GXO
生成AI利用ルール

Microsoft 365 CopilotのSearchLeak報道から考える|社内AI導入前に確認すべき権限棚卸し

17分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

結論:社内AIは「便利な検索」ではなく、既存権限を増幅する

Microsoft 365 Copilotを悪用した「SearchLeak」と呼ばれる攻撃手法について、2026年6月中旬に複数の海外メディアが報じた。報道によれば、攻撃者が細工したCopilot検索リンクをユーザーにクリックさせ、Copilotの検索結果に含まれるメール、OneDrive、SharePointなどの情報を外部へ送らせる可能性が指摘されている。

現時点でGXOが確認できた範囲では、SearchLeakの詳細な公式一次ソースやMicrosoft Security Response Center上の公開情報は確認できなかった。そのため、本記事ではSearchLeakそのものを断定的に解説するのではなく、報道をきっかけとして、企業がMicrosoft 365 Copilotや社内AIを導入する前に確認すべき権限とデータ管理の論点を整理する。

重要なのは、Microsoft 365 CopilotがユーザーのMicrosoft 365権限を前提に、メール、チャット、文書、予定、会議、連絡先などの組織データを参照して回答を作る点である。Microsoft Learnでも、CopilotはMicrosoft Graphを通じて組織データへアクセスし、ユーザーが少なくとも閲覧権限を持つデータだけを表示すると説明されている。

つまり、Copilotを安全に使えるかどうかは、AIの設定だけで決まらない。導入前から社内のSharePoint、OneDrive、Teams、メール、外部共有、ゲストアクセス、機密ラベル、監査ログが整理されているかで決まる。

AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。

30分壁打ちを予約

SearchLeak報道で見るべきポイント

TechRadarやWindows Centralは、Varonis Threat Labsの調査として、Microsoft 365 Copilot Enterprise Searchを悪用したデータ流出リスクを報じている。報道内容を要約すると、論点は次の3つである。

横にスクロールして確認できます

論点内容企業が見るべきこと
プロンプト注入URL内の検索パラメータを通じて、AIに意図しない指示を解釈させるAIに渡る入力を信頼しすぎない
横断検索Copilotがメール、OneDrive、SharePointなどを横断して情報を取得する既存権限が過剰だと、AIの参照範囲も広がる
検知しにくさユーザーからは通常の検索に見える可能性があるAI操作ログ、検索ログ、外部通信、異常検知が必要

ここで注意すべきなのは、「Copilotを使うな」という話ではない。むしろ、社内AIを業務に入れるなら、AIが参照できるデータの範囲を事前に棚卸ししなければならない、という話である。

Microsoft公式情報から見たCopilotのデータアクセス

Microsoft Learnの「Data, Privacy, and Security for Microsoft 365 Copilot」では、Microsoft 365 Copilotが次の要素を組み合わせて動くと説明されている。

  • 大規模言語モデル
  • Microsoft Graph内のコンテンツ
  • ユーザーが日常的に使うMicrosoft 365アプリ

同ページでは、CopilotがMicrosoft Graphを通じて、文書、メール、予定、チャット、会議、連絡先などの組織データにアクセスし、ユーザーの作業文脈と組み合わせて回答を生成すると説明している。さらに、Copilotは個々のユーザーが少なくとも閲覧権限を持つ組織データだけを表示し、SharePointなどの権限モデルを正しく使うことが重要だとしている。

この公式説明は、企業にとって非常に重要である。

Copilotは、存在しない権限を勝手に作るわけではない。一方で、すでに過剰に共有されているファイル、退職者由来のフォルダ、外部ゲストに開いたままのサイト、全社閲覧になっている資料は、AIの回答に現れる可能性がある。社内AIは、良くも悪くも既存の権限設計を可視化し、増幅する。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

中小企業が導入前に確認すべき7項目

1. SharePointサイトの全社公開を確認する

「全社員」「Everyone」「全社共有」などで閲覧できるSharePointサイトに、契約書、見積、給与、人事、M&A、顧客情報が混ざっていないか確認する。AI導入前の最優先チェックである。

2. OneDriveの外部共有リンクを棚卸しする

過去に発行した共有リンクが残っていると、本人も忘れたまま外部から閲覧できる状態になっていることがある。期限なしリンク、匿名リンク、退職者が発行したリンクは重点的に確認する。

3. Teamsのゲストと共有チャネルを確認する

Microsoft Learnは、テナント間コラボレーションで外部ユーザーに与えた権限も考慮すべきだとしている。Teamsのゲスト、共有チャネル、外部共同編集者がどのファイルにアクセスできるか確認する。

4. メールと予定表の扱いを決める

Copilotはメールや予定の文脈も活用できる。役員、経理、人事、営業責任者など、機密性の高いメールを扱うユーザーでは、AIの利用範囲、監査、履歴保存、端末管理を先に決める。

5. 機密ラベルとDLPを整備する

「社外秘」「人事」「契約」「顧客情報」などのラベルが形だけになっていないか確認する。ラベルが未付与、または付与ルールが属人的だと、AI導入後に参照範囲を制御しにくい。

6. AI操作ログを監査対象に入れる

Microsoft Learnでは、Copilotのプロンプト、応答、引用情報などのやり取りが保存され、管理者がMicrosoft Purviewなどで扱えると説明している。社内規程上も、AIの検索、要約、生成、参照履歴を監査対象に含める必要がある。

7. 「AIに見せてよいデータ」を業務単位で決める

全社一律でCopilotを有効化する前に、営業、経理、人事、開発、経営企画など業務単位で、AIに参照させてよいデータと禁止データを決める。AI導入はライセンス配布ではなく、データアクセス設計である。

30日でできる権限棚卸し

横にスクロールして確認できます

期間実施内容成果物
1週目SharePoint、OneDrive、Teams、メールの主要データを洗い出すデータ所在一覧
2週目全社公開、外部共有、ゲストアクセス、退職者所有ファイルを確認する過剰共有リスト
3週目機密ラベル、DLP、アクセス権、共有リンク期限を整理するAI参照可否ルール
4週目Copilot利用対象部門、監査ログ、問い合わせ窓口、停止手順を決めるAI導入前チェックシート

この30日棚卸しをせずにCopilotや社内AIを入れると、AI導入後に「なぜこの情報が見えたのか」を追うことになる。順番は逆である。先に権限を整理し、その後にAIを使う。

AI導入でよくいただく相談テーマ

GXOには、次のようなご相談を多くいただきます。

横にスクロールして確認できます

相談テーマ相談内容GXOの支援範囲
Copilot導入前診断ライセンス配布前に何を見ればよいか権限棚卸し、導入ロードマップ
SharePoint整理ファイルが多すぎて権限が分からないサイト構造、権限、外部共有整理
社内AI/RAG構築自社データをAI検索したいデータ整備、検索設計、回答監査
AIセキュリティ情報漏えいが怖くてAI導入できないDLP、ラベル、ログ、承認設計
AI運用ルール社員にどう使わせるか決まっていない利用規程、禁止事項、監査設計

公開前に決めるべき禁止事項

AI導入前に、少なくとも次の禁止事項は明文化しておきたい。

  • 機密ファイルを全社共有フォルダに置かない
  • 外部共有リンクを期限なしで発行しない
  • 個人OneDriveを部門の正式保管場所にしない
  • 人事、契約、請求、顧客情報をAIに無制限参照させない
  • AIの回答を確認なしで顧客に送らない
  • AIが参照した情報の出典を確認せず意思決定しない

GXOで支援できること

GXOでは、Microsoft 365 Copilotや社内AI導入前の権限棚卸し、SharePoint/OneDrive整理、AI参照範囲設計、DLP/機密ラベル設計、監査ログ設計を支援する。

AI活用は、プロンプト研修から始めるよりも、社内データと権限の棚卸しから始めた方が失敗しにくい。Copilot、ChatGPT Enterprise、社内RAG、AIエージェントのいずれでも、最初に見るべき論点は同じである。

AI導入前の権限棚卸しを相談する

FDE+ ReadyでAI導入前チェックを行う

参考資料

Microsoft 365 Copilot、ChatGPT Enterprise、社内RAGを安全に使うための権限、ログ、DLP、外部共有を整理します。

AI導入前の権限棚卸しを相談する

GXOの見解

AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。

GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。

GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。

実務判断のポイント

この記事を読むべきなのは、経営者、DX責任者、情シス、開発責任者です。単に情報を把握するだけでなく、AI導入前の業務棚卸し、権限設計、PoC、本番運用、AI利用規程の相談に進めるべきかを判断するための材料として整理する必要があります。

GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。Microsoft 365 CopilotのSearchLeak報道から考える|社内AI導入前に確認すべき権限棚卸しに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。

放置した場合と整備した場合の違い

横にスクロールして確認できます

観点放置した場合整備した場合
業務影響属人的な判断が増え、対応の優先順位がぶれやすい影響範囲、期限、責任者を決めて進められる
投資判断ツール導入や外注費だけが先行し、効果測定が曖昧になる売上、工数削減、リスク低減の指標にひも付けられる
現場運用例外処理や承認フローが残り、定着しにくい権限、ログ、教育、改善サイクルまで設計できる
経営報告問題が発生してから説明資料を作ることになる月次で状況、課題、次の打ち手を説明できる

導入・改善前のチェックリスト

  • 対象業務、対象部門、対象データを明文化しているか
  • 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
  • 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
  • 例外処理、承認、差し戻し、監査証跡まで確認しているか
  • 社内で判断できる範囲と外部支援が必要な範囲を分けているか
  • 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
  • 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
  • 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
  • セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
  • 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
  • 経営判断に必要な資料を1枚で説明できる状態にしているか
  • 次の90日で検証する範囲と、やらない範囲を明確にしているか

GXOの実務補足

AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。

GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。

GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、AIアセスメント、PoC、業務システム連携、AIエージェント運用設計へ接続。さらに、診断テンプレートと標準設計を使い、短期診断から継続伴走へ展開。

相談につながる進め方

  1. 現在の業務、データ、ツール、担当者を棚卸しする
  2. 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
  3. 初期対応、90日以内の改善、半年以上の投資を分ける
  4. 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
  5. 小さく検証し、効果測定後に本番化や横展開を判断する

FAQ

まず何から確認すべきですか?

最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。

社内だけで進めるべきですか?

既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。

GXOにはどの段階で相談できますか?

構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。AI導入前の業務棚卸し、権限設計、PoC、本番運用、AI利用規程の相談を入口に、実装や運用改善まで整理できます。

参考情報

  • 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK