背景
Copilotに関するご質問を頂くことが多くなりましたが、あれにもこれにもCopilotって出てきていて何が何だかわからない、というお声をいただきます。
企業の情シス担当者目線で偉い人からCopilot展開したいってときにとりあえず何から手をつけたら良いかというお話です。今回は第2回です。
Copilotを組織に展開するために ~商用データ保護を理解する~
注意
このドキュメントは2024年3月19日現在の情報や検証結果をもとに作成しています。Copilot for Microsoft 365は機能更新が随時行われているため、最新情報は以下のURLやMicrosoft社の公開情報もご確認ください。
今回のお題
前回はCopilot導入の三つのポイントのうち、「商用データ保護」について説明しました。今回は残り二つ、すなわちMicrosoft Copilot for Microsoft 365について解説します。
- 商用データ保護
- Microsoft 365 Apps上での利用
- Exchange Online/SharePoint Online/OneDriveなどのクラウド上に保存されたデータとの連携
とくにCopilotがExchange Online/SharePoint Online/OneDrive for BusinessなどのMicrosoft 365上に保存されたデータを安全に参照する仕組みについて解説しますが、ちょっと難解な話になります。
前提:Copilot とCopilot for Microsoft 365の違い
まずは今話題のCopilot for Microsoft 365(正式名称:Microsoft Copilot for Microsoft 365)とCopilot(正式名称:Microsoft Copilot)の違いについて簡単に解説します。
前回ご紹介したWebUIベースのCopilotは、検索エンジンであるBingが取得しているインターネット上の公開情報をもとに回答を生成する仕組みです。商用データ保護の有無はあれど公開情報をもとに回答を生成していることには変わりありません。
一方で自社組織のもつ情報をもとに回答を生成して欲しい場合に利用するのがMicrosoft Copilot for Microsoft 365です。自社のドキュメントやナレッジ、メールや予定、その他Microsoft 365上に蓄積された様々な情報をもとに回答を生成してくれるなら、より業務やビジネスに有益な結果をもたらしてくれるというわけです。
このような個別の外部情報ソースを接続して生成AIの生成結果を改善するアプローチを「グラウンディング(Grounding)」と呼び、その中でよく使われている仕組みが「RAG(Retrieval-Augmented Generation:検索拡張生成)」と呼ばれるものです。Microsoft Copilot for Microsoft 365は自組織のMicrosoft 365テナントとのグラウンディングとRAGを簡単に行えるのが特徴です。
Microsoft Copilot for Microsoft 365の機能
Microsoft Copilot for Microsoft 365で利用できる機能は大きく分けると以下二つです。この後でこの二つについて説明していきます。
- Microsoft 365の各サービスやアプリから生成AI機能を呼び出せるMicrosoft 365 AppsデスクトップアプリやMicrosoft 365の各WebアプリUI上からCopilotを呼び出してアプリ上の処理の代行やアプリのデータをもとに回答を生成できる
自社のMicrosoft 365テナント内のデータをソースとして安全に生成AIを利用できる
- 自社のMicrosoft 365テナント内のメール、カレンダー、ドキュメントを参照し、生成AIを利用して様々な活用ができる
- その際のCopilotへの質問および回答は自社のMicrosoft 365テナント外部に流出しない
必要ライセンス
Microsoft Copilot for Microsoft 365はMicrosoft 365のアドオンライセンスとなり、単体では機能しません。
現在の対応プランは以下の通りで、最低ライセンス数量制限は2024年1月に撤廃されています。
- Microsoft 365 E3 / E5
- Office 365 E3 / E5
- Microsoft 365 Business Standard / Business Premium
- Microsoft 365 A3 / A5
- Office 365 A3 / A5
Microsoft 365の各サービスやアプリから生成AI機能を呼び出せる
こちらは弊社ブログでもすでにご紹介しているためそちらをご参照ください。生成AI機能を利用してアプリをより便利に使えるようになります。
Copilot for Microsoft 365 ぶっちゃけどうなん?
Copilot in 〜とCopilot for 〜の使い分け
アプリやサービスから呼び出すCopilotはCopilot in Outlook、Copilot in Excel、Copilot in Windowsといったように、前置詞inが含まれた形で記載される傾向にあります。
一方で、前置詞forが使われる場合はCopilot for Microsoft 365、Copilot for Security、Copilot for Financeといったようにプランやサービス群の総称として使われるようです。
その踏襲であればWebUIのCopilotや仕事向けCopilotはCopilot in Bing、Copilot in Microsoft Searchとして欲しかったですね・・・
| Copilot in X | Copilot for X | |
|---|---|---|
| 概要 | アプリやサービスから呼び出す場合 | プランやサービス群の総称 |
| 事例 | Word Excel PowerPoint Outlook Teams OneNote Loop Whiteboard Windows(リリース予定) OneDrive(リリース予定) | Microsoft 365 Security Finance |
自社のMicrosoft 365テナント内のデータをソースとして生成AIを利用できる
今回のメインはこちらです。Microsoft 365のアプリやサービスから生成AI機能を呼び出せることは前節でご紹介しましたが、生成するためのソースとそのアクセス権限管理がどのような仕組みとなっているかを解説します。
Microsoft 365 Chatと仕事向けCopilot
最初に仕事向けCopilot(以前はMicrosoft 365 Chatという名称だった)について説明します。
こちらを簡単に説明すると「Microsoft Search」と呼ばれるMicrosoft 365テナント内の横断検索機能と生成AIを組み合わせたものです。なお、Google Workspaceでもテナント内の横断検索として「Google Cloud Search」が提供されています。
https://learn.microsoft.com/ja-jp/microsoftsearch/overview-microsoft-search https://support.google.com/cloudsearch/answer/7053530?hl=ja
第1回で説明したCopilotは検索エンジンBingを活用してインターネット上の公開情報を利用した生成AIサービスでしたが、仕事向けCopilot(Microsoft 365 Chat)はMicrosoft Searchを活用して社内情報を利用した生成AIサービスとなるわけです。最初に図示した説明につながる対比になっています。
Microsoft Searchが検索対象とするデータ
Microsoft 365でドキュメントやナレッジのデータが保存される主な場所は以下の通りです。概要として簡略化してまとめておりますので、細部はLearnドキュメントをご参照ください。
なお、TeamsのデータはSharePoint OnlineやExchange Onlineに分散して保存されます。
- SharePoint Online Microsoft 365でドキュメント類の保存先といえば基本はSharePoint Online。Teamsのドキュメントも、社内ポータルも、ファイルサーバ的に構築したサイトもここに保存される。
OneDrive for Business
- SharePoint Onlineの個人割り当て領域に対する別称。
Exchange Online
- アカウント単位でメールボックス、カレンダーが保存される。共有メールボックスも一つのアカウントを割り当てる。グループのメールボックスもある。
- Teamsのチャットもこちらに保存される。
- 仕組み上はドキュメントも保存できるが、今はSharePoint Onlineを使う前提となっている。
Viva Engage(旧名Yammer)
- 社内SNSサービスですが、小規模〜中規模の組織だとTeamsのチームで間に合ってしまいがち。グループ(Teamsでいうチームに近いもの)の投稿データが保存されています。
保存されたドキュメントやナレッジに仕事向けCopilotがアクセスする仕組み
だんだん難解な話になってきましたが、もう少し続けます。
Copilotが社内ドキュメントやナレッジをもとに回答を生成するということは、その資料へのアクセスはどのような権限で行われているか気になってきます。無制限に全員のメールボックスを見て回答されたら大惨事となるのは容易く想像できます。
ここでは新規技術でなく既存の仕組みをうまく活用しています。それがMicrosoft Graphです。
https://learn.microsoft.com/ja-jp/graph/
Microsoft Graphでユーザーの権限に基づいたアクセス
Microsoft Graphは、Microsoft 365の各サービスにアクセスするためのサービスです。すでにMicrosoft 365サービス間の連携でも使われておりAPIが公開されています。サービスへのアクセスの際はEntraの認証認可の仕組みを利用します。
つまり、Copilotが参照できるデータはCopilotのライセンスを割り当てられ質問したユーザーの権限に基づいており、当該ユーザーに権限のない資料を閲覧することはありません。
Microsoft 365 テナント内のアクセス許可モデルは、ユーザー、グループ、テナント間でデータが意図せず漏洩しないようにするのに役立ちます。 Microsoft Copilot for Microsoft 365 は、他の Microsoft 365 サービスで使用されているデータ アクセスの同じ基礎となるコントロールを使用して、各ユーザーがアクセスできるデータのみを表示します。 セマンティック インデックスは、ユーザー ID ベースのアクセス境界を優先するため、グラウンディング プロセスは現在のユーザーがアクセスを許可されているコンテンツにのみアクセスします。 詳細については、Microsoft のプライバシー ポリシーとサービスのドキュメントを参照してください。 https://learn.microsoft.com/ja-jp/microsoft-365-copilot/microsoft-365-copilot-privacy#how-does-microsoft-copilot-for-microsoft-365-protect-organizational-data
閲覧できるものは全て利用してほしくないなら「秘密度ラベル」を利用しよう
さきほど、当該ユーザーに権限のない資料は閲覧できないと説明しましたが、これはすなわち閲覧できる資料の正確性、機密性は考慮しないといえます。
正確性の観点でよくあるのは古い資料を参照してしまうケースです。もう一つの機密性の観点でいうと、Copilotはどうやって機密か判断するかを考える必要があります。ファイル名に【機密】【社外秘】と書いていればわかって・・はくれません。
ではどうするかというと、「秘密度ラベル」という機能が用意されています。ドキュメントへ手動で秘密度ラベルを付与するだけであればMicrosoft 365 Business Premium/E3/E5で対応できますが、高度な活用となるとMicrosoft 365 E5が必要になります。
https://learn.microsoft.com/ja-jp/purview/ai-microsoft-purview https://learn.microsoft.com/ja-jp/office365/servicedescriptions/microsoft-365-service-descriptions/microsoft-365-tenantlevel-services-licensing-guidance/microsoft-365-security-compliance-licensing-guidance#microsoft-purview-information-protection-sensitivity-labeling
まとめ
以上、後半はかなり難解な話となりましたが、Copilot for Microsoft 365で利用できることの裏側を少し掘り下げて説明しました。すでにあるMicrosoft 365の強固なサービス間連携の仕組みを活用することで、AIサービスにありがちな不安を取り除いていることがわかります。
次回の最終回ではどのように組織にCopilotを展開していくかというお話の予定です。
