流出したパスワード保護

流出パスワード保護は、流出したパスワードをモニターして無効にするSnowflakeのバックグラウンドサービスであり、Snowflakeアカウントへの不正アクセスを防止するために使用できます。流出パスワード保護サービスは、管理者に通知システムを提供し、外部データベースで流出パスワードが検出された場合に、管理者がそれを認識できるようにします。

このトピックでは、以下の情報を提供します。

パスワード流出の検出

Snowflakeが流出したパスワードを発見した場合、そのパスワードがどのユーザーに関連付けられているかを識別し、そのユーザーが流出したパスワードをその後も認証に使用する可能性があるかをセキュアに検証します。

ユーザーが流出したパスワードで認証を行う可能性がある場合、Snowflakeはそのユーザーのパスワード設定を解除することで流出したパスワードを無効にし、流出したパスワードのその後の使用を拒否します。流出したパスワードを無効にした後、ユーザーはそのパスワードで認証を行うことはできませんが、 SSO などの他の認証方法があれば、それを使用して認証できます。

その後、Snowflakeはパスワードが流出したことを管理者とユーザーにメールで通知します。Snowflakeはまた、パスワードが流出したユーザーがログインする際にメッセージを表示し、アカウント管理者に連絡してパスワードを変更するためのリセットリンクを送信してもらうよう伝えます。ユーザーの新しいパスワードは、アカウントに設定されたパスワードポリシーの要件を満たしている必要があります。

流出したパスワードが管理者パスワードであることをSnowflakeが特定し、かつ他のどの管理者もパスワードをリセットできない場合、管理者から Snowflakeサポート に連絡する必要があります。

流出パスワード保護はデフォルトで有効になっており、流出パスワード保護を無効にすることはできません。

注釈

Snowflakeはパスワードをメモリ内でのみ処理し、パスワードを平文で保存しません。Snowflakeの従業員はパスワードを参照できません。

メール通知

Snowflakeはパスワードの流出を検出すると、以下の順序でメールアドレスへの通知を試みます:

  1. アカウントレベルのセキュリティ通知に使用できる 認証済みメールアドレス が1つ以上見つかった場合、Snowflakeは認証済みメールアドレスに通知します。

  2. アカウントレベルのセキュリティ通知に使用できる認証済みメールアドレスが1つ以上見つからない場合、Snowflakeは組織レベルのメールアドレスを検索し、通知を試みます。

  3. 組織レベルのメールアドレスが見つからない場合、Snowflakeは管理者ロールを持つユーザーに連絡します。

Snowflakeの通知先の詳細については、 Snowflakeの通知先の設定と管理 をご参照ください。

走査対象のユーザーのタイプ

すべての ユーザータイプ が走査され、Snowflakeは、ユーザーがパスワードを持っている場合、そのユーザーのパスワードを無効にすることができます。

ユーザーパスワードのリセット

ユーザーはパスワードによる認証をSnowflakeによってブロックされた場合、管理者に パスワードのリセット を依頼する必要があります。

管理者パスワードのリセット

ユーザーはパスワードによる認証をSnowflakeによってブロックされた場合、管理者にパスワードのリセットを依頼する必要があります。

他のどの管理者もパスワードをリセットできない場合、管理者は Snowflake Support に連絡する必要があります。

言語: 日本語
OSZAR »