- 会員限定
- 2025/03/11 掲載
ガートナー懸念するCopilot for M365の脆弱性「5要素」、安全活用のカギは?
ビジネスでの生成AI活用に大きな役割を果たし得るマイクロソフトのCopilot for Microsoft 365。効果的に使いこなすことで、生産性向上などさまざまなメリットを享受できる同ツールだが、現場に導入されるにあたり、セキュリティ面での懸念が担当者を悩ませている。Copilot for Microsoft 365を「実戦投入」する上でセキュリティ面で懸念される「5要素」について、対応策とともにガートナーの矢野薫氏が解説する。
(出典:ガートナー(2024年8月))
Copilot for M365のセキュリティが「難しい」ワケ
データセキュリティは、従来のサーバー、ネットワークといったインフラのセキュリティとは考え方が異なるものだ。ガートナーが2024年、セキュリティ担当者を対象にCopilot for Microsoft 365のセキュリティ課題について調査をしたところ、一番多かった回答が「利用拡大による情報漏えいが不安」で、次に「アクセス権付与が面倒/煩わしい」という回答が続いた。
(出典:ガートナー(2024年8月))
Copilot for Microsoft 365を使うメリットの主なものは3つある。1つ目は、ナレッジの発見と広範囲な共有ができる点だ。従来は、データの所在が分からないと目的のデータにたどり着くのが難しかったが、容易に見つけ、入手できるようになる。2つ目は、コンテンツを生成したりアイデアを出したりしてくれる点。そして3つ目は、テクノロジーに通じていない一般の従業員でも高度なテクノロジーを使える点だ。
セキュリティ対策で不足している「5要素」とは
しかし、これらの利点は同時に、セキュリティリスクも高めてしまうという側面もある。特に、1つ目の「ナレッジの発見と広範囲な共有」については、まさにセキュリティ担当者がCopilot for Microsoft 365に対して抱く懸念、つまり情報漏洩とアクセス件付与の問題と表裏の関係にある。
データセキュリティは、従来のサーバー、ネットワークといったインフラのセキュリティとは考え方が異なるものだ。
Copilot for Microsoft 365のセキュリティについて、「従来のMicrosoft 365に比べると、Copilot for Microsoft 365は機械的にデータを探しに行きます。すると、ユーザーが知らないデータにもアクセスできてしまうようになります。そのとき、アクセス権の設定が不適切だと重要なデータが漏えいするリスクが高まります。サイバー攻撃と内部不正の温床になってしまうのではないか、というのが主な課題です」と指摘するのは、ガートナーのシニア ディレクター, アナリストの矢野薫氏だ。
シニア ディレクターアナリスト
矢野 薫氏
Copilot for Microsoft 365のセキュリティは、既存のMicrosoft 365のセキュリティ対策を前提としている。具体的には、権限管理のEntra ID(旧Azure Active Directory)、データ分類のPurview、ファイル保護のAzure Information Protectionという3つのテクノロジーが主要なセキュリティ機能として挙げられる。
ただ、多くの日本企業において前提となるこれらの対策が十分になされているかというと、「成熟度には心配なところがある」と矢野氏は話す。
「テクノロジーに問題があるわけではなく、これらを『使いこなすことが社内的に難しい』ということに私は問題意識を持っています。では一体なぜ難しいのか。ここに光を当てて対策をしていく必要があります」(矢野氏)
矢野氏は、Copilot for Microsoft 365のセキュリティに足りない要素として、以下の5点を挙げる。
- セキュリティの当事者意識
- データ保護と権限管理の実務経験
- 情報のライフサイクル管理
- 支援してくれる外部のベンダー
- ユーザーのリテラシー
では、それぞれ順番に見ていこう。 【次ページ】「実務経験」不足はベンダーも同じ?
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
