Security

Copilot Studio 誤設定 10選を Defender で検出

3分で読める

概要

Microsoft は、Copilot Studio エージェントで起こりやすい 10 種類の誤設定と、それらを Microsoft Defender の Advanced Hunting Community Queries で検出する方法を公開しました。過度な共有、認証なし公開、危険な HTTP リクエスト、メール経由のデータ持ち出し、放置されたエージェントや接続などを早期に洗い出せるため、AI エージェント導入が進む企業にとってガバナンス強化と情報漏えい・権限乱用の予防に重要です。

Securityでお困りですか?専門家に相談する

Introduction: why this matters

Copilot Studio エージェントは、データのクエリ、アクションのトリガー、システムとの大規模な相互作用など、運用ワークフローに急速に組み込まれつつあります。Defender Security Research Team は、善意の小さな構成選択(過度に広い共有、弱い認証、リスクの高いアクション)が、気付かないうちに影響の大きい露出ポイントになり得ると警告しています。良いニュースとして、Microsoft Defender は Advanced Hunting Community Queries を使って、これらの状態を早期に検出できます。

What’s new: 10 misconfigurations to hunt for

Microsoft は、実環境で観測された Copilot Studio エージェントの一般的なリスクを「one-page view」として公開し、Microsoft Defender Advanced Hunting における対応する検出も提示しました(Security portal → Advanced hunting → Queries → Community Queries → AI Agent folder)。

主に強調されているリスクは次のとおりです。

  • Overbroad sharing(組織全体または広いグループへの共有):攻撃対象領域と意図しない利用が増加します。
  • No authentication required:エージェントがパブリック/匿名の入口となり、内部データやロジックが露出する可能性があります。
  • Risky HTTP Request actions:非 HTTPS、非標準ポート、またはコネクタ経由でガバナンスすべきエンドポイントへの直接呼び出しを行うことで、ポリシーと ID 保護を迂回します。
  • Email-based data exfiltration paths:攻撃者が制御する入力や外部メールボックス宛てにメール送信できるエージェント(特にプロンプト インジェクションと組み合わさると危険)。
  • Dormant agents, actions, or connections:「忘れられた」公開済みエージェントや放置された接続により、隠れた特権アクセスが生まれます。
  • Author (maker) authentication in production:職務分離が崩れ、実質的に maker の昇格権限で実行され得ます。
  • Hard-coded credentials in topics/actions:資格情報の直接的な漏えいリスク。
  • Model Context Protocol (MCP) tools configured:文書化されていないアクセス経路や、意図しないシステム連携を持ち込む可能性があります。
  • Generative orchestration without instructions:挙動のドリフトや、プロンプト駆動による危険なアクションの可能性が高まります。
  • Orphaned agents(アクティブな所有者なし):ガバナンスが弱く、責任を持つ保守担当が不在となり、古いロジックが残存するリスクが高まります。

Impact on IT admins and security teams

Power Platform と Microsoft 365 セキュリティを管理する管理者にとっての要点は、エージェントのセキュリティ態勢が ID とデータ ガバナンスの一部になったということです。誤設定は、従来のアプリ資産管理、Conditional Access の前提、またはコネクタ ポリシーだけでは把握しきれない新たなアクセス経路を作り得ます。特に maker によりエージェントが急速に作成される場合、その傾向が顕著です。

Action items / next steps

  1. Defender の Advanced Hunting(AI Agent folder)で Community Queries を実行し、環境全体の所見をベースライン化します。
  2. 是正の優先度:未認証エージェント、組織全体共有、maker-auth エージェント、外部メール送信機能を持つもの。
  3. HTTP Request の利用を見直し、可能な限りガバナンスされたコネクタに置き換えます。HTTPS と標準ポートを強制します。
  4. 休眠/孤立資産をクリーンアップ:未使用のエージェント/アクションを廃止し、古い接続をローテーション/削除します。
  5. 運用上のガードレールを確立:明確な所有者の必須化、目的の文書化、最小権限の接続、生成オーケストレーションへの必須指示(instructions)などを徹底します。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Copilot StudioMicrosoft DefenderAdvanced HuntingPower PlatformAI security

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。