この記事では、AI の検出、保護、および管理に使用されるセキュリティ ツールの有効化など、AI 用の環境を準備するために実装する必要がある基本的なセキュリティ対策について説明します。 この記事は、シリーズの最初の記事です。
AI の準備では、デジタル資産全体に基盤セキュリティ保護を実装することに重点を置いています。
- ID とデバイスのアクセス ポリシー
- データ保護
- 脅威の防止
これらの保護は、AI の保護に固有の保護ではありません。 AI アプリやデータなど、すべてのアプリ、データ、ユーザー、デバイスのセキュリティ体制が大幅に向上します。
同時に、これらの保護は、AI 固有のセキュリティとガバナンス機能が動作する基盤を構築します。 たとえば、Microsoft Purview データ保護には、組織が使用する AI Web サイトと、これらのサイトとやり取りする組織データの可視性が含まれます。 Microsoft Defender の脅威保護機能には、AI アプリの検出とガバナンスが含まれます。これには、OpenAI、アマゾン ウェブ サービス、Google Cloud Platform など、クラウド環境全体の AI モデルやその他の AI アプリケーション コンポーネントが含まれます。
これらの基盤セキュリティ保護は、デジタル資産全体に適用する必要があります。これにより、組織のフットプリント全体にわたって AI のセキュリティとガバナンスが可能になります。
この図では、デジタル資産には次のものが含まれています。
- 組織が使用する SaaS アプリ (Microsoft 365 を含む)。
- Azure 内のアプリは、複数の Azure サブスクリプションに分散されます。
- あなたのアプリは、Amazon Web ServicesやGoogle Cloud Platformを含む他のクラウドプロバイダーで利用できます。
Microsoft Copilots の準備には、次の同じ基礎セキュリティ保護が推奨されます。ゼロ トラスト セキュリティを使用して、Microsoft Copilots を含む AI コンパニオンの準備を行います。
ID とデバイスのアクセス保護から始める
環境を保護するために最も強力なことの 1 つは、Microsoft Entra ID を使用して多要素認証と条件付きアクセスを実装することです。 Microsoft では、ゼロ トラスト - 共通ゼロ トラスト ID とデバイス アクセス ポリシーの目標を達成するポリシー セットをお勧めします。 このポリシー セットには、次のものが含まれます。
- すぐに実装できる開始点ポリシー。 これらのポリシーの実装を開始します。
- ゼロ トラストに推奨されるエンタープライズ ポリシー。 これらのポリシーでは、デバイスを管理に登録する必要があります。これには時間がかかる場合があります。
ID とデバイスのアクセス ポリシーの計画、設計、展開の作業については、Microsoft のゼロ トラスト ガイダンス センター「ゼロ トラスト によるリモートおよびハイブリッド作業のセキュリティ保護」で説明されています。
AI に備えるには、デジタル資産全体に ID とデバイス アクセス保護を必ず適用してください。 これにより、組織は、新しく検出された AI アプリを条件付きアクセス ポリシーのスコープに簡単に追加できるようになります。
次の図は、この作業の順序を示しています。
次の表に、上記の手順を示します。
| ステップ | タスク |
|---|---|
| 1 | Microsoft 365 の ID とデバイス のアクセス ポリシーを構成します。 一般的なゼロ トラスト ID とデバイス アクセス ポリシーを参照してください。この作業の前提条件には、Entra ID Protection の有効化が含まれます。 この作業には、管理へのデバイスの登録が含まれます。 「Intune を使用したデバイスの管理」を参照してください。 |
| 2 | SaaS アプリを Entra ID と統合します。 これらは、Microsoft Entra ギャラリーを通じて追加できます。 これらのアプリが ID とデバイス アクセス ポリシーのスコープに含まれていることを確認します。 Microsoft Entra ID とポリシーのスコープへの SaaS アプリの追加に関するページを参照してください。 |
| 3 | Azure のカスタム アプリを Entra ID と統合します。 これらのアプリが ID とデバイス アクセス ポリシーのスコープに含まれていることを確認します。 Microsoft Entra ID とアプリを統合する 5 つの手順を参照してください。 |
| 4 | 他のクラウド プロバイダーのカスタム アプリを Entra ID と統合します。 これらのアプリが ID とデバイス アクセス ポリシーのスコープに含まれていることを確認します。 Microsoft Entra ID とアプリを統合するための 5 つの手順 。 |
データ保護の進行状況を確認する
組織が完全に実装するには、データ保護に時間がかかります。 従来、これには組織全体に展開する一連のデプロイ手順が含まれます。
この図では、情報保護の技術的な導入には、並列で実行できる連鎖的な手順が含まれています。
- 機密性の高いビジネス データを検出して識別する
- 分類と保護スキーマを開発する
- Microsoft 365 のデータを使用してスキーマをテストおよびパイロットする
- 分類と保護スキーマを Microsoft 365 全体のデータに展開する
- スキーマを他の SaaS アプリのデータに拡張する
- 他のリポジトリ内のデータの検出と保護を続行する
ID およびデバイス アクセス ポリシーの計画、設計、展開の作業については、Microsoft のゼロ トラスト ガイダンス センターの「ゼロ トラストを使用した 機密ビジネス データの識別と保護」で説明されています。
AI ツールの迅速な導入により、多くの組織はデータ保護に迅速なアプローチを取り、最も機密性の高いデータの保護をすぐに優先し、時間の経過と共にギャップを埋め、成熟度を構築しています。
Microsoft Purview には、データ セキュリティ体制管理 (DSPM) 機能が含まれています。これは、お客様の移動中の場所に関係なく、組織がデータ保護の成熟度を高めるのに役立ちます。 DSPM 機能は、複数のデータ セキュリティとリスクおよびコンプライアンス ソリューション全体で、簡単な構成と新しいポリシー作成を提供するのに役立ちます。
organization全体でデータとアクティビティを自動的にスキャンすることで、DLP、情報保護、インサイダー リスク管理をすばやく開始するのに役立つ保護されていないデータに焦点を当てたベースライン分析情報と推奨事項をすばやく取得できます。 DSPM for AI には、作業の開始に役立つすぐに使用できるポリシーが用意されています。
ポリシーを使用してデータ保護の取り組みを既に開始している場合は、DSPM 機能を使用してカバレッジのギャップを特定します。
DSPM (プレビュー) は、Microsoft 365 環境全体で機密情報の種類を照合することで、機密データを識別します。
- 最初に使用できるポリシーの推奨事項を提供します
- データ セキュリティ リスクに関する分析情報を提供します
- データ セキュリティ ポリシーの有効性を測定します
- リスクの高いユーザーに関する分析情報を提供します
- 他のリスクの特定に役立つ組み込みの Microsoft Security Copilot エクスペリエンスを提供します
DSPM for AI は、組織内の AI アクティビティに関する分析情報と分析を提供します。
- AI プロンプトでデータを保護し、データ損失を防ぐためのすぐに使用できるポリシー
- データの過剰共有の可能性を特定、修復、監視するためのデータ評価
- テナント内のデータに基づく推奨アクション
- 最適なデータ処理とポリシーの格納を適用するためのコンプライアンス制御
- Microsoft Copilots および ChatGPT Enterprise や Google Gemini などのサードパーティ SaaS アプリケーションに関するより深い分析情報
Microsoft Purview を使いこなすには、以下のリソースをご活用ください。
| タスク | 推奨リソース |
|---|---|
| 情報保護のための推奨展開戦略を学ぶ | Microsoft Purview を使用して情報保護ソリューションを展開する |
| DSPM の使用を開始する | データ セキュリティ態勢管理の概要 (プレビュー) |
| AI 向け DSPM の概要 | Microsoft 365 Copilot やその他の生成 AI アプリに対する Microsoft Purview データセキュリティとコンプライアンス保護 |
脅威の検出と対応を有効にする
最後に、Microsoft Defender の脅威保護機能を有効にします。 これらのツールの中には、簡単に開始できるものもあります。 その他については、少しばかり計画と構成が必要です。 これらのツールには、すぐに有効にして価値を得ることができる AI 固有の機能が含まれています。
この作業については、「Microsoft ゼロ トラスト導入フレームワーク: 脅威保護と XDR の実装」で説明されています。
脅威保護を有効にするには、次のリソースを使用します。
| タスク | 推奨リソース |
|---|---|
| Microsoft Defender XDR を展開します。 |
Microsoft Defender XDR をパイロットして展開する |
| Microsoft Entra ID Protection をデプロイする | Microsoft Entra ID Protection の展開を計画する - Microsoft Entra ID Protection |
| Defender for Cloud の展開 | Microsoft Defender for Cloud のドキュメント Azure サブスクリプションを接続する AI ワークロードの脅威保護を有効にする (プレビュー) Defender CSPM を使用してリソースを保護する データと AI のセキュリティ ダッシュボードを確認する (プレビュー) AWS アカウントを接続する GCP プロジェクトを接続する |
| Defender for IoT の展開 | OT 監視用 Defender for IoT を展開する |
| 脅威保護ツールを Sentinel (SIEM) と統合する | XDR と統合 SIEM を使用したインシデント対応 |
これらのツール内で AI の脅威保護を有効にする方法については、「 AI データとアプリの保護」を参照してください。
次のステップ
このシリーズの次の記事を参照してください。 組織内で使用されている AI アプリと機密データを検出するにはどうすればよいですか?