単一要素パスワードサインインの廃止計画¶

Snowflakeは、すべてのお客様のセキュリティ態勢を改善するため、パスワードを使用するすべての人間ユーザーに対して多要素認証（MFA）を要求し、すべてのサービスユーザーに対してパスワードを認めない変更を展開しています。このトピックでは、パスワードによる単一要素サインインがどのように非推奨となるかについて説明します。

重要

In October 2025, Snowflake simplified the timeline discussed in this topic. The new timeline consolidates initial phases and extends the final enforcement date from August 2026 to October 2026. This change streamlines the process of adopting MFA and was made in response to direct customer feedback regarding the complexity of meeting the original timelines.

この改訂されたタイムラインは、組織に対し、パスワードに依存している現在のワークロードの移行を計画するための時間を多く与え、明確性を高めるものです。また、これによって、移行を容易にするために最近リリースされたセキュリティの改良を採用する機会も得られます。これらのセキュリティ改善には、サービスワークロードのシークレットレス認証向けのワークロードIDフェデレーションと、緊急時シナリオに備える新しい MFA メソッドとしてワンタイムパスコード（OTP）が含まれます。

このトピックで説明する非推奨化プロセスは、リーダーアカウントやトライアルアカウントには適用されません。これらのタイプのアカウントには、引き続き単一要素パスワードでサインインできます。

人間ユーザーとサービスユーザー¶

Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。

管理者は、ユーザーオブジェクトの TYPE パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。

人間ユーザー用は、 TYPE=PERSON です。TYPE パラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。
サービスユーザー用は、 TYPE=SERVICE です。

注釈

LEGACY_SERVICE ユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプを LEGACY_SERVICE にセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。

人間ユーザーとサービス・ユーザーを区別することは、このロールアウトがこれら2つのタイプのユーザーに異なる影響を与えるため、重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、単一要素パスワードサインインの非推奨は、以下のように構成されています。

パスワード認証を使用しているすべての人間のユーザーは、第二の認証要素を使用する必要があります。
現在パスワード認証を使用しているすべての レガシーサービスユーザー は、より安全な認証メソッドに移行する必要があります。

非推奨タイムライン¶

以下のテーブルは、単一要素パスワードによるサインインが廃止されるまでのスケジュールを示しています。

予定日	影響を受けるユーザー	Phase
2025年9月～2026年1月	人間ユーザー	すべてのSnowsightユーザーに対して MFA が必須
2026年5月～2026年7月	人間ユーザーレガシーサービスユーザー	NEW（新規）ユーザー向けの強力な認証
2026年8月～2026年10月	人間ユーザーレガシーサービスユーザー	ALL（すべての）ユーザー向けの強力な認証

Phase 1: Mandatory MFA for all Snowsight users (new and existing)¶

Phase 1 is implemented using Snowflake's established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this phase, see 動作変更ポリシー.

2025_06バンドル（2025年9月～2026年1月） [1]

目標	新しい動作
すべての Snowsight ユーザーに MFA を義務付ける	人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。次のことに留意してください。 This phase affects Snowsight only. Human users can continue to use a single-factor password to access the Snowflake service from business intelligence (BI) and similar tools, even after they use Snowsight to enroll in MFA. You can choose to enforce MFA for these other tools; users who are already enrolled in MFA and use MFA outside Snowsight will continue to use MFA. Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。 Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。レガシーサービスユーザー (`TYPE=LEGACY_SERVICE`) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

目標

新しい動作

すべての Snowsight ユーザーに MFA を義務付ける

人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。

次のことに留意してください。

This phase affects Snowsight only. Human users can continue to use a single-factor password to access the Snowflake service from business intelligence (BI) and similar tools, even after they use Snowsight to enroll in MFA. You can choose to enforce MFA for these other tools; users who are already enrolled in MFA and use MFA outside Snowsight will continue to use MFA.
Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。
Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。
単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。
レガシーサービスユーザー (TYPE=LEGACY_SERVICE) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

このバンドルの変更が、ユーザーのパスワードと SSO による認証にどう影響するのかについての詳細は、単一要素パスワードによるSnowsightログインでの今後の多要素認証（MFA）の強制ナレッジベースの記事）をご参照ください。

Phase 2: Strong authentication for new users¶

Phase 2 will be enforced in accounts on a rolling basis during a three-month period. You'll receive a notification with the enforcement date for your account.

2026年5月～2026年7月 [2]

目標	新しい動作
すべての新規の人間ユーザーに MFA を義務付ける	All human users that are created after this phase is enforced must use a second factor when authenticating with a password, including those using BI tools or similar. Human users who existed before the phase is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next phase. For example, suppose this phase is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.
新規のレガシーサービスユーザーなし	All non-human users created after the phase is enforced must be of type `SERVICE`, which prevents them from using a password. The `LEGACY_SERVICE` type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to `LEGACY_SERVICE`. For example, suppose this phase is enforced on May 15, 2026. After this date, `TYPE=LEGACY_SERVICE` is an invalid option when executing a CREATE USER or ALTER USER command.

目標

新しい動作

すべての新規の人間ユーザーに MFA を義務付ける

All human users that are created after this phase is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the phase is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next phase.

For example, suppose this phase is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

新規のレガシーサービスユーザーなし

All non-human users created after the phase is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this phase is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

Phase 3: Strong authentication for all users¶

Phase 3 will be enforced in accounts on a rolling basis during a three-month period. You'll receive a notification with the enforcement date for your account.

2026年8月～2026年10月 [3]

目標	新しい動作
すべての人間ユーザーに MFA を義務付ける	When this phase is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.
レガシーサービスユーザーなし	When this phase is enforced, all non-human users are blocked from using a password to authenticate. `LEGACY_SERVICE` ユーザータイプは完全に非推奨です。`TYPE=LEGACY_SERVICE` を持つ既存のユーザーオブジェクトはすべて `TYPE=SERVICE` に移行され、パスワードが使用できなくなります。

目標

新しい動作

すべての人間ユーザーに MFA を義務付ける

When this phase is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

レガシーサービスユーザーなし

When this phase is enforced, all non-human users are blocked from using a password to authenticate.

LEGACY_SERVICE ユーザータイプは完全に非推奨です。TYPE=LEGACY_SERVICE を持つ既存のユーザーオブジェクトはすべて TYPE=SERVICE に移行され、パスワードが使用できなくなります。