Trust Centerの概要¶
Trust Centerを使用して、Snowflakeアカウントの潜在的なセキュリティリスクを評価、監視、および削減することができます。Trust Centerは、 スキャナー で指定されている推奨事項に基づいて、各Snowflakeアカウントを評価します。スキャナーは 調査結果 を生成する可能性があります。 Trust Centerの調査結果 は、Snowflakeアカウントの潜在的なセキュリティリスクを削減する方法に関する情報を提供します。スキャナーを実行するたびに調査結果が生成されるわけではありません。セキュリティ上の問題がないスキャナー実行は、Trust Centerで調査結果を生成しません。Trust Centerを使用して、アカウントのセキュリティリスクをモニターするのに役立つ プロアクティブ通知を構成 できます。
Trust Centerの一般的なユースケース¶
Snowflakeアカウントのセキュリティリスクを軽減するためにTrust Centerを使用する方法の詳細については、次のトピックをご参照ください。
制限事項¶
Snowflakeリーダーアカウントはサポートされていません。
必要なロール¶
Trust Centerを使用してスキャナーとその調査結果を表示または管理するには、 ACCOUNTADMIN ロール を持つユーザーがあなたのロールに SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール を付与する必要があります。
次の表では、Trust Centerユーザーインターフェースを使用して実行する一般的なタスクと、それらのタスクを実行するためにロールに必要な最小のアプリケーションロールを示しています。
注釈
組織アカウント でTrust Centerを使用している場合、 ACCOUNTADMIN ではなく GLOBALORGADMIN ロールを使用してTrust Centerアプリケーションロールを付与します。
Trust Centerの特定のタブにアクセスするために必要なアプリケーションロールについては、次の表を参照してください。
タスク |
トラストセンタータブ |
最小のアプリケーションロール |
メモ |
|---|---|---|---|
Detections |
|
|
|
Violations |
|
|
|
Violations |
|
なし。 |
|
Manage scanners |
|
なし。 |
|
Manage scanners |
|
なし。 |
|
Organization |
|
Organization タブは 組織アカウント で のみ 表示されます。 |
Violations および Detections タブの表示のみのアクセス権を提供するカスタムロールを作成できます。また、 Violations および Manage scanners タブを使用して、違反およびスキャナーを管理する別の管理者レベルのロールを作成することもできます。たとえば、これらの2つの異なるロールを作成するには、次のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
注釈
この例は、Trust Centerの使用に完全なロール階層を推奨しているわけではありません。詳細については、 Trust Centerを使用する の各サブセクションをご参照ください。
Trust Centerでのプライベート接続の使用¶
Trust Centerはプライベート接続をサポートします。詳細は プライベート接続の使用 をご参照ください。
Trust Centerの調査結果¶
Trust Centerの調査結果には、違反と検出の2種類の調査結果が含まれます。両方の調査結果は、スキャナーがSnowflakeアカウントで実行されたときに スキャナー によって生成されます。
組織レベル で調査結果を確認できます。または、 特定のアカウントの調査結果 を詳しく調べることもできます。
注釈
現在、組織レベルで検出の調査結果を表示することはできません。
組織レベルの調査結果¶
Organization タブでは、組織内のすべてのアカウントで生成された違反の調査結果に関するインサイトが提供されます。タブには、次の情報が含まれています。
組織内の違反の数。
最も重大な違反があるアカウント。
組織内の各アカウントの違反の数。アカウントを選択すると、そのアカウントの各違反をドリルダウンすることができます。
注釈
Organization タブを使用して違反を解決または再オープンすることはできません。これらのアクションを実行するには、違反のあるアカウントにサインインし、 Violations タブにアクセスします。
Organization タブにアクセスするには、以下の要件を満たしている必要があります。
:doc:`組織アカウント </user-guide/organization-accounts>`にサインインします。
ORGANIZATION_SECURITY_VIEWER アプリケーションロールを持つロールを使用します。また、 Trust Centerアプリケーションロール も必要です。
アカウントレベルの調査結果¶
スキャナー は、Trust Centerを通じて違反と検出の調査結果を検索し報告します。違反は時間が経っても持続し、スキャナーの要件に準拠していない構成を表します。検出は1回発生し、一意のイベントを表します。Trust Centerを使用して、アカウントの調査結果を表示および管理できます。詳細については、 Trust Centerを使用する をご参照ください。
違反¶
スキャナーは、任意の時点でエンティティを調査し、現在の構成のみに基づいて違反かどうかを判断します。違反を修正するために構成を変更しない限り、スキャナーは違反を報告し続けます。たとえば、スキャナーは、一部のユーザーが多要素認証( MFA )を構成していない場合に違反を報告します。
Violations タブには、スキャナーの結果に関するアカウントレベルの情報が表示されます。これには、次の情報が含まれます。
スキャナー違反を低、中、高、重大度別に色分けした経時的なグラフ。
検出された各違反のインタラクティブなリスト。リストの各行には、違反の詳細、スキャナーの最終実行日、違反の修正方法が含まれています。
違反により、 有効なスキャナパッケージ の要件に違反するアカウント内の Snowflake 構成を識別できます。各違反について、トラストセンターは違反を是正する方法を説明します。違反を修復した後も、違反を報告したスキャナーを含むスキャナーパッケージの次回のスケジュールされた実行が開始されるまで、または スキャナーパッケージを手動で起動する まで、違反は Violations タブに表示されます。
違反のあるアカウントにサインインしている場合は、 Violations タブを使用して次のアクションを実行できます。
該当する違反をトリアージし、証拠または進捗状況を記録します。
何らかの理由で違反を解決または再開し、監査の必要性を正当化することを記録します。
重大度、スキャナーパッケージ、スキャナーのバージョン、スキャン時間、更新時間、ステータスごとに違反を並べ替える、またはフィルターします。
違反のステータス変更の理由を追加して、実行したアクションの明確な記録を提供します。
構成を変更すると違反を修正できます。違反の場合、Trust Centerは修正のための提案を提供します。問題を修正すると、Trust Centerは違反を報告しなくなります。また、ステータスを Resolved に変更して 違反の調査結果のライフサイクル を管理できます。解決済みの違反のメール通知は抑制されます。抑制は、基礎となる構成ミスの修正に向けて作業している間、それ以上の通知を防ぎます。解決済みの違反の調査結果は通知を生成しなくなります。
検出¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
検出 は、特定の時間に発生したイベントを表します。次の調査結果は、検出として報告される可能性のあるイベントの例です。
ログイベントが認識されていない IP アドレスから発生しました。
大量のデータが外部ステージに転送されました。
タスクに、2つの時点の間で高いエラー率が見られました。
スキャナーは、イベントトリガーに基づいて各検出をレポートします。たとえば、スキャナーは疑わしいサインインイベントを検出した場合は検出を報告し、別の時間に別の疑わしいサインインイベントを検出した場合は別の検出を報告します。検出のために、Trust Centerはイベントに関する情報を提供します。イベントは固有であり、過去に発生したものであるため、検出を直接修復することはできません。
Trust Centerが提供する情報に基づいて、検出が有意義であるかどうかを調査することができます。有意義な検出である場合は、将来の類似のイベントを防ぐアクションを取ることができます。
注釈
検出を報告したスキャナーが再度実行された場合、同様の検出を報告する場合としない場合があります。現在、検出のライフサイクルを管理することはできません。
検出の管理の詳細については、 検出を表示する をご参照ください。
スキャナー¶
スキャナー は、以下の基準に基づいて、お客様のアカウントにセキュリティリスクがないかチェックするバックグラウンドプロセスです。
アカウントの構成方法。
異常イベント。
Trust Centerはスキャナーを スキャナーパッケージ にグループ化します。スキャナーの詳細は、スキャナーがアカウント内のどのようなセキュリティリスクをチェックするか、いつスキャナーが実行されるか、アカウントのスキャナーの調査結果に関する通知を誰が受信するかについての情報を提供します。特定のスキャナーの詳細を見るには、 スキャナーの詳細を表示する の手順に従ってください。
スケジュールベースのスキャナー¶
スケジュールベースのスキャナー は、スケジュールに従って特定の時間に実行されます。スキャナーのスケジュールを変更する前に、スキャナーパッケージを有効にする必要があります。スキャナーのスケジュール変更の詳細については、 スキャナーのスケジュールを変更する をご参照ください。
イベント駆動型スキャナー¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
イベント駆動型スキャナー は、関連するイベントに基づく検出を生成します。例としては、通常と異なる IP アドレスからのサインインを検出するスキャナーや、機密パラメーターの変更を検出するスキャナーがあります。イベント駆動型スキャナーが生成する検出は、スケジュールではなくイベントによって発生するため、イベント駆動型スキャナーをスケジュールすることはできません。Trust Centerは、イベントが発生してから1時間以内にイベント駆動型スキャナーによって生成された検出をレポートします。
イベントベースのスキャナーは、スケジュールベースのスキャナーが見逃す可能性のあるイベントを検出できます。たとえば、10分ごとにブール値パラメーターの TRUE または FALSE 状態を検出するスケジュールベースのスキャナーを考えてみましょう。そのパラメーターの値、つまり状態が TRUE から FALSE に切り替わり、10分経過する前に再び TRUE に戻った場合、スケジュールベースのスキャナーによって検出されません。各状態の変化を検出するイベントベースのスキャナーなら、両方のイベントを検出します。
イベント駆動型スキャナーの最新のリストについては、 Threat Intelligenceスキャナーパッケージ をご参照ください。
注釈
イベント駆動型スキャナーは、 METERING_HISTORY ビュー で複数の項目として表示される可能性があります。
スキャナーパッケージ¶
スキャナーパッケージ には、説明と スキャナーパッケージを有効 にしたときに実行されるスキャナーのリストが含まれています。スキャナーパッケージを有効にすると、設定したスケジュールに関係なく、スキャナーパッケージが直ちに実行されます。スキャナーパッケージを有効にすると、 スキャナーパッケージ内の各スキャナーを有効または無効 にできます。ロールは Manage scanners タブを使用してスキャナーを管理するために、 SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロールを持っている必要があります。詳細については、 必要なロール をご参照ください。
以下のスキャナーパッケージが利用可能です。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、スキャナーパッケージのスケジュールの変更方法、パッケージ内の現在のスキャナーのリストを表示する方法については、以下のトピックをご参照ください。
デフォルトでは、 Security Essentialsスキャナーパッケージ を除き、スキャナーパッケージは無効化されています。
Security Essentialsスキャナーパッケージ¶
Security Essentials スキャナーパッケージは、アカウントをスキャンして以下の推奨事項がセットアップされているかどうかをチェックします。
認証ポリシーでは、すべてのユーザーがパスワードを使って認証する場合、 MFA に登録するよう強制しています。
認証コードにパスワードを使用している場合、人間のユーザーはすべて MFA に登録されます。
信頼できる IP アドレスからのアクセスのみを許可するように構成されたアカウントレベルのネットワークポリシーをセットします。
あなたのアカウントが ネイティブアプリでのイベント共有を有効化 した場合、 イベントテーブルを設定 すると、アプリケーションプロバイダーと共有されるログメッセージとイベント情報のコピーを受け取ることができます。
このスキャナーパッケージは人間のユーザーであるユーザーのみ、つまり TYPE プロパティが PERSON または NULL のユーザーオブジェクトのみをスキャンします。詳細については、 ユーザーのタイプ をご参照ください。
Security Essentials スキャナーパッケージ:
デフォルトで有効になっています。無効化できません。
月に1回実行されます。このスケジュールは変更できません。
サーバーレスコンピューティングコストが発生しない無料のスキャナーパッケージです。
CIS Benchmarksスキャナーパッケージ¶
CIS Benchmarks スキャナーパッケージを有効にすることで、Center for Internet Security(CIS)Snowflake Benchmarksに対してアカウントを評価するスキャナーが含まれており、セキュリティに関するその他の洞察にアクセスすることができます。CIS Snowflake Benchmarksは、セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスのリストです。CIS Snowflake Benchmarksは、コミュニティの協力と各分野の専門家のコンセンサスによって作成されました。
CIS Snowflake Benchmarksドキュメントを入手するには、 CIS Snowflake Benchmarkウェブサイト をご参照ください。
CIS Snowflake Benchmarksに記載されている推奨事項には、セクションと推奨事項ごとに番号が付けられています。例えば、第1セクションの最初の推奨事項には、 1.1 という番号が付けられています。Violations タブでは、Snowflake CIS Benchmarksを参照するために、トラストセンターが各違反のセクション番号を提供しています。
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、スキャナーパッケージのスケジュールの変更方法、パッケージ内の現在のスキャナーのリストを表示する方法については、以下のトピックをご参照ください。
注釈
特定のSnowflake CIS Benchmarksについて、Snowflake は特定のセキュリティ対策を実施したかどうかを判断するだけで、セキュリティ対策がその目的を達成する方法で実施されたかどうかは評価しません。これらのベンチマークでは、違反がないからといって、セキュリティ対策が効果的に実施されていることを保証するものではありません。以下のベンチマークは、セキュリティ実装が目標を達成するように実装されているかどうかを評価しないか、トラストセンターがチェックを行いません:
セクション 2 のすべて: アクティビティが監視されていることを確認し、注意が必要なアクティビティに対処するために Snowflake を構成するための推奨事項を提供します。これらのスキャナーには、違反がSnowsightコンソールに表示されない複雑なクエリが含まれています。
セキュリティ担当者は、
snowflake.trust_center.findingsビューに対して以下のクエリを実行することで、セクション 2 スキャナーから貴重な洞察を得ることができます:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
出力では、
AT_RISK_ENTITIES列に、レビューや改善が必要なアクティビティに関する詳細が記載された JSON コンテンツが含まれます。例えば、 CIS_BENCHMARKS_CIS2_1 スキャナーは、高権限権限を監視します。セキュリティ担当者は、このスキャナーから報告されたイベント(以下のサンプルイベントなど)を注意深く確認する必要があります。[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflakeは、セクション2スキャナーのベストプラクティスを次のように提案しています。
十分な監視対策が講じられていると確信が持てない限り、セクション2のスキャナーを無効にしないでください。
定期的にセクション2のスキャナーの違反を検査するか、検出のためのモニタリングタスクを構成します。具体的には、
snowflake.trust_center.findingsビューのSUGGESTED_ACTION列で説明されているようにモニタリングを構成します。
3.1:アカウントレベルのネットワークポリシーが、信頼できる IP アドレスからのアクセスのみを許可するように構成されていることを確認してください。アカウントレベルの ネットワークポリシー がない場合、Trust Centerは違反を表示しますが、適切な IP アドレスが許可またはブロックされているかどうかは評価しません。
4.3: 重要なデータについては、 DATA_RETENTION_TIME_IN_DAYS パラメーターが 90 にセットされていることを確認してください。Trust Center は、 Time Travel に関連する DATA_RETENTION_TIME_IN_DAYS パラメーターがアカウントまたは少なくとも 1 つのオブジェクトで 90 日にセットされていない場合、違反を表示しますが、どのデータが重要であると見なされるかは評価しません。
4.10: 機密データに対してデータマスキングが有効になっていることを確認します。Trust Centerは、アカウントに少なくとも1つの マスキングポリシー がなければ違反を表示しますが、機密データが適切に保護されているかどうかは評価しません。トラストセンターは、マスキングポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
4.11: 機密データに対して行アクセスポリシーが構成されていることを確認してください。Trust Center は、アカウントに少なくとも 1 つの 行アクセスポリシー がない場合、違反を表示しますが、機密データが保護されているかどうかは評価しません。トラストセンターは、行アクセスポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
Threat Intelligenceスキャナーパッケージ¶
Threat Intelligence スキャナーパッケージを有効にすると、Trust Centerで追加のセキュリティインサイトにアクセスできます。このパッケージは、以下の基準に基づいてリスクを識別します。
ユーザーのタイプ:Snowflakeアカウントユーザーが人間かサービスか。
認証方法またはポリシー:ユーザーが MFA に登録されずにパスワードを使用してアカウントにログインするかどうか。
ログインアクティビティ:最近、ユーザーがログインしていないかどうか。
異常な失敗率:ユーザーの認証の失敗やジョブエラーが多数あるかどうか。
New! 検出の調査結果: 検出の調査結果を報告するすべての新しいスキャナー 。
Threat Intelligenceパッケージの特定のスキャナーは、潜在的なリスクのある行動を示すユーザーを、リスクの高いユーザーとして識別します。次の表は例です。
Threat Intelligenceスキャナー¶
スキャナー |
型 |
説明 |
|---|---|---|
人間のユーザーをパスワードのみのサインインから移行させる |
スケジュールベース |
Identifies human users who (a) haven't set up MFA and signed in with a password at least once in the past 90 days and (b) have a password but haven't set up MFA and haven't signed in for 90 days. |
パスワードのみのサインインからレガシーサービスユーザーを移行させる |
スケジュールベース |
パスワードを持ち、 (a) 過去90日間に少なくとも1回パスワードのみでサインインした、 および (b) 90日間サインインしていないレガシーサービスユーザーを識別します。 |
認証の失敗が多いユーザーを識別する |
スケジュールベース |
認証の失敗やジョブエラーの数が多いユーザーを識別します。これは、アカウントの乗っ取りの試み、設定ミス、クォータの超過、権限の問題などを示している可能性があります。リスクの重大度の調査結果とリスク軽減の推奨事項を提供します。 |
新しいThreat Intelligenceスキャナー¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
スケジュールベースのスキャナー および イベントベースのスキャナー 両方とも検出をレポートできます。このプレビューでは、両方のタイプの新しいスキャナーが追加されます。追加されたすべてのスキャナーは違反の調査結果ではなく検出を生成します。
このプレビューでは、以下の新しいスキャナーが Threat Intelligenceスキャナーパッケージ に追加されます。
スキャナー |
型 |
説明 |
|---|---|---|
認証ポリシーの変更 |
イベント駆動型 |
アカウントレベルとユーザーレベルの両方で 認証ポリシー への変更を検出します。 |
休止状態のユーザーのサインイン |
イベント駆動型 |
サインイン履歴イベントを分析し、過去90日間にサインインしていないユーザーのサインインにフラグを立てます。 |
長時間実行クエリのあるエンティティ |
スケジュールベース |
実行時間の長いクエリと関連するユーザーおよびクエリ IDs を検出します。実行時間の長いクエリとは、過去7日間またはスキャナーが最後に実行された時刻から(いずれか最近の方)の平均クエリ期間に対して標準偏差2の期間を持つクエリです。このスキャナーを1日に1回実行するように設定することをお勧めします。このスキャナーは、30日間のキャッシュを構築し、その後保存するため、初期コストが高くなる可能性があります。Trust Centerは、このスキャナーが初めて実行されたときに検出イベントを報告します。 |
ログイン保護 |
イベント駆動型 |
通常とは異なる IP アドレスからの最近のログインを検出します。 重要 これらのイベントは 悪意のある IP 保護サービス から発生し、早急な対処が必要です。 |
機密性の高いパラメーターの保護 |
イベント駆動型 |
次の機密性の高いアカウントレベルのパラメーター( PREVENT_UNLOAD_TO_INLINE_URL 、 REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION および REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION )の無効化をレポートします。このスキャナーは、これらのパラメーターの |
管理者権限を持つユーザー |
スケジュールベース |
既定のロールが管理者ロールである新規に作成されたユーザー、および彼らに管理者ロールを付与する既存のユーザーへの最近の付与を検出します。 |
セッションで異常なアプリケーションを使用するユーザー |
スケジュールベース |
Snowflakeに接続する異常なクライアントアプリケーションを使用したユーザーを検出します。 |
Threat Intelligenceスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、スキャナーパッケージのスケジュールの変更方法、パッケージ内の現在のスキャナーのリストを表示する方法については、以下のトピックをご参照ください。