AIエージェントは、試験導入の段階を経て、本格的な業務利用へと急速に普及しています。 Microsoftは、ライセンスを持つすべてのナレッジワーカーがAIエージェントを利用できる環境を提供しました。カスタムAIエージェントを開発するためのローコードプラットフォームであるMicrosoft Copilot Studioにより、企業は業務に特化したAIアシスタントを短時間で構築できるようになりました。さらに、Microsoft 365 Copilotは、そのAI機能をTeams、SharePoint、Wordをはじめとする生産性向上ツール群全体へと拡張しています。
これに加えて、SOCやIT運用向けのMicrosoft Security Copilotを導入すれば、生成AIは最も機密性の高い企業データにアクセスし、読み取りや書き込みだけでなく、さまざまなアクションが実行できるようになります。
これらのエージェントは強力です。しかし、その力はリスクでもあります。強固なデータセキュリティ、アクセス制御、AIガバナンスがなければ、生産性を向上させているはずのこれらのAIエージェントが、知らないうちに情報を漏洩させたり、許可されていない操作を実行したり、さらにはそれ自体が攻撃対象領域となったりする可能性があります。
MicrosoftはAIエージェントのセキュリティとガバナンスに特化したガイダンスの提供を開始しており、この問題を業界全体がいかに深刻に捉えているかを示しています。ここでは、Microsoftエコシステム全体におけるMicrosoft Copilotエージェントのセキュリティをどのように捉えるか、そしてそれらを適切な範囲内に制御するための実践的な管理手段について説明します。
Microsoft Copilot StudioとM365 エージェントとは
Microsoft Copilotファミリーには、Microsoft Security Copilot (セキュリティ運用およびITチーム向けのAI搭載アシスタント )、Microsoft Copilot Studio (カスタムAIエージェントを構築するためのローコードプラットフォーム)、そしてMicrosoft 365 Copilot (Word、Teams、SharePoint、Outlookに組み込まれた生産性向上アシスタントで、独自のカスタムエージェントによる拡張も可能) が含まれます。
Microsoft 365 CopilotのAIエージェントは、社員がすでに使用しているアプリに組み込まれており、Wordでの下書き作成、Teamsでの要約生成、SharePointからのファイル検索などを行いながら、自然言語での指示を理解して処理します。裏側では、これらのエージェントはMicrosoft Graphにクエリを実行してコンテキスト情報を取得し、それを実行するユーザーのアクセス権を継承します。この点は非常に重要で、ユーザーがファイルにアクセスできる場合、エージェントも同じようにアクセスできるのです。
それぞれの領域には、固有のセキュリティ上の考慮事項が存在します。本ガイドの残りの部分では、組織がCopilot StudioおよびMicrosoft 365 Copilotを通じて構築・展開しているエージェントに焦点を当てます。なぜなら、これらは最も広範なデータアクセス権と自律的な操作能力に関するリスクプロファイルを持つためです。
Microsoft 365におけるAIエージェントのセキュリティリスク
カスタム生成AIエージェントは、既存のセキュリティ管理では想定されていなかった特有のリスクプロファイルをもたらします。
非決定的な挙動(「予想外の振る舞い」):エージェントは、多段階のタスクを自律的に計画・実行するように設計されています。その自律性ゆえに、入力を誤って解釈する、誤ったロジックを生成する、あるいは意図しないアクション(不正確なメールの送信、CRMレコードの変更、実行ループへのはまり込みなど)を実行するといったことが、人間の確認を介さずに発生する可能性があります。決定論的な自動化とは異なり、エージェントが未知の状況においてどのような行動をとるかを完全に予測することはできません。
過剰な権限付与によるデータ漏洩: エージェントはユーザーのアクセス権を継承します。そのため、使われなくなったSharePointやTeamsのアクセス権は、実際のセキュリティリスクになり得ます。エージェントは、ユーザーが技術的にはアクセス可能でありながら本来アクセスすべきではないファイル(例:古いプロジェクトフォルダ、過度に広く共有されている機密性の高い人事関連文書、あるいは長期間監査されていない継承権限による役員向けコンテンツ)を提示してしまう可能性があります。エージェントはこれらが制限対象であることを認識していないため、自社のデータセキュリティ態勢を評価することが非常に重要になります。
プロンプトインジェクションとジェイルブレイク: 攻撃者は、エージェントが取り込むドキュメント、メール、ウェブコンテンツに悪意のある指示を埋め込み、システムプロンプトの漏洩、データの流出または不正なコマンドの実行を引き起こすようエージェントを操作します。エージェントはコンテキスト内の指示に従うよう設計されているため、正当なガイダンスと攻撃者による操作の境界は、従来のセキュリティ対策では見分けがつかない場合があります。
安全性が確保されていないコネクタ: エージェントが未検証のプラグイン、MCPサーバーまたはサードパーティ製APIに接続されている場合、企業データが制御外の宛先へ密かに送信される可能性があります。すべてのコネクタは、データ流出の経路となり得ます。
これらのリスクは、「シャドーAI」環境においてさらに深刻化します。そこではガバナンスが不明確で、重要な操作に対する人間の関与による安全対策も存在しません。マッキンゼーの 安全性とセキュリティを確保しながらエージェント型AIを導入するためのプレイブックでは、自律型AIの能力がいかに急速に従来の管理体制を上回る可能性があるか、そして、なぜAIエージェントを導入する前に慎重に設計されたガードレールを構築しなければならないのかを強調しています。
アクセス制御とID管理の実装
最小権限アクセスは、Copilot Studioでエージェントを構築するユーザーと、それらのエージェントを利用するユーザーの、2つの対象に対して適用する必要があります。
まず、Microsoft Entra ID (旧 Azure AD) を基盤とし、条件付きアクセスを使用して、ユーザーコンテキスト、デバイスのコンプライアンスおよび場所に基づいてエージェントとのやり取りを制御します。次に、Microsoft 365の権限管理の健全性を監査します。放置されたSharePointの共有設定や、過度に広範なTeamsのメンバーシップは、エージェントの過剰なアクセスに直結します。MicrosoftのSecurity Copilotエージェント向けPurviewデプロイメントモデルでは、データガバナンスとデータ分類をエージェントのライフサイクルに直接統合する方法を示しています。
アクセス制御の基本チェックリスト
Copilot Studioの作成者権限は、所定のトレーニング要件を満たす承認済みのグループに限定します。
すべての作成者および高特権ユーザーアカウントに多要素認証(MFA)を適用します。
デバイスのコンプライアンスと場所に基づく条件付きアクセスポリシーを、エージェントのエンドポイントに適用します。
SharePointおよびOneDriveの共有設定を定期的に監査し、是正します。
リスクの高いコネクタはテナントレベルで無効化またはスコープ制限し、新規コネクタには明示的な承認プロセスを設けます。
Microsoft Purviewによる機密度ラベルを適用し、エージェントがデータ分類を遵守するようにします。
Rubrik Agent Cloudを活用したMicrosoftエージェントの監視と保護
アイデンティティとアクセス制御は影響範囲を抑えることはできますが、エージェントが実際に何をしたかまでは把握できません。 こうした課題に対応するのが、AI専用のセキュリティ製品です。Rubrik Agent Cloudは、安全なエージェント運用を支える3つの柱における課題を埋める役割を果たします。
監視:構築時(このエージェントはどのように構成されているか?どのようなツールやデータソースにアクセスできるか?)と、実行時(現在何を実行していて、誰の代理として実行しているか?)の両方における可視性は不可欠です。Rubrikは、ID、アクセス権、そして実行されたアクションを包括的に監視し、エージェントがコンプライアンスから逸脱した瞬間(許可されていないモデルの差し替え、新しいMCPサーバー、予期せぬデータソースなどが実行された場合)に、リアルタイムでアラートを通知します。
ガバナンス: エージェントの挙動を制約するガードレールおよび十分に設計されたシステムレベルのポリシーは不可欠です。 例としては、書き込みを行うべきでないエージェントに対する読み取り専用モードの適用、ツールやモデルの許可リスト化、未承認MCPサーバーのブロック、そして管理環境からの機密データの流出を防ぐPII保護ルールなどが挙げられます。RubrikのSemantic AI Governance Engine (SAGE)は、セマンティックのAIガバナンスを適用してこれらのポリシーをリアルタイムで適用し、安全でないアクションを実行後に検知するのではなく、実行前にブロックします。
修復:エージェントがデータを破損、消去または変更してしまった場合(悪意によるもの、偶発的な事故あるいはハルシネーションによる誤った推論の連鎖など)、Rubrikは正確なワンクリックリカバリを提供し、影響を受けた状態を復元します。エージェントの巻き戻し機能は、エージェントの誤った操作が数日にわたるインシデント対応へと発展することを防ぎます。
セキュアなMicrosoft Copilot導入のユースケースとメリット
安全性が確保されたカスタムエージェントは、適切に活用されることで、ビジネス全体に真の価値をもたらします。以下にいくつかの例を示します。
社内の人事エージェントは、公開されているハンドブックや福利厚生ドキュメントのみに厳密にスコープされており、給与システムや人事ファイルからは隔離されます。
カスタマーサービスエージェントは、公開されているウェブデータと匿名化された社内ナレッジベースを組み合わせて問い合わせに対応し、PIIの保護はガバナンス層で適用されます。
営業エージェントは、承認済みのコネクタを通じてCRMデータに接続されており、テナント間のデータ共有を防ぐ制御が適用されています。
ITサポートエージェントは、チケットのトリアージと修正案の提示が可能ですが、本番システムに変更を加える前には人間の承認が必要です。
法務調査エージェントは、社内のドキュメントストアから案件関連の判例を提示できますが、チーム間で特権情報が漏洩することはありません。
ビジネス上の成果は明確で、従業員の生産性の向上、職場全体への安全なAI活用の民主化、そしてデータプライバシー法の継続的なコンプライアンスが実現できます。
Microsoft Copilotを安全に運用するためのベストプラクティス
本ガイドで最も重要なポイントは、Microsoft Copilotエージェントのセキュリティを確保するには、構成、ID、挙動にわたる多層防御が必要だということです。
作成者の統制を確立する: Copilot Studioへのアクセスを特権として扱います。トレーニングの必須化、承認ワークフローの文書化、および構成の監査を実施します。
権限のベースラインを整理する: エージェントはユーザーのアクセス権を継承します。SharePointおよびOneDriveの運用の健全性は、今やAIセキュリティ制御の一部となっています。
IDコントロールを適用する: Entra IDの条件付きアクセス、MFA、そして最小権限のロールの割り当てを作成者と高特権ユーザーの両方に適用します。
セマンティック・ガードレールを設定する:専用のガバナンス層(Rubrik SAGEなど)を使用して、PIIの保護、ツールの許可リスト化、モデル制御などのポリシーをリアルタイムで適用します。
構築時と実行時を監視する: エージェントの構成方法と実際の動作の両方(どちらか一方だけではなく)を可視化します。
リカバリを前提に設計する: エージェントがいずれ意図しない行動を取ることを想定します。迅速にロールバックできる仕組みを確保してください。
さらに詳しく
Microsoft Security Copilotと、より広範なMicrosoft Copilotエコシステムは、AIを活用した業務運用と生産性向上において非常に大きな可能性をもたらしますが、その可能性を活かすためには周到なセキュリティ対策が求められます。セキュアな構成、明確なAIガバナンス、そして継続的な監視は、単なる付加機能ではなく、安全なAI導入を可能にする基盤です。
貴社のAIセキュリティ態勢を評価し、Rubrikまでお問い合わせください。弊社がどのようにAIを活用した業務運用をエンドツーエンドで保護しているかをご紹介します。
CIAMとアイデンティティファーストセキュリティによるクラウド環境の保護
CIAMは、ユーザー、デバイス、サービスがクラウド環境にアクセスする方法を制御することで、最新のサイバー脅威を軽減する上で中心的な役割を担っています。アイデンティティベースの攻撃が増加し続ける中、組織には、可視性、説明責任、規制準拠を維持しながら、クラウドプラットフォーム全体で拡張可能なアクセス管理戦略が求められています。
Rubrikのアイデンティティ中心のアプローチは、サイバーインシデント発生時における安全なアクセス管理と迅速なアイデンティティ復旧をサポートし、認証情報が侵害または悪用された場合でも、信頼できるアクセス環境の復旧を支援します。CIAMをより広範なクラウドセキュリティおよびデータ保護戦略と連携させることで、組織はリスクを低減し、運用上の影響を最小限に抑え、全体的なセキュリティ態勢を強化することができます。堅牢なクラウドセキュリティプログラムの一環としてCIAMの運用をご検討中の場合は、ぜひRubrikにお問い合わせください。