ほとんどの場合、AI 用データ セキュリティ態勢管理は使いやすく、わかりやすく、前提条件と構成済みのレポートとポリシーをガイドします。 このセクションを使用して、その情報を補完し、必要になる可能性のある追加の詳細を提供します。
AI 用データ セキュリティ態勢管理の前提条件
Microsoft Purview ポータルからAI 用データ セキュリティ態勢管理を使用するには、次の前提条件が必要です。
適切なアクセス許可を持っている。
Copilot とエージェントとの対話を監視するために必要です。
Microsoft Purview 監査は、organizationに対して有効になっています。 これは既定ですが、「監査のオン/オフを切り替える」の手順をチェックすることもできます。
Microsoft 365 Copilotとエージェントの場合、ユーザーにはMicrosoft 365 Copilotのライセンスが割り当てられます。
Fabric と Security Copilot の Copilot の場合:
- 必要な API をサポートするための Microsoft Purview データ ガバナンスのエンタープライズ バージョン。
- 推奨事項から作成されたコレクション ポリシー Microsoft Copilotエクスペリエンスの相互作用をセキュリティで保護します。
操作を監視し、Edge の他の AI アプリに DLP ポリシーを適用するために必要です。
- Edge で Microsoft Purview 統合をアクティブ化するには、Edge 構成ポリシーが必要です。 構成情報については、「 Microsoft Edge で DLP ポリシーをアクティブ化する」を参照してください。
サードパーティの生成 AI サイトとの対話を監視するために必要です。
デバイスは Microsoft Purview にオンボードされます。次の場合に必要です。
- サードパーティの生成 AI サイトと共有されている機密情報を可視化します。 たとえば、ユーザーはクレジットカード番号をChatGPTに貼り付けます。
- エンドポイント DLP ポリシーを適用して、ユーザーが機密情報をサード パーティの生成 AI サイトと共有することを警告またはブロックします。 たとえば、Adaptive Protection で昇格されたリスクとして識別されたユーザーは、クレジットカード番号をChatGPTに貼り付けるときにオーバーライドするオプションでブロックされます。
Microsoft Purview ブラウザー拡張機能は Windows ユーザーに展開され、Insider Risk Management ポリシーを使用してサードパーティの生成 AI サイトへのアクセスを検出する必要があります。 ブラウザー拡張機能は、Chrome を使用する場合に Windows のエンドポイント DLP ポリシーにも必要です。
Microsoft 365 Copilotおよび Microsoft ファシリテーター以外の AI アプリの場合は、organizationの従量課金制を設定しています。 この課金モデルが特定の構成に適用される場合は、UI に通知と手順が表示されます。
監査、デバイスオンボード、ブラウザー拡張機能の前提条件の詳細については、「AI 用データ セキュリティ態勢管理: 概要>Get started」セクションに移動します。
現在サポートされているサード パーティの AI アプリの一覧については、「 Microsoft Purview でサポートされている AI サイトのデータ セキュリティとコンプライアンス保護」を参照してください。
注:
管理単位を使用している場合、制限付き管理者はすべてのユーザーに適用されるワンクリック ポリシーを作成できません。 これらのポリシーを作成するには、無制限の管理者である必要があります。 制限付き管理者は、[ポリシー] ページの割り当てられた管理単位のユーザーと、AI 用 Microsoft Purview データ セキュリティ態勢管理のレポートとアクティビティ エクスプローラーでのみ結果を表示します。
AI 用データ セキュリティ態勢管理からのワンクリック ポリシー
既定のポリシーが作成されたら、ポータルのそれぞれのソリューション領域からいつでも表示および編集できます。 たとえば、テスト中やビジネス要件に合わせて、特定のユーザーにポリシーのスコープを設定します。 または、機密情報の検出に使用される分類子を追加または削除する必要があります。 [ポリシー] ページを使用して、ポータル内の適切な場所にすばやく移動します。
AI のDSPMなどの一部のポリシー - Copilot エクスペリエンスの相互作用をキャプチャし、AI のDSPM - ネットワーク経由で AI と共有される機密情報を検出する方法は、編集できるコレクション ポリシーであり、必要に応じて、他のコレクション ポリシーと同様に削除できます。 詳細については、「 コレクション ポリシーへのアクセス」を参照してください。
いずれかのポリシーを削除すると、[ ポリシー ] ページの状態に PendingDeletion が表示され、削除プロセスが完了するまで、それぞれの推奨事項カードに作成されたとおりに表示されます。
秘密度ラベルとそのポリシーについては、ポータルでInformation Protectionに移動して、AI 用データ セキュリティ態勢管理とは別に表示および編集します。 詳細については、「既定のラベルとポリシー」の構成リンク を使用してデータを保護します。
サポートされている DLP アクションと、それらをサポートするプラットフォームの詳細については、 監視およびアクションを実行できるエンドポイント アクティビティの表の最初の 2 行を参照してください。
Adaptive Protection を使用する既定のポリシーでは、この機能がまだオンになっていない場合は、すべてのユーザーとグループの既定のリスク レベルを使用して保護アクションを動的に適用します。 詳細については、「クイック セットアップ」を参照してください。
注:
AI 用データ セキュリティ態勢管理プレビュー中に作成され、Microsoft Purview AI ハブという名前の既定のポリシーは変更されません。 たとえば、ポリシー名は Microsoft AI ハブ - プレフィックスを保持します。
AI 用データ セキュリティ態勢管理を使用したデータ検出の既定のポリシー
DLP ポリシー: AI のDSPM: AI サイトに追加された機密情報を検出する
ソース: データ検出の分析情報を拡張する
このポリシーは、Microsoft Edge、Chrome、Firefox で AI サイトに貼り付けまたはアップロードされた機密性の高いコンテンツを検出します。 このポリシーは、組織のすべてのユーザーとグループを監査モードでのみ対象にします。
インサイダー リスク管理ポリシー: AI のDSPM - ユーザーが AI サイトにアクセスするタイミングを検出する
ソース: データ検出の分析情報を拡張する
このポリシーは、ユーザーがブラウザーを使用して AI サイトにアクセスするタイミングを検出します。
インサイダー リスク管理ポリシー: AI のDSPM - 危険な AI の使用状況を検出する
ソース: 推奨事項 AI アプリで危険な相互作用を検出する
このポリシーは、Microsoft 365 Copilot、エージェント、およびその他の生成的な AI アプリで危険なプロンプトと応答を検出することで、ユーザーのリスクを計算するのに役立ちます。
コミュニケーション コンプライアンス: AI のDSPM - AI アプリでの非倫理的な動作
ソース: 推奨事項 AI アプリの非倫理的な動作を検出する
このポリシーは、Microsoft 365 Copilot、エージェント、およびその他の生成的な AI アプリのプロンプトと応答の機密情報を検出します。 このポリシーでは、organization内のすべてのユーザーとグループについて説明します。
コレクション ポリシー: AI のDSPM - Copilot エクスペリエンスの相互作用をキャプチャする
ソース: 推奨事項 Microsoft Copilot エクスペリエンスでの安全な対話
このポリシーは、Fabric の Copilot からのデータ セキュリティ体制と規制コンプライアンスのプロンプトと応答、およびSecurity Copilotをキャプチャします。 電子情報開示、データ ライフサイクル管理などの Microsoft Purview ソリューションでそれらを管理します。
コレクション ポリシー: AI のDSPM - ネットワーク経由で AI と共有される機密情報を検出する
ソース: 推奨事項 AI アプリの相互作用で機密データに分析情報を拡張する
このポリシーは、セキュリティで保護されたアクセス サービス エッジ (SASE) または セキュリティ サービス エッジ (SSE) 統合を使用して、ブラウザー、アプリケーション、API、アドインなど、AI アプリと共有される機密情報を検出します。
重要
このポリシーでは、1 つ以上の Secure Access Service Edge (SASE) または セキュリティ サービス エッジ (SSE) の統合をデータ損失防止設定に手動で追加する必要があります。 AI 相互作用の検出は、ネットワーク パートナーの実装に依存します。
機密情報の検出に加えてプロンプトと応答をキャプチャする場合は、コレクション ポリシーを編集し、 コンテンツをキャプチャするオプションを選択する必要があります。
コレクション ポリシー: AI のDSPM - エンタープライズ AI アプリの対話をキャプチャする
ソース: 推奨事項 エンタープライズ アプリからの安全な対話
このポリシーは、microsoft Purview ソリューション (電子情報開示、データ ライフサイクル管理など) で管理できるように、Microsoft Entraまたは Azure AI サービスを介して接続されたエンタープライズ AI アプリ (Chat GPT Enterprise や AI アプリなど) からの規制コンプライアンスに関するプロンプトと応答をキャプチャします。
コレクション ポリシー: AI のDSPM - Edge の AI プロンプトで共有されている機密情報を検出する
ソース: データ検出の分析情報を拡張する
このポリシーは、Microsoft Edge の生成 AI アプリに送信されたプロンプトを検出し、プロンプトコンテンツで共有されている機密情報を検出します。 このポリシーでは、監査モードでのみ、organizationのすべてのユーザーとグループについて説明します。
生成 AI で使用される機密データを保護するのに役立つ、データ セキュリティからの既定のポリシー
AI の DLP ポリシー DSPM - AI サイトから機密情報をブロックする
ソース: データ セキュリティの強化に関する推奨事項
このポリシーでは、Adaptive Protection を使用して、Edge、Chrome、Firefox の他の AI アプリに機密情報を貼り付けまたはアップロードしようとするリスクの高いユーザーにブロックとオーバーライドを付与します。 このポリシーは、組織のすべてのユーザーとグループをテスト モードでカバーします。
AI の DLP ポリシー DSPM - リスクの高いユーザーが Microsoft Edge の AI アプリにプロンプトを送信できないようにブロックする
ソース: データ セキュリティの強化に関する推奨事項
このポリシーでは、Adaptive Protection を使用して、Microsoft Edge の使用中にユーザーが AI アプリに情報を配置しようとする昇格されたリスク、中程度のリスク、および軽微なリスクをブロックします。
AI の DLP ポリシー DSPM - Edge で AI アプリから機密情報をブロックする
ソース: データ セキュリティの強化に関する推奨事項
このポリシーは、一般的な機密情報の種類の選択をインラインで検出し、Microsoft Edge の使用中に AI アプリに送信されるプロンプトをブロックします。
AI の DLP ポリシー DSPM - Copilot 処理から機密データを保護する
ソース: 推奨事項 Microsoft 365 Copilotおよびエージェントの処理から秘密度ラベルを持つ項目を保護する
このポリシーは、Microsoft 365 Copilotとエージェントが、このポリシーで選択された秘密度ラベルを持つアイテムの処理をブロックします。
Information Protection - 秘密度ラベルとポリシー
ソース: 推奨事項 感性ラベルを使用してデータを保護する
この推奨事項では、 既定の秘密度ラベルと秘密度ラベル ポリシーが作成されます。 秘密度ラベルとそのポリシーを既に構成している場合、この構成はスキップされます。
アクティビティ エクスプローラーのイベント
次の情報を使用して、AI 用データ セキュリティ態勢管理からアクティビティ エクスプローラーに表示される可能性があるイベントを理解するのに役立ちます。 生成型 AI サイトへの参照には、Microsoft 365 Copilot、Microsoft 365 Copilot Chat、エージェント、その他の Microsoft copilots、およびサードパーティの AI サイトを含めることができます。
| イベント | 説明 |
|---|---|
| AI の操作 | ユーザーがジェネレーティブ AI サイトと対話しました。 詳細には、プロンプトと応答が含まれます。 Microsoft 365 CopilotとMicrosoft 365 Copilot Chatの場合、このイベントでは監査を有効にする必要があります。 Fabric と Security Copilot の Copilot、および Copilot 以外の AI アプリの場合、プロンプトと応答には、これらの相互作用をキャプチャするためにコンテンツ キャプチャが選択されたコレクション ポリシーが必要です。 |
| AI Web サイトへのアクセス | ユーザーがジェネレーティブ AI サイトを参照しました。 |
| DLP ルールの一致 | データ損失防止ルールは、ユーザーがジェネレーティブ AI サイトと対話したときに一致しました。 Microsoft 365 Copilotの DLP が含まれます。 |
| 機密情報の種類 | 機密情報の種類は、ユーザーがジェネレーティブ AI サイトと対話している間に見つかりました。 Microsoft 365 CopilotとMicrosoft 365 Copilot Chatの場合、このイベントでは監査を有効にする必要がありますが、アクティブなポリシーは必要ありません。 |
AI インタラクション イベントでは、常にCopilot プロンプトと応答のテキストが表示されるわけではありません。 プロンプトと応答が連続するエントリにまたがる場合があります。 その他のシナリオには、次のものがあります。
- Microsoft ファシリテーター AI で生成されたメモ、プロンプトや応答は表示されません
- ユーザーがExchange Onlineでホストされているメールボックスを持っていない場合、プロンプトや応答は表示されません
機密情報の種類が検出されたイベントには、ユーザー のリスク レベルは表示されません。
Microsoft ファシリテーター AI によって生成されたノートの場合、 AI インタラクション イベントを 機密情報の種類が検出された イベントにリンクすることはできません。
コレクション ポリシーの場合、 コンテンツをキャプチャ するオプションがポリシーで選択されていない場合、プロンプトまたは応答は表示されません。 たとえば、AI のワンクリック ポリシー DSPM - ネットワーク経由で AI と共有されている機密情報を検出しても、ポリシーが自動的に作成されるときにこのオプションは選択されませんが、ポリシーを手動で編集して、ポリシーの作成後にこのオプションを選択できます。