Microsoft 365 Copilotで社内情報が丸見え？ 情シスを悩ます「権限地獄」の正体(2/2)

制限付きSharePoint SearchとPurviewの限界

　Microsoftは、Copilot導入時の権限リスクに対して複数の管理機能を用意している。

　代表例が制限付きSharePoint Searchだ。これは、組織全体の検索やCopilotチャット、エージェント応答に表示されるSharePointサイトを、管理者が選んだサイトに絞るための仕組みである。マイクロソフトはこの機能を、管理者がサイトとファイルの権限を確認し、監査する時間を確保するための短期的な手段と位置付けている。長期利用を前提にした恒久対策ではない。


　ここは誤解してはならない。

　制限付きSharePoint Searchは、SharePointのアクセス許可そのものを変更する機能ではない。検索やCopilotの応答に出る範囲を一時的に制限するものであり、ユーザーが所有しているファイル、直接共有されたファイル、最近アクセスしたコンテンツなどは別の扱いになる。許可リストにも上限があり、企業全体のCopilot利用を本格展開するうえでは、これだけで十分とは言いにくい。

　この機能は、危険なサイトを完全に封じ込める魔法の壁ではなく、権限棚卸しを進めるための時間稼ぎと見るべきだ。

　本丸は、SharePoint Advanced ManagementやMicrosoft Purviewを使った継続的な管理にある。

　SharePoint Advanced Managementは、SharePointとOneDriveのコンテンツの拡散、ライフサイクル、過剰共有を管理するための機能群だ。広く共有されすぎたサイト、管理されていない共有、古いコンテンツの放置といったリスクを発見し、是正する方向で使う。

　Microsoft Purviewは、秘密度ラベル、データ損失防止、監査、保持などを通じて、データの扱いを統制する。Microsoftは、Copilotやエージェント、サードパーティーの大規模言語モデルを含むAIアプリの利用状況を監視し、AI向けのデータセキュリティ態勢を管理する機能も提供している。

　ただし、これらの機能を入れれば自動的に安全になるわけではない。

　秘密度ラベルを使うには、どの情報を機密とするのかを業務側と合意しなければならない。データ損失防止を設定するには、検知したい情報の種類と例外ルールを決める必要がある。過剰共有のアラートが出ても、それを誰が確認し、誰が権限を直すのかが決まっていなければ運用は止まる。

　Copilot対策の難しさは、技術機能の不足ではなく、管理責任の分散にある。

　Microsoft 365 Copilotの最小要件としては、ライセンス、Exchange Onlineメールボックス、Microsoft Entra ID、対応するネットワークや端末などが並ぶ。一方で、SharePointガバナンスやPurviewのラベル付けは、導入前に強く推奨される準備項目として示されている。つまり、製品を使い始めることと、安全に使いこなすことの間には距離がある。

　その距離を埋める仕事が、情シスに重くのしかかる。

情シスは具体的に何をすればいいのか？

　Copilot導入の成否は、プロンプト研修や活用事例の共有だけでは決まらない。

　むしろ初期段階で差がつくのは、ID、権限、データ分類をどこまで整えられるかだ。これまで情シスは、Microsoft 365のライセンスを配り、TeamsやSharePointの利用を支え、障害や問い合わせに対応してきた。Copilot時代には、その役割が変わる。情シスは、AIが社内情報を読む前提で、誰が何を見られるべきかを設計する部門になる。


　最初に必要なのは、全社的な棚卸しだ。

　第1に、重要なSharePointサイトを洗い出す。人事、経営企画、法務、経理、研究開発、営業の重要顧客フォルダなど、機密性の高いサイトから優先順位を付ける。すべてを一気に整理しようとすると頓挫するため、Copilotの先行導入部門と、情報漏えい時の影響が大きい部門を先に見るほうが現実的だ。

　第2に、権限の責任者を決める。情シスがシステム上の設定を変更できても、業務上の閲覧範囲を判断できるとは限らない。部門長、サイト所有者、情報管理責任者が、どの資料を誰に見せるのかを決める必要がある。サイト所有者が不在のままでは、権限棚卸しは形だけで終わる。

　第3に、共有のルールを変える。外部共有リンクの有効期限、ゲストユーザーの棚卸し、全社共有の禁止、機密ファイルのラベル付け、退職者や異動者のアクセス削除などを、運用として回す。Copilot導入前の一斉点検だけでは足りない。新しいTeamsやSharePointサイトは日々作られるため、継続的な監視と是正が必要になる。

　コスト面の見落としもある。

　Microsoftの日本向け価格ページでは、Microsoft 365 Copilot Businessが年払いでユーザー月額2,698円からと表示されている。大企業向けのMicrosoft 365 Copilotも、既存のMicrosoft 365プランに追加するアドオンとして提供される。さらに、Copilot Studioでエージェントを作り、従量課金で使う場合はAzureサブスクリプションとひも付ける。利用したCopilot Creditsに応じて月末に支払う仕組みであり、単純な1人あたりライセンス費だけでは総コストを読みにくい。

　Copilotは、WordやExcelの作業を楽にするツールとして始まるかもしれない。しかし、エージェントが業務システムと連携し、社内データを参照して処理を進める段階に入ると、権限設計の重みはさらに増す。AIがメールを下書きし、会議資料をまとめ、顧客情報を参照し、ワークフローを動かすなら、誰の権限で、どのデータに触れ、どの操作まで許すのかを明確にしなければならない。

　Copilot導入で露呈する「権限ぐちゃぐちゃ問題」は、情シスだけの後始末ではない。

　それは、企業がAIを業務に組み込む前に避けて通れない、ID管理とデータ統治の再設計である。AI活用が進む会社と止まる会社の差は、最新モデルをどれだけ早く試すかではなく、社内情報をAIに読ませられる状態に整えられるかで決まる。

〔出典〕
●Microsoft 365 Copilotのデータ保護、アクセス許可、監査に関するMicrosoft Learn資料。Copilotが既存のアクセス制御や秘密度ラベルを踏まえて動作することを確認した。(Microsoft Learn)
●制限付きSharePoint Searchに関するMicrosoft Learn資料。同機能がCopilotチャットやエージェント応答の検索対象を一時的に制限する手段であり、長期的な解決策ではないことを確認した。(Microsoft Learn)
●SharePoint Advanced Managementに関するMicrosoft Learn資料。SharePointとOneDriveのコンテンツ拡散、ライフサイクル、過剰共有対策の位置付けを確認した。(Microsoft Learn)
●Microsoft PurviewのAI向けデータセキュリティ管理に関するMicrosoft Learn資料。Copilot、エージェント、第三者LLMを含むAIアプリの利用監視とデータ保護機能を確認した。(Microsoft Learn)
●Microsoft 365 Copilotの価格、ライセンス要件、Copilot Studioの従量課金に関するMicrosoft公式資料。日本向け価格、アドオン提供、Azureサブスクリプションを使う課金方式を確認した。(Microsoft Learn)