結論から言うと、Microsoft 365 CopilotのCoworkで発覚した脆弱性はうちのようなSaaSスタートアップにとって笑えない話だ。
AIセキュリティ企業のPromptArmorが報告した内容を読んで、まず「設計レベルの問題か」と直感した。単一のバグではなく、AIエージェントが企業システム全体の権限を持って動く構造そのものにリスクが埋め込まれている、という指摘が刺さった。間接プロンプト注入と呼ばれる手口で、悪意あるスキルファイルを読み込んだCoworkがSharePointやOneDrive上のファイルに事前認証済みダウンロードリンクを生成し、攻撃者サーバーに横流しする。しかも「攻撃の過程で人間の承認は一度も必要なかった」と報告書には書いてある。
うちは従業員8名だ。全員がGoogleドライブとSlackと顧客管理ツールに日常的にアクセスしている。ドキュメント管理は緩いし、権限の粒度も正直細かく設定できていない。創業期にとにかくスピードを優先した結果、OneDrive相当の環境で「誰でも読める」フォルダに投資家向けのターム資料や顧客のPIIが普通に入っている状態がしばらく続いていた。今は整理しつつあるが、完璧とは言えない。
PromptArmorの検証では、Claude Opus 4.7を明示的に指定した場合でも攻撃が成功したと書いてある。「Auto」モードよりも広範囲に最近使用された文書を探し、以前のCoworkセッションで使ったファイルまで流出対象に含めたとも。うちはClaudeを業務全面導入済みだから、「うちが使っているAIは安全」という根拠がどこにもないことは分かっている。問題はモデルじゃなくてアーキテクチャとアクセス権の設計だ。
この話をSlackで軽く共有したら、エンジニアの一人が「うちもCowork使う予定ありましたっけ?」と聞いてきた。今のところ本格導入はしていないが、Microsoft環境を使っているチームメンバーもいるし、今後の話は普通にある。判断を後回しにしていい理由はない。
直近でシリーズAに向けた資金調達の準備を進めている。DDのフェーズでセキュリティポリシーを聞かれるのは確実で、「AIエージェントに付与している権限の範囲を把握しているか」という質問が来ても答えられる状態にしておく必要がある。投資家にリスク管理の穴を指摘されてから直すのは、ROI的にも印象的にも最悪だ。
PromptArmorが対策として挙げているのはシンプルだった。
ただし、ダウンロードブロックを有効にすると業務上の使い勝手にも制約が出る。Wordやexcelからのアクセスにも影響するので、一部ユーザーでテストしてから展開することをMicrosoftは推奨している。「とりあえず制限かけよう」で業務フローを壊すのも避けたい。スタートアップはリソースが薄い分、対策の副作用が大きく出やすい。
このニュースが示しているのは、AIツールの費用対効果をROIだけで測るのにそろそろ限界があるということだ。導入コスト・生産性向上・時短効果、これらをプラスに積んで判断してきたが、「万が一流出した場合のコスト」をどう見積もるかを今まで真剣に考えてこなかった。特にファイル流出は、PMF前後のタイミングで顧客情報が出ると即アウトになるケースがある。GTMのフェーズで信頼を一度でも壊すと、回収が恐ろしく遅い。
PromptArmorが今回の問題を「単一のバグではなく、AIエージェント設計上のリスク」と位置づけているのは正しいと思う。機能単位では全部まともな業務支援ツールでも、複数システムをまたいで自動実行されると攻撃面が一気に広がる。この構造的なリスクはCoworkだけの話じゃなく、自社で使っているエージェント系ツール全般に同じ問いが立つ。
来週のチームミーティングで、現状使っているAIツールに付与している権限の棚卸しをアジェンダに入れる。小さいチームだからこそ、誰かが把握していれば足りる。まず現状を可視化するところから始める。
AIセキュリティ企業のPromptArmorが報告した内容を読んで、まず「設計レベルの問題か」と直感した。単一のバグではなく、AIエージェントが企業システム全体の権限を持って動く構造そのものにリスクが埋め込まれている、という指摘が刺さった。間接プロンプト注入と呼ばれる手口で、悪意あるスキルファイルを読み込んだCoworkがSharePointやOneDrive上のファイルに事前認証済みダウンロードリンクを生成し、攻撃者サーバーに横流しする。しかも「攻撃の過程で人間の承認は一度も必要なかった」と報告書には書いてある。
従業員8人でも「権限管理の穴」は普通にある
うちは従業員8名だ。全員がGoogleドライブとSlackと顧客管理ツールに日常的にアクセスしている。ドキュメント管理は緩いし、権限の粒度も正直細かく設定できていない。創業期にとにかくスピードを優先した結果、OneDrive相当の環境で「誰でも読める」フォルダに投資家向けのターム資料や顧客のPIIが普通に入っている状態がしばらく続いていた。今は整理しつつあるが、完璧とは言えない。
PromptArmorの検証では、Claude Opus 4.7を明示的に指定した場合でも攻撃が成功したと書いてある。「Auto」モードよりも広範囲に最近使用された文書を探し、以前のCoworkセッションで使ったファイルまで流出対象に含めたとも。うちはClaudeを業務全面導入済みだから、「うちが使っているAIは安全」という根拠がどこにもないことは分かっている。問題はモデルじゃなくてアーキテクチャとアクセス権の設計だ。
投資家に「AIセキュリティどうなってる?」と聞かれる前に動く
この話をSlackで軽く共有したら、エンジニアの一人が「うちもCowork使う予定ありましたっけ?」と聞いてきた。今のところ本格導入はしていないが、Microsoft環境を使っているチームメンバーもいるし、今後の話は普通にある。判断を後回しにしていい理由はない。
直近でシリーズAに向けた資金調達の準備を進めている。DDのフェーズでセキュリティポリシーを聞かれるのは確実で、「AIエージェントに付与している権限の範囲を把握しているか」という質問が来ても答えられる状態にしておく必要がある。投資家にリスク管理の穴を指摘されてから直すのは、ROI的にも印象的にも最悪だ。
PromptArmorが対策として挙げているのはシンプルだった。
- AIエージェントが読める情報の範囲を絞る
- 過剰な権限を減らす
- SharePoint管理者によるダウンロードブロックポリシーの活用
ただし、ダウンロードブロックを有効にすると業務上の使い勝手にも制約が出る。Wordやexcelからのアクセスにも影響するので、一部ユーザーでテストしてから展開することをMicrosoftは推奨している。「とりあえず制限かけよう」で業務フローを壊すのも避けたい。スタートアップはリソースが薄い分、対策の副作用が大きく出やすい。
「便利だから入れる」の判断基準を見直すタイミング
このニュースが示しているのは、AIツールの費用対効果をROIだけで測るのにそろそろ限界があるということだ。導入コスト・生産性向上・時短効果、これらをプラスに積んで判断してきたが、「万が一流出した場合のコスト」をどう見積もるかを今まで真剣に考えてこなかった。特にファイル流出は、PMF前後のタイミングで顧客情報が出ると即アウトになるケースがある。GTMのフェーズで信頼を一度でも壊すと、回収が恐ろしく遅い。
PromptArmorが今回の問題を「単一のバグではなく、AIエージェント設計上のリスク」と位置づけているのは正しいと思う。機能単位では全部まともな業務支援ツールでも、複数システムをまたいで自動実行されると攻撃面が一気に広がる。この構造的なリスクはCoworkだけの話じゃなく、自社で使っているエージェント系ツール全般に同じ問いが立つ。
来週のチームミーティングで、現状使っているAIツールに付与している権限の棚卸しをアジェンダに入れる。小さいチームだからこそ、誰かが把握していれば足りる。まず現状を可視化するところから始める。