SOAR の移行に関するよくある質問

以下でサポートされています。

SOAR の移行プロセスに関するよくある質問とその回答を確認する。よくある問題の解決策と、移行を成功させるためのベスト プラクティスをご紹介します。

移行の範囲と影響

Q: この移行が必要なのはなぜですか?

Google Cloudに移行して SOAR インフラストラクチャをモダナイズしています。この重要なアップグレードには、信頼性の向上、セキュリティの強化、コンプライアンスの強化、アクセス制御の粒度の向上など、重要なメリットがあります。また、Model Context Protocol(MCP)の統合を通じて、エージェント型 AI 機能へのアクセスも提供します。

移行により、次のことが可能になります。

  • Google の最高水準の API レイヤを活用して、SOAR の信頼性とモニタリング機能を強化します。このレイヤは、割り当て管理、監査、オブザーバビリティのための高度な機能を備えた最先端の API ソリューションを提供します。
  • プラットフォーム全体で機能とデータのロールベース アクセス制御(RBAC)を有効にします。
  • VPC Service Controls、データ所在地、顧客管理の暗号鍵(CMEK)など、より高度なコンプライアンス機能を提供します。

Q: 移行の範囲はどのくらいですか?

移行には次のコンポーネントが含まれます。

  • SOAR プロジェクトをお客様所有の Google Cloud プロジェクトに移行します。
  • SOAR の認証と権限を Google Cloud IAM に移行する。
  • SOAR API を Chronicle API に移行する。
  • リモート エージェントの移行。
  • SOAR 監査ログの移行。

Q: 移行直後の変更点は何ですか?

移行直後には、次のような重要な変更が適用されます。

  • GCP プロジェクトの所有権: SOAR プロジェクトは、Google の所有権からお客様が所有する Google Cloud プロジェクトに移行されます。
  • 認証:
    • Unified SecOps のお客様: 変更はありません。認証は引き続き Google Cloud IAM によって管理されます。
    • SOAR Standalone のお客様: 認証は Google Cloud IAM によって管理されるようになります。SAML を使用しているユーザーの場合、Workforce Identity 連携を採用することになります。SAML 構成は SOAR システム自体に保存されなくなり、管理もされなくなるため、セキュリティ制御が強化されます。
  • RBAC: ユーザー権限がよりきめ細かくなり、IAM を使用して管理されます。環境と SOC ロールは、引き続き SOAR モジュール内で ID プロバイダ(IdP)グループを使用して管理されます。
  • 監査ロギング: 監査ログがより詳細になり、**Cloud Audit Logs ** 内で管理されます。
  • 新しい URL(SOAR のみ): SOAR スタンドアロン ユーザーは、SOAR にアクセスするための新しい URL(新しいドメイン)を受け取ります。

Q: この移行について、お客様とパートナーにはどのように通知されますか?

すべてのお客様とパートナー様に対して、移行日と記入するフォームへのリンクを含むプロダクト内ポップアップが表示されます。移行の日時枠を確認するよう求められます。

Q: SOAR が Google Cloud プロジェクトにバインドされると、インフラストラクチャの費用は変わりますか?

いいえ。費用には影響しません。フロントエンドには変更は反映されません。プロジェクトで新しいリソースが実行されないため、関連する費用は発生しません。

Q: プロジェクトを SOAR に接続するにはどうすればよいですか?

Google は、SOAR プロジェクトを Google Cloud プロジェクトに移行します。Unified SecOps のお客様の場合は、 Google Cloud プロジェクト ID をすでに取得しています。SOAR スタンドアロンのお客様は、 Google Cloud プロジェクト ID を Google と共有する必要があります。

Q: Google SecOps をすでにデプロイしているお客様の場合、SIEM と同じプロジェクト ID を使用する必要がありますか?それとも、別のプロジェクトが必要ですか?

統合された Google SecOps デプロイ(1 つの SIEM、1 つの SOAR)の場合は、SIEM に関連付けられている既存の Google Cloud プロジェクト ID を使用する必要があります。これにより、RBAC やログなどの管理フローを一元的に管理できます。

Q: VPC Service Controls(VPC SC)などの特別な考慮事項がある Google SecOps インスタンスの場合、どのような手順が必要ですか?

移行を有効にするには、VPC SC ポリシー内で上り(内向き)ルールと下り(外向き)ルールの両方を定義する必要があります。 Google Cloud プロジェクトに VPC SC がある場合は、これらの特定のルールに関する詳細なガイダンスについてサポートチームにお問い合わせください。

ダウンタイムと継続性

Q: 移行中にダウンタイムは発生しますか?また、その影響はどの程度ですか?

はい。想定されるダウンタイムは次のとおりです。

  • SOAR スタンドアロンのお客様の場合は最大 2 時間。
  • Google SecOps のお客様の場合は最大 1.5 時間。

この期間中は、プラットフォームにログインできません。SOAR サービス(取り込み、プレイブック、ジョブなど)は一時停止されますが、SIEM サービスはバックグラウンドで実行され続けます。

Q: 停止中に生成されたデータは、SOAR サービスが再開されると自動的に取り込まれますか?

はい。システムがオンラインに戻ると、取り込みとプレイブックが再開され、ダウンタイム中に生成または取り込まれたアラートが処理されます。

Q: ダウンタイムの開始時に実行中のプレイブックはどうなりますか?

移行が開始される前にハンドブック サービスがオフになります。実行中のハンドブックの一部が失敗する可能性があります。その場合は、手動で再起動するか、移行の完了後に再開する必要があります。

Q: 移行中に問題が発生した場合のロールバックまたは緊急時対応計画はありますか?

はい。移行プロセスでは、既存の SOAR インスタンスは完全に維持されます(ただし、オフになります)。移行プロセスが正常に完了しなかった場合は、既存のインスタンスに戻して新しいインスタンスを削除できます。このロールバック プロセスには最大 30 分かかります。移行を確実に成功させるため、広範囲にわたるテストと綿密なモニタリングを実施し、オンコール スタッフが待機します。

移行後にアクセスに関する問題が発生した場合は、認証設定が正しくない可能性があります。特定と解決にトラブルシューティング ガイドを使用するには、ID、IdP、または Google Cloud 管理者と連携する必要があります。問題が解決しない場合や、アクセスに関連していない場合は、サポート チケットを開いて問題を記録し、解決状況をモニタリングします。

Q: Chronicle API の新しい SOAR エンドポイント v1 に移行できるのはいつですか?

Chronicle API の新しい SOAR エンドポイント v1 への移行は、2026 年 1 月中旬から可能です。

従来の SOAR API と API キーは非推奨となり、2026 年 9 月 30 日以降は機能しなくなります。スムーズに移行するために、次の 2 つの必須の手順を実施してください。

  1. まず、SOAR 権限グループを Cloud IAM に移行する必要があります。
  2. 既存のスクリプトと統合を更新して、以前の SOAR API エンドポイントを対応する Chronicle API エンドポイントに置き換えます。

認証と権限

Q: SOAR の権限グループと権限を移行するにはどうすればよいですか?

Google Cloud コンソールの移行スクリプトを使用して、既存の権限グループを IAM カスタムロールに移行します。このスクリプトは、ユーザー(Cloud Identity のお客様の場合)または IdP グループ(Workforce Identity 連携のお客様の場合)にカスタムロールを割り当てることもできます。

Q: カスタム権限グループを移行せずに、事前定義ロールのみを使用したい場合はどうすればよいですか?

自動移行をオプトアウトして、IdP グループを Cloud IAM ロールに手動でマッピングすることもできます。

Q: 手動認証によるカスタム SAML プロバイダを使用している SOAR スタンドアロンのお客様です。これを IdP マッピングの IdP グループに変更した場合、既存のユーザー アカウントにどのような影響がありますか?

既存のユーザーがグループのいずれかに一致し、権限が正しくマッピングされている場合、既存のユーザー アカウントに影響はありません。ただし、ユーザーがグループにマッピングされていない場合は、ログインできません。権限が異なる方法でマッピングされている場合、ユーザーは新しいマッピングに基づいて新しい権限を受け取ります。

Q: 複数の ID プロバイダを使用する MSSP に固有の前提条件はありますか?

SOAR の外部認証ページで複数の ID プロバイダを構成しているお客様は、認証用に Workforce Identity 連携を定義し、プロバイダごとに個別の Workforce プールを作成する必要があります。各プロバイダは異なるサブドメインに関連付けられています。詳細については、MSSP 移行ガイドをご覧ください。

Q: Chronicle API に対する認証方法を教えてください。

Chronicle API に対する認証の手順に沿って操作します。

Q: 新しい SOAR API にアクセスするために必要な新しい IP は何ですか?Chronicle API にアクセスするために IP アドレスを許可リストに登録する必要はありません。必要に応じて、こちらこちらに記載されている IP アドレスの範囲を許可リストに登録できます。

ロギングとモニタリング

Q: 移行の第 1 段階を完了しましたが、Cloud Audit Logs のログにログが表示されません。

ログは、最初の移行ステージの完了後に SOAR プラットフォームに保存されます。ログは、移行の第 2 段階が完了すると、 Google Cloud プロジェクトで使用できるようになります。

Q: SOAR データをマネージド BigQuery(BQ)インスタンスに送信しているお客様は、移行後もこの BigQuery データにアクセスできますか?

はい。既存のマネージド BigQuery は引き続き動作します。

物流とサポート

Q: 移行の別の時間帯を選択できますか?

いいえ。推奨される時間枠以外での移行はできません。

Q: 移行中にステータスのリアルタイム更新は行われますか?

移行プロセスの開始時と終了時にメール通知が届きます。

Q: 移行後に問題が発生した場合は、どこに問い合わせればよいですか?

移行後にアクセスに関する問題が発生した場合は、認証設定が正しくない可能性があります。特定と解決にトラブルシューティング ガイドを使用するには、ID、IdP、または Google Cloud 管理者と連携する必要があります。問題が解決しない場合や、アクセスに関連していない場合は、サポート チケットを開いて問題を記録し、解決状況をモニタリングします。

SOAR 権限グループを IAM に移行する

次のセクションでは、権限を IAM に移行する際および移行後に発生する一般的な問題について説明します。

移行ツールとスクリプトに関する問題

Q: Google Cloud コンソールで移行スクリプトを表示または読み込むことができません。なぜですか?

これには次の 2 つの理由が考えられます。

  • 権限がない: 移行ツールでは、ユーザー アカウントに Google Cloud インスタンスと Google SecOps インスタンスの両方で十分な権限が必要です。 Google Cloud に必要な IAM ロールを持ち、Google SecOps SOAR で認識されているユーザーのアカウントでログインしていることを確認します。 Google Cloud と SOAR で異なるアカウントを使用すると、認証エラーが発生する可能性があります。必要な権限があるにもかかわらず移行スクリプトを読み込めない場合は、サポート チケットを開いてください。

  • SIEM で Cloud IAM を使用していない: Google SecOps 統合ユーザーの場合は、IAM を使用してプラットフォームの SIEM 側のロールと権限を管理していることを確認してください。詳細については、以前の RBAC から機能 RBAC への移行ガイドを参照してください。

Q: 移行スクリプトを実行しようとするとエラーが発生します。どうすればよいですか?

  • エラー - 「グループが存在しません」: add-iam-policy-binding commands を使用する場合は、--member フラグにグループの短い名前ではなく、グループの完全なメールアドレス(your-group@example.com など)を使用していることを確認してください。

  • 既存のロールに関連するエラー: 条件付きバインディングがすでに存在するプリンシパルにバインドすると、競合が発生する可能性があります。この問題を解決するには、スクリプトを再実行し、[新しい条件を指定] ではなく [なし] を選択してください。

移行後のアクセスに関する問題

Q: IAM の移行後に特定のページや機能(Playbook や IDE など)にアクセスしようとすると、「403 Forbidden」エラーが表示されるのはなぜですか?

移行後に 403 エラーが発生した場合は、ユーザーに割り当てられた Google Cloud IAM ロールに、Google SecOps プラットフォームの SOAR 側で必要な権限がない可能性があります。これは、IAM カスタムロールを使用している場合に一般的です。

Google SecOps のロールと権限を確認します。カスタム IAM ロールに、必要な SOAR 機能にアクセスするために必要なすべての権限が含まれていることを確認します。

必要に応じて、ブラウザのデベロッパー ツールを調べて、403 エラーを返す特定の API 呼び出しを特定します。レスポンス ペイロードには不足している権限が記載され、必要なアクセス権の詳細を示す通知バナーもインターフェース内に表示されます。

上記の解決策を試しても問題が解決しない場合は、サポート チケットを開いてください。

権限とロール

Q: 提供されたツールを使用せずに IAM の移行を手動で行ったため、権限に関する問題が発生しています。この問題を解決するにはどうすればよいですか?

IAM の手動移行では、SOAR ロールに必要な権限が欠落することがあります。提供されている移行スクリプトを使用して、必要な権限がすべて正しく設定されていることを確認することを強くおすすめします。手動移行を行う場合は、Google SecOps IAM 権限をよく確認して、必要な権限を持つカスタムロールを作成してください。

Q: 移行後、一部のユーザーに SOAR で想定よりも多くの権限が付与されているようです。なぜですか?

これは、移行前にユーザーまたはグループが事前定義された Chronicle の広範なロールにすでに割り当てられていた場合に発生する可能性があります。 Google Cloud 移行が完了すると、Chronicle の事前定義ロール(chronicle.apiAdmin など)に SOAR 権限が自動的に含まれます。たとえば、Chronicle API 管理者ロールに SOAR 管理者の権限が含まれるようになります。

最小権限アクセスを確保するには、次の手順を行います。

  1. [IAM のロール] ページで、Chronicle API 管理者などの事前定義ロールを確認し、割り当てられているすべてのプリンシパル(ユーザーとグループ)を特定します。
  2. SOAR 権限を必要とするユーザーのみがこれらのロールに割り当てられていることを確認します。
  3. 特定のプリンシパルの SOAR へのアクセスを制限するには、事前定義ロールからプリンシパルを削除し、SOAR 管理者権限を明示的に除外するカスタムロールに割り当てます。

Q: 移行は成功しましたが、グループ マッピング ページに [権限グループ] 列が表示されたままです。なぜですか?

移行が成功した後も、下位互換性のために [グループ マッピング] ページに [権限グループ] 列が表示されます。これらの課題は削除しないでください。この列は 2026 年 9 月 30 日までに削除されますが、お客様への影響はありません。

ベスト プラクティス

  • 移行スクリプトを使用する: 可能な限り、 Google Cloud の公式移行スクリプトを使用して、SOAR 権限グループから IAM ロールへの移行を処理します。
  • IAM 権限を確認する: さまざまな SOAR 機能とロールに必要な Google Cloud IAM 権限を理解します。
  • 徹底的にテストする: 移行後、さまざまなユーザーロールとペルソナのアクセスをテストして、すべてが想定どおりに機能することを確認します。
  • サポートにお問い合わせ: エラーが解消されない場合や予期しない動作が発生した場合は、サポートにお問い合わせいただき、できるだけ詳細な情報をお知らせください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。