記事公開日
【Copilot Cowork セキュリティ 第2回】SharePoint Advanced Managementで“過剰共有”リスクを断つ
はじめに
こんにちは。DXソリューション営業本部の青木です。
Copilot / Copilot Cowork は、ユーザーがアクセスできる SharePoint・OneDrive のコンテンツを根拠データに使います。ですが、「とりあえず全社共有」「リンクを広く配布」という運用をあまり意識せずに利用してしまっている企業も多いのではないでしょうか。このような広いアクセス権の付与は、AI から見れば “セキュリティ・コンプライアンス上の大きなリスク” となり得ます。これが過剰共有問題で、Copilot 活用の最大の入口リスクです。
こういった問題を解消するために有用なサービスが SharePoint Advanced Management(SAM)です。過剰共有を可視化し、AI の検索対象を安全な範囲に絞り込みます。第1回の Purview(データ側の保護)に対し、本記事は「そもそも触れる範囲を狭める」入口対策としてご紹介します。
SharePoint Advanced Management とは
SAM は SharePoint / OneDrive のガバナンスを強化する管理機能群です。本記事では、Copilot Cowork 対策に直結する3機能を取り上げます。
- データアクセスガバナンス(DAG)レポート:過剰に共有された、または機密コンテンツを含むサイトを発見し、棚卸しを支援する。
- 制限付き SharePoint 検索(Restricted SharePoint Search):Copilot の検索・参照対象を、管理者が許可したサイトに限定する。
- 制限付きコンテンツ検出(Restricted Content Discovery / RCD):サイト単位で対象コンテンツを組織全体検索・Copilot の検出対象から除外する。アクセス権は変更せず、AI からの“見つかりやすさ”だけを止める。
Copilot Cowork における SAM の有効性
過剰共有問題の解消はユーザーへの影響もあり、またどこまで広がっているのかがわかりにくいため、即時是正することはできません。SAM はこれを「可視化」と「過渡期の封じ込め」の両面で支えます。
- DAG レポートで、誰でもアクセスできる/機密を含むサイトを特定し、優先的に権限を是正する。
- 棚卸しが完了するまでの過渡期は、制限付き SharePoint 検索で Copilot の対象を承認済みサイトに限定し、露出範囲を安全に絞る。
|
機能 |
設計の方針 |
Copilot Cowork での効果 |
|
DAG レポート |
「全員」「組織全体」共有や機密サイトを定期抽出し是正計画に落とす |
AI が引き出せる過剰共有データを継続的に削減 |
|
制限付き SharePoint 検索 |
許可サイトのみを Copilot 対象に。導入初期は対象を絞る |
棚卸し未完でも露出範囲を限定して開始できる |
|
制限付きコンテンツ検出(RCD) |
機密・放置サイトをサイト単位で Copilot の検出対象から除外。アクセス権は変更しない |
全社検索を止めずに、狙ったサイトだけ AI から不可視化 |
検証:シナリオと確認観点
実際に上記機能について動作を確認してみました。
【DAGレポート出力】
- 設定概要
- SharePoint Online 管理センターから、データアクセスガバナンスレポートを収集・エクスポートを実施する

- 動作確認結果
- 各サイトに対して権限を持つユーザー、共有リンクの数等が一覧表示され、当該サイトがどの範囲まで権限を付与されているかを確認できた。

【制限付き SharePoint 検索】
- 設定概要
- SharePoint Online 管理シェルから、「制限付きSPO検索」機能を有効化し、Copilotによるサイトへのアクセス可否を確認する

- 動作確認結果
- Copilotから当該サイトへの検索が行われなかった。
※ただし、アクセスが拒否されるのはSPOのインデックス情報の参照のみであり、ドキュメントライブラリを直接参照させるような操作を行った場合には参照が可能だった
- Copilotから当該サイトへの検索が行われなかった。

Copilot Coworkによる検索の結果

SharePoint Onlineの検索画面からも検索に制限がかかっていることがわかる
【コンテンツ検出の制限】
- 設定概要
- SharePoint Online 管理センターから、「コンテンツ検出を制限する」機能を有効化し、Copilotによるサイトへのアクセス可否を確認する

- 動作確認結果
- Copilotから当該サイトへの検索が行われなかった。
※ただし、アクセスが拒否されるのはSPOのインデックス情報の参照のみであり、ドキュメントライブラリを直接参照させるような操作を行った場合には参照が可能だった
- Copilotから当該サイトへの検索が行われなかった。

上記検証結果のまとめ
|
検証項目 |
確認観点/手順 |
結果 |
|
過剰共有の可視化 |
DAG レポートで過剰共有サイトが抽出されるか |
各サイトに対して権限を持つユーザー、リンクの数等が一覧表示された (期待通り) |
|
検索対象の限定 |
制限付き検索 ON で許可外サイトを Copilot Cowork に検索させる |
Copilotから当該サイトへの検索が行われなかった (期待通り) |
|
コンテンツ検出の制限 |
機密サイトで RCD を有効化し、Copilot Cowork から当該サイトの内容を参照させる |
Copilotから当該サイトへの検索が行われなかった |
検証メモ
制限付き検索、コンテンツ検出制限のいずれも、SPOインデックス情報からの参照は行われなかったものの、ドキュメントライブラリを直接参照させるような操作を行った場合には参照が可能だった。
制限付きSPO検索、コンテンツ検出の制限機能について
Microsoft は制限付き SharePoint 検索(RSS)の廃止を予定しており(2026年7月末に新規有効化を停止、2027年1月末に機能廃止)、より粒度の細かい RCD への移行を推奨している。自動移行は行われないため、新規展開は RCD を前提に設計するのが安全と言えそうです。
また、どちらの機能も検索・Copilotの横断インデックスの対象範囲を狭めるものであり、対象サイトのコンテンツを Copilot や組織全体検索の結果から除外する機能です。
言い換えると、「Copilot や全社検索で勝手に拾われない/要約されないようにする」ための設定であって、「権限を持つ利用者(やその委任エージェント)に参照させない」ためのものではない点にも注意が必要です。
最後に
SAM は、Copilot / Copilot Cowork が触れられる “領域” を縮小する入口対策です。DAG で過剰共有を可視化し、制限付き検索で安全に始める ―― これが過剰共有リスクへの最短ルートです。
次回は、人とエージェント双方の ID とアクセスを制御する Microsoft Entra ID を扱います。
🔐 Copilot セキュリティ設計シリーズの関連記事
Copilot のセキュリティは「誰が利用できるか」を管理するだけでは十分ではありません。情報保護、アクセス権管理、シャドー AI 対策を組み合わせることで、はじめて安全な運用を実現できます。今回ご紹介した SAMによるアクセス制御とあわせて、Copilot のセキュリティ設計に役立つ以下の記事もぜひご覧ください。
QUICK E-Solutionsでは、Microsoft 365 Copilotの導入・定着化支援から、セキュアなAI運用環境の構築まで、お客様のAI活用をトータルでサポートしております。
それ以外でも 様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
※Microsoft、Copilot Cowork、およびその他のMicrosoft製品は、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。
