<p><link href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/6.0.0/css/all.min.css" rel="stylesheet"/></p> <style> .tech-container { font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif; line-height: 1.6; color: #333; } .badge { background-color: #f8f9fa; border-left: 4px solid #0078d4; padding: 10px; margin-bottom: 20px; font-size: 0.9em; } h1 { color: #0078d4; border-bottom: 2px solid #0078d4; padding-bottom: 10px; } h2 { color: #2b579a; margin-top: 30px; border-left: 5px solid #2b579a; padding-left: 10px; } code { background-color: #f4f4f4; padding: 2px 5px; border-radius: 4px; font-family: 'Consolas', monospace; } .mermaid { margin: 20px 0; } </style> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Purview Insider Risk Management: AI不適切利用（Risky AI usage）の監視と制御</h1> <p>【導入】 生成AI利用時の機密情報漏洩や不適切なプロンプト入力を検知し、組織のデータガバナンスとコンプライアンスを強化します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>「Risky AI usage」機能は、Microsoft Purview Insider Risk Managementの一部として、Microsoft Copilotやサードパーティ製AI（ChatGPT、Bard等）へのデータ送信を可視化します。このアーキテクチャは、エンドポイント、クラウドアプリ（Defender for Cloud Apps）、およびMicrosoft 365の監査ログからシグナルを収集し、リスクスコアリング・エンジンで解析する構造となっています。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph Users U[Employee] -->|Prompt/Data| AI["Microsoft Copilot / 3rd Party AI"] end subgraph Security Controls AI -->|Signal: Sensitive Info| MDCA["Microsoft Defender for Cloud Apps"] AI -->|Signal: Audit Logs| M365["M365 Audit Log"] end subgraph Microsoft Purview MDCA --> IRM["Insider Risk Management"] M365 --> IRM IRM -->|Policy Match| Alerts["Risk Alerts & Investigation"] IRM -->|Optional| Adaptive["Adaptive Protection"] end subgraph Compliance Team Alerts --> Admin["Compliance / HR Manager"] end </pre></div> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>Insider Risk Managementの「Risky AI usage」インジケーターを有効化し、ポリシーを適用する手順を以下に示します。なお、本設定には Microsoft 365 E5 ライセンスが必要です。</p> <h3 class="wp-block-heading">1. 監査ログとインジケーターの有効化 (PowerShell)</h3> <p>Microsoft Graph PowerShellを使用して、監査ログの保持や管理ロールを確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graphへの接続 Connect-MgGraph -Scopes "RoleManagement.Read.Directory", "AuditLog.Read.All" # Insider Risk Management の管理者ロール割り当て確認 $RoleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Insider Risk Management Admins'" Get-MgRoleManagementDirectoryRoleAssignment -Filter "RoleDefinitionId eq '$($RoleDefinition.Id)'" # ※ インジケーターの具体的な有効化は現在Purviewポータル(GUI)から行うのが一般的です。 # [設定] > [インジケーター] > [Microsoft 365 インジケーター] > [生成 AI の使用] を ON にします。 </pre> </div> <h3 class="wp-block-heading">2. ポリシーの作成</h3> <ol class="wp-block-list"> <li><p>Purviewポータルで「Insider Risk Management」を選択。</p></li> <li><p>[ポリシー] > [ポリシーの作成] をクリック。</p></li> <li><p>ポリシーテンプレートで <strong>「Risky AI usage」</strong> （または「Generative AI リスク」）を選択。</p></li> <li><p>監視対象のユーザーまたはグループを指定。</p></li> <li><p>検知するインジケーター（機密データのAIへの貼り付け、大量のAI利用など）をカスタマイズ。</p></li> </ol> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <ul class="wp-block-list"> <li><p><strong>権限設計 (RBAC):</strong></p> <ul> <li><p><code>Insider Risk Management</code> ロールグループを使用。最小権限の原則に基づき、調査担当者 (Investigators) と管理者 (Admins) を分離します。</p></li> <li><p><strong>プライバシー保護:</strong> デフォルトで「ユーザー名の匿名化」を有効にし、コンプライアンス担当者が客観的な証拠に基づいて判断を下せるようにします。</p></li> </ul></li> <li><p><strong>条件付きアクセス:</strong></p> <ul> <li>Purviewポータルへのアクセスは、多要素認証 (MFA) と特権アクセス管理 (PIM) を必須とします。</li> </ul></li> <li><p><strong>境界セキュリティ:</strong></p> <ul> <li>Microsoft Defender for Cloud Apps と連携し、承認されていないAIアプリ（Shadow AI）へのアクセス自体をブロックする制御を併用します。</li> </ul></li> </ul> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <ul class="wp-block-list"> <li><p><strong>可観測性:</strong></p> <ul> <li><p><strong>Microsoft Sentinel 連携:</strong> <code>Office 365 Audit Logs</code> コネクタ経由でアラートを集約し、他のセキュリティインシデントと相関分析を行います。</p></li> <li><p><strong>アラートのトリアージ:</strong> False Positive（誤検知）を減らすため、最初の30日間は「学習期間」としてポリシーを「シミュレーションモード」で運用することを推奨します。</p></li> </ul></li> <li><p><strong>コスト削減のポイント:</strong></p> <ul> <li><p><strong>SKU:</strong> Microsoft 365 E5 または E5 Compliance Add-on が必要。アドオンでの購入により、全ユーザーではなく特定のリスク対象ユーザーのみにライセンスを割り当てる検討も有効です。</p></li> <li><p><strong>データ保持:</strong> Insider Risk のケースデータは 7年間保持されますが、ストレージコストを抑えるため、クローズされたケースのアーカイブ方針を策定してください。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>段階的な展開:</strong> 最初は全ユーザーではなく、開発部門や財務部門など、機密情報を扱う特定のグループからスモールスタートすること。</p></li> <li><p><strong>法規制とプライバシーの確認:</strong> 従業員監視に該当するため、日本の個人情報保護法や社内規程（労働組合との合意等）との整合性を法務部門と確認してください。</p></li> <li><p><strong>Adaptive Protection の活用:</strong> リスクレベルが高いと判定されたユーザーに対し、自動的に DLP (Data Loss Prevention) ポリシーで AI へのデータ送信を制限する「適応型保護」の導入を目指すと効果的です。</p></li> </ol>

graph TD
    subgraph Users
        U[Employee] -->|Prompt/Data| AI["Microsoft Copilot / 3rd Party AI"]
    end

    subgraph Security Controls
        AI -->|Signal: Sensitive Info| MDCA["Microsoft Defender for Cloud Apps"]
        AI -->|Signal: Audit Logs| M365["M365 Audit Log"]
    end

    subgraph Microsoft Purview
        MDCA --> IRM["Insider Risk Management"]
        M365 --> IRM
        IRM -->|Policy Match| Alerts["Risk Alerts & Investigation"]
        IRM -->|Optional| Adaptive["Adaptive Protection"]
    end

    subgraph Compliance Team
        Alerts --> Admin["Compliance / HR Manager"]
    end

# Microsoft Graphへの接続

Connect-MgGraph -Scopes "RoleManagement.Read.Directory", "AuditLog.Read.All"

# Insider Risk Management の管理者ロール割り当て確認

$RoleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Insider Risk Management Admins'"
Get-MgRoleManagementDirectoryRoleAssignment -Filter "RoleDefinitionId eq '$($RoleDefinition.Id)'"

# ※ インジケーターの具体的な有効化は現在Purviewポータル(GUI)から行うのが一般的です。


# [設定] > [インジケーター] > [Microsoft 365 インジケーター] > [生成 AI の使用] を ON にします。