単一要素パスワードサインインの廃止計画

Snowflakeは、すべてのお客様のセキュリティ体制を向上させるため、パスワードを使用するすべてのユーザーに対して多要素認証 (MFA) を要求し、すべてのサービスユーザーに対してパスワードを使用しないよう変更を展開しています。これらの変更は、複数の動作変更リリース (BCRs) にわたって展開されます。このトピックでは、単一要素パスワードによるサインインがどのように廃止されるかについて説明します。

注釈

このトピックで説明する非推奨プロセスは、リーダーアカウント、オープンカタログアカウント、およびトライアルアカウントには適用されません。このタイプのアカウントには、引き続き単一要素パスワードでサインインできます。

ロールアウト・プロセスの理解

単一要素パスワードサインインの廃止の展開は、複数のマイルストーンに分かれています。

各マイルストーンは、Snowflakeが確立した動作変更リリースプロセスを使用して実施されます。このプロセスにおいて、Snowflakeは 動作変更バンドル を毎月リリースしています。変更は動作変更バンドルに含まれるため、新たな制限の施行は、そのバンドルがライフサイクルを終える時期と一致することになります。

各マイルストーンの実施計画を立てることができるように、行動変容バンドルのライフサイクルの詳細情報については、 動作変更ポリシー を参照してください。

人間ユーザーとサービスユーザー

Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。

管理者は、ユーザーオブジェクトの TYPE パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。

  • 人間ユーザー用は、 TYPE=PERSON です。TYPE パラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。

  • サービスユーザー用は、 TYPE=SERVICE です。

    注釈

    LEGACY_SERVICE ユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプを LEGACY_SERVICE にセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。

人間ユーザーとサービス・ユーザーを区別することは、このロールアウトがこれら2つのタイプのユーザーに異なる影響を与えるため、重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、単一要素パスワードサインインの非推奨は、以下のように構成されています。

  • パスワード認証を使用しているすべての 人間ユーザー は、第二要素認証を使用する必要があります。Snowflakeがこの目標をどのように達成していくかを示したタイムラインについては、 人間ユーザーに対するマイルストーン を参照してください。

  • 現在パスワード認証を使用しているすべての サービスユーザー は、より安全な認証方法に移行する必要があります。Snowflakeがこの目標をどのように達成していくかを示したタイムラインについては、 ユーザーにとってのマイルストーン を参照してください。

非推奨タイムライン

以下のテーブルは、単一要素パスワードによるサインインが廃止されるまでのスケジュールを示しています。

各日付範囲は 動作変更バンドルのライフサイクル に対応します。マイルストーンは、変更をオプトインする必要がある期間から始まります。

予定日

影響を受けるユーザー

マイルストーン

2025年9月~2026年1月

人間ユーザー

すべてのSnowsightユーザーに対して MFA が必須

2025年10月~2026年2月

サービスユーザー

新規のレガシー・サービス・ユーザーなし

2026年2月~2026年4月

人間ユーザー

すべての新規ユーザーに対して MFA が必須

2026年5月~2026年7月

人間ユーザー

すべての人間ユーザーに対して MFA が必須

2026年6月~2026年8月

サービスユーザー

レガシー・サービス・ユーザーなし

人間ユーザーに対するマイルストーン

目標: パスワードで認証するすべてのユーザーには、第二要素認証を使用する必要があります。

この目標を達成するための展開は、以下のマイルストーンで構成されています。各マイルストーンは、動作変更バンドルがリリースされる(つまり、テスト期間が始まる)ことから始まり、そのバンドルが一般的に有効になることで終了します。マイルストーンに関連する制限は、バンドルが有効になるとすぐに実施されます。

2025_06バンドル(2025年9月~2026年1月)[1]_ : 必須 MFA すべての*Snowsight*ユーザー向け(新規および既存)

人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。

次のことに留意してください。

  • このマイルストーンは Snowsight にのみ影響します。人間ユーザーは、 Snowsight を使用して MFA に登録した後でも、ビジネスインテリジェンス (BI) や同様のツールから Snowflake サービスにアクセスするために、引き続き単一要素パスワードを使用できます。これらの他のツールに MFA を強制できます。既に MFA に登録し、 Snowsight の外部で MFA を使用しているユーザーは、引き続き MFA を使用します。

  • Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。

  • Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。

  • 単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。

  • レガシーサービスユーザー (TYPE=LEGACY_SERVICE) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

発表予定のバンドル(2026年2月~2026年4月)[1]_ : 必須 MFA すべて新規 の人間ユーザー向け

動作変更バンドルが有効になった 後に 作成されたすべての人間ユーザーは、BI ツールまたは類似のを使用するユーザーを含め、パスワードで認証する際に2番目の要素を使用する必要があります。

バンドルが有効になる 前に に存在していた人間ユーザーは影響を受けません。これらのパスワード・ユーザーは、2026年3月まで、 BI ツールまたは同様のもの(Snowsight 以外のもの)を第二認証なしで使用し続けることができます。

例えば、管理者が2025年9月10日にこのマイルストーンに関連する動作変更バンドルにオプトインしたとします。この日以降に作成されたすべての人間ユーザーは、表面に関係なく、第二認証を使用する必要があります。この日付より前に存在していた人間ユーザーは、 BI ツールでパスワードのみの認証を引き続き使用できますが、 Snowsight は使用できません。

発表予定のバンドル(2026年5月~2026年7月)[1]_ : 必須 MFA すべて の人間ユーザー向け(例外なし)

このマイルストーンに関連する動作変更バンドルが有効になると、すべての新規および既存の人間のユーザーは、例外なく、パスワードで認証するときに第 2 要素を使用する必要があります。

ユーザーにとってのマイルストーン

目標:すべてのサービスユーザーは、安全な形式の認証を使用する必要があります。

この目標を達成するための展開は、以下のマイルストーンで構成されています。各マイルストーンは、動作変更バンドルがリリースされた時点から始まり、そのバンドルが一般的に有効になった時点で終了します。マイルストーンに関連する制限は、バンドルが有効になるとすぐに実施されます。

TYPE=SERVICE のユーザーは、例外なくパスワード認証を使用できません。サービスやアプリケーションにパスワードによる認証を一時的に許可するため、Snowflakeは LEGACY_SERVICE ユーザータイプを提供しました。単一要素パスワードによるサインインからの移行は、この LEGACY_SERVICE ユーザータイプの段階的な廃止に重点を置いているため、人間以外のユーザーはすべて SERVICE タイプでなければなりません。

2025_07バンドル(2025年10月~2026年2月)[2]_ : 新規 のレガシーサービスユーザーなし

動作変更バンドルが有効になった後に作成されたすべての人間以外のユーザーは、 SERVICE のタイプでなければならず、パスワードを使用することができません。新しいユーザーオブジェクトを作成する際、 LEGACY_SERVICE タイプは使用できなくなりました。また、管理者は既存のユーザーのタイプを LEGACY_SERVICE に変更することはできません。

例えば、管理者が2025年12月10日にこのマイルストーンに関連する動作変更バンドルにオプトインしたとします。この日以降、 CREATE USER または ALTER USER コマンドを実行する場合、 TYPE=LEGACY_SERVICE は無効なオプションです。

バンドル予定 (2026年6月~2026年8月) [2] : レガシーユーザーなし

このマイルストーンに関連する動作変更バンドルが有効になっている場合、すべての人間以外のユーザーは、認証にパスワードを使用することができなくなります。

LEGACY_SERVICE ユーザータイプは完全に非推奨です。TYPE=LEGACY_SERVICE を持つ既存のユーザーオブジェクトはすべて TYPE=SERVICE に移行され、パスワードが使用できなくなります。

言語: 日本語