Copilot for Microsoft 365 が機密性の高いビジネス データをどのように保護するかを調べる
Microsoft 365 テナント内のアクセス許可モデルは、ユーザー、グループ、テナント間でデータが意図せず漏洩しないようにするのに役立ちます。 Microsoft 365 Copilot は、他の Microsoft 365 サービスで使用されているデータ アクセスの同じ基礎となるコントロールを使用して、各ユーザーがアクセスできるデータのみを表示します。 Microsoft Graph と Semantic Index for Copilot もデータ ソースです。 そのため、ユーザー ID ベースのアクセス境界も尊重します。 そうすることで、グラウンディング プロセスは、現在のユーザーがアクセスを許可されているコンテンツにのみアクセスします。 詳細については、Microsoft のプライバシー ポリシーとサービスのドキュメントを参照してください。
Microsoft Purview 情報保護が暗号化したデータがある場合、ユーザーが少なくとも使用状況表示権限を持っていない限り、Copilot for Microsoft 365 はそのデータを返しません。 秘密度ラベルを使用するか、Information Rights Management (IRM) を通じて Microsoft 365 アプリの制限されたアクセス許可を使用して、暗号化を適用できます。 Copilot for Microsoft 365 で生成されたコンテンツはソースから最も制限の厳しいアクセス許可またはラベルを継承できますが、Copilot for Microsoft 365 は元のソースを引用し、保護を保持します。
セキュリティ チームは、十分なリソースを備え、組織化され、洗練された攻撃者と非対称の戦いを繰り広げます。 組織を保護するために、セキュリティ担当者は、システムのノイズに隠れがちな脅威に対応する必要があります。 通常、システム ノイズには、セキュリティ システムによって生成される大量のデータやアラートが含まれており、これらが実際の脅威の検出を困難にする可能性があります。 この課題をさらに悪化させているのが、熟練したセキュリティ専門家の世界的な不足です。
Microsoft は、こうしたセキュリティの戦いに複数の面で取り組んでいます。 Microsoft 365 では、Microsoft は複数の形式の保護を実装して、組織が機密性の高いビジネス データや Microsoft 365 のサービスとアプリケーションを侵害するのを防ぎます。 この保護により、顧客が他のテナントや Microsoft 365 システム自体に不正にアクセスすることも防止されます。 これらの保護形式には次のようなものがあります:
アクセス制御。 まず、強力な多要素認証を実装することにより、Microsoft 365 アカウントは資格情報の侵害やフィッシング攻撃に対する耐性が高まります。 次に、横方向の検出と移動を防ぐために、データへのユーザー アクセスを過剰に許可しないように "十分なアクセス" 戦略をお勧めします。 Copilot for Microsoft 365 は、個々のユーザーが少なくとも SharePoint、OneDrive、Teams などの Microsoft 365 サービス内のアクセス許可を持っているデータにのみアクセスします。 たとえば、ユーザーが SharePoint の機密プロジェクト フォルダーにアクセスできない場合、Copilot for Microsoft 365 はそのコンテンツを表示して応答を生成できません。 Copilot for Microsoft 365 プラグインを通じてアクセスされるコンテンツの場合、暗号化によりプログラムによるアクセスが除外されるため、プラグインがコンテンツにアクセスできなくなる可能性があります。 詳細については、「Azure Information Protection の使用権限を構成する」を参照してください。
分離されたインスタンス。 クラウド コンピューティングの主な利点の 1 つは、多数の顧客間で同時に共有される共通のインフラストラクチャの概念であり、規模の経済につながることです。 Microsoft は、企業顧客への取り組みに従って、データがテナントごとに論理的に分離され、移動中および保存中に暗号化されることを保証します。 たとえば、Contoso のテナントで実行されている Copilot for Microsoft 365 は、Fabrikam のテナントからのデータを表示できません。 Microsoft 365 サービスの各テナント内の組織のコンテンツの論理的な分離は、Microsoft Entra 承認とロールベースのアクセス制御によって実現されます。 詳細については、「Microsoft 365 の分離コントロール」を参照してください。
注:
Azure Active Directory (Azure AD) は現在、Microsoft Entra ID になりました。 詳細情報 を参照してください。
暗号化。 Microsoft 365 は、BitLocker、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の組織のデータを暗号化するサービス側テクノロジを使用します。 Copilot for Microsoft 365 クラウド コンポーネント間で送信されるすべてのデータは、TLS 1.2 などの最新の暗号化標準を使用して暗号化されます。 保存されているデータも暗号化されます。 この設計により、転送中または保管中のデータへの不正アクセスが防止されます。 ユーザーが Dynamics 365 および Power Platform で暗号化されたデータにアクセスでき、ユーザーが Copilot にこのデータを提供した場合、Copilot はそれにアクセスできます。 Microsoft 365 での暗号化の詳細については、「Microsoft Cloud での暗号化」を参照してください。
コンプライアンスの境界。 Copilot for Microsoft 365 を使用してプロンプトを入力すると、プロンプト内の情報、プロンプトが取得するデータ、生成された応答は Microsoft 365 サービス境界内に残ります。 この設計は、Microsoft の現在のプライバシー、セキュリティ、コンプライアンスの取り組みに沿ったものです。 ただし、管理者はデータをコンプライアンスの境界外に出すことを選択できます。たとえば、Microsoft Bing を使用してパブリック Web にクエリを実行します。
トレーニング データは使用されません。 Copilot for Microsoft 365 は、基盤となる AI モデルのトレーニングや改善に、ユーザーが入力したプロンプトを含む顧客データを一切使用しません。 Copilot for Microsoft 365 は、ユーザーの現在のコンテキストのみを使用して応答を形成します。
責任ある AI。 Microsoft は、プライバシー、セキュリティ、包括性、透明性など、責任ある AI 開発の原則を遵守しています。 そうすることで、機密データの倫理的な取り扱いが促進されます。 クラウド プライバシーに関する世界初の国際実践規範である ISO/IEC 27018 など、広く適用されるプライバシー法およびプライバシー標準を遵守する Microsoft の取り組みにより、組織のデータ管理が強化されます。
セキュリティで保護する手段。 Copilot for Microsoft 365 は、脅威の監視、脆弱性評価、データ保護制御などの Microsoft の包括的なセキュリティ対策を使用します。 この設計は、Copilot for Microsoft 365 サービスとインフラストラクチャのセキュリティを確保するのに役立ちます。
Copilot が顧客データを保護する方法
Microsoft は、エンタープライズ対応の AI を提供できる独自の立場を確保しています。 Microsoft 365 Copilot は Azure OpenAI Service を利用しています。 Copilot は、お客様に対する Microsoft の既存のプライバシー、セキュリティ、規制に関する約束に準拠しています。
セキュリティ、プライバシー、コンプライアンスに対する Microsoft の包括的なアプローチに基づいて構築されています。 Copilot は、Microsoft 365、Dynamics 365、Power Platform などの Microsoft サービスに統合されています。 Copilot は、多要素認証やコンプライアンスの境界など、セキュリティ、プライバシー、コンプライアンスのポリシーおよびプロセスを継承します。
複数の形式の保護により、組織のデータを保護します。 サービス側テクノロジーは、保存中および転送中の組織のコンテンツを暗号化して、堅牢なセキュリティを実現します。 Connections は、トランスポート層セキュリティ (TLS) を使用して保護されており、Microsoft 365、Dynamics 365、Power Platform、Azure OpenAI 間のデータ転送は、Microsoft バックボーン ネットワーク経由で行われます。 この設計により、信頼性と安全性の両方が確保されます。 詳細については、「Microsoft Cloud での暗号化」を参照してください。
テナント レベルと環境レベルの両方でデータを保護するように設計されています。 データ漏洩は、お客様にとって重大な懸念事項です。 Microsoft AI モデルはトレーニングされておらず、テナント データまたはプロンプトからは学習しません。 この規則の唯一の例外は、組織のテナント管理者が Microsoft とデータを共有することを選択した場合です。 お客様の環境内では、設定したアクセス許可を介してアクセスを制御できます。 認証と承認のメカニズムにより、共有モデルに対する要求がテナント間で分離されます。
重要
Microsoft 365 Copilot は、ユーザーがアクセスできるデータのみを使用します。 その際、Microsoft が顧客データをセキュリティで保護するために何年間も使用してきたものと同じテクノロジーが使用されます。