Google SecOps インスタンスを BYOP プロジェクトに移行する

このガイドは、 Google Cloud 管理者とセキュリティ エンジニアが、Bring Your Own Project（BYOP）モデルを使用して、既存の Google SecOps インスタンス（データを含む）を別の Google Cloud プロジェクトに移行する際に役立ちます。このプロセスでは、セキュリティ データとインスタンス構成を保持しながら、リソースの統合、請求の再調整、組織の変更への適応を行うことができます。

主な用語

• Bring Your Own Project（BYOP）: 独自の Google Cloud プロジェクトを使用して Google SecOps インスタンスをホストおよび管理するモデル。
• 概念実証（POC）: 評価またはテストに使用される非本番環境インスタンス。
• 技術担当者（TPOC）: 移行に関する技術的な連絡先として組織内で指定された担当者。

始める前に

移行を開始する前に、移行先の Google Cloud プロジェクトが次の要件を満たしていることを確認します。

• 権限: POC インスタンスのセルフサービス移行を行うには、chroniclesm.projectLink.enable 権限を含む IAM ロール chroniclesm.admin が必要です。

• 請求先アカウント: Google SecOps インスタンスは、元のプロジェクトと同じ Google Cloud 請求先アカウントを使用するターゲット BYOP プロジェクトにリンクする必要があります。請求先アカウントのサブスクリプションが有効であることを確認します。

  • Cloud 請求先アカウント ID を確認する
  • Cloud 請求先アカウントの管理
  • リンクされた Cloud 請求先アカウントのステータスを確認する

• プロジェクトの可用性: 既存の Google Cloud プロジェクトまたは新しい Google Cloud プロジェクトをターゲットとして使用できます。

  • 既存のプロジェクト: 有効な Google Cloud プロジェクトであり、アクティブな Google SecOps インスタンスにまだリンクされていないことを確認します。
  • 新しいプロジェクト: Google SecOps 用に Google Cloud プロジェクトを構成するの説明に沿ってプロジェクトを構成します。

• 組織のポリシー: 現在の Google Cloud プロジェクトに VPC Service Controls、CMEK、FedRAMP などのコンプライアンス フレームワークが有効になっている場合は、移行を開始する前に Google SecOps サポートにお問い合わせください。

• Chronicle API: ターゲットの Google Cloud プロジェクトで Chronicle API を有効にします。詳細については、Chronicle API を有効にするをご覧ください。

• 認証（BYOID のみ）: インスタンスで Bring Your Own Identity（BYOID）を使用する場合は、ターゲット プロジェクトで Workforce プールを構成します。詳細については、サードパーティの ID プロバイダを構成するをご覧ください。

• ダウンタイム: 移行プロセスにはダウンタイムが必要になります。データの完全性を維持するため、Google SecOps インスタンスとその API は一時的に使用できなくなり、HTTP 503 エラーが返されます。取り込みとフィードも影響を受けます。

インスタンスを BYOP プロジェクトに移行する

移行プロセスは、POC インスタンスを移行するか、POC 以外の本番環境インスタンスを移行するかによって異なります。

POC を本番環境の BYOP に移行する

POC から本番環境に移行する場合は、移行を自分で開始できます。このプロセスは、新しい本番環境契約が開始されると自動的に開始されます。指定された TPOC に、設定リンクが記載された契約開始通知メールが届きます。

Google SecOps インスタンスを新しいサブスクリプションにリンクするの手順（特に、既存の POC Google SecOps インスタンスを新しいサブスクリプションにリンクするのサブセクション）に沿って操作します。

非 POC プロジェクトを BYOP に移行する

組織内の再編やマネージド サービス プロバイダ（MSP）の移行など、POC 以外のプロジェクトの場合、Google SecOps サポートが移行を管理します。

1. リクエストを開始する: 標準のサポート チケットを開き、プロジェクトの移行をリクエストします。新しいサブスクリプションがあり、Google SecOps インスタンスのリンクされた Google Cloud プロジェクトを変更したいかどうかなどの詳細を含めます。
2. 移行プロセス: Google SecOps サポートが更新をトリガーします。コンソールで操作する必要はありません。移行の進行状況に応じて、自動ステータス メールがチームに送信されます。

移行プロセス中

インスタンスをターゲット プロジェクトに移動してデータの完全性を維持するには、短いメンテナンスの時間枠が必要です。

• クリティカル フェーズでは、Google SecOps インスタンスとその API が一時的に使用できなくなり、HTTP 503（Service Unavailable）エラーが返されます。これは予期されたエラーです。プロジェクトの更新が完了すると、通常のサービスが自動的に再開されます。
• データフィードへの影響について詳しくは、リンクされた Cloud プロジェクトの変更がデータフィードに与える影響をご覧ください。

移行後のアクションを完了する

移行完了の通知メールを受信したら、TPOC は次の操作を行って、すべての機能を復元する必要があります。

• 承認を構成する: ターゲット プロジェクトに必要な IAM 承認ルールをすべて設定します。詳細については、IAM を使用して機能アクセス制御を構成するをご覧ください。

• 特定の取り込みフィードを再作成する: ほとんどの取り込みフィードは中断されずに続行されますが、移行先の環境で次のフィードを手動で再作成する必要があります。お客様に必要な対応の手順に沿って対応します。

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• 他の取り込みを確認する: 他のすべての取り込みメカニズムが期待どおりに動作していることを確認します。問題が発生した場合は、Google SecOps サポートにお問い合わせください。

• BigQuery データ: 古いプロジェクトに関連付けられたデータを BigQuery に保存している場合は、Google SecOps サポートにお問い合わせください。このデータをターゲット プロジェクトに移行するお手伝いをいたします。

• 自動化を更新する: Chronicle API に依存する外部の自動化またはスクリプトを再構成します。ターゲット プロジェクト ID で更新し、新しい API キーを生成して、ターゲット プロジェクトに必要なサービス アカウントを作成します。

• POC データの移行: 既存の POC インスタンスを新しいサブスクリプションに移行した場合は、Google SecOps サポートまたは Google 担当者にお問い合わせください。有効化後に POC データの移行をサポートします。

トラブルシューティング

• HTTP 503 エラー: このエラーは、移行プロセス中のセクションで説明したように、移行期間中に発生することが想定されています。完了すると、サービスは自動的に復元されます。
• フィードの問題: 手動で再作成するフィード以外のフィードが移行後に機能しない場合は、Google SecOps サポートにお問い合わせください。
• 権限エラー: ターゲット プロジェクトの IAM ロールと権限を再確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。