Copilot for Microsoft 365から企業の商用データを保護しよう

以前のブログにてCopilot for Microsoft 365の機能について紹介させていただきました。
Copilot for Microsoft365で文書作成の業務を効率化しよう(1)
Copilot for Microsoft365で文書作成を効率化しよう(2)
Copilot for Microsoft365でExcelのマクロ作成を効率化しよう
Copilot for Microsoft365でTeams会議を効率化しよう
今回からのテーマはCopilot for Microsoft 365を使用するうえで必要となる、企業の商用データを保護する観点から考慮していきます。
Copilot for Microsoft 365における、企業データの扱いについて
まず、Microsoftが考えるAIのプライバシーに関する情報は以下ブログで言及されています。https://blogs.microsoft.com/on-the-issues/2023/12/19/trust-privacy-bing-copilot-responsible-ai/?ref=generatived.com
英語の記事なので、Copilotに要約してもらいます。(青背景部分)
情報の保護
Copilot for Microsoft365は、ユーザーの情報をMicrosoft 365のサービスの境界内に留めて、外部に漏らすことはありません。また、Copilot for Microsoft365は、Azure OpenAI サービスを使用することで、高いプライバシー、セキュリティ、コンプライアンスの基準に従って、AIの処理を行います。
情報の透明性
Copilot for Microsoft365は、ユーザーに対して、プロンプトや文章の生成に関する情報を透明に提供します。ユーザーは、Copilot for Microsoft365の利用規約やプライバシー声明に同意したり、生成された文章の品質や信頼性を評価したり、コンプライアンスに関する知識やベストプラクティスを学んだりすることができます。
情報の管理
Copilot for Microsoft365は、ユーザーが自分の情報を管理できるようにしています。ユーザーは、自分の文書や情報に誰がアクセスできるかを設定したり、インターネット上の情報の参照を選択したりすることができます。Copilot for Microsoft365は、ユーザーのプロンプトに含まれる情報や生成された文章に関連するパブリックWebコンテンツを参照することがありますが、ユーザーは、この機能を無効化することもできます。
要約した内容を見ると、情報の保護としてCopilotはAzure OpenAI サービスを利用するため、Microsoft 365のサービスの境界内で閉じていることが分かります。
ただし、企業のデータがMicrosoftに収集されることになります。
Microsoftは収集したデータをどの様に扱うのでしょうか。
少し心配になりますね。。。
調べた結果、以下のDocsに明記されていました。
なるほど、収集したデータは基礎LLM(LLM: Large Language Model ※大規模言語モデル "機械学習の枠組みで日本語や英語などの言語を数理的に取り扱う生成モデル")のトレーニングに使用されないと明記されていますね。
ただし、同URLに気になる記載があります。※ 2024年3月6日時点
Microsoft Copilot for Microsoft 365と Web コンテンツ プラグイン
Web コンテンツの使用を管理するために使用できるコントロール
Microsoft Copilot for Microsoft 365が Web コンテンツにアクセスできるかどうかを選択する
https://learn.microsoft.com/ja-jp/microsoft-365-copilot/manage-public-web-access
以上、Docsの内容から「Microsoft Copilot for Microsoft 365を利用する際にチャットの回答にBing検索を使用するオプションが有効となっている場合はWEB上にデータを送信する」という意味に見受けられます。
Bingチャットは以下画像の通り、Microsoft Edge上で使用することができます。
Copilot for Microsoft 365内の Web コンテンツへのアクセスをブロックする
Docsの手順通りCopilot for Microsoft 365が Web コンテンツを参照出来ない様に設定しようと思います。

「Copilot による Web コンテンツでの応答の改善を許可する」を「非アクティブ」に設定後24時間を経ちましたが、Microsoft Edge側のUIに変化は無く、あくまでも内部的な変更となる様です。
うーん、BingのWEBチャットが継続して利用可能な状態となるので少し不安に感じます。
そもそも、組織内の情報をCopilotで検索する場合に「組織」に対して検索するところを誤って「WEB」に対して検索してしまうリスクがあります。
今回は思い切って、BingのWEBチャット自体を無効化する方法を考え、検証したいと思います。
BingのWEBチャットを無効化する
Windows Copilotで商用データ保護するうえで参考になる情報がありました。https://learn.microsoft.com/ja-jp/copilot/manage#require-commercial-data-protection-in-
Windows Copilotの商用データ使用を禁止するために 「www.bing.com」のDNS構成で、DNSエントリーをCNAMEにBingのチャットが無効化されたURL「nochat.bing.com」を設定しています。
今回の検証では、Bingのチャット自体にアクセスさせないためクライアントのwindows ファイアウォール設定でアクセスをブロックしたいと思います。
まず「www.bing.com」と「nochat.bing.com」のIPアドレスを控え、hostsファイル内で名前解決します。

次にwindows ファイアウォールの送信設定で上記IPアドレスをブロックします。

その結果、Microsoft EdgeのURL欄から「www.bing.com」へのアクセスはブロックすることが出来ましたが、Microsoft Edgeのサイドバーに表示されているCopilotは引き続きアクセス可能な様です。

では、上記に加えてMicrosoft Edgeのサイドバーを無効化します。
検証のため、レジストリを使用します。
===================================
キー:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
値(DWORD 32ビット):"HubsSidebarEnabled" 0
===================================

設定した結果、Bingチャットのブロックおよび、Edgeサイドバーを無効化することができました。

これで、Microsoft EdgeからBingのWEBチャットの利用を禁止することができました。
また、Copilot for Microsoft 365の機能は継続してMicrosoft Teamsを使用して企業の商用データを検索することができます。
Microsoft TeamsのCopilotはWEB検索機能が無いため、安心して検索できます。

Windows Copilotを無効化する
CopilotのBing WEB検索を使用する手段としてMicrosoft Copilotを使用する方法があります。 Windows CopilotはWindows 11 OSに標準搭載される予定です。
本機能もMicrosoft Edgeと併せて無効化します。
検証のため、ローカルグループポリシーを使用します。

===================================
「ユーザー設定」>「管理用テンプレート」>「Windows コンポーネント」>「Windows Copilot」
「Windows Copilotを無効にする」:「有効」
===================================
設定した結果、Bingチャットのブロックおよび、Wndows Copilotを無効化することができました。

まとめ
いかがでしたでしょうか、Copilot for Microsoft 365で利用される企業の商用データは基本的に保護されており、Microsoft 365のAzure OpenAI サービスの境界内から外に出ることはありません。
また、収集したデータは基礎LLMのトレーニングに使用されません。
一部領域から外に出る可能性のあるBing チャットのWEB検索情報もユーザーに利用させない仕組みを設計し、運用ルールを決めユーザーが順守することで情報を守ることができます。
今回検証のため簡易的に実現しましたが本来は、Windows ファイアウォールでは無くWEBプロキシ、レジストリ/ローカルグループポリシーでは無くIntuneのMDM制御など、組織のポリシーとしてソリューションの設計および運用の設計を実施したうえで実装・構築をする必要があります。
ゼロトラスト・セキュリティ 導入支援(iFILTER@Cloud【Webセキュリティ】、Microsoft Intune【デバイス管理】)
また、今回の検証結果を踏まえたうえで情報の保護に不安を感じる場合は、別のAIチャットボットサービスとしてAzure OpenAI Serviceの導入を検討されてはいかがでしょうか。
次回は組織内における情報の保護についての検証結果を記事にしたいと思います。
Copilot及びMicrosoft365ライセンスは弊社で販売しておりますのでお問合せフォームからご連絡ください。
問い合わせフォーム
※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。