Copilot 제어 시스템 보안 및 거버넌스

Microsoft 365 Copilot 및 에이전트를 구현할 때 보안, 규정 준수, 개인 정보 보호 및 거버넌스와 관련된 새롭고 증폭된 위험에 직면할 수 있습니다. 이 보안 및 거버넌스 프레임워크는 다음 구성 요소에서 이러한 문제를 완화하는 데 도움이 됩니다.

• Microsoft 365 Copilot
• Microsoft 365 Copilot Chat
• Microsoft 365 미리 빌드된 에이전트
• Microsoft Copilot Studio 만들어 Microsoft 365 채널에 게시된 에이전트

이 문서에서는 기본 및 최적화된 컨트롤을 참조합니다. 일반적으로 이러한 용어는 다음 제품 및 서비스를 참조합니다.

• 기본: A3/E3/G3 라이선스를 사용하여 Microsoft 365 관리 센터, SharePoint 고급 관리 및 Microsoft Purview의 보안 및 거버넌스를 제어합니다.

• 최적화됨: Microsoft Purview의 컨트롤 및 A5/E5/G5 라이선스가 있는 Microsoft Defender for Cloud Apps.

Copilot 제어 시스템 보안 및 거버넌스 핵심 요소는 다음과 같은 주요 기능에 중점을 둡니다.

• 데이터 보안
• AI 보안
• 규정 준수 및 개인 정보

데이터 보안

무엇보다도 organization 정보를 보호합니다. 현재 라이선스에 따라 Microsoft Purview 및 SharePoint 고급 관리 사용하여 초과 공유 위험을 평가합니다. 정책 권장 사항에 Microsoft Purview를 사용하고 수정 작업을 수행할 수도 있습니다. 이러한 작업은 중요한 데이터가 보호된 상태로 유지되고, Copilot 및 에이전트를 포함하여 필요한 사용자로만 액세스가 제한된다는 것을 확신하는 데 도움이 됩니다.

기본 데이터 보안 및 거버넌스 제어

A3/E3/G3 라이선스가 있는 SharePoint 고급 관리 및 Microsoft Purview에서는 다음과 같은 기본 데이터 보안 및 거버넌스 제어를 얻을 수 있습니다.

• 모든 Microsoft 365에서 잠재적으로 과도하게 공유된 데이터를 식별합니다. 다음 보고서를 정기적으로 실행합니다.

  • SharePoint 사이트에 대한 데이터 액세스 거버넌스 보고서를 사용하면 사이트에 대한 초과 공유 데이터를 식별할 수 있습니다. 또한 초과 공유된 사이트의 소유자에게 사이트 액세스 검토를 보낼 수도 있습니다.

• 필요에 따라 organization 전체 사이트 액세스를 제거합니다.

  • SharePoint를 사용하여 이 액세스를 수동으로 구성하거나 Windows PowerShell 사용하여 구성을 자동화합니다. 자세한 내용은 Microsoft 365 그룹 및 Microsoft Entra 보안 그룹을 사용하여 SharePoint 사이트 액세스 제한을 참조하세요.

  • 위험을 수정하는 동안 사용자, Copilot 및 에이전트 액세스를 초과 공유된 사이트에 제한하려면 SharePoint 제한된 콘텐츠 검색 또는 SharePoint 제한된 액세스 제어를 사용합니다.

  • Microsoft Purview Information Protection 사이트 민감도 레이블을 사용합니다. 자세한 내용은 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용을 참조하세요.

• 불필요한 콘텐츠를 보관하거나 삭제하여 Copilot 및 에이전트 응답을 개선합니다.

  • 비활성 또는 소유자가 없는 SharePoint 사이트를 식별하고 관리한 다음 보관하거나 삭제하려면 SharePoint 사이트 수명 주기 관리를 사용합니다.

  • Microsoft Purview 데이터 수명 주기 관리 사용하여 필요하지 않은 파일을 식별하고 삭제합니다.

A3/E3/G3 라이선스가 있는 Microsoft Purview에서는 다음과 같은 기본 데이터 보안 컨트롤을 얻을 수 있습니다.

• 수정 옵션을 사용하여 새 오버셰어링이 발생할 때 알림을 받습니다. 자세한 내용은 Microsoft Purview 데이터 손실 방지 참조하세요.

• 파일 수준 액세스 제어를 통해 중요한 데이터를 보호합니다. 자세한 내용은 Microsoft Purview Information Protection 민감도 레이블을 사용하여 암호화 적용을 참조하세요.

• Copilot 및 에이전트 상호 작용에서 참조되는 중요한 데이터 및 보호되지 않는 파일의 보고서를 봅니다. 자세한 내용은 AI에 대한 Microsoft Purview 데이터 보안 태세 관리(DSPM)의 보고서를 참조하세요.

• 다음 컨트롤에 Microsoft Purview Information Protection 민감도 레이블을 사용합니다.

  • 콘텐츠에 중요한 데이터가 포함된 경우를 감지하고 사용자에게 수동으로 보호를 적용하도록 요청합니다.

  • 사용자가 파일을 이동하거나 다운로드하는 경우에도 파일을 보호합니다.

최적화된 데이터 보안 컨트롤

A5/E5/G5 라이선스가 있는 Microsoft Purview에서는 다음과 같은 최적화된 데이터 보안 컨트롤을 얻을 수 있습니다.

• 다음 컨트롤에 대해 AI용 Microsoft Purview DSPM(데이터 보안 상태 관리)를 사용합니다.

  • SharePoint 사이트 및 OneDrive와 같은 특정 Microsoft 365 위치를 대상으로 하는 데이터 위험 평가를 만듭니다.

  • 특정 과잉 공유 위험을 완화하기 위한 정책 제안을 받고 조치를 수행합니다.

• 콘텐츠에 중요한 데이터가 포함된 경우를 감지하고 자동으로 보호를 적용하려면 Microsoft Purview Information Protection 민감도 레이블을 사용합니다.

• 다음 컨트롤에 Microsoft Purview 내부 위험 관리 사용합니다.

• 일반적인 동작 패턴에서 벗어나는 위험한 사용자 작업에 대한 경고를 받습니다. 자세한 내용은 내부 위험 관리 정책 템플릿을 참조하세요.

• 위험 경고를 상호 연결 및 시퀀스하여 사용자의 높은 심각도 위험 패턴을 식별합니다. 자세한 내용은 시퀀스 검색에 대한 내부 위험 관리 정책을 참조하세요.

• 위험 패턴에 따라 사용자를 더 엄격한 보안 정책에 자동으로 추가합니다. 자세한 내용은 내부 위험 관리를 위한 적응형 보호를 참조하세요.

AI 보안

또한 진화하는 위협으로부터 AI 기반 도구 및 관련 데이터를 보호해야 합니다. 이 Copilot 제어 시스템 AI 관련 위험을 모니터링, 검색 및 대응하는 컨트롤을 제공합니다. 예를 들어 중요한 정보, 비정상적인 사용자 동작 및 생성 AI 기능의 오용을 과도하게 공유합니다. 이러한 컨트롤을 사용하여 AI 통합이 내부 및 외부 위협에 대해 안전하고 규정을 준수하며 복원력을 유지할 수 있도록 합니다.

기본 AI 보안 제어

Copilot에는 이미 AI 기반 공격에 대한 기본 제공 보호 기능이 포함되어 있습니다. 이러한 보호에는 다음 보호가 포함되지만 이에 국한되지는 않습니다.

• 프롬프트 삽입 공격 차단

• 유해한 콘텐츠 차단

• 보호된 재질 검색

A3/E3/G3 라이선스가 있는 Microsoft Purview에서는 다음과 같은 기본 AI 보안 제어를 얻을 수 있습니다.

• 프롬프트 및 응답 텍스트와 참조된 파일을 보려면 Microsoft Purview eDiscovery 사용하여 검색하고 내보냅니다.

• Copilot 및 에이전트 응답 및 Copilot 및 에이전트가 민감도 레이블 및 보호를 상속하기 위해 만든 문서의 경우 Microsoft Purview Information Protection 민감도 레이블을 사용합니다.

최적화된 AI 보안 컨트롤

A5/E5/G5 라이선스가 있는 Microsoft Purview에서는 다음과 같은 최적화된 AI 보안 컨트롤을 얻을 수 있습니다.

• Copilot 및 에이전트가 특정 중요한 파일을 처리하고 응답에 사용하지 못하도록 하려면 Microsoft 365 Copilot 및 에이전트에 대한 Microsoft Purview 데이터 손실 방지 사용합니다.

• 프롬프트 삽입 공격 시도 또는 중요한 데이터 사용과 같은 위험한 AI 사용에 대한 경고를 받으려면 Microsoft Purview 내부 위험 관리 사용합니다.

• 고위험 사용자가 Copilot 및 에이전트를 사용하여 중요한 콘텐츠에 액세스하지 못하도록 차단하려면 내부 위험 관리를 위한 적응형 보호를 사용합니다.

• 프롬프트 및 응답 텍스트를 보려면 접지 중에 사용되는 모든 웹 쿼리와 참조된 파일은 AI용 Microsoft Purview 데이터 보안 태세 관리 활동 탐색기를 사용합니다.

규정 준수 및 개인 정보

Copilot 제어 시스템 보안 및 거버넌스의 세 번째 측면은 Copilot 및 에이전트 상호 작용이 규정 및 내부 표준을 준수하는 방법을 모니터링, 감사 및 관리할 수 있도록 하는 것입니다. Microsoft Purview를 사용하여 Copilot 활동에 대한 포괄적인 감독을 제공합니다. 이러한 컨트롤을 사용하면 Microsoft 365 Copilot 및 에이전트를 배포하고 사용할 때 중요한 정보를 보호하고, 개인 정보를 유지 관리하고, 규정 준수를 입증할 수 있습니다.

기본 규정 준수 및 개인 정보 보호 제어

A3/E3/G3 라이선스가 있는 Microsoft Purview에서는 다음과 같은 기본 규정 준수 및 개인 정보 보호 제어를 받게 됩니다.

• Copilot 및 에이전트 상호 작용을 감사하려면 Copilot 및 AI 애플리케이션에 대한 Microsoft Purview 감사 사용하여 자세한 로그 정보에 액세스합니다.

• 다음 기능에 대한 보존 및 삭제 정책을 적용하려면 Microsoft Purview 데이터 수명 주기 관리 사용합니다.

  • Microsoft 365 Copilot 및 에이전트 상호 작용

  • Microsoft Teams 모임 녹음/녹화 및 대본

• 다음 컨트롤에 Microsoft Purview eDiscovery 사용합니다.

  • 사용자의 Copilot 및 에이전트 프롬프트 및 응답을 법적 보존에 포함합니다. 자세한 내용은 정책 보류 및 보존을 참조하세요.

  • 소송 또는 조사를 검색하고 Copilot 및 에이전트가 생성하는 콘텐츠를 포함합니다.

최적화된 규정 준수 및 개인 정보 제어

A5/E5/G5 라이선스가 있는 Microsoft Purview에서는 다음과 같은 최적화된 규정 준수 및 개인 정보 보호 제어를 얻을 수 있습니다.

• 규정 준수 또는 윤리적 위반이 발생할 수 있는 경우 경고를 받은 다음 조사를 시작하려면 Microsoft Purview 커뮤니케이션 규정 준수 사용합니다.

• 규정 프레임워크 준수를 평가하고 추적하려면 Microsoft Purview 준수 관리자를 사용합니다.

제로 트러스트

Microsoft는 organization 제로 트러스트 원칙을 구현하기 위한 자세한 설명서와 Microsoft 365 Copilot 및 Copilot Chat 대한 구체적인 고려 사항을 제공합니다. 제로 트러스트 제품이나 서비스가 아니라 다음 보안 원칙 집합을 설계하고 구현하는 접근 방식입니다.

• 명시적으로 확인
• 최소 권한 액세스 사용
• 보안 위반 가정

자세한 내용은 제로 트러스트 보안을 사용하여 Copilot 준비를 참조하세요.

관련 콘텐츠

• Microsoft 365 Copilot 데이터, 개인 정보 보호 및 보안

• SharePoint 고급 관리

• Microsoft Purview

• Copilot 제어 시스템 - Microsoft 채택