世界最大級のセキュリティカンファレンス「RSA Conference 2026」に合わせ、MicrosoftがMicrosoft Purviewの大規模なアップデートを発表した。AI活用が急速に広がるエンタープライズ環境において、「データを守る」という基本命題がいかに複雑化しているか——今回の発表はその課題に正面から向き合った内容だ。
AIが広がるほど、データの「出口」が増える
ここ数年で業務におけるAI活用は一般化した。だが、それはデータの「流れ道」が爆発的に増えたことを意味する。社内文書をAIに渡す、会話ログにセンシティブ情報が混入する、外部AIサービスへのデータ転送が発生する——こうした経路のひとつひとつが、従来のデータ損失防止(DLP)の管理範囲を超えてしまっている。
Microsoft PurviewはもともとMicrosoft 365環境のデータガバナンスを担うプラットフォームだが、今回のRSA 2026での発表ではAIワークロードに特化したデータセキュリティポスチャ管理(DSPM) の強化が中心テーマとなっている。具体的には、AIアプリケーションがどのデータにアクセスしているかを可視化し、感度ラベル(Sensitivity Labels)をAIインタラクションの文脈にも適用できるよう拡張する方向性が示された。
データ保護とAIガバナンスの統合という方向性
注目すべきは、Purviewが単なるDLPツールから「AIガバナンス基盤」へと役割を広げようとしている点だ。
- AIアクティビティの監査ログ: どのユーザーがどのAIツールに何を入力したかを記録・分析
- 感度ラベルのAI連携強化: 機密ラベルが付いたドキュメントをAIが参照した際のアラートや制限
- コンプライアンスレポートの自動化: 規制対応(GDPR、業界固有規制等)に対するAI利用状況の証跡管理
これらをEntra IDやMicrosoft Defender for Cloud Appsとシームレスに連携させることで、ゼロトラスト原則に基づいた多層防御の中にAIを組み込む設計思想が見える。
実務への影響——日本のIT管理者が今すぐ確認すべきこと
日本のエンタープライズ環境では、Microsoft 365をすでに展開しているケースが多い。であれば、今回のPurview強化は「追加コストゼロで恩恵を受けられる可能性がある」領域でもある。
確認・対応ポイント:
- 感度ラベルの整備状況を見直す — ラベルが整備されていないとAI連携機能が機能しない。まずここから手をつけるべきだ
- AIアプリの棚卸し — 社員が業務で使っているAIツールをすべてリストアップし、Purviewの監視対象に含めているか確認する
- DSPMのスコープ設定 — OneDrive・SharePoint・Teamsに加え、Copilot経由のアクセスも対象に含めているか
- 条件付きアクセスポリシーとの整合性確認 — AIツールを「アプリ」として認識し、Entraの条件付きアクセスに組み込む
とりわけ「AIを禁止する」方向で動いている組織は、ここで戦略を見直してほしい。禁止は必ず回避される。公式ルートが一番便利と感じられる仕組みを作ることが、現実的な安全策だ。
筆者の見解
Microsoft Purviewは地味だが、本質を突いたプラットフォームだと思っている。「データがどこにあって、誰が触れて、どう動いているか」を把握することは、AIが広がる時代においてセキュリティの根幹だ。その観点で今回の方向性は正しい。
ただ、正直に言えば「もったいない」とも感じる。Purviewのような統合ガバナンス基盤は、M365全体を本気で活かすための土台になり得る。それだけの実力があるプラットフォームだからこそ、AI対応の速度をもっと上げてほしいし、UIや運用性の改善も期待したい。概念は正しい、あとは実装と体験の磨き込みだ。
AI時代のセキュリティは「AIを止めること」ではなく「AIを安全に通すこと」に移行している。Purviewがその交通整理役として機能するかどうか——RSA 2026の発表がその試金石になる。
出典: この記事は Secure data as AI scales: New Microsoft Purview innovations at RSA 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。