英語で読む

次の方法で共有


生成 AI アプリ向け、Microsoft Purview のデータセキュリティおよびコンプライアンス保護

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス

Microsoft Purview を使用して、AI の使用に関連するリスクを軽減および管理し、対応する保護とガバナンス制御を実装します。

Microsoft Purview Data Security Posture Management for AI には、使いやすいグラフィカル ツールとレポートが用意されており、organization内での AI の使用に関する分析情報をすばやく得ることができます。 ワンクリック ポリシーは、データを保護し、規制要件に準拠するのに役立ちます。

AI 用データ セキュリティ体制管理を他の Microsoft Purview 機能と組み合わせて使用して、Microsoft 365 CopilotMicrosoft Copilotのデータ セキュリティとコンプライアンスを強化します。

注意

organizationのライセンス プランでこれらの機能がサポートされているかどうかをチェックするには、ページの上部にあるライセンス ガイダンスのリンクを参照してください。 Microsoft 365 Copilot自体のライセンス情報については、Microsoft 365 Copilotのサービスの説明を参照してください。

次のセクションを使用して、AI 用のデータ セキュリティ体制管理と、Microsoft 365 Copilotやその他の生成型 AI アプリのorganizationの導入を加速するための追加のデータ セキュリティとコンプライアンス制御を提供する Microsoft Purview 機能について詳しく説明します。 Microsoft Purview を初めて使用する場合は、製品の概要も役立ちます。 Microsoft Purview について学習してください。

Microsoft 365 Copilotのセキュリティとコンプライアンスの要件の詳細については、「Microsoft 365 Copilotのデータ、プライバシー、セキュリティ」を参照してください。 Microsoft Copilotについては、「Copilot のプライバシーと保護」を参照してください。

AI 用のデータ セキュリティ体制管理は、AI アプリの分析情報、ポリシー、制御を提供します

Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルMicrosoft Purview Data Security Posture Management for AI (DSPM for AI) は、AI アプリのデータをすばやくセキュリティで保護し、AI の使用を事前に監視するのに役立つ中央管理の場所を提供します。 これらのアプリには、Microsoft 365 Copilot、Microsoft のその他の副操縦士、サード パーティの大きな言語モジュール (LLM) の AI アプリが含まれます。

AI 用データ セキュリティ体制管理には一連の機能が用意されているため、生産性と保護のどちらを選択しなくても AI を安全に採用できます。

  • organizationの AI アクティビティに関する分析情報と分析

  • AI プロンプトでデータを保護し、データ損失を防ぐためのすぐに使用できるポリシー

  • データの潜在的な過剰共有を特定、修復、監視するためのデータ評価。

  • 最適なデータ処理とポリシーの格納を適用するためのコンプライアンス制御

Microsoft Purview Data Security Posture Management for AI のスクリーンショットの例。

Gemini や ChatGPT で使用されるなど、サポートされているサード パーティの AI サイトの一覧については、「Microsoft Purview でサポートされている AI サイトによるデータセキュリティとコンプライアンス保護」を参照してください。

AI にデータ セキュリティ体制管理を使用する方法

AI の使用状況に関する分析情報を迅速に取得し、データを保護するために、AI 用の Data Security Posture Management には、1 回のクリックでアクティブ化できる推奨される 事前構成済みポリシー がいくつか用意されています。 これらの新しいポリシーで少なくとも 24 時間、データを収集して結果を AI 用データ セキュリティ体制管理に表示するか、既定の設定に加えた変更を反映します。

アクティブ化は必要なく、プレビュー段階では、AI 用の Data Security Posture Management では、Microsoft Copilotで使用されている上位 100 の SharePoint サイトの週単位のデータ評価が自動的に実行されます。 これは、独自のカスタム データ評価で補完できます。 これらの評価は、データの過剰共有の可能性を特定、修復、監視するのに役立つよう特別に設計されているため、Microsoft 365 Copilotをより自信を持ってデプロイできます。

AI 用の Data Security Posture Management の使用を開始するには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルのいずれかを使用できます。 Microsoft Entraコンプライアンス管理者グループ ロールのメンバーであるアカウントなど、コンプライアンス管理に適切なアクセス許可を持つアカウントが必要です。

  1. 使用しているポータルに応じて、次のいずれかの場所に移動します。

  2. [ 概要] から、[ はじめ に] セクションを確認して、AI 用のデータ セキュリティ体制管理と、実行できる即時のアクションの詳細を確認します。 ポップアップ ウィンドウを表示するには、それぞれを選択して詳細を確認し、アクションを実行し、現在の状態を確認します。

    アクション 詳細
    Microsoft Purview 監査を有効にする 新しいテナントの監査は既定でオンになっているため、既にこの前提条件を満たしている可能性があります。 その場合、ユーザーに Copilot のライセンスが既に割り当てられている場合は、ページのさらに下にある [レポート] セクションから Copilot アクティビティに関する分析情報が表示されます。
    Microsoft Purview ブラウザー拡張機能をインストールする サード パーティの AI サイトの前提条件。
    デバイスを Microsoft Purview にオンボードする サード パーティの AI サイトの前提条件でもあります。
    データ検出の分析情報を拡張する サードパーティの生成 AI サイトにアクセスし、機密情報を送信するユーザーに関する情報を収集するためのワンクリック ポリシー。 オプションは、ページのさらに下にある [AI データ分析] セクションの [ 分析情報の拡張 ] ボタンと同じです。

    前提条件の詳細については、「 AI のデータ セキュリティ体制管理の前提条件」を参照してください。

    アクティブ化できる構成済みのポリシーの詳細については、「 AI 用データ セキュリティ体制管理のワンクリック ポリシー」を参照してください。

  3. 次に、[ 推奨事項] セクションを 確認し、テナントに関連するオプションを実装するかどうかを決定します。 各推奨事項を表示して、それらがデータにどのように関連しているかを理解し、詳細を確認します。

    これらのオプションには、SharePoint サイト間でのデータ評価の実行、データを保護するための秘密度ラベルとポリシーの作成、生成 AI サイトに送信される機密データの検出と保護に役立つ 既定のポリシー の作成などがあります。 推奨事項の例:

    • 既定のデータ評価の結果を表示して、Microsoft 365 Copilotをより自信を持ってデプロイできるように、問題を特定して修正することで、データを潜在的な過剰共有リスクから保護します。
    • 機密ラベルを選択する DLP ポリシーを作成して、Microsoft 365 Copilotで参照される機密データを保護し、ラベル付きデータMicrosoft 365 Copilot要約しないようにします。 詳細については、「Microsoft 365 Copilot ポリシーの場所について」を参照してください。
    • AI アプリで危険な相互作用を検出し、Microsoft 365 Copilotやその他の生成的な AI アプリで危険なプロンプトと応答を検出することで、ユーザー のリスクを計算します。 詳細については、「 危険な AI の使用 (プレビュー)」を参照してください。
    • ChatGPT Enterprise AI との対話を検出して管理するには、ChatGPT Enterprise ワークスペースを登録し、ChatGPT Enterprise と共有されている機密情報を検出することで、潜在的なデータ公開リスクを特定できます。
    • コンプライアンス マネージャーのコントロール マッピング規制テンプレートを使用する AI 規制に関するガイド付きサポートを受ける。

    ナビゲーション ウィンドウの [ すべての推奨事項の表示 ] リンクまたは [推奨事項 ] を使用して、テナントに対して使用可能なすべての推奨事項とその状態を確認できます。 推奨事項が完了または却下されると、[ 概要 ] ページに推奨事項が表示されなくなります。

  4. ナビゲーション ウィンドウの [レポート ] セクションまたは [レポート] ページを使用して、作成された既定のポリシーの結果を表示します。 レポートが設定されるまで少なくとも 1 日待つ必要があります。 Microsoft Copilot エクスペリエンスエンタープライズ AI アプリその他の AI アプリのカテゴリを選択して、特定の生成 AI アプリを識別するのに役立ちます。

  5. [ ポリシー] ページを使用して、 作成された既定のワンクリック ポリシー と、他の Microsoft Purview ソリューションからの AI 関連ポリシーの状態を監視します。 ポリシーを編集するには、ポータルで対応する管理ソリューションを使用します。 たとえば、DSPM for AI - Copilot での非倫理的な動作の場合、コミュニケーション コンプライアンス ソリューションの一致を確認して修復できます。

    注意

    Teams チャットと Copilot の場所の以前のアイテム保持ポリシーがある場合、このページには含まれません。 Microsoft 365 Copilotを含み、このポリシー ページに表示されるMicrosoft Copilot エクスペリエンス個別のアイテム保持ポリシーを作成する方法について説明します

  6. [アクティビティ エクスプローラー] を選択して、ポリシーから収集されたデータの詳細を表示します。

    このより詳細な情報には、アクティビティの種類とユーザー、日付と時刻、AI アプリカテゴリとアプリ、アクセスされたアプリ、機密情報の種類、参照されているファイル、参照されている機密ファイルが含まれます。

    アクティビティの例としては、 AI の相互作用機密情報の種類AI Web サイトへのアクセスなどがあります。 適切なパーミシソンがある場合、Copilot のプロンプトと応答は AI インタラクション イベントに含まれます。 イベントの詳細については、「 アクティビティ エクスプローラーのイベント」を参照してください。

    レポート カテゴリと同様に、ワークロードには、Microsoft Copilot エクスペリエンスエンタープライズ AI アプリおよびその他の AI アプリが含まれますMicrosoft Copilot エクスペリエンスのアプリ ID とアプリ ホストの例には、それぞれ Microsoft 365 CopilotsWordが含まれます。

  1. [データ評価 (プレビュー)] を選択して、organizationの潜在的なデータの過剰共有リスクを特定して修正します。 既定のデータ評価は、organizationで Copilot によって使用される上位 100 の SharePoint サイトに対して毎週自動的に実行され、既に推奨事項の 1 つとしてカスタム評価を実行している可能性があります。 ただし、このオプションに定期的に戻って、既定の評価の毎週の結果をチェックし、さまざまなユーザーまたは特定のサイトに対してチェックする場合にカスタム評価を実行します。

    AI のパワーとスピードにより、時代遅れ、過剰なアクセス許可、ガバナンス 制御が不足している可能性のあるコンテンツを事前に表示できるため、生成 AI はデータの共有過剰の問題を増幅します。 データ評価を使用して、問題の特定と修復の両方を行います。

    テナントに対して自動的に作成されたデータ評価を表示するには、[既定の評価] カテゴリから、一覧から [<月、年>の週のオーバーシェアリング評価] を選択します。 報告された各サイトの列には、見つかったアイテムの合計数、アクセスされた数、アクセスされた頻度、検出およびアクセスされた機密情報の種類の数などの情報が表示されます。

    一覧から各サイトを選択して、[ 概要]、[ 保護]、[監視] の各タブがあるポップアップ ウィンドウにアクセス します。 各タブの情報を使用して詳細を確認し、推奨されるアクションを実行します。 以下に例を示します。

    [ 保護 ] タブを使用して、オーバーシェアリングを修復するオプションを選択します。これには次のものが含まれます。

    • ラベルによるアクセスの制限: Microsoft Purview データ損失防止を使用して、選択した秘密度ラベルがある場合にMicrosoft 365 Copilotがデータを集計できないようにする DLP ポリシーを作成します。 このしくみとサポートされるシナリオの詳細については、「Microsoft 365 Copilot ポリシーの場所について」を参照してください。
    • すべてのアイテムを制限する: SharePoint 制限付きコンテンツの検出可能性を使用して、Microsoft 365 Copilotから除外する SharePoint サイトを一覧表示します。 詳細については、「 SharePoint サイトの制限付きコンテンツの検出可能性」を参照してください。
    • 自動ラベル付けポリシーを作成する: ラベル付けされていないファイルの機密情報が見つかった場合は、Microsoft Purview Information Protectionを使用して自動ラベル付けポリシーを作成し、機密データに秘密度ラベルを自動的に適用します。 このポリシーを作成する方法の詳細については、「 SharePoint、OneDrive、Exchange の自動ラベル付けポリシーを構成する方法」を参照してください。
    • アイテム保持ポリシーの作成: コンテンツに少なくとも 3 年間アクセスされていない場合は、Microsoft Purview データ ライフサイクル管理を使用して自動的に削除します。 アイテム保持ポリシーを作成する方法の詳細については、「アイテム保持ポリシーの 作成と構成」を参照してください。

    [モニター] タブを使用して、サイト内のアイテムの数を表示して、すべてのユーザーと共有し、organization内のすべてのユーザーと共有し、特定のユーザーと共有し、外部で共有します。 SharePoint データ アクセス ガバナンス レポートの使用方法については、[SharePoint サイト アクセス レビューの開始] を選択します。

    例のスクリーンショット。データ評価が実行された後、問題の解決策が表示された [ 保護 ] タブが表示されています。

    Microsoft Purview Data Security Posture Management for AI からのデータ評価の例のスクリーンショット。

    独自のカスタム データ評価を作成するには、[ 評価の作成 ] を選択して、すべてのユーザーまたは選択したユーザー、スキャンするデータ ソース (現在 SharePoint でのみサポートされている) の潜在的なオーバーシェアリングの問題を特定し、評価を実行します。

    すべてのサイトを選択する場合、サイトのメンバーである必要はありませんが、特定のサイトを選択するにはメンバーである必要があります。

    このデータ評価は、[ カスタム評価 ] カテゴリに作成されます。 評価の状態が [ スキャン完了] と表示されるまで待ち、それを選択して詳細を表示します。 カスタム データ評価を再実行するには、複製オプションを使用して、同じ選択から始まる新しい評価を作成します。

    現在、データ評価では、1 か所あたり最大 200,000 個の項目がサポートされています。

Microsoft 365 CopilotとMicrosoft Copilotについては、これらのポリシー、ツール、分析情報を、Microsoft Purview の追加の保護とコンプライアンス機能と組み合わせて使用します。

Microsoft Purview が Copilot の情報保護を強化

Microsoft 365 Copilotは、既存のコントロールを使用して、テナントに格納されているデータがユーザーに返されたり、ユーザーがそのデータにアクセスできない場合に大きな言語モデル (LLM) によって使用されたりしないようにします。 データにorganizationの秘密度ラベルがコンテンツに適用されている場合は、追加の保護レイヤーがあります。

  • Outlook でファイルをWord、Excel、PowerPoint、または同様に電子メールまたは予定表イベントで開くと、ラベルに対して構成されているラベル名とコンテンツ マーキング (ヘッダーやフッター テキストなど) を使用して、アプリ内のユーザーにデータの機密性が表示されます。 Loopコンポーネントとページでも、同じ秘密度ラベルがサポートされます

  • 秘密度ラベルが暗号化を適用する場合、Copilot がデータを返すには、ユーザーが EXTRACT の使用権限と VIEW を持っている必要があります。

  • この保護は、Office アプリで開いているときに Microsoft 365 テナントの外部に保存されたデータ (使用中のデータ) にまで拡張されます。 たとえば、ローカル ストレージ、ネットワーク共有、クラウド ストレージなどです。

ヒント

SharePoint と OneDrive の秘密度ラベルをまだ有効にしていない場合は、これらのサービスで処理できるファイルの種類とラベルの構成についても理解することをお勧めします。 これらのサービスで秘密度ラベルが有効になっていない場合、Microsoft 365 Copilotアクセスできる暗号化されたファイルは、Windows 上の Office アプリから使用されているデータに制限されます。

手順については、「 SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にする」を参照してください。

さらに、幅広いコンテンツからデータにアクセスできるBusiness Chat (旧称 Graph ベースのチャットとMicrosoft 365 Chat) を使用すると、Microsoft 365 Copilotによって返されるラベル付きデータの秘密度が、引用文献と応答に記載されている項目に表示された秘密度ラベルを持つユーザーに表示されます。 Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで定義されている秘密度ラベルの優先度番号を使用すると、Copilot の最新の応答には、その Copilot チャットに使用されるデータの最も優先度の高い秘密度ラベルが表示されます。

コンプライアンス管理者は秘密度ラベルの優先順位を定義しますが、優先度の高い数値は通常、コンテンツの機密性が高く、アクセス許可が制限されます。 その結果、Copilot 応答は最も制限の厳しい秘密度ラベルでラベル付けされます。

注意

アイテムがMicrosoft Purview Information Protectionによって暗号化されているのに秘密度ラベルがない場合、暗号化にユーザーの EXTRACT または VIEW の使用権限が含まれていない場合、Microsoft 365 Copilotもこれらのアイテムをユーザーに返しません。

秘密度ラベルをまだ使用していない場合は、「秘密 度ラベルの概要」を参照してください。

DLP ポリシーでは、Microsoft 365 Copilot操作のデータ分類はサポートされていませんが、機密情報の種類とトレーニング可能な分類子は、コミュニケーション コンプライアンス ポリシーでサポートされ、Copilot に対するユーザー プロンプトの機密データと応答を識別できます。

秘密度ラベル継承による Copilot 保護

Microsoft 365 Copilotを使用して、秘密度ラベルが適用されている項目に基づいて新しいコンテンツを作成すると、ソース ファイルの秘密度ラベルがラベルの保護設定と共に自動的に継承されます。

たとえば、ユーザーは Word で Copilot を使用して下書きを選択し、[ファイルを参照] を選択します。 または、ユーザーが [PowerPoint のファイルからプレゼンテーションを作成する] を選択するか、Business Chatから [ページで編集] を選択します。 ソース コンテンツには秘密度ラベル Confidential\Anyone (無制限) が適用されており、そのラベルは "Confidential" と表示されるフッターを適用するように構成されています。 新しいコンテンツには、同じフッターを持つ Confidential\Anyone (無制限) というラベルが自動的に付けられます。

この動作の例を確認するには、Ignite 2023 セッションの次のデモ「Microsoft 365 Copilotの準備」をwatchします。 デモでは、ユーザーが Copilot を使用して下書きし、ラベル付きファイルを参照するときに、 General の既定の秘密度ラベルを 機密 ラベルに置き換える方法を示します。 リボンの下の情報バーは、Copilot によって作成されたコンテンツによって新しいラベルが自動的に適用されたことをユーザーに通知します。

複数のファイルを使用して新しいコンテンツを作成する場合、ラベルの継承には 優先度が最も高い 秘密度ラベルが使用されます。

すべての自動ラベル付けシナリオと同様に、ユーザーは常に継承されたラベルをオーバーライドして置き換えることができます (または、 必須のラベル付けを使用していない場合は削除します)。

秘密度ラベルのない Microsoft Purview 保護

秘密度ラベルがコンテンツに適用されていない場合でも、サービスと製品は Azure Rights Management サービスの暗号化機能を使用する可能性があります。 その結果、Microsoft 365 Copilotは、ユーザーにデータとリンクを返す前に、VIEW と EXTRACT の使用権限を引き続きチェックできますが、新しい項目に対する保護の自動継承はありません。

ヒント

機密ラベルを常に使用してデータを保護し、ラベルによって暗号化を適用すると、最適なユーザー エクスペリエンスが得られます。

秘密度ラベルなしで Azure Rights Management サービスの暗号化機能を使用できる製品とサービスの例:

  • Microsoft Purview のメッセージの暗号化
  • Microsoft Information Rights Management (IRM)
  • Microsoft Rights Management コネクタ
  • Microsoft Rights Management SDK

Azure Rights Management サービスを使用しない他の暗号化方法の場合:

  • S/MIME で保護されたメールは Copilot から返されません。また、S/MIME で保護されたメールが開いている場合、Outlook では Copilot を使用できません。

  • パスワードで保護されたドキュメントは、同じアプリ (使用中のデータ) でユーザーが既に開いていない限り、Microsoft 365 Copilotからアクセスできません。 パスワードは、移行先アイテムによって継承されません。

電子情報開示や検索などの他の Microsoft 365 サービスと同様に、Microsoft Purview カスタマー キーまたは独自のルート キー (BYOK) で暗号化されたアイテムはサポートされ、Microsoft 365 Copilotから返される資格があります。

Microsoft Purview では、Copilot のコンプライアンス管理がサポートされています

Microsoft Purview コンプライアンス機能とエンタープライズ データ保護を使用して、Microsoft 365 Copilot、Microsoft Copilot、その他の生成型 AI アプリのリスクとコンプライアンスの要件をサポートします。

Copilot との対話は、テナント内のユーザーごとに監視できます。 そのため、Purview の分類 (機密情報の種類とトレーニング可能な分類子)、コンテンツ検索、コミュニケーション コンプライアンス、監査、電子情報開示、保持ポリシーを使用した自動保持と削除の機能を使用できます。

コミュニケーション コンプライアンスのために、ユーザー プロンプトと Copilot 応答を分析して、不適切または危険なやり取りや機密情報の共有を検出できます。 詳細については、「 Copilot の相互作用を検出するように通信コンプライアンス ポリシーを構成する」を参照してください。

communication-compliance-microsoft-365-copilot。

監査では、ユーザーが Copilot と対話するときに、統合監査ログに詳細がキャプチャされます。 イベントには、ユーザーが Copilot と対話する方法とタイミング、Microsoft 365 サービスでアクティビティが行われた方法、および操作中にアクセスされた Microsoft 365 に格納されているファイルへの参照が含まれます。 これらのファイルに秘密度ラベルが適用されている場合は、それもキャプチャされます。 Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータル監査ソリューションで、[Copilot アクティビティ] を選択し、[Copilot と対話] を選択します。 ワークロードとして [Copilot ] を選択することもできます。 たとえば、コンプライアンス ポータルからは次の通りです。

Copilot とのユーザー操作を識別するための監査オプション。

コンテンツ検索の場合、ユーザーは Copilot に対してプロンプトを表示し、Copilot からの応答はユーザーのメールボックスに格納されるため、ユーザーのメールボックスが検索クエリのソースとして選択されたときに検索および取得できます。 クエリ ビルダーの [Add condition>Type>Equals any>Add/Remove more options>Copilot 操作から選択して、ソース メールボックスからこのデータを選択して取得します。

電子情報開示の場合と同様に、同じクエリ プロセスを使用してメールボックスを選択し、Copilot へのユーザー プロンプトと Copilot からの応答を取得します。 コレクションが作成され、電子情報開示 (Premium) のレビュー フェーズに移行された後、このデータは、既存のすべてのレビュー アクションを実行するために使用できます。 これらのコレクションとレビュー セットは、さらに保留またはエクスポートできます。 このデータを削除する必要がある場合は、「 Copilot のデータを検索して削除する」を参照してください。

自動保持と削除をサポートする保持ポリシーの場合、Copilot に対するユーザー プロンプトと Copilot からの応答は、Microsoft 365 Copilots によって識別され、Microsoft Copilot エクスペリエンス ポリシーの場所に含まれます。 以前は Teams チャットと Copilot 操作という名前のポリシーの場所に含まれていましたが、これらの古いアイテム保持ポリシーは別の場所に置き換えられます。 詳細については、「 既存の 'Teams チャットと Copilot 操作' ポリシーを分離する」を参照してください。

Copilot の対話を含むように Teams チャットの保持場所を更新しました。

このリテンション期間のしくみの詳細については、「 Copilot & AI アプリのリテンション期間について」を参照してください。

すべてのアイテム保持ポリシーと保持と同様に、同じ場所の複数のポリシーがユーザーに適用される場合、 保持の原則 によって競合が解決されます。 たとえば、適用されたすべてのアイテム保持ポリシーまたは電子情報開示ホールドの最も長い期間、データが保持されます。

保持ラベルを使用して Copilot で参照されているファイルを自動的に保持する場合は、自動適用保持ラベル ポリシーを使用してクラウド添付ファイルのオプションを選択します。Exchange、Teams、Viva Engage、Copilot で共有されているクラウドの添付ファイルとリンクにラベルを適用します。 保持されているすべてのクラウド添付ファイルと同様に、参照時のファイル バージョンは保持されます。

Copilot の対話を含むように、自動適用保持ラベルのクラウド添付ファイル オプションが更新されました。

このリテンション期間のしくみの詳細については、「 クラウドの添付ファイルを使用したリテンション期間のしくみ」を参照してください。

構成手順については、次の手順を実行します。

ジェネレーティブ AI アプリのセキュリティ保護と管理に役立つその他のドキュメント

ブログ投稿のお知らせ: 次世代のセキュリティとガバナンス機能を使用して AI の導入を加速する

詳細については、「 Microsoft Purview Data Security Posture Management for AI の考慮事項」および「Copilot のデータ セキュリティとコンプライアンス保護」を参照してください。

Microsoft 365 Copilot:

関連リソース: