はじめに

昨今のサイバー攻撃の高度化に伴い、組織のセキュリティ担当者やSOC（セキュリティオペレーションセンター）の運用負荷は増大し続けています。こうした課題を解決する切り札として注目されているのが、AIを活用した セキュリティ製品です。

昨年（2025年）秋のMicrosoft Igniteでは、「Microsoft 365 E5 ライセンスを保有する組織には、追加のライセンス費用なしでMicrosoft Security Copilotの無料利用枠が提供される」特典の開始が発表されました。発表後から順次提供が始まり、Security Copilot利用のハードルが大きく下がってきています。

Security Copilotの利用方法についてはまだ情報が少なく、使ってみたいものの試せていない方も多いでしょう。本記事では、Security Copilotを導入・運用する際の考え方や、コスパのいい活用方法について、公式ドキュメントと、弊社での検証結果をもとに解説します。

※2026年2月末の時点での内容から執筆しております。内容が更新される場合があることをご了承いただき、詳細については最新のドキュメントをご確認ください。

※本記事内容に関する出典・参考
公式ドキュメント「Microsoft Security Copilot とは」

INDEX

はじめに

Security Copilot の概要と主な機能

Security Copilot における処理フローと具体的な使い方

Security Copilotの使い方と機能

『通常プラン』と『 Microsoft 365 E5特典』による Security Copilot の違い

Security Copilot の課金体系とコストについて

コストを抑えて Security Copilot を運用するためのアイデア

プロ目線でのSecurity Copilot の評価

まとめ

よくある質問Q&A

Security Copilot の概要と主な機能

Security Copilotの概要

Security Copilot は、OpenAI のアーキテクチャを活用し、セキュリティ調査・対応の効率と機能を向上させるために設計されたセキュリティ特化型 AI アシスタントです。

セキュリティインシデントの検知・調査・対応を主な業務とするSOCにおいては、Microsoft Sentinel (SIEM) や Microsoft Defender XDR とのシームレスな結合により、状況の把握や調査・対応を効率化してくれるなど、さまざまなメリットを提供します。

また、自然言語による指示が可能で、担当者のスキルによらず高度な業務、複雑な業務に対応できるのもメリットです。

Security Copilotの主な機能および保護の範囲

Security Copilotの主な機能は次のとおりです。

• インシデントの概要・要約の作成
• インシデントの調査
• 調査用のクエリの作成
• 環境内の脆弱性の調査
• 論理隔離やパスワードリセットとうなどのインシデント対応
• 定型タスクの自動実行

Security Copilotは、以下の範囲を検索して保護を提供します。

• Microsoft Sentinel (SIEM)
• Microsoft Defender for Endpoint
• Microsoft Defender for Office365
• Microsoft Defender for CloudApps
• Microsoft Intune
• Microsoft Purview
• Microsoft Defender for Cloud
• その他（※）

Security Copilotでは上記の他の製品については、SIEMにログを取り込み専用のプラグインを使用することで直接的・間接的に調査や対応を可能にします。また、Security Copilotが監視できる範囲は利用者のRBAC（ロールベースのアクセス制御）に依存するため、利用者の立場や役割に合わせた細かな制御が可能です。

プラグインとエージェントによる拡張性と自動化の実現

Security Copilotの最大の特徴は、プラグインとエージェントによる機能拡張性にあると筆者は考えています。

プラグインは対応する製品と連携したり、環境内のコンテキスト情報を収集したりする機能を提供します。また、ServiceNowやVirusTotal などのサードパーティ製品との連携や、イベントログや脅威インテリジェンスの情報を取得するためにも使われます。

エージェントはフィッシング調査や脆弱性修復といった特定の反復的なタスクを自律的に実行するためのコンポーネントであり、業務の効率・品質の向上が期待できます。

プラグインやエージェントは自作することも可能です。これらのコンポーネントと生成AIのパワーを活用することで、さまざまな現場の問題の解決策となるでしょう。

Security Copilot における処理フローと具体的な使い方

Security Copilotは何を行っているのか

Security Copilot の使用は、自然言語による「プロンプト（指示文）」の入力から始まります。ユーザーがプロンプトを入力すると、システムは「グラウンド」と呼ばれる前処理を行い、関連するプラグインから必要なデータを取得して、大規模言語モデル（LLM）へ送信します。

※本記事内容に関する出典・参考
公式ドキュメント「Microsoft Security Copilot とは」

Security Copilotでは、利用者によるプロンプト（指示文）の入力から、利用者に対する出力（回答）まで、次のようなプロセスで処理を行っています。

1. プロンプトの入力	自然言語でユーザーが指示を入力
2.グラウンド（前処理）	プロンプトの解釈、ユーザーのロールの確認、使用するプラグインの決定など
3. プラグインによる処理	処理で使用するプラグインやログテーブルなどを選択し、必要な処理を実施して返信
4. 処理結果をLLMに連携して指示	LLMに3の処理結果を渡し、1の指示の意図からLLMが理解しやすい形で指示文を提供
5. LLMからの応答を受信して後処理	リスクのない内容かどうかガードレールに基づいて確認する。後工程で必要な形に応答データを整えるなどの処理
6. 出力	ユーザーに自然言語や指示された形式で回答

より詳しい情報が欲しい方は、Microsoft learnのページをご覧ください。

Security Copilotの使い方と機能

Security Copilotの使い方は非常に簡単です。しかし、奥が深く、本記事では書ききれないため、以下で簡単にご紹介します。

Security Copilotを使いたいとき: サインイン

Security Copilotは専用ポータルと、Microsoft製品内（要プラグイン）から使用可能です。

Security Copilotに指示をする

Security Copilotに指示をしたい場合は、専用ポータルのトップページやプロンプトの実行画面、Microsoft製品内の埋め込み画面のウインドウにプロンプトを入力して実行すると、数秒から数十秒ですぐ結果が返ってきます。

Security Copilotの機能を使ってみる: プロンプト/プロンプトブック/エージェント

Security Copilotには便利な機能があり、ユーザーが効率的に調査できるようになっています。

（既定の）プロンプト

セキュリティ対応の現場で使用頻度が高そうなプロンプトについては、Microsoftがデフォルトで用意してくれています。これらのプロンプトはSecurity Copilotが理解しやすいように調整済みなので、目的に対して間違いが少なく、かつ低コスト（低SCU消費）で調査できます。

プロンプトブック

熟練したセキュリティアナリストのように、複雑な調査フローを自動的に行ってくれるのがプロンプトブックです。プロンプトブックでは、調査(1)の結果をもとに調査(2)、調査(3)を実施するという形で調査チェーンが自動化されているため、プロンプトの用意も必要なく短時間で複雑な調査が可能です。独自のプロンプトブック作成も可能です。

エージェント

繰り返し発生する特定の調査や対応を自動化してくれるのがエージェントです。既定でいくつかのエージェントが用意されています。エージェントを自作することも可能です。

『通常プラン』と『 Microsoft 365 E5特典』による Security Copilot の違い

Microsoftは、Microsoft 365 E5 の有料ユーザーライセンスを保有している顧客に対し、「2025年11月から追加設定や追加費用無しでSecurity Copilotを順次提供する」旨を発表しました。

本サービスについては、一斉ではなく「順次」提供という形ということもあり、利用可能になる30日前にMicrosoftから通知が届くことになっています。弊社と取引のある日本国内のお客様においても、既に利用可能になっているところが出てきています。

実はこのMicrosoft 365 E5特典のSecurity Copilotは、機能は同じですが、通常プランとはいくつかの点で異なることが公式ドキュメントで示されています。主な違いについて見てみましょう。

違い（１）: 初期設定の有無

Security Copilot の利用には、通常 Azure からSecurity Copilot用にワークスペースを作成し、容量（Volume）を自社の要件に合わせてプロビジョニングする必要があります。

しかし、Microsoft 365 E5 の有料ユーザーライセンスを保有している場合は、追加設定や追加費用なしにSecurity Copilotが環境内で利用できるようになります。E5特典では、設定不要で、有料のユーザーライセンス1,000件ごとに400 SCU/月 が毎月、自動的にプロビジョニングされます（最大10,000 SCU/月）。

たとえば、E5のライセンスを2000件契約している企業であれば 800 SCU/月まで無料で使用可能です。

違い（２）: 課金体系の違い

Security Copilotは通常、容量の作成時に1時間あたりのSCUを割り当てます。
通常プランの場合は、課金の単位が1時間あたりに割り当てたSCUの数（小数点以下は切り捨て）で決まります。

【通常プラン】例: 1時間あたり2SCUを設定した場合	計算上の使用量
4時間（使用なし）	8 SCU
24時間（使用なし）	48 SCU
1時間（2.7 SCUを使用）	2 SCU

ここで重要なポイントは、【通常プラン】の場合、割り当てられたSCUに対して、Security Copilotの利用の有無に限らず、1時間ごとに課金されるという点です。

一方のE5特典では、SCUの利用は1時間単位ではなく、月間の使用量としてプロビジョニングされます。また、課金されるSCUは小数点第一位までになります。

【E5特典】例: 1時間あたり2SCUを設定した場合	計算上の使用量
4時間（使用なし）	0 SCU
24時間（使用なし）	0 SCU
1時間（2.7 SCUを使用）	2.7 SCU

違い（３）: ロールオーバーに関する違い

Security Copilotのために割り当てた容量（SCU）は繰り越しできません。通常プランでもE5特典でも、スマホキャリアのデータプランのように、未使用分が次の時間や次月に繰り越されることはありません。

Security Copilot の課金体系とコストについて

Security Copilotは非常に強力なツールですが、利用において頭を悩ませるのがコストの問題です。コストについて正しく理解しておかなければ、予想外の費用が発生してしまったり、大事なときに使えなかったりしてしまいます。

Security Copilotの課金体系

前述の通り、通常プランでのSecurity Copilotは従量課金となっており、1時間あたりのSCUの割り当て数によって費用が計算されます。Security Copilotでは、1 SCU/時間あたりの価格が4米ドルに設定されており、SCUが不足している場合には追加容量を購入できます（1時間あたり6米ドル/SCU）

Microsoftでは、一定の使用を確保できるように推奨のSCU数を「3」としています。以下の表はSCUごとの費用の目安です。

消費量の管理と注意点

Security Copilotでは、ポータルの「所有者」メニューから「使用量の管理」ページで使用量（コスト）を確認できます。コスト管理をする上での注意点は以下のとおりです。

複雑な要求ほどSCUの消費が大きい

SCU の消費量はプロンプトの複雑さに依存します。弊社の検証結果では、単純なインシデントの要約であれば1回あたり 0.1 ～ 1.5 SCU 程度でしたが、複数のテーブルをまたぐ複雑な相関分析やプロンプトブックの実行になると、1回で 5.0 SCU 以上を消費することも少なくありませんでした。

E5特典ではAzureのコスト計算ツールが使えない

E5特典の使用時は、Azureのコスト計算ツールが使えない点にも注意が必要です。コスト計算ツールでは、予算を定め、一定の金額になったときに通知を送ることができますが、ポータルの使用量の管理には同様のアラート機能がないため、定期的に使用量を確認して計画的に使用する必要があります。

容量（SCU）は停止できない

「使わない時はSecurity Copilotを止めておけばいい」と考えてしまいますが、未使用の時間にも課金されるだけでなく、Security Copilotの容量は一時停止ができない仕様になっています。そのため、課金を止めたいのであれば容量（Volume）の削除が必要です。

ただし、容量を削除した場合、課金は止まりますが容量の中で蓄えられたコンテキストが失われてしまうため、環境によっては回答の精度に大きな影響が出る可能性があります。

コストを抑えて Security Copilot を運用するためのアイデア

Security Copilot は非常に強力ですが、無計画な使い方をすると SCU を急速に消費して高いコストが発生したり、肝心なときにSCU不足で使用できなくなったりしてしまいます。以下では、特にE5特典を使って無料枠内でSecurity Copilotを使いたいという方に向けて利用方法のアイデアを紹介します。

用途別に予算を組んでおく

E5特典では、毎月の無料使用量が決まっているため、事前にSecurity Copilotの使用量を計画し、使用量を管理することが大切です。

Security Copilotの予算設定例

用途	SCUの予算
重大インシデント調査・対応（その他には使わない）	80
通常インシデント調査・対応	220
脆弱性調査	60
調査用クエリ開発	40
合計	400

しかし、Security Copilotは既定の設定ではMicrosoft Defenderのインシデント画面を開くと自動でインシデントの要約や調査が始まります。自動実行による課金は予算計画を狂わせる原因となりますので、製品の設定から「オンデマンドで生成」に変更しておきましょう。

インシデント調査にはあえて使わない

Security Copilotはインシデント調査に大きな威力を発揮するツールですが、セキュリティアラートが発報されインシデント調査が必要になる度に使ってしまうとすぐにSCUが枯渇してしまいます。そのため、あえてインシデント調査にはSecurity Copilotを使わず、特定のアラートが出たときの調査用のクエリ（KQL）や調査手順などのノウハウを作成してもらう、自社の環境を評価してもらってセキュリティ対策の提案を受ける、といった使い方に特化するのも1つの案です。

Microsoft SentinelやMicrosoft Defender XDRには作成したクエリを保存する機能がありますので、Security Copilotを使って調査用のクエリを充実させていくことで、将来的に低コストで強固なセキュリティ調査体制を作ることができます。

特定条件のアラートのみSecurity Copilotに調査・対応させる

特定のカスタムアラートや、Severity（重大度・緊急度）がHigh以上のアラートのみSecurity Copilotに調査させるという使い方もできます。現時点では、完全に自動でこの使い方をすることはSecurity Copilot単体ではできませんが、手動だとしてもコスト管理とセキュリティ監視効率を高めるための現実的で良いアイデアです。

プロ目線でのSecurity Copilot の評価

Security Copilot はインシデントの概要調査や調査品質の安定化において期待通りのパフォーマンスを見せてくれるツールであると評価しています。特に大規模環境や影響範囲の広いインシデント等を調査する場合には、どんなに人間が熟練しても追い付かない速度と品質で調査を行ってくれるでしょう。

また、海外製のSOC向けAI製品のデモをいくつか見たことがありますが、特に日本語の質の高さや拡張性はSecurity Copilotが非常に優れている点だと感じました。
昨年のMicrosoft IgniteはMicrosoftがいかにAIに力を入れているかを実感する内容でしたので、セキュリティ関連も今後は非常に期待しています。

一方で、どうしてもコスト面は気になるところです。無料のAIと違って相談するだけでもSCUが消費されて課金されるため、壁打ちには無料のAIアシスタントの利用をおすすめします。

円安の影響もあり、Security Copilotの使用はかなりの費用が見込まれるため、実費での使用にはまだまだ二の足を踏むという組織も多いと思われます。筆者としては、Security CopilotはE5特典をまずフル活用し、どうしてもという場合のみ別途容量を作成するほうがコスパがいいと思いました。

コストが気になるという話ばかりしていますが、Microsoftの名誉のために補足しておきますと、先に話した海外製のSOC向けAI製品と比較して1件あたりのアラート調査やハンティングにかかる費用は同程度か、やや安いくらいです。

Security Copilotは便利ではありますが、あくまで「AIアシスタント」であり、人間のエンジニアを代替して全自動でセキュリティ業務を行ってくれるわけではありません。また、使いこなすためにも技術や知識が必要なため、「Security Copilotを使うことで今よりは良くなるけど、劇的な変化をもたらすにはまだ時間が必要」というのが正直な感想です（これはSOCサービス提供事業者としてのポジショントークではありません）。

まとめ

Security Copilot は、組織におけるセキュリティ対応をAIの力で高度化・効率化させてくれる強力なツールです。Microsoft E5特典で使用できる組織は、無料枠の範囲からで構いませんので、ぜひ活用してみてください。

セキュアイノベーションでは、Microsoft ソリューションパートナーとして培った専門知識を活かし、AI と共存する質の高い SOC サービスを提供しています。AI の利便性と人間の専門家による柔軟な判断を組み合わせながら、強固なセキュリティ体制づくりに貢献いたします。Microsoft E5ライセンスの導入や運用に関する相談がございましたら、ぜひ弊社までお声がけください。

関連するサービス

SOC（セキュリティオペレーションセンター）サービス

SIV-SOCサービス

SOCは、セキュリティ機器やログを監視し、インシデントの検知や対応を行う運用体制です。
MISPのような脅威インテリジェンスを活用する場合、SOCによるログ監視やインシデント対応と組み合わせることで、より実践的なセキュリティ運用が可能になります。

Q&A

Q：Microsoft 365 E5 の特典である Security Copilot はいつから使えますか？

A：2025年11月18日より全世界で順次提供がはじまっています。対象となる顧客にはアクティベーションの30日前に事前通知が届き、自動的にプロビジョニングされます。届いていない場合はまだ使えないと判断してください。

Q：E5特典で提供される SCU は、複数のワークスペースで共有できますか？

A：いいえ、SCU はワークスペース間で共有することはできません。ワークスペースごとに割り当てられた容量の範囲内で使用する必要があります。

Q：SCU が不足した場合、Security Copilot はどうなりますか？

A：追加容量（有料）を構成していない限り、リクエストの処理が停止します。プロンプトブックなどの一連の処理も、途中で停止してしまいます。

Q：入力した顧客データが AI の学習に使われることはありますか？

A：いいえ、顧客データ（プロンプトや応答）が Azure OpenAI Service の基盤モデルのトレーニングに使用されることはないと明記されています。

Q：Security Copilot を使うために他の Microsoft セキュリティ製品の導入は必須ですか？

A：必須ではありませんが、Microsoft Defender XDR や Microsoft Sentinel がある環境のほうがSecurity Copilotの機能が活かされます。

Q：サードパーティ製のセキュリティ製品と連携することはできますか？

A：はい、ServiceNow や Splunk など、多くの Microsoft 以外のプラグインがサポートされており、それらのデータを活用した調査が可能です。

Q：使用状況（コスト）を監視する方法はありますか？

A：Security Copilot ポータル内に、SCU の消費状況をリアルタイムで追跡できる「使用状況監視ダッシュボード」が用意されています。