Snowflake管理者による必須MFAの適用
Snowflakeは、お客様のアカウントとデータの保護を支援することに尽力しています。そのため、私たちは、Snowflake管理者が多要素認証(MFA)を必須とし、この新しいポリシーの順守を監視できるようにする製品機能に取り組んでいます。その取り組みの一環として、本日いくつかの重要な機能を発表します。
1.Snowflakeアカウント内のすべてのユーザーにMFAを要求する新しい認証ポリシー
2.ユーザーレベルのMFA設定を求めるSnowsight
3.MFAポリシーの順守を監視するためのSnowflake Trust Centerの一般提供
Snowflakeのセキュリティアプローチには、3つの柱があります。
- プロンプト:セキュリティのベストプラクティスを利用していないユーザーに採用を促す(MFAの構成など)
- 適用:管理者がデフォルトでセキュリティを強制できるようにする(例:すべての人間ユーザーにMFAの使用を義務付ける)
- モニター:セキュリティポリシーの遵守状況を可視化(MFAを設定していないユーザーの監査など)
このブログでは、これらの柱がMFAでどのように機能するかの具体例を紹介します。
プロンプト
MFAの導入を促進するため、Snowflakeユーザーの個別のコンプライアンスを推進しています。本日より、MFA未取得のユーザーがSnowsightにログオンすると、MFAを有効にするよう求められ、設定手順を案内されます。このダイアログは削除できますが、ユーザーにMFAが設定されていない場合は3日後に再表示されます。
適用
管理者がMFAの使用を強制できるよう、Snowflake認証ポリシーを強化し、アカウント内のすべてのユーザーにMFAを要求する新しいオプションを追加しました。管理者は、このポリシーの範囲をローカルユーザーに適用するか、シングルサインオン(SSO)ユーザーも含めるかを決定できます。
次に、ローカル ユーザだけにこのポリシーを設定し、SSO ユーザを除外する例を示します。
管理者は、MFA認証ポリシーをユーザーレベルで設定することにより、MFAをより細かい単位で有効化/無効化することもできます。
サービスユーザープリンシパルは、非インタラクティブな方法(通常は自動化)でリソースにアクセスする業界標準です。そのようなユーザーにパスワード認証を使用することやMFAを適用することは推奨されず、代わりにOAuthとキーペア認証を使用することをお勧めします。サービスユーザーを除外するために、ユーザーレベルでのMFAポリシーの設定をサポートしています。次の例は、サービスユーザーをMFAポリシーから除外する方法を示しています。
今後のリリースでは、サービスユーザーをMFAポリシーから大規模に除外するのに役立つ新しいユーザーオブジェクトタイプを導入します。
モニター
Trust Centerは、Snowflakeアカウントのリスク姿勢をネイティブに管理するのに役立つインターフェイスです。
本日のリリースでは、認証情報の窃盗問題の軽減に役立つTrust Center Security Essentialsスキャナパッケージの一般提供を開始します。このパッケージは、MFAコンプライアンスとネットワークポリシーの使用を検索します。コンプライアンスモニタリングの推奨ツールとして、デフォルトで有効になっており、すべてのSnowflakeエディションで無料で利用できます。
この度、Security Essentialsスキャナパッケージが提供するチェックに加え、Trust Center CIS Benchmarksスキャナパッケージの一般提供を開始しました。このパッケージには、お客様のアカウントをCIS Snowflake Foundationsベンチマークに照らして評価するスキャナが多数含まれています。たとえば、これらのスキャナは、権限の過剰なエンティティ、過去90日間ログインしていない古いユーザー、ACCOUNTADMINの付与などを検出できます。
私たちは、Snowflakeのお客様が自身のアカウントに対する脅威や攻撃をより適切に検出できるよう、Trust Centerに機能を継続的に追加していきます。詳細については、今後数か月で説明します。
ベストプラクティス
本日発表された新機能と製品では、以下の手順でアカウントのセキュリティを強化できます。詳細については、当社のホワイトペーパー「Best Practices to Mitigate the Risk of Credential Compromise」を参照してください。
適用
1.お客様の環境におけるサービスユーザーを特定します。そのようなユーザーの場合は、パスワードからキーペア認証または外部OAuthに移行します。
2.アカウントレベルでの認証ポリシーを設定し、MFAを必須とする。サービスユーザーを除外するユーザーレベルのポリシーを必ず設定してください。
3.パスワードポリシーを有効にし、PASSWORD_MIN_LENGTHを14に、PASSWORD_MAX_AGE_DAYSを1年未満に設定する。
4.ネットワークポリシーとネットワークルールを有効にする。
モニター
5.Trust Centerを利用してMFAの使用状況を監視し、ネットワークポリシー構成を確認します。
次のステップ
Snowflakeは、お客様のセキュリティ強化に役立つテクノロジーとツールへの投資を継続することに尽力しています。まもなく、Snowflakeでは、新たに作成されたSnowflakeアカウントのすべての手動ユーザーにMFAが必要になります。すべてのお客様に、今すぐMFA認証ポリシーとTrust Centerを使用して環境を準備し、今後数か月で機能が追加されるのを待つことをお勧めします。