Microsoftが自律型エージェント Scout(Autopilot)を発表ー3つのセキュリティ懸念

2026年6月2日、MicrosoftはMicrosoft 365ブログにおいて、常時稼働の自律型AI エージェント「Microsoft Scout」を発表しました。同社が「Autopilot」と名付けた新カテゴリに位置するScoutは、ユーザーがその都度指示を出さなくても、メール・チャット・カレンダー・OneDrive・SharePointに常時アクセスしながら会議の調整、スケジュールのブロック、リスクの先行検知といった業務を自律的に実行します。

最大のリスクは、この「常時稼働・自律行動」という設計思想そのものに起因します。Scoutが常時読み取るメールや共有ドキュメントは、攻撃者が悪意ある命令を埋め込む「間接プロンプトインジェクション（XPIA）」の絶好の経路であり、2026年4月にはCopilot StudioエージェントがSharePointフォーム経由のプロンプトインジェクションによってDLPを回避したままデータを外部送信した事例がVentureBeatによって報告されています。

さらにScoutはMCPサーバーへの接続を通じて攻撃面を端末・ブラウザ・ローカルリソースまで拡大できる設計です。現時点ではFrontierプレビューに限定されていますが、本記事ではScoutの主要機能・Microsoftが主張するセキュリティ設計・企業が今確認すべき3つのセキュリティ懸念を解説します。

サマリー

• Microsoft Scout（Autopilot）は2026年6月2日発表。「ユーザーが毎回プロンプトを入力しなくても自律的に行動し続ける」常時稼働エージェントという新カテゴリで、Teams・Outlook・OneDrive・SharePointに統合
• Scoutは「Work IQ」と呼ばれる継続的学習機能で、ユーザーの働き方・優先事項・次のアクションを時間をかけて学習し行動精度を高める設計
• Microsoftはエンタープライズセキュリティとして「Entra個別アイデンティティ」「Purview DLPの強制適用」「センシティブ操作への人間承認」を挙げているが、いずれも実装の詳細が限定的
• セキュリティ懸念①：常時メール・ドキュメント読み取りは間接プロンプトインジェクション（XPIA）の絶好の経路。2026年4月のCopilot Studio事例ではDLPを回避したままデータ外部送信が確認された
• セキュリティ懸念②：MCPサーバーへの接続拡張は「ゼロ認証・ゼロ監査のシャドーMCP」という既知リスクをScoutに直接接続する
• セキュリティ懸念③：Work IQの継続学習データ（メール内容・会議詳細・ファイルアクセス履歴）は高価値ターゲットとなり、アカウント侵害時の被害範囲を大幅に広げる
• 現時点での利用にはFrontierへの登録・Intuneポリシー設定・オプトイン証明が必要。GitHub Copilotライセンスが別途必要

Microsoft Scoutの概要—「Autopilot」という新カテゴリの意味

Microsoft 365公式ブログ（著者：Omar Shahine, Corporate Vice President of Microsoft Scout、2026年6月2日）によれば、MicrosoftはMicrosoft ScoutをCopilotに続く「Autopilot」という新カテゴリのエージェントとして定義しています。

Copilotとの根本的な違いはその稼働モデルにあります。Copilotは「ユーザーが質問や指示を入力した時だけ動く」リクエスト応答型です。一方でScoutを含むAutopilotカテゴリは「ユーザーが都度プロンプトを入力しなくても、バックグラウンドで常時稼働し続け、独自のアイデンティティを持ってユーザーの代わりに行動する」自律型エージェントです。

Scoutが接続するデータソースはTeams・Outlook・OneDrive・SharePointに加えてメール・チャット・カレンダー・連絡先など、業務で日常的に使われるほぼすべての情報環境です。さらにデスクトップアプリを通じてブラウザ・ローカルリソース・MCPサーバーへの接続も可能です。基盤技術にはオープンソースの「OpenClaw」が採用されており、MicrosoftはOpenClawにポリシー適合性検証機能をコントリビュートしています。

主要機能—Work IQによる学習と業務自動化の4つの柱

Scoutが実現する主要な業務自動化は4領域に整理されます。

会議のプロアクティブ調整として、タイムゾーンをまたいだ会議の時間調整と参加者間のスケジュール調整を自律的に実行し、重要な会議を優先フラグとしてユーザーに通知します。会議の準備に必要な資料も自動生成します。

カレンダーの自動管理として、今後の成果物や締め切りを特定し、作業時間をカレンダーに自動でブロックして集中時間を確保します。

リスクの先行検知として、停滞した意思決定など、問題になる前に対処できる「初期リスク」を検知してユーザーに通知します。

Work IQによる継続学習として、時間をかけてユーザーの働き方・重視する優先事項・次に起こすべき行動を学習し、Scout自体の精度と関連性を高め続けます。

Microsoftが主張するエンタープライズセキュリティ設計

Scoutのエンタープライズセキュリティについて3点を主張しています。

第一に、各エージェントが独自の「Entra ID」（Microsoft Entra）を持ちます。共有された匿名のサービスアカウントではなく、組織のディレクトリが管理する既知のアクターとして行動が追跡可能であるとしています。

第二に、認証情報は「タスクの範囲内にスコープされ、ログや診断から除外され、Microsoftファーストパーティサービスと同等の厳格さで管理される」としています。

第三に、センシティブな操作については「人間の事前承認が必要」であり、Microsoft PurviewのDLPポリシー（機密ラベルや情報漏えい防止）がデータ送信・書き込み前に強制適用されるとしています。

セキュリティ懸念①：間接プロンプトインジェクション—常時読み取りは攻撃経路になる

2026年4月のVentureBeatの分析によれば、Copilot StudioエージェントがSharePointフォームを通じたプロンプトインジェクションによってデータを外部送信した際、DLPは発動しなかった。メールがOutlookの正当な操作として処理されたため、システムが承認済みの操作として扱ったためとされています。この事例はMicrosoftのAIエージェント全体に共通する構造的リスクを示しています。

間接プロンプトインジェクション（XPIA：Cross-Plugin Indirect Prompt Injection）は、エージェントが読み取るメールや共有ドキュメントに攻撃者が命令文を埋め込むことで、エージェントを意図しない行動に誘導する手法です。Microsoftのセキュリティブログ（2026年1月）では、「単一の改ざんされたデータソースがエージェントの行動を静かに操作し、不正アクセス・データ漏えい・内部システム侵害につながる可能性がある」と警告しています。

ScoutはOutlook・Teams・OneDrive・SharePointを常時読み取り続けます。これは通常業務では利便性の源泉ですが、セキュリティの観点では「攻撃者が一度でもScoutがアクセスするデータソースに不正な命令を埋め込めれば、Scoutをツールとして利用できる」という意味でもあります。研究者のCarter ReesはLLMが信頼できる命令と信頼できないデータを本質的に区別できないと指摘しており、「攻撃者のために動く困惑した代理人（confused deputy）」になるリスクがあるとしています。

Microsoftは「Purview DLPが強制適用される」と主張していますが、2026年4月の事例はその前提が常に成立しないことを示しています。DLPが正当な操作経路を通じた送信を阻止できないケースが実在します。

セキュリティ懸念②：MCPサーバー接続による攻撃面の拡大

Scoutの公式ブログには「You interact with it in Teams, and extend its reach through the desktop app to your browser, local resources, and model context protocol servers（MCPサーバー）」という記述があります。

MCP（Model Context Protocol）サーバーはAIエージェントにファイルシステム・データベース・外部APIへのアクセスを与える仕組みで、Claude DesktopやCursorなどのAI IDEが採用しています。しかし、MCP サーバーはシンプルな設定ファイルを通じてインストールされ、組み込みのセキュリティや認証（アテステーション）がゼロという既知の問題があります。組織内の開発者マシンでは、IT部門が把握していない「シャドーMCPサーバー」が稼働している可能性があります。

Scoutがエンタープライズ展開においてMCPサーバーへの接続を許可する設計である以上、MicrosoftがScoutの内部セキュリティをいかに強固にしても、接続先のMCPサーバー自体が安全でなければ、そこからScoutを通じた情報漏えいや意図しない操作が可能になります。情報システム担当者は組織内でどのMCPサーバーが稼働しているかを把握し、Scoutが接続可能なMCPサーバーを明示的に許可リストで管理する必要があります。

セキュリティ懸念③：Work IQの継続学習データと侵害時の被害範囲

Scoutの中核機能であるWork IQは、「ユーザーの働き方・優先事項・次のアクション」を時間をかけて学習し続けます。この継続学習データは実質的に「特定のユーザーの業務行動・意思決定パターン・重要情報の所在地の詳細なプロファイル」になります。

これが意味するのは、Scoutに紐付いたアカウント（またはEntra IDで管理されるScoutエージェントのアイデンティティ）が攻撃者に侵害された場合、攻撃者は単にメールが読めるようになるだけでなく、「そのユーザーが最も重視している情報がどこにあり、どういうパターンでアクセスされているか」というWork IQ由来の高度なコンテキスト情報も取得できる可能性があるということです。

また、MicrosoftはWork IQのデータが「いつまで・どこに・どのような形で保存されるのか」について公式ブログでは詳細を開示していません。企業としてのデータレテンション・データ残留地域・Work IQデータへのMicrosoftのアクセス権限についての確認は、Scoutを本番展開する前に必要な精査事項です。

情報システム担当者が今確認すべき対応

Scoutの展開ポリシーを事前に策定することが最優先です。現時点でScoutはFrontierプレビューに限定されており（Frontier登録・Intune設定・オプトイン証明・GitHub Copilotライセンスが必要）、全社展開のフェーズには至っていません。しかしこの段階から「誰が・どの権限で・どのデータにScoutがアクセスできるか」のポリシーを策定しておくことが重要です。Agent 365によるエージェントの可視化・アクセス制御・ガバナンスポリシーの設定を確認してください。

MCPサーバーのインベントリを取得することも必要です。組織内の開発者マシンや業務PC上に「シャドーMCPサーバー」が稼働していないかをIT部門として確認し、Scoutが接続可能なMCPサーバーを明示的に管理する体制を整えてください。

プロンプトインジェクションを「クラスレベルのリスク」として扱うという認識の転換が重要です。MicrosoftのCopilot Studioに関するOWASPアジェンティックAIトップ10の分析では、センシティブなドキュメントにエージェントがアクセスした場合に、Agent 365でそのアクティビティを検出・調査し、影響が生じる前にアクセスを制限またはエージェントを無効化できると説明しています。ただし、これは事後検知であり、事前防止ではありません。入力データ（メール・共有ドキュメント）の信頼度に基づくScoutの行動制限と、高リスクアクション（外部送信・カレンダー変更）に対する人間承認の強制設定を評価してください。

現時点でのプレビュー参加には慎重な評価を推奨します。Scoutの設計思想は生産性向上において強力ですが、セキュリティアーキテクチャの完全な検証と実運用データによる挙動の評価が不十分な段階でのエンタープライズ全社展開は、想定外のリスクを伴います。

FAQ

Q. Microsoft ScoutはMicrosoft 365 Copilotと何が違いますか？ A. Copilotはユーザーがプロンプト（指示・質問）を入力した時だけ動くリクエスト応答型エージェントです。Scoutは「Autopilot」と呼ばれる新カテゴリに属し、ユーザーが毎回指示しなくてもバックグラウンドで常時稼働し、独自のEntra IDを持って自律的にスケジュール調整・リスク検知・カレンダー管理などを実行し続ける自律型エージェントです。

Q. Work IQとは何ですか？どのようなデータが学習されますか？ A. Work IQはScoutがユーザーの働き方・優先事項・次のアクションを時間をかけて学習するMicrosoftの継続学習機能です。Outlookのメール・Teamsのチャット・カレンダー・OneDriveのファイルアクセス履歴などから文脈を構築します。公式ブログではWork IQデータの保存期間・保存場所・データポリシーの詳細は開示されていないため、エンタープライズ展開前にMicrosoftへの確認が必要です。

Q. プロンプトインジェクションとは何ですか？Scoutはなぜリスクがあるのですか？ A. プロンプトインジェクションは、AIエージェントが読み取るデータ（メール・ドキュメント等）に攻撃者が悪意ある命令を埋め込み、エージェントを意図しない行動に誘導する攻撃手法です。Scoutは常時Outlook・SharePoint・OneDriveを読み取るため、攻撃者が一度でもそれらのデータソースに悪意ある命令を注入できれば、ScoutをツールとしてSensitiveデータの外部送信や不正なカレンダー操作に悪用できる理論的なリスクがあります。

Q. MCPサーバーとは何ですか？Scoutとの関係は？ A. MCP（Model Context Protocol）サーバーはAIエージェントにファイルシステム・データベース・外部APIへのアクセスを提供するローカルサービスです。ScoutはデスクトップアプリからMCPサーバーへの接続を拡張できる設計です。MCPサーバーは組み込みの認証・セキュリティが弱いことが指摘されており、組織内のシャドーMCPサーバーにScoutが接続できる状態を放置することはセキュリティリスクになります。

Q. ScoutはいつMicrosoft 365の一般ユーザーに提供されますか？ A. 現時点（2026年6月2日）ではMicrosoftの社内テストを経て、select customers（選定された企業）のプライベートプレビューとFrontierプログラムの組織への限定提供です。一般提供のスケジュールはMicrosoftから公表されていません。利用にはFrontier登録・Intuneポリシー設定・オプトイン証明・GitHub Copilotライセンスが必要です。

参考情報

• Microsoft 365公式ブログ「Introducing Microsoft Scout: Your always-on personal agent」（Omar Shahine、2026年6月2日） ← 一次ソース
• Microsoft Securityブログ「A new era of agents, a new era of posture」（2026年1月21日）
• Microsoft Securityブログ「Addressing the OWASP Top 10 Risks in Agentic AI with Microsoft Copilot Studio」（2026年3月30日）
• VentureBeat「Microsoft patched a Copilot Studio prompt injection. The data exfiltrated anyway」（2026年4月16日）
• OWASP Top 10 for Agentic Applications 2026
• Microsoft Learnドキュメント「Microsoft Scout 設定手順」
• 関連：Google AI Threat Defense——AIを使ったサイバー防衛プラットフォーム
• 関連：LLMShare——ChatGPT共有リンクを悪用したマルウェア配布
• 関連：サイバー攻撃・情報漏えい最新事例まとめ2026

関連記事

偽のMac版 Microsoft Teamsがマルウェアを配信 FBIが「Kali365」フィッシング・アズ・ア・サービスに関する公式アラートを発出 Microsoft 365 Copilotでゼロクリックの情報漏洩が可能なAIの脆弱性「EchoLeak」 CAMPFIREの不正アクセス、従業員がGitHubの認証情報を個人開発サーバーへアップし不正利用される 偽のTeams／Google Meetの偽配布サイトで「Oyster」バックドアが再拡散 偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング GitHubのソースコードが不正アクセスによるサイバー攻撃でダークウェブで売りに出される-TeamPCPが犯行声明 Microsoft Teamsのゲストチャットの不具合で、ユーザーが気づかずにサイバー攻撃の脅威に晒される Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)