Snowflake、デフォルトの多要素認証とより強力なパスワードポリシーによりセキュリティを強化

Snowflakeは常に、お客様のアカウントとデータの保護に注力しています。サイバーセキュリティの脅威からの保護とセキュリティの業界標準の進化の擁護に取り組むSnowflakeは、先頃、サイバーセキュリティおよびインフラストラクチャーセキュリティ機関（CISA）のセキュアバイデザイン誓約書に署名しました。最近、CISAのセキュアバイデザインの原則に沿って、プラットフォームのセキュリティ強化を発表しました。中でも注目すべきは、Trust Centerの一般提供と新しい多要素認証(MFA)ポリシーです。継続的な取り組みの一環として、2024年10月に作成されたすべてのSnowflakeアカウントで、すべての人間ユーザーに対してMFAがデフォルトで強制されることを発表します。サービスユーザー（サービス間通信用に設計されたアカウント）には、このMFA要件は適用されません。

また、セキュリティ体制をさらに強化するために、10月より、新規ユーザーパスワードと変更ユーザーパスワードの両方に以下のことを要求します。

• 少なくとも8文字から14文字の長さにする

• 過去5つのどのパスワードも使用しないこと 

これらの変更の展開は、Snowflakeの行動変更ポリシー（BCR）の標準プロトコルに従います。 

Snowflakeでより強力な認証を強制するには他に何ができますか？

既存のSnowflakeのお客様には、このホワイトペーパーのSnowflakeセキュリティベストプラクティスに従うことを強くお勧めします。これには、Trust Center Security Essentialsスキャナパッケージを利用してMFAの遵守とネットワークポリシーの使用を調べることが含まれます。 

さらに、より強力な認証を行うために、以下を推奨します。 

• 人間のユーザーの場合：

  • 可能であればシングルサインオン（SSO）を使用し、IDプロバイダー（IDP）を通じてMFAを有効にすることを推奨します。

  • SSOができない場合、IDPでMFAを有効化できない場合、またはガラス破損のシナリオの場合は、SnowflakeのビルトインMFAを使用することをお勧めします。

• サービスユーザー向け： 

  • 可能であれば外部 OAuth を使用し、使用できない場合はキー ペア認証を使用してそのようなユーザのパスワードを完全に排除することを推奨します。キーペア認証を使用する場合はネットワークポリシーを有効化し、一般的にはサービスユーザーだけでなくすべてのユーザータイプでネットワークポリシーを有効にすることを強くお勧めします。

PowerBI、dbt、Tableauなどの一般的なアプリを使用してSnowflakeに接続する場合は、外部OAuthまたはキーペア認証を（ネットワークポリシーと併せて）使用するように設定することが重要です。適切な構成手順はアプリによって異なるため、詳しくはプロバイダーに問い合わせる必要があります（Tableauやdbtの手順など）。アプリケーションがSnowflakeの推奨認証方法をサポートしていない場合は、アプリプロバイダーに連絡し、Snowflakeアカウントチームにその旨を伝えてください。Snowflakeは、パートナーエコシステムと密接に連携し、ツールやアプリがより強力な認証方法に対応できるようにしています 。

次の展開

デフォルトでのSnowflakeの安全性を高めるために、私たちは、これらのより強力な認証ポリシーを既存のすべてのSnowflakeアカウントに拡張することに取り組んでいます。最終的には、パスワードのみのSnowflakeへのサインインを完全に廃止する予定です。 

ご不明な点がある場合は、Snowflakeアカウントチームにお問い合わせください。