AIサービスはまだ不安? 企業内で「Bingチャット」や「Bingチャットエンタープライズ」の使用を禁止したい:山市良のうぃんどうず日記(267)
MicrosoftはMicrosoft Edgeでの「www.bing.com」へのアクセスで、GPT-4ベースの「Bingチャット」を利用可能にしています。この機能は、サイドバーに統合された「Bingチャット」からも利用可能です。個人ユーザーであれば、Bingチャットを利用する/しないは自由ですが、企業の場合、機密データの漏えいリスクを懸念して、社内のデバイスからは利用させたくないと考えるかもしれません。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「www.bing.com」を別のURLにリダイレクトすることでAIチャット機能を無効化できる
Microsoftは、2023年8月17日(米国時間)から、「Microsoft 365」の対象サブスクリプションテナントのユーザーに対して、ビジネス向けに商用データ保護を保証する「Bingチャットエンタープライズ(プレビュー)」を既定で有効化しました。Bingチャットエンタープライズが利用可能なMicrosoft 365ユーザーであれば、「Bingチャット」にアクセスするのと全く同じ方法で、Bingチャットではなく、Bingチャットエンタープライズにアクセスすることができます。
入力データが保護されるBingチャットエンタープライズに対し、GPT-4ベースのBingチャットは、入力データが匿名化された上でAI(人工知能)のトレーニングに利用されます。そのため、Bingチャットエンタープライズを利用できない企業は、“匿名化される”とはいっても、Bingチャットの利用による機密データの漏えいが心配でしょう。Bingチャットエンタープライズが利用できる場合でも、登場したばかりのサービスで、しかもプレビュー段階とあれば、利用をためらうかもしれません。
Bingチャットエンタープライズ(プレビュー)のサービスとその無効化(Bingチャットを含めて)については、以下の連載記事でも触れましたが、企業のネットワークレベルでの無効化について、もう少し具体的に方法を検討してみました。
- 生成AIで強化された企業向け「Bingチャット」登場、個人向けを含めてBingチャットの社内利用を制御するには(連載:企業ユーザーに贈るWindows 11への乗り換え案内 第19回)
Bingチャットは、以下のMicrosoftのドキュメントで説明されているように、「www.bing.com」を「strict.bing.com」(「セーフサーチ」を有効化したbing.com)、または「nochat.bing.com」(チャット機能を削除したbing.com)のIPアドレスに名前解決してリダイレクトすることで、ネットワークレベルで無効化できます。
この方法は、Bingチャットエンタープライズでも有効です。「Microsoft Edge」のサイドバーに統合されたBingチャット(「b」アイコンのクリックで表示)については、「edgeservices.bing.com」を「strict.bing.com」、または「nochat.bing.com」のIPアドレスに名前解決してリダイレクトすることで、AIベースのBingチャットが機能しないようにできます。
- SafeSearch での成人コンテンツのブロックまたはチャットのブロック(Microsoft Support)
内部DNSへのCNAMEレコードの登録による実現は困難?
上記のMicrosoftのドキュメントでは、個々のPCでは「hosts」(C:\Windows\System32\drivers\etc\hosts)ファイルにIPアドレス(strict.bing.comまたはnochat.bing.comのIPアドレス)と、「www.bing.com」や「edgeservices.bing.com」の対応を記述する方法が説明されています。また、ネットワークレベルで実装するには、サービスのIPアドレスが変更される可能性を考慮し、IPアドレスではなく、DNS(Domain Name System)の「CNAME」(Canonical Name、別名)レコードを使用することを推奨しています。
実際に「Active Directory」のドメインコントローラーをホストするWindows ServerのDNSサーバ(Microsoft DNS Server)に、「www.bing.com」と「edgeservices.bing.com」と「strict.bing.com」を対応付けたCNAMEレコードを登録してみました。
「nslookup」コマンドで確認すると、一見、「www.bing.com」が「nochat.bing.com」(または「strict.bing.com」)のIPアドレスに正しく名前解決されているように見えます。しかし、これは「www.bing.com.<ローカルDNSドメイン名>.」の名前解決が行われているのであって、「www.bing.com.」は「nochat.bing.com」(または「strict.bing.com」)に名前解決されません。
また、別のDNSクライアント(「Resolve-dnsname」コマンドレットなど)では、「www.bing.com」も「www.bing.com.」も正規のIPアドレスに名前解決されてしまいます。そして、最も重要な点が、設定後も「www.bing.com/chat」やサイドバーでBingチャットが変わらず利用できてしまうことです(画面1)。
DNSのレコードの設定に不慣れで、上記ドキュメントのCNAMEレコードというキーワードを頼りに設定した場合、画面1のようなCNAMEレコードを設定してしまうでしょう(実は筆者もその一人でした)。
CNAMEレコードは、権限のある(管理している)DNSドメイン内のレコードであり、ドメイン内にある他のホストの別名として機能しますし、外部ドメインのFQDN(Fully Qualified Domain Name、完全修飾ドメイン名)にマップすることが可能です。
では、外部ドメインのFQDNを他の名前にマップすることはできないのではないでしょうか。企業ネットワーク上にプロキシサーバやファイアウォール、アプリケーションゲートウェイ製品を導入している場合は、その製品が備える機能(URL変換、DNS応答の書き換えなど)を利用して実装できるかもしれません。
筆者の環境には他に「hosts」ファイルを使用した方法しかないため、同じActive Directory用のDNSサーバを使用して別の方法をいろいろと試してみました。これが正しい方法とはとてもいえませんが、次善策とはいえるでしょう。
期待通りに機能した実装は、新たに「bing.com」をプライマリーゾーンとして作成し(画面2)、そこに「strict.bing.com」と「nochat.bing.com」のAレコードを作成し、nslookupコマンドやResolve-dnsnameコマンドレッドで調べたIPアドレスの一つをそれぞれのAレコードに設定します。次に、「www.bing.com」と「edgeservices.bing.com」のCNAMEレコードを作成して、「strict.bing.com」または「nochat.bing.com」の別名として登録します(画面3、画面4)。
画面3 「www.bing.com」と「edgeservices.bing.com」を「nochat.bing.com」のIPアドレスに名前解決させることで、AIチャット機能のない「www.bing.com」(「すべて」と「ニュース」の間にある「チャット」が非表示)とサイドバーを実現
なお、このように設定した場合、「bing.com」ドメインに存在するかもしれない、その他のサービスやホストの名前解決に問題が生じる可能性はあります。筆者が確認した限りでは、サフィックス「.bing.com」のFQDN(dummy.bing.comなど)は全て「www.bing.com」と同じIPアドレスに名前解決されるようなので、IPアドレスが変更されない限り、大きな問題は生じないと思います。
サイドバーと「b」アイコンの非表示を一元管理するには
URLのリダイレクトでBingチャットを使用不能にしたとしても、Microsoft Edgeのサイドバーの上にある「b」アイコンをクリックすると、以前Bingチャットが表示されていたパネルが出現します。AIチャット機能は利用できなくなっていますが、AIチャットを使用しないサイトの概要などが表示されまし、パネル上部には「Bingチャット」という文字も残っています。
個々のPCでは、Microsoft Edgeの「設定|サイドバー」(edge://settings/sidebar)を開き、「アプリと通知の設定|検出|Bingチャットの表示」(バージョン114以前は「検出の表示」)トグルスイッチを「オフ」にすることで、「b」アイコンを非表示にできます(画面5)。
これと同様の設定を全社的に一元管理したい場合は、「グループポリシー」でMicrosoft Edgeのポリシー管理用テンプレートを使用して、「コンピューターの構成(\ポリシー)\管理用テンプレート\Microsoft Edge\ハブ サイドバーの表示」ポリシーを「無効」に設定し、クライアントデバイスに適用します。
Microsoft Edgeのポリシー管理用テンプレートは、以下のURLからダウンロードできます。管理用テンプレートをグループポリシーで利用するには、ダウンロードした「MicrosoftEdgePolicyTemplates.zip」を展開し、展開先の「windows\admx」フォルダにある「*.admx」ファイルと、「windows\admx\ja-jp」フォルダにある「*.adml」を、ドメインコントローラーの「C:\Windows\PolicyDefinitions」および「C:\Windows\PolicyDefinitions\ja-jp」にそれぞれコピーします。管理用テンプレートのセントラルストアを使用している場合は、そちらの場所にコピーしてください。
- Microsoft Edge for Businessをダウンロードして構成(Microsoft Edge)
最新情報(2023年10月20日追記)
2023年10月18日(米国時間)にリリースされたMicrosoft Edge 118.0.2088.57において、「b(Bing)」アイコンは「Copilot」アイコンに変更されました。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP 2008 to 2024(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
関連記事
Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。
買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。
いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。