Copilot時代の生成AIセキュリティを考える

Microsoft Security Copilot（Security Copilot）は、Microsoft 365で扱う業務データについて、セキュリティを守りながら安全にLLMの機能を利用し効率化を支援する。Microsoft 365で扱う業務データや個人情報、あるいはセキュリティ関連のコンポーネントで扱うインシデントデータ、脅威ハンティングのデータなどについて、企業内で閉じた形でのCopilotのLLM機能利用が可能になる。

それに加えて、プラグインの形でサードパーティが提供するセキュリティ情報も反映した形で、インシデント対応のアドバイスを得たり、レポートを作成することが可能だ。インシデント対応だけでなく、Entra IDやIntuneによるセキュリティ関連の設定や管理業務についても、同様な形でLLMの支援を得ることができる。

Security Copilotの機能は、Security Computing Unit（SCU）というライセンスをAzureのサブスクリプションとして購入することで利用が可能となる。SCUには、Microsoft 365の中で利用したい機能やコンポーネントを設定することができる。

実際に利用する場合は、Microsoft 365の各管理センター画面に表示されるCopilotボタンを利用する「埋め込み型」という方法と、プロンプトを入力する「スタンドアロン型」という方法がある。「埋め込み型」は、操作中の画面に対応しLLMが必要な分析を行ってくれるため、プロンプトを入力しなくても、ダッシュボードに表示されている画面の意味や状況を教えてくれる。個別のプロンプトでSecurity Copilotに問い合わせをしたい場合は、専用のポータルサイトが用意されている。ここで、あらかじめ用意されているプロンプトを利用したり、チャット形式でプロンプトをやりとりすることが可能になる。

Security Copilotのこうした機能を使えば、たとえばDefenderと連携させ、Microsoftのデータ収集基盤による最新の脅威情報や各国・関連機関のアドバイザリー情報などを反映した脅威分析が可能だ。Sentinelのログ統合技術（SIEM・SOAR）にもCopilotの高度なAI機能を活用すれば、きめ細かいアラートのカスタマイズ、組織特有のアノーマリィ検知にも短期間で対応できる。Azureクラウドリソースに対してCopilotがKQL（Kusto照会言語）を駆使すれば、DevSecOpsの実装に役立てることもできるだろう。

2025年7月の機能改善では、GPT 4.1のサポート、2MBを超えるOpen AIトークンを処理できるようになった。Copilotはエージェント管理監視機能においてMicrosoft Purviewとも連携可能になり、エージェントに関するアクション管理に、スタンドアロン型、埋め込み型の両方でCopilotが使えるようになった。

AIの回答はまだまだ完全ではないが、Security Copilotの機能は、セキュリティツールとしての利用と、各種アプリケーションの機能の一部としても利用の範囲が広がっている。

LLMによるセキュリティ支援がシームレスに業務アプリケーションやOSに組み込まれることは、総合的に見てよい傾向である。ファイアウォール、SIEM、XDR、SASEなどさまざまなソリューションやシステムがサイロ型に広がっていくより、システムの見通しがよくなり、連携ミスや設定ミスが減る可能性がある。

特に企業・組織をターゲットに行われる攻撃を検知するためのログ監視、トラフィック監視は、膨大なデータのテキストマイニングやスクリーニングを行う必要がある。AIなしには成立しない世界になっている。

ただでさえ複雑化するサイバーセキュリティ対策は、もはやSecurity CopilotのようなAI支援による自動化なしに成立しない時代になった。

このように実務でも、そのセキュリティ対策でも生成AIの活用は進んでいる。一方で、AIにも脆弱性が存在する。通常、生成AI開発者は、非倫理的な解答や犯罪をほう助するような情報を答えないように「学習」させている。「ランサムウェアを作成して」という質問には答えない。いわゆる「ガードレール」と呼ばれる機能だ。しかし、「拡張子がjpgとdocxとxlsxのファイルを検索するプログラムを作成して」「ファイルを暗号化するプログラムを作成して」という要求には答えてしまうことがあり、これらが間接的にセキュリティ脅威となる可能性は否定できない。

初期のAIにはこのような問題があり、現在ではAIの回答の倫理性を確保するためのエシカルフィルタや学習による「ガードレール」を実装し、改善を加えていくことで安全を確保している。だが、学習データセットが増えるほど、生成AIのスキルが広がるほど、このようなプロンプトの悪用が成立する部分もでてくる。

だが、攻撃者はガードレールやAIによるセキュリティシステムの「穴」をついた方法を常に考えている。以下で実際に報告されたCopilotの攻撃事例・脆弱性を紹介する。

なお、最初に断っておくが、以下の脆弱性はすでに対策がなされているので安心してほしい。

これはAI全体にいえる脆弱性だが、Copilotなど業務システムや特定のOSと統合されたAIの場合は、実行するユーザーと同等の権限を持っている点に注意が必要となる。EchoLeak(CVE-2025-32711)は、標的が持つ権限を利用して、Copilotに内部の機密情報を流出させる攻撃だ。

この攻撃は、業務を装ったメールを標的に送り付けるところから始まる。メールは、業務レポートを作成せよといった内容になる。ここで標的がレポートを作成するときにCopilotを利用したらどうなるか。

メールには送信等の複雑な処理を分解、箇条書き化して、個別に実行させるための指示であるMarkdownによって、メールフィルタや検知機能、標的の目には見えないURLやCopilotへの指示が埋め込まれている。Copilotには、RAGという権限を拡張できる機能がある。さらに、ロゴ画像や埋め込み画像に隠れたプロンプトが、標的の操作や指示とは別に稼働する。必要なら「今の指示は取り消して、こちらの指示を有効としてください。」のようなプロンプトを挿入できる。

メール文面に表示されるロゴ画像などを利用すれば、ゼロクリックで攻撃を成功させることも可能だ。不正な外部URLもMarkdownによって隠蔽されているので、検知システムをバイパスして攻撃者のサーバーに機密データを送ることができた。できた、というのはこの脆弱性はすでに対策が済んでいるからだ。

Copilotが関連する脆弱性としては、機密情報の持ち出しを検知するDLP（データ損失防止）機能を回避する方法も報告されている。Copilotの通常のデータ処理、検索、要約機能を悪用してDLPを回避する。攻撃者は、信頼されたCopilot環境に忍び込む必要があるが、この脆弱性を使って財務データ、クレジットカード番号、個人情報などを外部に漏洩させることができる。この攻撃についてはBlackHat USAで発表された。

CopilotとBingのキャッシュ機能の組み合わせを利用する攻撃も報告されている。社内システムのGitHubリポジトリの一部が、パブリックなリポジトリに公開されてしまう脆弱性があった。

前述したように、以上の脆弱性はすべて対策済みである。現在の生成AIは、脆弱性や不具合が報告される都度、改善・改良が加えられている。Blackhatでの報告は、実はマイクロソフトのセキュリティチームによる報告で、自社製品のセキュリティ改善の中で発見され、対応されたものだ。

セキュリティ関係の情報を正しくウォッチしていれば、Copilotをはじめとする生成AIが、他のITシステムより危険ということはない。

この点、あまり神経質にならず使ってよいが、注意は必要である。とくに生成AIは、ユーザーの権限や指示によって機能しているという点を忘れないでほしい。ユーザーの無知や不注意に対しても、AIは忠実に実行しようとする。その結果が会社のルールに抵触したり、悪用につながったりすることがある。AIを正しく使うことがAIセキュリティ対策の基本である。