--- title: Microsoft Puriew DSPM for AI Classic tags: #microsoft purview #microsoft 365 #microsoft 365 copilot author: [ふらり](https://docswell.com/user/fworlddocs) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/VENY41Y4J8.jpg?width=480 description: Microsoft 365 Copilot を調査していたら、Microsoft Purview のDSPM for AI Classicについて気になったので調べてみました。 published: June 07, 26 canonical: https://docswell.com/s/fworlddocs/5WRMEX-DSPMforAIClassic --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/VENY41Y4J8.jpg) AI のデータ セキュリティ態勢管理 (DSPM for AI) クラシック 概要・設計・管理・運用と新 DSPM への統合 ふらり@ROBO BOY #ふらっと純喫茶 2026/06/07 X H D # Page. 2 ![Page Image](https://bcdn.docswell.com/page/Y79PQ5P4E3.jpg) ふらり @ ROBO BOY Business Applications Community : ふらっと純喫茶 、気ままに勉強会 X : https://x.com/flali_world Blog : https://flali.hatenablog.com/ Docswell : https://www.docswell.com/user/fworlddocs @flali_world 2 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/G78DGYDV7D.jpg) MCP教科書 Microsoft Power Platform Fundamentals 発売日:2026年05月27日 ISBN:9784798195155 定価:3,630円(本体3,300円+税10%) https://bit.ly/MCP_PL-900 @flali_world 3 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/L7LMG4MRJR.jpg) はじめに 本資料に掲載されている内容は、 いつか人になりたいと思っている の空想上の出来事です。 内容間違っていたらごめんなさい。 @flali_world 4 # Page. 5 ![Page Image](https://bcdn.docswell.com/page/4EMYQKYPEW.jpg) 本日のアジェンダ 1 第1章 概要 2 第2章 3 第3章 4 第4章 運用 5 第5章 6 第6章 DSPM for AI クラシックとは/解決する課題/主要機能/対象 AI アプリ 設計・アーキテクチャ 全体構成/前提条件/デプロイ考慮事項/拡張連携 管理 アクセス許可とロール/ワンクリック ポリシー/秘密度ラベル 利用開始の流れ/レポート/アクティビティ エクスプローラー/データ リスク評価 統合(クラシック → 新 DSPM) 統合の全体像/変更点/タスク マッピング/移行ガイダンス ライセンス(E3/E5) 課金モデル/E3・E5 機能比較/従量課金が必要な機能 @flali_world 5 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/PER98X9YJ9.jpg) 第1章 概要 DSPM for AI クラシックとは # Page. 7 ![Page Image](https://bcdn.docswell.com/page/P7XQ86Q4EX.jpg) AI 用 DSPM クラシックとは Microsoft Purview ポータルから、生成 AI アプリのデータを迅速にセキュリティ保護し、AI 利 用を事前監視するための中央管理ソリューション。 対象となる AI アプリ 提供価値 提供形態 ・Copilot(Microsoft 365 Copilot 等) ・エージェント(Copilot Studio 等) ・サードパーティ LLM を使う AI アプリ ・生産性と保護の両立 ・AI を安全に採用するための仕組み ・1 か所での可視化と制御 ・Microsoft Purview ポータルのソリューシ ョン ・「AI (クラシック) の DSPM」として提供 ・新 DSPM への置き換えが進行中 4 つの中核能力 分析情報と分析 / すぐに使えるポリシー / データ リスク評価 / コンプライアンス制御 クラシックの位置づけ:AI アプリ/エージェント対応・新機能・範囲簡素化を取り込んだ新バージョンに置き換え中。機能 強化はクラシックには追加されないため、新 DSPM の利用が推奨されています。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 7 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/37K9K19P7D.jpg) AI 用 DSPM クラシックとは @flali_world 8 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/LJ3WZQW4J5.jpg) 解決する課題 ― AI 時代のデータ リスク 生成 AI はそのスピードと能力により、データの過剰共有(オーバーシェアリング)問題を増幅 させます。 過剰共有の増幅 AI 利用の不可視性 機密データの流出 コンプライアンス要件 時代遅れ・過剰なアクセス許可・ガバ ナンス不足のコンテンツが AI 経由で一 気に露出する。 どの AI アプリに、誰が、どんな機密情 報を送っているかが見えない。 クレジットカード番号などの機密情報 がサードパーティ AI に貼り付けられる 。 AI 規制への対応、プロンプト/応答の保 持・管理が求められる。 DSPM for AI のアプローチ データ リスク評価で過剰共有を「特定・修復・監視」し、ワンクリック ポリシーで機密データの送信を検出・保護。AI 利用状況をレポートとアクティビティ エク スプローラーで継続的に可視化します。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 9 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/8JDKR9K5EG.jpg) 4 つの主要機能 生産性と保護のどちらかを選ぶのではなく、AI を安全に採用するための一連の機能を提供します。 01 03 分析情報と分析 組織の AI アクティビティに関する分析情報を取 得し、利用状況を把握する。 データ リスク評価 データの潜在的な過剰共有を特定・修復・監視 する。上位 100 サイトを毎週自動評価。 02 04 すぐ使えるポリシー AI プロンプトのデータを保護しデータ損失を防 ぐ、事前構成済みポリシー。 コンプライアンス制御 最適なデータ処理とポリシー格納を適用するた めのコンプライアンス制御。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 10 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/VEPKWZKD78.jpg) 対象となる AI アプリの 3 カテゴリ レポートとアクティビティ エクスプローラーは、AI アプリを 3 つのカテゴリで分類して可視化 します。 Copilot エクスペリエンスとエージェント エンタープライズ AI アプリ その他の AI アプリ Microsoft が提供する Copilot 群とエージェント。 サポート対象のサードパーティ生成 AI サイト。 ・Microsoft 365 Copilot Entra/Microsoft Foundry 経由で接続した企業向け AI。 ・Microsoft 365 Copilot Chat ・ChatGPT Enterprise ・ブラウザー経由でのアクセス ・Copilot Studio/各種エージェント ・Entra 登録済み AI アプリ ・拡張機能/デバイス オンボードで可視化 ・Fabric の Copilot/Security Copilot ・Microsoft Foundry 上のアプリ ・Gemini、ChatGPT などの公開サイト 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 11 # Page. 12 ![Page Image](https://bcdn.docswell.com/page/27VV8WVG7Q.jpg) サポートされる AI サイト サードパーティの生成 AI サイトを検出・保護の対象にできます。対象一覧は時間とともに拡大 しています。 1,000+ サポート対象ドメイン(例示・継続拡大中) 代表的なサイト例 検出に必要な前提 ・openai.com / chatgpt.com ・gemini.google.com / bard.google.com ・anthropic.com / claude.ai ・copilot.microsoft.com ・perplexity.ai / deepseek.com 他 ・デバイスを Purview にオンボード ・Purview ブラウザー拡張機能の展開 ・Edge は構成ポリシーで DLP を有効化 ・Chrome/Firefox にも対応 ポイント:一覧はワイルドカード形式(例: *.openai.com)で管理され、新サイトが継続的に追加されます。最新の対象は Microsoft Learn のサポート対象サイト一覧で確認してください。 参考: Microsoft Purview でサポートされている AI サイト | Microsoft Learn @flali_world 12 # Page. 13 ![Page Image](https://bcdn.docswell.com/page/5JGL5D1D7L.jpg) 「クラシック」という位置づけ(重要) 本資料の対象はクラシック版です。クラシックには新機能が追加されず、新 DSPM への移行が推 奨されています。 Microsoft Learn の注記 クラシック版は、AI アプリとエージェントのサポート・新機能・より広範な範囲を簡素化した管理を組み込んだ新バージョンに置き換え られました。これらの機能強化はクラシック版には追加されません。 観点 クラシック(本資料の対象) 新 DSPM(プレビュー/現行) 範囲 AI アプリ中心(クラシック) 従来アプリ+AI を統合した統一可視化 新機能 原則追加されない ほとんどの新機能はこちらに追加 ポータル表記 AI (クラシック) の DSPM DSPM(プレビュー) 参考: AI 用 DSPM (クラシック) について | Microsoft Learn データ セキュリティ態勢管理について学習する | Microsoft Learn @flali_world 13 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/47QYZ1DXEP.jpg) 第2章 設計・アーキテクチャ 前提条件とデプロイの考慮事項 14 # Page. 15 ![Page Image](https://bcdn.docswell.com/page/KE4W3RZ2J1.jpg) 全体アーキテクチャ(概念図) 各 AI アプリからのシグナルを Purview が収集し、ポリシー適用・可視化・修復までを一元的に 行います。 Copilot/エージェント 分析情報・レポート Microsoft Purview エンタープライズ AI DSPM for AI 監査ログ収集/分類/ポリシー評価/リス ク評価 サードパーティ AI サイト ポリシーによる保護 過剰共有の修復 基盤連携:Information Protection(秘密度ラベル)、データ損失防止(DLP)、インサイダー リスク管理、コミュニケーション コンプライ アンス、データ ライフサイクル管理などの Purview ソリューションと連携して動作します。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 15 # Page. 16 ![Page Image](https://bcdn.docswell.com/page/L71Y1QRKJG.jpg) 前提条件(プレリクイジット) 監視対象に応じて必要な前提条件が異なります。共通の前提は適切なアクセス許可と Purview 監 査の有効化です。 監視対象 主な前提条件 共通 適切なアクセス許可を保有/Microsoft Purview 監査が有効(新規テナントは既定でオン) Copilot・エージェント ユーザーへ Microsoft 365 Copilot ライセンスを割り当て Fabric/Security Copilot Purview データ ガバナンス(エンタープライズ版)+ Copilot 相互作用の収集ポリシー Edge 上の他 AI アプリ Edge 構成ポリシーで Purview 統合(DLP)を有効化 サードパーティ AI サイト デバイスを Purview にオンボード+ブラウザー拡張機能を展開 Entra 登録 AI アプリ Microsoft Purview SDK と統合 Copilot 以外の AI アプリ 組織で従量課金制(PAYG)を設定 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 16 # Page. 17 ![Page Image](https://bcdn.docswell.com/page/G7WG8M1PE2.jpg) デプロイの考慮事項 導入時に押さえておくべき設定とデータ反映のタイミングを整理します。 管理単位とポリシー データ反映の待ち時間 自動実行される評価 ・管理単位を使う場合、全ユーザー対象のワンク リック ポリシー作成には無制限の管理者が必要 ・ポリシー有効化後、結果反映に最低 24 時間 ・上位 100 SharePoint サイトを毎週自動評価 ・レポート設定には最低 1 日 ・アクティブ化は不要 ・制限付き管理者は割り当て管理単位のみ閲覧 ・既定のデータ リスク評価は初回 4 日の遅延 ・カスタム評価で対象ユーザー/サイトを拡張 ・カスタム評価は実行後 48 時間待機 ・結果は Excel/CSV/JSON/TSV でエクスポート可 ・プレビュー中に作成した既定ポリシー(AI Hub 名)は変更されない 参考: AI 用 DSPM (クラシック) について | Microsoft Learn AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 17 # Page. 18 ![Page Image](https://bcdn.docswell.com/page/4JZL8QP6E3.jpg) Fabric データ リスク評価の前提条件 Fabric ワークスペースを評価するには、Entra のサービス プリンシパル認証と Fabric 管理設定 が必要です。 1 登録アプリ作成 2 セキュリティ グループ追加 Entra 管理ポータルで登録アプリを作成し、Fabric のサービス プリンシパル認証として構成。認証はフェデレーション資格情報(推奨)またはクライ アント シークレット。 登録アプリ(エンタープライズ アプリケーション)を新規/既存のセキュリティ グループにメンバーとして追加。 3 Fabric テナント設定 Fabric 管理ポータルの管理 API 設定で、読み取り専用および更新用の管理 API へのサービス プリンシパル アクセスを、対象セキュリティ グループに 対し有効化。 必要ロール:手順 1–2 はクラウド アプリ/アプリケーション/特権ロール管理者。手順 3 は Fabric 管理者。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 18 # Page. 19 ![Page Image](https://bcdn.docswell.com/page/YE6WP6MLEV.jpg) M365 項目レベル スキャンの前提条件 カスタム評価で項目レベルのスキャンと修復を行うには、必要な Graph 権限を持つ Entra アプ リが必要です。 Entra 登録アプリの設定 必要な Graph アプリケーション許可 ・サポート アカウント:この組織のディレクトリのみ ・Application.Read.All ・API:Microsoft Graph(アプリケーション許可) ・Directory.Read.All ・テナント管理者の同意を付与 ・Files.ReadWrite.All ・クライアント シークレットを作成し安全に保管 ・SensitivityLabels.Read.All ・アプリケーション(クライアント)ID を控える ・Sites.ReadWrite.All ・User.Read.All 制限:項目レベル スキャン/修復は M365(現在は SharePoint サイト)に限定。OneDrive は未対応、最大 10 サイト、1 か所あたり最大 200,000 項目。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 19 # Page. 20 ![Page Image](https://bcdn.docswell.com/page/GE5MK6ZME4.jpg) 拡張連携(ネットワーク/エンドポイント) ブラウザー・エンドポイント・ネットワークの各レイヤーで AI と共有される機密情報を検出・ 保護します。 ブラウザー拡張機能 Windows ユーザーに展開。サードパーティ AI サイトへのアクセス検出に必要。Chrome では Windows の エンドポイント DLP にも必要。 デバイス オンボード エンドポイント DLP で、AI サイトへの貼り付け・アップロードを警告/ブロック。Adaptive Protection と連携可能。 Edge 統合 Edge 構成ポリシーで Purview 統合を有効化し、Edge 上の他 AI アプリへ DLP ポリシーを適用。 ネットワーク データ セキュリティ SASE/SSE 統合で、ブラウザー・アプリ・API・アドイン経由の機密情報共有を検出。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 20 # Page. 21 ![Page Image](https://bcdn.docswell.com/page/9729WMRRJR.jpg) 第3章 管理 アクセス許可・ロール・ポリシー # Page. 22 ![Page Image](https://bcdn.docswell.com/page/DJY4LXD57M.jpg) アクセス許可:ロールとロール グループ Purview ポータルでの操作には適切なロールが必要です。表示・作成・編集が可能なロールと、 表示のみのロールに分かれます。 表示・作成・編集が可能 表示のみ可能 ・Microsoft Entra コンプライアンス管理者ロール ・Microsoft Purview セキュリティ閲覧者ロール グループ ・Microsoft Entra グローバル管理者ロール ・Purview Data Security AI Viewer ロール ・Microsoft Purview コンプライアンス管理者ロール グループ ・Entra の AI 管理者ロール ・Purview Data Security AI Content Viewer(AI 操作専用) 最小権限の原則:Microsoft は可能な限り権限の少ないロールの使用を推奨。グローバル管理者の数を最小化することで組織のセキュリティが向上します。 参考: AI 用 DSPM (クラシック) のアクセス許可 | Microsoft Learn @flali_world 22 # Page. 23 ![Page Image](https://bcdn.docswell.com/page/V7NY4164E8.jpg) アクティビティ別アクセス許可(抜粋) 操作内容により必要な追加ロールが異なります。特にプロンプト/応答の閲覧には専用ロールが必 要です。 アクティビティ コンプラ管理者/GA/コンプラ管理者RG 追加で必要なロール 開始手順・推奨事項の表示 可能 ― 推奨事項カードのアクション実行 可能 ― レポートの全グラフ表示 可能 ― アクティビティ エクスプローラーの全イベント表示 可能(AI 訪問の URL 参照は除く) インサイダー リスク管理 アナリスト/研究者 AI 操作のプロンプト/応答の表示 不可 Data Security AI Content Viewer / コンテンツ エクスプ ローラー コンテンツ ビューアー ユーザー リスク レベルの表示 不可 インサイダー リスク管理 アナリスト/研究者 データ リスク評価のファイル詳細表示 不可 コンテンツ エクスプローラー コンテンツ/リスト ビュ ーアー 参考: AI 用 DSPM (クラシック) のアクセス許可 | Microsoft Learn @flali_world 23 # Page. 24 ![Page Image](https://bcdn.docswell.com/page/YJ9PQ5L473.jpg) カスタム ロール グループ 組み込みロール グループの代わりに、カスタム ロール グループへ必要なロールを含めてアクセ スを付与できます。 コンプライアンス管理者ロールを含む場合 閲覧系ロールを含む場合 ・コンプライアンス管理者ロール グループとほぼ同等のアクセス ・セキュリティ閲覧者ロール グループと同等のアクセス ・ただしインサイダー リスク管理/コミュニケーション コンプライアンスの ポリシーの作成・表示・更新・削除は除外 ・対象:セキュリティ閲覧者ロール/Data Security AI Viewer/AI 管理者ロール ・ただし情報保護ポリシーの表示は除外 運用ポイント:チームの役割(管理/分析/閲覧)に応じてロールを分離し、プロンプト閲覧などの機微な操作は専用ロールで限定的に付与し ます。 参考: AI 用 DSPM (クラシック) のアクセス許可 | Microsoft Learn @flali_world 24 # Page. 25 ![Page Image](https://bcdn.docswell.com/page/GJ8DGYXVJD.jpg) ワンクリック ポリシー①:データ検出 AI 利用状況の可視化のために、1 クリックで有効化できる事前構成済みポリシー群です(多くは 監査モード)。 ポリシー 種別 概要 AI サイトに追加された機密情報を検出 DLP Edge/Chrome/Firefox で AI サイトに貼付・アップロードされた機密コンテ ンツを検出(監査) ユーザーが AI サイトにアクセスするタイミングを検出 インサイダー リスク管理 ブラウザーでの AI サイト アクセスを検出 危険な AI の使用状況を検出 インサイダー リスク管理 危険なプロンプト/応答からユーザー リスクを算出 AI アプリでの非倫理的な動作 コミュニケーション コンプライアン ス プロンプト/応答中の機密情報を検出(全ユーザー対象) Edge の AI プロンプトで共有された機密情報を検出 コレクション ポリシー Edge の生成 AI へのプロンプトを検出(監査・コンテンツ非キャプチャ) 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 25 # Page. 26 ![Page Image](https://bcdn.docswell.com/page/LJLMG48RER.jpg) ワンクリック ポリシー②:データ保護 機密データの保護を目的とした既定ポリシー。Adaptive Protection と連携し、リスクに応じて 動的に保護します。 ポリシー 種別 概要 AI サイトから機密情報をブロック DLP Adaptive Protection でリスクの高いユーザーにブロック+オーバーライ ド(テスト モード) 高リスク ユーザーの Edge AI プロンプト送信をブロック DLP Edge 利用時に AI アプリへの情報入力をリスクに応じてブロック Edge で AI アプリから機密情報をブロック DLP 一般的な機密情報の種類をインラインで検出しプロンプト送信をブロッ ク Copilot 処理から機密データを保護 DLP 指定の秘密度ラベルを持つ項目を Copilot/エージェントの処理から除外 秘密度ラベルとポリシー Information Protection 既定の秘密度ラベルとラベル ポリシーを作成(既存があればスキップ) 補足:Adaptive Protection が未有効の場合、既定のリスク レベルで保護アクションが動的に適用されます。ポリシーは各ソリューション側でいつでも編集可能です。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 26 # Page. 27 ![Page Image](https://bcdn.docswell.com/page/47MYQK6P7W.jpg) コレクション ポリシーと相互作用のキャプチャ コレクション ポリシーは、AI 相互作用のプロンプト/応答をキャプチャして他の Purview ソ リューションで管理可能にします。 Copilot エクスペリエンスの相互作用をキャプチャ Fabric の Copilot と Security Copilot のプロンプト/応答を収集し、電子情報開示・データ ライフサイクル管理等で管理。 ネットワーク経由で共有される機密情報を検出 SASE/SSE 統合経由で AI と共有される機密情報を検出。SASE/SSE 統合の手動追加が必要。 エンタープライズ AI アプリの対話をキャプチャ Entra/Foundry 経由の企業 AI(ChatGPT Enterprise 等)の規制コンプライアンス対象プロンプト/応答を収集。 注意:コンテンツ(プロンプト/応答)をキャプチャするには、ポリシーで「コンテンツをキャプチャする」オプションを明示的に選択する必要があります。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 27 # Page. 28 ![Page Image](https://bcdn.docswell.com/page/P7R98XPYE9.jpg) 秘密度ラベルと Information Protection 秘密度ラベルは Purview の Information Protection で管理し、DSPM for AI とは別に表示・編 集します。 ラベルの作成 ラベルで保護 ライフサイクル ・既定の秘密度ラベル セットを作成 ・ラベルによるアクセス制限(DLP) ・3 年以上アクセスのないコンテンツを自動削除 ・ドキュメント/メールへ自動ラベル付け ・ラベル未付与の機密情報に自動ラベル付けポリ シー ・Copilot/エージェントの処理から除外 ・アイテム保持ポリシーの作成 ・既定の共有リンク ラベルの構成を検討 ・データ ライフサイクル管理と連携 参考: AI 用 DSPM (クラシック) について | Microsoft Learn AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn @flali_world 28 # Page. 29 ![Page Image](https://bcdn.docswell.com/page/PJXQ86347X.jpg) 第4章 運用 利用開始からレポート・評価・修復まで 29 # Page. 30 ![Page Image](https://bcdn.docswell.com/page/3JK9K1YPJD.jpg) 利用開始の流れ Purview ポータルにサインインし、概要 → 推奨事項 → レポート → 評価の順に進めるのが推奨 フローです。 1 サインイン 2 概要・はじめに 3 推奨事項 4 レポート 5 ポリシー/評価 Purview ポータル → ソリューション → AI (クラシック) の DSPM。コンプライアンス管理に適切な権限が必要。 監査の有効化、ブラウザー拡張機能、デバイス オンボード、データ検出の分析情報拡張を実施。 テナントに関連する推奨を確認し、評価実行・ラベル作成・既定ポリシー作成を実装。 Copilot/エンタープライズ/その他 AI のカテゴリ別に既定ポリシーの結果を確認。 ポリシーの状態を監視し、データ リスク評価で過剰共有を特定・修復・監視。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 30 # Page. 31 ![Page Image](https://bcdn.docswell.com/page/LE3WZQ94E5.jpg) 概要・推奨事項・レポート ダッシュボードでは「はじめに」「推奨事項」「レポート」を通じて状態確認とアクションを行 います。 はじめに(前提整備) 推奨事項(例) レポート ・Purview 監査を有効にする ・過剰共有リスクからデータを保護 ・既定ポリシーの結果を可視化 ・Purview ブラウザー拡張機能を導入 ・秘密度ラベルでデータを保護 ・設定後、反映に最低 1 日 ・デバイスを Purview にオンボード ・危険な AI 対話を検出 ・Copilot/エンタープライズ/その他で分類 ・データ検出の分析情報を拡張 ・ChatGPT Enterprise の登録・検出 ・特定の生成 AI アプリを識別 ・AI 規制のガイド付きサポート 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 31 # Page. 32 ![Page Image](https://bcdn.docswell.com/page/8EDKR9G57G.jpg) アクティビティ エクスプローラーのイベント ポリシーから収集したアクティビティを詳細に分析できます。主なイベントは次の 4 種類です。 イベント 説明 AI の操作 ユーザーが生成 AI と対話。詳細にプロンプトと応答を含む(権限・キャプチャ設定に依存) AI Web サイトへのアクセス ユーザーが生成 AI サイトを参照した DLP ルールの一致 AI との対話時に DLP ルールが一致(Copilot の DLP を含む) 機密情報の種類 AI との対話中に機密情報の種類を検出(監査の有効化が前提) 既知の問題 プロンプト/応答テキストが常に表示されるとは限らず、連続エントリにまたがる場合がある。Exchange Online のメールボックスが無いユーザーや Facilitator 生成メモでは表 示されないことがある。 参考: AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 32 # Page. 33 ![Page Image](https://bcdn.docswell.com/page/V7PKWZ3DJ8.jpg) アプリとエージェントの管理 組織全体で使われる AI アプリとエージェントをダッシュボードで把握し、潜在的なリスクを管 理します。 アプリとエージェント ダッシュボード アクティビティ エクスプローラー ・組織全体の AI アプリ/エージェントを一覧 ・アクティビティの種類・ユーザー・日時を確認 ・エージェントごとにアクセスした機密データを表示 ・AI アプリ カテゴリ/アクセス先・機密情報の種類 ・Purview ポリシーによる保護状況を確認 ・参照ファイル・機密ファイルを追跡 ・Web クエリ フィルターで検索クエリを識別 ワークロード区分:Copilot エクスペリエンスとエージェント/エンタープライズ AI アプリ/その他の AI アプリ。例として Microsoft 365 Copilot、Copilot Studio 、ChatGPT Enterprise など。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 33 # Page. 34 ![Page Image](https://bcdn.docswell.com/page/2JVV8W4GJQ.jpg) データ リスク評価(既定/カスタム) 過剰共有を「特定・修復・監視」するための中核機能。既定評価は自動、カスタム評価は対象を 指定して実行します。 観点 既定の評価 カスタム評価 実行 上位 100 SharePoint サイトを毎週自動 対象ユーザー/データ ソースを指定して実行 初回反映 結果まで 4 日の遅延 実行後 48 時間待機 対象 SharePoint/OneDrive(M365 タブ) 項目レベル スキャン対応(SharePoint) 有効期限 毎週更新 30 日で期限切れ(複製で再実行) 4 つのタブで分析・対処 概要:項目総数・機密データ数・共有リンク数の概要を確認。 識別:スキャン状況の確認・オンデマンド分類の開始。 保護:ラベルによる制限・全件制限・自動ラベル・保持ポリシー作成。 監視:共有範囲の可視化・サイト アクセス レビュー。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 34 # Page. 35 ![Page Image](https://bcdn.docswell.com/page/5EGL5DKDJL.jpg) 過剰共有アイテムの修復アクション 項目レベル スキャン後、過剰共有の可能性があるアイテムに対して具体的な修復を実行できます。 解決 ラベル適用 過剰共有のリスクが無いと判断した場合にアイテムを解決する。 未ラベル/別ラベルが望ましい項目へ秘密度ラベルを適用する。 サイト所有者へ通知 電子メール通知でサイト所有者へ通知(カスタマイズ不可)。 共有リンク削除 既存の共有リンクを削除。正当なアクセスを失う恐れがあり控えめに使用 。 エクスポート:既定・カスタム評価ともに Excel/CSV/JSON/TSV でエクスポート可能。通知メールにはアクセス管理の手順も含まれます。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn @flali_world 35 # Page. 36 ![Page Image](https://bcdn.docswell.com/page/4JQYZ1NX7P.jpg) 運用上の制限事項 M365 のデータ リスク評価/項目レベル スキャンには次の制限があります。導入計画時に考慮し てください。 項目数の上限 1 か所あたり最大 200,000 項目(既定・カスタム共通)。1 か所に 10 万超の場合、件数が不正確になり得る。 OneDrive 現在、項目レベル スキャンは未対応。 サイト数 項目レベル スキャンは最大 10 SharePoint サイトまで。 対象範囲 項目レベル スキャン/修復は M365(現在は SharePoint サイト)に限定。 反映時間 ポリシー結果は最低 24 時間、既定評価の初回は 4 日、カスタム評価は 48 時間。 @flali_world 36 # Page. 37 ![Page Image](https://bcdn.docswell.com/page/K74W3RG2E1.jpg) 第5章 統合 クラシックから新 DSPM への統合 # Page. 38 ![Page Image](https://bcdn.docswell.com/page/LJ1Y1QDKEG.jpg) 統合の全体像 AI 用 DSPM と DSPM は、単一の中央ソリューション(新 DSPM)に集約されました。 AI 用 DSPM(クラシック) カバー範囲 新・データ セキュリティ態勢管理(DSPM) 従来アプリと AI を統合した統一可視化・制御 ・Microsoft 365/Azure ・Fabric ・統合済みサードパーティ SaaS DSPM(クラシック) 統合のねらい Purview のセキュリティ/ガバナンス ソリューションを用いて、データをより簡単に「検出・保護・調査」できるようにする。従来は個別ソ リューションを行き来していたタスクが、データ セキュリティの目的(Objectives)のコンテキストに統合されます(個別アクセスも引き続 き可能)。 参考: DSPM タスク マッピング | Microsoft Learn データ セキュリティ態勢管理について学習する | Microsoft Learn @flali_world 38 # Page. 39 ![Page Image](https://bcdn.docswell.com/page/GJWG8MYP72.jpg) 新 DSPM で何が変わるか 新 DSPM はガイド付きワークフローと AI 活用により、データ セキュリティ運用を合理化します。 データ セキュリティの目的 成果(例:Copilot 相互作用での漏洩防止、過剰共有防止)を中心に、関連ソリューションとアクションをグループ化。 AI の監視 Microsoft/サードパーティ双方で、過剰共有・流出・異常アクセスなどエージェント固有の活動を追跡。Agent 365 にも対応。 Security Copilot/AI エージェント アクセス パターン分析、トリアージ、承認のうえでの自動修復(共有リンク削除・DLP 適用・許可取消)。 強化されたレポート 高度なフィルターとカスタマイズ可能なビュー、30 日トレンド、ポスチャ メトリック。 参考: データ セキュリティ態勢管理について学習する | Microsoft Learn @flali_world 39 # Page. 40 ![Page Image](https://bcdn.docswell.com/page/4EZL8QX673.jpg) タスク マッピング:AI 用 DSPM → 新 DSPM クラシックで行っていた操作は、新 DSPM の各ナビゲーションに対応します。 AI 用 DSPM(クラシック)でのタスク 新 DSPM でのナビゲーション セットアップ(監査・分析情報の拡張) 初回起動時の「はじめに」/ Actions → セットアップ タスク AI アプリの推奨事項 Actions → 修復アクション Microsoft 365 Copilot の概要 Reports → Microsoft 365 Copilot ワンクリック ポリシーの結果レポート Reports AI アプリのポリシー AI ワークロードの Reports → Policies アプリとエージェント Discover → アプリとエージェント/AI 監視機能 アクティビティ エクスプローラー Discover → Activity Explorer → AI アクティビティ タブ データ リスク評価 Discover → データ リスク評価 参考: DSPM タスク マッピング | Microsoft Learn @flali_world 40 # Page. 41 ![Page Image](https://bcdn.docswell.com/page/Y76WP64L7V.jpg) 移行ガイダンスと考え方 クラシックは引き続き利用可能ですが、新機能は新 DSPM にのみ追加されます。計画的な移行を 推奨します。 現状把握 新 DSPM で再現 段階移行のコツ ・クラシックで作成済みの既定ポリシーを棚卸し ・目的(Objectives)で成果ベースに再整理 ・並行期間で結果を比較し差分を確認 ・多くのポリシーは新 DSPM の修復アクション に継承 ・タスク マッピング表で操作場所を確認 ・プロンプト閲覧など機微操作の権限を限定 ・ロールは新 DSPM のアクセス許可体系で見直 し ・レポート/トレンドで効果を継続測定 ・プレビュー中作成の AI Hub 名ポリシーは保持 ポータル表記の混同に注意:「AI (クラシック) の DSPM」と「DSPM(プレビュー)」は別ソリューションです。 参考: DSPM タスク マッピング | Microsoft Learn データ セキュリティ態勢管理について学習する | Microsoft Learn @flali_world 41 # Page. 42 ![Page Image](https://bcdn.docswell.com/page/G75MK6QM74.jpg) 第6章 ライセンス Microsoft 365 E3/E5 の違い # Page. 43 ![Page Image](https://bcdn.docswell.com/page/9J29WMPRER.jpg) Microsoft Purview の課金モデル Purview は「ユーザー単位ライセンス」と「従量課金制(PAYG)」の 2 つの相互補完的な課金 モデルを持ちます。 ユーザー単位ライセンス 従量課金制(PAYG) ・おなじみの M365 E3/E5/A5/F5/G5 モデル ・M365/Windows・macOS を超える範囲を保護 ・M365 および Windows/macOS エンドポイントが対象 ・Azure サブスクリプションの関連付けが必要 ・DSPM for AI の中核機能はこのモデルで提供 ・M365 以外のデータ ソースや特定機能に課金 ・Microsoft 365 Copilot エクスペリエンスは課金対象外 ポイント:2 つは排他ではなく補完関係。従量課金はユーザー単位ライセンス モデルを基盤に動作します。一部の従量課金機能は、事前にユ ーザー単位ライセンスの有効化が必要です。 参考: Microsoft Purview の課金モデルについて | Microsoft Learn @flali_world 43 # Page. 44 ![Page Image](https://bcdn.docswell.com/page/DEY4LX55JM.jpg) Microsoft 365 E3/E5 機能比較 DSPM for AI の前提となる高度なデータ セキュリティ機能の多くは E5(または E5 Compliance/Purview スイート)が必要です。 機能 M365 E3 M365 E5 / E5 Compliance AI 用 DSPM(クラシック)/新 DSPM — ○ 手動の秘密度ラベル ○ ○ 自動ラベル付け(クライアント/サービス側) — ○ DLP(Exchange/SharePoint/OneDrive) ○ ○ エンドポイント DLP/Teams DLP — ○ インサイダー リスク管理 — ○ コミュニケーション コンプライアンス — ○ Adaptive Protection — ○ Standard Premium — ○ 監査(Standard/Premium) データ分類分析(コンテンツ/アクティビティ エクスプローラー) 参考: Microsoft Purview サービスの説明 | Microsoft Learn Microsoft Purview の課金モデルについて | Microsoft Learn @flali_world 44 # Page. 45 ![Page Image](https://bcdn.docswell.com/page/VJNY41N478.jpg) E3/E5 比較の補足と注意点 比較表は代表的な観点の整理です。実際の提供範囲は最新のサービス説明とライセンス ガイダン スで確認してください。 E5 が前提となる主な理由 E3 でできること・追加要素 ・DSPM for AI のワンクリック ポリシーは E5 系機能(エンドポイント DLP/IRM/コミュニケーション コンプライアンス/自動ラベル)に依存 ・手動ラベル付けと基本 DLP(Exchange/SP/OneDrive)は E3 で利用可 ・Adaptive Protection による動的保護も E5 系 ・M365 Copilot ライセンスは E3/E5 とは別売り ・プロンプト/応答分析やアクティビティ分析は E5 のデータ分類分析が前提 ・E3 でも分析のためのデータ集約は継続 ・M365 以外の保護は従量課金(PAYG)が必要 重要:ライセンスの具体的な対応関係は変更される可能性があります。導入前に必ず Microsoft Purview サービスの説明で最新情報をご確認ください。 参考: Microsoft Purview サービスの説明 | Microsoft Learn Microsoft Purview の課金モデルについて | Microsoft Learn @flali_world 45 # Page. 46 ![Page Image](https://bcdn.docswell.com/page/YE9PQ5R4J3.jpg) 従量課金(PAYG)が必要な主な AI 関連機能 M365 以外の生成 AI 操作を対象にする場合、次のような機能で従量課金が発生します(M365 Copilot は課金対象外)。 ソリューション 適用対象 測定単位 監査ソリューション Microsoft 以外の生成 AI のユーザー操作監査ログ 処理された監査レコード数 コミュニケーション コンプライアンス M365 以外の AI 操作の不適切/危険な操作検出 スキャンされたテキスト レコード数 データ ライフサイクル管理 AI 操作の保持ポリシー(プロンプト/応答) 保持対象の相互作用数 電子情報開示 M365 以外の AI データの保管と Graph API 利用 保管 GB/日・エクスポート GB Gen AI アプリのデータ セキュリティ M365 以外の AI 操作の機密分類・保護 要求/メッセージ数 参考: Microsoft Purview の課金モデルについて | Microsoft Learn @flali_world 46 # Page. 47 ![Page Image](https://bcdn.docswell.com/page/GE8DGYWVED.jpg) さいごに # Page. 48 ![Page Image](https://bcdn.docswell.com/page/LELMG4NR7R.jpg) まとめ ✓ DSPM for AI クラシックの役割 生成 AI 利用のデータを Purview ポータルから一元的に可視化・保護・監視する中央管理ソリューション。 ✓ 設計と前提 監査・ライセンス・デバイス オンボード・拡張機能など、監視対象に応じた前提条件を満たすことが出発点。 ✓ 管理と運用 最小権限のロール設計、ワンクリック ポリシー、データ リスク評価による過剰共有の特定・修復が中核。 ✓ 統合とライセンス 新 DSPM への統合が進行中。高度な機能は E5 系が前提、M365 以外は従量課金。計画的な移行が推奨。 参考: AI 用 DSPM (クラシック) について | Microsoft Learn データ セキュリティ態勢管理について学習する | Microsoft Learn @flali_world 48 # Page. 49 ![Page Image](https://bcdn.docswell.com/page/4JMYQKXPJW.jpg) 参考一覧(Microsoft Learn) ● AI 用 DSPM (クラシック) について | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/dspm-for-ai ● AI 用 DSPM のデプロイに関する考慮事項 | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/dspm-for-ai-considerations ● AI 用 DSPM (クラシック) のアクセス許可 | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/ai-microsoft-purview-permissions ● Microsoft Purview でサポートされている AI サイト | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/ai-microsoft-purview-supported-sites ● DSPM タスク マッピング | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/dspm-task-mapping ● データ セキュリティ態勢管理について学習する | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/data-security-posture-management-learn-about ● Microsoft Purview の課金モデルについて | Microsoft Learn https://learn.microsoft.com/ja-jp/purview/purview-billing-models ● Microsoft Purview サービスの説明 | Microsoft Learn https://learn.microsoft.com/ja-jp/office365/servicedescriptions/microsoft-365-service-descriptions/microsoft-365-tenantlevel-services-licensing-guidance/microsoft-purview-service-description @flali_world # Page. 50 ![Page Image](https://bcdn.docswell.com/page/PJR98XNY79.jpg) Thank you !