セキュリティチームのぐっちーです。注目の生成AI関連サービス「Microsoft 365 Copilot」はまだ招待性のプライベートプレビュー中で、一般の方は利用できない状況ですが、先行して初期設定方法が公開されました。個人的には、マイクロソフトが公開前の製品の設定方法を先に公開することは珍しいように思いますが、今回のブログでは周辺情報や考察と共にまとめてみたいと思います。検証ブログ的なタイトルですが、コラムになります。
前提条件
- 本ブログで紹介する機能を利用するには「Microsoft 365 E3 or E5」と「Microsoft 365 Copilot ライセンス(仮)」の両方が必要となる予定となっています。[1]
- 「Microsoft 365 Copilot ライセンス(仮)」はまだ公開されておらず、日本での販売等についての情報も公開されていません。
ご注意
本ブログの内容は、2023年6月26日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
Microsoft 365 Copilot とは?
「Microsoft 365 Copilot」とは、GPT-4をTeams、Word、Excel、PowerPoint、OutlookなどのOfficeアプリケーションに組み込み、ユーザーの生産性を向上させることを目的としたソリューションです。[1] 従来、我々が利用していた Microsoft 365 のアドオンライセンスとして登場予定で、「Microsoft 365 E3」または「Microsoft 365 E5」を利用していると購入いただけます。
Microsoft 365 Copilot は組織の Microsoft 365 上のデータを参照した上で、ユーザーに応答を返すことができ、デモビデオを見る限り、以下のような使い方が想定されています。
| プロダクト | できること(デモ動画より) |
|---|---|
| Teams | 会議の議事メモを作成したり、チャットで指示を与えることでCopilotに組織のデータを探して来させて、要約して表示したりできるようになります。 |
| Word | 文章作成、編集、要約、作成を支援します。短いプロンプトを与えるだけで、Copilotは必要に応じて組織全体から情報を引き出してドラフトを生成します。 |
| Excel | データ分析やその後のグラフ化等の作業を支援してくれます。自然言語でCopilotに質問をすることで、相関関係を明らかにしたり、何かあった場合のシナリオを提案したり、あなたの質問に基づいた新しい数式を提案したりします。 |
| PowerPoint | ユーザーのアイデアを鮮やかなプレゼンテーションに変えるお手伝いをしてくれます。既存の書類をスピーカーノートとソース付きのスライドに変換したり、シンプルなプロンプトや、ユーザー自作のアウトラインから新しいプレゼンテーションのドラフトを生成することができます。画像生成にも対応しているので、PowerPointのデザイン作成にも対応する見込みです。 |
| Outlook | 返信の下書き等を書いてくれることで、メールの整理にかかる時間を減らし、より効率的にコミュニケーションを取ることができます。 |
Microsoft 365 Copilot の基盤はOpenAI社がホストするChatGPTではなく、 Azure OpenAI Service を利用しています。Azure OpenAI Service ではユーザーのデータを大規模言語モデルの強化のための学習に利用することはありません。 [2]
組織に Microsoft 365 Copilot を導入する手順
まだ Microsoft 365 Copilot のライセンスは購入することはできませんが、 ユーザーへの展開方法に関する情報が先行して公開されたので、公開されたドキュメントや動画を読み解いて、まとめていきます。
Step 1:アクセス権限のチェック・見直し
「Microsoft 365 Copilot とは?」で紹介した通り、Microsoft 365 Copilot は組織の Microsoft 365 上のデータを参照した上で、ユーザーに応答を返すという性質があります。
設計上、Microsoft 365 Copilot は、取得したコンテンツに対する既存アクセス許可を尊重し、アクセス許可を持つ情報に基づいてのみ回答を生成しますが、既存のアクセス範囲が誤っている場合は当然、見てはいけない情報がMicrosoft 365 Copilot を通じて、閲覧してしまう可能性があります。
そのため、マイクロソフト社が出す、ベストプラクティスでは Microsoft 365 Copilot を展開する前に、既存のデータのアクセス範囲が適切であるかをチェックすることが推奨されています。ちなみに、既存のデータのアクセス範囲が適切であるかをチェックする手法は様々ありますが、マイクロソフト社は以下のようなものを提供していたりします。
- Microsoft Purview https://learn.microsoft.com/en-us/azure/purview/
- Microsoft Syntex https://learn.microsoft.com/en-us/microsoft-365/syntex/
Step 2:Copilotの有効化とライセンスの割り当て
続いて、ライセンスを購入して、有効化・割り当てと進んでいきます。Microsoft 365 管理センターからセットアップを開始することができるようです。
続いて、製品別にガイダンスが表示されるので、それぞれの内容を確認して、次に進みます。
続いてライセンスの付与です。ユーザーやグループに対してライセンスを付与します。
最後に、ユーザーに通知のメール文章を確認して完了です。
機能は使えないのに、手順が先出しされたワケ(私見
機能は使えないのに、なぜ手順が先出しされるのか?という点を、私の考察を含めてまとめたいと思います。一言でいうと、「情報の誤った公開の”引き金(注:本質的な原因ではない)”となってしまう懸念があり、準備期間が必要だから」だと考えています。
前提:Microsoft 365 Copilot は 現時点のアクセス権限を引き継ぐ設計
先ほども述べた通り、Microsoft 365 Copilot は、Microsoft 365 上のコンテンツを読み込んで回答する際、ユーザーとしてアクセス許可を持つ情報に基づいてのみ回答するように作られています。そのため、既に厳格なアクセスコントロールを Microsoft 365 上で行っている組織に関しては、Microsoft 365 Copilot がやってきても、特に気にすることはありません。
現状のアクセス権限が誤っている場合、ユーザーがアクセスしてはならないデータを見つける「引き金」となる懸念
一方で問題となるのは現状のアクセス権限が誤っている場合です。例えば、経営機密が格納されたSharePointに一般従業員がメンバーとしているケースなどは論外ですが、「重要情報をTeamsチャンネルに貼り付けてそのままにしてしまう」ケースや、「個人情報を取り扱うSharePointがパブリックになっている」などはやりがちなのではと思います。Microsoft 365 Copilot を使うと、そのようなケースにおいて、「ユーザーがアクセスしてはならなかった*重要*かつ*休眠*しているデータ」を見つける”引き金”となる懸念があります。
また、個人情報の観点でいうと、個人情報が生成AIに読み込まれてしまうと、顧客との契約内容によっては、契約違反に相当する可能性があることも忘れてはいけません。Microsoft 365全体が生成AIに読み込まれることとなるため、自社の法務部門等と事前のすり合わせも重要になってくると思います。
Microsoft 365 Copilot(ChatGPT)によって、クラウドストレージの奥底で眠っていたデータを再び活用しやすくするのは、ビジネスを成功させる上での非常に大きな価値となります。それは素晴らしい側面ですが、物事には必ず二面性があり、特にエンタープライズなどではそれが負に作用してしまうケースのことも想定しなければなりません。
この問題は Microsoft 365 環境におけるアクセス管理の問題であり、本質的には Microsoft 365 Copilot に限った問題ではありません。「アクセス権限の誤り」が真の問題(リスク)であり、Microsoft 365 Copilot はリスクを保有している場合、そのリスクが顕在化する可能性を高めているに過ぎません。そのため、潜在的なリスクを取り除くことが非常に重要です。また、Microsoft 365 Copilot の導入可否に関わらず、データに対してのアクセス管理を適切に行えるように設計・運用するようにしましょう。
Microsoft 365 のアクセス権限はコントロールできていますか?
Microsoft 365 Copilot がパブリックになるのはいつになるかわかりません。そんな中、初期設定手順が公開されるのはマイクロソフト社の配慮だと私は勝手に考えています。手順が出てから実際に機能が利用できるようになるまでの期間は、マイクロソフト様からいただいた猶予期間(?)と捉えて、データの権限管理や流通経路の見直しをして、Microsoft 365 Copilot が登場してユーザーに展開しても事故らないように備えましょう。
おわりに
強力なツールには、それなりの副作用が付きものです。Microsoft 365 Copilot はまだ登場していませんが、強力なツールであることは間違いありません。今回は情シス部門やセキュリティ担当者が、登場の日に備えて準備を進められたらいいなと思い、このブログを書きました。僕も Microsoft 365 Copilot の登場が待ち遠しくて仕方がないですが、それに備えて色々研究したいと思います。
注釈
- Introducing Microsoft 365 Copilot—A whole new way to work https://www.microsoft.com/en-us/microsoft-365/blog/2023/03/16/introducing-microsoft-365-copilot-a-whole-new-way-to-work/
- Data, Privacy, and Security for Microsoft 365 Copilot https://learn.microsoft.com/en-us/DeployOffice/privacy/microsoft-365-copilot
参考文献
- Get started with Microsoft 365 Copilot https://learn.microsoft.com/en-us/microsoft-365/admin/copilot/m365-copilot-setup?view=o365-worldwide&branch=pr-en-us-21084
- How to prepare for Microsoft 365 Copilot https://techcommunity.microsoft.com/t5/microsoft-365-copilot/how-to-prepare-for-microsoft-365-copilot/ba-p/3851566
- Microsoft 365 Copilot の準備をする方法 https://www.youtube.com/watch?v=oeX0lsMA69U
- Introducing the Microsoft 365 Copilot Early Access Program and new capabilities in Copilot https://www.microsoft.com/en-us/microsoft-365/blog/2023/05/09/introducing-the-microsoft-365-copilot-early-access-program-and-new-capabilities-in-copilot/
- How Microsoft 365 Copilot works https://www.youtube.com/watch?v=B2-8wrF9Okc
- Introducing Microsoft 365 Copilot with Outlook, PowerPoint, Excel, and OneNote https://www.youtube.com/watch?v=ebls5x-gb0s
- Semantic Index for Copilot: Explained by Microsoft https://www.youtube.com/watch?v=KtsVRCsdvoU
- Microsoft 365 Copilot community
