AI 用データ セキュリティ態勢管理 - (クラシック) について学習する

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス

Microsoft Purview ポータルから AI 用Microsoft Purview データ セキュリティ態勢管理 (DSPM) を使用すると、AI アプリのデータをすばやくセキュリティで保護し、AI の使用を事前に監視するのに役立つ中央管理の場所が提供されます。 これらのアプリには、サードパーティの大きな言語モジュール (LLM) を使用する Copilots、エージェント、およびその他の AI アプリが含まれます。

AI 用データ セキュリティ態勢管理には一連の機能が用意されているため、生産性と保護のどちらを選択しなくても AI を安全に採用できます。

• organizationの AI アクティビティに関する分析情報と分析

• AI プロンプトでデータを保護し、データ損失を防ぐためのすぐに使用できるポリシー

• データ の潜在的な過剰共有を特定、修復、監視するためのデータ リスク評価。

• 最適なデータ処理とポリシーの格納を適用するためのコンプライアンス制御

Gemini や ChatGPT で使用されるサード パーティの AI サイトなど、サポートされているサード パーティの AI サイトの一覧については、「 Microsoft Purview でサポートされている AI サイトによるデータセキュリティとコンプライアンス保護」を参照してください。

AI 用データ セキュリティ態勢管理の使用方法

AI の使用状況に関する分析情報を迅速に取得し、データを保護するために、AI 用データ セキュリティ態勢管理には、1 回のクリックでアクティブ化できる推奨される事前構成済みポリシーがいくつか用意されています。 管理単位を使用している場合は、organization内のすべてのユーザーに適用されるこれらのポリシーを作成するには、無制限の管理者である必要があります。

これらの新しいポリシーがデータを収集して結果をAI 用データ セキュリティ態勢管理に表示したり、既定の設定に加えた変更を反映したりするには、少なくとも 24 時間を許可します。

アクティブ化は必要ありません。AI 用データ セキュリティ態勢管理は、organizationの使用状況に基づいて、上位 100 の SharePoint サイトの毎週のデータ リスク評価を自動的に実行します。 これは、現在プレビュー段階にある独自のカスタム データ リスク評価で補完できます。 これらの評価は、データの潜在的な過剰共有を特定、修復、監視するのに役立つよう特別に設計されているため、Microsoft 365 Copilotやエージェント、Microsoft 365 Copilot Chatを使用してorganizationについてより自信を持つことができます。

AI 用データ セキュリティ態勢管理の使用を開始するには、Microsoft Purview ポータルを使用します。 Microsoft Entraコンプライアンス管理者グループ ロールのメンバーであるアカウントなど、コンプライアンス管理に適切なアクセス許可を持つアカウントが必要です。

1. Microsoft Purview ポータルにサインインします>ソリューション>AI (クラシック) のDSPM。

   

2. [ 概要] から、[ すべての AI アプリ ] ビューを選択したままにします。 AI 用データ セキュリティ態勢管理と、すぐに実行できるアクションの詳細については、「はじめに」セクションを参照してください。 ポップアップ ウィンドウを表示するには、それぞれを選択して詳細を確認し、アクションを実行し、現在の状態を確認します。

   アクション	詳細
   Microsoft Purview 監査を有効にする	新しいテナントの監査は既定でオンになっているため、既にこの前提条件を満たしている可能性があります。 その場合、ユーザーにMicrosoft 365 Copilotのライセンスが既に割り当てられている場合は、ページのさらに下にある [レポート] セクションから Copilot とエージェントのアクティビティに関する分析情報が表示されます。
   Microsoft Purview ブラウザー拡張機能をインストールする	サード パーティの AI サイトの前提条件。
   デバイスを Microsoft Purview にオンボードする	サード パーティの AI サイトの前提条件でもあります。
   データ検出の分析情報を拡張する	サードパーティの生成 AI サイトにアクセスし、機密情報を送信するユーザーに関する情報を収集するためのワンクリック ポリシー。 オプションは、ページのさらに下にある [AI データ分析] セクションの [ 分析情報の拡張 ] ボタンと同じです。

   前提条件の詳細については、「AI 用データ セキュリティ態勢管理の前提条件」を参照してください。

   アクティブ化できる構成済みのポリシーの詳細については、「AI 用データ セキュリティ態勢管理からのワンクリック ポリシー」を参照してください。

3. 次に、[ 推奨事項] セクションを 確認し、テナントに関連するオプションを実装するかどうかを決定します。 各推奨事項を表示して、それらがデータにどのように関連しているかを理解し、詳細を確認します。

   これらのオプションには、SharePoint サイト間でのデータ リスク評価の実行、データを保護するための秘密度ラベルとポリシーの作成、生成的な AI サイトに送信される機密データの検出と保護に役立つ 既定のポリシー の作成などがあります。 推奨事項の例:

   • 既定のデータ リスク評価の結果を表示して、Microsoft 365 Copilotをより自信を持ってデプロイするのに役立つ問題を特定して修正することで、潜在的な過剰共有リスクからデータを保護します。
   • 秘密度ラベル がまだない場合は 、既定の秘密度ラベル のセットを作成し、秘密度ラベルを発行してドキュメントと電子メールに自動的にラベルを付けるポリシーを作成して、秘密度ラベルを使用してデータを保護します。
   • Microsoft 365 Copilotやエージェントがラベル付きデータを要約できないように 1 つ以上の秘密度ラベルを選択するように求めることで、秘密度ラベルを持つアイテムをMicrosoft 365 Copilotやエージェントの処理から保護します。 この機能の詳細については、「Microsoft Purview データ損失防止を使用してMicrosoft 365 CopilotとCopilot Chatとの対話を保護する方法について」を参照してください。
   • AI アプリで危険な対話を検出し、Microsoft 365 Copilot、エージェント、その他の生成的な AI アプリで危険なプロンプトと応答を検出することで、ユーザーのリスクを計算します。 詳細については、「 危険な AI の使用」を参照してください。
   • ChatGPT Enterprise ワークスペースを登録することで、ChatGPT Enterprise AI との対話を検出して管理 します。ChatGPT Enterprise と共有されている機密情報を検出することで、潜在的なデータ公開リスクを特定できます。
   • コンプライアンス マネージャーのコントロール マッピング規制テンプレートを使用する AI 規制に関するガイド付きサポートを受ける。
   • Microsoft Copilot エクスペリエンスのための安全な対話。これは、Fabric の Copilot のプロンプトと応答とSecurity Copilotをキャプチャします。 この推奨事項で作成されたポリシーと同様のポリシーがないと、監査イベントは Fabric と Security Copilot の Copilot に対してキャプチャされますが、プロンプトと応答はキャプチャされません。
   • ネットワーク経由で AI と共有される機密情報を検出します。ネットワーク データ セキュリティを使用して、Secure Access Service Edge または セキュリティ サービス エッジ 統合を使用して、ブラウザー、アプリケーション、API、アドインなどの AI アプリと共有される機密情報の種類を検出します。
   • エンタープライズ アプリからの対話をセキュリティで保護します。これは、Entra 登録済みの AI アプリ、ChatGPT Enterprise Connector、Microsoft Foundry 上に構築されたアプリケーションからの規制コンプライアンスに対するプロンプトと応答をキャプチャします。
   • 1 つ以上のAzure AI サブスクリプションを使用する AI アプリのプロンプトと応答をキャプチャする手順を設定した、Azure AI アプリとエージェントのデータをセキュリティで保護します。

   ナビゲーション ウィンドウの [ すべての推奨事項の表示 ] リンクまたは [推奨事項 ] を使用して、テナントに対して使用可能なすべての推奨事項とその状態を確認できます。 推奨事項が完了または却下されると、[ 概要 ] ページに推奨事項が表示されなくなります。

4. ナビゲーション ウィンドウの [レポート ] セクションまたは [レポート] ページを使用して、作成された既定のポリシーの結果を表示します。 レポートが設定されるまで少なくとも 1 日待つ必要があります。 Copilot エクスペリエンスとエージェント、エンタープライズ AI アプリ、およびその他の AI アプリのカテゴリを選択して、特定の生成 AI アプリを識別するのに役立ちます。

5. [ ポリシー] ページを使用して、 作成された既定のワンクリック ポリシー と、他の Microsoft Purview ソリューションからの AI 関連ポリシーの状態を監視します。 ポリシーを編集するには、ポータルで対応する管理ソリューションを使用します。 たとえば、AI のDSPM - Copilot での非倫理的な動作の場合は、コミュニケーション コンプライアンス ソリューションの一致を確認して修復できます。

   注:

   Teams チャットと Copilot の場所の以前のアイテム保持ポリシーがある場合、このページには含まれません。 このポリシー ページに含まれるMicrosoft Copilot エクスペリエンスの個別の保持ポリシーを作成する方法について説明します。

6. [アプリとエージェント] を選択して、organization全体で使用される AI アプリとそのエージェントのダッシュボードを表示して、潜在的なデータ セキュリティ リスクを特定して管理できるようにします。 エージェントごとに、アクセスした機密データと、Microsoft Purview からのポリシーによって保護される方法の詳細を表示します。

7. [アクティビティ エクスプローラー] を選択して、ポリシーから収集されたデータの詳細を表示します。

   このより詳細な情報には、アクティビティの種類とユーザー、日付と時刻、AI アプリカテゴリとアプリ、アクセスされたアプリ、機密情報の種類、参照されているファイル、参照されている機密ファイルが含まれます。

   アクティビティの例としては、 AI の相互作用、 機密情報の種類、 AI Web サイトへのアクセスなどがあります。 適切なパーミソンがある場合、AI インタラクション イベントには、プロンプトと応答が含まれます。 アクティビティ エクスプローラーの Web クエリ フィルターを使用すると、Web クエリを持つ AI 操作をより簡単に識別できます。AI 操作のポップアップ ウィンドウでは、 Web 参照 AI アプリの [使用済 み] セクションの検索クエリ テキストが表示されます。 イベントの詳細については、「 アクティビティ エクスプローラーのイベント」を参照してください。

   レポート カテゴリと同様に、ワークロードには Copilot エクスペリエンスとエージェント、 エンタープライズ AI アプリ、 およびその他の AI アプリが含まれます。 Copilot エクスペリエンスとエージェント用のアプリ ID とアプリ ホストの例としては、Microsoft 365 Copilots と Copilot Studioなどがあります。 エンタープライズ AI アプリ には 、ChatGPT Enterprise が含まれています。 その他の AI アプリ には、Gemini や ChatGPT で使用されるアプリなど、 サポートされているサード パーティの AI サイトのアプリが含まれています。

8. [データ リスク評価] を選択して、organizationの潜在的なデータの過剰共有リスクを特定して修正します。 AI のパワーとスピードにより、時代遅れ、過剰なアクセス許可、ガバナンス 制御が不足している可能性のあるコンテンツを事前に表示できるため、生成 AI はデータの共有過剰の問題を増幅します。 データ リスク評価を使用して、問題の特定と修復の両方を行います。

   SharePoint と OneDrive での分析情報の共有を超える場合は、 Microsoft 365 タブを使用し、 Fabric ワークスペース内のアイテムの [ファブリック] タブを使用します。

   • Microsoft 365
   • Fabric

   既定のデータ リスク評価は、organizationの使用状況に基づいて上位 100 の SharePoint サイトに対して毎週自動的に実行され、既に推奨事項の 1 つとしてカスタム評価を実行している可能性があります。 ただし、このオプションに定期的に戻って、既定の評価の最新の毎週の結果をチェックし、さまざまなユーザーまたは特定のサイトに対してチェックする場合にカスタム評価を実行します。 カスタム評価が実行されたら、少なくとも 48 時間待ってから、もう一度更新されない結果が表示されます。 結果の変更を確認するには、新しい評価が必要です。

   既定の評価はページの上部に表示され、見つかった項目の総数、検出された機密データの数、データを共有するリンクの数など、簡単な概要が表示されます。 既定の評価を初めて作成すると、結果が表示されるまでに 4 日間の遅延が発生します。

   詳細な情報の 詳細を表示 するを選択した後、一覧から各サイトを選択して、[ 概要]、[ 識別]、[ 保護]、および [監視] のタブがあるポップアップ ウィンドウにアクセスします。 各タブの情報を使用して詳細を確認し、推奨されるアクションを実行します。 例:

   [ 識別 ] タブを使用して、機密情報の種類に対してスキャンされたデータまたはスキャンされていないデータの量を特定し、必要に応じて オンデマンド分類スキャン を開始するオプションを使用します。

   [ 保護 ] タブを使用して、オーバーシェアリングを修復するオプションを選択します。これには次のものが含まれます。

   • ラベルによるアクセスの制限: Microsoft Purview データ損失防止を使用して、選択した秘密度ラベルがある場合にMicrosoft 365 Copilotとエージェントがデータを集計できないようにする DLP ポリシーを作成します。 このしくみとサポートされるシナリオの詳細については、「Microsoft Purview データ損失防止を使用してMicrosoft 365 CopilotとCopilot Chatとの対話を保護する方法」を参照してください。
   • すべてのアイテムを制限する: SharePoint 制限付きコンテンツ検出を使用して、Microsoft 365 Copilotから除外する SharePoint サイトを一覧表示します。 詳細については、「 SharePoint サイトとコンテンツの検出を制限する」を参照してください。
   • 自動ラベル付けポリシーを作成する: ラベル付けされていないファイルの機密情報が見つかった場合は、Microsoft Purview Information Protectionを使用して自動ラベル付けポリシーを作成し、機密データに秘密度ラベルを自動的に適用します。 このポリシーを作成する方法の詳細については、「 SharePoint、OneDrive、Exchange の自動ラベル付けポリシーを構成する方法」を参照してください。
   • アイテム保持ポリシーの作成: コンテンツに少なくとも 3 年間アクセスされていない場合は、Microsoft Purview データ ライフサイクル管理を使用して自動的に削除します。 アイテム保持ポリシーを作成する方法の詳細については、「アイテム保持ポリシーの 作成と構成」を参照してください。

   [モニター] タブを使用して、サイト内のアイテムの数を表示して、すべてのユーザーと共有し、organization内のすべてのユーザーと共有し、特定のユーザーと共有し、外部で共有します。 SharePoint データ アクセス ガバナンス レポートの使用方法については、[SharePoint サイト アクセス レビューの開始] を選択します。

9. 独自のカスタム データ リスク評価を作成するには、[ カスタム評価の作成 ] を選択して、すべてのユーザーまたは選択したユーザー、スキャンするデータ ソースに対する潜在的な過剰共有の問題を特定し、評価を実行します。

   注:

   Microsoft 365 カスタム評価では、必要に応じて、1 回限りの認証プロセスを完了したときに、修復アクションを使用した項目レベルのスキャンがサポートされます。 必要な設定を指定するには、Entra アプリケーションが登録されている必要があります。 Entra アプリケーションの詳細については、「 データ リスク評価の Microsoft 365 項目レベルのスキャンの前提条件」を参照してください。

   [スキャン レベル] ページで [項目レベル] を選択し、[認証] を選択して Entra アプリケーション情報を指定します。

   このデータ リスク評価は、[ カスタム評価 ] カテゴリに作成されます。 評価の状態が [ 完了] と表示されるまで待ち、それを選択して詳細を表示します。 カスタム データ リスク評価を再実行し、30 日間の有効期限が切れた後に結果を表示するには、複製オプションを使用して、同じ選択項目を含む新しい評価を作成します。
   
   過剰に共有される可能性があるアイテムのアイテム レベルのスキャンと修復は、Microsoft 365 にのみ適用され、現在は SharePoint サイトに制限されています。 このスキャンでは、外部ユーザーまたは匿名ユーザー向けの共有リンクがある場合に、アイテムが過剰に共有される可能性があることを識別し、適用された秘密度ラベルと各項目の所有者も表示します。
   
   スキャンが完了したら、カスタム評価を開き、[潜在的に過共有される可能性があるアイテム] タブまたは [潜在的に過共有されたアイテム] バナーの [アイテムの表示] ボタンから項目レベルの分析情報を表示します。 特定された過剰共有アイテムに対して、次の修復アクションを実行できます。
   • たとえば、アイテムがオーバーシェアの危険にさらされていないと判断した場合に解決します。
   • 現在ラベル付けされていない項目、または別の秘密度ラベルを持つ必要がある項目に秘密度ラベルを適用します。
   • (カスタマイズ不可) 電子メール通知を使用してサイト所有者に通知します。
   • 共有リンクを削除 して既存の共有リンクを削除し、アイテムへのアクセスに使用できないようにします。 これは、ユーザーがアイテムに正当にアクセスできなくなる可能性があるため、控えめに使用するアクションです。 このシナリオでは、サイト所有者またはアイテム所有者は、承認されたユーザーに対して、許可されていない共有リンクの種類を設定する必要があります。 まだない場合は、 既定の共有リンクの秘密度ラベルを構成することを検討してください。
   電子メール通知には、サイト内で過剰に共有される可能性があるアイテムに関する情報と手順が含まれています。 また、SharePoint サイトに移動してそこからアイテムへのアクセスを管理したり、Microsoft Purview ポータルに移動して、所有するアイテムとサイトのみを表示するアイテム レベルのスキャン結果の読み取り専用ビューを表示したりするためのオプションも含まれています。

   ヒント

   既定のデータ リスク評価とカスタム データ リスク評価の両方に 、[エクスポート] オプションが用意されており、データを保存して、任意のファイル形式 (Excel、CSV、JSON、TSV) にカスタマイズできます。

   Microsoft 365 の制限:
   • 1 か所あたり最大 200,000 項目。これは、カスタム データ リスク評価と既定のデータ リスク評価の両方に適用されます。 1 つの場所に 100,000 を超えるファイルがある場合、報告されるファイルの数が正確でない可能性があります。
   • OneDrive は現在、アイテム レベルのスキャンではサポートされていません。
   • アイテム レベルのスキャン用の現在の最大 10 個の SharePoint サイト。

次の手順

AI のDSPMからのポリシー、ツール、分析情報を、Microsoft Purview の追加の保護とコンプライアンス機能と組み合わせて使用します。 特定の AI アプリに関心がある場合は、次のリンクを使用します。

• Microsoft 365 Copilot & Microsoft 365 Copilot Chat
• Microsoft Security Copilot
• Fabric の Copilot
• Microsoft Copilot Studio
• Microsoft ファシリテーター
• Microsoft Teamsのチャネル エージェント
• Entra 登録済み AI アプリ
• Microsoft Foundry
• ChatGPT Enterprise
• その他の AI アプリ
• Agents