単一要素パスワードサインインの廃止計画¶
Snowflakeは、すべてのお客様のセキュリティ態勢を改善するため、パスワードを使用するすべての人間ユーザーに対して多要素認証(MFA)を要求し、すべてのサービスユーザーに対してパスワードを認めない変更を展開しています。このトピックでは、パスワードによる単一要素サインインがどのように非推奨となるかについて説明します。
重要
2025年10月、Snowflakeはこのトピックで取り上げたタイムラインを簡略化しました。新しいスケジュールでは、最初のマイルストーンが統合され、最終施行日が2026年8月から2026年10月に延長されます。この変更は、MFA を採用するプロセスを合理化するもので、当初のマイルストーンのスケジュールを達成することの複雑さに関するお客様からの直接のフィードバックに応じて行われました。
この改訂されたタイムラインは、組織に対し、パスワードに依存している現在のワークロードの移行を計画するための時間を多く与え、明確性を高めるものです。また、これによって、移行を容易にするために最近リリースされたセキュリティの改良を採用する機会も得られます。これらのセキュリティ改善には、サービスワークロードのシークレットレス認証向けの ワークロードIDフェデレーション と、緊急時シナリオに備える新しい MFA メソッドとして ワンタイムパスコード(OTP) が含まれます。
このトピックで説明する非推奨化プロセスは、リーダーアカウントやトライアルアカウントには適用されません。これらのタイプのアカウントには、引き続き単一要素パスワードでサインインできます。
人間ユーザーとサービスユーザー¶
Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。
管理者は、ユーザーオブジェクトの TYPE パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。
人間ユーザー用は、
TYPE=PERSONです。TYPEパラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。サービスユーザー用は、
TYPE=SERVICEです。注釈
LEGACY_SERVICEユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプをLEGACY_SERVICEにセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。
人間ユーザーとサービス・ユーザーを区別することは、このロールアウトがこれら2つのタイプのユーザーに異なる影響を与えるため、重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、単一要素パスワードサインインの非推奨は、以下のように構成されています。
パスワード認証を使用しているすべての 人間 のユーザーは、第二の認証要素を使用する必要があります。
現在パスワード認証を使用しているすべての レガシーサービスユーザー は、より安全な認証メソッドに移行する必要があります。
非推奨タイムライン¶
以下のテーブルは、単一要素パスワードによるサインインが廃止されるまでのスケジュールを示しています。
予定日 |
影響を受けるユーザー |
マイルストーン |
|---|---|---|
2025年9月~2026年1月 |
|
|
2026年5月~2026年7月 |
|
|
2026年8月~2026年10月 |
|
マイルストーン1: すべての Snowsight ユーザー(新規および既存)について MFA 必須¶
マイルストーン1は、Snowflakeが確立した動作変更リリースプロセスを用いて実施されます。このプロセスの中で、Snowflakeは毎月 動作変更バンドル をリリースします。変更は動作変更バンドルに含まれるため、新たな制限の強制施行はバンドルのライフサイクルと一致します。
このマイルストーンの強制施行を計画できるように、動作変更バンドルのライフサイクルの詳細について、動作変更ポリシー をご参照ください。
2025_06バンドル(2025年9月~2026年1月) [1]
目標 |
新しい動作 |
|---|---|
すべての Snowsight ユーザーに MFA を義務付ける |
人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。 次のことに留意してください。
|
このバンドルの変更が、ユーザーのパスワードと SSO による認証にどう影響するのかについての詳細は、`単一要素パスワードによるSnowsightログインでの今後の多要素認証(MFA)の強制<https://community.snowflake.com/s/article/Upcoming-MFA-enforcement-for-Snowsight-logins>`_ ナレッジベースの記事)をご参照ください。
マイルストーン2:新規 ユーザー向けの強力な認証¶
マイルストーン2は、3ヶ月の間に順次アカウントに実施されます。アカウントに強制施行日が通知されます。
2026年5月~2026年7月 [2]
目標 |
新しい動作 |
|---|---|
すべての新規の人間ユーザーに MFA を義務付ける |
このマイルストーンが施行された 後 に作成されたすべての人間ユーザーは、BI ツールまたは類似のものを使用するユーザーを含め、パスワードで認証する際に2番目の要素を使用する必要があります。 マイルストーンが強制される 前に 存在していた人間ユーザーは影響を受けません。これらのパスワードユーザーは、次のマイルストーンまで、BI ツールや同様のもの(Snowsight 以外)を2番目の認証要素なしで使い続けることができます。 たとえば、このマイルストーンが2026年5月15日に施行されるとします。この日以降に作成されたすべての人間ユーザーは、その方法に関係なく、認証の2番目の要素を使用する必要があります。この日付より前に存在した人間のユーザーは、BI ツールについてはパスワードのみの認証を引き続き使用できますが、 Snowsight は使用できません。 |
新規のレガシーサービスユーザーなし |
マイルストーンが施行された後に作成されたすべての人間以外のユーザーは、パスワードを使用できないように、タイプが たとえば、このマイルストーンが2026年5月15日に施行されるとします。この日以降、CREATE USER または ALTER USER コマンドの実行時の |
マイルストーン3:全ユーザー向けの強力な認証¶
マイルストーン3は、3ヶ月の間に順次アカウントに実施されます。アカウントに強制施行日が通知されます。
2026年8月~2026年10月 [3]
目標 |
新しい動作 |
|---|---|
すべての人間ユーザーに MFA を義務付ける |
このマイルストーンが実施されると、新規および既存のすべての人間ユーザーは、例外なく、パスワードで認証する際に2番目の要素を使用する必要があります。 |
レガシーサービスユーザーなし |
このマイルストーンが施行されると、人間以外のユーザーはすべて、パスワードを使って認証することができなくなります。
|