第16回
Snowflake内の重要データの安全を確保するには
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第16回目となる今回は、「Snowflake内の重要データの安全を確保するには」と題して、Snowflakeのセキュリティ態勢を改善しながら、お客様の重要なSnowflakeデータと基盤となるクラウドインフラストラクチャーの可視性をセキュリティを強化する方法をご紹介する、当社Nathan Coppingerのブログ記事をご紹介いたします。
どこにデータがあろうと保護するVaronisが、その保護範囲をSnowflake上のデータウェアハウスとデータベースにも拡張されました。
Snowflakeを使用してデータ基盤の簡素化、AI戦略の強化、アプリケーションの開発を行っている企業は数千社にのぼります。
Snowflakeを使用すると、エンドユーザーはデータの保存、管理、共有さらにはエクスポートを簡単に行うことができますが、データの多くは機密性の高い情報です。セキュリティの監視が無ければ、ユーザーは大量の重要データをサイバー脅威に晒してしまう可能性があります。
Varonisは、お客様の重要なSnowflakeデータと基盤となるクラウドインフラストラクチャーの可視性をセキュリティを強化することができるようになりました。新しい統合により、以下のようなことが可能になります:
• Snowflakeのセキュリティ態勢を一元的な把握と、過剰なアクセス権や重大な構成不備によってデータが公開されている場所の特定。
• Snowflakeデータウェアハウスに保存されている機密性の高いデータの検出、分類。
• データがSnowflakeマーケットプレイスで公開されている場所、あるいはAWS、Azure、Google Cloudのパブリックステージにエクスポートされた場所の特定。
• 構成ドリフトを検出して修正することにより、コンプライアンスを維持し、Snowflakeのセキュリティ態勢の改善を支援。
• アクティビティを監視して、Snowflakeとクラウド環境全体の脅威を検出、調査。
Snowflakeのセキュリティ態勢の改善。
Varonisのカスタマイズ可能なDSPMダッシュボードは、Snowflakeおよびより広範なクラウド環境全体のデータセキュリティ態勢の概要を一元的に提供します。
機密性の高いデータが危険に晒されている可能姓が高い場所や、過剰なアクセス権、公開露出、構成不備などによるセキュリティ態勢に隙間があるかどうか—これをすべて1枚のガラス窓から簡単に特定できます。
これらのダッシュボードから、クラウドリソース全体のリスクを修正し、データセキュリティ態勢の改善を始めましょう。
機密性の高いSnowflakeデータを自動的に発見、分類。
Varonisは、Snowflakeデータをスキャンし、データの機密性、集中度(ヒット数)、露出度を、見通しの良い階層ビューで表示することができます。このような文脈が加わることで、検出結果がすぐに対応可能になります。
Varonisの組み込み分類機能の広範なライブラリーは、機密性の高いデータや規制対象のデータを、表や列に至るまで正確に特定するのに役立ちます。ライブラリーには、個人識別情報 (PII)、財務データ、知的財産、AIのトレーニングデータなど、ロックダウンして保護すべき各種の機密性の高い情報が含まれています。
分類範囲をカスタマイズして、重要なSnowflakeデータベースの分類に優先順位を付け、スキャンを高速化し、コストを抑えることができます。
ファイル分析により分類結果を簡単に確認でき、各データベーステーブル内のどこに分類結果があるかを正確に表示できます。
機密性の高いデータの露出を特定、削減。
Varonisは、詳細な権限をSnowflakeデータとマッピングし、複雑な権限構造を正規化されたCRUDSモデル(作成、読み取り、更新、削除、共有)モデルに簡素化します。
Varonisは、組織内のさまざまなユーザーやグループが重要なデータに対して何ができるのか、また、内部、外部、一般公開のどこで過剰に露出される可能性があるのかを理解するのに役立ちます。
Varonisを使用して、Snowflakeのロールと権限の作成、割り当て、変更を容易に理解し、Snowflakeデータベースに過剰なアクセス権がある場所を迅速に特定し、最小権限モデルに移行できます。
外部アカウントや個人アカウントがSnowflakeデータベースにアクセスできる場所や、Snowflakeマーケットプレイスで公開されているかどうか、AWS、Azure、Google Cloudの外部ステージにエクスポートされているかどうかを確認できます。
Varonisはまた、重要なSnowflakeのセキュリティ設定や侵害された場合に重大な損害を引き起こす可能性のあるユーザー権限を変更する特権を持つ、シャドゥ管理アカウントやバックアップ管理アカウントを自動的に検出することもできます。
構成ドリフトを検出して修正。
Varonisは、お客様のSnowflakeデータウェアハウスと広範なクラウド環境を継続的にスキャンし、データを危険に晒す可能姓のあるセキュリティの隙間や構成不備を特定します。
Varonisは次のようなセキュリティリスクを明らかにします:
• 行アクセスポリシーが未適用
• ネットワークポリシーが未適用
• 機密性の高いデータが外部ステージにエクスポート可能
お客様環境の態勢を、CIS、ISO、NISTやHIPAAなどの標準ルールや規制と簡単に比較し、お客様の構成がコンプライアンス基準に準拠できていない箇所を特定します。
各構成の分析情報には、修復作業の優先順位付けに役立つ重大度レベルが表示されます。追加の文脈では、その構成不備がなぜセキュリティリスクであるのかが説明され、問題を修正するための詳細な推奨事項が提供されます。
重要なSnowflakeデータに対する脅威を検出、阻止。
Varonisは、脅威の兆候となる可能性のある異常なアクティビティや危険なアクティビティがないか、お客様のSnowflake環境を監視します。
ユーザーが特権権限が付与された場合、データが外部ステージにエクスポートされた場合、重要な設定が変更された場合などのアクティビティを見ることができます。そして、潜在的な脅威をリアルタイムで警告します。
Varonisは、各アラートを関連するMITRE ATT&CKの戦術と手法にマッピングし、セキュリティ部門がアラートの文脈、影響、段階をより深く理解できるように支援します。
クラウドを跨いだ詳細なイベントの監査証跡により、データを誰がどのように使用しているか簡単に把握できるため、Snowflakeや広範なクラウド環境全体での、侵入後の横展開を含む脅威を簡単に調査できます。
監査証跡を、特権ユーザー、機密性、アクティビティの種類などで監査証跡にフィルターを掛けることにより、調査を迅速化します。
総合的なデータセキュリティ。
部分的な可視性しか提供しないサイロ化されたソリューションで割り切らないでください。
Varonisは、SaaSとIaaS環境全体にわたる包括的なデータセキュリティソリューションを提供します。Varonisの統合プラットフォームを使用すると、組織のSnowflakeのデータセキュリティ態勢を容易に監視して改善し、機密性の高いデータのリスクを最小限に抑え、サイバー脅威から防御することができます。
参考資料
・オリジナル記事「Varonis Expands Coverage to Help Secure Critical Snowflake Data」(英文)
https://www.varonis.com/blog/snowflake-data-security
・DSPMソリューション
https://www.varonis.com/ja/use-case/dspm
・最小特権の自動化
https://www.varonis.com/ja/use-case/least-privilege-automation
・製品データシート「Varonis for Snowflake」
https://view.highspot.com/viewer/669a82c32e40618bc9fd1ddc
ブログ記事著者の紹介
Nathan Coppinger
Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり