どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
「あ、このファイル、外部に出しちゃダメなやつだったかも…」そんなヒヤッとする瞬間、経験したことありませんか?(^^;
生成AIの利用がここ数年で一気に広がりました。ChatGPT、Gemini、Claude…など、便利なAIサービスがあちこちに登場してます。
便利な反面、うっかり機密情報を外部に出してしまうリスクも同時に高まっているわけで。
「ちょっと調べ物しよう」と思って顧客情報をコピペしたり、「資料の要約をお願い」と設計書をアップロードしたり…
こういう何気ない操作が、実は情報漏えいにつながりかねない時代になっています。
そこで今回は、Microsoft Purview DLP(データ損失防止)の概要と、その中でも特に注目されている Endpoint DLP について、解説していきます(^^!
Microsoft Purview DLP の概要と Endpoint DLP について ~生成AI時代のデータ保護、ここまで来たか!~
■ データ損失防止(DLP)って、そもそも何?
DLP(Data Loss Prevention:データ損失防止) は、組織内で取り扱われる機密情報が、意図せず外部へ共有されたり、不適切に利用されたりすることを防止するためのセキュリティ対策です。
「個人情報(マイナンバー、住所、電話番号など)」「財務情報(クレジットカード番号、口座情報)」「契約書、見積書」「設計資料、ソースコード」
…といった、漏えいしたら組織にとってダメージが大きいデータです。
一般的なDLPサービスでは、機密情報に対して、「どこに存在しているか」「どのように利用されているか」「どこへ持ち出されようとしているか」
…を把握したうえで、あらかじめ定めたルールに基づいて、制御・警告・記録を行い、「静的」じゃなく「動的」に守るという特徴を持つ製品が多いです。
■ Microsoft Purview DLP の特徴
1. Microsoft 365 サービスにネイティブ統合された DLP
Microsoft Purview DLP は、Exchange Online、SharePoint Online、OneDrive、Microsoft Teams など、日常業務の中核となる Microsoft 365 サービスに標準で組み込まれています。これにより、メール送信やファイル共有、Teamsでのファイル操作といったユーザーの日常業務に対して、追加製品を導入することなく、一貫したデータ保護ポリシーを適用できるんです(^^
2. 生成AI利用を前提とした保護強化(最新領域)🚀
近年の大きな強化ポイントとして、生成AI利用を前提としたデータ保護への対応が挙げられます。
シャドー AI は、従業員が適切な監視なしで AI ツールを利用する必要があるため、組織にとって大きな課題です。
これにより、データ侵害、コンプライアンスの問題、機密情報の誤用の可能性など、さまざまなリスクが発生する可能性があります。
Endpoint DLP とブラウザ拡張機能の組み合わせにより、機密情報を外部の生成AIサービスへのコピー&ペーストや、プロンプトとして送信する行為といった、
「AIへの入力」という新たなデータ流出経路に対しても制御を適用可能です(^^!
3. 「データが扱われる瞬間」を守る動的制御モデル
Purview DLP は、「共有しようとした」「送信しようとした」「貼り付けようとした」「アップロードしようとした」
といったユーザー操作の瞬間をリアルタイムで捉え、その場で警告表示、理由の入力要求、または操作のブロックといった制御を自動的に適用できます。
4. 高度な分類基盤との統合(Information Protection連携)
Microsoft Purview DLP は、Purview Information Protection(秘密度ラベル)と共通の分類・識別基盤を利用しています。
利用できる機能:組み込みのセンシティブ情報タイプ、カスタム情報タイプ、EDM(Exact Data Match)による高精度な個人情報・顧客情報の検出
■ Microsoft Purview DLP の適用範囲
| 対象カテゴリ | 主な対象サービス・環境 | 制御の主なポイント | 実際の保護パターン例 |
|---|---|---|---|
| Microsoft 365 サービス | Exchange, SharePoint, OneDrive, Teams | メール送信、ファイル共有、外部共有、コピー・貼り付け | 外部共有をブロック、警告メッセージ表示、ユーザーにヒント表示、管理者へ通知 |
| Office アプリ | Word, Excel, PowerPoint | ローカル保存、コピー、印刷、共有 | ポリシーヒント表示、ブロック、理由入力で上書き許可 |
| エンドポイント | Windows 10 / 11, macOS | ローカル操作、USB コピー、アプリ間コピー | USB コピーを監査、ブロック、操作ログ取得 |
| 非 Microsoft クラウドアプリ | 手動で追加した SaaS | ファイルアップロード、共有 | アップロードをブロック、警告表示 |
| オンプレミス環境 | ファイル共有、オンプレ SharePoint | ファイル操作、コピー、移動、共有 | ファイルを検疫フォルダーへ移動、ロック |
| データ分析基盤 | Fabric, Power BI | 共有、エクスポート | 共有ブロック、ダウンロード制御 |
| AI アシスタント | Microsoft 365 Copilot, Copilot Chat | プロンプト入力、生成結果の共有 | 機密データ入力をブロック、警告表示 |
| 生成 AI サービス | ChatGPT, Gemini, DeepSeek, Copilot(Edge/Network) | プロンプト入力、貼り付け、アップロード | 貼り付けブロック、警告表示、入力制御 |
■ シャドーAI対策の一翼を担う Endpoint DLP
Microsoft Purview Endpoint DLP は、Windows や macOS などのエンドポイント端末上で行われるユーザー操作を対象に、機密情報の漏えいを防止する仕組みです。
Windows PC や Mac 上の「コピー&ペースト」「ローカル保存」「Webサイトへのアップロードや入力」
といった"操作の瞬間"を検知・制御でき、特に生成AI利用時のテキスト入力やファイル投入といった、従来のDLPでは把握できなかった情報流出経路に対応できる点が大きな特長です(^^!
■ Endpoint DLP の主な機能
| 機能 | 説明 |
|---|---|
| エンドポイント上のユーザー操作を直接制御 | コピー、貼り付け、ローカル保存、USB書き出し、Webへのアップロードなど、データの「操作そのもの」を検知・制御 |
| ブラウザ拡張機能による生成AIサービスの可視化・制御 | Microsoft Edge / Google Chrome に対応。ChatGPT、Gemini、Claude などの生成AI Web UI に対して、機密情報のコピー&ペーストやファイルアップロードをブロック/警告 |
| 承認/未承認生成AIの使い分け | 社内利用が認められた Microsoft Copilot などは許可しつつ、未承認の外部生成AIに対してのみ制御をかけることが可能 |
| 既存の Purview DLP 定義を再利用 | 機密情報の種類や秘密度ラベルは、Exchange Online や SharePoint Online 用に定義したものをそのままエンドポイントに拡張可能 |
| Microsoft Defender for Endpoint と統合 | OS・デバイスのコンテキストを含めた制御が可能で、セキュリティ管理と運用を一元化 |
なぜ今、Endpoint DLP が注目されているのか?
シャドーAIは、企業のIT部門が承認・管理していない生成AIなどのAIツールを、従業員が個人の判断で業務に利用することを指す言葉です。
生成AIの中には、プロンプトに入力された情報を学習データとして記憶するものが存在します。
そのため、個人情報や機密情報をプロンプトに入力した場合、そのデータを生成AIが学習し、別のユーザーの回答として出力される恐れが存在します。
従業員が「ちょっと便利だから」と使ってしまう外部の生成AIサービス。これがシャドーAIと呼ばれる問題です。
■ Endpoint DLP の利用シナリオ
シナリオ1:生成AIへのコピー&ペースト対策
機密情報を含むテキストが生成AIの入力欄へ貼り付けられる操作を検知し、警告またはブロックできます。
例:顧客リストをChatGPTに貼り付けようとしたら「この操作は許可されていません」と表示
シナリオ2:生成AIへのファイルアップロード制御
見積書や設計書などのファイルを未承認生成AIへアップロードする操作を、エンドポイント上で防止できます。
例:機密扱いのPDFをClaudeにドラッグ&ドロップしようとしたらブロック
シナリオ3:承認生成AIと未承認AIの使い分け
Microsoft Copilot など承認済み生成AIは許可し、その他外部生成AIへの情報入力のみを制御できます。
例:Microsoft 365 Copilot はOK、ChatGPT/Gemini は機密データNG
シナリオ4:USB・ローカル保存を含む迂回経路対策
機密情報をローカル保存や外部メディアへ書き出す操作を抑止できます。
例:顧客データをUSBメモリにコピーしようとしたら監査ログが記録される
シナリオ5:内部不正・過失の両面への対応
悪意のある持ち出しだけでなく、善意による不適切な利用も含めて監査・制御できます。
例:「ちょっと家で作業しようと思って…」という軽い気持ちでの持ち出しも検知
■ Endpoint DLP 導入前の考慮事項チェックリスト
1. 組織のデータニーズの把握
エンドポイントデバイス上で取り扱われるデータのうち、生成AIサービスへの入力や外部持ち出しを防ぐべき機密データ(知的財産、個人データ、財務情報など)を明確に定義します。
2. 保護対象となる機密データの特定
文書・ファイル・テキスト情報を対象に、漏えい時の影響が高い情報種別を洗い出します。
3. 生成AIサービス利用の整理
Microsoft Copilot などの承認済み生成AIと、ChatGPT 等の外部生成AIを区別し、どのサービスに対して Endpoint DLP を適用するかを整理します。
4. 利害関係者の関与(ステークホルダー連携)
ITセキュリティ、コンプライアンス部門、ビジネスリーダーなどの関係者を早期に巻き込み、生成AI利用を含めた Endpoint DLP ポリシーの目的と範囲を合意形成します。
5. デバイス環境の確認
Windows や macOS のバージョン、Microsoft Defender for Endpoint の導入状況など、Endpoint DLP を適用可能な端末要件を満たしているかを確認します。
6. ライセンスの確認
組織が Microsoft 365 E5 または Microsoft Defender & Purview Suite for Business Premium 等のライセンスを保有しており、
Endpoint DLP や生成AI対策機能を利用可能であることを確認します。
7. 管理者のアクセス権限の確認
Microsoft 365 のコンプライアンス管理者などの適切な管理者ロールが付与され、Microsoft Purview ポータルで Endpoint DLP ポリシーを作成・展開できる状態かを確認します。
■ まとめ ~生成AI時代のデータ保護、一歩先へ~
ポイントをおさらい:
☐ DLPは「データが扱われる瞬間」を動的に守る仕組み → 静的に置き場を守るだけじゃない!
☐ Microsoft Purview DLP は Microsoft 365 にネイティブ統合 → 追加製品なしで一貫した保護を適用可能
☐ 生成AI対策が大きな強化ポイント → ChatGPT、Gemini などへの入力も制御可能に
☐ Endpoint DLP は「シャドーAI対策」の切り札 → ブラウザ拡張機能で生成AIへの操作を可視化・制御
☐ 禁止より「使い分け」の制御が現実的 → 承認済み生成AIはOK、未承認AIは制御
クラウドだけ守る時代から、エンドポイントも含めて、生成AIへの入力まで守る時代へと変わりつつあります。
Microsoft Purview DLP と Endpoint DLP は、この新しい時代のデータ保護を実現するための強力なツールです(^^!
