生成AIセキュリティ：Microsoft Copilotの安全なロールアウトに向けて

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第4回目となる今回は、「生成AIセキュリティ：Microsoft Copilotの安全なロールアウトに向けて」と題して、Microsoft 365に提供される生成AI機能（「Copilot」）のセキュリティモデルと、利用開始前に考慮すべきリスクについて解説する、当社Rob Sobersのブログ記事をご紹介いたします。

この記事では、Microsoft 365 Copilotのセキュリティモデルの仕組みを説明し、安全なロールアウトのために軽減する必要があるリスクを解説します。

（この記事は2023年12月7日付けで公開されたブログ記事「Generative AI Security: Ensuring a Secure Microsoft Copilot Rollout」の抄訳です。）

Microsoft Copilotは、地球上で最も強力な生産性ツールの1つであると言われています。

Copilotは、Microsoft 365の各アプリケーションに常駐するAIアシスタントです — Word、Excel、PowerPoint、Teams、Outlookなど。Microsoftの夢は、日々の仕事から単調な作業を取り除き、人間が創造的な問題解決に集中できるようにすることです。

CopilotがChatGPTや他のAIツールとは異なる点は、これまで皆さんがMicrosoft 365で扱ってきたすべてのものに対するアクセス権を持っていることです。Copilotを使用すると、ドキュメント、プレゼンテーション、電子メール、カレンダー、メモ、連絡先などのデータを即座に検索して集約することができます。

そして、そこが情報セキュリティチームにとっての問題なのです。Copilotは、ユーザーがアクセスできるすべての機密性の高いデータにアクセスできますが、その範囲は往々にして過大です。平均的に、企業のMicrosoft 365上のデータの10%は全従業員に公開されています。

Copilotは、また、保護しなければならない全く新しい機密性の高いデータを迅速に生成することもできます。AI革命以前から、データを作成、共有する能力は、データを保護する能力をはるかに上回っていました。データ侵害の傾向をご覧ください。生成AIはこの火に油を注ぎます。

生成AI全体ではまだ解明すべきことがたくさんあります: モデル汚染、ハルシネーション（幻覚）、ディープフェイクなど。ただし、この記事では、データセキュリティと、チームが安全なCopilotの導入を実現する方法に特に焦点を当てていきます。

Microsoft 365 Copilotの利用方法

Microsoft 365のようなコラボレーションスイートを使用した生成AIの利用方法は無限にあります。非常に多くのITチームやセキュリティチームが、早期アクセスを申し込み、ロールアウト計画を準備している理由は、容易に理解できます。計り知れない生産性の向上が見込まれるからです。

例えば、空のWord文書を開き、対象データセット（OneNoteページ、PowerPointプレゼンテーション、その他のOffice文書など）に基づいて、クライアント向けの提案書の下書きをするようにCopilotに依頼したとしましょう。ほんの数秒で、本格的な提案書が出来上がります。

ここでMicrosoftがローンチイベントで紹介した例をいくつかご紹介します：

•CopilotはTeams会議に参加し、議事をリアルタイムで要約し、要対応事項を拾い、会議で解決されなかった質問を教えてくれます。

•OutlookのCopilotは、受信トレイ内の重要度判定、電子メールの優先順位付け、スレッドの要約、返信の作成を支援します。

•ExcelのCopilotは生データを分析し、知見、傾向、提案を提供します。

Microsoft 365 Copilotの仕組み

Copilotプロンプトの処理の概要を簡単に説明します：

•ユーザーがWord、Outlook、PowerPointなどのアプリケーションでプロンプトを入力します。

•MicrosoftがMicrosoft 365アクセス許可に基づいてユーザーのビジネスの文脈を収集します。

•プロンプトを大規模言語モデル（LLM、例えばGPT4など）に送信し、応答を生成します。

•Microsoftが後処理で責任あるAIチェックを実行します。

•Microsoftが応答を生成し、Microsoft 365アプリケーションにコマンドを返します。

Microsoft 365 Copilotのセキュリティモデル

コラボレーションツールでは、生産性とセキュリティのバランスを取ることに常に苦戦しています。

これはコロナウィルスの際、ITチームが、基盤となるセキュリティモデルがどのように機能するのか、あるいは組織のMicrosoft 365アクセス許可、グループ、リンクのポリシーがどのように運用されているかを最初に完全に把握することなく、Microsoft Teamsを迅速に展開を進めた際に、表面化しました。

Microsoftの責任範囲：

•テナントの分離。Copilot は、現在のユーザーのMicrosoft 365テナントのデータのみを使用します。このAIツールは、ユーザーがゲスト参加している可能性のある他のテナントや、テナント間同期が設定されているテナントからのデータを参照することはありません。

•学習境界。Copilotは、すべてのテナントで使用される基本的なLLMのトレーニングのために、あなたのビジネスデータを使用することはありません。他のテナントの他のユーザーに対する応答にお客様の専有データが表示されることを心配する必要はありません。

利用者の責任範囲：

•アクセス許可。Copilot は、個々のユーザーが少なくとも表示アクセス許可を持っている組織データのみを表示します。

•ラベル。Copilotが生成するコンテンツでは、応答の出典となったファイルのMPIPラベルが継承されません。

•人間。Copilotの回答は100％事実に基づいた安全なものという保証がありません；AIによって生成されたコンテンツをレビューする責任は人間が負う必要があります。

悪いお知らせを1件ずつ見ていきましょう。

アクセス許可

企業がMicrosoft 365で簡単に最小特権を強制することができるのであれば、ユーザーがアクセスできるものだけにCopilotのアクセス権を付与することは、素晴らしい考えです。

Microsoftは、Copilotのデータセキュリティに関するドキュメントで次のように述べています：

•SharePointなどのMicrosoft 365サービスで利用可能なアクセス許可モデルを使用して、適切なユーザーまたはグループが組織内の適切なコンテンツに適切にアクセスできるようにすることが重要です。
（ 出典：Microsoft Learn「Microsoft Copilot for Microsoft 365のデータ、プライバシー、セキュリティ」）

しかし、経験上、ほとんどの組織が、可能な限りの最小特権とは程遠い状態にあることがわかっています。Microsoft自身の「State of Cloud Permissions Risk（クラウドアクセス許可のリスクの現状）」レポートの統計情報をいくつか取り上げていきましょう。

この状況認識は、Microsoft 365を使用している企業に対して毎年数千回のデータリスクアセスメントを実施しているVaronisの見解と一致します。レポート「The Great SaaS Data Exposure（SaaS環境における大規模なデータ露出）」で、Varonisは平均的なMicrosoft 365のテナントは次のようなものが含まれていることを発見しました：

•4千万個を超える一意のアクセス許可

•11万3千件を超える一般公開されている機密性の高いレコード

•2万7千件以上の共有リンク

なぜこのようなことになっているのでしょうか？Microsoft 365のアクセス許可は非常に複雑です。まずはユーザーがデータに対するアクセス権を取得する方法をすべて洗い出してみましょう：

•直接ユーザーアクセス許可

•Microsoft 365グループアクセス許可

•SharePointローカルアクセス許可（高度なアクセス許可レベルを含む）

•ゲストアクセス

•外部アクセス

•一般公開アクセス

•リンクアクセス（すべてのユーザー、組織全体、直接、ゲスト）

さらに悪いことに、アクセス許可のほとんどが、ITチームやセキュリティチームではなく、エンドユーザーの手に委ねられています。

ラベル

Microsoftは、DLPポリシーの適用、暗号化の適用、データ漏洩の広範な防止にあたり、秘密度ラベルに大きく依存しています。しかし、実際のところ、特に秘密度ラベルの適用を人依存にしている場合には、ラベルを機能させることは困難です。

Microsoftは、ラベル付けとブロック機能をデータの究極のセーフティネットとして薔薇色に描いています。現実はもっと厳しいのです。人間がデータを作成すると、ラベル付けが後れを取ってしまったり、期限切れになってしまうことがよくあります。

データをブロックしたり暗号化してしまうとワークフローに支障を来すことがありますし、ラベル付けの技術が対応するのは特定のファイル形式に限定されています。組織でラベルを増やせば増やすほど、ユーザーはラベル付けで混乱しやすくなります。これは特に大きな組織では顕著です。

AIが、正確で自動的に更新されるラベルを必要とするデータを桁違いに多く生成するようになると、ラベルベースのデータ保護の有効性は確実に低下します。

当社のラベルは大丈夫でしょうか？

Varonisは、スキャン、発見、修正により、組織のMicrosoft秘密度ラベル付けを検証し、改善することができます：

•ラベルのない機密性の高いファイル

•ラベルが正しくない機密性の高いファイル

•秘密度ラベルがついた機密ではないファイル

人間

AIは人間を怠惰にします。GPT4のようなLLMによって生成されたコンテンツは、単に良いだけではなく、素晴らしいものです。多くの場合、その速度と品質は人間の能力をはるかに超えています。結果として、人間はAIが安全で正確な回答を生成するものと盲信し始めます。

Copilotがクライアントのための提案書を下書きした際にまったく別のクライアントの機密性の高いデータを含めてしまうシナリオが現実に発生しています。このユーザーがざっと見ただけで（あるいはまったく確認せずに） [送信] ボタンを押せば、プライバシーやデータ侵害のシナリオが始まります。

Copilotを利用できるようにテナントのセキュリティを準備する

Copilotをロールアウトする前に、データセキュリティ態勢を把握しておくことが重要です。Copilotは来年早々には一般提供される見通しなので、今がセキュリティ管理策を整える絶好の機会です。
（訳注：2023年11月より一般提供が始まっています。）

リアルタイムにリスクを可視化し、最小権限を自動的に強制する能力を備えた、Varonis Data Security Platformは何千社ものMicrosoft 365のお客様を保護しています。

Varonisは、手作業をほとんど必要とせずに、Copilotがもたらす最大のセキュリティリスクに対処できるよう支援します。Varonis for Microsoft 365を使用することで、次のようなことができるようになります:

•AIが生成した機密性の高いすべてのコンテンツを自動的に発見して分類します。

•MPIP (Microsoft Purview Information Protection) ラベルが正しく適用されていることを自動的に確認します。

•最小権限アクセス許可を自動的に強制します。

•Microsoft 365内の機密性の高いデータを継続的に監視し、異常な振る舞いに対して警告と対応を行います。

参考

オリジナルブログ記事（英文） https://www.varonis.com/blog/generative-ai-security

Varonis "2022 The Great SaaS Data Exposure Report" （英文） https://info.varonis.com/hubfs/Files/docs/research_reports/Varonis-The-Great-SaaS-Data-Exposure.pdf

Microsoft 365 Copilot を発表 – 仕事の副操縦士

•（和文） https://news.microsoft.com/ja-jp/2023/03/17/230317-introducing-microsoft-365-copilot-your-copilot-for-work/

•（英文） https://blogs.microsoft.com/blog/2023/03/16/introducing-microsoft-365-copilot-your-copilot-for-work/

Microsoft Copilot for Microsoft 365のデータ、プライバシー、セキュリティ

•（和文）  https://learn.microsoft.com/ja-jp/microsoft-365-copilot/microsoft-365-copilot-privacy

•（英文） https://learn.microsoft.com/en-us/microsoft-365-copilot/microsoft-365-copilot-privacy

Microsoft "2023 State of Cloud Permissions Report"（英文） https://aka.ms/CloudPermissionsRisksReport

Varonis for Microsoft 365 https://www.varonis.com/ja/integrations/microsoft

製品紹介動画（ 動画再生後、ウィンドゥ右下の【CC】ボタンをクリックすると日本語字幕が選択できます。）

•Varonis for Office 365（英語、日本語字幕付き） https://view.highspot.com/viewer/65c1d064368f193ceb0f57d3?iid=5e25cfb9c7143320c054c011

•Varonis and Microsoft Copilot – Better Together（英語、日本語字幕付き） https://view.highspot.com/viewer/65c1d064368f193ceb0f57d3?iid=65bd05d609969a379bc1ee3e

Varonisデータシート「Microsoft 365」  https://view.highspot.com/viewer/65c1d064368f193ceb0f57d3?iid=61d8ba173eded7c63c1d2d72

Varonisホワイトペーパー「生成AIセキュリティ：Microsoft Copilotでのデータ漏洩を防止」 https://view.highspot.com/viewer/65c1d064368f193ceb0f57d3?iid=6564d40f6e897adbbec5cdda

ブログ記事著者のご紹介

Rob Sobers

Rob Sobersは、Webセキュリティを専門とするソフトウェアエンジニアで、「Learn Ruby the Hard Way」という本の共著者でもあります。

（翻訳：跡部 靖夫）