単一要素パスワードサインインの廃止計画¶
Snowflakeは、すべてのお客様のセキュリティ体制を向上させるため、パスワードを使用するすべてのユーザーに対して多要素認証 (MFA) を要求し、すべてのサービスユーザーに対してパスワードを使用しないよう変更を展開しています。これらの変更は、複数の動作変更リリース (BCRs) にわたって展開されます。このトピックでは、単一要素パスワードによるサインインがどのように廃止されるかについて説明します。
注釈
このトピックで説明する非推奨プロセスは、リーダーアカウント、オープンカタログアカウント、およびトライアルアカウントには適用されません。このタイプのアカウントには、引き続き単一要素パスワードでサインインできます。
ロールアウト・プロセスの理解¶
単一要素パスワードサインインの廃止の展開は、複数のマイルストーンに分かれています。
各マイルストーンは、Snowflakeが確立した動作変更リリースプロセスを使用して実施されます。このプロセスにおいて、Snowflakeは 動作変更バンドル を毎月リリースしています。変更は動作変更バンドルに含まれるため、新たな制限の施行は、そのバンドルがライフサイクルを終える時期と一致することになります。
各マイルストーンの実施計画を立てることができるように、行動変容バンドルのライフサイクルの詳細情報については、 動作変更ポリシー を参照してください。
人間ユーザーとサービスユーザー¶
Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。
管理者は、ユーザーオブジェクトの TYPE
パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。
人間ユーザー用は、
TYPE=PERSON
です。TYPE
パラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。サービスユーザー用は、
TYPE=SERVICE
です。注釈
LEGACY_SERVICE
ユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプをLEGACY_SERVICE
にセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。
人間ユーザーとサービス・ユーザーを区別することは、このロールアウトがこれら2つのタイプのユーザーに異なる影響を与えるため、重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、単一要素パスワードサインインの非推奨は、以下のように構成されています。
パスワード認証を使用しているすべての 人間ユーザー は、第二要素認証を使用する必要があります。Snowflakeがこの目標をどのように達成していくかを示したタイムラインについては、 人間ユーザーに対するマイルストーン を参照してください。
現在パスワード認証を使用しているすべての サービスユーザー は、より安全な認証方法に移行する必要があります。Snowflakeがこの目標をどのように達成していくかを示したタイムラインについては、 ユーザーにとってのマイルストーン を参照してください。
非推奨タイムライン¶
以下のテーブルは、単一要素パスワードによるサインインが廃止されるまでのスケジュールを示しています。
予定日 |
影響を受けるユーザー |
マイルストーン |
---|---|---|
2025年6月~2025年8月 |
人間ユーザー |
|
2025年8月~2025年10月 |
人間ユーザー |
|
2025年11月~2026年1月 |
サービスユーザー |
|
2026年3月~2026年5月 |
人間ユーザー |
|
2026年6月~2026年8月 |
サービスユーザー |
人間ユーザーに対するマイルストーン¶
目標: パスワードで認証するすべてのユーザーには、第二要素認証を使用する必要があります。
この目標を達成するための展開は、以下のマイルストーンで構成されています。各マイルストーンは、動作変更バンドルがリリースされる(つまり、テスト期間が始まる)ことから始まり、そのバンドルが一般的に有効になることで終了します。マイルストーンに関連する制限は、バンドルが有効になるとすぐに実施されます。
- 2025_04バンドル (2025年6月~2025年8月) [1] : すべての Snowsight ユーザー(新規および既存)には MFA が必須
人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。
次のことに留意してください。
このマイルストーンは Snowsight にのみ影響します。人間ユーザーは、 Snowsight を使用して MFA に登録した後でも、ビジネスインテリジェンス (BI) や同様のツールから Snowflake サービスにアクセスするために、引き続き単一要素パスワードを使用できます。これらの他のツールに MFA を強制できます。既に MFA に登録し、 Snowsight の外部で MFA を使用しているユーザーは、引き続き MFA を使用します。
Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。
Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。
単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。
レガシーサービスユーザー (
TYPE=LEGACY_SERVICE
) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。
- 2025_07バンドル (2025年8月~2025年10月) [1] : すべての 新規 人間ユーザーには MFA が必須
動作変更バンドルが有効化された 後に 作成されたすべての人間ユーザーは、 BI ツールなどを使用する場合も含め、第二要素による認証が必要です。
バンドルが有効になる 前に に存在していた人間ユーザーは影響を受けません。これらのパスワード・ユーザーは、2026年3月まで、 BI ツールまたは同様のもの(Snowsight 以外のもの)を第二認証なしで使用し続けることができます。
例えば、管理者が2025年9月10日にこのマイルストーンに関連する動作変更バンドルにオプトインしたとします。この日以降に作成されたすべての人間ユーザーは、表面に関係なく、第二認証を使用する必要があります。この日付より前に存在していた人間ユーザーは、 BI ツールでパスワードのみの認証を引き続き使用できますが、 Snowsight は使用できません。
- バンドル予定 (2026年3月~2026年5月) [1] : すべての 人間ユーザーに対して MFA を義務付けます(例外なし)。
このマイルストーンに関連する動作変更バンドルが有効になると、すべての新規および既存の人間のユーザーは、例外なく、パスワードで認証するときに第 2 要素を使用する必要があります。
ユーザーにとってのマイルストーン¶
目標:すべてのサービスユーザーは、安全な形式の認証を使用する必要があります。
この目標を達成するための展開は、以下のマイルストーンで構成されています。各マイルストーンは、動作変更バンドルがリリースされた時点から始まり、そのバンドルが一般的に有効になった時点で終了します。マイルストーンに関連する制限は、バンドルが有効になるとすぐに実施されます。
TYPE=SERVICE
のユーザーは、例外なくパスワード認証を使用できません。サービスやアプリケーションにパスワードによる認証を一時的に許可するため、Snowflakeは LEGACY_SERVICE
ユーザータイプを提供しました。単一要素パスワードによるサインインからの移行は、この LEGACY_SERVICE
ユーザータイプの段階的な廃止に重点を置いているため、人間以外のユーザーはすべて SERVICE
タイプでなければなりません。
- バンドル予定 (2025年11月~2026年1月) [2] : 新規 レガシー・サービス・ユーザーなし
動作変更バンドルが有効になった後に作成されたすべての人間以外のユーザーは、
SERVICE
のタイプでなければならず、パスワードを使用することができません。新しいユーザーオブジェクトを作成する際、LEGACY_SERVICE
タイプは使用できなくなりました。また、管理者は既存のユーザーのタイプをLEGACY_SERVICE
に変更することはできません。例えば、管理者が2025年12月10日にこのマイルストーンに関連する動作変更バンドルにオプトインしたとします。この日以降、 CREATE USER または ALTER USER コマンドを実行する場合、
TYPE=LEGACY_SERVICE
は無効なオプションです。
- バンドル予定 (2026年6月~2026年8月) [2] : レガシーユーザーなし
このマイルストーンに関連する動作変更バンドルが有効になっている場合、すべての人間以外のユーザーは、認証にパスワードを使用することができなくなります。
LEGACY_SERVICE
ユーザータイプは完全に非推奨です。TYPE=LEGACY_SERVICE
を持つ既存のユーザーオブジェクトはすべてTYPE=SERVICE
に移行され、パスワードが使用できなくなります。
すべての日付は推定であり、バンドルのリリースとライフサイクルに依存関係します。このライフサイクルについては、 月次動作変更バンドル を参照してください。
スケジュールより早く MFA を要求¶
単一要素パスワードによるサインインを防止することでセキュリティが向上することを考えると、このトピックで提供されるスケジュールよりも早く実装することを決めるかもしれません。このセクションでは、ロールアウトの完了を待たずに制限を実施する方法について説明します。
強制的な MFA の展開では、 Snowsight とその他のサーフェス、新規ユーザーと既存ユーザーの区別があります。カスタム 認証ポリシー を使用すると、ロールアウトプロセスの完了を待たずに、 すべて のクライアントタイプのすべてのユーザー、即座に MFA が強制されます。
新しい認証ポリシーのすべてのパラメーターを慎重に定義する必要がありますが、単一要素パスワードによるサインインを防ぐという目標を達成するためには、最低限以下のパラメーターを含める必要があります。
CREATE AUTHENTICATION POLICY require_mfa_policy
MFA_AUTHENTICATION_METHODS = ('PASSWORD')
MFA_ENROLLMENT = REQUIRED;
これらのパラメーターの詳細情報については、 CREATE AUTHENTICATION POLICY を参照してください。
このアカウントの認証ポリシーをセットして、すべての 人間ユーザー の認証を管理するようにするには、以下のステートメントを実行します。
USE ROLE ACCOUNTADMIN; ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;
多要素認証への登録¶
ユーザーが自主的に MFA に登録する方法については、 多要素認証(MFA)に登録する を参照してください。