Trust Centerを使用する¶

このトピックでは、Trust Center Snowsight インターフェイスの使用方法と操作方法について説明します。

コストのモニター¶

Trust Center は、Snowflake 環境のセキュリティ脆弱性をスキャンする際に、サーバーレスのコンピュートコストを負担します。

ACCOUNT_USAGE および ORGANIZATION_USAGE スキーマのコスト関連表示を使用して、Trust Center に関連するコストを追跡することができます。これらのビューをクエリする際は、 service_type 列でフィルターをかけ、 TRUST_CENTER 値を検索します。

ビュー	スキーマ	`service_type`	必要な権限を持つロール
METERING_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMINロール USAGE_VIEWER データベースロール
METERING_DAILY_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMINロール USAGE_VIEWER データベースロール
METERING_DAILY_HISTORY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMINロール ORGANIZATION_USAGE_VIEWER データベースロール
USAGE_IN_CURRENCY_DAILY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMINロール ORGANIZATION_BILLING_VIEWER データベースロール

例 Trust Centerが2024年12月1日から2024年12月31日の間に発生したコストの合計を表示します。

SELECT
   SUM(credits_used) AS total_credits
FROM snowflake.account_usage.metering_history
WHERE
   service_type = 'TRUST_CENTER' AND
   start_time >= '2024-12-01' AND
   end_time <= '2024-12-31';

Copy

例 2024年12月1日以降にTrust Centerが負担した日次コストを表示します。

SELECT
   usage_date AS date,
   credits_used AS credits
FROM snowflake.account_usage.metering_daily_history
WHERE
   service_type = 'TRUST_CENTER' AND
   date > '2024-12-01';

Copy

Trust Centerの運用のために1コンピュート時間あたり何クレジットが課金されるかの情報については、 Snowflake Service Consumption Table のテーブル5をご参照ください。

2024年12月1日までのコスト¶

2024年12月1日以前は、サーバーレスのコンピュートコストは、 ACCOUNT_USAGE および ORGANIZATION_USAGE スキーマのコスト関連表示において、サービスタイプとともに追跡されていませんでした。2024年12月1日以前のTrust Centerの過去の使用コストが必要な場合は、代わりに SERVERLESS_TASK_HISTORY ビューをクエリする必要があります。例えば、2024年5月20日から2024年5月22日の間にTrust Centerで発生したコストを表示するには、次の SQL ステートメントを実行します。

SELECT SUM(CREDITS_USED)
  FROM snowflake.account_usage.serverless_task_history
  WHERE
    DATABASE_NAME = 'SNOWFLAKE' AND
    SCHEMA_NAME = 'TRUST_CENTER_STATE' AND
    START_TIME BETWEEN '2024-05-20 07:00:00.000 -0700' AND '2024-05-22 07:00:00.000 -0700';

Copy

スキャナパッケージの管理¶

Trust Center でスキャナパッケージを管理するには、次のタスクを実行します。

スキャナーパッケージを有効化する。
利用可能なスキャナーパッケージを表示。
スキャナーパッケージのスケジュール変更。
スキャナーパッケージを手動で実行する。

スキャナーパッケージを有効化する¶

スキャナパッケージを有効にするには、次の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
Enable Package を選択します。

スキャナーパッケージを有効にした後、スキャナーパッケージで個々のスキャナーを有効または無効にすることができます。

利用可能なスキャナーパッケージを表示¶

利用可能なスキャナパッケージを表示するには、以下の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
オプションで、 Provider、 Status、 Search を選択して、利用可能なスキャナーパッケージのリストをフィルタリングします。

スキャナーパッケージのスケジュール変更¶

Security Essentialsスキャナーパッケージを除くすべてのスキャナーパッケージのスケジュールを変更できます。

Tip

スキャナパッケージを有効にした後、スキャナパッケージで個々のスキャナのスケジュールを変更できます。

スキャナパッケージのスケジュールを変更するには、次の手順に従います。

CIS Benchmarksスキャナーパッケージを有効にしてください。
Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
Settings タブを選択します。
Scanner Package Schedule の下で、 Edit を選択します。
Frequency を設定してください。
Continue を選択します。

スキャナーパッケージを手動で実行する¶

スキャナパッケージを手動で実行するには、次の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
Search の横で Run Package を選択します。

注釈

Security Essentialsスキャナパッケージなど、一部のスキャナパッケージは手動で実行できず、固定スケジュールで実行されます。

スキャナーの管理¶

Trust Centerでスキャナを管理するには、次のタスクを実行します。

スキャナーパッケージのスキャナーの説明を表示。
スキャナパッケージ内のスキャナを有効または無効にします。。
スキャナーのスケジュール変更。
スキャナのスケジュールをスキャナパッケージのスケジュールにリセット。
スキャナーを手動で実行。

スキャナーパッケージのスキャナーの説明を表示¶

スキャナパッケージ内のスキャナの説明を表示するには、次の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
スキャナー名のリストからスキャナーを選択します。

スキャナパッケージ内のスキャナを有効または無効にします。¶

注意

スキャナーは、可能性のあるセキュリティリスクに関する貴重な情報を最小限のコストで提供します。スキャナを無効にする前に、スキャナによって提供される情報の値と、スキャナの運用に関連するコストを評価することをお勧めします。スキャナーに関連するコスト評価の詳細情報については、コストのモニターをご参照ください。

スキャナパッケージが無効になると、個別に有効になっていたスキャナも含め、パッケージ内のすべてのスキャナが無効になります。

スキャナパッケージのスキャナを有効または無効にするには、次の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
スキャナ STATE で、スキャナを有効または無効にします。
確認ボックスで、 Confirm を選択します。

スキャナーのスケジュール変更¶

スキャナーによってはスケジュールを変更することができます。

注釈

カスタムスケジュールが個々のスキャナにセットされている場合、スキャナパッケージスケジュールが変更されても、その設定はスキャナパッケージスケジュールの代わりに使用されます。

スキャナのスケジュールを変更するには、次の手順に従います。

スキャナが有効になっていることを確認してください。
Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
スキャナーの More を選択し、 Edit schedule を選択します。
Frequency を設定してください。
Save を選択します。

スキャナのスケジュールをスキャナパッケージのスケジュールにリセット¶

スキャナのスケジュールをスキャナパッケージのスケジュールに合わせて変更するには、次の手順に従います。

スキャナが有効になっていることを確認してください。
Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
スキャナーの More を選択し、 Edit schedule を選択します。
Reset、 Reset to scanner package schedule の順に選択します。
Save を選択します。

スキャナーを手動で実行¶

スキャナを手動で実行するには、次の手順に従います。

スキャナが有効になっていることを確認してください。
Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Scanner Packages タブを選択します。
リストからスキャナーパッケージを選択します。
スキャナーの More を選択し、 Run scanner を選択します。
確認ボックスで、 Confirm を選択します。

調査結果のライフサイクルの管理¶

違反のステータスを変更¶

注意

違反を「解決済み」としてマークすることは、未解決の違反をトリアージするための手法であり、これにより環境にとって最も重要な違反に焦点を絞ることができます。違反を解決すると、その違反の定期的なメール通知も停止します。スキャナーは違反ステータスが Open であるか Resolved. であるかに関係なくスケジュール通りに実行されます。スキャナーは構成が変更されていなければ、違反を検出し続けます。

すべての新しいセキュリティ違反は、Open ステータスで発生します。違反は、お客様のアカウントに適用されない、将来の日付に延期されている、既に進行中などの複数の理由で解決することができます。

違反のステータスは、アカウントに適用されない、将来の日付に延期、すでに進行中などのあらゆる理由で変更できます。違反のステータスを変更するには、以下の手順に従います。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Findings タブを選択します。
違反を選択すると、詳細ペインが開きます。デフォルトでは、Open ステータスの違反のみが表示されます。
Resolve ボタンを選択します。
解決を正当化するコメントを追加します（オプション）。
Submit を選択します。

解決済みの違反は、Resolve ボタンを選択すると再開できます。

違反を表示¶

次のように、違反データを表示およびフィルターして現在の進捗状況を確認できます。

Snowsightにサインインします。
アプリケーションロール SNOWFLAKE.TRUST_CENTER_ADMIN が付与されたロールに切り替えます。

このロールの付与に関する情報については、必要な権限を参照してください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Findings タブを選択します。
Status ドロップダウンメニューからオプションを選択し、未解決、解決済み、またはすべての違反のリストを表示します。
違反を選択すると、概要、推奨事項、アクティビティを含む詳細ペインが表示されます。
違反バーで、Activity を選択してコメント履歴と責任のあるユーザーを表示します。
Scanned を選択して、スキャナーの最終実行と違反の発生時期を確認します。
Updated を選択して、違反のステータスが最後に変更された日時を確認します。

セキュリティリスクの管理¶

Trust Center でセキュリティリスクを管理するには、以下のタスクを実行します。

セキュリティリスクの表示。
セキュリティリスクの修復。

セキュリティリスクの表示¶

セキュリティリスクを表示するには、以下の手順に従ってください。

Snowsightにサインインします。
ロールに SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロールが付与されたロールに切り替えます。

これらのロールの付与の詳細については、必要な権限をご参照ください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Findings タブを選択します。
違反のリストから勧告を選択すると、勧告に関連する違反の詳細が表示されます。
オプションで、 Severity、 Violations、 Search を選択して、表示される推奨リストをフィルタリングします。

セキュリティリスクの修復¶

個々のセキュリティリスクを表示する場合、表示された推奨事項に関連するリスクを修正する方法を学ぶことができ、アカウントのセキュリティを強化することができます。

セキュリティリスクを是正するには、以下の手順に従ってください。

Snowsightにサインインします。
ロールに SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロールが付与されたロールに切り替えます。

これらのロールの付与の詳細については、必要な権限をご参照ください。
ナビゲーションメニューで Governance & security » Trust Center を選択します。
Findings タブを選択します。
違反のリストから推奨を選択します。
Remediation タブに表示されている手順に従ってください。