単一要素パスワードサインインの廃止計画

Snowflakeは、すべてのお客様のセキュリティ態勢を改善するため、パスワードを使用するすべての人間ユーザーに対して多要素認証(MFA)を要求し、すべてのサービスユーザーに対してパスワードを認めない変更を展開しています。これらのサービスユーザーは、個人とのやり取りを必要としない強力な認証方法に切り替える必要があります。このトピックでは、単一要素パスワードがどのように廃止されるのかを説明し、それに応じて計画を作成できるようにします。

重要

Snowflakeには、すべてのユーザーに対して強力な認証を実装するプロセスをガイドするツールが用意されているため、単一要素パスワードの廃止に備えることができます。詳細については、 強力な認証ハブ をご参照ください。

このトピックで説明するフェーズは、リーダーアカウントやトライアルアカウントには適用されません。これらのタイプのアカウントには、引き続き単一要素パスワードでサインインできます。

人間ユーザーとサービスユーザー

Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。

管理者は、ユーザーオブジェクトの TYPE パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。

  • 人間ユーザー用は、 TYPE=PERSON です。TYPE パラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。

  • サービスユーザー用は、 TYPE=SERVICE です。

    注釈

    LEGACY_SERVICE ユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプを LEGACY_SERVICE にセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。

このロールアウトは、これら2つのタイプのユーザーに異なる影響を与えるため、人間であるユーザーとサービスユーザーの区別は重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、強力な認証の実施は以下のとおりです。

  • パスワード認証を使用しているすべての 人間 のユーザーは、第二の認証要素を使用する必要があります。

  • 現在パスワード認証を使用しているすべての レガシーサービスユーザー は、より安全な認証メソッドに移行する必要があります。

施行タイムライン

次のテーブルは、強力な認証方法を実施するためのタイムラインを示しています。

予定日

影響を受けるユーザー

フェーズ

2025年9月~2026年1月

  • 人間ユーザー

すべてのSnowsightユーザーに対して MFA が必須

2026年5月~2026年7月

  • 人間ユーザー

  • レガシーサービスユーザー

NEW(新規)ユーザー向けの強力な認証

2026年8月~2026年10月

  • 人間ユーザー

  • レガシーサービスユーザー

ALL(すべての)ユーザー向けの強力な認証

これらの期限を満たすために強力な認証を実装する方法については、強力な認証ハブ をご参照ください。

フェーズ1: すべての*Snowsight*ユーザー(新規および既存)について必須 MFA

フェーズ1は、Snowflakeで確立された動作変更リリースプロセスを用いて実施されます。このプロセスの中で、Snowflakeは毎月 動作変更バンドル をリリースします。変更は動作変更バンドルに含まれるため、新たな制限の強制施行はバンドルのライフサイクルと一致します。

このフェーズの施行を計画できるようにするための動作変更バンドルのライフサイクルの詳細について、動作変更ポリシー をご参照ください。

2025_06バンドル(2025年9月~2026年1月) [1]

目標

新しい動作

すべての Snowsight ユーザーに MFA を義務付ける

人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。

次のことに留意してください。

  • このフェーズは Snowsight にのみ影響します。人間のユーザーは引き続き単一要素のパスワードを使用して、ビジネスインテリジェンス(BI)および類似のツールから、Snowflakeサービスにアクセスできます。また、Snowsight を使用して MFA に登録した後でもアクセスできます。これらの他のツールの場合は、MFA を適用することを選択できます。MFA にすでに登録されており、Snowsight の外部で MFA を使用しているユーザーは引き続き MFA を使用します。

  • Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。

  • Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。

  • 単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。

  • レガシーサービスユーザー (TYPE=LEGACY_SERVICE) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

このバンドルの変更が、ユーザーのパスワードと SSO による認証にどう影響するのかについての詳細は、 単一要素パスワードによるSnowsightログインでの今後の多要素認証(MFA)の強制 ナレッジベースの記事)をご参照ください。

フェーズ2: *新規*ユーザー向けの強力な認証

フェーズ2は、3ヶ月の間に順次アカウントで実施されます。アカウントに強制施行日が通知されます。

2026年5月~2026年7月 [2]

目標

新しい動作

すべての新規の人間ユーザーに MFA を義務付ける

このフェーズが適用された*後*に作成されたすべての人間のユーザーは、BI ツールまたは類似のものを使用するユーザーを含め、パスワードで認証する際に2番目の要素を使用する必要があります。

フェーズが適用される*前*に存在していた人間のユーザーは影響を受けません。これらのパスワードユーザーは、次のフェーズまで、BI ツールや同様のもの(Snowsight 以外)を2番目の認証要素なしで引き続き使用できます。

たとえば、このフェーズが2026年5月15日に適用されるとします。この日以降に作成されたすべての人間ユーザーは、その方法に関係なく、認証の2番目の要素を使用する必要があります。この日付より前に存在した人間のユーザーは、 BI ツールについてはパスワードのみの認証を引き続き使用できますが、 Snowsight は使用できません。

新規のレガシーサービスユーザーなし

フェーズが適用された後に作成されたすべての人間ではないユーザーは、パスワードを使用できないように、タイプが SERVICE である必要があります。新しいユーザーオブジェクトを作成する際、 LEGACY_SERVICE タイプは使用できなくなりました。また、管理者は既存のユーザーのタイプを LEGACY_SERVICE に変更することはできません。

たとえば、このフェーズが2026年5月15日に適用されるとします。この日以降、 CREATE USER または ALTER USER コマンドの実行時の TYPE=LEGACY_SERVICE は無効なオプションです。

フェーズ3: すべてのユーザー向けの強力な認証

フェーズ3は、3ヶ月の間に順次アカウントで適用されます。アカウントに強制施行日が通知されます。

2026年8月~2026年10月 [3]

目標

新しい動作

すべての人間ユーザーに MFA を義務付ける

このフェーズが適用されると、新規および既存のすべての人間のユーザーは、例外なく、パスワードで認証する際に2番目の要素を使用する必要があります。

レガシーサービスユーザーなし

このフェーズが適用されると、人間ではないユーザーはすべて、パスワードを使用して認証することができなくなります。

LEGACY_SERVICE ユーザータイプは完全に非推奨です。TYPE=LEGACY_SERVICE を持つ既存のユーザーオブジェクトはすべて TYPE=SERVICE に移行され、パスワードが使用できなくなります。

このフェーズの要件を満たす強力な認証の実装方法については、強力な認証ハブ をご参照ください。