Microsoft 365(M365)のテナントを適切に設定できている組織は全体のわずか2割——。米ITコンサルティング企業EPCグループがこんな衝撃的な数字を公表し、Copilot & Microsoft 365 Tenant Security Reviewサービスをリリースした。AI活用が加速するなか、設定不備のままCopilotを展開することはデータアクセスリスクを大きく広げる。「AIを入れる前に、まず家の鍵を締めろ」というメッセージは、日本のIT現場にとっても決して他人事ではない。

調査が示す「設定不備」の実態

EPCグループが複数組織のM365テナントを監査した結果、約80%で何らかのセキュリティ設定ミスが確認された。具体的に問題となりやすい領域は以下のとおりだ。

  • 条件付きアクセス(Conditional Access)の設定漏れ: 多要素認証(MFA)が特定ユーザーやアプリに適用されていない
  • SharePoint・OneDriveの共有設定の緩さ: 外部共有が過剰に許可され、データが意図せず外部へ漏れるリスク
  • Microsoft Purviewの未設定: 機密ラベルや情報保護ポリシーが形骸化している
  • 特権IDの常時アクセス状態: グローバル管理者権限の常時付与や、PIMの未活用

これらはどれも「知っていれば設定できる」ものだ。しかしM365の機能は膨大で、設定は日々更新される。運用担当者が追いきれていないケースが大半であることも、この数字の背景にある。

CopilotがリスクをAI規模で増幅する

ここで問題になるのが、Copilotの展開だ。Copilotは「ユーザーがアクセスできる情報の範囲で答える」という設計になっている。つまり、テナントの設定が緩いままCopilotを使うと、本来見えてはいけないドキュメントや会話履歴まで検索・要約の対象になるリスクがある。

Security Copilotの自動展開が組織内で進む状況ではこの問題がさらに顕在化する。従来はITリテラシーの高いユーザーしか到達できなかった情報の宝庫に、Copilotが「親切なガイド」として全員を案内してしまう——そういう事態が現実に起き得る。

EPCグループのサービスは、こうした設定不備をCopilot展開前に可視化・修正することを目的としており、Entra ID・SharePoint・Exchange・Teams・Purviewを横断した包括的な審査を提供するという。

日本のIT現場への実務的な影響

日本企業では、M365ライセンスを保有しながら機能の全貌を把握できていないケースが非常に多い。「OutlookとTeamsとOneDriveは使っている」という状態で、セキュリティ設定はほぼ初期値のまま——というのは珍しくない。Copilot展開を検討する前に、以下の3点を必ず確認してほしい。

① PIM(Privileged Identity Management)でJITアクセスを導入する

特権IDの常時付与は、特権アカウント管理における最大のリスクだ。Microsoft Entra PIMによるJust-In-Time(JIT)アクセスは、Entra P2ライセンスがあれば追加コストなしで導入できる。やっていない理由はない。

② Purviewで機密ラベルを整備する

Copilotは「ラベルが付いたドキュメントのルールを遵守して回答する」。つまり機密ラベルの整備は、CopilotによるAIアクセス範囲の制御にも直結する。展開前の整備が必須だ。

③ Non-Human Identity(NHI)の権限スコープを最小化する

サービスアカウントやアプリ登録(App Registration)の過剰な権限は、自動化やAIエージェントの展開を進める際に大きなリスク要因になる。NHI管理ができなければ業務自動化も進まない。最小権限の原則を徹底することが、効率化への近道でもある。

筆者の見解

「テナント設定ができていない」という問題は今に始まった話ではない。しかしCopilotというアクセラレーターが加わることで、設定不備の影響が指数関数的に拡大する点が今回の本質だと思っている。AIは道具の使い勝手を上げるが、それは悪意ある使い方の効率も同様に上げる——この非対称性をもっと真剣に議論すべき段階に来ている。

Microsoftのセキュリティプラットフォームは、EntraもPurviewも機能として十分に揃っている。問題は「機能がないこと」ではなく、「その機能を使いこなせていないこと」だ。Copilot展開を急ぐあまり、土台のセキュリティ整備を後回しにする組織が出てくることが正直心配だ。家の窓を全開にしたまま金庫を置いても、守るべきものは守れない。

日本のIT管理者にまず勧めたいのは「テナントの棚卸し」だ。Microsoft Defender for Cloud(Secure Score)やEntra ID Identity Secure Scoreは、現状の設定状態を無料で点数化してくれる。Copilot展開の是非を議論する前に、まずこの数字を見てほしい。Microsoftには、この問題を解決するだけの技術とプラットフォームが揃っている。あとは使いきるだけだ。

出典: この記事は EPC Group Launches Copilot & Microsoft 365 Tenant Security Review as 80% of Tenants Found Misconfigured の内容をもとに、筆者の見解を加えて独自に執筆したものです。