Snowflake、2025年11月までに単一要素パスワード認証をブロック

今年の初め、Snowflakeはサイバーセキュリティおよびインフラセキュリティ庁(CISA)のセキュアバイデザイン誓約に署名しました。このコミットメントの一環として、Snowflakeは2025年11月にパスワードによる単一要素認証のサインインをブロックすることを発表しました。
この保護レベルの強化により、Snowflake Horizon Catalogのセキュリティ機能が強化され、セキュリティ管理者と情報セキュリティ責任者がセキュリティ態勢をより適切に保護し、認証情報が盗難されるリスクを軽減できるようになります。これはまた、2024年10月以降に作成される新しいSnowflakeアカウントでは、多要素認証(MFA)がすべてのパスワードサインインのデフォルトになるという前回の発表に続くものでもあります。
このマイルストーンに到達し、すべてのお客様が移行できる道筋を確実に構築するために、私たちは段階的なアプローチを採用しています。各フェーズについて詳しく説明する前に、いくつかの分類を整理しておきます。
アカウント:これは、テーブル、ビュー、データベース、スキーマ、ユーザーアカウントなどのさまざまなオブジェクトを格納するコンテナを指します。詳細についてはこちらを参照してください。
ユーザー:これは、お客様のアカウントとその中のオブジェクトにアクセスできる人のIDを示すオブジェクトを指します。詳細についてはこちらを参照してください。
人間のユーザー:これは、人間であり、通常はインタラクティブなログインを使用してSnowflakeにサインインするユーザーを指します。このようなユーザーは、SnowflakeユーザーオブジェクトでTYPE = PERSONまたはNULL(デフォルトはNULL)で宣言されます。詳細についてはこちらを参照してください。
サービスユーザー:これは、インタラクティブログインなしでのプログラムアクセスに使用されるユーザーを指します。このようなユーザーは、SnowflakeユーザーオブジェクトでTYPE = SERVICEまたはLEGACY_SERVICEで宣言されます。SERVICEおよびLEGACY_SERVICEのいずれも、Snowflake MFAポリシーの対象になりません。SERVICEユーザーは、パスワードを使用してサインインできません。LEGACY_SERVICEは、更新とパスワードからの変更に時間がかかるアプリケーション向けです。そのため、LEGACY_SERVICEには、アプリが更新されるまでの間、パスワードを使用する一時的な例外があります。詳細についてはこちらを参照してください。
私たちの段階的なアプローチには、以下の3つのステージがあります。
2025年4月:人間のユーザーのパスワードサインインにMFAを適用するデフォルトの認証ポリシーをすべてのアカウントで有効にする。このフェーズでは、カスタム認証ポリシーのないアカウントのすべての人間のユーザーは、次にSnowflakeにパスワードベースでサインインするときにMFAに登録する必要があります。このロールアウトの時点ですでにアカウントにカスタム認証ポリシーが設定されている場合、人間のユーザーはサインイン体験に違いを感じることはありません。
2025年8月:人間のユーザーのすべてのパスワードベースのサインインにMFAを適用する。このフェーズでは、お客様がカスタム認証ポリシーをすでに定義していても、すべての人間のユーザーはパスワードでサインインするときにMFAを使用する必要があります。同時に、LEGACY_SERVICEユーザーのSnowsightへのアクセスもブロックします。
2025年11月:すべてのユーザー(人間またはサービス)のパスワードによる単一要素認証を使用したSnowflakeへのサインインをブロックする。このフェーズではLEGACY_SERVICEを廃止し、すべての LEGACY_SERVICEユーザーをSERVICEユーザーに移行します。
これらのポリシーは、シングルサインオンユーザー(SAMLまたはOAuthを使用)やキーペア認証を使用するユーザーには適用されません。
移行を支援するため、ホワイトペーパーと動画による移行ガイドを作成しています。 また、Trust CenterにThreat Intelligenceという新しいスキャナーパッケージ(一般提供中)を追加しました。このスキャナーパッケージでは、アカウントを迅速にスキャンし、アクセスを失うリスクのあるユーザーを見つけることができます(詳細な手順については、こちらを参照してください)。また、Tableauを含むパートナーやエコシステムと協力し、より強力な認証という私たちのビジョンに向けたパートナーのソリューションの準備も支援してきました。
Snowflakeは今後も、お客様アカウントのセキュリティ機能に投資を続け、パスキーや認証アプリなどの時間ベースのワンタイムパスワード(TOTP)のネイティブサポートなど、この分野でより多くの製品やイノベーションを提供していきます。これらはすべて、漏洩パスワード保護、Trust Center、MFAポリシー、Programmatic Access Token(近日中にプライベートプレビュー開始)など、最近発表されたSnowflakeのその他の機能と連動します。最新情報をお楽しみに!
将来の見通しに関する記述
このページには、Snowflakeが将来提供する製品に関する記述を含め、将来の見通しに関する記述が含まれていますが、これはいかなる製品の提供も約束するものではありません。実際の成果や提供物は異なる可能性があり、既知および未知のリスクおよび不確実性の影響を受けます。詳細については、最新の四半期報告書(10-Q)をご覧ください。