Snowflake内の重要データの安全を確保するには

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第16回目となる今回は、「Snowflake内の重要データの安全を確保するには」と題して、Snowflakeのセキュリティ態勢を改善しながら、お客様の重要なSnowflakeデータと基盤となるクラウドインフラストラクチャーの可視性をセキュリティを強化する方法をご紹介する、当社Nathan Coppingerのブログ記事をご紹介いたします。

どこにデータがあろうと保護するVaronisが、その保護範囲をSnowflake上のデータウェアハウスとデータベースにも拡張されました。

Snowflakeを使用してデータ基盤の簡素化、AI戦略の強化、アプリケーションの開発を行っている企業は数千社にのぼります。

Snowflakeを使用すると、エンドユーザーはデータの保存、管理、共有さらにはエクスポートを簡単に行うことができますが、データの多くは機密性の高い情報です。セキュリティの監視が無ければ、ユーザーは大量の重要データをサイバー脅威に晒してしまう可能性があります。

Varonisは、お客様の重要なSnowflakeデータと基盤となるクラウドインフラストラクチャーの可視性をセキュリティを強化することができるようになりました。新しい統合により、以下のようなことが可能になります：

•    Snowflakeのセキュリティ態勢を一元的な把握と、過剰なアクセス権や重大な構成不備によってデータが公開されている場所の特定。
•    Snowflakeデータウェアハウスに保存されている機密性の高いデータの検出、分類。
•    データがSnowflakeマーケットプレイスで公開されている場所、あるいはAWS、Azure、Google Cloudのパブリックステージにエクスポートされた場所の特定。
•    構成ドリフトを検出して修正することにより、コンプライアンスを維持し、Snowflakeのセキュリティ態勢の改善を支援。
•    アクティビティを監視して、Snowflakeとクラウド環境全体の脅威を検出、調査。

Snowflakeのセキュリティ態勢の改善。

Varonisのカスタマイズ可能なDSPMダッシュボードは、Snowflakeおよびより広範なクラウド環境全体のデータセキュリティ態勢の概要を一元的に提供します。

機密性の高いデータが危険に晒されている可能姓が高い場所や、過剰なアクセス権、公開露出、構成不備などによるセキュリティ態勢に隙間があるかどうか—これをすべて1枚のガラス窓から簡単に特定できます。

これらのダッシュボードから、クラウドリソース全体のリスクを修正し、データセキュリティ態勢の改善を始めましょう。

機密性の高いSnowflakeデータを自動的に発見、分類。

Varonisは、Snowflakeデータをスキャンし、データの機密性、集中度（ヒット数）、露出度を、見通しの良い階層ビューで表示することができます。このような文脈が加わることで、検出結果がすぐに対応可能になります。

Varonisの組み込み分類機能の広範なライブラリーは、機密性の高いデータや規制対象のデータを、表や列に至るまで正確に特定するのに役立ちます。ライブラリーには、個人識別情報 (PII)、財務データ、知的財産、AIのトレーニングデータなど、ロックダウンして保護すべき各種の機密性の高い情報が含まれています。

分類範囲をカスタマイズして、重要なSnowflakeデータベースの分類に優先順位を付け、スキャンを高速化し、コストを抑えることができます。

ファイル分析により分類結果を簡単に確認でき、各データベーステーブル内のどこに分類結果があるかを正確に表示できます。

機密性の高いデータの露出を特定、削減。

Varonisは、詳細な権限をSnowflakeデータとマッピングし、複雑な権限構造を正規化されたCRUDSモデル（作成、読み取り、更新、削除、共有）モデルに簡素化します。

Varonisは、組織内のさまざまなユーザーやグループが重要なデータに対して何ができるのか、また、内部、外部、一般公開のどこで過剰に露出される可能性があるのかを理解するのに役立ちます。

Varonisを使用して、Snowflakeのロールと権限の作成、割り当て、変更を容易に理解し、Snowflakeデータベースに過剰なアクセス権がある場所を迅速に特定し、最小権限モデルに移行できます。

外部アカウントや個人アカウントがSnowflakeデータベースにアクセスできる場所や、Snowflakeマーケットプレイスで公開されているかどうか、AWS、Azure、Google Cloudの外部ステージにエクスポートされているかどうかを確認できます。

Varonisはまた、重要なSnowflakeのセキュリティ設定や侵害された場合に重大な損害を引き起こす可能性のあるユーザー権限を変更する特権を持つ、シャドゥ管理アカウントやバックアップ管理アカウントを自動的に検出することもできます。

構成ドリフトを検出して修正。

Varonisは、お客様のSnowflakeデータウェアハウスと広範なクラウド環境を継続的にスキャンし、データを危険に晒す可能姓のあるセキュリティの隙間や構成不備を特定します。 

Varonisは次のようなセキュリティリスクを明らかにします：

•    行アクセスポリシーが未適用
•    ネットワークポリシーが未適用
•    機密性の高いデータが外部ステージにエクスポート可能

お客様環境の態勢を、CIS、ISO、NISTやHIPAAなどの標準ルールや規制と簡単に比較し、お客様の構成がコンプライアンス基準に準拠できていない箇所を特定します。

各構成の分析情報には、修復作業の優先順位付けに役立つ重大度レベルが表示されます。追加の文脈では、その構成不備がなぜセキュリティリスクであるのかが説明され、問題を修正するための詳細な推奨事項が提供されます。

重要なSnowflakeデータに対する脅威を検出、阻止。

Varonisは、脅威の兆候となる可能性のある異常なアクティビティや危険なアクティビティがないか、お客様のSnowflake環境を監視します。

ユーザーが特権権限が付与された場合、データが外部ステージにエクスポートされた場合、重要な設定が変更された場合などのアクティビティを見ることができます。そして、潜在的な脅威をリアルタイムで警告します。

Varonisは、各アラートを関連するMITRE ATT&CKの戦術と手法にマッピングし、セキュリティ部門がアラートの文脈、影響、段階をより深く理解できるように支援します。

クラウドを跨いだ詳細なイベントの監査証跡により、データを誰がどのように使用しているか簡単に把握できるため、Snowflakeや広範なクラウド環境全体での、侵入後の横展開を含む脅威を簡単に調査できます。

監査証跡を、特権ユーザー、機密性、アクティビティの種類などで監査証跡にフィルターを掛けることにより、調査を迅速化します。

総合的なデータセキュリティ。

部分的な可視性しか提供しないサイロ化されたソリューションで割り切らないでください。

Varonisは、SaaSとIaaS環境全体にわたる包括的なデータセキュリティソリューションを提供します。Varonisの統合プラットフォームを使用すると、組織のSnowflakeのデータセキュリティ態勢を容易に監視して改善し、機密性の高いデータのリスクを最小限に抑え、サイバー脅威から防御することができます。

参考資料

・オリジナル記事「Varonis Expands Coverage to Help Secure Critical Snowflake Data」（英文）
https://www.varonis.com/blog/snowflake-data-security

・DSPMソリューション
https://www.varonis.com/ja/use-case/dspm

・最小特権の自動化
https://www.varonis.com/ja/use-case/least-privilege-automation

・製品データシート「Varonis for Snowflake」
https://view.highspot.com/viewer/669a82c32e40618bc9fd1ddc

ブログ記事著者の紹介

Nathan Coppinger

Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。

（翻訳：跡部 靖夫）