<p><style_prompt> [Identity: Senior Cloud Architect] [Logic: Integration of Microsoft Purview Insider Risk Management and GenAI Governance] [Focus: Zero Trust, Compliance, Security Orchestration] </style_prompt></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Purview Insider Risk Management による「AIの不適切利用」監視とガバナンスの実装</h1> <h2 class="wp-block-heading">【導入】</h2> <p>GenAI普及に伴う機密情報漏洩リスクを、Microsoft Purviewの新指標で早期検知し、組織の安全なAI活用とガバナンスを両立します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>本ソリューションは、Microsoft 365 Copilot およびサードパーティ製AIサイト（ChatGPT等）へのブラウザアクセスからシグナルを収集します。収集されたデータは、Purview Insider Risk Management（IRM）の分析エンジンによって「Risky AI usage」指標に基づきスコアリングされ、管理者へアラートを発報します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Data Sources" A["Microsoft 365 Copilot"] -->|Activity Logs| D B["Web Browsers / Edge & Chrome"] -->|Purview Extension| D C["Endpoint Devices"] -->|Endpoint DLP| D end subgraph "Purview Engine" D["Insider Risk Management"] D --> E{"Risk Scoring"} E -->|High Risk| F["Alert / Case Management"] E -->|AI Policy| G["Risky AI usage Indicators"] end subgraph "Actionable Insights" F --> H["Legal/HR Review"] F --> I["Conditional Access / Remediation"] end </pre></div> <h3 class="wp-block-heading">構成コンポーネントの役割</h3> <ul class="wp-block-list"> <li><p><strong>Risky AI usage indicators</strong>: プロンプトへの機密情報入力や、AIからの回答に含まれる機密データの不適切な取り扱いを検知する専用のシグナル群。</p></li> <li><p><strong>Microsoft Purview Extension</strong>: ブラウザベースのAIツール利用を監視するためのエージェント。</p></li> <li><p><strong>Analytics Engine</strong>: ユーザーのベースライン（平常時の行動）と比較し、異常なAI利用パターンを識別。</p></li> </ul> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>「Risky AI usage」を有効化するには、まずグローバル設定でインジケーターを有効にし、その後にポリシーを作成します。</p> <h3 class="wp-block-heading">1. インジケーターの有効化 (PowerShell 例)</h3> <p>※現時点では、IRMのポリシー詳細設定はGUIまたはMicrosoft Graph API (Beta) が主ですが、前提となる監査ログ設定を確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Exchange Online / Security & Compliance への接続 Connect-IPPSSession # 組織全体の監査ログが有効であることを確認 Get-AdminAuditLogConfig | Select-Object UnifiedAuditLogIngestionEnabled # (概念) インサイダーリスクのインジケーター設定は現在コンソールまたはGraph APIが推奨 # 以下はポリシー作成後の確認イメージ Get-InsiderRiskPolicy -Identity "AI-Risk-Policy" </pre> </div> <h3 class="wp-block-heading">2. ポリシーの作成 (Microsoft Purview ポータル)</h3> <ol class="wp-block-list"> <li><p><strong>[Insider risk management]</strong> > <strong>[Policies]</strong> > <strong>[Create policy]</strong> を選択。</p></li> <li><p><strong>[Risky AI usage]</strong> テンプレート（プレビューまたは標準提供）を選択。</p></li> <li><p><strong>[Indicators]</strong> セクションで以下を選択：</p> <ul> <li><p><em>Generative AI prompts with sensitive data</em></p></li> <li><p><em>Sensitive data exfiltration to GenAI sites</em></p></li> </ul></li> <li><p><strong>[Real-time analytics]</strong> を有効化し、アラートのしきい値を設定。</p></li> </ol> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <h3 class="wp-block-heading">権限設計 (RBAC)</h3> <ul class="wp-block-list"> <li><p><strong>Insider Risk Management</strong>: ポリシーの作成・管理。</p></li> <li><p><strong>Insider Risk Management Investigators</strong>: アラートの詳細およびユーザー活動の調査（最小特権）。</p></li> <li><p><strong>Insider Risk Management Auditors</strong>: 監査ログの確認。</p></li> </ul> <h3 class="wp-block-heading">セキュリティ境界</h3> <ul class="wp-block-list"> <li><p><strong>難読化 (Pseudonymization)</strong>: 初期調査段階ではユーザー名を匿名化し、プライバシーを保護します。</p></li> <li><p><strong>条件付きアクセス (Microsoft Entra ID)</strong>: 高リスクと判定されたユーザーに対し、一時的にAIサービスへのアクセスを制限するフローを構成可能です。</p></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <h3 class="wp-block-heading">可観測性</h3> <ul class="wp-block-list"> <li><p><strong>Log Analytics</strong>: IRMのアラートを Microsoft Sentinel にストリーミングし、SOCチームによる統合監視を実現。</p></li> <li><p><strong>Content Explorer</strong>: どのような機密情報がAIに入力されたかを特定するために使用。</p></li> </ul> <h3 class="wp-block-heading">コスト最適化 (SKU選定)</h3> <ul class="wp-block-list"> <li><p><strong>必須ライセンス</strong>: Microsoft 365 E5、E5 Compliance、または E5 Insider Risk Management アドオン。</p></li> <li><p><strong>ポイント</strong>: IRM自体にログ保存容量の追加コストは発生しませんが、E5ライセンスの投資対効果（ROI）を最大化するため、DLPやAdaptive Protectionと連携させた自動防御の構築を推奨します。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>ライセンス要件</strong>: 本機能には Microsoft 365 E5 または同等のアドオンが必須です。</p></li> <li><p><strong>プライバシーへの配慮</strong>: 監視の実施にあたっては、法務・人事部門と連携し、匿名化設定（Pseudonymization）の運用ポリシーを定義してください。</p></li> <li><p><strong>チューニングの重要性</strong>: 初期導入時は「Analytics mode」で運用し、組織固有のAI利用パターンに合わせてしきい値を調整（Fine-tuning）しないと、アラート疲れを招く恐れがあります。</p></li> </ol>

graph TD
    subgraph "Data Sources"
        A["Microsoft 365 Copilot"] -->|Activity Logs| D
        B["Web Browsers / Edge & Chrome"] -->|Purview Extension| D
        C["Endpoint Devices"] -->|Endpoint DLP| D
    end

    subgraph "Purview Engine"
        D["Insider Risk Management"]
        D --> E{"Risk Scoring"}
        E -->|High Risk| F["Alert / Case Management"]
        E -->|AI Policy| G["Risky AI usage Indicators"]
    end

    subgraph "Actionable Insights"
        F --> H["Legal/HR Review"]
        F --> I["Conditional Access / Remediation"]
    end

# Exchange Online / Security & Compliance への接続

Connect-IPPSSession

# 組織全体の監査ログが有効であることを確認

Get-AdminAuditLogConfig | Select-Object UnifiedAuditLogIngestionEnabled

# (概念) インサイダーリスクのインジケーター設定は現在コンソールまたはGraph APIが推奨


# 以下はポリシー作成後の確認イメージ

Get-InsiderRiskPolicy -Identity "AI-Risk-Policy"