はじめに
✨🎄🎅 メリークリスマス 🎅🎄✨
本記事は Microsoft Security Advent Calender 2025 に参加しています。
突然ですが、みなさん オーバーシェアリング(過剰共有) という用語を知っていますか?
今年は様々なイベントでこのキーワードが登場していたのでご存じの方も多いと思いますが、この記事では Ignite 2025 のアップデート も含めて改めてオーバーシェアリング対策をご紹介出来ればと思います。
オーバーシェアリングとは?
オーバーシェアリングとは、社内のデータが 不適切なアクセス権限によって "過剰に共有" されている状態のことをいいます。M365 Copilot だけでなく、Gemin for Google workspace, BOX AI などの 社内データを RAG で活用する汎用AI を活用するために検討が必要になってくる課題です。
オーバーシェアリングの例
「2026年度 組織再編計画」という資料が本当は役員しか見てはいけない資料なのに、誤って 全社公開用の SharePoint サイトで公開 されてしまっているとします。
そうすると、従業員がふと上記のように「来年度の人事計画を教えて」と M365 Copilot に聞いた際に検索が得意な M365 Copilot を経由して目にしてしまう…といったような課題です。
これまでも SharePoint の検索機能で本来見てはいけないデータを目にしてしまうことはあったかと思いますが、検索が得意な M365 Copilot やエージェントによってより対策が必要性が高まってきています。
他にも、Copilot やエージェントを活用する上で以下のような懸念はないでしょうか?
- 人事評価や来年度の人事計画をまだ一般社員に公開していないのに、Copilot やエージェント経由で拡散されてしまうかも…
- 未公開の新製品の情報が、Copilot やエージェント経由で参照され顧客への提案資料に活用されてしまうかも…
では、こういった課題に対して、どのように対策をしたら良いのでしょうか?
ここからオーバーシェアリング対策の概要をご紹介していきたいと思います😊
記載の内容は 2025 年 12 月現在 の情報であり GA (一般提供) 前の製品も含まれるため今後仕様などが変更になる可能性がございます。最新の内容については Microsoft Learn などの公式ドキュメントをご確認ください。
本記事は個人的な見解であり、正しい見解や実装、ライセンスに関するご相談はMicrosoft社にお問い合わせください。また、一部製品のPRも含まれますので予めご了承ください。
オーバーシェアリングはなぜ起きるか
オーバーシェアリングの話をすると 「M365 Copilot って危険なの?🤔」 と思われるかもしれませんが、ご安心ください。
マイクロソフトが提供する M365 Copilot や Copilot Studio のエージェントなどは、きちんとユーザーの権限を継承する仕組みになっているため、勝手に不適切なデータを参照したり、勝手に社長しか見れないはずのデータを取りだして学習したり一般社員に共有したりすることはありません。オーバーシェアリングは、アクセス権限が不適切な状態だから起きる問題 なのです。
オーバーシェアリング
= 不適切なアクセス権限によって起きるデータの過剰共有の課題のこと
たとえば、人事しか見てはいけないデータがうっかり全社公開用の SharePoint サイトに保管されていたら、当然、全社員が M365 Copilot を経由して見れてしまうことになりますよね。
M365 Copilot や AI エージェントは、アクセス権限があるものはすべて参照し、権限上出来ることはなんでもして与えられたタスクをこなそうとする(こなしてくれる)性質があるため、人間のように「さすがにこれは見ちゃだめだろうな・・・」というような忖度はしてくれません。
少子化の日本にとって AI エージェントの活用は急務になってきていますが、AI やエージェントには人間と同じような性善説の運用は通用しません。これから人間以上に厳しい ガードレール が求められるということになります。
AI やエージェント活用のためには データガバナンスの土台が重要!!
社内データの検索が得意な生成AIによって、いままで放置されて性善説で運用されていたデータの整理やガバナンスの課題が浮き彫りになってきたということですね。
オーバーシェアリング対策の進め方
以下の3ステップで進めます。
① 特定(Microsoft Purview DSPM)
② 是正(SharePoint Advanced Management & Microsoft Purview 秘密度ラベル)
③ モニタリング(Microsoft Purview DSPM)
① 特定(Microsoft Purview DSPM)
まずは オーバーシェアリングの「特定」 をしましょう。
Microsoft Purview の DSPM (Data Security Posture Management) という製品で、組織のデータリスクを可視化することができますが、その中の 「Data Risk Assessment」 という機能を使って、オーバーシェアリングの状態にある SharePoint やデータを発見していきます🔍✨
Data Risk Assessment では、各SharePoint サイトに含まれる機密情報の数や、ユーザーのアクセス総数、アクセス回数、共有範囲などを確認することが可能です。
フィルターで以下のように「組織内のユーザー」にチェックを入れると、全社公開されている状態の SharePoint サイト(=オーバーシェアリングの可能性が高いサイト)を確認することが出来る ので、機密情報の有無などと照らし合わせ、全社公開されていて問題ないか判断しましょう。
データエクスプローラー を使うと、実際にファイルの中身を確認することも可能です。全社公開されているSharePoint サイトやデータが、Copilot やエージェントから活用されても問題ない情報かどうかを確認しましょう。
サイトがたくさんあってすべて確認できない場合は、ユーザーのアクセス数が高いものから優先的に確認します。
② 是正(SharePoint Advanced Management & Microsoft Purview 秘密度ラベル)
オーバーシェアリングの状態にあるサイトやデータを特定したら「是正」をしていきます。是正の方法は2種類あります。
1つが場所に対する保護で、もう1つがデータに対する保護です。まずは広い「場所」から是正して、そのあと「データ自体」の保護をしていく流れが一般的です。
マイクロソフトでは、以下の2つのソリューションが提供されています。
-
SharePoint Advanced Management (SAM) (場所に対する保護)
M365 Copilot や エージェントは ユーザーの権限を継承する仕組みになっているので、SharePoint の検索から除外されていたり、ユーザのアクセス権限がそもそもなければ Copilot からも参照されることもありません。
なので、まずは SharePoint サイトの検索からの除外やユーザのアクセス権限を是正していくといったことをしていきます。 -
Microsoft Purview(データに対する保護)
Microsoft Purview の秘密度ラベルをデータに付与することで、M365 Copilot やエージェントから参照されないように制御することができます。(機能名:DLP for M365 Copilot)
SharePoint Advanced Managament についてはこちらをご参考ください:
データに対する保護🔍
データに対する保護に関する機能を3つご紹介します。
🎁 DLP for M365 Copilot (秘密度ラベルによる参照制御)
DLP for M365 Copilot は以下のように、特定の秘密度ラベルを付与したデータが AI やエージェントから参照されないように制御することが出来る機能です。
SharePoint Advanced Management (SAM) (場所に対する保護) はサイト管理者でしか是正できませんが、こちらはオーバーシェアリングに気づいたユーザーがすぐに適用して是正できるのがメリットです。
DLP for M365 Copilot 以外にも、データに対する保護 の機能が拡張されています。
🎁 Microsoft Purview DSPM
Microsoft Purview DSPM を利用して管理者がデータの状態を是正することができるようになります。(Public Preview のため随時テナントに反映)
機密情報が含まれているのに適切な保護がされていないデータを探して是正しましょう。
🎁 Microsoft Purview Data Security Posture Agent
2025/11 の Ignite で Security Copilot エージェントの仲間として Purview のエージェントが登場しました🎁✨コンセプトの説明のためにIgnite でのデモ画面をお見せします:
このエージェントに「Project Nebula について教えて」と聞いてあげると、関連データをコンテキストを考慮して集めてくれます。キーワード検索ではなく LLM を利用した検索になるので、"Nebula" というキーワードがなくても見つけることが可能です。
Project Nebula に関連する 16件のファイルのうち、4件のファイルにはラベルがついていませんでした。ラベルがついていないということは、データを受け取った人が誰でも閲覧できるということなので、管理者の方でラベルを一括で適用します。
ラベルを付けることができました。
Microsoft Purview には機密情報のスキャンを行って自動的にラベル付けを行う機能もあるので併用しつつ、本当に重要度の高いデータに関してはこのようにエージェントを使っていけると良いですね。
③ モニタリング(Microsoft Purview DSPM)
ある程度 社内のデータが "AI-Ready" (= AI 活用ができる土台が整って準備ができている状態)になってきたら、本格的に M365 Copilot やエージェントを活用していくことが出来ますが、モニタリングも欠かせません。
Microsoft Purview DSPM を活用することによって、組織のデータの状態をモニタリングすることができます。
Ignite でのアップデートによって、組織全体の態勢(ポスチャー)を時系列で確認できるようになったり、優先度付きインサイトや修正計画を提案してくれるようになりました。
いくつか画面をご紹介します:
↑ 一度是正して終わりではなく、時系列で組織のトレンドを把握するのは非常に重要ですね。AI 活用の増加、退職予定者の情報持ち出しの増加、新しい脅威の登場…などの理由で後からリスクが高まる可能性もあります。
↑ 一般的に新しくで使えるデータの方が価値が高い傾向にあるので、新しいデータにフォーカスしたインサイトを確認することも可能です。
↑ 優先度付きでアクションプランを提案してくれて、是正しない場合と是正した場合のリスクの予測のグラフを出してくれるので、是正計画に役立てましょう。
デフォルトのレポートもたくさん用意されています:
他にもたくさん機能があるので、活用してみてくださいね!
さいごに
気になる機能はありましたでしょうか?まだテナントに反映されていない新しい機能もありますが、AIやエージェントの発展によって重要度が高まってきている分野ということもあり、どんどん機能が増えてきています。
AI を 最大限活用するために、オーバーシェアリング対策をはじめよう!
ということで、今回は AI 関連にフォーカスしてご説明しましたが、Microsoft Purview には面白い機能がまだまだたくさんあるので、興味を持っていただけると幸いです🐎🐴✨
年末のお忙しい時期ではありますが、良いお年をお過ごしください🎍🌅
参考
より包括的な対策についてはこちらのスライドでご紹介しています。
本記事でご紹介できなかった Microsoft Purview DSPM などの Ignite 2025 のアップデートは以下のスライドでもご紹介しています。
✨ オーバーシェアリング対策について
✨ Copilot の仕組みについて