Security

{{Copilot Studioの設定ミスをDefenderで検出する方法}}

3分で読める

概要

{{MicrosoftのDefender Security Research Teamは、攻撃者に悪用され得るCopilot Studioエージェントの一般的な設定ミス10項目を実践的にまとめた一覧を公開しました。特に、過剰共有、認証なし、過剰な権限が付与されたエージェントに焦点を当てています。この記事では、各リスクに対してCopilot Studio/Power Platformでの具体的な軽減策と、Microsoft Defender Advanced Hunting Community Queriesを組み合わせて、セキュリティ部門やIT部門がインシデント化する前に露出を発見できるよう支援しています。}}

Securityでお困りですか?専門家に相談する

{{## はじめに: なぜ重要なのか エージェントは、データアクセスやワークフロー自動化の新たなコントロールプレーンとして急速に広がっています。特に、Copilot Studioのようなローコードツールによって、短期間で構築・展開されることが少なくありません。Microsoftは、わずかな設定の違い(広すぎる共有、安全でないアクション、弱い認証、古い所有権管理)が、従来のセキュリティ制御では監視されないIDやデータアクセス経路を生み出す可能性があると警告しています。その結果、設定ミスのあるエージェントは、攻撃対象領域を静かに拡大し、プロンプト主導の悪用やデータ流出を可能にするおそれがあります。

新たなポイント: よくあるエージェント設定ミス10項目(とその検出方法)

Microsoftは、実際に確認されている10種類の設定ミスを文書化し、それぞれを Defender Advanced Hunting Community Queries(Security portal → Advanced hunting → Queries → Community Queries → AI Agent folder)およびCopilot Studio/Power Platformで推奨される軽減策に対応付けています。

主なテーマは次のとおりです。

1) 過剰共有と弱いアクセス境界

  • リスク: 組織全体または広範なグループに共有されたエージェント。
  • 検出: AI Agents – Organization or Multitenant Shared などのクエリ。
  • 軽減策: Managed Environmentsagent sharing limits を利用し、環境戦略と共有範囲を検証します。

2) 認証の欠如または不整合

  • リスク: 認証を必要としないエージェントが、公開された侵入口になります。
  • 検出: AI Agents – No Authentication Required
  • 軽減策: agent authentication at the environment level を強制します(認証は既定で有効であり、テスト目的でもガードレールなしに緩和すべきではありません)。

3) 危険なアクション、コネクタ、データ流出経路

  • リスク: 安全でない設定のHTTP Requestアクション(非HTTPS、標準外ポート)や、データ流出を可能にするメールアクション。
  • 検出: HTTP requestパターンや、外部宛てメール/AI制御入力を対象とするクエリ。
  • 軽減策: Data Policies / Advanced Connector Policies を適用し、必要に応じて Microsoft Defender Real-time Protection やコネクタのアクション制御を検討します。

4) ガバナンスの劣化: 休眠、孤立、過剰権限のエージェント

  • リスク: 休眠中のエージェントや接続、作成者(maker)認証、所有者が無効化された孤立エージェント、ハードコードされた資格情報。
  • 検出: 休眠/未更新エージェント、author auth、ハードコード資格情報、孤立した所有者を対象とするクエリ。
  • 軽減策: 定期的にインベントリを見直し、maker資格情報を制限し、シークレットは環境変数を介して Azure Key Vault に保存し、古いエージェントは隔離または廃止します。

5) 新しいツールとオーケストレーションのリスク

  • リスク: MCP tools や、明確な指示のない generative orchestration による挙動の逸脱やプロンプト悪用。
  • 検出: MCPの構成有無、および指示なしのorchestration。
  • 軽減策: ポリシーでMCP toolingを制限し、組み込みのガードレール(例: Azure Prompt Shield/RAI controls)を活用し、明確な指示とともに公開します。

IT管理者とセキュリティチームへの影響

  • エージェントは、従来型ではないアクセス経路(コネクタ、MCP tools、メールアクション)を導入し、既存の監視を回避する可能性があります。
  • ローコードの開発速度により、特に複数のPower Platform環境にまたがる場合、大規模な設定ミス が発生しやすくなります。
  • ガバナンス上の問題(所有権、休眠、maker資格情報)は、持続的で見えにくいリスク を生み出します。

推奨される次のステップ

  1. Defender Advanced Huntingで AI Agent Community Queries を実行し、環境ごとのベースラインを作成します。
  2. 認証を強制 し、環境レベルで例外設定を見直します。
  3. Managed Environmentssharing limitsData/Connector policies を実装または検証します。
  4. author authenticationhardcoded secretsorphaned/dormant agents を確認し、必要に応じて修正・廃止します。
  5. maker向けに安全な構築ガイダンス(HTTPのベストプラクティス、シークレット管理、指示品質)を文書化し、社内オンボーディングに組み込みます。 }}

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。