生成AIが日常業務に入り込む時代に、信頼性の揺らぎが注目を集めています。2025年7月、ノルウェーのセキュリティ企業Pistachioのエンジニアが、Microsoft 365 Copilotに監査ログが残らない不具合を発見しました。
CopilotはWordやExcel、Teamsなどに組み込まれ、ファイル要約や資料作成を支援する便利な存在です。通常であれば、Copilotがどのファイルにアクセスしたかは監査ログに記録されます。ところが特定の指示を与えると、内容を処理しているにもかかわらず「どのファイルに触れたか」の痕跡が記録されないケースがあったのです。
監査ログは、不正アクセスや情報漏えいが発生した際に原因を突き止めるための「足跡」にあたります。そこに穴があるということは、企業にとってコンプライアンス違反や説明責任のリスクを抱えることになります。
この問題は7月4日にMicrosoftへ報告され、8月には修正版が展開されました。しかし、通常であれば発行されるはずのCVE(共通脆弱性識別子)は付与されず、公式な周知も行われませんでした。Microsoftは「仕様上の問題」と判断した可能性が指摘されていますが、外部からは「透明性を欠く対応」と批判されています。
今回の件で浮き彫りになったのは、AIそのものの能力よりも「記録」「説明」「透明性」といった基本的な要素の重要性です。便利さが増しても、記録が残らなければ安心して使うことはできません。AIが業務に組み込まれていく今、機能の進化以上に「信頼できる仕組みであるかどうか」が問われているのです。
用語解説
- Microsoft 365 Copilot
Word、Excel、Teamsなどに統合されたAI機能。資料作成や要約を支援する。
- 監査ログ
システムがいつ・誰に・どのように使われたかを記録する仕組み。不正調査やコンプライアンス対応に不可欠。
- CVE(共通脆弱性識別子)
世界共通で脆弱性に割り当てられる識別番号。公開と修正の透明性を確保する役割を持つ。
技術とノウハウでデジタルシフトをサポート
中小企業の頼れるパートナー
執筆者: 綾部 一雄(株式会社クロスディーズ 代表取締役)
ネットワーク維持管理、システム開発、ベンダー調整のスペシャリスト。前職では、600名以上の介護事業所で、介護事業用ソフトの導入や契約の電子化、テレワークシステムの導入等に幅広くに携わる。2021年より、株式会社佐々木総研にて業務効率化のためのロボットや最新技術を活用した開発を行っている。