Copilot for Microsoft 365 導入を成功させるために

以前の担当者コラム記事でも解説したようにCopilot for Microsoft 365は Microsoft の企業向けAIサービスです。自然言語（チャット）を用いて Microsoft 365 のオフィスアプリケーションを操作したり、文書を作成したりすることができます。
OpenAI社が開発した最新技術の大規模言語モデル GPT-4 が搭載されており、高度な AI 機能が利用できます。また企業の業務での利用を想定したサービスとなっており、AI が利用する企業内のデータは外部に漏れないよう保護されています。さらに使い慣れた Microsoft Office のアプリケーション、Microsoft 365 のサービスと統合されていてすぐに使い始められ、大幅な生産性の向上が実現できます。

Copilot for Microsoft 365は Office アプリや Microsoft 365 サービスから利用するだけでなく、会社内のデータと Web 上のデータの両方にアクセスできる独立した AI チャットとして利用することもできます。

Copilot の価値を真に発揮させるためには、Microsoft 365 環境での事前準備が重要です。
逆に準備を怠ると Copilot が十分に活用されないだけでなく、情報漏洩などのインシデントを引き起こしてしまうリスクさえあります。

具体的に、Copilot 導入で欠かせない重要な準備は、以下の2つです。
・業務基盤のクラウド化
・コンテンツ権限管理
これらについて詳しく見ていきましょう。

Copilot for Microsoft 365 では、Microsoft 365 の検索機能（Microsoft Search）で検索可能なコンテンツが利用可能です。コンテンツがないと、Copilot for Microsoft 365 は有効に機能しません。

Microsoft 365 に保存されている以下のようなコンテンツが豊富なほど、Copilot の効果は大きくなります。
・Exchange Online のメールメッセージ
・OneDrive for Business や SharePoint Online に保存されているファイル
・Teams でのチャットやメッセージ、会議の記録（トランスクリプト）

そのため Copilot の真価を発揮させるには
・外部のメールサーバーではなく Exchange Online を利用する
・オンプレミスのファイルサーバーではなく OneDrive for Business や SharePoint Online を利用する
・メッセージのやり取りや会議・ミーティングは Teams を利用する
といった Microsoft 365 の活用＝業務基盤のクラウド化が欠かせません。

Copilot for Microsoft 365 は上記のような Microsoft 365 内のコンテンツにアクセスしてユーザーの作業を手助けしますが、どのようなコンテンツにでもアクセスできるわけではありません。
Copilot for Microsoft 365 は会社の既存のアクセス許可とポリシーを活用し、最も有意義な情報を提供します。そのため Copilot for Microsoft 365 がアクセスできるコンテンツは、利用しているユーザーが（少なくとも表示の）アクセス権を持っているものだけです。
つまりユーザーが通常の Microsoft 365 アプリケーションやサービスから利用できないものは、Copilot for Microsoft 365 からも利用できません。
ただしユーザーが普段利用しないような場所、見つけられないような場所にあるコンテンツでも Copilot for Microsoft 365 は Microsoft 365 の検索機能を利用するため、見つけ出して、ユーザーにその内容を示すことができます。
つまりコンテンツの権限管理が適切に行われていないと、ユーザーがアクセスすべきでない情報にアクセスできてしまい、情報漏洩が発生します。
以下の例では、

・人事情報を扱うチームのファイルに人事計画のドキュメントが保存されている
・ユーザーは人事情報を扱うチームに所属していない
・人事情報を扱うチームが「パブリック」になっている

という状態です。
この状態ではユーザーが直接所属していないチームであっても、そのチームが「パブリック」であるためチームに保存されている情報を Copilot が見つけることができます。Copilot はそのようにして見つけたドキュメントを利用した回答を行います。

そのため、Copilot for Microsoft 365 を導入するにあたっては、以下のようなさまざまな観点から情報漏洩のリスクがないか確認し、継続的にモニタリングし続ける必要があります。
・OneDrive for Business や SharePoint Online のファイルの共有権限が適切か
・SharePoint サイトの共有設定が適切か
・外部ゲストユーザーの招待状況やアクセス権は適切か
・Teams や SharePoint サイトのメンバーシップは適切か

ここまでの説明のように、Copilot for Microsoft 365 の導入と活用には業務データのクラウド化とそのコンテンツ権限管理が重要です。
Microsoft からもデータのクラウド化やコンテンツの権限管理のためのツールやサービスが提供されていますが、今回はこれらのツールやサービスの機能を補完できるAvePoint のソリューションをご紹介します。

業務基盤のクラウド化では、オンプレミスのさまざまなコンテンツデータを Microsoft 365 に移行できる AvePoint FLY が利用できます。またクラウド化されたコンテンツをバックアップして安全に保護するのに AvePoint Cloud Backup が利用できます。さらにクラウド上のコンテンツの権限やクラウド利用者のメンバーシップと権限を継続的に監視し管理するのに AvePoint Policies & Insights が利用できます。

AvePoint FLYは、Microsoft 365へのデータ移行を支援するツールです。FLYには、オンプレミスのファイルサーバーやメールサーバー、他のクラウドプラットフォームからMicrosoft 365へデータを移行するプロジェクトをスムーズに進めるための機能が搭載されています。

FLY は単にデータをコピーするだけでなく、事前のアセスメントから移行後の振り返りまで、移行プロセス全体をサポートしています。

また、FLYは移行時のリスク事項を検出し、自動的に修正することができます。これにより、アクセス権限の変更やURLの変更、禁則文字によるエラー、長すぎるファイル名、深すぎるフォルダー階層などの問題を回避することができます。

このように、AvePoint FLYを使用することで、データ移行プロジェクトをよりスムーズかつ安全に進めることができると言えます。

Microsoft 365 を利用している場合でも、多くの企業がデータ損失のインシデントを経験しています。これは災害やサイバー攻撃によるものもありますが、それ以上にユーザーや管理者の誤操作が原因となっています。つまりデータ損失はどのような企業にも起こりうるインシデントです。

クラウド上のデータは利用者の所有物として扱われますので、その保護は利用者の責務です。データ損失への対策は利用者の側で行う必要があります。
このようなクラウド上のデータの保護の考え方は最新の ISMS（ISO27001:2022）にクラウド利用時のセキュリティ要件として新規に盛り込まれています。ISMS 認証取得企業はもちろん、そうでない企業でもクラウド上のデータ保護を適切に行うことが必須となっています。

AvePoint Cloud Backupは、Microsoft 365のデータを保護するためのクラウドベースのバックアップソリューションです。このツールは、Exchange Online、SharePoint Online、OneDrive for Business、Teams、およびその他のMicrosoft 365サービスのデータを自動的にバックアップします。

AvePoint Cloud Backupを利用するメリットとして、次のようなものがあります。
・データ保護：Microsoft 365のデータを災害やユーザーエラー、サイバー攻撃などから保護します。
・コンプライアンスの確保：データ保管と復元のプロセスが確立され、コンプライアンス要件を満たすことができます。
・時間とコストの削減：データのバックアップと復元が自動化されるため、手動での作業が不要になり、時間とコストが削減されます。

Microsoft 365 では保存されているコンテンツに対してサイト単位・フォルダー単位・ファイル単位で共有権限を設定でき、また権限を付与する対象もグループ単位・ユーザー単位で設定できます。このため権限管理の仕組みが複雑で、十分な管理ができず、情報漏洩のリスクが放置されてしまうことが起こりがちです。
Copilot for Microsoft 365 はユーザーにアクセス権限があるコンテンツを見つけ出すので、このようなリスクが顕在化する可能性が大きくなります。

AvePoint Policies & Insightsは、複雑になりがちな Microsoft 365 の権限管理について、問題の検知から修正までワンストップで情報漏洩リスクを管理できるツールです。
潜在的なリスクを自動検知し、そのリスクが本当に問題かどうかを判断し、その場でリスクを修正することができます。

例えば、テナント内匿名リンクが作られた、外部ユーザーへの共有リンクが作られた、全てのユーザーへの共有リンクが作られた、大規模なグループへの共有リンクが作られた、などのリスクのある共有リンクが増えた際にアラート通知が行われます。

こうした共有リンクのリスクは Policies & Insights ですぐに修正することができます。また Teams のチームには所属していないのに、そのチームと紐づけられた SharePointサイトにアクセス権がある「シャドーユーザー」を検知し、自動でアクセス権を修正することもできます。

このように Policies & Insights を利用することには以下のようなメリットがあります。
・セキュリティ強化：情報漏洩のリスクを自動的に検知し、修正することができるため、情報セキュリティが強化されます。
・管理の容易さ：リスクの検知から修正までがワンストップで行えるため、管理が容易になります。

Copilot for Microsoft 365 は生産性を高め、効率的なコミュニケーションを実現する非常に強力なサービスです。しかしこれを安全かつ効果的に利用するには、業務基盤とそのコンテンツを Microsoft 365 に集約し、コンテンツの権限管理を適切に行う必要があります。
この記事でご紹介した3つのサービスについては、こうした目的のために皆様の環境に応じて必要なものをご選択ください。

AvePoint FLY では既存の多様なコンテンツを、アクセス権を保持したまま Microsoft 365 に移行することができます。他のクラウドプラットフォームやオンプレミスからの移行を成功させるために、FLY の利用をご検討ください。
AvePoint Cloud Backup では Microsoft 365 のコンテンツを自動的にバックアップします。誤操作や不慮の事故、サイバー攻撃などによるデータ損失からのコンテンツの保護に、Cloud Backup の利用をご検討ください。
AvePoint Policies & Insights は、標準の Microsoft 365 の機能では実現が難しいさまざまな権限管理の機能を搭載しています。適切な権限管理を行うことで情報漏洩リスクを低減するために、是非 AvePointのPolicies & Insightsの活用をご検討ください。

いずれのサービスも無償トライアルが可能です。ぜひ当社担当営業までご相談ください。