Microsoft Security Copilot 完全ガイド：具体的な機能と設定手順2026

はじめに

Microsoft Security Copilot（旧称：Copilot for Security）は、セキュリティおよびIT担当者がサイバー脅威への対応、シグナルの処理、リスク評価をAIのスピードとスケールで実行できるよう支援する生成AI製品です。

2025年11月のIgnite 2025では、Microsoft 365 E5への無償組み込みと40以上の新しいエージェントが発表され、Security CopilotはMicrosoftセキュリティ製品の中核的な存在へと進化しました。

本記事では、Security Copilotの全体像から具体的な機能、設定手順まで実務に即した形で解説します。

1. Security Copilotとは

1.1 基本コンセプト

Security Copilotは2つのアクセス方法を提供します。

graph LR A[Security Copilot] --> B[スタンドアロン体験] A --> C[埋め込み体験] B --> D[securitycopilot.microsoft.com] C --> E[Defender XDR ポータル] C --> F[Microsoft Entra] C --> G[Microsoft Intune] C --> H[Microsoft Purview] C --> I[Defender for Cloud]

アクセス方法	概要	用途
スタンドアロン	専用ポータルで自由なプロンプト入力	複雑な調査、カスタムクエリ、プロンプトブック実行
埋め込み	各セキュリティ製品の画面内に統合	日常業務の中でのリアルタイム支援

1.2 処理フロー

sequenceDiagram participant U as セキュリティ担当者 participant SC as Security Copilot participant P as プラグイン群 participant LLM as OpenAI LLM U->>SC: プロンプト入力 SC->>P: 必要なプラグインを選択 P->>SC: セキュリティデータ取得 SC->>LLM: コンテキスト付きで推論依頼 LLM->>SC: 回答生成 SC->>U: 自然言語で回答・推奨アクション

プロンプトに対してSecurity CopilotはMicrosoftプラグイン（Defender XDR、Microsoft Defender脅威インテリジェンス等）やサードパーティプラグインを活用し、セキュリティ固有の文脈を持った回答を生成します。

2. ライセンスと価格

2.1 Microsoft 365 E5 無償組み込み（2025年11月〜）

Ignite 2025の発表により、Microsoft 365 E5ライセンス保有者はSecurity Copilotが追加費用なしで利用可能になりました。

M365 E5ユーザー数	無償SCU数/月
〜999ユーザー	ユーザー数 × 0.4 SCU
1,000ユーザー	400 SCU
4,000ユーザー	1,600 SCU
10,000ユーザー以上	最大10,000 SCU（上限）

注意: E5顧客向けのSCUは毎月リセットされます。未使用分の繰り越しはできません。

ロールアウトは2025年11月18日に既存のSecurity CopilotユーザーからE5顧客向けに開始され、順次すべてのM365 E5顧客に展開されています。

2.2 SCU（Security Compute Unit）の仕組み

E5以外のお客様は従量課金でSCUを購入します。

graph TD A[SCU - Security Compute Unit] --> B[プロビジョニングSCU] A --> C[オーバーエージSCU] B --> D[$4/時間・確保型] C --> E[$6/時間・使用時のみ課金] D --> F[最低1SCUから] E --> G[0〜999 SCUで設定可能]

課金例:

プロビジョニング4 SCU × $4 = $16
オーバーエージ3.2 SCU × $6 = $19.2
合計: $35.20/時間

コスト最適化のポイント: SCUの変更は毎時間の開始時に行うと最もコスト効率が良くなります。時間単位での最低課金が発生するためです。

3. 初期セットアップ手順

3.1 M365 E5ユーザーの場合（自動プロビジョニング）

対象テナントには自動的にSecurity Copilotがプロビジョニングされます。Azure設定や追加の同意フローは不要です。

https://securitycopilot.microsoft.com にアクセス
サインイン後、ワークスペースが自動作成されていることを確認
ロール割り当てを確認・調整（後述）

3.2 E5以外のユーザーの場合（手動プロビジョニング）

前提条件:

Azureサブスクリプションが必要
グローバル管理者またはセキュリティ管理者ロール

セットアップ手順:

ステップ1: Security Copilotポータルへのアクセス
  ↓
  https://securitycopilot.microsoft.com へアクセス
  「はじめに」を選択

ステップ2: ワークスペースの作成
  ↓
  ワークスペース名を入力 → 「続行」を選択

ステップ3: セキュリティキャパシティの設定
  ↓
  - Azureサブスクリプションを選択
  - リソースグループを指定
  - キャパシティ名を入力
  - プロンプト評価ロケーションを選択（日本の場合: Japan East推奨）
  - SCU数を指定（入門利用は3 SCUを推奨）
  - オーバーエージSCU数を設定

ステップ4: 確認と作成
  ↓
  利用規約を確認 → 「確認と作成」を選択

Azureポータルからのプロビジョニングも可能です（Azure Portal → Security Copilot → キャパシティ作成）。

3.3 データ所在地の設定

プロンプト評価ロケーションは、プロンプトと応答のデータが処理・保存される地域を決定します。日本のお客様はJapan Eastを選択することでコンプライアンス要件を満たせます（2025年末より対応）。

4. ロールと権限の設定

4.1 Security Copilot固有のロール

Security CopilotはMicrosoft Entra IDのロールとは別に、プラットフォーム固有の2つのロールを持ちます。

ロール	説明	デフォルト付与
Security Copilot オーナー	設定変更、ロール割り当て、プラグイン管理、SCU管理が可能	なし（明示的に割り当て）
Security Copilot コントリビューター	プロンプト実行、プロンプトブック使用が可能	テナント全ユーザーに付与

重要: これらのロールはSecurity Copilotプラットフォームへのアクセスを制御するのみで、セキュリティデータ自体へのアクセスは制御しません。セキュリティデータへのアクセスは各製品（Defender XDR等）のロール設定に依存します。

4.2 ロール割り当て手順

Security Copilot ポータル → ホームメニュー → ロール割り当て
  ↓
ユーザーまたはグループを検索
  ↓
「Security Copilot オーナー」または「Security Copilot コントリビューター」を選択
  ↓
「割り当て」をクリック

4.3 最小権限の原則に基づく設定例

5. プラグインの設定と管理

5.1 プラグインの種類

プラグインはSecurity Copilotの中核機能です。外部システムやデータソースとの連携を実現します。

graph LR SC[Security Copilot] --> M[Microsoftプラグイン] SC --> T[サードパーティプラグイン] SC --> C[カスタムプラグイン] M --> M1[Microsoft Defender XDR] M --> M2[Microsoft Sentinel] M --> M3[Microsoft Entra] M --> M4[Microsoft Intune] M --> M5[Defender Threat Intelligence] M --> M6[Microsoft Purview] T --> T1[ServiceNow] T --> T2[Splunk] T --> T3[VirusTotal] T --> T4[Red Canary] T --> T5[GreyNoise] T --> T6[Jamf] C --> C1[独自API連携] C --> C2[社内ナレッジベース]

5.2 プラグインの有効化手順

Security Copilotポータルにアクセス
ホームメニュー → プラグイン設定
「Microsoftプラグイン」「Microsoft以外のプラグイン」「カスタムプラグイン」からカテゴリを選択
使用するプラグインを有効化
一部プラグインはパラメータ（API キー、エンドポイント等）の設定が必要

5.3 主要Microsoftプラグインの機能

プラグイン	主な機能
Microsoft Defender XDR	インシデント情報取得、アラート分析、デバイス情報
Microsoft Sentinel	KQLクエリ実行、インシデント取得、ログ分析
Defender Threat Intelligence	脅威インテリジェンス参照、IOC分析
Microsoft Entra	ユーザーリスク情報、サインインログ分析
Microsoft Intune	デバイスコンプライアンス、セキュリティポスチャー
Microsoft Purview	データリスク情報、コンプライアンス状態
Natural Language to KQL	自然言語からKQLクエリ自動生成

6. スタンドアロン体験の機能

6.1 プロンプトの活用

Security CopilotではOpenAIの大規模言語モデルを活用し、自然言語でセキュリティ業務を実行できます。

活用シナリオ例:

# インシデント調査
「Defender XDRのインシデント #1234 の詳細を教えてください」
→ インシデントの全体像、関連アセット、タイムラインを要約

# 脅威インテリジェンス
「IPアドレス 198.51.100.1 の脅威情報を調べてください」
→ IOCデータ、関連脅威アクター、マルウェアファミリーを表示

# スクリプト分析
「このPowerShellスクリプトの動作を説明してください」
→ 難読化解除、処理内容説明、リスク判定

# KQL生成
「過去24時間の失敗したサインインを検索するKQLを書いてください」
→ 即座に実行可能なKQLクエリを生成

6.2 プロンプトブック

プロンプトブックは複数のプロンプトを順序立てて実行する「セキュリティワークフローテンプレート」です。

graph TD PB[プロンプトブック] --> S[システム提供] PB --> C[カスタム作成] S --> S1[インシデント調査] S --> S2[脅威アクター調査] S --> S3[脆弱性評価] S --> S4[エグゼクティブサマリー生成] C --> C1[組織固有のワークフロー] C --> C2[繰り返し作業の自動化]

システム提供のプロンプトブック例:

プロンプトブック名	概要	必要プラグイン
インシデント調査（Defender XDR）	インシデントの詳細分析→エグゼクティブレポート生成	Microsoft Defender XDR
インシデント調査（Sentinel）	Sentinelインシデントの包括調査	Microsoft Sentinel
脅威インテリジェンスブリーフィング	最新の脅威情報をまとめたレポート生成	Defender Threat Intelligence
脆弱性評価	CVE情報と影響範囲の分析	Microsoft Defender XDR

カスタムプロンプトブックの作成手順:

Security Copilotポータル → プロンプトブックライブラリ
「新しいプロンプトブック」を選択
プロンプトブック名と説明を入力
プロンプトを順番に追加（前のプロンプトの出力を次のプロンプトで参照可能）
必要なプラグインを確認
公開範囲（自分のみ/組織全体）を設定

6.3 ファイルアップロード機能

調査対象のファイル（マルウェアサンプル、ログファイル等）をアップロードして分析できます。

オーナー設定でアップロード権限を制御可能:

無効: ファイルアップロード不可
コントリビューターとオーナー: 両ロールがアップロード可能

7. 埋め込み体験：各製品との統合

7.1 Microsoft Defender XDR

Defenderポータル内でSecurity Copilotが統合され、調査・対応を大幅に効率化します。

graph TD DXR[Defender XDR ポータル] --> IS[インシデントサマリー] DXR --> GR[ガイデッドレスポンス] DXR --> SA[スクリプト分析] DXR --> DS[デバイスサマリー] DXR --> IR[アイデンティティリスク] DXR --> DA[Dynamic Threat Detection Agent] IS --> IS1[攻撃の概要・関連アセット・タイムラインを自動生成] GR --> GR1[インシデント固有の対応手順を推奨] SA --> SA1[難読化スクリプトの解析・リスク判定] DS --> DS1[デバイスセキュリティポスチャー・脆弱ソフト一覧] IR --> IR1[ユーザーリスク・サインイン行動・デバイス情報] DA --> DA1[常時稼働のエージェント型継続監視]

インシデントサマリーの活用例:

Defenderポータルでインシデントを開く
「Copilotでサマリーを生成」をクリック
攻撃の全体像、影響を受けたアセット、攻撃タイムラインが数秒で表示
「次のステップ」として推奨アクションも自動提示

フィッシングトリアージエージェント（Public Preview）:

提出されたメールをLLMで深層分析
URL・ファイル・コンテンツを包括的に評価
フィッシング/誤検知を自動判定
アナリストのフィードバックで継続学習

7.2 Microsoft Entra

アイデンティティ管理業務にAI支援を提供します。

機能	説明
リスクユーザー調査	危険なサインイン、異常な行動パターンの特定
アクセスレビューエージェント	不審なパターンを自動フラグ付け、レビュー疲れを軽減
アプリケーションリスク分析	未使用アプリ、未検証パブリッシャーのアプリを特定
アイデンティティライフサイクル	入社・異動・退職のワークフロー自動化支援
条件付きアクセス最適化	既存ポリシーの改善提案

7.3 Microsoft Intune

デバイス管理とセキュリティ対応を効率化します。

デバイスコンプライアンス状態のAI分析
脆弱なデバイスの優先順位付け
修復手順の自動提案
セキュリティベースラインとのギャップ分析

7.4 Microsoft Purview

データセキュリティとコンプライアンス業務を支援します。

機密データのリスク評価
DLPポリシー違反の調査支援
eDiscoveryケースのKQL/KeyQL自動生成
コンプライアンス状態のサマリー生成

7.5 Microsoft Defender for Cloud

クラウドセキュリティポスチャー管理（CSPM）との統合:

推奨事項の優先順位説明
修復手順のステップバイステップガイド
攻撃パスのリスク分析

8. AIエージェントの活用

8.1 エージェントとは

Ignite 2025でMicrosoftは40以上の新しいエージェントを発表しました。エージェントは特定のセキュリティタスクを自律的に実行するAIワーカーです。

graph LR Agents[Security Copilotエージェント] --> MS[Microsoftエージェント] Agents --> PA[パートナーエージェント] Agents --> CA[カスタムエージェント] MS --> D[Defenderエージェント群] MS --> E[Entraエージェント群] MS --> I[Intuneエージェント群] MS --> P[Purviewエージェント群] PA --> SEC[セキュリティベンダー30社以上] CA --> NO[コード不要で作成可能]

8.2 主要エージェント一覧

Microsoft提供エージェント（プレビュー含む）:

エージェント	製品	機能
フィッシングトリアージエージェント	Defender	メール提出物のLLM深層分析、自動判定
Dynamic Threat Detection Agent	Defender	常時稼働の継続的脅威監視
アクセスレビューエージェント	Entra	アクセスレビューの自動化、リスクフラグ付け
リスクユーザー修復エージェント	Entra	リスクユーザーの自動修復
アラートトリアージエージェント	Defender	アラートの自動優先順位付け
脆弱性修復エージェント	Defender/Intune	脆弱性修復の優先順位と手順提示

パートナーエージェント例:

エージェント	ベンダー	機能
フォレンジックエージェント	glueckkanja AG	Defender XDRインシデントの深層フォレンジック分析
その他30社以上	各セキュリティベンダー	Microsoft Security Storeから入手可能

8.3 カスタムエージェントの作成

コーディング不要で組織固有のエージェントを作成できます:

Security Copilotポータル → エージェントライブラリ
「新しいエージェント」を選択
エージェント名、説明、対象タスクを設定
使用するプラグインを選択
プロンプトシーケンスを設定
テスト後、ワークスペースにデプロイ

9. オーナー設定とガバナンス

9.1 ワークスペース管理

ワークスペースを使うと、組織内でSecurity Copilotの利用を論理的に分割できます。

graph TD T[テナント] --> W1[ワークスペース: SOCチーム] T --> W2[ワークスペース: コンプライアンスチーム] T --> W3[ワークスペース: インフラチーム] W1 --> R1[専用SCU配分] W1 --> P1[専用プラグイン設定] W1 --> A1[専用エージェント] W2 --> R2[専用SCU配分] W3 --> R3[専用SCU配分]

ワークスペースで設定できる項目:

アクセス権限（ユーザー・グループ）
SCU配分
利用可能なプラグイン
デプロイするエージェント
プロンプトブックライブラリ

9.2 使用量モニタリング

アクセス方法: ホームメニュー → オーナー設定 → 使用量モニタリング

期間別SCU消費量の可視化
ワークスペース別の使用量内訳
プロンプト種別ごとの消費量

SCU最適化のヒント:

SCU容量計算ツールを使って適切なSCU数を算出
ピーク時はオーバーエージSCUを活用
使用量ダッシュボードで定期的にトレンドを確認

9.3 Microsoft Purview監査連携

Security Copilotのすべてのプロンプトと応答をMicrosoft Purviewで監査ログとして記録できます。

設定手順:

オーナー設定 → Microsoft Purviewでの監査データのログ記録
「許可する」を選択（Purviewがデータをアクセス・処理・コピー・保存することを許可）
Microsoft Purview コンプライアンスポータルで監査ログを確認

9.4 Copilot Control System（Microsoft 365管理センター）

2025年7月に導入されたCopilot Control Systemは、M365管理センター内でSecurity Copilotを含む組織全体のCopilotガバナンスを一元管理します。

機能	説明
テナント全体の可視性	アクティブなCopilotエージェントと使用傾向
セキュリティレポート	プロンプトソース、データ共有イベント、制限クエリ
コンプライアンス監視	DLP違反、コンプライアンスドリフトの統合インサイト
ポリシー最適化	ユーザー行動に基づいたポリシー改善推奨

10. 実践的な活用シナリオ

10.1 SOC（セキュリティオペレーションセンター）での活用

graph TD A[アラート発生] --> B[Defenderポータルでインシデント確認] B --> C{Security Copilotで調査} C --> D[インシデントサマリー生成] D --> E[影響範囲・タイムライン把握] E --> F[ガイデッドレスポンスで対応手順確認] F --> G[スクリプト分析・IOC調査] G --> H[プロンプトブックでエグゼクティブレポート生成] H --> I[対応完了・事後レビュー]

期待される効果:

インシデント対応時間を数時間 → 数分に短縮
アナリストが手動で書いていたKQLを自動生成
経験の浅いアナリストでも高度な調査が可能に

10.2 脅威ハンティング

Natural Language to KQLプラグインで検索クエリを生成
Defender Threat Intelligenceで最新のIOCを確認
組織環境への影響を評価
詳細レポートをプロンプトブックで自動生成

10.3 脆弱性管理

Defenderポータルの脆弱性画面でCopilotを起動
CVEの詳細・エクスプロイト状況を確認
影響を受けるデバイスの一覧と優先順位
パッチ適用手順の自動提案

11. セキュリティと信頼性

11.1 データプライバシー

プロンプトと応答はモデルのトレーニングに使用されません
テナントデータは他のテナントと共有されません
データ所在地の選択が可能（日本: Japan East）

11.2 責任あるAI

Microsoft Responsible AIの原則に従って設計
有害なコンテンツや誤情報のフィルタリング
AIが生成した内容であることの透明性確保
Human-in-the-loopアーキテクチャ（最終判断は人間）

まとめ

Microsoft Security Copilotは2026年現在、以下の点で組織のセキュリティ運用に大きな変革をもたらしています。

観点	従来	Security Copilot導入後
インシデント調査	手動でログ確認・数時間	AI自動サマリー・数分
KQL作成	専門知識が必要	自然言語から自動生成
脅威インテリジェンス	複数ポータルを横断確認	統合された自然言語回答
レポート作成	手動記述・時間がかかる	プロンプトブックで自動生成
対応範囲	経験者に依存	アナリストのレベル差を縮小

M365 E5ライセンス保有の組織はすでにSecurity Copilotが利用可能な状態にあります。まずは少数のSOCアナリストによるパイロット運用から始め、プロンプトブックの整備やカスタムエージェントの構築へと段階的に展開することをお勧めします。