本記事をご覧のみなさま、こんにちは。DXソリューション営業本部の青木です。

前回のCopilot for Microsoft 365のセキュリティ編(第3回)では、Teams上のやり取りやファイルの取り扱いに関するセキュリティについてご説明させて頂きました。
※前回の記事については以下リンクを参照

Copilot for Microsoft 365 組織内における情報の保護 (Teams上のチャットやファイルに関するセキュリティ上の考慮ポイント)

今回は第4回として、Copilotでファイルを扱う際のよりセキュアな構成として、ファイルの暗号化についてご紹介したいと思います。

Copilotとファイルの暗号化

前回の記事でもご紹介いたしましたが、Copilot for Microsoft 365ではアクセス権を適切に設定していない場合には意図しないユーザーへのデータが公開されることになり、セキュリティ・コンプライアンスの面から問題が発生する可能性が高まります。
また、アクセス権が正しく設定される場合であってもユーザー側の人的ミスによって意図しないユーザーへデータが公開されてしまう可能性もありますね。

そこで、アクセス権だけではなくファイル自体の暗号化を設定することで、意図しないユーザーへの公開が行われたとしてもユーザーやCopilotからはデータの中身が読み取れなくなるため、よりセキュアな構成をとることが可能になります。
ファイルの暗号化は社内はもちろん、社外へのデータ流出時にも効果がある施策になりますので、Copilotを導入予定がない方も是非ご確認頂ければと思います。

ファイル暗号化ソリューション

ファイルの暗号化を行うソリューションは多く存在していますが、今回はMicrosoft社が提供するファイル暗号化ソリューションであるAzure Information Protectionについてご紹介したいと思います。

Azure Information Protection(AIP)とは

AIPとは、企業内の機密情報について検出・分類・保護・管理を行うためのソリューションです。
基本的には「秘密度ラベル」と呼ばれるラベルを用意し、文書ファイルやメール等の組織のデータに対して適した「秘密度ラベル」を適用することでアクセス権の管理やデータの保護を行う、といったものになります。
「秘密度ラベル」を適用されたファイルは暗号化され、アクセス権を持つユーザー以外ではデータを参照することが出来なくなるため、セキュリティ・コンプライアンスの対策が可能となります。

※AIPについては是非こちらの記事もご覧ください。

Azure Information Protection(AIP)を試してみた

【2023年版】Azure Information Protection(AIP)を試してみた

【秘密度ラベルの設定画面】

画像のように組織の必要に応じた秘密度ラベルを作成し、対応するファイルにラベルを適用することでファイルの暗号化を行うことが可能。


【ラベルを適用する際の画面】

専用クライアントを利用し、ファイルの内容に応じたラベルの適用とアクセス権の設定が同時に可能。
また、社外ユーザーと共有する場合にはカスタムアクセス許可として個別の社外ユーザーを設定することもできる。


ちなみに、AIPを利用する場合あまり意識する必要はありませんが、ファイルの暗号化自体はAzure Rights Management(Azure RMS)という機能が利用されています。

Azure Rights Management(Azure RMS)とは

Azure RMSとは、AIPによって利用されるクラウドベースの保護テクノロジです。
元々はオンプレのソリューションとしてActive Directory Rights Managementとして存在していましたが、こちらをクラウドベースのソリューションにしたものととらえて頂いて問題ないと思います。

Azure RMSは単体で利用することもできますが、アクセス権の設定をOfficeアプリから設定する必要があったり保護テンプレートを用意したりとAIPよりも管理に手間がかかるため、基本的にはAIPを利用することが望ましいと思われます。

【Azure RMSのアクセス権設定画面】


Azure RMS単体で設定する場合、対応するOfficeアプリからファイルを開いてアクセスを許可するユーザーを設定する必要がある。

AIP / Azure RMSの活用方法

上にも記載しましたが、これらのファイル暗号化ソリューションでは組織内の機密データ(Officeファイルやメール、メールの添付ファイル等)に対して暗号化を行い、指定したユーザーのみファイル内を参照可能に設定することが可能です。
また、Sharepoint Onlineのドキュメントライブラリに対してAzure RMSを既定で設定することが可能なため、特定のSPOサイト上のファイルはとにかく暗号化させたいという場合にはこういった機能を活用することも可能です。


【SPO上のAzure RMS設定画面】

ファイルのダウンロード後の挙動(印刷やコピーへの編集可否等)についても設定することが可能。


さらに、Microsoft 365 E5等に付随するAzure Information Protection Plan2ライセンスがある場合には以下のような自動ラベル付けを実施することも可能となります。

• SPO上のサイトに対して既定のラベルを設定し、自動的にファイル暗号化・アクセス制御を行う
• 特定の文言が含まれる場合に機密情報として扱う等のルールを作成し、ファイルに対して適したラベルを自動的に適用する

社外ユーザーとの共有検証

せっかくなので、AIPのラベル付けを利用して社外ユーザーとファイルの共有を行ってみました。
まずは、社外秘のファイルとして組織内のユーザーにのみアクセス権を付与するラベルを適用します。


この状態のまま社外のユーザーに対してファイルを共有しても、社外のユーザーのアカウントではアクセス権がないため中身を見ることが出来ません。


次は関係者限定として、社外のユーザーもカスタムのアクセス許可に追加して同様にファイルを共有してみます。


今度はアクセス権を持っているため、ファイルを開くことが出来ました。


このように、ラベルに設定されたアクセス許可ユーザーの範囲、またはカスタムのアクセス許可の範囲でのみファイルを参照できるようになるため、不注意やミスによるデータの流出を防ぐことが出来ますね。

ファイル暗号化を行った際のCopilot検証

それでは本題であるCopilotでの検証として、実際に暗号化したファイルについてCopilotで検索してみました。
今回はファイルの暗号化の有無を確認したいため、あえてパブリックチームで検証を行いました。

【ファイル格納時の画面】

パブリックチームにて、「暗号化あり」「暗号化なし」「暗号化あり(アクセス権あり)」の3つのファイルを共有してCopilotで検索を実施。


結果としては前回と同じくアクセス権を持たないユーザーから実行したCopilotではファイルが参照できなかったため、期待通りの動作となりました。
また、同じファイルでもアクセス権を持つユーザーであればCopilotからファイルの参照が可能になっています。

【検索結果】

アクセス権がある「暗号化なし」「暗号化あり(アクセス権あり)」の二つのファイルだけが検索結果として返されている。
暗号化されているファイルについては、AIPで設定したラベル情報についても情報が出力される。

まとめ

生成AIがビジネスにおいても大きな役割を持つ一方で、セキュリティやコンプライアンスの面では考慮が必要になるポイントが増加しています。
今回ご紹介したファイルの暗号化ソリューションはCopilotにおけるセキュリティはもちろん、社外のユーザーとのファイルの共有、社外へのデータの流出リスクの観点からも導入することが望ましいソリューションではないかと考えています。

弊社ではAIP / Azure RMSを活用したよりセキュアな環境構築についてもご支援させて頂きますので、Copilotを導入したいけれどもセキュリティ面が気になる方、社外とのデータのやり取りに課題を抱えている方はぜひお問合せフォームからご連絡下さい。
お問合せフォーム

また、弊社ではゼロトラストセキュリティの導入支援も行っております。
そちらも気になる方はぜひご連絡お待ちしております。
ゼロトラスト・セキュリティ 導入支援(Microsoft Intune【デバイス管理】

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。