Microsoft Purview DSPM for AI 完全ガイド:AI時代のデータセキュリティ態勢管理
はじめに
Microsoft 365 CopilotやCopilot ChatをはじめとするジェネレーティブAIの利用が急速に拡大する中、「AIがどのような機密データにアクセスし、何を出力しているか」を把握・制御することが組織の重要課題となっています。
Microsoft Purview DSPM for AI(Data Security Posture Management for AI) は、AIアプリケーションやエージェントが処理する機密データを可視化し、セキュリティリスクを継続的に評価・改善するための統合プラットフォームです。
本記事では、DSPM for AIの全体像から具体的な機能、実際の設定手順まで実務に即した形で解説します。
UIについての注記(2026年3月時点) 現在、従来の DSPM for AI(クラシック) と、新しい 統合DSPMエクスペリエンス(パブリックプレビュー) の2つが並行して存在します。本記事では、一般提供(GA)済みのクラシック機能を基本として説明し、プレビューで追加・変更された機能は「[プレビュー]」と明示して解説します。
1. DSPM for AIとは
1.1 基本コンセプト
DSPM for AIは、AIシステムが組織の機密データを処理する際のリスクを「事前に発見し、継続的に保護する」ことを目的としています。
従来のデータ保護では「人がデータにアクセスする」ことが前提でしたが、AIの登場により「AIエージェントが自律的にデータを処理する」という新しいリスク面が生まれました。DSPM for AIはこのギャップを埋めるソリューションです。
アクセスするデータを特定] D --> H[機密データの
過剰共有リスク検出] E --> I[機密ラベル・DLP・
保持ポリシーを自動適用] F --> J[プロンプト・応答の
アクティビティログ]
1.2 対象AIアプリケーション
DSPM for AIが監視・保護の対象とするAIアプリケーションには以下が含まれます。
| カテゴリ | 具体例 |
|---|---|
| Microsoft Copilot | M365 Copilot、Copilot Chat、Copilot Studio製エージェント |
| Microsoft AI製品 | Azure OpenAI Service、Copilot in Edge |
| サードパーティAI | ChatGPT、Gemini、Claude、Miro AI など |
| [プレビュー] クラウドサービス | Salesforce、Databricks、Snowflake、Google Cloud Platform |
1.3 クラシックとプレビューの位置づけ
クラシック] --> C[新統合DSPM
パブリックプレビュー] B[DSPM for AI
クラシック] --> C C --> D[GA予定
2026年4〜5月] style C fill:#ffe0b2,stroke:#ff9800 style D fill:#e8f5e9,stroke:#4caf50
現時点では、クラシック版のDSPM for AIは引き続き利用可能で、設定・ポリシーは新しいプレビュー版に自動引き継ぎされます。
2. ライセンス要件
2.1 必要なライセンス
| ライセンス | 利用可能な機能 |
|---|---|
| Microsoft 365 E5 | DSPM for AIの全機能 |
| Microsoft Purview Suite(旧M365 E5 Compliance) | DSPM for AIの全機能 |
| Microsoft 365 E3 + Purview アドオン | 主要機能(一部制限あり) |
| Microsoft 365 Business Premium | 機密ラベル・基本DLPのみ |
2.2 必要なロール
| ロール | 権限 |
|---|---|
| コンプライアンス管理者 | 全設定・ポリシー管理 |
| Data Security Viewer | ダッシュボード閲覧のみ(最低限必要) |
| グローバル管理者 | 初回オプトイン設定 |
3. 主要機能の詳細
3.1 AIハブ(ダッシュボード)
AIハブは、DSPM for AIの中心となるダッシュボードで、組織内のAI利用状況とデータリスクを一覧できます。
主要な表示情報:
- AIアプリごとのアクセスデータ量・機密情報件数
- 機密ラベル未付与のリスクファイル数
- アクティブなポリシーの適用状況サマリー
3.2 データ探索・リスク評価
自動週次リスク評価
DSPM for AIを有効化すると、追加設定なしで以下が自動実行されます。
- 利用頻度上位100件のSharePointサイトを週次でスキャン
- 機密情報が含まれるファイルと過剰共有リスクを特定
- 機密ラベル未付与ファイルの一覧を生成
カスタムデータ評価
特定のシナリオに対してカスタム評価を実行できます。
- AIハブ → 推奨事項 → データ評価を実行
- スキャン対象(SharePoint、OneDrive、Exchange など)を選択
- 対象ユーザー・グループ・サイトを指定
- 評価結果を確認し、優先対応が必要なデータを特定
3.3 アクティビティエクスプローラー
Copilotやその他AIアプリでのユーザー操作を詳細に記録・確認できます。
確認できる情報:
| 項目 | 内容 |
|---|---|
| ユーザーの入力プロンプト | 実際に入力したテキスト |
| AIの応答内容 | 生成されたレスポンス |
| 検出された機密情報 | 個人情報・機密文書の種類と件数 |
| DLPポリシーマッチ | 適用されたポリシーとアクション |
| 対象AIアプリ | M365 Copilot、ChatGPT など |
| タイムスタンプ・ユーザー情報 | 操作日時・ユーザー名 |
注意: アクティビティエクスプローラーでプロンプト内容を表示するには、Microsoft 365 Copilot用のPurview監査設定が有効になっている必要があります。
3.4 推奨事項(Recommendations)
DSPM for AIは、組織のデータプロファイルに基づいてパーソナライズされた推奨事項を提示します。
主な推奨カテゴリ:
3.5 ワンクリックポリシー
複数のPurviewソリューションにまたがるポリシーを1クリックで一括展開できます。
| ポリシー名 | 適用先 | 目的 |
|---|---|---|
| Copilotインタラクション保護 | DLP + 監査 | M365 Copilotでの機密データ処理を制限・記録 |
| AI利用の異常検知 | Insider Risk Management | AIの異常な大量アクセスを検知 |
| AIプロンプト監視 | Communication Compliance | 不適切なプロンプトをポリシー違反として検出 |
[プレビュー] 新統合DSPMでの変更点: プレビュー版では、ワンクリックポリシーが「シナリオベースのガイド付きワークフロー」に刷新され、ビジネス目標に応じた推奨アクションが自動的に提示されるようになります。
4. [プレビュー] 新統合DSPMエクスペリエンス
2025年12月のIgnite 2025で発表された新しい統合DSPMエクスペリエンス(パブリックプレビュー)では、従来の「DSPM(クラシック)」と「DSPM for AI(クラシック)」が一つのインターフェースに統合されます。
プレビュー期間: 2025年12月〜2026年4月(ワールドワイド) GA予定: 2026年4月〜5月
4.1 [プレビュー] Data Security Posture Agent
新しいAIエージェント機能として、LLMを活用したData Security Posture Agentが追加されています。
Posture Agent participant Data as 組織データ participant Report as レポート生成 Admin->>Agent: 「M&A関連の機密ファイルを調査して」 Agent->>Data: コンテキストを考慮した分析 Data-->>Agent: ファイルセット・アクセス状況 Agent->>Report: 自動レポート生成 Report-->>Admin: 発見事項・推奨アクション
主な能力:
- 特定のビジネスシナリオ(M&A情報、PO番号など)に対するコンテキスト分析
- ファイルセットの自動レポート生成
- データセキュリティインシデントのAI支援トリアージ
4.2 [プレビュー] サードパーティ統合
新統合DSPMでは、パートナー経由でクラウドサービスのデータ可視性も拡張されます。
| 統合サービス | プロバイダー | 対応状況 |
|---|---|---|
| Salesforce | Varonis | プレビュー |
| Databricks | BigID | プレビュー |
| Snowflake | Cyera | プレビュー |
| Google Cloud Platform | OneTrust | プレビュー |
データはMicrosoft Sentinel Data Lakeを経由して統合管理されます。
4.3 [プレビュー] 強化されたポスチャーレポート
新しいダッシュボードでは、エグゼクティブ向けのレポート機能が強化されています。
- KPIベースのメトリクス表示
- トレンド分析と予測
- コンプライアンス状況のサマリービュー
[プレビュー] 注意事項: プレビュー版への移行は自動で行われ、既存の設定・ポリシーはそのまま引き継がれます。クラシック版も引き続き利用可能です。
5. 具体的な設定手順
5.1 DSPM for AIの有効化
手順:
- Microsoft Purview ポータル にアクセス
- 左メニューから ソリューション → DSPM for AI を選択
- 初回アクセス時にオプトイン画面が表示される
- 「有効にする」をクリック
オプトイン時に自動で有効化される機能:
- Insider Risk Management の分析機能
- Data Loss Prevention の分析機能
- 上位100 SharePointサイトの週次リスク評価
5.2 機密ラベルの作成・適用
組織に機密ラベルがまだ存在しない場合、DSPM for AIから直接作成できます。
手順:
- AIハブの推奨事項タブを開く
- 「機密ラベルでデータを保護する」の推奨事項を選択
- 「基本ラベルセットを作成する」をクリック
- 自動生成されるラベル(例):
| ラベル名 | 用途 |
|---|---|
| 公開 | 外部公開可能な情報 |
| 社内限 | 社内のみで共有可能 |
| 機密 | 特定グループのみアクセス可 |
| 極秘 | 最高レベルの保護が必要 |
- ラベルポリシーが自動作成される
- 詳細設定は 情報保護 → ラベル から個別に編集可能
ポイント: 既存の機密ラベルがある場合、このステップはスキップされます。
5.3 Copilot向けDLPポリシーの設定
M365 Copilotが機密ラベル付きデータにアクセスした際のアクションを制御します。
手順:
- AIハブの推奨事項タブを開く
- 「Microsoft 365 Copilotで参照される機密データを保護する」を選択
- DLPポリシーの設定画面が起動
- 以下の項目を設定:
【保護対象の機密ラベル】
✓ 機密
✓ 極秘
【アクション】
○ ブロック(Copilotがそのデータを参照できないようにする)
○ 警告表示のみ(管理者への通知・ユーザーへの警告)
○ 監査記録のみ(ブロックせず記録)
【スコープ】
○ 全ユーザー
○ 特定のユーザー・グループ
- ポリシーを保存して有効化
- 注意: ポリシーが「ポリシー」ページに反映されるまで最大24時間かかる
5.4 AIアクティビティの監視設定
Purview監査の有効化(前提条件)
- Microsoft Purview コンプライアンスポータル にアクセス
- 監査 → 監査を開始する をクリック(まだ有効でない場合)
- M365 Copilotの監査ログが収集されるまで最大24時間待機
アクティビティエクスプローラーの使用
- AIハブのAIアクティビティタブを開く
- フィルターを設定:
| フィルター | 選択例 |
|---|---|
| 日付範囲 | 過去30日 |
| AIアプリ | Microsoft Copilot |
| 機密情報の種類 | 個人識別番号、クレジットカード番号 |
| ポリシーマッチ | DLPポリシー違反のみ |
- 一覧から対象のインタラクションをクリック
- プロンプト内容・応答・検出された機密情報の詳細を確認
5.5 週次リスク評価レポートの確認
- AIハブの概要タブを開く
- 「データリスク評価」セクションで最新の評価結果を確認
- 「機密データを含むファイルを表示」 をクリックして詳細一覧へ
- 機密ラベル未付与のリスクファイルを特定し、優先的に対応
6. 実装フロー全体像
設定済み?} B -- いいえ --> C[推奨事項から
基本ラベルセットを作成] B -- はい --> D C --> D[Copilot向けDLPポリシーを設定] D --> E[Purview監査を有効化] E --> F[週次リスク評価レポートを確認] F --> G{リスクファイルあり?} G -- あり --> H[機密ラベルを手動/自動付与] G -- なし --> I[アクティビティエクスプローラーで
定期監視] H --> I I --> J{ポリシー違反
検出?} J -- 検出 --> K[インシデント対応・
ポリシー見直し] J -- なし --> L{新しい推奨事項?} K --> L L -- あり --> D L -- なし --> F
7. よくある質問
Q1. クラシック版とプレビュー版、どちらを使えばよい?
現時点(2026年3月)では、クラシック版が本番環境での安定した選択肢です。プレビュー版を試したい場合は、テナント管理者がPurviewポータルからプレビュー版に切り替えることができます。GAは2026年4〜5月を予定しています。
Q2. DSPM for AIを有効にするとコストは発生する?
基本的なDSPM for AI機能(ダッシュボード、週次評価、ワンクリックポリシー)はMicrosoft 365 E5ライセンスの範囲内で利用できます。ただし、Purviewの高度なデータ処理(大規模スキャン、コンテンツキャプチャ)は従量課金が発生する場合があります。
Q3. サードパーティAI(ChatGPT等)のアクティビティも監視できる?
監視可能な情報: ユーザーがChatGPTなどのAIサイトにアクセスしたこと、ブラウザ経由のプロンプトに機密情報が含まれていたこと(Purview拡張機能が必要)。
監視不可な情報: サードパーティAIが返した応答内容(APIアクセスの場合は異なる)。
Q4. DLPポリシーで「ブロック」に設定するとCopilotはどう動作する?
ユーザーが機密ラベル付きファイルをプロンプトで参照しようとした場合、Copilotは「このコンテンツはポリシーにより処理できません」といったメッセージを表示し、該当データを応答に含めません。
8. まとめ
Microsoft Purview DSPM for AIは、AI利用が当たり前になった現代の組織において、データセキュリティを維持するための重要な基盤です。
| フェーズ | 取り組み |
|---|---|
| 発見 | 自動週次評価でリスクファイルを特定 |
| 保護 | 機密ラベル・DLPポリシーで未然に防ぐ |
| 監視 | アクティビティエクスプローラーで継続監査 |
| 改善 | 推奨事項に基づいてポリシーを継続的に強化 |
2026年前半には新統合DSPMエクスペリエンスがGAとなり、AI Agentによる自動分析やサードパーティ統合が標準機能として利用できるようになる予定です。今のうちにクラシック版で基礎設定を整えておくことで、新機能への移行もスムーズに行えます。