ゼロ トラストの原則を Microsoft Copilot に適用する

概要: ゼロ トラストの原則を Microsoft Copilot に適用するには、次を実行する必要があります。

1. インターネットに対する Web ベースのプロンプトにセキュリティ保護を実装する。
2. Microsoft Edge ブラウザーの要約にセキュリティ保護を追加する。
3. Copilot for Microsoft 365 の推奨されるセキュリティ保護を完成させる。
4. Microsoft Copilot と Copilot for Microsoft 365 を一緒に使うときにセキュリティ保護を維持する。

はじめに

Microsoft Copilot または Copilot は、copilot.microsoft.com、Windows、Edge、Bing、Copilot モバイル アプリの AI アシスタントです。 この記事は、Copilot の使用中に組織とデータを安全に保つためにセキュリティ保護を実装するのに役立ちます。 これらの保護を実装して、ゼロ トラストの基盤を構築します。

Copilot のゼロ トラスト セキュリティに関する推奨事項では、ユーザー アカウント、ユーザー デバイス、Copilot の構成方法の範囲内にあるデータの保護に重点を置いて説明します。

Web ベースのプロンプトのインターネットに対する許可から、インターネットと組織のデータの両方に対する Web ベースと Microsoft 365 Graph ベースのプロンプトの許可まで、段階的に Copilot を導入できます。 この記事は、各構成の範囲と、結果的に、適切なセキュリティ保護を使用して環境を準備するための推奨事項を理解するのに役立ちます。

ゼロ トラストは AI にどのように役立ちますか?

セキュリティ、特にデータ保護は、多くの場合、AI ツールを組織に導入する際に最も重要な問題です。 ゼロ トラストは、すべてのユーザー、デバイス、リソース要求を検証して、各要求が許可されていることを確認するセキュリティ戦略です。 "ゼロ トラスト" という用語は、各接続とリソース要求を、制御されていないネットワークと不適切なアクターから発生したかのように扱う戦略を指します。 要求の発信元やアクセス先のリソースに関係なく、ゼロ トラストでは「決して信頼しない、常に検証する」と考えます。

Microsoft は、セキュリティのリーダーとして、ゼロ トラストを実装するための実践的なロードマップと明確なガイダンスを提供しています。 Microsoft の Copilot のセットは、既存のプラットフォームの上に構築されており、これらのプラットフォームに適用される保護を継承しています。 Microsoft のプラットフォームへのゼロ トラストの適用の詳細については、「ゼロ トラスト ガイダンス センター」を参照してください。 これらの保護を実装して、ゼロ トラスト セキュリティの基盤を構築します。

この記事では、そのガイダンスに基づいて、Copilot に関連するゼロ トラスト保護を規定します。

この記事に含まれる内容

この記事では、4 つの段階に分けて、適用されるセキュリティに関する推奨事項を説明します。 これにより、Copilot がアクセスするユーザー、デバイス、データにセキュリティ保護を適用しながら、Copilot を環境に導入する道筋が提供されます。

ステージ 1。 インターネットに対する Web ベースのプロンプトのセキュリティに関する推奨事項から開始

Copilot の最も単純な構成では、Web ベースのプロンプトで AI 支援が提供されます。

この図は次のことを示しています。

• ユーザーは、copilot.microsoft.com、Windows、Bing、Edge ブラウザー、Copilot モバイル アプリを使って Copilot とやりとりすることができます。
• プロンプトは Web ベースです。 Copilot は、公開されているデータのみを使用してプロンプトに応答します。

この構成では、組織のデータは、Copilot が参照するデータの範囲に含まれません。

このステージで、不適切なアクターが Copilot を使用するのを防ぐために、ユーザーとデバイスの ID とアクセス ポリシーを実装します。 少なくとも、以下を必要とする条件付きアクセス ポリシーを構成する必要があります。

• すべてのユーザーに対する多要素認証
• 信頼された正常なデバイス

Microsoft 365 E3 のその他の推奨事項

• ユーザー アカウントの認証とアクセスについては、ID とアクセス ポリシーも構成して、先進認証をサポートしていないクライアントをブロックします。
• Windows 保護機能を使用します。

Microsoft 365 E5 のその他の推奨事項

E3 の推奨事項を実施し、次の ID とアクセス ポリシーを構成します。

• サインイン リスクが中または高のときに MFA を要求する
• リスクが高いユーザーはパスワードを変更する必要がある

ステージ 2。 Edge ブラウザーの要約にセキュリティ保護を追加する

Microsoft Edge サイドバーから、Microsoft Copilot を使用すると、Web 全体から、また、有効になっている場合は、開いているブラウザー タブに表示される一部の種類の情報から答えやインスピレーションを得ることができます。

Copilot in Edge が要約できるプライベートまたは組織の Web ページとドキュメントの種類の例を次に示します。

• SharePoint などのイントラネット サイト (埋め込み Office ドキュメントは除く)
• Outlook Web アプリ
• PDF (ローカル デバイスに格納されているものを含む)
• Microsoft Purview DLP ポリシー、モバイル アプリケーション管理 (MAM) ポリシー、または MDM ポリシーによって保護されていないサイト

Copilot in Edge で要約できる機密性の高い可能性がある組織サイトやドキュメントは、ローカル、イントラネット、またはクラウドの場所に格納される場合があります。 この組織データは、デバイスにアクセスし、Copilot in Edge を使用して文書やサイトの要約を素早く作成する攻撃者に公開される場合があります。

Copilot in Edge によって要約できる組織データには、次の内容が含まれます。

• ユーザーのコンピューター上のローカル リソース

  MAM ポリシーで保護されていないローカル アプリで Edge ブラウザーのタブに表示される PDF または情報

• イントラネット リソース

  Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない内部アプリとサービスの PDF またはサイト

• Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない Microsoft 365 サイト

• Microsoft Azure リソース

  Microsoft Purview DLP ポリシー、MAM ポリシー、または MDM ポリシーによって保護されていない SaaS アプリの仮想マシンまたはサイト上の PDF

• Microsoft Purview DLP ポリシー、MAM ポリシー、または MDA ポリシーによって保護されていないクラウドベースの SaaS アプリとサービス用のサード パーティのクラウド製品サイト

このステージでセキュリティ レベルを実装し、不適切なアクターが Copilot を使用して機密データをさらに迅速に検出してアクセスできないようにします。 少なくとも、次を行う必要があります。

• Microsoft Purview を使用してデータのセキュリティとコンプライアンスの保護を展開する
• データに対する最小限のユーザー アクセス許可を構成する
• Microsoft Defender for Cloud Apps を使用してクラウド アプリの脅威に対する保護を展開する

Copilot in Edge の詳細については、以下を参照してください。

• Copilot in Edge
• Copilot in Edge の Web ページ要約の動作

この図は、ブラウザーの要約を有効にして、Microsoft Copilot in Edge で使用できるデータ セットを示しています。

E3 と E5 の推奨事項

• データ保護のために Intune のアプリ保護ポリシー (APP) を実装します。 APP を使用すると、許可されているアプリのリストに含まれていないデバイス上のアプリに、Copilot によって生成された内容が誤ってまたは意図的にコピーされるのを防ぐことができます。 APP は、セキュリティ侵害されたデバイスを使用して攻撃者の爆発半径を制限できます。

• Microsoft Defender for Office 363 プラン 1を有効にします。これには、安全な添付ファイル用の Exchange Online Protection (EOP)、安全なリンク、高度なフィッシングのしきい値と偽装保護、リアルタイム検出が含まれます。

ステージ 3. Copilot for Microsoft 365 に推奨される完全なセキュリティ保護

Copilot for Microsoft 365 では、次のデータ セットを使用して、Graph ベースのプロンプトを処理できます。

• Microsoft 365 テナント データ
• Bing 検索によるインターネット データ (有効な場合)
• Copilot 対応プラグインとコネクタで使用されるデータ

詳細については、「ゼロ トラストの原則を Microsoft Copilot for Microsoft 365 に適用する」を参照してください。

E3 に関する推奨事項

次を実施します。

• Intune デバイス管理とデバイス コンプライアンス要件ポリシー

• Microsoft 365 テナントでのデータ保護

  • 秘密度ラベル

  • データ損失防止 (DLP) ポリシー

  • 保持ポリシー

• Microsoft Defender for Endpoint を有効にする

E5 に関する推奨事項

E3 の推奨事項と次を実施します。

• 機密情報を検索するには、より広範な分類子を使用します。
• 保持ラベルを自動化します。
• Defender for Office 365 のプラン 2 の機能を試してみてください。これには、侵害後の調査、ハンティング、対応、自動化、シミュレーションが含まれます。
• Microsoft Defender for Cloud Apps をオンにします。
• Defender for Cloud Apps を構成して、クラウド アプリを検出し、その動作を監視および監査します。

ステージ 4. Microsoft Copilot と Copilot for Microsoft 365 を併用している間、セキュリティ保護を維持する

Copilot for Microsoft 365 のライセンスを使用すると、Edge ブラウザー、Windows、Bing 検索に [Work/Web] トグル コントロールが表示され、次の使用を切り替えることができます。

• Copilot for Microsoft 365 に送信される Graphベースのプロンプト (トグルは [Work] に設定)。
• 主にインターネット データを使用する Web ベースのプロンプト (トグルは [Web] に設定)。

copilot.microsoft.com の例を次に示します。

この図は、Graph および Web グラウンド プロンプトのフローを示しています。

図の説明：

• Copilot for Microsoft 365 のライセンスを持つデバイス上のユーザーは、Microsoft Copilot プロンプトの [Work] または [Web] モードを選択できます。
• [Work] が選択されている場合は、処理のために、Copilot for Microsoft 365 に Graph ベースのプロンプトが送信されます。
• [Web] が選択されている場合、Windows、Bing、または Edge 経由で入力された Web ベースのプロンプトは、その処理でインターネット データを使用します。
• Edge の場合、Windows Copilot が有効になっていると、開いている Edge のタブ内のいくつかの種類のデータが処理に含まれます。

ユーザーが Copilot for Microsoft 365 のライセンスを持っていない場合、[Work/Web] トグルは表示されず、すべてのプロンプトが Web ベースになります。

Microsoft Copilot のアクセス可能な組織データのセットを次に示します。これには、Graph および Web ベース プロンプトの両方が含まれます。

この図では、黄色の網掛けされたブロックは、Copilot を介してアクセスできる組織データです。 Copilot を介してユーザーがこのデータにアクセスできるかどうかは、ユーザー アカウントに割り当てられているデータに対するアクセス許可によって異なります。 また、条件付きアクセスがユーザーまたはデータが存在する環境へのアクセス用に構成されている場合は、ユーザーのデバイスの状態によっても異なります。 ゼロ トラストの原則に従い、これは攻撃者がユーザー アカウントまたはデバイスを侵害した場合に備えて保護する必要があるデータです。

• グラフベースのプロンプト (トグルは [Work] に設定) の場合、次のものが含まれます。

  • Microsoft 365 テナント データ

  • Copilot 対応プラグインとコネクタのデータ

  • インターネット データ (Web プラグインが有効になっている場合)

• 開いているブラウザー タブの要約を有効にした Edge ブラウザーからの Web ベースのプロンプト (トグルは [Web] に設定) の場合、これには、ローカル、イントラネット、クラウドの場所から Copilot in Edge によって要約できる組織データを含めることができます。

このステージで、次のレベルのセキュリティの実装を確認して、不適切なアクターが Copilot を使用して機密データにアクセスするのを防ぎます。

• Microsoft Purview を使用してデータのセキュリティとコンプライアンスの保護を展開する
• データに対する最小限のユーザー アクセス許可を構成する
• Microsoft Defender for Cloud Apps を使用してクラウド アプリの脅威に対する保護を展開する

E3 に関する推奨事項

• Defender for Office 365 プラン 1 と Defender for Endpoint プラン 1 の構成と機能を確認し、必要に応じて追加の機能を実装します。
• Microsoft Teams の適切な保護レベルを設定します。

E5 に関する推奨事項

E3 の推奨事項を実装し、Microsoft 365 テナントで XDR 機能を拡張します。

• Microsoft Defender for Identity をオンにします。

• 構成を確認し、必要に応じて追加の機能を実装して、完全な Microsoft Defender XDR スイートを使用して脅威に対する保護を強化します。

  • Defender for Endpoint

  • Defender for Office 365

  • Defender for Identity

  • Defender for Cloud Apps

  • Defender for Cloud Apps のセッション ポリシーを構成する

構成の概要

この図は、Microsoft Copilot の構成と、Copilot がプロンプトに応答するために使用する、その結果のアクセス可能なデータをまとめたものです。

この表には、選択した構成に関するゼロ トラストの推奨事項が含まれています。

次のステップ

ゼロ トラストと Microsoft の Copilot については、次の追加記事を参照してください。

• 概要
• Microsoft Copilot for Microsoft 365
• Microsoft Copilot for Security

関連情報

この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。

• Copilot in Edge
• Copilot in Edge の Web ページ要約の動作
• Windows で Copilot を管理する
• Microsoft Copilot for Microsoft 365 の応答でのパブリック Web コンテンツへのアクセスを管理する
• Microsoft Copilot for Microsoft 365 のデータ、プライバシー、セキュリティ