決算
マイクロソフト(Microsoft)のAIアシスタント「Copilot(コパイロット)」で深刻なセキュリティ問題が発生。同社は解消のためのツール開発・配布など対応に追われている模様だ。
Microsoft
個人情報を漏らしすぎる同僚、と言われてピンと来る人物があなたの職場にはいないだろうか。不愉快な思いをさせられることもあるし、控えめに言ってもそういう人物がいるだけで居心地が悪くなるものだ。
マイクロソフト(Microsoft)の人工知能(AI)アシスタント「Copilot(コパイロット)」の挙動はまさにそれと同じで、同社の顧客はその状態に懸念を抱き、うち一部の企業はすでに導入延期を決めた。
顧客企業の従業員が最高経営責任者(CEO)のメールや人事(HR)関連文書といった機密性の高い情報に意図せずアクセスできてしまうセキュリティインシデントの発生を受け、マイクロソフトは問題を解消ないし緩和するための新たなツールおよびガイドをリリースした。
同社が作成した「Microsoft 365 Copilot」向けのブループリント(手引き)によれば、「オーバーシェアリング(=個人情報や重要情報を過度に共有する行為)や目下存在するガバナンス上の懸念を特定および緩和すること」がツールおよびガイド提供の目的だという。
同社の広報担当にコメントを求めたところ、以下のような返答があった。
「AIに関連して発生するデータガバナンス上の課題の数々は、AIの導入によって引き起こされたわけではありません。この機会に、企業はあらためて(従来から必要とされていた)社内文書などの情報管理を積極的に行うよう求められている、ただそれだけのことなのです。
(情報をどのように管理するか)判断や決定は各企業が置かれた個別の状況によって異なってきます。それぞれの業界特有の規制、企業ごとに異なるリスク許容度などのファクターが判断や決定に影響を及ぼすことは間違いありません。例えば、アクセス可能なファイルやワークスペース、その他リソースが従業員ごとに異なるのは当然です。
マイクロソフトは顧客企業に対し、ID・アクセス権限の中央集中管理の強化を支援することで、そうした基本的なセキュリティコントロールを継続的にアップデートおよびマネジメントするお手伝いをしています」
突然、CEOの受信トレイが丸見えに
開発ロードマップに関するスライド10枚のプレゼン資料や最も収益性の高い自社製品リストをいとも簡単に自動生成するCopilotの魔法のような能力は、検索エンジンにおけるウェブクローラーの役割と同様、社内のあらゆる情報をブラウズしてインデックスに登録してからでないと機能しない。
そこに問題の核心がある。
過去を振り返れば、企業のIT部門の少なからずが社内文書へのアクセス権限を緩く設定していた。人事関連のソフトウェアを例に挙げれば、アクセス権限を与えるべき従業員をいちいち選別する面倒を忌避して、「全て許可する」設定を選択していた。
そして、これまではそれでも特段大きな問題は起きなかった。なぜなら、普通の従業員が機密度の高い社内文書を特定した上でそれを入手するところまで可能にしてくれるツールが存在しなかったからだ。Copilotが登場するまでは。
Copilotを社内にデプロイした一部の顧客企業は、従業員たちが突如として経営幹部のメールアプリの受信トレイを閲覧したり、人事関連の機密文書にアクセスしたりできるようになったことに気づいた。
顧客からの苦情受付に詳しいある従業員はBusiness Insiderの取材に応じて問題の実情をこう証言した。
「いまや、誰かがアカウントにログインしてCopilotを起動するだけで、何もかもが見えるようになってしまいました。突如として、CEOのメールまで見られるようになったのです」
