SOAR 移行の概要

以下でサポートされています。

このドキュメントでは、SOAR インフラストラクチャを Google Cloudに移行するプロセスとタイムラインについて説明します。この移行は、インフラストラクチャを最新化し、 Google Cloud サービスとの統合を強化することを目的としています。これにより、Google Security Operations の統合ユーザーと、 Google Cloudに移行するスタンドアロンの SOAR ユーザーの両方にメリットがあります。

この移行は、信頼性の向上、セキュリティの強化、コンプライアンスの強化、よりきめ細かいアクセス制御など、重要なインフラストラクチャのアップグレードを提供するために必要です。また、Model Context Protocol(MCP)の統合と、アクセス制御用の IAM、Cloud Monitoring、Cloud 監査ログなどのクラス最高のサービスを通じて、エージェント AI 機能へのアクセスも可能にします。

移行はステージ 1 とステージ 2 の 2 つのステージで実施されます。

ステージ 1 には次の移行が含まれます。

  • Google 所有の SOAR プロジェクトの Google Cloud インフラストラクチャへの移行。これは Google によって行われます。
  • SOAR 認証の Google Cloud への移行(SOAR スタンドアロンのお客様にのみ適用されます)。

ステージ 2 には、次の移行が含まれます。

  • SOAR 権限グループと権限の Google Cloud IAM への移行。
  • SOAR API を新しい統合 Chronicle API に移行するため、既存のスクリプトと統合の更新が必要になります。
  • リモート エージェントの移行。
  • SOAR 監査ログの移行。

Google SecOps 統合のお客様向けの移行ステージ 1

プロダクト内の通知で、ステージ 1 の移行日と、時間帯を確認するための Google フォームをご確認ください。ステージ 1 には、次の移行が含まれます。

  • Google 所有の SOAR プロジェクトを Google Cloudに移行する

移行には、Google SecOps プラットフォームにアクセスできなくなる 90 分間のダウンタイムが含まれます。このダウンタイム中、SIEM サービスはバックグラウンドで引き続き動作しますが、SOAR サービスは一時的に一時停止されます。ダウンタイムが終了すると、プラットフォームにアクセスできるようになり、ダウンタイム中に生成または取り込まれたアラートの処理が再開されます。

移行が完了しましたら、メールでお知らせいたします。

SOAR スタンドアロンのお客様向けの移行ステージ 1

ステージ 1 を開始する準備が整うと、サービス内通知メッセージが届きます。次のことを行ってください。

  1. Google Cloud プロジェクトを設定する。Chronicle サポートにアクセスするように設定されているが、Google Security Operations インスタンスがまだない Google Cloud プロジェクトを使用することもできます。
  2. Chronicle API を有効にします
  3. SOAR にアクセスするための Google Cloud 認証を設定します。SOAR にアクセスするための Google Cloud 認証を設定するをご覧ください。
  4. プロダクト内通知の Google フォームに Google Cloud プロジェクト ID を入力し、フォームを送信する前に移行の日時枠を確認します。
  5. [Google Security Operations を入手] ページへの招待メールに同意し、設定を完了します。地域情報が正しいことを確認します。

移行中は SOAR サービスで 2 時間のダウンタイムが発生します。完了後、SOAR プラットフォームにアクセスするための新しい URL とともにメールをお送りします。古い URL は、新しい URL にリダイレクトされることで、2026 年 6 月 30 日まで有効です。

SOAR にアクセスするための Google Cloud 認証を設定する

設定して使用する ID のタイプに応じて、次のいずれかのオプションを設定する必要があります。これらの手順を行うには、 Google Cloud 管理者によるサポートが必要になる場合があります。

オプション 1: Google Cloud (Google 管理アカウント)で Cloud Identity 認証を構成する

このシナリオは、Google 管理のユーザー名とパスワードを使用して Cloud Identity 内でユーザー アカウントを直接管理する場合に適用されます。Cloud Identity を使用して Okta や Azure AD などのサードパーティ ID プロバイダで SSO を使用している場合は、適用されません。次の手順を行います。

  1. Google Cloudで Cloud Identity を設定します。Google 管理のユーザー名とパスワードを使用して Cloud Identity をすでに設定している場合は、この手順をスキップできます。
  2. 既存のすべての SOAR ユーザーが Cloud Identity 管理コンソールで構成されていることを確認します。
  3. Google アカウントのロール割り当て形式に従って、IAM で必要なロールを付与します。
    1. オンボーディング SME に、 Google Cloud で次の事前定義 IAM ロールを割り当てます。
    2. 次のいずれかの IAM 事前定義ロールを既存のすべての SOAR ユーザーに割り当てます。
  4. 各ユーザー(管理者を含む)をメール ユーザー グループにマッピングして、SOAR で認証設定を完了します。
    1. [設定] > [SOAR 設定] > [詳細] > [グループ マッピング] に移動します。
    2. [+] をクリックして、次の情報を入力します。
      • グループ名を追加: メールグループに割り当てる名前(T1 アナリスト、EU アナリストなど)。
      • グループ メンバー: 必要なユーザーのメールアドレスを追加します。メールアドレスを追加するたびに Enter キーを押します。
      • SOAR 権限グループ、環境、SOC ロールに必要なアクセス権を選択する ユーザーがプラットフォームにログインするたびに、[設定> 組織 > ユーザー管理] ページに自動的に追加されます。

オプション 2: Google Cloudで Workforce Identity 連携認証を構成する

このシナリオは、Microsoft Azure Active Directory、Okta、Ping Identity、AD FS などのサードパーティ IdP を使用してユーザー ID を管理している場合に適用されます。

  1. Google Cloudで Workforce Identity 連携を設定する: すでに設定されている場合は、この手順をスキップできます。
  2. SOAR の既存のすべてのユーザーが、Workforce Identity 連携で設定された Workforce プールグループに属していることを確認します。
  3. Google アカウントのロール割り当て形式に従って、IAM で必要なロールを付与します。
    1. 次のすべての事前定義 IAM ロールをオンボーディング SME に割り当てます。
    2. IAM で、既存のすべての SOAR ユーザーに次のいずれかのロールを割り当てます。
  4. SOAR へのアクセスが必要なすべての IdP グループをマッピングして、SOAR で認証設定を完了します。既存のユーザーが少なくとも 1 つの IdP グループにマッピングされていることを確認します。
    1. [設定] > [SOAR 設定] > [詳細] > [IdP グループ マッピング] に移動します。
    2. [+] をクリックして、次の情報を入力します。
      • IdP グループ名: IdP のグループ名を追加します。
      • 権限グループ、環境、SOC ロールに必要なアクセス権を選択します。
    3. 権限グループ、SOC ロール、すべての環境に対して管理者権限を持つ管理者 IdP グループを追加していることを確認します。
    4. [外部認証] ページに既存の IdP グループ マッピングがある場合は、既存の SOAR 認証をオーバーライドしないように、そのままにしておく必要があります。新しい Google Cloud 認証で SOAR にアクセスするには、[設定] > [SOAR 設定] > [詳細] > [IDP グループ マッピング] ページで IdP グループ マッピングを設定する必要があります。
    5. 完了したら、[追加] をクリックします。ユーザーがプラットフォームにログインするたびに、[設定> 組織 > ユーザー管理] ページに自動的に追加されます。

すべてのお客様を対象としたステージ 2 の移行

ステージ 2 の早期アクセスは 2025 年 11 月 1 日から、すべてのユーザーを対象とした一般提供は 2025 年 1 月 1 日から開始されます。ステージ 1 の完了後、ステージ 2 はいつでも開始できます。完了期限は 2026 年 6 月 30 日です。

SOAR 権限グループを Google Cloud IAM に移行する

Google Cloud (2025 年 11 月 1 日より前にリリースされる早期アクセス)の移行スクリプトをワンクリックして、SOAR 権限グループと権限を IAM に移行します。このスクリプトは、権限グループごとに新しいカスタムロールを作成し、Cloud Identity のお客様の場合はユーザーに、Workforce Identity 連携のお客様の場合は IdP グループに割り当てます。

権限の設定方法について詳しくは、機能へのアクセス権限を構成するをご覧ください。新しい事前定義された SOAR ロールは次のとおりです。

  • Chronicle SOAR 管理者
  • Chronicle SOAR エンジニア
  • Chronicle SOAR アナリスト
  • Chronicle SOAR 閲覧者
  • Chronicle SOAR サービス エージェント

権限の移行後、次のようになります。

  • [SOAR 設定] > [組織] > [権限] ページは、2026 年 6 月 30 日まで引き続きご利用いただけます(Appkey との下位互換性のため)。このページは変更しないでください。権限はすべて IAM を介して管理されます。
  • マッピング ページの [権限グループ] 列が削除されます。
  • [権限] ページの制限付きアクション セクションが、[IDP グループ マッピング] ページ(または [メールグループ] ページ)に移動します。

SOAR API を Chronicle API に移行する

SOAR API は Chronicle API に置き換えられます。Chronicle API を使用する前に、権限グループから IAM への移行を完了する必要があります。2025 年 11 月 1 日より、Chronicle API で SOAR エンドポイント v1 ベータ版を使用するための早期アクセスにオプトインできます。新しいバージョン v1 は、2026 年 1 月 1 日からすべてのお客様が一般提供としてご利用いただけるようになります。

スクリプトと統合を更新して、SOAR API エンドポイントを対応する Chronicle API エンドポイントに置き換える必要があります。以前の SOAR API と API キーは 2026 年 6 月 30 日まで使用できますが、それ以降は機能しなくなります。詳細については、エンドポイントを Chronicle API に移行するをご覧ください。

リモート エージェントを移行する

リモート エージェントを Google Cloud に移行するには、次の操作を行います。

  1. リモート エージェントの API キーではなく、サービス アカウントを作成します。
  2. リモート エージェントのメジャー バージョンのアップグレードを実行します。

既存の Remote Agent は 2026 年 6 月 30 日までご利用いただけますが、それ以降は機能しなくなります。詳細な手順については、リモート エージェントを Google Cloud に移行するをご覧ください。

SOAR 監査ログを移行する

IAM への権限の移行が完了すると、SOAR ログが Google Cloud で使用できるようになります。2026 年 6 月 30 日までに行われた以前の SOAR API への呼び出しは、SOAR 監査ログで引き続きアクセスできます。Google SecOps をご利用のお客様は、Google SecOps SOAR ログを収集するをご覧ください。SOAR スタンドアロンのお客様の場合は、SOAR のログを収集するをご覧ください。

移行後の変更点:

ライセンスの種類 ライセンスの種類は、IAM でユーザーに割り当てられた権限によって決まるようになりました。

ランディング ページ ランディング ページは、権限ページから [ユーザー設定] メニューに移動します。このメニューには、アバターからアクセスできます。

次のステップ

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。