Copilot for Microsoft 365 が機密性の高いビジネス データをどのように保護するかを調べる
Microsoft 365 テナント内のアクセス許可モデルは、ユーザー、グループ、テナント間でデータが意図せず漏洩しないようにするのに役立ちます。 Microsoft 365 Copilot は、他の Microsoft 365 サービスで使用されているデータ アクセスの同じ基礎となるコントロールを使用して、各ユーザーがアクセスできるデータのみを表示します。 Microsoft Graph と Semantic Index for Copilot もデータ ソースです。 そのため、ユーザー ID ベースのアクセス境界も尊重します。 そうすることで、グラウンディング プロセスは、現在のユーザーがアクセスを許可されているコンテンツにのみアクセスします。 詳細については、Microsoft のプライバシー ポリシーとサービスのドキュメントを参照してください。
Microsoft Purview 情報保護が暗号化したデータがある場合、ユーザーが少なくとも使用状況表示権限を持っていない限り、Copilot for Microsoft 365 はそのデータを返しません。 秘密度ラベルを使用するか、Information Rights Management (IRM) を通じて Microsoft 365 アプリの制限されたアクセス許可を使用して、暗号化を適用できます。 Copilot for Microsoft 365 で生成されたコンテンツはソースから最も制限の厳しいアクセス許可またはラベルを継承できますが、Copilot for Microsoft 365 は元のソースを引用し、保護を保持します。
セキュリティ チームは、十分なリソースを備え、組織化され、洗練された攻撃者と非対称の戦いを繰り広げます。 組織を保護するために、セキュリティ担当者は、システムのノイズに隠れがちな脅威に対応する必要があります。 通常、システム ノイズには、セキュリティ システムによって生成される大量のデータやアラートが含まれており、これらが実際の脅威の検出を困難にする可能性があります。 この課題をさらに悪化させているのが、熟練したセキュリティ専門家の世界的な不足です。
Microsoft は、こうしたセキュリティの戦いに複数の面で取り組んでいます。 Microsoft 365 では、Microsoft は複数の形式の保護を実装して、組織が機密性の高いビジネス データや Microsoft 365 のサービスとアプリケーションを侵害するのを防ぎます。 この保護により、顧客が他のテナントや Microsoft 365 システム自体に不正にアクセスすることも防止されます。 これらの保護形式には次のようなものがあります:
アクセス制御。 まず、強力な多要素認証を実装することにより、Microsoft 365 アカウントは資格情報の侵害やフィッシング攻撃に対する耐性が高まります。 次に、横方向の検出と移動を防ぐために、データへのユーザー アクセスを過剰に許可しないように "十分なアクセス" 戦略をお勧めします。 Copilot for Microsoft 365 は、個々のユーザーが少なくとも SharePoint、OneDrive、Teams などの Microsoft 365 サービス内のアクセス許可を持っているデータにのみアクセスします。 たとえば、ユーザーが SharePoint の機密プロジェクト フォルダーにアクセスできない場合、Copilot for Microsoft 365 はそのコンテンツを表示して応答を生成できません。 Copilot for Microsoft 365 プラグインを通じてアクセスされるコンテンツの場合、暗号化によりプログラムによるアクセスが除外されるため、プラグインがコンテンツにアクセスできなくなる可能性があります。 詳細については、「Azure Information Protection の使用権限を構成する」を参照してください。
分離されたインスタンス。 クラウド コンピューティングの主な利点の 1 つは、多数の顧客間で同時に共有される共通のインフラストラクチャの概念であり、規模の経済につながることです。 Microsoft は、企業顧客への取り組みに従って、データがテナントごとに論理的に分離され、移動中および保存中に暗号化されることを保証します。 たとえば、Contoso のテナントで実行されている Copilot for Microsoft 365 は、Fabrikam のテナントからのデータを表示できません。 Microsoft 365 サービスの各テナント内の組織のコンテンツの論理的な分離は、Microsoft Entra 承認とロールベースのアクセス制御によって実現されます。 詳細については、「Microsoft 365 の分離コントロール」を参照してください。
注:
Azure Active Directory (Azure AD) は現在、Microsoft Entra ID になりました。 詳細情報 を参照してください。
暗号化。 Microsoft 365 は、BitLocker、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の組織のデータを暗号化するサービス側テクノロジを使用します。 Copilot for Microsoft 365 クラウド コンポーネント間で送信されるすべてのデータは、TLS 1.2 などの最新の暗号化標準を使用して暗号化されます。 保存されているデータも暗号化されます。 この設計により、転送中または保管中のデータへの不正アクセスが防止されます。 Microsoft 365 での暗号化の詳細については、「Microsoft Cloud での暗号化」を参照してください。
コンプライアンスの境界。 Copilot for Microsoft 365 を使用してプロンプトを入力すると、プロンプト内の情報、プロンプトが取得するデータ、生成された応答は Microsoft 365 サービス境界内に残ります。 この設計は、Microsoft の現在のプライバシー、セキュリティ、コンプライアンスの取り組みに沿ったものです。 ただし、管理者はデータをコンプライアンスの境界外に出すことを選択できます。たとえば、Microsoft Bing を使用してパブリック Web にクエリを実行します。
トレーニング データは使用されません。 Copilot for Microsoft 365 は、基盤となる AI モデルのトレーニングや改善に、ユーザーが入力したプロンプトを含む顧客データを一切使用しません。 Copilot for Microsoft 365 は、ユーザーの現在のコンテキストのみを使用して応答を形成します。
責任ある AI。 Microsoft は、プライバシー、セキュリティ、包括性、透明性など、責任ある AI 開発の原則を遵守しています。 そうすることで、機密データの倫理的な取り扱いが促進されます。 クラウド プライバシーに関する世界初の国際実践規範である ISO/IEC 27018 など、広く適用されるプライバシー法およびプライバシー標準を遵守する Microsoft の取り組みにより、組織のデータ管理が強化されます。
セキュリティで保護する手段。 Copilot for Microsoft 365 は、脅威の監視、脆弱性評価、データ保護制御などの Microsoft の包括的なセキュリティ対策を使用します。 この設計は、Copilot for Microsoft 365 サービスとインフラストラクチャのセキュリティを確保するのに役立ちます。