<p><!-- style_prompt: senior_cloud_architect_v1 --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Purview Insider Risk Management による生成AIの不適切利用（Risky AI usage）監視の自動化</h1> <h2 class="wp-block-heading">【導入】</h2> <p>生成AI利用に伴う機密情報流出リスクを、Purviewのインサイダーリスク管理で可視化し、組織の安全なAI活用とガバナンスを両立します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>本ソリューションは、Microsoft Purview AI Hub を起点とし、Copilot for Microsoft 365 やブラウザ経由の主要な生成AI（ChatGPT, Claude等）の利用アクティビティを収集します。Insider Risk Management (IRM) の「Risky AI usage」インジケーターがこれらの信号を解析し、リスクスコアを算出します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ユーザー"] -->|Copilot利用| B["Microsoft 365 Services"] A -->|Webブラウザ| C["生成AIサイト / ChatGPT等"] B -->|アクティビティ信号| D["Purview AI Hub"] C -->|Microsoft Purview 拡張機能| D D -->|AI利用分析| E["Insider Risk Management"] E -->|ポリシー違反検知| F["Risky AI usage アラート"] F -->|調査/対応| G["コンプライアンス管理者"] E -.->|自動制限| H["適応型スコープ / 条件付きアクセス"] </pre></div> <h3 class="wp-block-heading">構成要素の解説</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Purview AI Hub</strong>: AI利用状況の一元的な可視化と、機密データを含むプロンプトの検出を担います。</p></li> <li><p><strong>Insider Risk Management (IRM)</strong>: AIに対する過度な機密情報の投稿、または不適切なプロンプトの使用など、ユーザー行動のコンテキストを分析します。</p></li> <li><p><strong>Microsoft Purview 拡張機能</strong>: ブラウザ上でのサードパーティAIサービス利用をエンドポイントレベルで監視します。</p></li> </ul> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>IRMの「Risky AI usage」を有効化するには、まず監査ログの有効化と適切なロール付与が必要です。</p> <h3 class="wp-block-heading">1. 前提条件の構成（PowerShell）</h3> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graph Beta モジュールを使用 Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory", "AuditLog.Read.All" # 監査ログの有効化確認（グローバル） Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true # Insider Risk Management 管理者ロールの割り当て (例: Compliance Administrator) # ※実際にはコンプライアンスポータルでのロールグループ操作を推奨 </pre> </div> <h3 class="wp-block-heading">2. IRMポリシーの構成（Bicep案）</h3> <p>※2024年現在、IRMポリシーの詳細設定はGUIまたはMicrosoft Graph API（Beta）経由が主流ですが、リソース定義の概念を示します。</p> <pre data-enlighter-language="generic">// IRMポリシーで監視するAIインジケーターの有効化（概念コード） resource irmAiPolicy 'Microsoft.Purview/accounts/insiderRiskPolicies@2023-10-01-preview' = { name: 'RiskyAIUsagePolicy' properties: { indicators: [ 'MicrosoftCopilotPromptSensitivity' 'ThirdPartyAiSensitiveDataExfiltration' ] templateId: 'RiskyAIUsageTemplate' } } </pre> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <ul class="wp-block-list"> <li><p><strong>RBAC設計</strong>: </p> <ul> <li><p><code>Insider Risk Management Admin</code>: ポリシー作成用。</p></li> <li><p><code>Insider Risk Management Investigator</code>: アラートの詳細およびユーザー特定情報の閲覧用（プライバシー保護のため分離）。</p></li> </ul></li> <li><p><strong>プライバシー設定</strong>: </p> <ul> <li>既定でユーザー名は匿名化されます。法的要件に基づき、特定の承認フローを経て実名を公開する設定を推奨します。</li> </ul></li> <li><p><strong>条件付きアクセス</strong>: </p> <ul> <li>リスクレベルが高いと判定されたユーザーに対し、Microsoft Entra ID のユーザーリスクと連携し、AIサービスへのアクセスを自動的に一時停止する構成が可能です。</li> </ul></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: </p> <ul> <li><code>Office365ManagementAPI</code> を通じてログを Azure Log Analytics に転送し、長期保存と Sentinel での相関分析を実施します。</li> </ul></li> <li><p><strong>コスト最適化 (SKU)</strong>:</p> <ul> <li><p>本機能には <strong>Microsoft 365 E5/A5/G5</strong> または <strong>Microsoft 365 E5 Compliance/Insider Risk Management</strong> アドオンが必要です。</p></li> <li><p>すべてのユーザーではなく、開発部門や財務部門など、機密データを扱う特定の「適応型スコープ（Adaptive Scopes）」に絞ってポリシーを適用することで、ライセンスコストとノイズを最適化します。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>AI Hubとの連携</strong>: 単なるブロックではなく、AI Hubで「何を」入力しているかを可視化することがIRM精度の鍵となります。</p></li> <li><p><strong>ノイズの最小化</strong>: 最初は「分析モード（ログのみ）」で運用し、組織の標準的なAI利用パターンを学習させてからアラート閾値を調整してください。</p></li> <li><p><strong>落とし穴（注意点）</strong>: ブラウザ拡張機能が未導入の場合、Web版ChatGPT等の監視が漏れる可能性があります。Microsoft Defender for Endpoint との統合によるデバイスレベルの監視を併用してください。</p></li> </ol>

graph TD
    A["ユーザー"] -->|Copilot利用| B["Microsoft 365 Services"]
    A -->|Webブラウザ| C["生成AIサイト / ChatGPT等"]
    B -->|アクティビティ信号| D["Purview AI Hub"]
    C -->|Microsoft Purview 拡張機能| D
    D -->|AI利用分析| E["Insider Risk Management"]
    E -->|ポリシー違反検知| F["Risky AI usage アラート"]
    F -->|調査/対応| G["コンプライアンス管理者"]
    E -.->|自動制限| H["適応型スコープ / 条件付きアクセス"]

# Microsoft Graph Beta モジュールを使用

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory", "AuditLog.Read.All"

# 監査ログの有効化確認（グローバル）

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

# Insider Risk Management 管理者ロールの割り当て (例: Compliance Administrator)


# ※実際にはコンプライアンスポータルでのロールグループ操作を推奨

// IRMポリシーで監視するAIインジケーターの有効化（概念コード）
resource irmAiPolicy 'Microsoft.Purview/accounts/insiderRiskPolicies@2023-10-01-preview' = {
  name: 'RiskyAIUsagePolicy'
  properties: {
    indicators: [
      'MicrosoftCopilotPromptSensitivity'
      'ThirdPartyAiSensitiveDataExfiltration'
    ]
    templateId: 'RiskyAIUsageTemplate'
  }
}