単一要素パスワードサインインの廃止計画¶

To improve the security posture of all of its customers, Snowflake is rolling out changes to require multi-factor authentication (MFA) for all human users using passwords, and disallow passwords for all service users. This topic describes how single-factor password sign-ins will be deprecated so you can plan accordingly.

重要

2025年10月、Snowflakeはこのトピックで取り上げたタイムラインを簡略化しました。新しいスケジュールでは、最初のマイルストーンが統合され、最終施行日が2026年8月から2026年10月に延長されます。この変更は、 MFA を採用するプロセスを合理化するもので、当初のマイルストーンのスケジュールを達成することの複雑さに関するお客様からの直接のフィードバックに応じて行われました。

この改訂されたタイムラインは、組織に対し、パスワードに依存している現在のワークロードの移行を計画するための時間を多く与え、明確性を高めるものです。また、これによって、移行を容易にするために最近リリースされたセキュリティの改良を採用する機会も得られます。これらのセキュリティ改善には、サービスワークロードのシークレットレス認証向けのワークロードIDフェデレーションと、緊急時シナリオに備える新しい MFA メソッドとしてワンタイムパスコード（OTP）が含まれます。

The deprecation process described in this topic does not apply to reader accounts or trial accounts. You can continue to sign in to these types of accounts with a single-factor password.

人間ユーザーとサービスユーザー¶

Snowflakeのユーザーオブジェクトは、必ずしも人間ユーザーに対応しているとは限りません。アプリケーションやサービスなど、人の手を介さずにSnowflakeにサインインするユーザーがいます。これらのユーザーは サービスユーザー と見なされます。

管理者は、ユーザーオブジェクトの TYPE パラメーターを使用して、ユーザーが人間ユーザーかサービスユーザーかを定義します。

人間ユーザー用は、 TYPE=PERSON です。TYPE パラメーターをセットしないか、 NULL にセットすると、ユーザーは人間ユーザーとして扱われます。
サービスユーザー用は、 TYPE=SERVICE です。

注釈

LEGACY_SERVICE ユーザータイプは、サービスユーザーを安全な認証コードに移行させるのに役立ちます。ユーザータイプを LEGACY_SERVICE にセットすると、アプリケーションやサービスであるにもかかわらず、ユーザーは一時的にパスワードで認証コードできるようになります。このトピックで説明するロールアウトでは、このユーザータイプを段階的に廃止していきます。

人間ユーザーとサービス・ユーザーを区別することは、このロールアウトがこれら2つのタイプのユーザーに異なる影響を与えるため、重要です。両方のタイプのユーザーのセキュリティ体制を強化するために、単一要素パスワードサインインの非推奨は、以下のように構成されています。

All human users who use password authentication will be required to use a second factor of authentication.
All legacy service users who currently use password authentication will be required to migrate to a more secure authentication method.

非推奨タイムライン¶

以下のテーブルは、単一要素パスワードによるサインインが廃止されるまでのスケジュールを示しています。

予定日	影響を受けるユーザー	マイルストーン
2025年9月～2026年1月	人間ユーザー	すべてのSnowsightユーザーに対して MFA が必須
2026年5月～2026年7月	人間ユーザー Legacy service users	Strong authentication for NEW users
Aug. 2026 - Oct. 2026	人間ユーザー Legacy service users	Strong authentication for ALL users

Milestone 1: Mandatory MFA for all Snowsight users (new and existing)¶

Milestone 1 is implemented using Snowflake's established behavior change release process. In this process, Snowflake releases a behavior change bundle each month. Because changes will be included in a behavior change bundle, enforcement of the new restrictions coincide with the lifecycle of the bundle.

For more information about the lifecycle of behavior change bundles so you can plan for the enforcement of this milestone, see 動作変更ポリシー.

2025_06 bundle (September 2025 - January 2026) [1]

目標	新しい動作
すべての Snowsight ユーザーに MFA を義務付ける	人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。次のことに留意してください。このマイルストーンは Snowsight にのみ影響します。人間ユーザーは、 Snowsight を使用して MFA に登録した後でも、ビジネスインテリジェンス (BI) や同様のツールから Snowflake サービスにアクセスするために、引き続き単一要素パスワードを使用できます。これらの他のツールに MFA を強制できます。既に MFA に登録し、 Snowsight の外部で MFA を使用しているユーザーは、引き続き MFA を使用します。 Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。 Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。レガシーサービスユーザー (`TYPE=LEGACY_SERVICE`) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

目標

新しい動作

すべての Snowsight ユーザーに MFA を義務付ける

人間ユーザーがパスワードを使用して Snowsight にアクセスする場合、例外なく第二要素認証が必要です。

次のことに留意してください。

このマイルストーンは Snowsight にのみ影響します。人間ユーザーは、 Snowsight を使用して MFA に登録した後でも、ビジネスインテリジェンス (BI) や同様のツールから Snowflake サービスにアクセスするために、引き続き単一要素パスワードを使用できます。これらの他のツールに MFA を強制できます。既に MFA に登録し、 Snowsight の外部で MFA を使用しているユーザーは、引き続き MFA を使用します。
Snowsight にオプションの MFA 登録を実装した認証ポリシーは上書きされます。
Snowflake OAuth で認証するユーザーは、 Snowsight のログインインターフェイスを使用するため、 MFA に登録する必要があります。
単一サインオンユーザーは、この変更による影響はなく、変更なく Snowsight にアクセスできます。
レガシーサービスユーザー (TYPE=LEGACY_SERVICE) は、この変更による影響はなく、引き続き単一要素パスワードで Snowsight にアクセスできます。

このバンドルの変更が、ユーザーのパスワードと SSO による認証にどう影響するのかについての詳細は、単一要素パスワードによるSnowsightログインでの今後の多要素認証（MFA）の強制ナレッジベースの記事）をご参照ください。

マイルストーン2:新規ユーザー向けの強力な認証¶

マイルストーン2は、3ヶ月の間に順次アカウントに実施されます。アカウントに強制施行日が通知されます。

May 2026 - July 2026 [2]

目標	新しい動作
Mandatory MFA for all new human users	All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar. Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone. For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.
No new legacy service users	All non-human users created after the milestone is enforced must be of type `SERVICE`, which prevents them from using a password. The `LEGACY_SERVICE` type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to `LEGACY_SERVICE`. For example, suppose this milestone is enforced on May 15, 2026. After this date, `TYPE=LEGACY_SERVICE` is an invalid option when executing a CREATE USER or ALTER USER command.

目標

新しい動作

Mandatory MFA for all new human users

All human users that are created after this milestone is enforced must use a second factor when authenticating with a password, including those using BI tools or similar.

Human users who existed before the milestone is enforced are not affected. These password users can continue to use BI tools or similar (anything but Snowsight) without a second factor of authentication until the next milestone.

For example, suppose this milestone is enforced on May 15, 2026. All human users created on or after this date must use a second factor of authentication regardless of the surface. Human users who existed before this date can continue to use password-only authentication for BI tools, but not Snowsight.

No new legacy service users

All non-human users created after the milestone is enforced must be of type SERVICE, which prevents them from using a password. The LEGACY_SERVICE type is no longer available when creating a new user object. In addition, administrators cannot change the type of an existing user to LEGACY_SERVICE.

For example, suppose this milestone is enforced on May 15, 2026. After this date, TYPE=LEGACY_SERVICE is an invalid option when executing a CREATE USER or ALTER USER command.

マイルストーン3:全ユーザー向けの強力な認証¶

マイルストーン3は、3ヶ月の間に順次アカウントに実施されます。アカウントに強制施行日が通知されます。

2026年8月～2026年10月 [3]

目標	新しい動作
Mandatory MFA for all human users	When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.
No legacy service users	When this milestone is enforced, all non-human users are blocked from using a password to authenticate. `LEGACY_SERVICE` ユーザータイプは完全に非推奨です。`TYPE=LEGACY_SERVICE` を持つ既存のユーザーオブジェクトはすべて `TYPE=SERVICE` に移行され、パスワードが使用できなくなります。

目標

新しい動作

Mandatory MFA for all human users

When this milestone is enforced, all new and existing human users must use a second factor when authenticating with a password, with no exceptions.

No legacy service users

When this milestone is enforced, all non-human users are blocked from using a password to authenticate.

LEGACY_SERVICE ユーザータイプは完全に非推奨です。TYPE=LEGACY_SERVICE を持つ既存のユーザーオブジェクトはすべて TYPE=SERVICE に移行され、パスワードが使用できなくなります。

単一要素パスワードサインインの廃止計画¶

人間ユーザーとサービスユーザー¶

非推奨タイムライン¶

Milestone 1: Mandatory MFA for all Snowsight users (new and existing)¶

マイルストーン2:新規 ユーザー向けの強力な認証¶

マイルストーン3:全ユーザー向けの強力な認証¶

マイルストーン2:新規ユーザー向けの強力な認証¶