はじめに
はじめまして。 NTTデータ ソリューション事業本部 デジタルサクセスソリューション事業部 の @nttd-nagano です。
Informatica(インフォマティカ) のクラウドデータマネージメントプラットフォームとして、「Intelligent Data Management Cloud」(※1。以下IDMCと記載)というものがあります。
今回は、 Snowflake (※2)がパスワードのみでの認証方式を2025年11月に全廃するため、前述のIDMCの認証関連の設定を変更してみた ので、ご報告します。
※1. Intelligent Data Management Cloud
略称はIDMC。旧称はIICS。クラウドデータマネジメントプラットフォーム。以下IDMCと記載。※2. Snowflake
Snowflakeはクラウドデータウェアハウス(※3)。Snowflakeは、クラウドネイティブなアーキテクチャに基づき高い柔軟性・弾力性・拡張性を持ちながらも、標準SQLにも準拠しているため非常に使いやすく、広範なワークロードを容易かつセキュアに実行できる。これらの機能によって、1か所にまとめられたあらゆるデータに、いつでも、どこでも、何人でもセキュアかつ容易にアクセスできるようにすることができるデータ分析環境を容易に立ち上げられる。※3. クラウドデータウェアハウス
Snowflakeは当初同社のサービスを「クラウドデータウェアハウス」と位置づけていたが、その後、機能追加や適用範囲の拡大を踏まえて、現在は「データクラウド」と位置づけている。ここでは分かりやすさの観点から、当初の「クラウドデータウェアハウス」という表現を使用している。「クラウドデータウェアハウス」とは、クラウド版の「データウェアハウス」(※4)を指す。※4. データウェアハウス
Data Warehouse、DWHとも表記される。「ウェアハウス」とは倉庫を表す英単語。「データウェアハウス」は、データ分析に必要な集計、結合、大量スキャン等の処理に特化したデータベースを指す。
「Snowflakeがパスワードのみでの認証方式を2025年11月に全廃する」とはどういうことか
昨年2024年10月以降、Snowflakeではセキュリティの強化のために、 デフォルトで多要素認証が必須となり、また、より強力なパスワードポリシーが課せられるようになりました 。
先日それに続いて、 今年2025年11月までに単一要素パスワード認証をブロックすることが発表されました。
次のSnowflake公式ブログの記事をご覧ください。
そのため、 Snowflakeの認証方式について、全般的に見直しが必要となります。
一般のSnowflakeユーザーの他、Snowflakeを利用する様々なソリューションも影響を受けます。
InformaticaのクラウドサービスIDMCも同様です。
さて、上で「2025年11月に全廃」と述べましたが、 変更は段階的におこなわれます。
上の記事から引用します。
私たちの段階的なアプローチには、以下の3つのステージがあります。
2025年4月:人間のユーザーのパスワードサインインにMFAを適用するデフォルトの認証ポリシーをすべてのアカウントで有効にする。 このフェーズでは、カスタム認証ポリシー のないアカウントのすべての人間のユーザーは、次にSnowflakeにパスワードベースでサインインするときにMFAに登録する必要があります。このロールアウトの時点ですでにアカウントにカスタム認証ポリシーが設定されている場合、人間のユーザーはサインイン体験に違いを感じることはありません。同時に、LEGACY_SERVICEユーザーのSnowsightへのアクセスもブロックします。
2025年8月:人間のユーザーのすべてのパスワードベースのサインインにMFAを適用する。 このフェーズでは、お客様がカスタム認証ポリシーをすでに定義していても、すべての人間のユーザーはパスワードでサインインするときにMFAを使用する必要があります。
2025年11月:すべてのユーザー(人間またはサービス)のパスワードによる単一要素認証を使用したSnowflakeへのサインインをブロックする。 このフェーズではLEGACY_SERVICEを廃止し、すべての LEGACY_SERVICEユーザーをSERVICEユーザーに移行します。
これらのポリシーは、シングルサインオンユーザー( SAML または OAuth を使用)や キーペア認証 を使用するユーザーには適用されません。
ここで、「人間のユーザー」、「サービスユーザー」というのが何を指すかというと、同ページで下記のように説明されています。
- 人間のユーザー: これは、人間であり、通常はインタラクティブなログインを使用してSnowflakeにサインインするユーザーを指します。このようなユーザーは、SnowflakeユーザーオブジェクトでTYPE = PERSONまたはNULL(デフォルトはNULL)で宣言されます。詳細については こちら を参照してください。
- サービスユーザー: これは、インタラクティブログインなしでのプログラムアクセスに使用されるユーザーを指します。このようなユーザーは、SnowflakeユーザーオブジェクトでTYPE = SERVICEまたはLEGACY_SERVICEで宣言されます。【略】詳細については こちら を参照してください。
CREATE USER するときに TYPE を指定していないか、明示的に PERSON と指定していた場合は、「人間のユーザー」、
明示的に SERVICE または LEGACY_SERVICE と指定していた場合は、「サービスユーザー」になるわけですね。
つまり、現在IDMCのSnowflake接続に指定しているSnowflakeユーザーの TYPE の設定内容によっては、 最速で今年2025年4月に影響が出そうなことが分かります。
IDMCの認証関連の設定を変更する
さて、では IDMCのSnowflake接続の認証関連の設定を変更していきましょう。
IDMCのSnowflake接続(Snowflake Data Cloud Connectorの接続)では、Snowflakeにアクセスするための認証タイプとして、下記を選択できます。
- 標準(standard)
- OAuth 2.0認証コード(OAuth 2.0 authorization code)
- キーペア(key pair)
- OAuth 2.0クライアント資格情報(OAuth 2.0 client credentials)
本記事では、キーペア認証の場合を解説します。
下記の公式情報に従って操作していきます。
- Snowflake公式ドキュメントの ガイド > セキュリティ > キーペア認証およびローテーション
- Informatica公式ドキュメントの Snowflake Data Cloud Connector > パート 1: Snowflake Data Cloud Connectorの使用の開始 > Snowflake Data Cloudへの接続 > 認証の準備 > キーペア
既存Snowflakeユーザーの設定を変更する
まずは、既存Snowflakeユーザーの設定を変更します。
-
既存Snowflakeユーザー(以下では
IDMC_USER)のTYPEプロパティがSERVICEでない場合は、まず、 Snowsight などにて次のようにしてSERVICEに変更する。ALTER USER IDMC_USER SET TYPE = SERVICE;ちなみにこのとき、下記のプロパティは削除される。
FIRST_NAMEMIDDLE_NAMELAST_NAMEPASSWORDMUST_CHANGE_PASSWORDMINS_TO_BYPASS_MFA
-
OpenSSLを導入済みの環境を用意する。
WindowsでもOpenSSLをインストールすれば可能だが、Linuxマシンがあれば、それに接続するのが手軽。 -
秘密鍵を生成するために、OpenSSLを導入済みの環境で、次のコマンドを実行し、任意のパスワードを入力する。
openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 des3 -inform PEM -out rsa_key.p8rsa_key.p8には、次のような内容が出力される。-----BEGIN ENCRYPTED PRIVATE KEY----- MIIE6T... -----END ENCRYPTED PRIVATE KEY----- -
公開鍵を生成するために、OpenSSLを導入済みの環境で、次のコマンドを実行する。先ほどのパスワードが必要。
openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pubrsa_key.pubには、次のような内容が出力される。-----BEGIN PUBLIC KEY----- MIIBIj... -----END PUBLIC KEY----- -
公開鍵ファイルの内容のうち、ヘッダー部とフッター部を除去した文字列を使って、Snowsightなどにて、次のようにして、ユーザーに公開鍵を割り当てる。
ALTER USER IDMC_USER SET RSA_PUBLIC_KEY='MIIBIj...';
-
割り当ての確認のため、まずはユーザーの公開鍵のフィンガープリントを取得するために、Snowsightなどにて、次のようにする。
DESC USER IDMC_USER; SELECT TRIM((SELECT "value" FROM TABLE(RESULT_SCAN(LAST_QUERY_ID())) WHERE "property" = 'RSA_PUBLIC_KEY_FP'), 'SHA256:');次のような内容が出力される。
Azk1Pq...
-
割り当ての確認のために、次に、OpenSSLを導入済みの環境で、次のコマンドを実行する。
openssl rsa -pubin -in rsa_key.pub -outform DER | openssl dgst -sha256 -binary | openssl enc -base64次のような内容が出力される。
Azk1Pq...
-
両方の出力を比較する。両方の出力が一致する場合、公開キーは正しく設定されている。
-
公開鍵ファイルと秘密鍵ファイルを手元の端末に移動する。
秘密鍵ファイルをIDMC用のSecure Agentが動作している環境にコピーする
次に、秘密鍵ファイルをIDMC用のSecure Agentが動作している環境にコピーします。
- 秘密鍵ファイルをIDMC用のSecure Agentが動作している環境にコピーする。
(例:/home/infa/rsa_key.p8) - コピー先のファイルパスをメモしておく。
IDMCの既存Snowflake接続の設定を変更する
最後に、IDMCの既存Snowflake接続の設定を変更します。
- IDMCにログインする。
- アプリケーションピッカー(マイサービス)で「管理者」をクリックする。
- 左ペインで「接続」をクリックする。
- 既存のSnowflake接続をクリックする。
- 右上の「編集」ボタンクリックする。
- 「詳細設定」を開く。
- 「Username」欄、「Account」欄、「Warehouse」欄、「Role」欄、「Additional JDBC URL Parameters」欄の値をメモしておく。
- 「Authentication」欄を「Key Pair」に変更する。
- メモしておいた「Username」、「Account」、「Warehouse」、「Role」、「Additional JDBC URL Parameters」を記入する。
- 「Private Key File」欄に、メモしておいた秘密鍵ファイルのファイルパスを記入する。
- 「Private Key File」欄に、秘密鍵ファイルのパスワードを記入する。
- 右上の「接続のテスト」ボタンクリックする。
- 左上に「この接続のテストに成功しました。」と出力されることを確認する。
- 「保存」ボタンクリックする。
これで完了です。お疲れさまでした。
念のため、既存のマッピングの動作確認もしておきましょう。
なお、 詳細クラスタ(advanced cluster) を使っている場合は、下記の設定が必要のようです。
また、 サーバーレスランタイム環境(serverless runtime environment) を使っている場合は、下記の設定が必要のようです。
IDMC以外のInformaticaソリューションに関する情報
ちなみに、 IDMC以外のInformaticaソリューションに関する情報は次の通りです。
-
データ統合ソリューション PowerCenter および 旧名称Big Data Management(「BDM」、現名称「Data Engineering Integration」、「DEI」) に関しては、まず、KB記事「 Informatica 10.5.7 is Now Available 」に次の記述がございます。
Support for key-pair authentication for Snowflake connection in PowerCenter and Big Data Management.
抄訳
PowerCenterおよびBig Data ManagementでのSnowflake接続でのキーペア認証に対応。
- PowerCenter でのキーペア認証の詳細な設定方法に関しては、公式ドキュメント「 PowerExchange for Snowflake User Guide for PowerCenter > Snowflake Sessions > Snowflake Connection Properties 」をご覧ください。
- 旧名称Big Data Management(「BDM」、現名称「Data Engineering Integration」、「DEI」) でのキーペア認証の詳細な設定方法に関しては、公式ドキュメント「 PowerExchange for Snowflake User Guide > Snowflake Connections > Snowflake Connection Properties 」をご覧ください。
-
データカタログソリューション Enterprise Data Catalog(「EDC」) に関しては、まず 「 Enterprise Data Catalog Scanner Configuration Guide > Configuring Cloud Resources > Snowflake 」に次の記述があります。
Effective in 10.5.0.1, the Snowflake scanner is deprecated and Informatica intends to drop support in a future release.
Informatica recommends that you update all Snowflake scanners to leverage the MetaDex framework. You do not need an additional license.抄訳
(訳者追記「Enterprise Data Catalogの」)10.5.0.1以降、Snowflakeスキャナーは非推奨となり、Informaticaは将来のリリースでサポートを中止する予定です。
Informaticaでは、MetaDexフレームワークを活用するためにすべてのSnowflakeスキャナーを更新することをお勧めします。追加のライセンスは必要ありません。ということで、EDC10.5.0.1以降では MetaDex(旧名称Advanced scanner) スキャナーを利用することになります。
- MetaDex スキャナーでのキーペア認証の詳細な設定方法に関しては、 KB記事「 HOW TO: Configure a snowflake connection that uses key pair authentication in Metadex? 」をご覧ください。
おわりに
以上、「Snowflakeがパスワードのみでの認証方式を2025年11月に全廃するのでInformaticaのクラウドの設定を変更してみた」でした。
IDMCのデータ統合サービスCDIは30日間の無料体験ができる ので、この機会に試してみてはいかがでしょうか。
仲間募集
NTTデータ ソリューション事業本部 では、以下の職種を募集しています。
1. クラウド技術を活用したデータ分析プラットフォームの開発・構築(ITアーキテクト/クラウドエンジニア)
クラウド/プラットフォーム技術の知見に基づき、DWH、BI、ETL領域におけるソリューション開発を推進します。
https://enterprise-aiiot.nttdata.com/recruitment/career_sp/cloud_engineer
2. データサイエンス領域(データサイエンティスト/データアナリスト)
データ活用/情報処理/AI/BI/統計学などの情報科学を活用し、よりデータサイエンスの観点から、データ分析プロジェクトのリーダーとしてお客様のDX/デジタルサクセスを推進します。
https://enterprise-aiiot.nttdata.com/recruitment/career_sp/datascientist
3.お客様のAI活用の成功を推進するAIサクセスマネージャー
DataRobotをはじめとしたAIソリューションやサービスを使って、
お客様のAIプロジェクトを成功させ、ビジネス価値を創出するための活動を実施し、
お客様内でのAI活用を拡大、NTTデータが提供するAIソリューションの利用継続を推進していただく人材を募集しています。
https://nttdata-career.jposting.net/u/job.phtml?job_code=804
4.DX/デジタルサクセスを推進するデータサイエンティスト《管理職/管理職候補》
データ分析プロジェクトのリーダとして、正確な課題の把握、適切な評価指標の設定、分析計画策定や適切な分析手法や技術の評価・選定といったデータ活用の具現化、高度化を行い分析結果の見える化・お客様の納得感醸成を行うことで、ビジネス成果・価値を出すアクションへとつなげることができるデータサイエンティスト人材を募集しています。https://nttdata-career.jposting.net/u/job.phtml?job_code=898
ソリューション紹介
Trusted Data Foundationについて
~データ資産を分析活用するための環境をオールインワンで提供するソリューション~
https://www.nttdata.com/jp/ja/lineup/tdf/
最新のクラウド技術を採用して弊社が独自に設計したリファレンスアーキテクチャ(Datalake+DWH+AI/BI)を顧客要件に合わせてカスタマイズして提供します。
可視化、機械学習、DeepLearningなどデータ資産を分析活用するための環境がオールインワンで用意されており、これまでとは別次元の量と質のデータを用いてアジリティ高くDX推進を実現できます。
TDFⓇ-AM(Trusted Data Foundation - Analytics Managed Service)について
~データ活用基盤の段階的な拡張支援(Quick Start) と保守運用のマネジメント(Analytics Managed)をご提供することでお客様のDXを成功に導く、データ活用プラットフォームサービス~
https://www.nttdata.com/jp/ja/lineup/tdf_am/
TDFⓇ-AMは、データ活用をQuickに始めることができ、データ活用の成熟度に応じて段階的に環境を拡張します。プラットフォームの保守運用はNTTデータが一括で実施し、お客様は成果創出に専念することが可能です。また、日々最新のテクノロジーをキャッチアップし、常に活用しやすい環境を提供します。なお、ご要望に応じて上流のコンサルティングフェーズからAI/BIなどのデータ活用支援に至るまで、End to Endで課題解決に向けて伴走することも可能です。
NTTデータとInformaticaについて
データ連携や処理方式を専門領域として10年以上取り組んできたプロ集団であるNTTデータは、データマネジメント領域でグローバルでの高い評価を得ているInformatica社とパートナーシップを結び、サービス強化を推進しています。
https://www.nttdata.com/jp/ja/lineup/informatica/
NTTデータとTableauについて
ビジュアル分析プラットフォームのTableauと2014年にパートナー契約を締結し、自社の経営ダッシュボード基盤への採用や独自のコンピテンシーセンターの設置などの取り組みを進めてきました。さらに2019年度にはSalesforceとワンストップでのサービスを提供開始するなど、積極的にビジネスを展開しています。
これまでPartner of the Year, Japanを4年連続で受賞しており、2021年にはアジア太平洋地域で最もビジネスに貢献したパートナーとして表彰されました。
また、2020年度からは、Tableauを活用したデータ活用促進のコンサルティングや導入サービスの他、AI活用やデータマネジメント整備など、お客さまの企業全体のデータ活用民主化を成功させるためのノウハウ・方法論を体系化した「デジタルサクセス」プログラムを提供開始しています。
https://www.nttdata.com/jp/ja/lineup/tableau/
NTTデータとAlteryxについて
Alteryx導入の豊富な実績を持つNTTデータは、最高位にあたるAlteryx Premiumパートナーとしてお客さまをご支援します。
導入時のプロフェッショナル支援など独自メニューを整備し、特定の業種によらない多くのお客さまに、Alteryxを活用したサービスの強化・拡充を提供します。
NTTデータとDataRobotについて
NTTデータはDataRobot社と戦略的資本業務提携を行い、経験豊富なデータサイエンティストがAI・データ活用を起点にお客様のビジネスにおける価値創出をご支援します。
NTTデータとDatabricksについて
NTTデータではこれまでも、独自ノウハウに基づき、ビッグデータ・AIなど領域に係る市場競争力のあるさまざまなソリューションパートナーとともにエコシステムを形成し、お客さまのビジネス変革を導いてきました。
Databricksは、これら先端テクノロジーとのエコシステムの形成に強みがあり、NTTデータはこれらを組み合わせることでお客さまに最適なインテグレーションをご提供いたします。