Snowflake、2025年後半までに単一要素認証の段階的廃止を発表　MFA義務化へ：Cybersecurity Dive

　Snowflakeのブラッド・ジョーンズ氏（最高情報セキュリティ責任者）は、2024年12月9日（現地時間）に電子メールで次のように述べた。

　「私たちのゴールは、顧客のセキュリティ姿勢を向上させるために、強力な認証オプションを提供し、最終的には従来の認証方法を廃止し業界の基準を引き上げることだ」

　MFAを導入していない100以上の顧客を襲ったサイバー攻撃から1年が経過し（注2）、Snowflakeによるパスワードポリシーの変更が開始された。

　この広く推奨されているセキュリティ管理は、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「セキュア・バイ・デザイン」の誓約の中心的な原則であり、Snowflakeは2024年7月下旬に本誓約に署名した（注3）（注4）。

　2024年10月以降に新たに作成されたSnowflakeの全てのアカウントにおいて、MFAはデフォルトで有効になった（注5）。

　Snowflakeはこの新しい認証ポリシーをCISAによるセキュア・バイ・デザインの誓約へのコミットメントの一環と位置付けている。

　デフォルトの認証要件は、3段階に分けて実施される。

　Snowflakeは「キーペア認証を使用している顧客や、オープンスタンダードのセキュリティアサーションマークアップ言語もしくはOAuthを使用して単一要素認証を行っているユーザーには、新しいポリシーは適用されない」と述べた。

　Snowflakeの認証イベントの大半は、人間以外のアイデンティティーやプログラムアクセスに関連しており、これらはMFAには適していない。同社によると、顧客がアイデンティティーライフサイクル管理をより強固な認証形式に完全に移行するのに最大で1年かかるという。

　Snowflakeの顧客環境を狙った一連の攻撃では、盗まれた認証情報が使用され、大量の顧客データが盗まれ、それに続く恐喝が発生した。通信サービスを提供するAT&TのSnowflake環境を標的にしたサイバー攻撃が2024年4月に実行され（注6）、同社のほぼ全てのワイヤレス顧客に関するデータが危険にさらされた。

　Snowflakeは、2024年7月までに管理者が全てのユーザーまたは特定の役割に対してMFAのルールを設定できるように（注7）、新しいセキュリティポリシーを確立した。これまでは、SnowflakeのユーザーはMFAに自ら登録しなければならなかった。

　SnowflakeがMFAの導入を義務化するまでの長い道のりは、クラウドサービス業界における一般的な傾向と一致している。より高度な認証の導入が急務であるにもかかわらず、各社は段階的なアプローチを取っており、顧客が準備を整え、他の重要なサービスとの統合方法に変更が必要な技術スタックを再構築する時間を与えている。

　Amazon Web Services（AWS）やGoogle Cloud、Microsoftは2025年末までに、一部または全ての顧客に対してMFAを義務付ける予定だ。これらの義務の一部は2023年から本格的に開始されている。