보안은 Microsoft의 접근 방식의 기초입니다. 고객 데이터를 보호하고, 시스템 무결성을 지원하며, 사용자 안전 기능을 포함합니다. 이 약속은 개인 정보 보호, 규정 준수 및 신뢰의 광범위한 원칙에 부합합니다. 이 문서에서는 Microsoft 365 Copilot 보호하는 방법에 대해 간략하게 설명하고 AI 보안 태세를 강화하는 데 사용할 수 있는 지침을 제공합니다.
참고
AI용 Microsoft Security 제품의 새로운 기능과 기능에 대해 알아봅니다.
Microsoft가 Microsoft 365 Copilot 보호하기 위해 수행하는 일
Microsoft는 다층적인 심층 방어 전략을 적용하여 엔터프라이즈 보안, 개인 정보 보호 및 규정 준수 표준을 기반으로 모든 수준에서 Microsoft 365 Copilot 보호합니다. 즉, 한 계층이 위반되면 다른 계층은 여전히 보호를 제공합니다. Microsoft의 접근 방식은 책임 있는 AI 원칙 을 기반으로 하며 최근 확장된 보안 미래 이니셔티브에 의해 강화됩니다.
AI에 대한 포괄적인 보안 태세에는 다음이 포함됩니다.
- 보안 엔지니어링 및 개발 사례
- 위협 인텔리전스 및 위험 완화
- 디자인별 개인 정보 보호 및 규정 준수
이 기초의 각 측면은 AI 기능 및 도구를 자신 있게 채택할 수 있는 안전한 디지털 에코시스템을 형성합니다.
또한 Microsoft는 전체 AI 수명 주기에 책임 있는 AI 원칙 기반 거버넌스를 포함하여 시스템을 윤리적이고 안전하게 개발하고 배포할 수 있도록 지원합니다. 이 전략은 AI가 신뢰할 수 있고 책임감 있고 포용적인 방식으로 동작하도록 하는 데 도움이 됩니다. 책임 있는 AI 프로그램의 핵심 부분은 잠재적 위험을 식별하고, 발생할 성향을 측정하고, 위험을 관리하는 완화를 빌드하도록 설계되었으며, Microsoft 365 Copilot 대한 투명성 참고 사항: 매핑, 측정 및 위험 관리에 설명되어 있습니다.
보안 엔지니어링 및 개발 사례
보안은 SDL( 보안 개발 수명 주기 )을 통해 처음부터 통합됩니다. 이 통합은 개발 프로세스 초기에 취약성을 식별하고 완화하는 데 도움이 됩니다. 또한 Microsoft는 Microsoft AI 기술을 사용하는 개발자, 엔지니어 및 보안 전문가를 위한 맞춤형 보안 지침 및 모범 사례를 제공합니다. AI에 대한 강력한 보안 태세 구축을 참조하세요.
평가 및 테스트
Microsoft는 내부 레드 팀을 수행하고 침투 테스트를 포함하는 타사 평가를 의뢰합니다. 이러한 평가는 기존 취약성에 대한 Microsoft 365 Copilot 구현 및 LLM용 OWASP(Open Web Application Security Project) 상위 10개 구현을 평가하는 데 도움이 됩니다. 평가를 보려면 서비스 신뢰 포털을 방문하세요.
실행 컨트롤
Microsoft 365 Copilot 랜섬웨어 생성 및 원격 코드 실행을 포함하여 오용을 방지하기 위해 보안 코딩 및 아키텍처 보호 장치를 적용합니다. 악의적인 패턴은 프롬프트 검사 및 콘텐츠 필터링을 통해 차단되는 반면 샌드박싱은 Microsoft 365 Copilot 제한된 실행 경계 내에서 작동하도록 하는 데 도움이 됩니다. 자세한 내용은 Microsoft 365 Copilot 아키텍처 및 작동 방식을 참조하세요.
위협 인텔리전스 및 위험 완화
Microsoft 365 Copilot 위협 인텔리전스, AI 관련 검색 및 아키텍처 봉쇄를 결합한 다계층 방어 전략으로 보호됩니다. Microsoft는 글로벌 위협 인텔리전스를 사용하여 악의적 공격, 모델 조작 및 데이터 유출을 모니터링합니다. 최신 결과를 보려면 Microsoft 보안: 위협 인텔리전스 블로그를 방문하세요.
주요 사례는 다음과 같습니다.
- 내부 빨간색 팀 및 타사 침투 테스트
- 악의적인 입력을 차단하는 사전 식별
- 기계 학습 분류자
- 메타프롬프팅
- 탈옥, eXternalized XPIA(프롬프트 삽입 공격) 및 에이전트 취약성을 비롯한 프롬프트 삽입 시도를 감지하는 콘텐츠 필터링
보고서, 백서 및 기타 리소스를 보려면 서비스 신뢰 포털을 방문하세요.
Microsoft 365 Copilot markdown 삭제, 악의적인 프롬프트 분류자, 세션 강화 및 콘텐츠 보안 정책을 비롯한 계층화된 방어를 통해 XPIA 및 에이전트 취약성을 완화합니다. 이러한 보호는 Microsoft 365 Copilot 표면에서 무단 작업 및 데이터 반출을 방지하는 데 도움이 되며 고객 조치 없이 Microsoft의 클라우드 인프라를 통해 자동으로 배포됩니다. 이 방법론에는 지속적인 테스트 및 봉쇄 전략도 포함됩니다.
디자인별 포함
주입 시도가 성공적일 경우 Microsoft 365 Copilot 아키텍처는 설계에 따라 봉쇄를 보장하는 데 도움이 됩니다. Microsoft 365 Copilot 사용자의 ID 및 액세스 컨텍스트 내에서 작동하여 잠재적 손상의 폭발 반경을 제한합니다.
- Microsoft 365 Copilot 사용자의 ID 및 테넌트 컨텍스트 내에서 작동합니다.
- Microsoft 365 Copilot 사용자가 볼 수 있는 권한 있는 데이터에만 액세스합니다.
- 모든 상호 작용은 기존 권한으로 범위가 지정되어 횡적 이동 또는 무단 데이터 액세스를 방지합니다.
프롬프트 삽입 방어
Microsoft는 프롬프트 주입의 위험을 완화하기 위해 Microsoft 365 Copilot 프롬프트 흐름 전반에 걸쳐 다층 방어 전략을 사용합니다. 기본적으로 활성 상태이며 설정이 필요하지 않은 보호 기능의 몇 가지 예는 다음과 같습니다.
- 루프 내 사용자 디자인을 사용하면 사용자가 AI에서 생성된 콘텐츠를 검토, 수정 또는 거부할 수 있습니다.
- 스팸, 사기 및 의심스러운 콘텐츠 필터링은 프롬프트에서 악의적인 명령, 피싱 시도 및 사기성 자료를 차단하는 데 도움이 됩니다.
- Microsoft 365 Copilot 외부 연락처의 채팅을 포함하여 정크 메일 및 신뢰할 수 없는 Microsoft Teams 채팅을 무시합니다.
- Microsoft 365 Copilot Bing 웹 차단을 적용하여 웹 검색 중에 성인, 낮은 권한 및 악성 사이트를 필터링합니다.
- Microsoft 365 Copilot 상태 비국적 LLM 아키텍처를 사용하여 작동합니다. 요청은 테넌트 범위 의미 체계 인덱싱을 사용하여 실시간으로 처리되어 데이터 액세스 및 관련성이 사용자의 조직 컨텍스트로 엄격하게 제한되도록 합니다.
Microsoft가 데이터를 보호하고, 개인 정보 제어를 적용하고, AI 작업을 보호하는 방법에 대한 자세한 내용은 Microsoft 365 Copilot 대한 데이터, 개인 정보 및 보안을 참조하세요.
데이터 반출 방지
Microsoft 365 Copilot 계층화된 보안 모델은 다음과 같이 데이터 반출 가능성이 있는 시나리오를 포함하여 기존 위협과 새로운 위협을 해결합니다.
- 인증되지 않은 이미지 URL- 사용자가 중요한 데이터가 포함된 이미지를 생성하고 브라우저 도구를 사용하여 URL을 추출한 다음, 이미지를 외부에서 공유합니다. 인증 없이 이미지에 액세스할 수 있는 경우 조건부 액세스 또는 민감도 레이블과 같은 엔터프라이즈 컨트롤을 무시할 수 있습니다.
- 한 테넌트에서 사용자가 악의적인 이미지를 생성하고 익명 URL을 다른 테넌트 사용자와 공유하는 QR 코드와 같은 악성 이미지. URL이 인증으로 보호되지 않으면 액세스 제어가 적용되지 않을 수 있습니다.
이러한 시나리오를 완화하기 위해 Microsoft는 심층 방어 전략을 적용합니다. 이 전략에는 데이터 유출 벡터, 악의적인 오용 및 무단 액세스 패턴에 대한 지속적인 모니터링이 포함됩니다.
Microsoft 365 Copilot 생성된 콘텐츠는 다른 Microsoft 365 콘텐츠와 동일한 액세스 제어 및 규정 준수 정책의 적용을 받습니다. 즉, 콘텐츠 생성 및 액세스 시점에 사용자 권한, 민감도 레이블 및 조건부 액세스 정책이 적용됩니다.
디자인별 개인 정보 보호 및 규정 준수
Microsoft 365 Copilot Microsoft 365 Copilot 대한 데이터, 개인 정보 보호 및 보안에 설명된 개인 정보 및 규정 준수 표준을 준수합니다. 보안 제어를 통해 적용되는 보호는 다음과 같습니다.
- 데이터 액세스 적용
- 암호화 및 격리
- 규정 준수 도구
- AI 수명 주기 전반에 걸쳐 데이터 보호
- EU 데이터 경계
- AI 워크로드에 대한 클라우드 간 거버넌스
- 정책 통합 및 적용
자세한 내용은 Microsoft 365 Copilot 및 Microsoft 365 Copilot Chat 엔터프라이즈 데이터 보호를 참조하세요.
데이터 액세스 적용
Microsoft 365 Copilot Microsoft Entra ID 권한 및 Microsoft Purview 정책을 준수합니다. Microsoft 365 Copilot은 개별 사용자에게 최소한 보기 권한이 있는 조직 데이터만 표시합니다. 정책은 Microsoft Entra ID, Microsoft Purview 및 조건부 액세스에 의해 적용됩니다.
Microsoft 365 Copilot 커넥터는 엔터프라이즈 보호를 유지하면서 Microsoft 365 Copilot 가치를 향상시킵니다.
암호화 및 격리
데이터는 테넌트 수준 격리를 통해 FIPS 140-2 규격 기술을 사용하여 전송 중 및 미사용 시 암호화됩니다. DKE(이중 키 암호화)는 Microsoft가 고객의 키 없이 보호된 콘텐츠에 액세스할 수 없고 콘텐츠가 Microsoft 365 Copilot 액세스할 수 없도록 하는 데 도움이 됩니다.
Microsoft Purview Information Protection을 통해 데이터가 암호화된 경우 Microsoft 365 Copilot은 사용자에게 허가된 사용 권한을 적용합니다. 암호화는 민감도 레이블 또는 IRM(정보 권한 관리)을 사용하여 Microsoft 365의 앱에서 제한된 권한으로 적용할 수 있습니다.
Microsoft 365 Copilot Purview를 사용하는 방법에 대한 자세한 내용은 생성 AI 앱에 대한 Microsoft Purview 데이터 보안 및 규정 준수 보호를 참조하세요.
AI 워크로드에 대한 클라우드 간 거버넌스
Microsoft Purview를 사용하면 Azure, AWS 및 Google Cloud와 같은 하이브리드 및 다중 클라우드 환경에서 AI를 제어할 수 있습니다. Microsoft Security Copilot 있는 경우 더 많은 AI 인사이트 및 위협 탐지 기능을 얻을 수 있습니다.
- Purview는 클라우드에서 일관된 데이터 분류, 레이블 지정 및 정책 적용을 가능하게 하며, 데이터가 AI 모델 및 플러그 인으로 흐르는 방식을 파악할 수 있습니다.
- Security Copilot 플랫폼 전반에서 AI 관련 위험을 감지하고, 위협과 상관 관계를 지정하며, 클라우드 보안 태세 관리의 자세 인사이트를 노출합니다.
정책 통합 및 적용
Microsoft 365 Copilot Microsoft의 엔터프라이즈 규정 준수 프로그램의 일부이며 다양한 인증 및 평가의 이점을 누릴 수 있습니다. 이러한 표준에는 다음이 포함됩니다(이에 국한되지 않음).
- FedRAMP
- HiTrust
- SOC 2 유형 1
- ISO/IEC 27001, 27701, 22301, 27018 및 42001
Microsoft Entra ID, Microsoft Purview 및 비즈니스용 Microsoft 365는 조건부 액세스, 민감도 레이블 및 정보 장벽을 적용합니다.
자세한 내용은 다음 리소스를 참조하세요.
- 규정 준수 요구 사항 충족
- Microsoft Purview에 대한 Microsoft Purview 데이터 보안 및 규정 준수 보호
- Microsoft Purview를 사용하여 Microsoft 365 Copilot & Microsoft 365 Copilot Chat 대한 데이터 보안 & 규정 준수 관리
Microsoft 365 Copilot 위해 데이터 보호
Microsoft 365 Copilot 같은 AI 도구에 대한 데이터 보호는 공동의 책임입니다. Microsoft가 Microsoft 365 Copilot 보호하기 위해 수행하는 작업 외에도 데이터를 관리하고 AI를 안전하고 안전하게 사용하기 위해 organization 수행해야 하는 특정 작업이 있습니다. AI 공유 책임 모델을 참조하세요.
Microsoft Purview 도구 및 기능에 대해 알아보기
Microsoft Purview는 Microsoft 365 Copilot 및 AI 도구에서 사용할 데이터를 보호하고 관리하는 데 도움이 되는 도구를 제공합니다. 다음 문서를 참조하세요.
- Microsoft Purview를 사용하여 Microsoft 365 Copilot & Microsoft 365 Copilot Chat 대한 데이터 보안 & 규정 준수 관리
- Microsoft Purview에 대한 Microsoft Purview 데이터 보안 및 규정 준수 보호
- 보안 및 규정 준수를 위해 Teams에서 Microsoft 365 Copilot 및 채널 에이전트를 관리하기 위한 고려 사항
- Microsoft Purview 데이터 손실 방지 사용하여 Microsoft 365 Copilot 및 Copilot Chat 상호 작용을 보호하는 방법에 대해 알아봅니다.
참고
Security Copilot 위협 탐지, 인시던트 대응 및 위험 평가에 대한 실시간 지원을 제공하는 AI 기반 보안 솔루션입니다. 앞으로 몇 달 안에 Security Copilot Microsoft 365 E5 포함될 예정입니다. 에이전트 AI를 일일 워크플로의 일부로 만들 때 Security Copilot 사용하여 organization 에이전트 및 보안을 관리할 수 있습니다. Microsoft 365 E5 구독에 Security Copilot 포함에 대해 알아봅니다.
시나리오 기반 배포 모델 및 가이드 다운로드
시나리오 기반 배포 모델, 프레젠테이션 및 가이드를 다운로드하고 검토합니다. 이러한 리소스는 보안 기본 구성을 신속하게 구현하고, 과잉 공유 문제를 해결하고, 섀도 AI에 대한 데이터 누출을 방지하는 방법을 설명합니다. 엔지니어링 참고 사항: Microsoft Purview 배포 모델을 참조하세요.
보안 dashboard
Microsoft 365 Copilot Microsoft Purview의 기본 제공 보안 제어를 포함합니다. Copilot 보안 dashboard 도움이 되는 더 많은 인사이트와 컨트롤을 제공합니다.
- DLP(데이터 손실 방지) 정책을 사용하여 데이터 누출 방지
- 데이터 초과 공유 관리
- 데이터 규정 준수 강화
Microsoft 365 관리 센터 dashboard 보려면 Copilot>개요>보안을 선택합니다. 보안 섹션을 표시하려면 전역 읽기 권한자 역할이 필요합니다. 변경하려면 AI 관리자 역할이 필요합니다.