Snowflakeの多要素認証(MFA)必須化~Snowflake認証ポリシーを解説~(Vol.28)

  • 公開日:

多要素認証(Multi Factor Authentication、MFA)とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。近年、セキュリティ強化・機密データや情報資産の保護のため、多要素認証(MFA)は、SaaSサービス等を利用する際の一般的な認証方式になっています。

Snowflakeは、2025年内にパスワードのみの単一認証を廃止し、パスワードによるサインインの場合は、多要素認証(MFA)を必須とすることを発表しました。
当ブログ記事では、Snowflakeの新しい認証ポリシーの概要を解説するとともに、Snowflakeにおける多要素認証(MFA)をご紹介します。

Snowflakeにおける多要素認証(MFA)とは?

Snowflakeにおける多要素認証(MFA)は、人間ユーザーのログインを対象としており、パスワードによる知識情報とDuo MobileDuo Securityによって提供される二要素認証(2FA)アプリケーション)を用いた認証による所持情報の組み合わせでおこなわれます。
Snowflakeのユーザーは、ログインIDとパスワードによる認証に加え、MFAの認証に利用する電話番号を登録しておき、SMSで受信したパスコードを用いてMFA認証をおこないます。このDuo Securityサービスの利用は、Snowflakeが包括的に管理しているため、個別のSnowflakeアカウントで管理・設定する必要はありません。
ここから、MFA で Snowsight に直接サインインする方法について解説します。

  1. Snowsightにアクセスし、ログイン名とパスワードにより認証をおこないます。
  2. パスコードがユーザーのスマートフォンのSMSに送信されます。
  3. ユーザーは、スマートフォンで受信したパスコードを入力し、「検証」します。
  4. 正しいパスコードを入力できれば、Snowsightへのログインが完了します。

以上のように、Snowflake では、人間のユーザーに対して、パスワードと電話番号による多要素認証をおこなうことができます。

Snowflakeの新しい認証ポリシーとは?

Snowflakeは、2025年内にパスワードのみによる単一認証を廃止すること、および、人間のユーザーがSnowflake を利用する場合でパスワード認証を行う場合は、多要素認証(MFA)を必須とすることを発表しました。これは、セキュリティを強化することで、各アカウントが、より安心・安全にSnowflake を利用するための施策です。

とはいえ、現状、各ユーザーやアプリケーションがSnowflakeに接続する際、パスワードのみによる単一認証をおこなっているケースは多くみられます。この場合に、即座に単一認証が廃止されてしまうと、Snowflake が利用できなくなり、業務に影響が出る可能性があるため、廃止には猶予期間が設けられており、各アカウントは移行措置を取ることができるようになっています。

パスワード単一認証の廃止、および多要素認証(MFA)の必須化までのロードマップは次の通りです。

  • 2025年4-5月
    人間のユーザー(USER TYPE=PERSONまたはNULLのユーザー)がパスワード認証時に多要素認証(MFA)がデフォルトで必須となる。ただし、カスタム認証ポリシーを設定している場合のみ、オプトアウトが可能。
    レガシーシステム接続用ユーザー(USER TYPE= LEGACY_SERVICEのユーザー)はパスワード単一認証が可能だが、Snowsightへのログインは不可となる。
  • 2025年8月
    すべての人間のユーザー(USER TYPE=PERSONまたはNULLのユーザー)が多要素認証(MFA)が必須となる。オプトアウトは不可能。
  • 2025年11月
    レガシーシステム接続用ユーザー(USER TYPE= LEGACY_SERVICEのユーザー)の廃止。すべてのユーザーで、パスワード単一認証が不可となる。

上記のロードマップより、各アカウントは、2025年11月までにパスワード単一認証廃止に向けた移行対応をおこなう必要があることがわかります。

SnowflakeのMFA必須化と新しい認証ポリシーへの対応方法とは?

では、前章で説明した新しい認証ポリシー適応のロードマップに応じて、我々はどのような移行対応をおこなえばよいでしょうか?
人間のユーザーの場合は、各ユーザーがパスワードに加えて、電話番号とパスコードによる多要素認証をおこなうか、または、SAML/OAuthなど代替認証手段を検討する必要があります。
たとえば、Azure EntraIDによる認証設定をおこなうことで、Snowflake独自でのパスワードや電話番号等の認証情報の管理は不要となります。

アプリケーションやシステム用のユーザーがパスワード単一認証をおこなっている場合は、2025年4-5月時点では、一時的にUSER TYPE= LEGACY_SERVICEに設定して、問題を回避します。その後、2025年11月までにパスワード認証を取りやめ、KeyPair認証またはOAuth認証に移行することになります。この時、既存のアプリケーションやシステムが、これらの認証に対応していないケースが稀に確認されています。
たとえば、あるBIツールでは、パスワード単一認証設定のみの提供となっており、KeyPair認証に切り替えられない、というようなケースがあります。また、他のBIツールにおいても、レポート開発のために人間のユーザーが利用するデスクトップアプリケーションで、電話番号(Duo Securityサービス)宛に何度もSMSのプッシュメッセージが送信され、認証が終わらない、というような問題が報告されています。

このような問題が発生する可能性を考慮し、既存のアプリケーションやシステムの認証方式の切り替えは早めに検証をすることを推奨しています。場合によっては、アプリケーション開発ベンダーへの変更リクエストや、アプリケーションの改修・切り替えなど、代替手段の検討が必要となり、そのような期間を確保するためです。

Snowflake におけるMFA使用の監視方法は?

Snowflakeでは、トラストセンターを使用することで、アカウント内の人間のユーザーが多要素認証(MFA)をおこなっているか、を定期的に確認することができます。

トラストセンターとは、スケジュールに従って、Snowflakeアカウントを対象にして、個別のセキュリティリスク項目ごとに評価・モニタリングすることができる機能です。トラストセンターでは、スキャナーで指定されたセキュリティリスク項目に対して評価がおこなわれます。

たとえば、評価対象となるセキュリティリスク項目の一例として、次のようなものがあげられます。

  • パスワードベースの認証を使用しているすべてのユーザーに対して、多要素認証(MFA)が有効になっているか。
  • アカウントレベルのネットワークポリシーが、信頼できるIPアドレスからのアクセスのみを許可するように設定されていること。
  • すべてのユーザーがMFA登録を必要とする認証ポリシーの対象となっているか。

 あらかじめ設定したスケジュールで、上記項目に従って評価がおこなわれ、評価項目を満たさなかった場合は、トラストセンター上で「違反項目」として表示されます。

本機能を用いることで、パスワードのみの単一認証となっているユーザーの洗い出しや、MFA登録ポリシーが適用されていないユーザーの有無を確認することができます。

 ここから、トラストセンターの利用方法について説明します。

  1. Snowsightにアクセスします。
  2. メニューより「モニタリング>トラストセンター」を選択します。
  3. 「スキャナパッケージ」タブから、実行するセキュリティチェックの対象項目を選択します。
  4. 「調査結果」タブでは、スキャン結果が表示されます。セキュリティ上懸念のある事項については、違反項目としてリストアップされますので、詳細について調査・対応をおこなう必要があります。

まとめ

ここまで、Snowflakeの新しい認証ポリシーの概要を解説するとともに、Snowflakeにおける多要素認証(MFA)をご紹介してまいりました。2025年内でのSnowflakeにおけるパスワードのみの単一認証の廃止が発表されてから、Snowflakeの各アカウントにおいては、新しい認証ポリシーへの移行対応が急務となっています。
セキュリティ強化のため、ロードマップに沿って、計画的にSnowflakeの認証方式の見直しや最適化をおこなっていきましょう。

また、セキュリティの脅威からSnowflakeアカウントを保護する取り組みとして、トラストセンター等の機能を活用し、アカウントのセキュリティ状態を定期的に監視することを検討されることを推奨いたします。

本ブログが、Snowflakeの利用を検討されている方や、利用中の方々の、セキュリティ・認証に関する取り組みのお役に立てれば幸いです。

弊社は、お客様ごとの要件(用途/予算/セキュリティレベルなど)に応じたデータ分析基盤の構築や、データ活用の実現に向けたデータマネジメント体制の整備などをご支援しております。
Snowflakeを用いたデータ活用でお悩みの際は、是非弊社までお声掛けください。

 本記事は、2025417日時点の情報をもとに作成しています。製品・サービスに関する詳しいお問い合わせは、弊社Webサイトからお問い合わせください。
https://itsol.dentsusoken.com/snowflake/inquiry/