catch-img

Snowflakeセキュリティ検証:権限管理とNW制御の実践

T.T.技術コラム

クラウドセキュリティ認証Snowflake

データ活用基盤は利用者や接続経路が増えるほど運用が複雑化し、初期の設計・統制が不十分だと「想定外の操作」や「意図しないアクセス」につながります。そこで、今回はクラウド型データプラットフォームサービスの「Snowflake」を用いたセキュリティ検証をおこないました。
今回の検証は、今後の案件での実運用に向け、事前にナレッジを蓄積することを目的として社内の若手メンバー(1年目~2年目)が参加しました。

本記事はスライドの記載内容をもとに、検証の要点を簡潔にまとめています。詳細な検証内容や技術的な説明は埋め込みのスライド本文をご参照ください。

INDEX[非表示]

  1. 1.検証の目的
  2. 2.使用サービスと用語説明
  3. 3.検証結果
    1. 3.1.検証1:権限・アクセス管理
      1. 3.1.1.検証1-1:ACCOUNTADMINの剥奪
      2. 3.1.2.検証1-2/1-3:ネットワークポリシーの適用
      3. 3.1.3.検証1-4:セカンダリロール機能の制限
    2. 3.2.検証2:ポリシーの複製
      1. 3.2.1.検証2-1:ゼロデータアカウントのテンプレート機能
  4. 4.まとめ

検証の目的

プロジェクトにおけるSnowflake環境の経験を踏まえ、将来的な利用規模の拡大を想定した際、以下の点について事前に考慮が必要であると認識しました。

  • 権限設計
  • アカウント管理
  • セキュリティ統制

上記の考慮点を踏まえ、以下二つの観点から検証項目を設定し、検証をおこないました。

  1. 権限・アクセス管理
  2. ポリシーの複製

使用サービスと用語説明

  • 使用サービス:Snowflake(トライアルプラン)
  • プラットフォーム:AWS ap-northeast-1

本検証に登場するおもな用語は以下のとおりです。

  • ACCOUNTADMINSnowflake内ですべての操作を実行することが可能な最上位の権限をもつロール
  • プライマリロール:現在のセッションでメインとして使用するロール
  • セカンダリロール:プライマリロール以外に、ユーザに割り当てられている他のロールの権限を同時に有効化できる機能
  • ネットワークルール:通信元を特定するためのドメイン名やIPアドレスなどのネットワーク識別子をグループ化し定義したもの
  • ネットワークポリシー:Snowflakeサービスおよび内部ステージへのアクセスを制御するセキュリティ機能。定義済みのネットワークルールを引用し、許可またはブロックをおこなう。

検証結果

検証1:権限・アクセス管理

本観点では、以下の動作確認をおこないました。

  • 1-1 ACCOUNTADMINの剥奪
  • 1-2 ネットワークポリシーの適用(指定したNWからのアクセスのみを許可)
  • 1-3 ネットワークポリシーの適用(指定したNW外からのアクセスをブロック)
  • 1-4 セカンダリロール機能の制限

検証1-1:ACCOUNTADMINの剥奪

  • 目的:新規ユーザ作成時における管理者権限の付与を制限し、業務に必要な最小限の権限のみを割り当てる。
  • 方法:新規ユーザ作成時に低い権限を指定するパラメータを用いる。作成したユーザの権限では、高権限が必要な操作が実行できないことを確認する。

ACCOUNTADMINの剥奪の構成

DEFAULT_ROLE=PUBLIC のパラメータを指定し、PUBLIC(一般権限)しか許可されていないユーザを作成しました。結果、このユーザでは高権限が必要な操作は実行できないことが確認できました。

検証1-2/1-3:ネットワークポリシーの適用

  • 目的:許可された通信元以外からのアクセスを制御し、Snowflake環境の安全性を向上させる。
  • 方法:許可したい通信元のIPレンジのみをネットワークルールに設定する。許可されたIPアドレスからはアクセスが可能で、許可されたIPアドレス以外からはアクセスができないことを確認する。

ネットワークポリシーの適用イメージ

IPアドレスを制限するネットワークポリシーを適用することで、指定したNWからのアクセスのみ許可、指定したNW外からのアクセスをブロックの双方で動作確認ができました。

検証1-4:セカンダリロール機能の制限

  • 目的:意図しない権限の過剰な行使を抑制し、操作の透明性を高める。
  • 方法:ユーザがセカンダリロールを使用することを禁止するポリシーを適用し、ポリシー設定後にセカンダリロールの使用ができないことを確認する。

セカンダリロール機能のイメージ

ポリシーの適用を試みたところ、トライアルプランの制約上、セカンダリロールを禁止するポリシーが非対応でエラーとなってしまい、テストを実施できませんでした。

セカンダリロール機能のイメージ(エラー画面)

検証2:ポリシーの複製

本観点では、以下を対象に動作確認を試みました。

  • 2-1 ゼロデータアカウントのテンプレート機能

検証2-1:ゼロデータアカウントのテンプレート機能

  • 目的:複数のテナントへの迅速な展開と設定の標準化を実現する。
  • 方法:ロールやポリシーが同一のユーザを複数のテナントに複製できることを確認する。

ゼロデータアカウントのテンプレート機能イメージ

実施に向けて調査をおこないましたが、検証当時(202410月)はテンプレートの記載内容および展開方法の公開情報が不足しており、手法がわからず実施まで至りませんでした。

まとめ

本検証の結果は次のとおりです。

  • ACCOUNTADMINの剥奪:ACCOUNTADMINを最初から付与せずにユーザを払いだすことができた。
  • ネットワークポリシーの適用:許可されたIPアドレスからの通信のみアクセスできることを確認した。
  • セカンダリロール機能の制限:トライアルアカウントではテストをおこなうことができなかった。
  • ゼロデータアカウントのテンプレート機能:202410月当時の公開情報だけでは手法がわからず検証できなかった。

今回の期間では実施できなかった項目もありますが、管理者権限の制限によってユーザの想定外の操作を抑止できること、ネットワークポリシーによるアクセス制限の組み合わせでセキュアなエンドポイント管理を実現できることがわかりました。
この2層の制御により、Snowflakeにおける安全かつ統制されたデータ活用基盤の構築が可能となると考えます。一方で、用いるデータの容量や求められる要件によって制御の仕方は適宜変更していく必要がある点には留意が必要です。

今回の検証結果をベースとして、実運用のフェーズに合わせて最適なガバナンスモデルの構築を目指していきます。

※本資料に登場する会社名・製品・サービス名、ロゴマークなどは該当する各社の商号・商標または登録商標です。

T.T.
T.T.
クラウドインフラ(AWS/Azure)からデータ分析(Power BI)まで、幅広く技術習得に励むプロジェクトメンバー。 現場参画を機に、Snowflakeのガバナンス設計にゼロから挑戦した。

前の記事

prev-article-image

システム運用改善とは?課題の洗い出しから定着までの進め方

次の記事

next-article-image

マルチクラウド実践:AWSデータ×BigQuery連携検証

幅広いトータルソリューションを提供するICT企業
 お問い合わせはこちら >

関連記事

おすすめの資料

「『自社運用が限界かも?』を見抜く10のサイン」のサムネイル

「自社運用が限界かも?」を見抜く10のサイン

「『解決力』で選ぶべきアウトソーシングとは」のサムネイル

「解決力」で選ぶべきアウトソーシングとは

「【入門編】失敗しないシステム運用監視を実現!」のサムネイル

【入門編】失敗しないシステム運用監視を実現!

「『定例作業で1日が終わる…』から抜け出す運用負担削減の実践ステップ」のサムネイル

「定例作業で1日が終わる…」から抜け出す運用負担削減の実践ステップ

お役立ち資料一覧

サイト内検索

カテゴリ一覧

タグ一覧

人気記事ランキング

サービス

運用監視サービスサイトへのバナーリンク
脆弱性診断サービスサイトへのバナーリンク
創業50年以上の実績でIT課題を一気通貫でサポートします

サービス一覧

導入事例

コラム

お問い合わせ

ダウンロード資料一覧

© NID Co., Ltd. All Right Reserved.