Snowflakeトラストセンター調査

はじめに

本記事では、Snowflake Trust Centerの機能とアーキテクチャを整理します。
Snowflake公式ドキュメントを参考に、
セキュリティリスクの評価機能、スキャナーパッケージの詳細、実際の利用方法について整理しています¹。

記事のまとめ

ポイントや検証の結果分かったことなど以下にまとめます。

• セキュリティチェック項目
• 利用方法
• 利用コスト

概要

Snowflake Trust Centerは、アカウント内のセキュリティ設定を定期的にスキャンし、推奨事項に基づいた違反を検出・報告するシステムです。
スキャナーの推奨事項の観点でアカウントのセキュリティリスクを評価し、
違反している場合、セキュリティリスクのリストおよびリスク軽減方法に関する情報を提供します。

デフォルトで3種類のスキャナーパッケージが用意されており、
各パッケージ内には具体的なチェック内容がスキャナーとして含まれています。

構成

一般的なユースケース

Trust Centerは以下のようなセキュリティ管理のユースケースに対応しています。
※より具体的なチェック項目は、Scanner Packagesにて整理

多要素認証（MFA）の実施確認

パスワードベースの認証を使用するすべての人間ユーザーに対して、多要素認証（MFA）が実施されていることを確認します。

特権ロールの管理

優遇されすぎているロールを特定し、ACCOUNTADMIN および SECURITYADMIN システムロールを持つユーザー数が制限されていることを確認します。

非アクティブユーザーの検出

90日間ログインしていないユーザーを検索し、リスクのあるユーザーを見つけて認証リスクを軽減します。

必要な権限設定²

Trust Centerにアクセスするためには、適切な権限設定が必要です。
※ACCOUNTADMINロールを使って、指定ロールに付与します

権限の種類

• Findings(調査結果)タブ: SNOWFLAKE.TRUST_CENTER_VIEWER または SNOWFLAKE.TRUST_CENTER_ADMIN ロール
• Manage scanners(スキャナーを管理)タブ: SNOWFLAKE.TRUST_CENTER_ADMIN ロール

権限設定のSQL実装例

-- ACCOUNTADMIN ロールで実行
USE ROLE ACCOUNTADMIN;

-- Trust Center Admin ロールの作成
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

-- Trust Center Viewer ロールの作成
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

-- ユーザーへのロール付与
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;

Scanner Packages

Trust Centerでは、3つのスキャナーパッケージが提供されています³。

Security Essentialsスキャナーパッケージ

概要・目的

基本的なセキュリティ設定の確認を行う無料のスキャナーパッケージです。
認証ポリシーやアクセス制限など、必須のセキュリティ要件をチェックします。

コスト

• 料金: 無料

実行頻度・スケジュール

• デフォルト実行頻度: 月に1回
• スケジュール変更: 不可（月1回固定）

チェック項目・対象

• 認証ポリシーでのMFA強制実施の確認
• パスワード認証使用時の人間ユーザーのMFA登録確認
• 信頼できるIPアドレスからのアクセス制限設定
• ネイティブアプリでのイベント共有有効化時のイベントテーブル設定
• スキャン対象: TYPEプロパティがPERSONまたはNULLであるユーザーオブジェクト

特徴・制限事項

• デフォルトで有効化済み（月1回固定、無効化不可）
• 最も基本的なセキュリティチェックを実施

CIS Benchmarksスキャナーパッケージ

概要・目的

Center for Internet Security（CIS）Snowflake Benchmarks⁴に対してアカウントを評価するスキャナーです。
セキュリティの脆弱性を減らすことを目的としたSnowflakeアカウント構成のベストプラクティスに準拠しているかをチェックします。

コスト

• 料金: 有料（具体的な数値は公式ドキュメント要確認）
• 課金単位: スキャン実行時のサーバーレスの計算コスト

実行頻度・スケジュール

• デフォルト実行頻度: 1日1回
• スケジュール変更: 可能（Daily、Weekly、Monthly）

チェック項目・対象

• Snowflakeアカウント構成のベストプラクティス準拠状況
• セキュリティ設定の包括的な評価
• 業界標準に基づくセキュリティ要件の確認

特徴・制限事項

• コミュニティの協力と各分野の専門家のコンセンサスによって作成
• デフォルトでは無効化状態（手動で有効化が必要）
• 業界標準のCISベンチマークに基づく包括的なスキャン

Threat Intelligenceスキャナーパッケージ

概要・目的

ユーザーの認証パターンやアクセス行動を分析し、セキュリティリスクのあるユーザーや異常なアクティビティを検出するスキャナーです。

コスト

• 料金: 有料（具体的な数値は公式ドキュメント要確認）
• 課金単位: スキャン実行時のサーバーレスの計算コスト

実行頻度・スケジュール

• デフォルト実行頻度: 1日1回
• スケジュール変更: 可能（Daily、Weekly、Monthly）

チェック項目・対象

• ユーザーのタイプ: Snowflakeアカウントユーザーが人間かサービスかの判定
• 認証方法またはポリシー: ユーザーがMFAに登録せずにパスワードを使用してアカウントにログインするかの確認
• ログインアクティビティ: ユーザーが最近ログインしていないかの確認
• 異常な失敗率: ユーザーの認証の失敗やジョブエラーが多数あるかの確認

特徴・制限事項

• デフォルトでは無効化状態（手動で有効化が必要）
• ユーザー行動の詳細な分析によるリスク検出
• 異常なアクセスパターンやセキュリティ脅威の早期発見

拡張機能⁵

概要

Trust Center拡張機能は、
サードパーティのセキュリティパートナーがSnowflake Native App Frameworkを使用して、
カスタムのスキャナーパッケージを提供するアプリケーションを作成できる機能です。

2025年11月13日現在、プレビュー機能です。

必要な権限

拡張機能の作成と管理には以下の権限が必要です（ACCOUNTADMINロールを使って、指定ロールに付与します）：

• SNOWFLAKE.TRUST_CENTER_ADMIN アプリケーションロール
• CREATE APPLICATION PACKAGE 権限
• CREATE APPLICATION 権限

メール通知⁶

Trust Centerでは、違反が検出された際にメール通知を送信するように設定可能です。

通知対象の指定

以下観点で通知対象を設定可能です。

• 通知対象のスキャナー：実行設定したスキャナーが何らか検出した際、通知すべきかどうかを設定可能
• 通知対象の重大度：検知された項目の重大度によって、通知すべきかどうかを設定可能

通知先の設定

最大 50 人のユーザーに電子メール通知を送信できます。

通知先に管理者ユーザーを選択する場合

次の順序でユーザーに通知を送信します。

1. 組織レベルのセキュリティ通知連絡先
2. 1が見つからない場合は、アカウント レベルのセキュリティ通知連絡先
3. 2が見つからない場合は、検証済みの電子メール アドレスを持つ ACCOUNTADMIN ユーザー

通知先にカスタムを選択する場合

通知を受け取る必要があるユーザーをリストに追加します。

通知システム

メール通知は、AWS Simple Email Service（SES）を使用して処理されます。

(参考)スキャナーパッケージの通知設定画面

利用コストと課金体系⁷

Trust Centerの利用には、以下の課金体系が適用されます。

サーバーレス課金

Trust Centerのスキャン処理は、サーバーレス（Snowflake提供機能の実行リソース）課金で請求されます。
service_type='TRUST_CENTER'で該当のクエリを特定可能です。

パッケージ別コスト

• Security Essentialsスキャナーパッケージ: 無料
• CIS Benchmarksスキャナーパッケージ: 有料（具体的な数値は公式ドキュメント要確認）
• Threat Intelligenceスキャナーパッケージ: 有料（具体的な数値は公式ドキュメント要確認）

料金表

Snowflakeの料金表（Credit Consumption Table）のTable 5: Serverless Feature Tableで確認できるようです⁸
※2025/11/13現在、Trust CenterのUnit Chargesは「-」となっています。

SnowSightコンソールでの操作方法⁹

Trust CenterはSnowSightコンソール上で操作します。
以下に具体的なアクセス方法と利用手順を説明します。

Trust Centerへのアクセス方法

• SnowSightにログイン
• 適切なロールに切り替え
• 左側のナビゲーションメニューから「ガバナンスとセキュリティ」→「トラストセンター」を選択
• または直接URLから https://app.snowflake.com/<組織名>/<アカウント名>/#/trust-center にアクセス

スキャナーパッケージの設定方法

1. 「スキャナーを管理」タブを選択

2. スキャナーパッケージの有効化

   • 有効化したいパッケージ（CIS Benchmarks、Threat Intelligence）を選択
   • 「パッケージを有効化」ボタンをクリック
   • Security Essentialsは、月1回固定のため設定変更不可

3. スケジュールの設定

   • 実行頻度：「Daily」「Weekly」「Monthly」「Custom」から選択

4. 通知の設定（スキップ可能）

   • 通知レベル：通知対象の重大度レベルを選択
   • 通知受信者（管理者ユーザー、カスタム）を選択可能

設定画面で「次へ進む」（Continue）をクリックすると、
確認画面なく即座に設定が有効化されます・！

スキャナー個別設定

スキャナーパッケージ有効化完了後、
スキャナーパッケージ内に含まれるそれぞれのスキャナーレベルで設定変更が可能です。

1. 「スキャナーを管理」タブを選択
2. 対象のスキャナーパッケージを選択**
3. スキャナーパッケージ内の個別スキャナーを選択
4. 有効/無効、実行頻度、通知オン/オフを個別設定可能

違反情報の確認

1. 「調査結果」タブを選択

2. 違反の可視化

   • ステータス別（Open、Resolved）に確認
   • 重大度別（Critical、High、Medium、Low）に確認
   • 有効化しているスキャナーパッケージ別に確認
   • 時系列での違反推移を把握
   • 違反名での確認

3. 違反詳細の確認

   • 個別の違反をクリックし、詳細情報を表示
   • Summaryタブ: 違反情報のサマリ情報(スキャン実行日など)を確認
   • Remediationタブ: 違反の修正方法を確認
   • Activityタブ: 違反に関する任意のコメントを記入可能
   • 解決ボタン: Openステータスの違反の対応が完了した場合、ステータスをResolvedに変更可能

Summaryタブ

ライフサイクル管理

1. 「調査結果」タブを選択

2. 違反のトリアージ

   • 違反の重大度とステータスを確認し、対応すべき違反を判断

3. 進捗の記録

   • 「Activity」フィールドに、修正作業の内容を記録

1. 違反の解決

   • 対応完了後、「解決」ボタンから、任意のコメント記入後に「送信」クリック
   • ステータスがResolvedに変更される
     

2. 違反状況の更新

   • 次回のスキャン実行タイミングで、違反リストが更新される

Trust Center利用コストのモニタリング

Trust Centerは、Snowflake環境のセキュリティ脆弱性スキャン時にサーバーレスのコンピュートコストを発生させます。
以下の方法で関連のコストを監視できます。

コスト監視用のビューとテーブル

ビュー	スキーマ	service_type	必要な権限
METERING_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMIN / USAGE_VIEWER
METERING_DAILY_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMIN / USAGE_VIEWER
METERING_DAILY_HISTORY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMIN / ORGANIZATION_USAGE_VIEWER
USAGE_IN_CURRENCY_DAILY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMIN / ORGANIZATION_BILLING_VIEWER

コスト確認用SQL

期間指定でのコスト合計確認

Trust Centerが2025年11月1日から2025年11月14日の間に発生したコストの合計を表示

SELECT
   SUM(credits_used) AS total_credits
FROM snowflake.account_usage.metering_history
WHERE
   service_type = 'TRUST_CENTER' AND
   start_time >= '2025-11-01' AND
   end_time <= '2025-11-14';

日次コストの推移確認

2025年11月1日以降にTrust Centerが負担した日次コストを表示

SELECT
   usage_date AS date,
   credits_used AS credits
FROM snowflake.account_usage.metering_daily_history
WHERE
   service_type = 'TRUST_CENTER' AND
   date > '2025-11-01';

コスト情報の詳細

Trust Centerの運用で1コンピュート時間あたりの課金クレジット数の最新情報については、
Snowflake Service Consumption Table⁸のテーブル5を参照ください。

参考URL

この記事で参考にしたURLです。

1. Snowflake公式ドキュメント：Trust Center - Overview
   https://docs.snowflake.com/ja/user-guide/trust-center/overview ↩

2. Snowflake公式ドキュメント：Trust Center - Required privileges
   https://docs.snowflake.com/en/user-guide/trust-center/overview#required-privileges ↩

3. Snowflake公式ドキュメント：Trust Center - Scanners
   https://docs.snowflake.com/en/user-guide/trust-center/overview#scanners ↩

4. CIS Snowflake ベンチマーク Web サイト
   https://www.cisecurity.org/benchmark/snowflake ↩

5. Snowflake公式ドキュメント：Using Trust Center extensions
   https://docs.snowflake.com/en/user-guide/trust-center/trust-center-extensions ↩

6. Snowflake公式ドキュメント：セキュリティセンター違反に関するメール通知の送信
   https://docs.snowflake.com/en/user-guide/trust-center/notifications-trust-center ↩

7. Snowflake公式ドキュメント：Using the Trust Center - Monitoring cost
   https://docs.snowflake.com/en/user-guide/trust-center/using-the-trust-center#monitoring-cost ↩

8. Snowflake公式ドキュメント：Snowflake Service Consumption Table
   https://www.snowflake.com/legal-files/CreditConsumptionTable.pdf ↩ ↩²

9. Snowflake公式ドキュメント：Trust Centerをはじめるにあたり
   https://docs.snowflake.com/ja/user-guide/trust-center/getting-started ↩