トラストセンター¶
注釈
Snowflakeリーダーアカウントはサポートされていません。
トラストセンターを使用して、セキュリティリスクについて、アカウントを評価しモニターすることができます。Trust Centerは、スケジュールに従って スキャナー で指定された推奨事項に対してアカウントを評価しますが、 スキャナーの実行頻度を変更することができます。アカウントが有効なスキャナーの推奨事項のいずれかに違反している場合、Trust Centerは、 セキュリティリスクのリスト、およびそれらのリスクを軽減する方法に関する情報を提供します。
一般的なユースケース¶
必要な権限¶
ACCOUNTADMIN ロール を持つユーザーは、アクセスするトラストセンタータブに応じて、自身のロールに SNOWFLAKE.TRUST_CENTER_VIEWER
または SNOWFLAKE.TRUST_CENTER_ADMIN
アプリケーションロール を付与する必要があります。
Trust Centerの特定のタブにアクセスするために必要なアプリケーションロールについては、次の表を参照してください。
トラストセンタータブ |
必要なアプリケーションロール |
---|---|
Findings |
|
Scanner Packages |
|
例えば、 Findings タブにアクセスするための別のロールと、 Scanner Packages タブにアクセスするための別のロールを作成して付与するには、ACCOUNTADMIN ロールを使用して以下のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
プライベート接続の使用¶
Trust Centerはプライベート接続をサポートします。詳細は プライベート接続の使用 をご参照ください。
調査結果¶
Trust Centerには、以下の情報を提供する Findings タブがあります。
スキャナー違反を低、中、高、重大度別に色分けした経時的なグラフ。
発見された各違反に対する勧告のインタラクティブなリスト。各推奨には、違反の詳細、スキャナーの最終実行日、違反の修正方法が含まれています。
違反により、 有効なスキャナパッケージ の要件に違反するアカウント内の Snowflake 構成を識別できます。各違反について、トラストセンターは違反を是正する方法を説明します。違反を修復した後も、違反を報告したスキャナーを含むスキャナーパッケージの次回のスケジュールされた実行が開始されるまで、または スキャナーパッケージを手動で起動する まで、違反は Findings タブに表示されます。
Findings タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 必要な権限 をご参照ください。
スキャナー¶
スキャナーは、アカウントの設定方法に基づいて、セキュリティ上のリスクがないかどうかを断続的にチェックするバックグラウンドプロセスです。スキャナーはスキャナーパッケージとしてまとめられています。スキャナーには、お客様のアカウントでどのようなセキュリティリスクをチェックするかという情報と、それを含むスキャナーパッケージが含まれています。
スキャナーパッケージには、説明と スキャナーパッケージを有効 にしたときに実行されるスキャナーのリストが含まれています。スキャナーパッケージを有効にすると、設定したスケジュールに関係なく、スキャナーパッケージが直ちに実行されます。
デフォルトでは、 Security Essentialsスキャナーパッケージ を除き、スキャナーパッケージは無効化されています。
スキャナーパッケージはスケジュールに従って実行されます。スキャナー パッケージでスケジュールを変更できる場合は、スケジュールを変更する前にスキャナー パッケージを有効にする必要があります。
スキャナー パッケージを有効にした後、 スキャナー パッケージで個々のスキャナーを有効または無効にする ことができます。また、 スキャナー パッケージで、個々のスキャナのスケジュールを変更することもできます。
Scanner Packages タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 要件 のテーブルをご参照ください。
以下のスキャナーパッケージが利用可能です。
Security Essentialsスキャナーパッケージ¶
Security Essentials スキャナーパッケージは、コストのかからない無料のスキャナーパッケージです。このスキャナーパッケージは、アカウントをスキャンして以下の推奨事項がセットアップされているかどうかをチェックします。
認証ポリシーでは、すべてのユーザーがパスワードを使って認証する場合、多要素認証(MFA)に登録するよう強制しています。
認証コードにパスワードを使用している場合、人間のユーザーはすべて MFA に登録されます。
信頼できる IP アドレスからのアクセスのみを許可するように構成されたアカウントレベルのネットワークポリシーをセットします。
あなたのアカウントが ネイティブアプリでのイベント共有を有効化 した場合、 イベントテーブルを設定 すると、アプリケーションプロバイダーと共有されるログメッセージとイベント情報のコピーを受け取ることができます。
このスキャナー・パッケージは、人間ユーザー(つまり、 TYPE プロパティが PERSON または NULL であるユーザー・オブジェクト)であるユーザーのみをスキャンします。詳細については、 ユーザーのタイプ をご参照ください。
このスキャナーパッケージは2週間ごとに実行され、スケジュールを変更することはできません。
デフォルトでは、このスキャナー・パッケージは有効になっており、無効にすることはできません。
Security Essentials スキャナーパッケージにはサーバーレスの計算コストはかかりません。
CIS Benchmarksスキャナーパッケージ¶
CIS Benchmarks スキャナーパッケージを有効にすることで、Center for Internet Security(CIS)Snowflake Benchmarksに対してアカウントを評価するスキャナーが含まれており、セキュリティに関するその他の洞察にアクセスすることができます。CIS Snowflake Benchmarksは、セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスのリストです。CIS Snowflake Benchmarksは、コミュニティの協力と各分野の専門家のコンセンサスによって作成されました。
CIS Snowflake Benchmarksドキュメントを入手するには、 CIS Snowflake Benchmarkウェブサイト をご参照ください。
CIS Snowflake Benchmarksに記載されている推奨事項には、セクションと推奨事項ごとに番号が付けられています。例えば、第1セクションの最初の推奨事項には、 1.1
という番号が付けられています。 Findings タブでは、Snowflake CIS Benchmarksを参照するために、トラストセンターが各違反のセクション番号を提供しています。
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。
注釈
特定のSnowflake CIS Benchmarksについて、Snowflake は特定のセキュリティ対策を実施したかどうかを判断するだけで、セキュリティ対策がその目的を達成する方法で実施されたかどうかは評価しません。これらのベンチマークでは、違反がないからといって、セキュリティ対策が効果的に実施されていることを保証するものではありません。以下のベンチマークは、セキュリティ実装が目標を達成するように実装されているかどうかを評価しないか、トラストセンターがチェックを行いません:
セクション 2 のすべて: アクティビティが監視されていることを確認し、注意が必要なアクティビティに対処するために Snowflake を構成するための推奨事項を提供します。これらのスキャナーには、違反がSnowsightコンソールに表示されない複雑なクエリが含まれています。
セキュリティ担当者は、
snowflake.trust_center.findings
ビューに対して以下のクエリを実行することで、セクション 2 スキャナーから貴重な洞察を得ることができます:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
出力では、
AT_RISK_ENTITIES
列に、レビューや改善が必要なアクティビティに関する詳細が記載された JSON コンテンツが含まれます。例えば、 CIS_BENCHMARKS_CIS2_1 スキャナーは、高権限権限を監視します。セキュリティ担当者は、このスキャナーから報告されたイベント(以下のサンプルイベントなど)を注意深く確認する必要があります。[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflakeは、セクション2スキャナーのベストプラクティスを次のように提案しています。
十分な監視対策が講じられていると確信が持てない限り、セクション2のスキャナーを無効にしないでください。
セクション2スキャナーの違反を定期的に検査するか、アラート用の監視タスクを構成します。具体的には、
snowflake.trust_center.findings
ビューのSUGGESTED_ACTION
列で説明されているようにモニタリングを構成します。
3.1: 信頼できる IP アドレスからのアクセスのみを許可するように、アカウントレベルのネットワークポリシーが構成されていることを確認してください。Trust Center は、アカウントレベル ネットワークポリシー がない場合、違反を表示しますが、適切な IP アドレスが許可またはブロックされているかどうかは評価しません。
4.3: 重要なデータについては、 DATA_RETENTION_TIME_IN_DAYS パラメーターが 90 にセットされていることを確認してください。Trust Center は、 Time Travel に関連する DATA_RETENTION_TIME_IN_DAYS パラメーターがアカウントまたは少なくとも 1 つのオブジェクトで 90 日にセットされていない場合、違反を表示しますが、どのデータが重要であると見なされるかは評価しません。
4.10: 機密データに対してデータマスキングが有効になっていることを確認します。Trust Centerは、アカウントに少なくとも1つの マスキングポリシー がなければ違反を表示しますが、機密データが適切に保護されているかどうかは評価しません。トラストセンターは、マスキングポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
4.11: 機密データに対して行アクセスポリシーが構成されていることを確認してください。Trust Center は、アカウントに少なくとも 1 つの 行アクセスポリシー がない場合、違反を表示しますが、機密データが保護されているかどうかは評価しません。トラストセンターは、行アクセスポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
Threat Intelligenceスキャナーパッケージ¶
Threat Intelligence スキャナーパッケージを有効にすることで、追加のセキュリティインサイトにアクセスできます。 ユーザータイプ、 認証方法、 認証ポリシー に基づいて、危険なユーザーを発見することができます。脅威インテリジェンススキャナーパッケージは、ユーザーが以下の基準のいずれかに該当する場合、危険なユーザーとして識別します。
危険なヒューマンユーザー (TYPE: PERSON または NULL):
過去90日間に一度も MFA を設定して、パスワードでサインインしていない場合。
パスワードは持っているが、 MFA をセットアップしておらず、90日間ログインしていない場合。
危険なサービスユーザー (TYPE: LEGACY_SERVICE):
パスワードを持っており、過去90日以上パスワードのみでログオンしたことがある場合。
パスワードは持っているが、90日間ログインしていない場合。
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。