トラストセンター¶
注釈
Snowflakeリーダーアカウントはサポートされていません。
トラストセンターを使用して、セキュリティリスクについて、アカウントを評価しモニターすることができます。Trust Centerは、スケジュールに従って スキャナー で指定された推奨事項に対してアカウントを評価しますが、 スキャナーの実行頻度を変更することができます。アカウントが有効なスキャナーの推奨事項のいずれかに違反している場合、Trust Centerは、 セキュリティリスクのリスト、およびそれらのリスクを軽減する方法に関する情報を提供します。
一般的なユースケース¶
必要な権限¶
ACCOUNTADMIN ロール を持つユーザーは、アクセスするトラストセンタータブに応じて、自身のロールに SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール を付与する必要があります。
Trust Centerの特定のタブにアクセスするために必要なアプリケーションロールについては、以下のテーブルをご参照ください。
トラストセンタータブ |
必要なアプリケーションロール |
|---|---|
Findings |
|
Scanner Packages |
|
例えば、 Findings タブにアクセスするための別のロールと、 Scanner Packages タブにアクセスするための別のロールを作成して付与するには、ACCOUNTADMIN ロールを使用して以下のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
プライベート接続の使用¶
Trust Centerはプライベート接続をサポートします。詳細は プライベート接続の使用 をご参照ください。
調査結果¶
Trust Centerには、以下の情報を提供する Findings タブがあります。
スキャナー違反を低、中、高、重大度別に色分けした経時的なグラフ。
発見された各違反に対する勧告のインタラクティブなリスト。各推奨には、違反の詳細、スキャナーの最終実行日、違反の修正方法が含まれています。
調査結果により、 有効なスキャナーパッケージ の要件に違反するアカウント内のSnowflakeの構成を特定することができます。各違反について、トラストセンターは違反を是正する方法を説明します。違反を修復した後も、違反を報告したスキャナーを含むスキャナーパッケージの次回のスケジュールされた実行が開始されるまで、または スキャナーパッケージを手動で起動する まで、違反は Findings タブに表示されます。
Findings タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 必要な権限 をご参照ください。
スキャナー¶
スキャナーは、アカウントの設定方法に基づいて、セキュリティ上のリスクがないかどうかを断続的にチェックするバックグラウンドプロセスです。スキャナーはスキャナーパッケージとしてまとめられています。スキャナーには、お客様のアカウントでどのようなセキュリティリスクをチェックするかという情報と、それを含むスキャナーパッケージが含まれています。
スキャナーパッケージには、説明と スキャナーパッケージを有効 にしたときに実行されるスキャナーのリストが含まれています。スキャナーパッケージを有効にすると、設定したスケジュールに関係なく、スキャナーパッケージが直ちに実行されます。
デフォルトでは、 Security Essentialsスキャナーパッケージ を除き、スキャナーパッケージは無効化されています。
スキャナーパッケージはスケジュールに従って実行されます。 Security Essentialsスキャナーパッケージ スキャナーパッケージのスケジュールは変更できませんが、以下のスキャナーパッケージのスケジュールは変更できます。
スケジュールを変更する前に、まずスキャナーパッケージを有効にする必要があります。
Scanner Packages タブにアクセスするには、特定のアプリケーションロールが必要です。詳細については、 要件 のテーブルをご参照ください。
以下のスキャナーパッケージが利用可能です。
Security Essentialsスキャナーパッケージ¶
Security Essentials スキャナーパッケージは、費用が発生しない無料のスキャナーパッケージです。このスキャナーパッケージは、Snowflakeが推奨するアカウント設定をチェックするためにアカウントをスキャンし、パスワード認証を使用するすべてのユーザーに対して多要素認証(MFA)がオンになっていることをチェックします。
このスキャナーは、 TYPE プロパティ が PERSON または NULL に設定されているユーザーのみをスキャンします。
このスキャナーパッケージは2週間ごとに実行され、スケジュールを変更することはできません。
デフォルトでは、このスキャナーパッケージは有効になっており、無効にすることはできません。
Security Essentials スキャナーパッケージでは、サーバーレス計算コストは発生しません。
CIS Benchmarksスキャナーパッケージ¶
CIS Benchmarks スキャナーパッケージを有効にすることで、Center for Internet Security(CIS)Snowflake Benchmarksに対してアカウントを評価するスキャナーが含まれており、セキュリティに関するその他の洞察にアクセスすることができます。CIS Snowflake Benchmarksは、セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスのリストです。CIS Snowflake Benchmarksは、コミュニティの協力と各分野の専門家のコンセンサスによって作成されました。
CIS Snowflake Benchmarksドキュメントを入手するには、 CIS Snowflake Benchmarkウェブサイト をご参照ください。
CIS Snowflake Benchmarksに記載されている推奨事項には、セクションと推奨事項ごとに番号が付けられています。例えば、第1セクションの最初の推奨事項には、 1.1 という番号が付けられています。 Findings タブでは、Snowflake CIS Benchmarksを参照するために、トラストセンターが各違反のセクション番号を提供しています。
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。
注釈
特定のSnowflake CIS Benchmarksについて、Snowflake は特定のセキュリティ対策を実施したかどうかを判断するだけで、セキュリティ対策がその目的を達成する方法で実施されたかどうかは評価しません。これらのベンチマークでは、違反がないからといって、セキュリティ対策が効果的に実施されていることを保証するものではありません。以下のベンチマークは、セキュリティ実装が目標を達成するように実装されているかどうかを評価しないか、トラストセンターがチェックを行いません:
セクション2のすべて: 監視と警告
3.1: アカウントレベルのネットワークポリシーが、信頼できる IP アドレスからのアクセスのみを許可するように設定されていることを確認してください。アカウントレベル ネットワークポリシー がない場合、Trust Centerは違反を表示しますが、適切な IP アドレスが許可またはブロックされているかどうかは評価しません。
4.3: クリティカルなデータについては、 DATA_RETENTION_TIME_IN_DAYS パラメーターが 90 に設定されていることを確認します。Trust Centerは、 Time Travel に関連するパラメーター DATA_RETENTION_TIME_IN_DAYS が、アカウントまたは少なくとも1つのオブジェクトについて90日に設定されていない場合、違反を表示しますが、どのデータが重要であるかは評価しません。
4.10: 機密データに対してデータマスキングが有効になっていることを確認します。Trust Centerは、アカウントに少なくとも1つの マスキングポリシー がなければ違反を表示しますが、機密データが適切に保護されているかどうかは評価しません。トラストセンターは、マスキングポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
4.11: 行アクセスポリシーが機密データ用に設定されていることを確認してください。Trust Centerは、アカウントに少なくとも1つの 行アクセスポリシー がなければ違反を表示しますが、機密データが保護されているかどうかは評価しません。トラストセンターは、行アクセスポリシーが少なくとも1つのテーブルまたは表示に割り当てられているかどうかを評価しません。
Threat Intelligenceスキャナーパッケージ¶
Threat Intelligence スキャナーパッケージを有効にすることで、さらなるセキュリティの洞察にアクセスすることができます。これにより、使用されたユーザー TYPE または ADMIN_USER_TYPE、 認証方法、 認証ポリシー、 ネットワークポリシー に基づいて危険なユーザーを発見することができます。このスキャナーパッケージは危険な各ユーザーのリスクの深刻度を提供し、最初に対処すべきユーザーの優先順位付けを支援します。
このスキャナーパッケージは、あらゆるタイプのユーザーをスキャンし、そのタイプや条件によって危険か危険でないかに分類します。
以下の基準がすべて当てはまる場合、どのタイプのユーザーもリスクがあるとみなされます。
認証にはパスワードか RSA 公開キーを使用します。
認証ポリシーによって MFA の使用が強制されることはありません。
ネットワークポリシーによって制限されることはありません。
各危険なユーザーには、 TYPE および制限的なネットワークポリシーが使用されているかどうかに基づいて、重大度が設定されています。
ユーザーの種類と、どのような状況でどのような重大度レベルが報告されるかについては、以下のテーブルをご参照ください。
TYPE または ADMIN_USER_TYPE |
条件 |
リスクの重大度 |
|---|---|---|
PERSON または NULL |
MFA を強制する認証ポリシーも、それを制限するネットワークポリシーも持っていません。 |
CRITICAL |
MFA を強制する認証ポリシーは持っていませんが、それを制限するネットワークポリシーは持っています。 |
HIGH |
|
SERVICE または LEGACY_SERVICE |
MFA を強制する認証ポリシーも、それを制限するネットワークポリシーも持っていません。 |
CRITICAL |
MFA を強制する認証ポリシーは持っていませんが、それを制限するネットワークポリシーは持っています。 |
MEDIUM |
このスキャナーパッケージはデフォルトで1日1回実行されますが、スケジュールを変更することもできます。
スキャナーパッケージの有効化、有効化されたスキャナーによって発生する可能性のあるコスト、およびスキャナーパッケージのスケジュールの変更方法については、以下のリファレンスをご参照ください。