トラストセンター

注釈

Snowflakeリーダーアカウントはサポートされていません。

トラストセンターを使用して、セキュリティリスクについて、アカウントを評価しモニターすることができます。Trust Centerは、スケジュールに従って スキャナー で指定された推奨事項に対してアカウントを評価しますが、 スキャナーの実行頻度を変更することができます。アカウントが有効なスキャナーの推奨事項のいずれかに違反している場合、Trust Centerは、 セキュリティリスクのリスト、およびそれらのリスクを軽減する方法に関する情報を提供します。

一般的なユースケース

必要な権限

ACCOUNTADMIN ロール を持つユーザーは、アクセスするトラストセンタータブに応じて、自身のロールに SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール を付与する必要があります。

Trust Centerの特定のタブにアクセスするために必要なアプリケーションロールについては、次の表を参照してください。

トラストセンタータブ

必要なアプリケーションロール

Findings

SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN

Manage scanners

SNOWFLAKE.TRUST_CENTER_ADMIN

例えば、 Findings タブにアクセスするための別のロールと、 Manage scanners タブにアクセスするための別のロールを作成して付与するには、ACCOUNTADMIN ロールを使用して以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Copy

プライベート接続の使用

Trust Centerはプライベート接続をサポートします。詳細は プライベート接続の使用 をご参照ください。

調査結果

Trust Center findings are the security violations discovered by scanners as they run in an account.

You can review findings at the organization level or you can drill down into the findings of a specific account.

Organization-level findings

The Organization tab provides insights into the violations found in all of the accounts in the organization. The tab includes the following information:

  • The number of violations in the organization.

  • The accounts with the most critical violations.

  • The number of violations for each account in the organization. You can select an account to drill down into the individual violations in the account.

注釈

You cannot use the Organization tab to resolve or reopen violations. To perform these actions, sign in to the account with the violation and access the Findings tab.

To access the Organization tab, you must meet the following requirements:

Account-level findings

The Findings tab provides account-level information about scanner results. It includes the following information:

  • スキャナー違反を低、中、高、重大度別に色分けした経時的なグラフ。

  • 発見された各違反に対する勧告のインタラクティブなリスト。各推奨には、違反の詳細、スキャナーの最終実行日、違反の修正方法が含まれています。

違反により、 有効なスキャナパッケージ の要件に違反するアカウント内の Snowflake 構成を識別できます。各違反について、トラストセンターは違反を是正する方法を説明します。違反を修復した後も、違反を報告したスキャナーを含むスキャナーパッケージの次回のスケジュールされた実行が開始されるまで、または スキャナーパッケージを手動で起動する まで、違反は Findings タブに表示されます。

Findings タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 必要な権限 をご参照ください。

Managing account-level findings

With Trust Center findings lifecycle management, you can manage, track, and address violations with auditable controls to improve your security posture. When signed in to the account with the violations, you can use the Findings tab to perform the following actions:

  • 該当する違反をトリアージし、証拠または進捗状況を記録します。

  • 何らかの理由で違反を解決または再開し、監査の必要性を正当化することを記録します。

  • ステータス、重大度、スキャン済み、または更新時間で違反を並べ替えまたはフィルターします。

  • 違反のステータス変更の理由を追加して、実行したアクションの明確な記録を提供します。

すべての新しいセキュリティ違反は「オープン」ステータスで発生します。違反は、アカウントに該当しない、将来の日付に延期、既に進行中など、複数の理由で解決することができます。スキャナーは、未解決または解決済みの違反ステータスに関係なく、スケジュール通りに実行されます。根本的な誤構成を修正する作業中は、解決済みの違反に関するメール通知は抑制されます。

スキャナー

スキャナーは、アカウントの設定方法に基づいて、セキュリティ上のリスクがないかどうかを断続的にチェックするバックグラウンドプロセスです。スキャナーはスキャナーパッケージとしてまとめられています。スキャナーには、お客様のアカウントでどのようなセキュリティリスクをチェックするかという情報と、それを含むスキャナーパッケージが含まれています。

スキャナーパッケージには、説明と スキャナーパッケージを有効 にしたときに実行されるスキャナーのリストが含まれています。スキャナーパッケージを有効にすると、設定したスケジュールに関係なく、スキャナーパッケージが直ちに実行されます。

デフォルトでは、 Security Essentialsスキャナーパッケージ を除き、スキャナーパッケージは無効化されています。

スキャナーパッケージはスケジュールに従って実行されます。スキャナー パッケージでスケジュールを変更できる場合は、スケジュールを変更する前にスキャナー パッケージを有効にする必要があります。

スキャナー パッケージを有効にした後、 スキャナー パッケージで個々のスキャナーを有効または無効にする ことができます。また、 スキャナー パッケージで、個々のスキャナのスケジュールを変更することもできます

Manage scanners タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 要件 のテーブルをご参照ください。

以下のスキャナーパッケージが利用可能です。

Security Essentialsスキャナーパッケージ

Security Essentials スキャナーパッケージは、コストのかからない無料のスキャナーパッケージです。このスキャナーパッケージは、アカウントをスキャンして以下の推奨事項がセットアップされているかどうかをチェックします。

  • 認証ポリシーでは、すべてのユーザーがパスワードを使って認証する場合、多要素認証(MFA)に登録するよう強制しています。

  • 認証コードにパスワードを使用している場合、人間のユーザーはすべて MFA に登録されます。

  • 信頼できる IP アドレスからのアクセスのみを許可するように構成されたアカウントレベルのネットワークポリシーをセットします。

  • あなたのアカウントが ネイティブアプリでのイベント共有を有効化 した場合、 イベントテーブルを設定 すると、アプリケーションプロバイダーと共有されるログメッセージとイベント情報のコピーを受け取ることができます。

このスキャナー・パッケージは、人間ユーザー(つまり、 TYPE プロパティが PERSON または NULL であるユーザー・オブジェクト)であるユーザーのみをスキャンします。詳細については、 ユーザーのタイプ をご参照ください。

このスキャナーパッケージは月に1回実行され、スケジュールを変更することはできません。

デフォルトでは、このスキャナー・パッケージは有効になっており、無効にすることはできません。

Security Essentials スキャナーパッケージにはサーバーレスの計算コストはかかりません。

注意

Security Essentialsパッケージ内のクライアントアプリケーションセキュリティリスクスキャナー --- およびドライバーのバージョンに基づく関連 認証ポリシー --- は、準拠している、変更されていない公式のSnowflakeクライアントドライバーの評価のみを目的としています。このスキャナーは、アクティブな攻撃の場合に存在する可能性のある、変更または誤って表現されたクライアントバージョンのセキュリティ体制を評価したり、考慮したりしません。非公式なクライアントバージョンでこのスキャナーを使用する場合は、お客様の責任となります。

CIS Benchmarksスキャナーパッケージ

CIS Benchmarks スキャナーパッケージを有効にすることで、Center for Internet Security(CIS)Snowflake Benchmarksに対してアカウントを評価するスキャナーが含まれており、セキュリティに関するその他の洞察にアクセスすることができます。CIS Snowflake Benchmarksは、セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスのリストです。CIS Snowflake Benchmarksは、コミュニティの協力と各分野の専門家のコンセンサスによって作成されました。

CIS Snowflake Benchmarksドキュメントを入手するには、 CIS Snowflake Benchmarkウェブサイト をご参照ください。

CIS Snowflake Benchmarksに記載されている推奨事項には、セクションと推奨事項ごとに番号が付けられています。例えば、第1セクションの最初の推奨事項には、 1.1 という番号が付けられています。Findings タブでは、Snowflake CIS Benchmarksを参照するために、トラストセンターが各違反のセクション番号を提供しています。

このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。

スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。

注釈

特定のSnowflake CIS Benchmarksについて、Snowflake は特定のセキュリティ対策を実施したかどうかを判断するだけで、セキュリティ対策がその目的を達成する方法で実施されたかどうかは評価しません。これらのベンチマークでは、違反がないからといって、セキュリティ対策が効果的に実施されていることを保証するものではありません。以下のベンチマークは、セキュリティ実装が目標を達成するように実装されているかどうかを評価しないか、トラストセンターがチェックを行いません:

  • セクション 2 のすべて: アクティビティが監視されていることを確認し、注意が必要なアクティビティに対処するために Snowflake を構成するための推奨事項を提供します。これらのスキャナーには、違反がSnowsightコンソールに表示されない複雑なクエリが含まれています。

    セキュリティ担当者は、 snowflake.trust_center.findings ビューに対して以下のクエリを実行することで、セクション 2 スキャナーから貴重な洞察を得ることができます:

    SELECT start_timestamp,
       end_timestamp,
       scanner_id,
       scanner_short_description,
       impact,
       severity,
       total_at_risk_count,
       AT_RISK_ENTITIES
  FROM snowflake.trust_center.findings
  WHERE scanner_type = 'Threat' AND
        completion_status = 'SUCCEEDED'
  ORDER BY event_id DESC;
    Copy

    出力では、 AT_RISK_ENTITIES 列に、レビューや改善が必要なアクティビティに関する詳細が記載された JSON コンテンツが含まれます。例えば、 CIS_BENCHMARKS_CIS2_1 スキャナーは、高権限権限を監視します。セキュリティ担当者は、このスキャナーから報告されたイベント(以下のサンプルイベントなど)を注意深く確認する必要があります。

    [
  {
    "entity_detail": {
      "granted_by": joe_smith,
      "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
      "modified_on": "2025-01-01 07:00:00.000 Z",
      "role_granted": "ACCOUNTADMIN"
    },
    "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_object_type": "ROLE"
  }
]

    Snowflakeは、セクション2スキャナーのベストプラクティスを次のように提案しています。

    • 十分な監視対策が講じられていると確信が持てない限り、セクション2のスキャナーを無効にしないでください。

    • セクション2スキャナーの違反を定期的に検査するか、アラート用の監視タスクを構成します。具体的には、 snowflake.trust_center.findings ビューの SUGGESTED_ACTION 列で説明されているようにモニタリングを構成します。

  • 3.1: 信頼できる IP アドレスからのアクセスのみを許可するように、アカウントレベルのネットワークポリシーが構成されていることを確認してください。Trust Center は、アカウントレベル ネットワークポリシー がない場合、違反を表示しますが、適切な IP アドレスが許可またはブロックされているかどうかは評価しません。

  • 4.3: 重要なデータについては、 DATA_RETENTION_TIME_IN_DAYS パラメーターが 90 にセットされていることを確認してください。Trust Center は、 Time Travel に関連する DATA_RETENTION_TIME_IN_DAYS パラメーターがアカウントまたは少なくとも 1 つのオブジェクトで 90 日にセットされていない場合、違反を表示しますが、どのデータが重要であると見なされるかは評価しません。

  • 4.10: 機密データに対してデータマスキングが有効になっていることを確認します。Trust Centerは、アカウントに少なくとも1つの マスキングポリシー がなければ違反を表示しますが、機密データが適切に保護されているかどうかは評価しません。トラストセンターは、マスキングポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。

  • 4.11: 機密データに対して行アクセスポリシーが構成されていることを確認してください。Trust Center は、アカウントに少なくとも 1 つの 行アクセスポリシー がない場合、違反を表示しますが、機密データが保護されているかどうかは評価しません。トラストセンターは、行アクセスポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。

Threat Intelligenceスキャナーパッケージ

Threat Intelligence スキャナーパッケージを有効にすると、Trust Centerで追加のセキュリティインサイトにアクセスできます。このパッケージは、以下の基準に基づいてリスクを識別します。

  • ユーザーのタイプ:Snowflakeアカウントユーザーが人間かサービスか。

  • Authentication methods or policies: Whether a user logs in to their account with a password without being enrolled in MFA.

  • ログインアクティビティ:最近、ユーザーがログインしていないかどうか。

  • 異常な失敗率:ユーザーの認証の失敗やジョブエラーが多数あるかどうか。

Threat Intelligenceパッケージの特定のスキャナーは、潜在的なリスクのある行動を示すユーザーを、リスクの高いユーザーとして識別します。例:

危険なヒューマンユーザー (TYPE: PERSON または NULL):

  • 過去90日間に一度も MFA を設定して、パスワードでサインインしていない場合。

  • パスワードは持っているが、 MFA をセットアップしておらず、90日間ログインしていない場合。

危険なサービスユーザー (TYPE: LEGACY_SERVICE):

  • パスワードを持っており、過去90日以上パスワードのみでログオンしたことがある場合。

  • パスワードは持っているが、90日間ログインしていない場合。

失敗率の高いユーザー:

  • このスキャナーは、認証の失敗やジョブエラーの数が多いユーザーを識別します。これは、アカウントの乗っ取りの試み、設定ミス、クォータの超過、権限の問題などを示している可能性があります。

  • このスキャナーパッケージは、リスクを特定した後、見つかった各リスクの重大度と、リスクを軽減するための対策を提供します。

Threat Intelligenceスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。

スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。

次のステップ

言語: 日本語