こんにちは、アーキテクトのやまぱんです。
補足コメントや質問、いいね、拡散、是非お願いします🥺!
間違ってたら優しく教えてください!
今回は Microsoft Security Copilot についてまとめてみます。
概要
まずは全体像をざっくり紹介してみます。「Security Copilot って何?」という方もここでイメージを掴んでみてください。
Microsoft Security Copilot は、組織が機械的なスピードと規模で脅威に対処するために設計された、AI 搭載のサイバーセキュリティ製品です。セキュリティ専門家が脅威に迅速に対応し、信号を機械速度で処理し、数分でリスク露出を評価することを可能にします。
Microsoft Security Copilot の特徴
どんなことができるのか、ざっくり紹介してみます。
基盤 AI モデルについて
AI の中身が気になる方へ。どんな技術で動いているのか、公式情報も交えて紹介します。
Microsoft Security Copilot は、OpenAI の高度な GPT-4 系大規模言語モデル(LLM)を基盤とし、Microsoft 独自のセキュリティ知見・脅威インテリジェンス・クラウド基盤と組み合わせて動作しています。
Security Copilot combines advanced GPT4 models from OpenAI with everything that Microsoft brings to the table, including hyperscale infrastructure, cyber-specific orchestration, Microsoft Security's unique expertise, global threat intelligence, and comprehensive security products.
公式 FAQ の該当箇所はこちら: https://learn.microsoft.com/en-us/copilot/security/faq-security-copilot#general-information
その他の FAQ も上記をご覧ください。
主要機能
便利な機能をピックアップして紹介します。現場で役立つポイントをまとめてみます。
- 自然言語でのセキュリティ分析が可能です。複雑な KQL クエリも自動生成できます。
- インシデント要約機能により、インシデントレポートを自動作成できます。
- 脅威インテリジェンスでは、最新の脅威情報を統合・要約して提供します。
- ポスチャ―マネジメント機能で、セキュリティ体制の可視化と管理が行えます。
- 脅威ハンティングでは、プロアクティブな脅威検出を支援します。
統合製品
どの Microsoft 製品と連携できるのか、ざっとリストアップしてみます。
Security Copilot は以下の Microsoft 製品と連携しています。たとえば、次のような点が挙げられます。
- Azure Firewall との連携により、ファイアウォールログの分析が可能です。
- Microsoft Defender Attack Surface Management では、攻撃対象領域の可視化と管理が行えます。
- Microsoft Defender for Cloud では、クラウド全体のセキュリティ推奨事項やアラートの分析ができます。
- Microsoft Defender Threat Intelligence では、最新の脅威情報を活用した分析が可能です。
- Microsoft Defender XDR では、インシデントの自動要約やガイド付き対応、スクリプト・ファイル解析などが利用できます。
- Microsoft Intune では、デバイス管理やセキュリティポリシーの設定が行えます。
- Microsoft Purview では、データガバナンスやコンプライアンス管理が可能です。
- Microsoft Sentinel では、KQLクエリの自動生成やインシデント調査、ハンティングクエリの作成ができます。
- Azure Application Gateway(WAF ログ連携対応)や Azure Front Door(WAF ログ連携対応)では、WAFログの一元的な分析が可能です。
- AppGW や Front Door の WAF ログも Security Copilot でまとめて分析できます。詳細は公式ドキュメントをご参照ください。
対応言語
日本語も使えるのか?多言語対応もチェックしてみます。
もちろんつかえます。
- モデル対応は、英語、ドイツ語、日本語、スペイン語、フランス語、イタリア語、ポルトガル語、中国語です。
- UI 対応は、上記に加えて韓国語、オランダ語、スウェーデン語、ポーランド語、ノルウェー語、トルコ語、デンマーク語、フィンランド語など、合計25言語に対応しています。
Copilot in Azure との違い
「どっちを使えばいいの?」という疑問に、比較表でサクッと整理してみます。
| 項目 | Microsoft Security Copilot | Copilot in Azure |
|---|---|---|
| 目的 | サイバーセキュリティ専門 | Azure 全般の管理・運用 |
| 対象ユーザー | SOC アナリスト、コンプライアンスアナリスト、IT 管理者 | Azure ユーザー全般 |
| 主要機能 | 脅威分析、インシデント対応、ポスチャ―マネジメント、Azure Firewall や WAF(Front Door, AppGW)などのセキュリティログ解析 | リソース管理、コスト最適化、トラブルシューティング(※セキュリティログ解析は非対応) |
| データソース | セキュリティ製品、脅威インテリジェンス (※Azure Firewall や WAF[Front Door, AppGW]のログ解析は Security Copilot のみ対応、Copilot in Azure では不可) |
Azure サービス、リソース情報 |
| 料金体系 | SCU(Security Compute Units)による従量課金 | 現在無料(将来的に一部機能が有料化される可能性あり) |
| アクセス方法 | 専用ポータル、Defender XDR 統合(一部機能はCopilot in Azure経由でも利用可) | Azure ポータル、モバイルアプリ、AIシェル(機能限定・参考) |
Copilot in AzureのAIシェル経由でもCopilot in Azureは使えますが機能はかなり限定的です
公式ガイド: Copilot in Azure の AI シェルとは?
料金体系・仕組み
料金の仕組みをまとめてみます。SCU の固定課金+オーバーエイジ従量課金がポイントです。
まず課金にかんしてお話するときに SCU を抑えましょう。
- Security Compute Units(SCU)
Microsoft Security Copilot は、Security Compute Units(SCU)と呼ばれる専用のリソース単位を使用します。
- Microsoft は「最小 3 SCU/時」からの利用を推奨しています(公式ブログより:Microsoft Copilot for Security is now generally available)。
- SCU はダッシュボードで使用量を常時モニタリングし、必要に応じて柔軟に増減可能です。
- Defender Threat Intelligence のインテリジェンス記事やアナリストワークベンチ等は追加コストなしで利用できます(API 利用時は別途ライセンス必要)。
- 無料トライアルはありません。
- 利用には Azure サブスクリプションが必須です。
- 課金の仕組み
- プロビジョニング容量: 時間単位での固定料金(SCU数×時間)
- オーバーエイジ容量: 予期しないワークロード増加時に自動で追加SCUが割り当てられ、使用量に応じて従量課金
- 柔軟なスケーリング: 長期契約なしでSCUの増減が可能
- ダッシュボードで使用量やコストを常時確認可能
最低料金(月額)
どれくらいかかるのか、ざっくり計算してみます。
Security Copilot を使用するには、最低限以下が必要:
前提として最低必要なもの
- Azure サブスクリプション: 必須
- Microsoft Entra ID: 必須
- 最小 SCU: 1 SCU 以上のプロビジョニングが必要
料金例
ざっくり試算例です。契約前に必ず公式でご確認を!
東日本リージョン(Japan East)での想定料金
*2025年7月時点、1 USD=155 円換算
- 最小構成: 1 SCU × 24 時間 × 30 日 × 約 4 USD/時 ≒ 約 2,880 USD/月(約 447,000 円/月)
-
推奨構成: 3 SCU × 24 時間 × 30 日 × 約 4 USD/時 ≒ 約 8,640 USD/月(約 1,340,000 円/月)
- ※推奨構成(3 SCU/時)で運用した場合、**1か月あたり約8,640 USD(約134万円)**となります。
料金に関する重要な注意事項
- Azureサービスは基本的にUSD建てで課金され、日本のお客様には為替レートに基づいて円換算された金額が請求されます
- 実際の価格は為替変動、契約条件(EA/MCA-E/CSP等)、リージョンにより変動する可能性があります
- 東日本リージョン(Japan East)は利用可能ですが、料金に地域差はありません
- Microsoft 推奨は「3 SCU/時」から。最低構成での運用は非推奨です
Microsoft recommends provisioning a minimum of 3 SCUs per hour to start.
(Microsoft は「最小 3 SCU/時」からの利用を推奨しています)
公式ブログ: Microsoft Copilot for Security is now generally available - ※より正確な見積もりや最新の価格は公式価格ページや公式料金計算ツール、営業担当者にご確認ください。
注意: 具体的な料金は地域や契約形態により異なるため、Azure 料金計算ツールまたは営業担当者にご確認ください。
使用例・ユースケース
どんな場面で役立つのか、イメージしやすいようにまとめてみます。
- 主要ユースケース
- インシデント調査と修復
- スクリプトの構築とリバースエンジニアリング
- リスク探索とポスチャ―マネジメント
- IT トラブルシューティング
- ポリシー作成と管理
- ステークホルダーへのレポート作成
対象ロール
- CISO の方は、戦略的なセキュリティ意思決定の支援に活用できます。
- SOC アナリストは、日常的な脅威分析や対応業務で利用できます。
- 脅威インテリジェンスアナリストは、高度な脅威分析に役立てられます。
- IT 管理者は、セキュリティポリシーの管理や運用に活用できます。
導入のメリット
導入してどんな良いことがあるのか、ポイントをピックアップしてみます。
効率性向上
- セキュリティ運用タスクで最大 40% の時間短縮
- 自然言語での複雑なクエリ作成
- 自動化されたインシデントレポート生成
セキュリティ強化
- 機械速度での脅威検出・対応
- Microsoft 独自の脅威インテリジェンス活用
- 包括的なセキュリティエコシステム統合
スキルアップ支援
- セキュリティ専門家のスキル向上支援
- 最新の脅威情報へのアクセス
- 学習とトレーニングリソースの提供
始め方
どうやって始めるのか、ざっくり。
導入ステップ
ここからは実際の導入手順をざっくり紹介してみます。
-
前提条件の確認
- Azure サブスクリプション
- Microsoft Entra ID
-
ライセンス購入
- Enterprise Agreement(EA)、Microsoft Customer Agreement Enterprise(MCA-E)、Cloud Solution Provider(CSP)、オンライン購入(Web Direct)など、全チャネルで購入可能
- 組織の契約形態や調達ポリシーに応じて選択
- 購入には Azure サブスクリプションと Microsoft Entra ID が必須
- 詳細:公式FAQ: 購入方法 / 導入ガイド
-
SCU 設定
- 初期プロビジョニング容量の決定
- オーバーエイジ制限の設定(※オーバーエイジとは、想定外のワークロード増加時に自動的に追加SCUを利用できる仕組み。上限を設定することでコストの予測や制御が可能。詳細は公式ガイドも参照)
-
ユーザー教育
- Security Copilot 導入ハブ でのトレーニング
補足:Microsoft Security Copilot は 2025 年 5 月 1 日に General Availability(GA:一般提供)となりました。
追加リソース
もっと詳しく知りたい方はこちらもどうぞ。
Copilot in AzureとSecurity Copilot の統合・連携について
「Copilot in AzureとSecurity Copilotは今後どのように連携するのか?」という疑問について、現時点の公式情報をもとに整理します。
現時点(2025年7月)では、Copilot in AzureとSecurity Copilotは別サービスとして提供されています。ただし、Defender for CloudではCopilot in AzureからSecurity Copilotを直接呼び出せる統合機能が実装されています。
- Defender for Cloud の統合機能では、セキュリティ推奨事項やアラートの分析時に「Summarize with Copilot」「Analyze with Copilot」ボタンから Security Copilot の機能を直接呼び出せます。たとえば、セキュリティアラートの要約や推奨事項の分析が必要な場合に自動的に Security Copilot が選択されます。
- 文脈ベースの自動切り替え機能により、セキュリティ関連の質問や分析が必要な場合は Copilot in Azure から Security Copilot の専門機能に自動的に切り替わります。たとえば、脅威インテリジェンスの詳細分析や複雑なインシデント調査が求められる場合に Security Copilot が優先されます。
- Azure Firewall、Front Door、Application GatewayなどのWAFログやFirewallログの高度な解析はSecurity Copilotのみが対応しています。ただし、Defender for Cloud経由でアクセス可能です。
- Microsoft公式ドキュメントによると、Defender for Cloud以外のAzureサービスでも同様の統合体験が順次拡大される予定です。
参考情報:
- Microsoft Security Copilot in Defender for Cloud: https://learn.microsoft.com/en-us/azure/defender-for-cloud/copilot-security-in-defender-for-cloud
- Copilot in Azure 公式FAQ: https://learn.microsoft.com/ja-jp/azure/copilot/faq-copilot-azure
- Security Copilot 公式FAQ: https://learn.microsoft.com/ja-jp/copilot/security/faq-security-copilot
- Defender for Cloudリリースノート: https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/release-notes#may-2025
「Copilot in AzureでSecurity Copilotを呼び出せるなら、全部Copilot in Azureのインターフェースでよいのでは?」という疑問について、現実的な使い分けをまとめてみます。
現在の統合度合い
✅ Copilot in Azure経由でアクセス可能
- Defender for Cloud: セキュリティ推奨事項の要約・分析(「Summarize with Copilot」「Analyze with Copilot」)
- 一部のAzureセキュリティサービス: 限定的な統合機能
❌ 専用ポータルやサービス内統合が必要
- Microsoft Defender XDR では、インシデントの自動要約やガイド付き対応、スクリプト解析、ファイル解析などが利用できます。
- Microsoft Sentinel では、KQLクエリの自動生成やインシデント調査、ハンティングクエリの作成が可能です。
- Microsoft Intune では、デバイス管理やセキュリティポリシー設定などを行えます。
- スタンドアロンポータルでは、全機能へのアクセス、カスタムプロンプトブック、プラグイン管理などが提供されています。
実用的な使い分け指針
🔵 Copilot in Azure でもOK
- Azureリソースのセキュリティ状況確認
- Defender for Cloudの推奨事項対応
- Azure環境の全般的なセキュリティ分析
🔴 専用ポータル/埋め込み体験推奨
- SOCでの日常的なインシデント対応
- 高度な脅威ハンティング
- デバイス管理やエンドポイント調査
- カスタムプロンプトブックや専門分析
現状では、完全統合はまだ道半ばというのが正確な状況のようです。将来的には統合が進む可能性はありますが、当面は用途に応じた使い分けが現実的です。
まとめ
最後にポイントをおさらいしてみます。
Microsoft Security Copilot は、AI 技術を活用してセキュリティ運用を革新するサイバーセキュリティ専門ツールです。自然言語でのクエリ作成や自動インシデント要約により、SOC アナリストの作業効率を最大 40% 向上させます。
※この「最大 40% 向上」は Microsoft 公式ドキュメントでプレビュー顧客の実績値として紹介されています。
Security Copilot(Microsoft Learn)
Copilot in Azure が汎用的な Azure 管理支援であるのに対し、Security Copilot はセキュリティ業務に特化した設計となっています。
特に、Azure Firewall や WAF(Azure Front Door、Application Gateway)のログ解析は Security Copilot のみが対応しており、Copilot in Azure では実現できません。セキュリティログの高度な分析や可視化が必要な場合は Security Copilot の利用が必須となります。
SCU(Security Compute Units)による従量課金制で、最低 1 SCU 以上のプロビジョニングが必要ですが、Microsoft 推奨の高可用性やパフォーマンス構成(例:最小 3 SCU/時や冗長化)を採用するとコストはさらに増加します。ダッシュボードで使用量を常時確認しながら、ワークロードや推奨設定に応じて最適な SCU 数を柔軟に調整できます。
この資料は 2025 年 7 月時点の情報に基づいて作成しています。最新の情報については、公式ドキュメントをご確認ください。