっていないことを確認する必要があります。 管理者は、EdgeEntraCopilotPageContext グループ ポリシー設定を使用してこれを行うことができます。

このステージで、不適切なアクターが Copilot を使用するのを防ぐために、ユーザーとデバイスの ID とアクセス ポリシーを実装します。 少なくとも、以下を必要とする条件付きアクセス ポリシーを構成する必要があります。

• すべてのユーザーに対する多要素認証
• 信頼された正常なデバイス

Microsoft 365 E3 のその他の推奨事項

• ユーザー アカウントの認証とアクセスについては、ID とアクセス ポリシーも構成して、先進認証をサポートしていないクライアントをブロックします。
• Windows 保護機能を使用します。

Microsoft 365 E5 のその他の推奨事項

E3 の推奨事項を実施し、次の ID とアクセス ポリシーを構成します。

• サインイン リスクが中または高のときに MFA を要求する
• リスクが高いユーザーはパスワードを変更する必要がある

ステージ 2。 Edge ブラウザーの要約にセキュリティ保護を追加する

Microsoft Edge サイドバーから、Microsoft Copilot Chat を使用すると、Web 全体から、また有効になっている場合は、開いているブラウザー タブに表示される一部の種類の情報から回答やインスピレーションを得ることができます。

ブラウザー ページの概要を無効にした場合は、この機能を再度有効にする必要があります。 管理者は、EdgeEntraCopilotPageContext グループ ポリシー設定を使用してこれを行うことができます。

Copilot in Edge が要約できるプライベートまたは組織の Web ページとドキュメントの種類の例を次に示します。

• SharePoint などのイントラネット サイト (埋め込み Office ドキュメントは除く)
• Outlook Web アプリ
• PDF (ローカル デバイスに格納されているものを含む)
• Microsoft Purview DLP ポリシー、モバイル アプリケーション管理 (MAM) ポリシー、または MDM ポリシーによって保護されていないサイト

Note

分析と要約のために Copilot in Edge でサポートされているドキュメントの種類の現在の一覧については、「Copilot in Edge の Web ページ要約の動作」を参照してください。

Copilot in Edge で要約できる機密性の高い可能性がある組織サイトやドキュメントは、ローカル、イントラネット、またはクラウドの場所に格納される場合があります。 この組織データは、デバイスにアクセスし、Copilot in Edge を使用して文書やサイトの要約を素早く作成する攻撃者に公開される場合があります。

Copilot in Edge によって要約できる組織データには、次の内容が含まれます。

• ユーザーのコンピューター上のローカル リソース

  MAM ポリシーで保護されていないローカル アプリで Edge ブラウザーのタブに表示される PDF または情報

• イントラネット リソース

  Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない内部アプリとサービスの PDF またはサイト

• Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない Microsoft 365 サイト

• Microsoft Azure リソース

  Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない SaaS アプリの仮想マシンまたはサイト上の PDF

• Microsoft Purview DLP ポリシー、MAM ポリシー、または MDA ポリシーによって保護されていないクラウドベースの SaaS アプリとサービス用のサード パーティのクラウド製品サイト

このステージでセキュリティ レベルを実装し、不適切なアクターが Copilot を使用して機密データをさらに迅速に検出してアクセスできないようにします。 少なくとも、次を行う必要があります。

• Microsoft Purview を使用してデータのセキュリティとコンプライアンスの保護を展開する
• データに対する最小限のユーザー アクセス許可を構成する
• Microsoft Defender for Cloud Apps を使用してクラウド アプリの脅威に対する保護を展開する

Copilot in Edge の詳細については、以下を参照してください。

• Copilot in Edge
• Copilot in Edge の Web ページ要約の動作

E3 と E5 の推奨事項

• データ保護のために Intune のアプリ保護ポリシー (APP) を実装します。 APP を使用すると、許可されているアプリのリストに含まれていないデバイス上のアプリに、Copilot によって生成された内容が誤ってまたは意図的にコピーされるのを防ぐことができます。 APP は、セキュリティ侵害されたデバイスを使用して攻撃者の爆発半径を制限できます。

• Microsoft Defender for Office 363 プラン 1を有効にします。これには、安全な添付ファイル用の Exchange Online Protection (EOP)、安全なリンク、高度なフィッシングのしきい値と偽装保護、リアルタイム検出が含まれます。

次のステップ

ゼロ トラストと Microsoft の Copilot については、次の追加記事を参照してください。

• 概要
• Microsoft Microsoft 365 Copilot
• Microsoft Copilot for Security

関連情報

この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。

• Copilot in Edge
• Copilot in Edge の Web ページ要約の動作
• Microsoft 365 Copilot の応答でパブリック Web コンテンツへのアクセスを管理する
• Microsoft 365 Copilot のデータ、プライバシー、セキュリティ