2026年5月下旬、Azure Databricksに複数の重要な変更が一斉に展開される。なかでも注目すべきは、コンプライアンスセキュリティプロファイルが有効なワークスペースへのScoped PAT(スコープ付き個人アクセストークン)のデフォルト有効化と、New SQL Editorのデフォルト化だ。地味に見えて実運用への影響は大きく、インフラ担当者は今から準備しておく必要がある。
New SQL Editorがデフォルトに
2026年5月下旬をもって、Databricksの新しいSQL Editorが全ワークスペースで標準UIになる。これまでは手動で切り替える必要があったが、5月以降は新規・既存を問わず自動的にNew SQL Editorが適用される。
インターフェースの操作感が変わるため、日々使っているデータエンジニアやアナリストへの事前周知が欠かせない。特に大規模なチームで共有ダッシュボードや保存済みクエリを多用している場合、切り替え後のUI差異による混乱を防ぐためのウォークスルーを社内で実施しておくと安心だ。
Scoped PATとは何か——「最小権限」を自動化に組み込む
従来のPAT(Personal Access Token)は、作成者が持つワークスペース全体の権限をそのまま引き継ぐ仕組みだった。PATが漏洩したり誤用されたりすると、そのユーザーが持つすべての操作権限が侵害される。
Scoped PATはこの問題を解消する。トークン生成時に1つ以上のAPIスコープ(操作範囲)を明示的に指定することで、そのPATが実行できる操作を特定のAPI呼び出しに限定できる。「ジョブ実行のみ許可」「クラスター一覧の取得のみ」といった粒度で制御可能だ。
これはゼロトラストの観点から非常に正しいアプローチだ。APIキーやトークンといったNon-Human Identity(NHI:非人間アイデンティティ)は、日々の自動化・CI/CDパイプライン・スクリプトで大量に使われているが、その権限管理は往々にして雑になりがちだ。「とりあえず全権限で」「後で絞る」は永遠に後で絞られない。Scoped PATによってデフォルトが最小権限側に引き寄せられるのは、セキュリティ成熟度を底上げする変化だ。
見落としがちな「孤立権限」の罠
今回のリリースで特に注意が必要なのが、ワークスペース・オブジェクト権限の継承変更だ。今後は、ワークスペースから削除済みのグループに残存している権限(「孤立権限」)が、意図せず有効化される可能性がある。
具体例を挙げると、「Contractors」グループがワークスペースから除外されていても、そのグループがフォルダへの編集権限を保持したままの場合、グループメンバーが突然そのフォルダにアクセスできるようになる。DatabricksはOrphaned Permission Analysis Notebookを提供しているため、リリース前に必ず実行して孤立権限を洗い出すべきだ。
Terraform・SCIM自動化ユーザーへの破壊的変更
もうひとつ見逃せないのが、ワークスペース・システムグループ(users・admins)のエンタイトルメント固定化だ。これまでは自動化スクリプトやTerraformでusersグループのエンタイトルメントを操作できたが、今後はこれが不可能になる。
既存のエンタイトルメントはクローングループに自動移行されるとのことだが、Terraform・Workspace SCIM API・カスタムスクリプトでシステムグループを管理している場合はコードの修正が必須。移行前に自動化ワークフローを棚卸しておくことを強く推奨する。
Power BI → ADBC移行も並行して進める
2026年7月には、Power BIのすべての接続がODBCからADBC(Arrow Database Connectivity)へ移行する。2025年10月からパブリックプレビューとなっており、2026年2月以降の新規接続はすでにADBCがデフォルトになっているが、既存の接続はODBCのままだ。本番移行前に、ステージング環境でADBC接続の動作検証を済ませておこう。
実務への影響
- データエンジニア: New SQL Editorへの切り替えをチームへ事前周知。保存済みクエリ・ワークフローの動作確認を。
- セキュリティ担当者: Scoped PATのスコープ設計を今から検討。既存PATの棚卸しと最小権限への見直しを。
- インフラ/プラットフォームチーム: 孤立権限の棚卸し(Notebookを活用)とTerraform/SCIMスクリプトの修正を5月リリース前に完了させる。
- BIチーム: Power BIのADBC移行を7月本番前にステージングで検証。
筆者の見解
Scoped PATの話は、表面上は「PATのスコープが切れるようになった」という地味な機能追加に見える。しかし本質はもっと深いところにある。
自動化やAIエージェントが日常的に動く現代の環境では、人間のアカウントよりもNHI(サービスアカウント、APIキー、トークン類)の方が圧倒的に多い。そしてこれらNHIの権限管理が甘いままでは、いくら認証を強化しても意味がない。Just-In-Time(JIT)アクセスや最小権限の原則は、人間のアカウントだけでなくNHIにも適用されなければならない。Scoped PATはその方向性への一歩だ。
一方で、孤立権限の問題が示すように、権限管理を長年放置していると「変更を加えるたびに想定外のアクセスが発生する」状態になる。これはセキュリティの問題というよりガバナンスの問題だ。「今動いているから大丈夫」という姿勢は、自動化投資の足を引っ張る最大の障壁になる。
今回のAzure Databricksのアップデートは、地味ながらも「ちゃんとやろうとしている」という意志が感じられる変更群だ。インフラチームがこの機会に権限管理の棚卸しをするきっかけにしてほしい。
出典: この記事は Azure Databricks: SQL editor becomes default + scoped PAT GA in May 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。