2026 年 5 月 25 日、Hacker News で Microsoft Copilot Cowork Exfiltrates Files が公開され、企業 IT 部門・セキュリティチームに大きな衝撃が走りました。研究者は Microsoft 365 Copilot Cowork(社外参加者を含むコラボレーション機能)において、間接プロンプトインジェクションと Copilot の組織内ファイル参照権限を組み合わせることで、**「招待されたゲストが Copilot に質問するだけで、社内 SharePoint / OneDrive / Teams のファイル内容を抽出 → 外部に送信」できる攻撃手法を公開しました。同時期、InfoQ では Microsoft Introduces MDASH for Large-Scale AI Vulnerability Research が公開され、「AI を経由したデータ漏洩」**が 2026 年の最大級のエンタープライズリスクとして位置付けられています。
受託で中堅企業の AI ガバナンス / 情報漏洩対策を支える立場では、これは **「ファイル単位のアクセス権 + 監査ログ」を中心としてきた 既存 DLP(Data Loss Prevention)が、「AI が文脈をまたいでデータを抽出する」新しい攻撃面に対応できない現実を意味します。これまで Claude Cowork 企業導入受託 で扱った Cowork 統制、Hyatt × ChatGPT Enterprise 受託 で扱った 非 IT 業界 AI 全社展開、Google Workspace セキュリティ受託 で扱った Workspace 統制と接続して、「AI 経由のデータ漏洩を防ぐ DLP 設計」**を 受託パッケージとして整理します。
なぜ「AI DLP が分水嶺」なのか
| 観点 | 既存 DLP(ファイル中心) | AI 時代の DLP(コンテキスト中心) |
|---|---|---|
| 検知単位 | ファイル / 添付 / メール | プロンプト + 応答 + 文脈参照 |
| 権限モデル | アクセス権 / 共有設定 | + LLM の参照範囲 / コンテキスト履歴 |
| 間接プロンプトインジェクション | 想定外 | 第一級リスクとして扱う |
| ゲストユーザー | ファイル閲覧権で制限 | + AI 経由の質問権限を制限 |
| データ抽出経路 | コピー / ダウンロード / メール送信 | + AI が要約・翻訳・整形して提供 |
| 監査 | アクセスログ | + プロンプト / 応答ログ |
| 対象 LLM | なし | Copilot / Gemini / Claude / Bedrock |
| 影響範囲 | 漏洩したファイル | 横展開された業務知識全般 |
つまり AI DLP は **「アクセス権がある = 安全」という前提を捨て、「AI が誰の文脈で何を組み合わせて出力したか」**を 監査対象にする 構造変化です。
受託案件で活きる 3 つの構造変化
構造 1: 「ファイル DLP」から「コンテキスト DLP」へ
中堅企業のセキュリティ部門は Symantec / Microsoft Purview / Forcepoint などの ファイル DLP を入れて満足してきました。しかし Copilot Cowork のような AI 経由データ抽出には 「アクセス権はある / 質問は正当 / 応答に機密が混入」という形で 既存 DLP が反応しないケースが多発します。受託では 「コンテキストを横断する流出」を検知 + ブロックする AI DLP 層を 既存 DLP と併設で設計します。これは Google Workspace セキュリティ受託 で扱った ファイル / メール統制の AI 拡張です。
構造 2: 「ゲスト排除」から「ゲストの AI 利用制御」へ
Cowork / Claude Cowork / Gemini for Workspace の ゲスト参加機能を 「使わせない」運用は、ビジネスのスピードを止めます。受託では 「ゲストは AI と対話できるが、参照先を機微度別に制限する」設計を提供します。これは Claude Cowork 企業導入受託 で扱った Cowork 統制の DLP 視点での再設計です。
構造 3: 「インシデント対応」から「プロンプト監査文化」へ
AI DLP の中核は プロンプト + 応答の監査ログを 保存 / 検索 / 分析できる基盤です。これにより Hyatt × ChatGPT Enterprise 受託 で扱った 非 IT 業界の AI 全社展開でも 「経営層に説明可能な統制」が成立します。
受託で提供する「企業 AI DLP」5 フェーズ
フェーズ 1: 現状診断(2〜3 週間)
- 利用中 AI サービス棚卸し(Copilot / Gemini / Claude / Bedrock / 社内 RAG)
- ゲスト / 業務委託の AI 利用範囲調査
- ファイル DLP / IRM 設定状況
- 機微情報分類(PII / 経営情報 / 営業秘密)
- インシデント履歴レビュー
- リスクスコア + 優先度マップ
フェーズ 2: ポリシー設計(2〜3 週間)
- 機微度別 AI 利用ポリシー(赤 / 黄 / 緑)
- ゲスト / 業務委託の AI 参照範囲
- プロンプトインジェクション対策ガイドライン
- 監査ログ保持期間 + 暗号化要件
- インシデント時のエスカレ手順
- ガバナンス KPI
フェーズ 3: 技術統制構築(4〜6 週間)
- IdP(Entra ID / Okta / Google Workspace)統合
- Microsoft Purview DLP + AI 拡張ポリシー
- Copilot Cowork 設定(ゲスト制限 / アクセス境界)
- プロンプト / 応答監査ログ統合(SIEM / Splunk)
- AI 専用 DLP(Nightfall / Lakera / 内製)
- インジェクション検知ルール
フェーズ 4: 全社展開(3〜4 週間)
- 部門別利用ガイドライン
- 社員向け教育(30 分 e-learning)
- 業務委託契約改訂(AI 利用条項)
- ヘルプデスク FAQ 整備
- 経営層向け月次レポート
フェーズ 5: 月次運用レビュー(継続)
- インシデント / 検知件数推移
- 新規 AI サービス追加レビュー
- ポリシー違反トレンド分析
- 業務委託契約更新時の点検
- 半期ごとの脅威モデル更新
受託向け技術スタック標準セット
| レイヤ | 推奨技術 | 代替 |
|---|---|---|
| IdP | Microsoft Entra ID / Okta / Google Workspace | Auth0 |
| ファイル DLP | Microsoft Purview / Symantec DLP | Forcepoint |
| AI 専用 DLP | Nightfall / Lakera Guard / Cyera | 内製 + LLM 評価 |
| インジェクション検知 | Lakera / Protect AI / 内製 | promptfoo + ルール |
| SIEM | Microsoft Sentinel / Splunk / Datadog | Sumo Logic |
| 監査ログ統合 | Azure Monitor / Splunk / Loki | Elastic |
| アクセス制御 | Conditional Access / Okta Workflows | SailPoint |
| 教育プラットフォーム | KnowBe4 / 自社 LMS | SafeTitan |
どの案件に必要か / 不要か
| 必要な案件 | 不要な案件 |
|---|---|
| Copilot / Cowork / Gemini を社外参加者と利用 | 完全閉域 / 業務委託なし |
| 顧客 PII / 経営機密を扱う | 公開情報のみ |
| 監査要件(ISO 27001 / SOC2 / FISC) | 監査対象外の社内ツール |
| 業務委託 / 派遣 / ベンダーが多数 | 直接雇用のみ |
| インシデント対応 SLA がある | 即時対応不要 |
受託契約に書く 6 つの条項
| 条項 | 内容 | 顧客が確認すべきこと |
|---|---|---|
| 対象 AI サービス | Copilot / Gemini / Claude / Bedrock / 社内 RAG | 範囲外サービスの取扱 |
| データ機微度区分 | 赤 / 黄 / 緑の判定 | 法令 / 取引先要件 |
| ゲスト / 業務委託扱い | アクセス境界 + AI 利用範囲 | 契約改訂責任 |
| プロンプト監査保持 | 期間 + 暗号化 + アクセス制御 | 法令要件 |
| 退場時引き渡し | ポリシー / 監査基盤 / 教育コンテンツ | 自社運用継続性 |
| インシデント時運用 | エスカレ + 緊急遮断 | 24h / 営業時間 |
価格モデル — 企業 AI DLP パッケージ
| プラン | 金額 | 対象 | 内容 |
|---|---|---|---|
| 診断 / PoC | 200 万円〜(6 週間) | 棚卸し + 上位 3 サービス PoC | レポート + 設計書 |
| Lite | 70 万円〜 / 月 | 社員 100〜300 名 | 月次レビュー + ポリシー運用 |
| Standard | 160 万円〜 / 月 | 社員 300〜1,000 名 | + 技術統制運用 + SIEM 統合 |
| Enterprise | 350 万円〜 / 月 | 社員 1,000 超 / 多拠点展開 | + 専任エンジニア + 月次ワークショップ |
| 初期構築 | 600 万円〜(一括) | IdP + DLP + AI 監査基盤 | 全プラン共通オプション |
顧客側 ROI 試算(社員 500 名 / Copilot 全社展開 / ゲスト利用あり想定)
| 項目 | 既存(ファイル DLP のみ) | AI DLP 導入後 | 差分 |
|---|---|---|---|
| AI 経由データ漏洩リスク | 年 2〜3 件想定 | 年 0〜1 件 | -2 件 |
| インシデント対応工数(年) | 240 時間 | 60 時間 | -180 時間 |
| 業務委託 AI 利用統制工数 | 月 40 時間 | 月 10 時間 | -360 時間 / 年 |
| 監査対応工数 | 200 時間 / 年 | 60 時間 / 年 | -140 時間 |
| AI 利用率(ガバナンス未整備で抑制) | 利用率 30% | 利用率 75% | +45pt |
| 年間効果 | — | — | 約 2,200 万円相当 + 利用率倍増による生産性向上 |
時給 8,000 円換算で 年間 1,500 万円超の工数削減 + インシデント回避 + AI 利用拡大効果。Standard プラン(年額 1,920 万円)でも 12 ヶ月以内で回収可能です。
ハマりやすい 5 つの落とし穴
落とし穴 1: 「Copilot を禁止する」だけの統制
リスクを恐れて 全面禁止にすると、現場が ChatGPT 個人版 / Claude 個人版 / 影 Geminiを業務利用し、統制が機能しない影 ITが拡大します。段階的に統制下で利用させる設計が前提です。
落とし穴 2: ファイル DLP だけ強化
既存 Purview / Symantec を 設定強化するだけで AI DLP を後付けしないと、Copilot Cowork のような攻撃を 検知できないまま運用が続きます。AI 専用 DLP 層を必ず併設します。
落とし穴 3: ゲスト機能の一律無効化
Cowork のゲスト機能を 一律無効化すると、ビジネスのスピードが落ち、現場が 別のシャドー ITに逃げます。機微度別 + 期限付きアクセスで運用します。
落とし穴 4: プロンプト監査ログを保存しない
「個人情報保護の観点でログを取らない」と判断すると、インシデント発生時に原因追跡が不可能になります。暗号化 + 期限付き保存 + アクセス制御で 合法的に保存する設計が必須です。
落とし穴 5: 業務委託契約に AI 条項を入れない
社員向けに AI ポリシーを整備しても、業務委託 / 派遣 / ベンダーの契約に AI 利用条項がないと、最も漏洩リスクが高い経路を放置します。契約改訂を初期構築に含めます。
90 日アクションプラン
| 週 | アクション |
|---|---|
| Week 1〜3 | 利用 AI サービス棚卸し + 機微度区分 + ゲスト調査 |
| Week 4〜5 | ポリシー設計 + 業務委託契約改訂方針 |
| Week 6〜9 | IdP + DLP + AI 監査基盤構築 + Sentinel/Splunk 統合 |
| Week 10〜11 | パイロット部門展開 + 教育コンテンツ |
| Week 12 | 全社展開 + ヘルプデスク FAQ |
| Week 13 | 月次レビュー初回 + KPI ダッシュボード稼働 |
まとめ — 「ファイル DLP」から「AI DLP」へ進化する企業セキュリティ
Microsoft Copilot Cowork の データ漏洩攻撃は、「アクセス権が正しいから安全」という前提が 2026 年から崩壊したことを示しています。受託で中堅企業の AI ガバナンスを支える立場では、ポリシー + 技術統制 + 監査 + 教育 + 業務委託統制を一体で提供する 「企業 AI DLP」が新しい主力サービスになります。
弊社では 診断 / Lite / Standard / Enterprise の 4 段階で本パッケージを提供しています。「Copilot 導入で漏洩リスクが心配」「ファイル DLP では AI 経路を防げない」「業務委託の AI 利用が統制できない」というご相談は お問い合わせフォーム からお気軽にどうぞ。
