Trust Center overview¶
Trust Centerを使用して、Snowflakeアカウントの潜在的なセキュリティリスクを評価、監視、および削減することができます。Trust Centerは、 スキャナー で指定されている推奨事項に基づいて、各Snowflakeアカウントを評価します。スキャナーは 調査結果 を生成する可能性があります。 Trust Center findings は、Snowflakeアカウントの潜在的なセキュリティリスクを削減する方法に関する情報を提供します。スキャナーを実行するたびに調査結果が生成されるわけではありません。セキュリティ上の問題がないスキャナー実行は、Trust Centerで調査結果を生成しません。Trust Centerを使用して、アカウントのセキュリティリスクをモニターするのに役立つ プロアクティブ通知を構成 できます。
Common Trust Center use cases¶
Snowflakeアカウントのセキュリティリスクを軽減するためにTrust Centerを使用する方法の詳細については、次のトピックをご参照ください。
制限事項¶
Snowflake reader accounts aren't supported.
Required roles¶
To view or manage scanners and their findings by using the Trust Center, a user with the ACCOUNTADMIN role
must grant the SNOWFLAKE.TRUST_CENTER_VIEWER or SNOWFLAKE.TRUST_CENTER_ADMIN application role to your role.
次の表では、Trust Centerユーザーインターフェースを使用して実行する一般的なタスクと、それらのタスクを実行するためにロールに必要な最小のアプリケーションロールを示しています。
注釈
組織アカウント でTrust Centerを使用している場合、 ACCOUNTADMIN ではなく GLOBALORGADMIN ロールを使用してTrust Centerアプリケーションロールを付与します。
Trust Centerの特定のタブにアクセスするために必要なアプリケーションロールについては、次の表を参照してください。
タスク |
トラストセンタータブ |
Minimum required application role |
メモ |
|---|---|---|---|
Detections |
|
|
|
Violations |
|
|
|
Violations |
|
なし。 |
|
Manage scanners |
|
なし。 |
|
Manage scanners |
|
なし。 |
|
Organization |
|
The Organization tab is visible only in an Organization account. |
Violations および Detections タブの表示のみのアクセス権を提供するカスタムロールを作成できます。また、 Violations および Manage scanners タブを使用して、違反およびスキャナーを管理する別の管理者レベルのロールを作成することもできます。たとえば、これらの2つの異なるロールを作成するには、次のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
注釈
この例は、Trust Centerの使用に完全なロール階層を推奨しているわけではありません。詳細については、 Trust Centerを使用する の各サブセクションをご参照ください。
Using private connectivity with Trust Center¶
Trust Centerはプライベート接続をサポートします。詳細は プライベート接続の使用 をご参照ください。
Trust Center findings¶
Trust Center findings include two kinds of findings: violations and detections. Both findings are generated by scanners as they run in your Snowflake accounts.
You can review findings at the organization level or you can examine more closely the findings for a specific account.
注釈
現在、組織レベルで検出の調査結果を表示することはできません。
Organization-level findings¶
The Organization tab provides insights into the violation findings that are generated in all of the accounts in the organization. This tab includes the following information:
組織内の違反の数。
最も重大な違反があるアカウント。
組織内の各アカウントの違反の数。アカウントを選択すると、そのアカウントの各違反をドリルダウンすることができます。
注釈
You can't use the Organization tab to resolve or reopen violations. To perform these actions, sign in to the account with the violation, and then access the Violations tab.
Organization タブにアクセスするには、以下の要件を満たしている必要があります。
:doc:`組織アカウント </user-guide/organization-accounts>`にサインインします。
ORGANIZATION_SECURITY_VIEWER アプリケーションロールを持つロールを使用します。また、 Trust Centerアプリケーションロール も必要です。
アカウントレベルの調査結果¶
スキャナー は、Trust Centerを通じて違反と検出の調査結果を検索し報告します。違反は時間が経っても持続し、スキャナーの要件に準拠していない構成を表します。検出は1回発生し、一意のイベントを表します。Trust Centerを使用して、アカウントの調査結果を表示および管理できます。詳細については、 Trust Centerを使用する をご参照ください。
違反¶
スキャナーは、任意の時点でエンティティを調査し、現在の構成のみに基づいて違反かどうかを判断します。違反を修正するために構成を変更しない限り、スキャナーは違反を報告し続けます。たとえば、スキャナーは、一部のユーザーが多要素認証( MFA )を構成していない場合に違反を報告します。
The Violations tab provides account-level information about scanner results. It includes the following information:
スキャナー違反を低、中、高、重大度別に色分けした経時的なグラフ。
An interactive list for each violation that is found. Each row in the list contains details about the violation, when the scanner was last run, and how to remediate the violation.
違反により、 有効なスキャナパッケージ の要件に違反するアカウント内の Snowflake 構成を識別できます。各違反について、トラストセンターは違反を是正する方法を説明します。違反を修復した後も、違反を報告したスキャナーを含むスキャナーパッケージの次回のスケジュールされた実行が開始されるまで、または スキャナーパッケージを手動で起動する まで、違反は Violations タブに表示されます。
When you are signed in to the account with the violations, you can use the Violations tab to perform the following actions:
該当する違反をトリアージし、証拠または進捗状況を記録します。
何らかの理由で違反を解決または再開し、監査の必要性を正当化することを記録します。
Sort or filter violations by severity, scanner package, scanner version, scanned time, updated time, or status.
違反のステータス変更の理由を追加して、実行したアクションの明確な記録を提供します。
構成を変更すると違反を修正できます。違反の場合、Trust Centerは修正のための提案を提供します。問題を修正すると、Trust Centerは違反を報告しなくなります。また、ステータスを Resolved に変更して 違反の調査結果のライフサイクル を管理できます。解決済みの違反のメール通知は抑制されます。抑制は、基礎となる構成ミスの修正に向けて作業している間、それ以上の通知を防ぎます。解決済みの違反の調査結果は通知を生成しなくなります。
検出¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
検出 は、特定の時間に発生したイベントを表します。次の調査結果は、検出として報告される可能性のあるイベントの例です。
ログイベントが認識されていない IP アドレスから発生しました。
大量のデータが外部ステージに転送されました。
タスクに、2つの時点の間で高いエラー率が見られました。
スキャナーは、イベントトリガーに基づいて各検出をレポートします。たとえば、スキャナーは疑わしいサインインイベントを検出した場合は検出を報告し、別の時間に別の疑わしいサインインイベントを検出した場合は別の検出を報告します。検出のために、Trust Centerはイベントに関する情報を提供します。イベントは固有であり、過去に発生したものであるため、検出を直接修復することはできません。
Trust Centerが提供する情報に基づいて、検出が有意義であるかどうかを調査することができます。有意義な検出である場合は、将来の類似のイベントを防ぐアクションを取ることができます。
注釈
検出を報告したスキャナーが再度実行された場合、同様の検出を報告する場合としない場合があります。現在、検出のライフサイクルを管理することはできません。
検出の管理の詳細については、 View detections をご参照ください。
スキャナー¶
スキャナー は、以下の基準に基づいて、お客様のアカウントにセキュリティリスクがないかチェックするバックグラウンドプロセスです。
アカウントの構成方法。
異常イベント。
Trust Centerはスキャナーを スキャナーパッケージ にグループ化します。スキャナーの詳細は、スキャナーがアカウント内のどのようなセキュリティリスクをチェックするか、いつスキャナーが実行されるか、アカウントのスキャナーの調査結果に関する通知を誰が受信するかについての情報を提供します。特定のスキャナーの詳細を見るには、 スキャナーの詳細を表示する の手順に従ってください。
スケジュールベースのスキャナー¶
Schedule-based scanners run at specific times, according to their schedules. You must enable a scanner package before you can change the schedule for a scanner. For more information about changing the schedule for a scanner, see Change the schedule for a scanner.
イベント駆動型スキャナー¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
イベント駆動型スキャナー は、関連するイベントに基づく検出を生成します。例としては、通常と異なる IP アドレスからのサインインを検出するスキャナーや、機密パラメーターの変更を検出するスキャナーがあります。イベント駆動型スキャナーが生成する検出は、スケジュールではなくイベントによって発生するため、イベント駆動型スキャナーをスケジュールすることはできません。Trust Centerは、イベントが発生してから1時間以内にイベント駆動型スキャナーによって生成された検出をレポートします。
イベントベースのスキャナーは、スケジュールベースのスキャナーが見逃す可能性のあるイベントを検出できます。たとえば、10分ごとにブール値パラメーターの TRUE または FALSE 状態を検出するスケジュールベースのスキャナーを考えてみましょう。そのパラメーターの値、つまり状態が TRUE から FALSE に切り替わり、10分経過する前に再び TRUE に戻った場合、スケジュールベースのスキャナーによって検出されません。各状態の変化を検出するイベントベースのスキャナーなら、両方のイベントを検出します。
For a current list of event-driven scanners, see Threat Intelligenceスキャナーパッケージ.
注釈
イベント駆動型スキャナーは、 METERING_HISTORY ビュー で複数の項目として表示される可能性があります。
Scanner Packages¶
スキャナーパッケージ には、説明と スキャナーパッケージを有効 にしたときに実行されるスキャナーのリストが含まれています。スキャナーパッケージを有効にすると、設定したスケジュールに関係なく、スキャナーパッケージが直ちに実行されます。スキャナーパッケージを有効にすると、 スキャナーパッケージ内の各スキャナーを有効または無効 にできます。ロールは Manage scanners タブを使用してスキャナーを管理するために、 SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロールを持っている必要があります。詳細については、 Required roles をご参照ください。
以下のスキャナーパッケージが利用可能です。
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:
Scanner packages are deactivated by default, except for the Security Essentialsスキャナーパッケージ.
Security Essentialsスキャナーパッケージ¶
The Security Essentials scanner package scans your account to check whether you have set up the following recommendations:
You have an authentication policy that enforces all human users to enroll in MFA if they use passwords to authenticate.
認証コードにパスワードを使用している場合、人間のユーザーはすべて MFA に登録されます。
You set up an account-level network policy that was configured to only allow access from trusted IP addresses.
あなたのアカウントが ネイティブアプリでのイベント共有を有効化 した場合、 イベントテーブルを設定 すると、アプリケーションプロバイダーと共有されるログメッセージとイベント情報のコピーを受け取ることができます。
This scanner package only scans users that are human users; that is, user objects with a TYPE property of PERSON or NULL. For more information, see ユーザーのタイプ.
The Security Essentials scanner package:
デフォルトで有効になっています。無効化できません。
Runs once a month. You can't change this schedule.
Is a free scanner package that doesn't incur serverless compute cost.
CIS Benchmarksスキャナーパッケージ¶
CIS Benchmarks スキャナーパッケージを有効にすることで、Center for Internet Security(CIS)Snowflake Benchmarksに対してアカウントを評価するスキャナーが含まれており、セキュリティに関するその他の洞察にアクセスすることができます。CIS Snowflake Benchmarksは、セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスのリストです。CIS Snowflake Benchmarksは、コミュニティの協力と各分野の専門家のコンセンサスによって作成されました。
CIS Snowflake Benchmarksドキュメントを入手するには、 CIS Snowflake Benchmarkウェブサイト をご参照ください。
CIS Snowflake Benchmarksに記載されている推奨事項には、セクションと推奨事項ごとに番号が付けられています。例えば、第1セクションの最初の推奨事項には、 1.1 という番号が付けられています。Violations タブでは、Snowflake CIS Benchmarksを参照するために、トラストセンターが各違反のセクション番号を提供しています。
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:
注釈
特定のSnowflake CIS Benchmarksについて、Snowflake は特定のセキュリティ対策を実施したかどうかを判断するだけで、セキュリティ対策がその目的を達成する方法で実施されたかどうかは評価しません。これらのベンチマークでは、違反がないからといって、セキュリティ対策が効果的に実施されていることを保証するものではありません。以下のベンチマークは、セキュリティ実装が目標を達成するように実装されているかどうかを評価しないか、トラストセンターがチェックを行いません:
セクション 2 のすべて: アクティビティが監視されていることを確認し、注意が必要なアクティビティに対処するために Snowflake を構成するための推奨事項を提供します。これらのスキャナーには、違反がSnowsightコンソールに表示されない複雑なクエリが含まれています。
セキュリティ担当者は、
snowflake.trust_center.findingsビューに対して以下のクエリを実行することで、セクション 2 スキャナーから貴重な洞察を得ることができます:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
出力では、
AT_RISK_ENTITIES列に、レビューや改善が必要なアクティビティに関する詳細が記載された JSON コンテンツが含まれます。例えば、 CIS_BENCHMARKS_CIS2_1 スキャナーは、高権限権限を監視します。セキュリティ担当者は、このスキャナーから報告されたイベント(以下のサンプルイベントなど)を注意深く確認する必要があります。[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflakeは、セクション2スキャナーのベストプラクティスを次のように提案しています。
十分な監視対策が講じられていると確信が持てない限り、セクション2のスキャナーを無効にしないでください。
Inspect the violations of section 2 scanners on a regular cadence or configure a monitoring task for detections. Specifically, configure monitoring as described in the
SUGGESTED_ACTIONcolumn of thesnowflake.trust_center.findingsview.
3.1: Ensure that an account-level network policy was configured to only allow access from trusted IP addresses. Trust Center displays a violation if you don't have an account-level network policy, but doesn't evaluate whether the appropriate IP addresses have been allowed or blocked.
4.3: 重要なデータについては、 DATA_RETENTION_TIME_IN_DAYS パラメーターが 90 にセットされていることを確認してください。Trust Center は、 Time Travel に関連する DATA_RETENTION_TIME_IN_DAYS パラメーターがアカウントまたは少なくとも 1 つのオブジェクトで 90 日にセットされていない場合、違反を表示しますが、どのデータが重要であると見なされるかは評価しません。
4.10: 機密データに対してデータマスキングが有効になっていることを確認します。Trust Centerは、アカウントに少なくとも1つの マスキングポリシー がなければ違反を表示しますが、機密データが適切に保護されているかどうかは評価しません。トラストセンターは、マスキングポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
4.11: 機密データに対して行アクセスポリシーが構成されていることを確認してください。Trust Center は、アカウントに少なくとも 1 つの 行アクセスポリシー がない場合、違反を表示しますが、機密データが保護されているかどうかは評価しません。トラストセンターは、行アクセスポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
Threat Intelligenceスキャナーパッケージ¶
Threat Intelligence スキャナーパッケージを有効にすると、Trust Centerで追加のセキュリティインサイトにアクセスできます。このパッケージは、以下の基準に基づいてリスクを識別します。
ユーザーのタイプ:Snowflakeアカウントユーザーが人間かサービスか。
Authentication methods or policies: Whether a user logs in to their account with a password without being enrolled in MFA.
ログインアクティビティ:最近、ユーザーがログインしていないかどうか。
異常な失敗率:ユーザーの認証の失敗やジョブエラーが多数あるかどうか。
New! 検出の調査結果: 検出の調査結果を報告するすべての新しいスキャナー 。
Specific scanners in the Threat Intelligence package identify users that demonstrate potentially risky behavior as risky. The following table provides examples:
Threat Intelligence scanners¶
Scanner |
型 |
説明 |
|---|---|---|
人間のユーザーをパスワードのみのサインインから移行させる |
スケジュールベース |
Identifies human users who (a) haven't set up MFA and signed in with a password at least once in the past 90 days and (b) have a password but haven't set up MFA and haven't signed in for 90 days. |
パスワードのみのサインインからレガシーサービスユーザーを移行させる |
スケジュールベース |
Identifies legacy service users who have a password and (a) have signed in with only a password at least once in the past 90 days and (b) haven't signed in for 90 days. |
認証の失敗が多いユーザーを識別する |
スケジュールベース |
Identifies users with a high number of authentication failures or job errors, which might indicate attempted takeovers of an account, misconfigurations, exceeded quotas, or permission issues. Provides a risk-severity finding and a risk-mitigation recommendation. |
New Threat Intelligence scanners¶
プレビュー機能 --- オープン
すべてのアカウントで利用可能です。
スケジュールベースのスキャナー および イベントベースのスキャナー 両方とも検出をレポートできます。このプレビューでは、両方のタイプの新しいスキャナーが追加されます。追加されたすべてのスキャナーは違反の調査結果ではなく検出を生成します。
This preview adds the following new scanners to the Threat Intelligenceスキャナーパッケージ:
Scanner |
型 |
説明 |
|---|---|---|
認証ポリシーの変更 |
イベント駆動型 |
アカウントレベルとユーザーレベルの両方で 認証ポリシー への変更を検出します。 |
休止状態のユーザーのサインイン |
イベント駆動型 |
サインイン履歴イベントを分析し、過去90日間にサインインしていないユーザーのサインインにフラグを立てます。 |
長時間実行クエリのあるエンティティ |
スケジュールベース |
実行時間の長いクエリと関連するユーザーおよびクエリ IDs を検出します。実行時間の長いクエリとは、過去7日間またはスキャナーが最後に実行された時刻から(いずれか最近の方)の平均クエリ期間に対して標準偏差2の期間を持つクエリです。このスキャナーを1日に1回実行するように設定することをお勧めします。このスキャナーは、30日間のキャッシュを構築し、その後保存するため、初期コストが高くなる可能性があります。Trust Centerは、このスキャナーが初めて実行されたときに検出イベントを報告します。 |
ログイン保護 |
イベント駆動型 |
通常とは異なる IP アドレスからの最近のログインを検出します。 重要 これらのイベントは 悪意のある IP 保護サービス から発生し、早急な対処が必要です。 |
機密性の高いパラメーターの保護 |
イベント駆動型 |
次の機密性の高いアカウントレベルのパラメーター( PREVENT_UNLOAD_TO_INLINE_URL 、 REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION および REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION )の無効化をレポートします。このスキャナーは、これらのパラメーターの |
管理者権限を持つユーザー |
スケジュールベース |
既定のロールが管理者ロールである新規に作成されたユーザー、および彼らに管理者ロールを付与する既存のユーザーへの最近の付与を検出します。 |
セッションで異常なアプリケーションを使用するユーザー |
スケジュールベース |
Snowflakeに接続する異常なクライアントアプリケーションを使用したユーザーを検出します。 |
Threat Intelligenceスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics: