はじめに
こんにちは。ナウキャストでデータエンジニアをしているTakumiです。
2025年6月2日〜6月5日まで、Snowflake Summit 2025が開催されています。
本記事では、「Horizon Catalogの新機能」セッション(WN209B)の内容を整理します。
講演の基本情報
講演タイトル
What's New: Governance and Security for Data and AI with Horizon Catalog
スピーカー
- Raja Balakrishnan(Senior Manager, Product Management, Snowflake)
- Anoosh Saboori(Principal Product Manager, Snowflake)
講演日時
日時: 2025-06-04 13:00–13:45(現地時間)
Horizon Catalog
概要
Horizon Catalogは、社内外のあらゆるデータ資産の活用、ガバナンス整備、セキュリティ管理を統合的に行うプラットフォームです。
Horizon Catalog自体は2023年末ごろに発表され、昨年のSnowflake Summitで主要機能のGAが発表されました。
AI Data Cloudとして、複雑化しているデータエコシステム(マルチクラウド、多形式データ、BIツール、AIモデル等)を一元的かつガバナンスを効かせて管理するために、導入されました。
Horizon Catalogの導入効果
Horizon Catalogを導入することで、企業はガバナンス・セキュリティ・運用面で以下の効果を得られます。
-
迅速なデータ発見とプライバシーを保ったコラボレーションの実現
(Enable quick discovery & privacy-preserving collaboration) -
コンテンツを適切なアクセス制御で保護
(Easily protect all content with granular capabilities) -
脅威モニタリングとロールベースアクセス制御の一元管理
(Centralize threat monitoring & role-based access controls across clouds) -
テーブル形式・エンジン・カタログをまたいだ相互運用性の提供
(Interoperate across table formats, engines & catalogs) -
すべてのデータとAI資産のメタデータを一元管理
(Manage metadata for all your data & AI assets in one place)
具体的な機能
Horizon Catalogでは、以下の機能が用意されています。
機能と対応する効果をテーブルにまとめました。対応する効果を前段の導入効果の番号で記載しています。
| 機能 | 対応する効果(番号) |
|---|---|
| Universal Search(自然言語検索) | 1, 5 |
| Internal Data Marketplace | 1, 2, 5 |
| Copilot for Horizon | 1, 2, 3, 5 |
| Trust Center(セキュリティ設定の可視化) | 2, 3 |
| Data quality monitoring | 1, 5 |
| Data linage visualization | 1, 4, 5 |
| タグとポリシーの継承・自動適用 | 2, 3, 4, 5 |
| 外部データとの相互運用性 | 4, 5 |
| データクリーンルーム(安全な社外連携) | 1, 2 |
セッション内容
本セッションでは、主にセキュリティとガバナンスの2点にフォーカスして、具体的な新機能の発表およびデモが行われました。
セキュリティ
Snowflakeではセキュリティへの投資として以下の3点に焦点を当てています。
- Secure by Design (設計段階からのセキュリティ)
- Continuous Supply Chain Security and Threat Intelligence (継続的なサプライチェーンセキュリティと脅威インテリジェンス)
- Easy to Use (スムーズなセキュリティ体験)
それぞれの概要は以下の通りです。
Secure by Design
- 製品やサービスの開発の初期段階から、セキュリティを組み込むことを重要視する。
- パスワードの廃止や多要素認証 (MFA) の必須化など、よりセキュアな認証方法への移行を推進中。
Continuous Supply Chain Security and Threat Intelligence
- サプライチェーン全体および顧客アカウントの継続的な監視と、脅威インテリジェンスの提供に焦点を当てる。
- 悪意のある活動を検出するために独自のMLモデルを活用。(太字の部分より「AI-Led Monitoring」の概念が出てきている。)
Easy to Use
- セキュリティ機能を簡単に使用でき、日々のワークフローにシームレスに統合されることをゴールとする。
- ユーザーがセキュリティ関連の情報にアクセスしやすく、ポリシーを管理しやすくするための機能改善を行っている。
ガバナンス
ガバナンスにおいても同様に、以下の3点に焦点を当てています。
- Detect and protect(検出と保護)
- Proactive Data quality control(能動的なデータ品質コントロール)
- Democratized AI governance(AIを利用したガバナンス強化)
Detect and protect
- 機密データの使用状況を検出、保護、および報告することを可能にする。
- データリネージを可視化する上で、より拡張した可視化機能を構築。
Proactive Data quality control
- データの品質を理解し、問題の根本原因を特定し、データ品質の問題による影響を評価を可能にする。
- 問題発生前にデータのモニタリング、品質のメトリクス確認を実施することで、異常を検出する機能を構築。
Democratized AI governance
- MLを活用してデータガバナンスに関連するタスクを効率的かつ効果的に行うことを可能にする。
- AIの力を活用してガバナンスプロセスを簡素化し、より多くのユーザーがアクセスできるようにする機能を構築。
当日に説明された機能
ここでは、すでにGAとなっている機能も含めて当日説明された機能を解説します。
外部データ連携の拡張
Catalog-Linked Databases (GA Soon)
- 外部カタログとの相互運用性を提供するための機能。
- 外部カタログによって管理されているオブジェクトのメタデータをSnowflake内に自動的に同期可能。
- データがSnowflakeからアクセスされる限り、分類、マスキング、RBACといったSnowflakeのガバナンスおよびセキュリティの利点が自動的に適用される。
External Data in Universal Search (Private Preview Soon)
- Universal Search の対応範囲が拡張。
- Postgres、MySQL、SQL Serverなどの外部データソースも検索、発見、探索が可能。
セキュリティ
New MFA Methods: PassKeys, Authenticator Apps, OTP(GA)
-
認証アプリ(Authenticator Apps) がサポートされた。時間ベースのワンタイムパスワード(OTP)コードを生成・利用可能。
-
アカウント管理者がエンドユーザー向けに生成できるリカバリーコードも今後提供される予定。(時期は明言されず。)
Workload Identity Federation(GA Soon)
- サービスユーザー向けの新しい認証方法。
- クラウドサービスプロバイダー(CSP)のネイティブなID機能(Azure, AWS, GCPなど)を活用したSnowflakeへの接続が可能。
- CSP側のID管理と連携し、サービスユーザーがアクセスできる範囲を制御できます。
Programmatic Access Token (GA)
- プログラムからのSnowflakeへの接続のための標準的な認証メカニズム。
- 「security by designation」が組み込まれており、利用にはネットワークポリシーの必須化が含まれる。万が一トークンが侵害された場合でも、指定されたネットワークポリシー内でのみ使用可能。
- トークンの有効期限はデフォルトで15日
- 特定のロールに紐づけて発行できるため、トークンを使ってアクセス範囲を限定可能。
User-Based Access Control (GA)
- アクセス制御と権限管理の強化機能として、ユーザーに直接GRANT出来る。
- Boxなどの他のプラットフォームでの共有機能と同様に、特定のデータやアプリケーションに対する権限を、ロールを介さずにユーザーに直接割り当て可能。
Restricted Caller's Rights(GA Soon)
- アプリケーションがエンドユーザーの代わりにSnowflake上のリソースへアクセスする際の権限を、より安全かつ明確に制御するための機能。
- エンドユーザー本人の権限とアプリの権限の 交差部分(AND) だけが実行されるため、最小特権の原則が保たれる。
具体的なイメージは以下。
- 管理者がアプリケーションの「所有ロール」(例:SPCS_OWNER)に対して CALLER 権限を与える
GRANT CALLER SELECT ON TABLE X TO ROLE SPCS_OWNER;
- エンドユーザー(例:ROLE SALES)には通常の SELECT 権限を付与
GRANT SELECT ON TABLE X TO ROLE SALES;
- アプリケーションは、「CALLER権限 ∩ ユーザー権限」 の範囲内でのみデータにアクセス可能
→ つまり、許可された範囲を越えてデータを見ることはできない。
Trust Center Anomaly Detection (GA)
- Trust Centerに異常行動を検知する機能。
- Snowflakeが構築した機械学習モデルかルールベースによる監視を行う。
- 高い確信度で悪意のある活動が検出された場合、Snowflake側でアクセスをブロック。
Trust Center Leaked Credential Protection (GA)
- Trust Centerに漏洩したパスワードの保護機能。
- パスワードの漏洩が見つかった場合、ユーザーを無効化。
- この機能により、過去半年で1065以上のユーザーが無効化された。
- 常時稼働していて無料!!!
Trust Center Malicious IP Protection(GA Soon)
- 悪意のあるIPアドレスからの保護機能。
- 悪意のある活動をホストすることが知られているIPアドレスのリストを使用し、これらのIPからのSnowflakeへのアクセスをブロックします。
- 常時稼働していて無料!!!
Trust Center Extensions
- セキュリティスキャン拡張機能をサポート。
- Snowflakeのネイティブフレームワークを使用して独自のセキュリティソリューション(スキャナー)を構築し、Trust Centerにデプロイできる。
Network Access Transparency
- ネットワークポリシーの使用状況を可視化。
- ユーザーのアクセスまたはポリシーの使用状況を捕捉する2つの新しいオブジェクト(ビューなど)が提供される。
Built-in SaaS Network Rules(Private Preview)
- ネットワークポリシー設定を簡素化するために、組み込みのSaaSネットワーク識別子のサポート。
ガバナンス
Sensitive Data Monitoring(Private Preview Soon)
- UI統合を使用して、監視設定を容易にすることが可能。
- アカウント全体、または特定の重要なデータベースを監視対象として選択できる。
Sensitive Data Insights(Private Preview Soon)
- アカウント全体の機密データについて、一目でわかる包括的なビューを提供。
- 機密データがどこにあるか、データの種類、および規制基準へのマッピングなどを把握できる。
Sensitive Data Reporting(Private Preview Soon)
- プラットフォームにアクセスすることなく更新情報を得るために、メール通知をスケジュールする機能を提供。
- エンタイトルメントレポート(どのユーザーがどの機密情報にアクセスできるか)と、監査レポート(誰が機密情報にアクセスしたか)の2種類のレポートが提供される。
Automatic Tag Propagation(GA)
- データのコピー(テーブルからテーブルへ)または保護(テーブルからビューへ)が行われた際に、タグを自動的に伝播。
- 伝播時にマスキングポリシーを適用する機能もサポートしており、これにより「防御層の厚み(defense and depth)」アプローチが可能。
Contacts(Public Preview)
- ソースでは「Contextualized Object Information」 または「assigning contacts」 と呼ばれています。
- 管理者は各オブジェクトに、担当者やデータスチュワードなどの情報を指定できるようになります。
- エンドユーザーは、この情報を参照して、データへのアクセスなどについて適切なアクションをとることができます。
- この機能は現在パブリックプレビューとして利用可能になる予定です。
Data Quality Monitoring UI in Snowsight(Private Preview)
- データの品質と健全性をプロアクティブに監視する機能。
- Snowsightにデータ品質専用のUIが追加される。
- ユーザー、データエンジニアがそれぞれ見やすいUIでデータの活用と管理が可能に。
Expectations for Data Quality Monitoring(Private Preview)
- データ品質に関する閾値を設定することで、ユーザーが定量的に品質を判断することが可能。
Anomaly Detection for Data Quality Monitoring(Private Preview)
- 鮮度やボリュームなどの特定のメトリクスについて、機械学習を活用してデータの品質における異常を検知。
- データのロードの遅延やレコード数の異常な少なさなどの異常なイベントをプロアクティブに特定可能。
Integrated Notifications for Data Quality Monitoring(Private Preview)
- データ品質アラートがSnowflakeのネイティブ通知プラットフォームと統合される。
- データスチュワードは、重要なデータに関する品質問題が発生した際に、メールなどで通知を受けることができる。
Process Lineage(Public Preview Soon)
- リネージを生成したSQLステートメントやストアドプロシージャをUI内で直接表示できる機能が追加。
AI-Powered Descriptions - Programmatic Access (GA)
- Auto ClassificationのSQL API/関数バージョンが追加。
- データパイプラインに組み込むことでスケーラブルなデータタギングが可能になり、プログラムからのアクセスが提供される。
コード例は以下。
CALL AI_GENERATE_TABLE_DESC(
'prod.medical_info_organizational_data',
{
'describe_columns': true,
'use_table_data': true
}
);
Synthetic Data Generation (GA)
- 元のデータの形式と統計的特性を保持したまま、機密情報の偽のコピーを作成できる機能。
- 合成データ生成のUI設定もまもなく提供される予定。
Copilot for Horizon Catalog (Private Preview Soon)
- ユーザーがアカウントのガバナンスやセキュリティの状況について自然言語で質問可能。
- デモでは、特定のタグを持つテーブルやマスキングポリシーを持つカラム、過去の期間に特定のユーザーがクエリしたテーブルなどの情報について、自然言語で質問し回答を得ることができていました。
まとめ
本セッションでは、Horizon CatalogにてSnowflakeが提供する最新のガバナンス・セキュリティ機能の進化が網羅的に紹介されました。
特に注目すべきポイントは以下の通りです。
-
セキュリティ面では、より高度なセキュリティ構成を目指した設計による実装が進んでいます。今後、Workload Identity FederationやProgrammatic Access Tokenといったよりモダンな認証方法の活用が主流になる可能性があります。
-
Trust Centerの強化(異常検知、漏洩パスワード保護、悪意あるIP制御など)は、セキュリティ運用の負担軽減に繋がる施策として実務でも効果的に活用できそうです。
-
ガバナンス面では、AIを活用した説明生成のAPI実装やデータ品質監視の自動化、タグの自動伝播など、「人手を介さずにデータ管理が整う世界観」が実現されつつあります。まだPrivate Previewの機能が多いものの、データエンジニア、ユーザー両者の負担を軽減する機能が今後も実装されていくでしょう。
-
生成AIのみならず、異常検知といったML領域にも存在感を出しています。今後ML側のObservabilityを機能として追加していくことで、Horizon Catalogの利便性がより向上していくと思われます。
Snowflake Intelligence、Openflowの発表も含めて、可能な限りシンプルにかつ顧客の要望に沿って機能開発をしていることが感じられるセッションでした。
今後Private Previewとなっている機能を試すのが楽しみです!!!
Discussion