2026年4月20日より、Microsoft 365 E5契約テナントへのSecurity Copilot自動プロビジョニングが順次開始された。6月30日まで展開が続くこの変更は、追加コストなしでセキュリティAI機能が利用できる点で歓迎すべき動きだ。ただし「何もしなくてもテナントで有効になる」という展開方式には注意が必要で、特に日本のエンタープライズ環境ではデータ所在地(Data Residency)とデフォルトでオンになっているデータ共有設定を事前に把握しておきたい。

何が変わったのか

M365 E5テナントには、1,000ユーザーあたり月400 SCU(Security Compute Unit)が自動付与される。上限は月1万SCUで、未使用分は翌月に繰り越されない。3,000ユーザーの組織なら1,200 SCU、1万5,000ユーザー以上の組織は上限の1万SCUに頭打ちになる計算だ。

対象となる機能は、Security Copilotのスタンドアローンポータル、Defender・Intune・Entra・Purview内の埋め込みチャット、プロンプトブック、フィッシングトリアージエージェントなどのエージェントシナリオ。開発者向けのAgent BuilderやGraph APIも含まれる。

一方で含まれないものもある。Microsoft Sentinelのデータレイクコンピュートとストレージは今回の対象外で、Sentinelを常用しているSOCチームはAzure側のコストが別途発生する点に注意が必要だ。

自動展開の仕組みと確認すべき設定

テナントでSecurity Copilotが有効化される7日前に通知が届き、当日にも改めて通知が来る。管理者側での操作は不要だが、有効化直後に最低でも2つの設定を確認してほしい。

① データ保存場所(Data Storage Location)

Security Copilotが生成するログやインタラクションデータをどのリージョンに保存するかを制御する設定だ。日本のエンタープライズではデータレジデンシー要件を持つ企業が少なくない。デフォルト設定が社内ポリシーと合致しているか、有効化当日に確認せよ。

② データ共有設定(Data Sharing)

デフォルトで有効になっている。インタラクションデータがMicrosoftの製品改善に使われる設定で、変更にはCapacity Contributorロールが必要だ。セキュリティポリシー上問題がある場合はすぐにオフにする必要がある。

RBACモデルを整理しておく

Security CopilotはEntra IDの上に独自のロールモデルを持つ。

ロール 権限

Security Copilot Owner ワークスペース管理・設定変更・ロール割り当て

Security Copilot Contributor プロンプト実行・エージェント操作・プロンプトブック作成

Global AdministratorとSecurity AdministratorはOwnerロールを自動的に取得できる。推奨パターンはEntra IDセキュリティグループを作成し、個人ではなくグループ単位でロールを割り当てること。既存のIAMモデルと一貫性が取れ、定期的なアクセスレビューもやりやすくなる。

重要なのはSecurity Copilotが各統合製品のアクセス制御を引き継ぐ点だ。Defenderの特定ワークスペースへのアクセス権がないアナリストは、Security Copilot経由でもそのデータにアクセスできない。権限の境界線はきちんと機能する設計になっている。

実務への影響

日本のSOCチームおよびIT管理者にとって、今回の変更で直ちに対応が必要な事項をまとめる。

  • Message Center(MC1261596)を確認する — テナントの展開予定日を把握する
  • データ共有設定の確認・変更 — コンプライアンス要件に応じてオン/オフを判断
  • データ保存リージョンの確認 — 日本リージョンに設定されているか確認
  • Sentinelコストの予算計上 — SCUには含まれないため、既存のAzure請求と分けて確認
  • Entraグループ設計 — OwnerとContributorのグループを事前に設計し、個人割り当てを避ける
  • SCU消費の監視設定 — 管理ポータルの使用量ダッシュボードを定期的にモニタリング

フィッシングトリアージエージェントのような機能は、アラート疲れを抱えるSOCにとって即戦力になりえる。ただしSCUはリセット式なので、使い方の「計画」をしておかないと月末に上限に達してサービスが止まる事態も起こりうる。

筆者の見解

正直に言えば、今回の動きは悪くない。

Security CopilotがE5ライセンスに組み込まれること自体は、セキュリティ機能の民主化という観点で評価できる。SOCの人員不足は日本でも深刻で、フィッシングトリアージのようなルーティン作業をAIに任せることへの需要は本物だ。

ただ、「ゼロクリックで有効になる」「データ共有がデフォルトオン」という組み合わせは、管理者として見過ごせない。特に日本のエンタープライズ環境では、情報システム部門がMicrosoft側の展開スケジュールを把握していない事例がまだある。セキュリティ系の機能が気づかないうちに動き出している状況は、リスク管理上好ましくない。

Microsoftには「展開する力」がある。この機能を使えるよう整えた設計自体は評価できる。だからこそ、デフォルト設定の思想——特にデータ共有のオプトアウト方式——については、もう少し管理者寄りの設計にしてほしいと感じる。E5の顧客は大企業・公官庁が多い。そういった組織がデフォルトのまま走り出すリスクを、展開側はもう少し真剣に考慮してほしいところだ。

SCU消費の透明性についても同様だ。現時点でタスクごとの消費量テーブルが公開されていないため、予算計画もガバナンスも立てづらい。正確な使用量情報の提供は、エンタープライズ採用を加速する上でMicrosoft自身の利益にもなるはずだ。

この分野で本当に力を発揮できる素地はある。だからこそ、展開後のガバナンス設計まで含めた「使いこなせる状態」を、ユーザー任せにせず一緒に作ってほしいと思う。

出典: この記事は Security Copilot Is Rolling Out to Every M365 E5 Tenant on April 20 — Here’s What to Do Now の内容をもとに、筆者の見解を加えて独自に執筆したものです。