コンテンツにスキップ
製品 & テクノロジー
JAN 21, 2025|約6分で読めます

Snowflake Horizon Catalogの組み込みセキュリティによる運命共有モデル

Icon for Snowflake Horizon Catalog and icons for capabilities like governance, privacy, accessibility.

セキュリティは、Snowflakeの創業時から不可欠な機能です。Snowflake Horizon Catalogのお客様が構成可能なセキュリティ機能により、セキュリティ管理者と最高情報セキュリティ責任者(CISO)は自社の環境をより適切に保護し、クラウド全体で脅威の監視とロールベースのアクセス制御を一元化できるようになります。私たちは最近、サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)のセキュアバイデザイン誓約書に署名し、Snowflakeのセキュリティをさらに強化しました。CISAのエンタープライズソフトウェア製品およびサービスに関するセキュアバイデザイン原則に沿って、測定可能な具体的なアクションを起こすという誓約書です。 

その誓約に沿って、私たちはセキュリティに関する共同責任モデルから運命共有モデルへと移行しています。このモデルでは、私たちはより能動的な役割を担い、お客様のアカウント保護を支援します。この改定されたアプローチは、今年、私たちの以下の優先事項に明確に影響します。

  • 多要素認証オプションの増強:Snowflakeのお客様はさまざまな認証手法を利用しており、そうした認証手法をSnowflakeで利用できることを期待しています。私たちは、よりセキュアでフィッシングに強く、スムーズなユーザーサインイン体験を実現するために、既存のDuo SMSとプッシュ認証に加えて、パスキー(WebAuthn)と認証アプリ(TOTP)のサポートの構築を目指しています。

  • セキュアでプログラマチックなアクセスのためのその他のオプションの増強:プログラマチックなユースケースは、Snowflakeへのトラフィックの大部分を占めています。まず、プログラマチックなアクセストークン(PAT、プライベートプレビュー中)から、より開発者に優しい方法でワークロードをSnowflakeにセキュアに認証できるようにすることを目指します。PATは、パスワード、OAuthクライアントクレデンシャルフローなどを人間工学に基づいたセキュアな方法でドロップイン置換します。PAT以外にも、OAuth/OIDC機能を拡張し、プラットフォームワークロードIDの直接認証をサポートすることで、認証情報管理の必要性を完全に排除したいと考えています。  

  • よりセキュアなデフォルト認証:先日、Snowflakeは2025年11月からパスワードによる単一要素サインインをブロックすることを発表しました。前述の拡張された認証機能は、お客様がパスワードのみの認証からよりセキュアなソリューションに移行するために役立ちます。

  • より包括的なクラウドモニタリングサービス:より強力な認証は攻撃対象領域を減らすのに役立ちますが、攻撃の検出と対処のための監視サービスを置き換えるものではありません。私たちは、常時稼働する脅威検知機能を拡張し、異常なログインや不審なアカウント挙動を顧客に通知できるようにすることを目指します。 

運命共有モデルは、Snowflakeの以下の既存のセキュリティ基盤をベースとする予定です。

  • クロスクラウド:Snowflakeは、クラウドサービスプロバイダー(CSP)間のIDおよびアクセス管理ネットワーク構成暗号化のための使いやすいセキュリティ制御を提供します。これにより、Snowflakeのお客様は、CSPフットプリント全体を一貫して管理できるシームレスなマルチクラウド戦略を採用し、総保有コストを大幅に削減できます。 

  • 優れた使いやすさ:Snowflakeにはデフォルトでセキュリティ制御が組み込まれており、簡単に設定できるため、お客様固有のユースケースに合わせてセキュリティ制御を追加できます。また、Trust Centerは、セキュリティの設定ミスや懸念事項とリスクを特定することで、お客様を正しい方向へと導きます。 

  • データ中心:Snowflakeでは、ストレージとコンピュートの垣根を越えて、データがSnowflakeに取り込まれる瞬間から、そのライフサイクル全体にわたってデータのセキュリティを確保して、アナリティクス、インサイト、生成AI/LLM体験などを推進できます。

  • 包括性:お客様は、アプリ、サービス、MLモデルなど、Snowflake内のデータエコシステム全体を保護できます。

Snowflake Horizon Catalogが提供するセキュリティ制御には、IDおよびアクセス管理、ネットワーク構成、暗号化の3つのカテゴリーがあります。

IDおよびアクセス管理

Snowflakeは、洗練された認証と認可の制御を提供します。たとえば、Snowflakeでは、Snowflakeで直接、または別のIDプロバイダー(IDP)からSCIMを介して同期することにより、ユーザーの作成と管理を非常に柔軟に行うことができます。また同様に、Snowflakeには以下の複数のユーザー認証情報オプションがあります。

  • サードパーティのIDP(シングルサインオン)によるプロビジョニング:これはSnowflakeが推奨する認証情報タイプで、1つ以上の外部エンティティがユーザー認証情報の独立認証を行います。Snowflakeは、フェデレーション認証SAMLおよびOAuthの業界標準をサポートしています。 

  • Snowflakeによるプロビジョニング(静的クレデンシャル):Snowflakeは、主に緊急時のアクセス、一時的なアクセス、または自社のIDPを持たないお客様のアクセスのために、静的クレデンシャル(キーペアDuo多要素認証(MFA)を使用したパスワード、PAT)を提供します。また、前述のように、今後はさらに多くの認証手法を使用できるようになります。 

Snowflakeは、人間のユーザーとサービスユーザーを直感的に区別する方法を提供します。これは、これらのユーザーがSnowflakeにアクセスする方法に根本的な違いがあることを考えると、非常に重要です。たとえば、Snowflakeは、人間のユーザーのみがMFAを有効化できるようにしたり、サービスユーザーがパスワードを使用したSnowflakeへのサインインやSnowflake UIへのアクセスを許可しないようにしたりできます。 

アクセス管理のために、Snowflakeはロールベースのアクセス制御(RBAC)をサポートしています。SnowflakeのRBACのユニークな点は、データガバナンス制御との緊密な統合により、データアクセス(テーブル内の行アクセスポリシーなど)をきめ細かに制御できることです。Snowflakeの機能スイート全体がRBACに統合されているため、データエコシステム全体(Snowflakeモデルレジストリ、Snowflake Cortex AI、モデルのトレーニングや分析のために外部テーブルでホストされるデータ、Snowparkコンテナサービスイメージレポジトリ、サービスなど)にわたって統合されたセキュリティモデルを実現できます。このSnowflake RBACのユビキタスなクロスクラウドサポートにより、Snowflakeによるガバナンス、コンプライアンス、監査が簡素化されます。  

RBACに加えて、Snowflakeは近日中にユーザーベースの付与(近日中にプライベートプレビュー開始)を提供し、セキュリティで保護されたオブジェクトのユーザーに直接権限を割り当てられるようにします。このアプローチでは、データサイエンティストとAIサイエンティストが事前定義されたロールに依存することなく対象オーディエンスと直接作業を共有できるため、Streamlitアプリなどの分析プロダクトの共有が簡略化されます。セキュリティで保護されたオブジェクトのユーザーベースの所有権をサポートするパーソナルデータベースコンセプト(パブリックプレビュー中)と組み合わせることで、Snowflakeは分析プロダクトの作成と共有を合理化し、プロセスをより直感的かつ身近なものにします。

ネットワーク構成

プライバシー向上のため、Snowflakeへのトラフィックがパブリックインターネットを通過しないように、Snowflakeのサービス、Streamlit、内部ステージへのプライベート接続を設定できます。同様に、アウトバウンド接続では、パブリックインターネットを経由するのではなく、プラットフォームのプライベート接続ソリューションを使用してクラウドプラットフォームにアクセスするプライベートエンドポイントをSnowflakeに作成できます。Snowflakeでは、このようなプライベート接続を簡単に設定できます。

また、Snowflakeは、ユーザーを特定のIP範囲に制限するなど、Snowflakeのサービスや内部ステージへのインバウンドとアウトバウンドのアクセスを制御するネットワークポリシーを提供します。これらのポリシーはクロスクラウドで設定され、アカウント全体、個々のユーザー、統合にアタッチできるため、管理者はユーザーやアカウントの挙動に基づいて適切なポリシーを柔軟に決定できます。

暗号化

Snowflakeの内部ステージに保存されたすべてのデータは、ハードウェアセキュリティモジュールをルートとする階層キーモデルによってデフォルトで暗号化されます。暗号化キーは30日ごとに自動的にローテーションされます。オプションで、SnowflakeはTri-Secret Secureを提供しています。Tri-Secret Secureでは、Snowflakeが管理するキーとお客様が管理するキーの組み合わせからアカウントマスターキー(階層内のすべてのキーの暗号化に使用)を作成できます。この機能により、お客様はSnowflakeのデータへのアクセス権限を制御して、いつでもそのアクセス権限を取り消すことができるようになります。

さらに詳しく

将来の見通しに関する記述

このドキュメントには、明示または黙示を問わず、(i)Snowflakeの事業戦略、(ii)開発中または一般に提供されていないSnowflakeの製品、サービス、テクノロジー、(iii)市場の拡大、トレンド、競争状況に関する考察、(iv)Snowflake製品とサードパーティプラットフォームの統合およびサードパーティプラットフォーム上でのSnowflake製品の相互運用性と可用性についての言及など、将来の見通しに関する記述が含まれています。将来の見通しに関するこれらの記述は、さまざまなリスク、不確実性、前提に左右されます。たとえば、Snowflakeが証券取引委員会に提出するForm 10-Q(四半期レポート)やForm 10-K(年次レポート)内の「リスク要因」などのセグメントに記載されているリスク、不確実性、前提などです。これらのリスク、不確実性、前提を考慮すると、将来の見通しに関する記述において予想または暗示されている結果と比較して、実際には大きく異なる結果や反対の結果に至る可能性があります。そのため、将来の見通しに関するいかなる記述も、未来の出来事についての予測として利用してはなりません。

Icon representing 3 sheets of stacked paper next to a shield icon with a lock symbold on it.
White Paper

Best Practices to Mitigate the Risk of Credential Compromise

Learn how to leverage Snowflake native platform features to enforce strong authentication and mitigate the risks of credential theft.
記事をシェアする

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

30日間の無料トライアルを開始する

Snowflakeの30日間無料トライアルで、他のソリューションに内在する複雑さ、コスト、制約の課題を解決するAIデータクラウドを体験できます。 

Soluzioni Entity 360

Integrità dei pagamenti nel settore pubblico

Data sharing tra enti pubblici

不正検知と金融犯罪

規制当局への報告とコンプライアンスのための統合データプラットフォーム

クオンツ調査と投資分析

金融サービスにおける顧客の360度ビュー

Soluciones de vista integral de las entidades

Integridad de los pagos del sector público

Data sharing dentro de organismos y entre ellos

Entity-360-Lösungen

Zahlungsintegrität im öffentlichen Sektor

Data Sharing in Behörden und darüber hinaus

Solutions Entity 360

Intégrité des paiements dans le secteur public

Partage de données en interne et entre organismes gouvernementaux

Improve Subscriber Experiences, Engagement and Lifetime Value

Snowflake for Asset Management | Snowflake

Snowflake for Banking | Snowflake

Snowflake for Insurance | Snowflake

ESG in Financial Services

Unified Data Platform for Regulatory Reporting and Compliance

Optimizing Underwriting, Pricing and Risk Selection With Snowflake

Fraud Detection & Financial Crimes

Customer 360 in Financial Services

Quant Research & Investment Analytics

Personalized Care: 360° Patient and Member View

Modernize Care Delivery to Improve Patient Health

Unlock Advanced Analytics for SAP ERP Data in the Cloud

Generate Value from Connected IoT, IT and OT Product Data

Power IoT Innovation for Smart Manufacturing & Industry 4.0

Optimize Manufacturing Supply Chains with Data Collaboration

Automotive Solutions

ARCHIVE US SnowGov Region Terms of Service - 2022-03-07

U.S. SnowGov Region Terms of Service

Snowflake SOWs Archive

Technical Services SOW QuickStart - Accelerator

Team

Publications

ニュースレターを購読する

© 2024 Snowflake Inc.All Rights Reserved
クッキーの設定

SnowflakeからのEメール配信を希望されない場合は、こちらから配信の停止または受信設定の変更をお願いいたします