SnowPro Advanced: Security Engineer完全解説【2026】

SnowPro Advanced: Security Engineer Certificationは、Snowflake環境のセキュリティ設計・実装・運用に関する専門的な知識を証明する試験です。ネットワーク分離・暗号化アーキテクチャ・RBAC/DAC・データマスキング・監査・コンプライアンス対応など、セキュリティエンジニアが日常的に設計・管理する機能が網羅的に出題されます。

試験概要

項目	詳細
問題数	65問（単一選択・複数選択）
試験時間	115分
合格ライン	750点 / 1000点満点
受験料	$375 USD
前提条件	SnowPro Core認定（有効期間内）
受験方法	Pearson VUE（テストセンター or オンライン）
認定有効期間	2年間
推奨経験	Snowflakeセキュリティ設計・運用の実務2年以上

出題ドメインと配点

ドメイン	配点	主要トピック
1. Network Security	20%	ネットワークポリシー、PrivateLink、VPN、IP制限
2. Access Control	25%	RBAC/DAC、ロール階層設計、マスキングポリシー、行アクセスポリシー
3. Encryption & Key Management	20%	AES-256、キー階層、Tri-Secret Secure、キーローテーション
4. Audit & Monitoring	20%	ACCESS_HISTORY、LOGIN_HISTORY、QUERY_HISTORY、監査ログ分析
5. Compliance & Governance	15%	SOC 2、HIPAA、PCI DSS、GDPR、データ分類、タグ管理

ネットワークセキュリティ

ネットワークポリシー

設定項目	説明
ALLOWED_IP_LIST	アクセスを許可するIPアドレス/CIDRのリスト
BLOCKED_IP_LIST	ALLOWED_IP_LIST内から除外するIP
適用レベル	アカウントレベル or ユーザーレベル（ユーザーレベルが優先）
注意点	設定ミスでロックアウト時はSnowflakeサポートへ連絡が必要

プライベート接続

AWS PrivateLink：VPC内からSnowflakeへのプライベート接続。インターネット非経由
Azure Private Link：VNet内からのプライベート接続
GCP Private Service Connect：VPC内からのプライベート接続
Business Critical Edition以上で利用可能
Internal Stage（PUT/GET）、Snowsight、SnowpipeへのアクセスもPrivateLink経由で保護可能

アクセス制御

RBAC / DAC の統合モデル

SnowflakeはRBAC（Role-Based Access Control）とDAC（Discretionary Access Control）を組み合わせたアクセス制御モデルを採用しています。

アクセス制御	仕組み	管理方法
RBAC	ロールに権限を付与し、ユーザーにロールを割り当て	GRANT ROLE / GRANT PRIVILEGE
DAC	オブジェクト作成者（所有ロール）が権限を他ロールに付与	GRANT ... ON ... TO ROLE

ロール階層設計のベストプラクティス

すべてのカスタムロールはSYSADMINの配下に配置する（ロールツリーの断絶を防止）
ACCOUNTADMINは日常業務で使用せず、必要時のみ切り替え
機能別ロール（DATA_READER / DATA_WRITER / ANALYST）と環境別ロール（DEV / STG / PROD）を組み合わせる
MANAGED ACCESS スキーマを使用して、スキーマ所有者に権限管理を集中させる

データマスキング

マスキング種類	説明	適用方法
ダイナミックデータマスキング	クエリ実行時にロールに応じてカラム値をマスク	ALTER COLUMN ... SET MASKING POLICY
External Tokenization	外部サービスで値をトークン化	External Function + マスキングポリシー
タグベースマスキング	タグに紐づけてマスキングポリシーを一括適用	ALTER TAG ... SET MASKING POLICY

行アクセスポリシー

マッピングテーブルでロールとアクセス可能なデータの対応を定義
CURRENT_ROLE()やIS_ROLE_IN_SESSION()を使用してポリシー内でロール判定
マスキングポリシーとの組み合わせで列レベル+行レベルの二重保護が可能
Enterprise Edition以上で利用可能

暗号化とキー管理

暗号化アーキテクチャ

層	暗号化方式	管理主体
データファイル	AES-256ファイルキーで暗号化	Snowflake自動管理
テーブルキー	ファイルキーを暗号化するキー	Snowflake自動管理
アカウントマスターキー	テーブルキーを暗号化するルートキー	Snowflake管理（年1回自動ローテーション）
複合マスターキー（Tri-Secret Secure）	顧客キー + Snowflakeキー → 複合キー	顧客 + Snowflake共同管理

すべてのデータは書き込み時に自動暗号化され（Encryption at Rest）、ネットワーク転送時もTLS 1.2で保護されます（Encryption in Transit）。ユーザーが暗号化の有効/無効を制御する設定はなく、常に有効です。

キーローテーション

自動ローテーション：Snowflake管理キーは年1回自動ローテーション（Enterprise Edition以上）
定期リキー：古いキーで暗号化されたデータを新しいキーで再暗号化（Periodic Rekeying）
顧客管理キー：Tri-Secret Secure使用時は顧客側のKMSでキーローテーションスケジュールを設定

監査とモニタリング

ビュー	内容	レイテンシ
LOGIN_HISTORY	ログイン成功/失敗・認証方式・IPアドレス	最大120分
ACCESS_HISTORY	オブジェクトへの読み取り/書き込みアクセス履歴	最大3時間
QUERY_HISTORY	実行されたすべてのクエリの詳細	最大45分
SESSIONS	アクティブセッション情報	最大3時間
GRANTS_TO_USERS	ユーザーへのロール付与履歴	最大120分

セキュリティ監査では、LOGIN_HISTORYで不審なログイン試行（短時間の大量失敗・未知のIPからのアクセス）を検出し、ACCESS_HISTORYで想定外のデータアクセスパターンを分析する運用が重要です。

コンプライアンス

基準	対応エディション	必要な設定
SOC 1 / SOC 2 Type II	全エディション	標準で対応
HIPAA	Business Critical以上	BAA締結・暗号化・アクセス制御・監査ログ
PCI DSS	Business Critical以上	ネットワーク分離・暗号化・アクセス制御・ログ監視
FedRAMP Moderate	VPS（政府向け）	FedRAMP認定リージョンでの運用
GDPR	全エディション	データ保持ポリシー・データマスキング・削除対応

HIPAAコンプライアンスでは、SnowflakeとBAA（Business Associate Agreement）を締結する必要がある
PCI DSSではカード会員データの暗号化・アクセス制限・ログ記録・定期的な脆弱性スキャンが必須
GDPRでは「忘れられる権利」に対応するため、個人データの削除プロセスを設計する必要がある

問題で確認

SnowPro Advanced: Security Engineer

問題 1

Snowflakeで顧客管理の暗号鍵を使用し、顧客側がキーを無効化するとSnowflakeもデータにアクセスできなくなる暗号化方式はどれですか？

End-to-End Encryption (E2EE)
Tri-Secret Secure
Client-Side Encryption
Transparent Data Encryption (TDE)

正解: B

Tri-Secret Secureは顧客管理キー（AWS KMS/Azure Key Vault/GCP Cloud KMS）とSnowflake管理キーを組み合わせた複合マスターキーを生成する暗号化方式です。顧客が自身のKMSでキーを無効化すると、複合キーが生成できなくなり、Snowflakeもデータを復号できなくなります。Business Critical Edition以上で利用可能です。

よくある質問

SnowPro Advanced Security Engineer試験はAdministrator試験とどう違いますか？

Administrator試験はセキュリティを含むアカウント運用全般（パフォーマンス・コスト管理・データガバナンス等）を幅広くカバーしますが、Security Engineer試験はセキュリティに特化して深い知識を問います。具体的には、暗号化アーキテクチャ（AES-256/キー階層/Tri-Secret Secure）、ネットワーク分離（PrivateLink/VPN）、コンプライアンス要件への対応設計（SOC 2/HIPAA/PCI DSS）、監査ログ分析（ACCESS_HISTORY/LOGIN_HISTORY）など、セキュリティエンジニアの専門領域が出題対象です。

Tri-Secret Secureとは何ですか？試験でどのように出題されますか？

Tri-Secret Secureは3つの暗号鍵（Snowflake管理キー・顧客管理キー・複合マスターキー）を組み合わせた暗号化方式です。顧客がAWS KMS/Azure Key Vault/GCP Cloud KMSで管理するキーとSnowflakeのキーを複合させることで、顧客側がキーを無効化するとSnowflakeもデータにアクセスできなくなります。試験では「Business Critical Edition以上で利用可能」「顧客がキーを取り消した場合の挙動」「設定手順」が問われます。

Security Engineer試験でコンプライアンス（SOC 2/HIPAA/PCI DSS）はどの程度出題されますか？

出題全体の約15%を占めます。各コンプライアンス基準とSnowflakeの対応エディション（HIPAA/PCI DSSはBusiness Critical以上）、必要な設定（ネットワーク分離・暗号化・監査ログ有効化・アクセス制御）、BAA（Business Associate Agreement）の締結手順が問われます。具体的なコンプライアンス条文の暗記は不要ですが、Snowflakeの機能がどの基準のどの要件を満たすかを理解する必要があります。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

無料で問題を解いてみる

この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。