SOAR の移行に関するよくある質問

以下でサポートされています。

SOAR の移行プロセスに関するよくある質問とその回答をご覧ください。よくある問題の解決策と、移行を成功させるためのベスト プラクティスをご紹介します。

移行の範囲と影響

Q: この移行が必要なのはなぜですか?

Google Cloudに移行して SOAR インフラストラクチャをモダナイズしています。この重要なアップグレードにより、信頼性の向上、セキュリティの強化、コンプライアンスの強化、きめ細かいアクセス制御など、重要なメリットが得られます。また、Model Context Protocol(MCP)の統合を通じて、エージェント AI 機能へのアクセスも提供します。

移行により、次のことが可能になります。

  • Google の最高水準の API レイヤを活用して、SOAR の信頼性とモニタリング機能を強化します。このレイヤは、割り当て管理、監査、オブザーバビリティのための高度な機能を備えた最先端の API ソリューションを提供します。
  • プラットフォーム全体で機能とデータのロールベース アクセス制御(RBAC)を有効にします。
  • VPC Service Controls、データ所在地、顧客管理の暗号鍵(CMEK)など、より高度なコンプライアンス機能を提供します。

Q: 移行の範囲はどのくらいですか?

移行には次のコンポーネントが含まれます。

  • SOAR プロジェクトをお客様所有の Google Cloud プロジェクトに移行します。
  • SOAR の認証と権限を Google Cloud IAM に移行する。
  • SOAR API を Chronicle API に移行する。
  • リモート エージェントの移行。
  • SOAR 監査ログの移行。

Q: 移行後、すぐに変更される点は何ですか?

移行直後には、次のような重要な変更が適用されます。

  • GCP プロジェクトの所有権: SOAR プロジェクトは、Google の所有権からお客様が所有する Google Cloud プロジェクトに移行されます。
  • 認証:
    • Unified SecOps のお客様: 変更はありません。認証は引き続き Google Cloud IAM によって管理されます。
    • SOAR Standalone のお客様: 認証は Google Cloud IAM によって管理されるようになります。SAML を使用しているユーザーの場合、Workforce Identity 連携を採用することになります。SAML 構成は SOAR システム自体に保存されなくなり、管理もされなくなるため、セキュリティ制御が強化されます。
  • RBAC: ユーザー権限がよりきめ細かくなり、IAM を使用して管理されます。環境と SOC ロールは、引き続き ID プロバイダ(IdP)グループを使用して SOAR モジュール内で管理されます。
  • 監査ロギング: 監査ログはより詳細になり、**Cloud Audit Logs ** 内で管理されます。
  • 新しい URL(SOAR のみ): SOAR スタンドアロン ユーザーは、SOAR にアクセスするための新しい URL(新しいドメイン)を受け取ります。

Q: この移行について、お客様とパートナーにはどのように通知されますか?

すべてのお客様とパートナー様に対して、移行日と記入するフォームへのリンクを含むプロダクト内ポップアップが表示されます。移行の日時枠を確認するよう求められます。

Q: SOAR が Google Cloud プロジェクトにバインドされると、インフラストラクチャの費用は変わりますか?

いいえ。費用には影響しません。フロントエンドには変更は反映されません。プロジェクトで新しいリソースが実行されないため、関連する費用は発生しません。

Q: プロジェクトを SOAR に接続するにはどうすればよいですか?

Google は、SOAR プロジェクトを Google Cloud プロジェクトに移行します。Unified SecOps のお客様の場合は、 Google Cloud プロジェクト ID をすでに取得しています。SOAR スタンドアロンのお客様は、 Google Cloud プロジェクト ID を Google と共有する必要があります。

Q: Google SecOps をすでにデプロイしているお客様の場合、SIEM と同じプロジェクト ID を使用する必要がありますか?それとも、別のプロジェクトが必要ですか?

統合された Google SecOps デプロイ(1 つの SIEM、1 つの SOAR)の場合は、SIEM に関連付けられている既存の Google Cloud プロジェクト ID を使用する必要があります。これにより、RBAC やログなどの管理フローを統合的に管理できます。

Q: VPC Service Controls(VPC SC)などの特別な考慮事項がある Google SecOps インスタンスの場合、どのような手順が必要ですか?

移行を有効にするには、VPC SC ポリシー内で上り(内向き)ルールと下り(外向き)ルールの両方を定義する必要があります。これらの特定のルールに関する詳細なガイダンスについては、サポートチームにお問い合わせください。

ダウンタイムと継続性

Q: 移行中にダウンタイムは発生しますか?また、その影響はどの程度ですか?

はい。想定されるダウンタイムは次のとおりです。

  • SOAR スタンドアロンのお客様の場合は最大 2 時間。
  • Google SecOps のお客様の場合は最大 1.5 時間。

この期間中は、プラットフォームにログインできません。SOAR サービス(取り込み、プレイブック、ジョブなど)は一時停止されますが、SIEM サービスはバックグラウンドで実行され続けます。

Q: 停止中に生成されたデータは、SOAR サービスが再開されると自動的に取り込まれますか?

はい。システムがオンラインに戻ると、取り込みとプレイブックが再開され、ダウンタイム中に生成または取り込まれたアラートが処理されます。

Q: ダウンタイムの開始時に実行中のプレイブックはどうなりますか?

移行が開始される前にハンドブック サービスがオフになります。実行中のハンドブックの一部が失敗する可能性があります。その場合は、手動で再起動するか、移行の完了後に再開する必要があります。

Q: 移行中に問題が発生した場合のロールバックまたは緊急時対応計画はありますか?

はい。移行プロセスでは、既存の SOAR インスタンスは完全にそのままの状態(オフの状態)で維持されます。移行プロセスが正常に完了しなかった場合は、既存のインスタンスに戻して新しいインスタンスを削除できます。このロールバック プロセスには最大 30 分かかります。移行を確実に成功させるために、広範囲にわたるテストと綿密なモニタリングを実施し、オンコール スタッフが待機します。

Q: Chronicle API の新しい SOAR エンドポイントに移行できるのはいつですか?

Chronicle API V1 ベータ版の新しい SOAR エンドポイントへの早期アクセスは、2025 年 11 月 1 日から利用できます。Chronicle API V1 への一般アクセスは 2026 年 1 月 1 日から利用可能になります。以前の SOAR API から移行する前に、SOAR 権限グループから Cloud IAM への移行を完了する必要があります。スクリプトと統合を更新して、SOAR API エンドポイントを対応する Chronicle API エンドポイントに置き換える必要があります。以前の SOAR API と API キーは 2026 年 6 月 30 日まで機能します。

認証と権限

Q: SOAR の権限グループと権限を移行するにはどうすればよいですか?

Google Cloud コンソールで使用して、既存の権限グループを IAM カスタムロールに移行するための移行ウィザードを準備しています。また、このスクリプトは、ユーザー(Cloud Identity のお客様の場合)または IdP グループ(Workforce Identity 連携のお客様の場合)にカスタムロールを割り当てます。

Q: カスタム権限グループを移行せずに、事前定義ロールのみを使用したい場合はどうすればよいですか?

自動移行をオプトアウトして、IdP グループを Cloud IAM ロールに手動でマッピングすることもできます。

Q: 手動認証のカスタム SAML プロバイダを使用している SOAR スタンドアロンのお客様です。これを IdP マッピングの IdP グループに変更すると、既存のユーザー アカウントにどのような影響がありますか?

既存のユーザーがグループのいずれかに一致し、権限が正しくマッピングされている場合、既存のユーザー アカウントに影響はありません。ただし、ユーザーがグループにマッピングされていない場合は、ログインできません。権限が異なる方法でマッピングされている場合、ユーザーには新しいマッピングに基づいて新しい権限が付与されます。

Q: 複数の ID プロバイダを使用する MSSP に固有の前提条件はありますか?

SOAR の外部認証ページで複数の ID プロバイダを構成しているお客様は、認証用に Workforce Identity 連携を定義し、プロバイダごとに個別の Workforce プールを作成する必要があります。各プロバイダは異なるサブドメインに関連付けられます。

ロギングとモニタリング

Q: 移行の第 1 段階を完了しましたが、Cloud Audit Logs のログにログが表示されません。

ログは、最初の移行ステージの完了後に SOAR プラットフォームに保存されます。ログは、第 2 段階の移行が完了すると、 Google Cloud プロジェクトで使用できるようになります。

Q: SOAR データをマネージド BigQuery(BQ)インスタンスに送信しているお客様は、移行後もこの BigQuery データにアクセスできますか?

はい。既存のマネージド BigQuery は引き続き動作します。

ロジスティクスとサポート

Q: 移行の別の時間帯を選択できますか?

いいえ。推奨される時間枠以外での移行はできません。

Q: 移行中にステータスのリアルタイム更新は行われますか?

移行プロセスの開始時と終了時に、メール通知が届きます。

Q: 移行後に問題が発生した場合は、どこに問い合わせればよいですか?

問題を記録して進捗状況を追跡するには、サポート チケットを作成する必要があります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。