Professional Cloud Security Engineer 模擬問題集(2021.04.27)

[GCP] Google Cloud Certified - Professional Security Engineer
Written by E.G -
on 8月 13, 2021

※ 他の問題集は「タグ:Professional Cloud Security Engineer の模擬問題集」から一覧いただけます。

Google Cloud 認定資格 – Professional Cloud Security Engineer – 模擬問題集(全 51問)

Question 01

VPC ネットワーク上で定義されている暗黙のファイアウォール ルールはどれでしょうか?(回答は 2つ)

  • A. すべてのアウトバウンド接続を許可するルール。
  • B. すべてのインバウンド接続を拒否するルール。
  • C. すべてのインバウンドポート 25 接続をブロックするルール。
  • D. すべてのアウトバウンド接続をブロックするルール
  • E. すべてのインバウンドポート 80 接続を許可するルール。

Correct Answer: A、B

Reference contents:
VPC ファイアウォール ルールの概要 | Google Cloud

Question 02

顧客は ソースコード管理(SCM)システムにプレーンテキストの秘密を保存する代わりの方法を必要としています。
Google Cloud Platform を使用してどのようにこれを実現すべきでしょうか?

  • A. Google Cloud Source Repositories を使用して Google Cloud SQL に秘密を保存します。
  • B. CMEK(Customer-Managed Encryption Key)で秘密を暗号化して Google Cloud Storage に保存します。
  • C. Google Cloud Data Loss Prevention API を実行してシークレットをスキャンして Google Cloud SQL に保存します。
  • D. SCM をローカル SSD を搭載した Google Compute Engine VM にデプロイしてプリエンプティブル VM を有効にします。

Correct Answer: B

Question 03

安全なコンテナ イメージを作成する際、可能であればビルドに組み込むべき項目はどれでしょうか?(回答は 2つ)

  • A. アプリが PID 1として実行されていないことを確認します。
  • B. 単一のアプリをコンテナとしてパッケージします。
  • C. アプリが必要としない不要なツールを削除します。
  • D. 公開されているコンテナイメージをアプリのベースイメージとして使用します。
  • E. 機密情報を隠すために多くのコンテナイメージのレイヤーを使用します。

Correct Answer: B、C

Reference contents:
コンテナ構築のおすすめの方法 | Cloud アーキテクチャ センター | Google Cloud

Question 04

顧客は Google Cloud Platform(GCP)上で 3層の社内 Web アプリケーションを立ち上げる必要があります。
この顧客の社内コンプライアンス要件ではトラフィックが特定の既知の優良 CIDR から発信されていると思われる場合にのみ、エンドユーザのアクセスを許可することになっています。顧客はアプリケーションがSYN フラッド DDoS 対策しかできないというリスクを受け入れています。GCP のネイティブ SYN フラッド プロテクションを使用したいと考えています。
この要件を満たすにはどのプロダクトを使用すればよいでしょうか?

  • A. Google Google Cloud Armor
  • B. VPC ファイアウォール ルール
  • C. Google Google Cloud Identity and Access Management (IAM)
  • D. Google Cloud CDN

Correct Answer: A

Reference contents:
Google Cloud Armor adds WAF, telemetry features | Google Cloud

Question 05

企業では専用のサーバールームでワークロードを実行しています。
これらのワークロードは社内のプライベート ネットワーク内からしかアクセスできないようになっています。Google Cloud Platform プロジェクト内の Google Compute Engine インスタンスからこれらのワークロードに接続する必要があります。
要件を満たすためにどのようなアプローチを取ることができますか?(回答は 2つ)

  • A. プロジェクトに Cloud VPN を設定します。
  • B. プロジェクトを 共有 VPC で構成します。
  • C. Google Cloud Interconnect でプロジェクトを構成します。
  • D. VPC ピアリングでプロジェクトを構成します。
  • E. すべての Google Compute Engine インスタンスをプライベート アクセスで構成します。

Correct Answer: D、E

Reference contents:
データ ワークロードの保護: Google Cloud のユースケース | Google Cloud

Question 06

顧客が Google Compute Engine でホストされている ERP システムに Google Google Cloud Identity-Aware Proxy を導入しました。
セキュリティチームは ERP システムが Google Google Cloud Identity-Aware Proxy からのトラフィックのみを受け入れるようにセキュリティレイヤーを追加したいと考えています。
これらの要件を満たすために顧客に何をすべきでしょうか?

  • A. ERPシステムが HTTPリクエストの JWT アサーションを検証できることを確認します。
  • B. ERP システムが HTTP リクエストの ID ヘッダを検証できることを確認します。
  • C. ERP システムが HTTP 要求の x-forwarded-for ヘッダを検証できることを確認します。
  • D. ERP システムが HTTP 要求の中のユーザーの固有識別子ヘッダーを検証できることを確認します。

Correct Answer: A

Question 07

企業が Google Compute Engine でアプリケーションを実行していました。
このアプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行してその結果、Google Compute Engine インスタンスがクラッシュしてしまいました。このバグは修正されましたがハッキングが再発した場合に備えて通知を受けたいと考えています。
どうすればいいのでしょうか?

  • A. Stackdriver でプロセスの健全性の条件を用いて警告ポリシーを作成してスクリプトの実行回数が目的のしきい値以下であることを確認します。通知を有効にします。
  • B. Stackdriver で CPU 使用率の指標を使用して警告ポリシーを作成します。しきい値を 80% に設定して CPU 使用率が 80% を超えた場合に通知します。
  • C. スクリプトの実行をすべて Stackdriver Logging に記録します。ログをもとに Stackdriver Logging でユーザー定義のメトリックを作成してメトリックを表示する Stackdriver ダッシュボードを作成します。
  • D. スクリプトの実行をすべて Stackdriver Logging に記録します。Google BigQuery をログシンクとして設定し、Google BigQuery のスケジュールされたクエリを作成して特定の時間枠での実行数をカウントします。

Correct Answer: C

Reference contents:
ログベースの指標の概要 | Cloud Logging | Google Cloud

Question 08

チームは SIEM ですべての開発クラウドプロジェクトの統一されたログビューを取得する必要があります。
開発プロジェクトは NONPROD 組織フォルダの下にテスト プロジェクトやプリ プロダクション プロジェクトと一緒に置かれています。開発プロジェクトは ABC-BILLING 請求アカウントを組織の他の部分と共有しています。
要件を満たすためにはどのログエクスポート戦略を使用する必要がありますか?

  • A.
    • 専用の SIEM プロジェクトでフォルダ/NONPROD を親に持ち、includeChildren プロパティが True に設定された Google Cloud Pub/Sub トピックにログをエクスポートします。
    • SIEM をそのトピックに登録します。
  • B.
    • 専用の SIEM プロジェクトに親が billingAccounts/ABC-BILLING でプロパティの includeChildren が False に設定された Google Cloud Storage シンクを作成します。
    • SIEM で Google Cloud Storage オブジェクトを処理します。
  • C.
    • 各開発プロジェクトのログを専用の SIEM プロジェクト内の Google Cloud Pub/Sub トピックにエクスポートします。
    • そのトピックに SIEM をサブスクライブします。
  • D.
    • 各プロジェクトで公開された Google Cloud Storage バケットを持つ Google Cloud Storage シンクを作成します。
    • SIEM で Google Cloud Storage オブジェクトを処理します。

Correct Answer: B

Question 09

顧客のデータサイエンス グループは分析ワークロードに Google Cloud Platform (GCP) を使用したいと考えています。
会社ポリシーではすべてのデータは会社が所有するものでなければならず、すべてのユーザ認証は自社のSAML (Security Assertion Markup Language) 2.0 Identity Provider (IdP) を経由しなければなりません。インフラストラクチャ オペレーションのシステム エンジニアは顧客のために Google Cloud Identity をセットアップしようとしていましたが顧客のドメインがすでに G Suite で使用されていることを知りました。
システム エンジニアに混乱を最小限に抑えて作業を進めるために、どのようなアドバイスをすべきでしょうか?

  • A. Google サポートに連絡し、そのドメイン名を新しい Google Cloud Identity ドメインで使用するためにドメイン コンテスト プロセスを開始します。
  • B. 新しいドメイン名を登録し、そのドメイン名を新しい Google Cloud Identity ドメインに使用します。
  • C. 既存のドメインでデータサイエンス マネージャーのアカウントをスーパー管理者としてプロビジョニングするように Google に依頼します。
  • D. 顧客の管理者に Google マネージド サービスの他の使用方法を発見してもらい、既存のスーパー管理者と連携します。

Correct Answer: C

Question 10

Google Compute Engine インスタンス上で動作するアプリケーションが Google Cloud Storage バケットからデータを読み取る必要があります。
チームは Google Cloud Storage バケットがグローバルに読み取れることを許可しておらず、最小特権の原則を確保したいと考えています。
どのオプションがチームの要件を満たしていますか?

  • A. Google Cloud Storage ACL を作成して Google Compute Engine インスタンスの IP アドレスからの読み取り専用のアクセスを許可し、アプリケーションが認証なしでバケットから読み取れるようにします。認証情報なしで読めるようにします。
  • B. Google Cloud Storage バケットへの読み取り専用のアクセス権を持つサービス アカウントを使用し、サービス アカウントの認証情報を Google Compute Engine インスタンス上のアプリケーションの設定に保存します。
  • Google Compute Engine インスタンスのアプリケーションの設定にサービス アカウントの認証情報を保存します。
  • C. Google Cloud Storage バケットに読み取り専用でアクセスできるサービス アカウントを使用してインスタンスのメタデータから認証情報を取得します。
  • D. Google Cloud KMS を使用して Google Cloud Storage バケット内のデータを暗号化し、アプリケーションが KMS キーを使用してデータを復号化できるようにします。

Correct Answer: C

Question 11

企業のネットワークとセキュリティの典型的なレビューはアプリケーションのトランジットルート、リクエスト処理、ファイアウォール ルールの分析で構成されています。
この企業では開発者チームがこのような完全なレビューのオーバーヘッドなしに新しいアプリケーションを展開できるようにしたいと考えています。
この組織にどのようにアドバイスすべきでしょうか?

  • A. Forseti と Firewall フィルタを併用して本番環境での不要な設定を捕捉します。
  • B. Infrastructure as Code の使用を義務付け、CI/CD パイプラインで静的解析を行い、ポリシーを実施します。
  • C. すべての VPC トラフィックを顧客が管理するルータ経由でルーティングし、本番環境における悪意のあるパターンを検出します。
  • D. すべての本番アプリケーションをオンプレミスで実行します。開発者が開発と QA プラットフォームとして GCP を自由に使えるようにします。

Correct Answer: B

Question 12

雇用者は従業員の異常値を特定し、収入格差を是正するためにボーナスの報酬が時系列でどのように変化したかを追跡したいと考えています。
このタスクは個人のセンシティブな報酬データを公開することなく実行する必要があり、外れ値を特定するために可逆的でなければなりません。
これを達成するためにどの Google Cloud Data Loss Prevention API 技術を使用しますか?

  • A. 一般化
  • B. 秘匿化
  • C. CryptoHashConfig
  • D. CryptoReplaceFfxFpeConfig

Correct Answer: B

Reference contents:
分類、秘匿化、匿名化 | データ損失防止(DLP)のドキュメント | Google Cloud

Question 13

GCP からオンプレミスの SIEM システムに Stackdriver のログを確実に配信するにはどうすればいいのでしょうか?

  • A. すべてのログを syslog などの既存のプロトコルで SIEM システムに送信します。
  • B. すべてのプロジェクトがすべてのログを共通の Google BigQuery データセットにエクスポートし、SIEM システムがこれを照会するように設定します。
  • C. 組織のログシンクを構成してログを Google Cloud Pub/Sub トピックにエクスポートし、Google Cloud Dataflow 経由で SIEM に送信します。
  • D. SIEM が GCP RESTful JSON API からすべてのログをリアルタイムで照会するためのコネクタを構築します。

Correct Answer: C

Question 14

PCI DSS 要件を満たすために顧客はすべての送信トラフィックが承認されていることを確認したいと考えています。
どのクラウド プロダクトが追加の補償制御なしにこの要件を満たしますか?(回答は 2つ)

  • A. Google App Engine
  • B. Google Cloud Functions
  • C. Google Compute Engine
  • D. Google Kubernetes Engine
  • E. Google Cloud Storage

Correct Answer: A、C

Reference contents:
PCI データ セキュリティ基準の遵守 | Cloud アーキテクチャ センター | Google Cloud

Question 15

Webサイト制作会社では最近、すべての顧客サイト をGoogle App Engine に移行しました。
いくつかのサイトはまだ移行中でどの場所からでも顧客と会社の従業員だけが見られるようにする必要があります。
移行中のサイトへのアクセスを制限するソリューションはどれでしょうか?

  • A. 顧客と企業のユーザーアカウントを含む .htaccess ファイルを Google App Engine にアップロードします。
  • B. 顧客と従業員のネットワークからのアクセスを許可し、他のすべてのトラフィックを拒否するGoogle App Engine のファイアウォールルールを作成します。
  • C. Google Cloud Identity-Aware Proxy(IAP)を有効にして顧客と従業員のユーザーアカウントを含む Google グループへのアクセスを許可します。
  • D. Cloud VPN を使用して関連するオンプレミスネットワークと会社の GCP Virtual Private Cloud(VPC)ネットワークの間に VPN 接続を作成します。

Correct Answer: C

Question 16

会社のアプリケーションはユーザーが管理するサービス アカウント キーを使って導入されています。
Google のベストプラクティスでこのキーをローテーションしたいと考えています。
どのようにすればよいでしょうか。

  • A. Google Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate –iam-account=IAM_ACCOUNT を実行します。
  • B. Google Cloud Shell を開き、gcloud iam service-accounts keys rotate –iam-account=IAM_ACCOUNT –key=NEW_KEY を実行します。
  • C. 新しいキーを作成してアプリケーションで新しいキーを使用します。サービス アカウントから古いキーを削除します。
  • D. 新しいキーを作成してアプリケーションで新しいキーを使用します。古い鍵をバックアップキーとしてシステムに保存します。

Correct Answer: C

Reference contents:
サービス アカウントについて | Cloud IAM ドキュメント | Google Cloud

Question 17

企業では現在のオンプレミスの生産性向上ソフトウェアシステムからG Suiteへの移行を進めています。
以前のオンプレミス型システムでは、地域の規制機関から義務付けられたネットワーク セキュリティ管理が行われていました。この組織のリスク チームは G Suite においてもネットワーク セキュリティ コントロールが維持され、有効であることを確認したいと考えています。この移行をサポートするセキュリティ アーキテクトは組織と Google Cloud の間の新しい共有責任モデルの一環として、ネットワーク セキュリティ コントロールを確実に実施するよう求められています。
どのようなソリューションが要件を満たすのに役立つでしょうか?

  • A. 必要な制御を満たすためにファイアウォール ルールが設定されていることを確認します。
  • B. Google Cloud Armor を設定して G Suite のネットワークセキュリティ制御を管理できるようにします。
  • C. ネットワークセキュリティは G Suite のような SaaS 製品に組み込まれたソリューションであり、Google Cloud の責任です。
  • D. 仮想プライベートクラウド(VPC)ネットワークの配列を設定して関連規則で義務付けられているネットワーク セキュリティを制御します。

Correct Answer: B

Question 18

顧客の会社には複数のビジネスユニットがあります。
ビジネスユニットは独立して運営されており、それぞれにエンジニアリング グループがあります。顧客のチームは社内で作成されたすべてのプロジェクトを可視化したいと考え、異なるビジネスユニットに基づいて Google Cloud Platform(GCP)のプロジェクトを整理したいと考えています。また、各ビジネスユニットは別々の IAM パーミッションのセットを必要とします。
これらのニーズを満たすためにどの戦略を使うべきでしょうか?

  • A. 組織ノードを作成して各ビジネスユニットにフォルダを割り当てます。
  • B. gmail.com アカウントを使用して各ビジネスユニットに独立したプロジェクトを作成します。
  • C. プロジェクトに GCP リソースを割り当て、どのビジネスユニットがそのリソースを所有しているかを示すラベルを付けます。
  • D. 事業部ごとに VPC で GCP リソースを割り当て、ネットワークアクセスを分離します。

Correct Answer: A

Question 19

チームはプロジェクト co-vpc-prod をホストプロジェクトとする共有 VPC ネットワークを設定します。
チームはホストプロジェクトでファイアウォール ルール、サブネット、VPN ゲートウェイを設定しました。エンジニアリング グループ A が Google Compute Engine インスタンスを 10.1.1.0/24 のサブネットのみにアタッチできるようにする必要があります。
この要件を満たすためにチームはエンジニアリング グループ A に何を付与すべきでしょうか?

  • A. ホスト プロジェクト レベルでネットワーク ユーザーロールを付与します。
  • B. サブネット レベルでネットワーク ユーザー ロールを付与します。
  • C. ホスト プロジェクト レベルでの Compute Shared VPC 管理者ロールを付与します。
  • D. サービス プロジェクト レベルで 共有 VPC 管理者ロールを付与します。

Correct Answer: C

Reference contents:
共有 VPC の概要 | Google Cloud

Question 20

企業がデータ/センター全体を Google Cloud Platform に移行しました。
異なる部門が管理する複数のプロジェクトで何千ものインスタンスを実行しています。どの時点でも Google Cloud Platform で何が稼働していたかの履歴を残したいと考えています。
どうすればいいのでしょうか?

  • A. 組織レベルで Google Cloud Resource Manager を使用します。
  • B. Forseti Security を使用してインベントリースナップショットを自動化します。
  • C. Stackdriver を使用してすべてのプロジェクトのダッシュボードを作成します。
  • D. Security Command Center を使用して組織全体のすべての資産を表示します。

Correct Answer: C

Question 21

企業ではインフラをオンプレミス環境から Google Cloud Platform(GCP)に移行し始めています。
最初のステップとして、現在使用しているデータのバックアップとディザスタリカバリのソリューションを GCP に移行し、後で分析できるようにしたいと考えています。本番環境は今後もオンプレミスで運用する予定です。組織はスケーラブルでコスト効率の高いソリューションを求めています。
この組織はどの GCPソリューションを使うべきでしょうか?

  • A. 継続的に更新されるデータ パイプライン ジョブの Google BigQuery を使用します。
  • B. Google Cloud Storage をスケジュールされたタスクと gsutil を使用します。
  • C. Google Compute Engine Virtual Machines で Persistent Disk  を使用します。
  • D. Google Cloud Datastore では定期的なバッチアップロード ジョブを使用します。

Correct Answer: A

Question 22

ユーザーの Google Drive にユーザーの代わりにアクセスする必要がある Google App Engine の社内アプリケーションを作成しています。
このアプリケーションは現在のユーザー認証情報に依存したくありません。また、Google のベストプラクティスに従います
どうすればいいのでしょうか?

  • A. 新しいサービス アカウントを作成してすべてのアプリケーションユーザーにサービス アカウント ユーザーの役割を与えます。
  • B. 新しいサービス アカウントを作成してすべてのアプリケーションユーザーを Google グループに追加します。このグループに「サービス アカウント ユーザー」の役割を与えます。
  • C. 専用の G Suite 管理者アカウントを使用して G Suite 認証情報でアプリケーションの操作を認証します。
  • D. 新しいサービス アカウントを作成して G Suite ドメイン全体の委任を与えます。アプリケーションはこのアカウントを使用してユーザーになりすまします。

Correct Answer: A

Question 23

顧客は機密性の高いワークロードをマネージド インスタンス グループ(MIG)を使用した Google Compute Engine ベースのクラスタに移行したいと考えています。
ジョブは頻繁に発生し、迅速に完了しなければなりません。また、鍵のライフサイクルを管理できるようにしたいと考えています。
この顧客の要件を満たすために、クラスタでどのブートディスク暗号化ソリューションを使用すべきでしょうか?

  • A. 顧客指定の暗号鍵(Customer-Supplied Encryption Keys、CSEK)。
  • B. Google Cloud Key Management Service (KMS) を使用した顧客指定の暗号鍵(CMEK)。
  • C. デフォルトでの暗号化。
  • D. 分析のために Google Cloud Platform に転送する前にファイルを事前に暗号化します。

Correct Answer: B

Reference contents:
顧客管理の暗号鍵(CMEK)の使用 | Google Cloud

Question 24

組織のセキュリティチームのメンバーです。
チームは Web アプリケーションやデータ処理システムに加えて、クレジットカード決済処理システムを含む 1つの GCP プロジェクトを持っています。PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。
どうすればいいのでしょうか?

  • A. Web アプリケーションへの管理者アクセスに多要素認証を使用します。
  • B. PA-DSS に準拠して認証されたアプリケーションのみを使用します。
  • C. カード会員データ環境を別の GCP プロジェクトに移行します。
  • D. オフィス環境とクラウド環境間のすべての接続に VPN を使用します。

Correct Answer: D

Reference contents:
PCI データ セキュリティ基準の遵守 | Cloud アーキテクチャ センター | Google Cloud

Question 25

顧客の社内セキュリティチームは Google Cloud Storage 上のデータを暗号化するための独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵(CSEK)を使用することを決定しました。
チームはこのタスクをどのように完了させるべきでしょうか?

  • A. 暗号鍵を Google Cloud Storage バケットにアップロードしてからオブジェクトを同じバケットにアップロードします。
  • B. gsutil コマンドラインツールを使用して Google Cloud Storage にオブジェクトをアップロードし、暗号化キーの場所を指定します。
  • C. Google Cloud  Console で暗号鍵を生成して指定したキーを使ってオブジェクトを Google Cloud Storage にアップロードします。
  • D. オブジェクトを暗号化してから gsutil コマンドラインツールまたは Google Cloud Console を使用してオブジェクトを Google Cloud Storage にアップロードします。

Correct Answer: D

Reference contents:
顧客指定の暗号鍵 | Cloud Storage | Google Cloud

Question 26

顧客は 300人のエンジニアを抱えています。
同社は開発環境プロジェクトと本番環境プロジェクトのユーザー間で異なるレベルのアクセス権を付与し、IAM 権限を効率的に管理したいと考えています。
これらの要件を満たすために、会社が取るべきステップはどれでしょうか?(回答は 2つ)

  • A. 環境ごとに複数の VPC ネットワークを持つプロジェクトを作成します。
  • B. 開発環境と本番環境それぞれにフォルダを作成します。
  • C. エンジニアチームの Google グループを作成してフォルダレベルで権限を割り当てます。
  • D. 各フォルダ環境に組織ポリシーの制約を作成します。
  • E. 各環境にプロジェクトを作成して各エンジニアリング ユーザーに IAM 権限を付与します。

Correct Answer: B、D

Question 27

DevOps チームは、Google Kubernetes Engine上で実行する新しいコンテナを作成します。
このアプリケーションはインターネットに面しているため、コンテナの攻撃対象を最小限にしたいと考えています。
どうすればいいのでしょうか?

  • A. Google Cloud Build を使用してコンテナイメージを構築します。
  • B. 小さなベースイメージを使って小さなコンテナを構築します。
  • C. コンテナ レジストリから未使用のバージョンを削除します。
  • D. 継続的配信ツールを使用してアプリケーションを展開します。

Correct Answer: D

Reference contents:
コンテナ構築のおすすめの方法 | Cloud アーキテクチャ センター | Google Cloud

Question 28

組織のインフラを GCP に移行する際、多数のユーザーが Google Cloud コンソールにアクセスする必要があります。
アイデンティティ管理チームはユーザーを管理するための確立された方法をすでに持っており、既存の SSO パスワードとともに、既存の Active Directory または LDAP サーバーを使い続けたいと考えています。
どうすればいいのでしょうか?

  • A. Google ドメインのデータを既存の Active Directory または LDAP サーバーと手動で同期します。
  • B. Google Cloud Directory Sync を使用して Google ドメインのデータを既存の Active Directory または LDAP サーバーと同期します。
  • C. ユーザーはオンプレミスの Kerberos 準拠の ID プロバイダからの認証情報を使用して Google Cloud コンソールに直接サインインします。
  • D. ユーザーは OpenID(OIDC)互換の IdP を使用してサインインし、認証トークンを受け取り、そのトークンを使用して Google Cloud コンソールにログインします。

Correct Answer: B

Reference contents:
Using your existing identity management system with Google Cloud Platform | Google Cloud

Question 29

会社は G Suite を使用しており、Google Google App Engineで社内用のアプリケーションを開発しています。
従業員のパスワードが漏洩した場合でも外部のユーザーがアプリケーションにアクセスできないようにする必要があります。
どのようにすればよいでしょうか?

  • A. G Suite ですべてのユーザーに 2段階認証プロセスを実施します。
  • B. Google App Engine アプリケーションに Google Cloud Identity-Aware Proxy を設定します。
  • C. GSuite Password Sync を使用してユーザーのパスワードをプロビジョニングします。
  • D. プライベートネットワークと GCP の間に Cloud VPN を構成します。

Correct Answer: D

Question 30

大手金融機関ではビッグデータ分析を Google Cloud Platform に移行しています。
その際、Google BigQuery に保存されているデータの暗号化プロセスを最大限にコントロールしたいと考えています。
この金融機関はどのような手法を用いるべきでしょうか?

  • A. 連携したデータソースとして Google Cloud Storage を使用します。
  • B. Google Cloud ハードウェア セキュリティ モジュール(Cloud HSM)を使用します。
  • C. 顧客管理の暗号鍵(CMEK)
  • D. 顧客指定の暗号鍵(CSEK)

Correct Answer: C

Reference contents:
保存時の暗号化 | BigQuery| Google Cloud

Question 31

アプリケーションではビルド時やランタイム時に「シークレット」と呼ばれる小さな機密データへのアクセスが必要になることがよくあります。
GCP上でこれらのシークレットを管理する管理者は GCPプロジェクト内で「誰が、どこで、いつ、何をしたのか」を追跡したいと考えています。
管理者が求めている情報を提供するのは、どの2つのログストリームでしょうか?(回答は 2つ)

  • A. Admin Activity logs
  • B. System Event logs
  • C. Data Access logs
  • D. VPC Flow logs
  • E. Agent logs

Correct Answer: A、C

Reference contents:
Secret Manager のコンセプトの概要 | Secret Manager ドキュメント| Google Cloud

Question 32

現行の保守契約が切れる前に、社内のデータセンターにあるレガシー アプリケーションを GCP に移行することを担当しています。
アプリケーションがどのポートを使用しているのかわからず、確認できるドキュメントもありません。環境を危険にさらすことなく移行を完了させたいと考えています。
何をすべきでしょうか?

  • A. リフト&シフト アプローチを使用してアプリケーションを独立したプロジェクトに移行します。VPC ファイアウォール ルールを使用してすべての内部 TCP トラフィックを有効にします。VPC フローログを使用してアプリケーションが正常に動作するために許可すべきトラフィックを決定します。
  • B. カスタム ネットワークでリフト&シフト アプローチを使用してアプリケーションを孤立したプロジェクトに移行します。VPC内のすべてのトラフィックを無効にし、ファイアウォールのログを確認し、アプリケーションが正常に動作するためにどのようなトラフィックを許可すべきかを判断します。
  • C. GKE クラスタ内でアプリケーションをマイクロサービス アーキテクチャにリファクタリングします。クラスタ外部からのすべてのトラフィックをファイアウォール ルールで無効にします。VPC フローログを使用して アプリケーションが正常に動作するためにどのようなトラフィックを許可すべきかを判断します。
  • D. アプリケーションを孤立したプロジェクト内の Google Cloud Functions でホストされるマイクロサービス アーキテクチャにリファクタリングします。ファイアウォール ルールを使用してプロジェクト外からのすべてのトラフィックを無効にします。ファイアウォール ルールを使用します。VPC フローログを使用してアプリケーションが正常に動作するためにどのようなトラフィックを許可すべきかを判断します。

Correct Answer: C

Question 33

ブートディスクのソースとして使用できるイメージを制限します。
これらのイメージは専用のプロジェクトに保存されます。
どうすればいいのでしょうか?

  • A.組織ポリシーサービスを使用して組織レベルで compute.trustedimageProjects 制約を作成します。 許可された操作のホワイトリストとして信頼できるプロジェクトをリストします。
  • B.組織ポリシーサービスを使用して組織レベルで compute.trustedimageProjects 制約を作成します。 信頼できるプロジェクトを拒否操作の例外としてリストします。
  • C. Resource Manager で信頼できるプロジェクトのプロジェクト権限を編集します。 組織を Compute ImageUser の役割を持つメンバーとして追加します。
  • D. Resource Manager で組織の権限を編集します。 プロジェクトID を Compute ImageUser という役割のメンバーとして追加します。

Correct Answer: B

Reference contents:
Trusted Image ポリシーの設定 | Compute Engine ドキュメント | Google Cloud

Question 34

チームではユーザーが組織内でプロジェクトを作成できないようにする必要があります。
要求者に代わってプロジェクトを作成できるのは DevOps チームだけにする必要があります。
この要求を処理するために、チームはどのタスクを実行する必要がありますか?(回答は 2つ)

  • A. 組織レベルですべてのユーザーを Project Creator ロールから削除します。
  • B. 組織ポリシー制約を作成し、それを組織レベルで適用します。
  • C. 指定したユーザーグループに組織レベルで Project Editor ロールを付与します。
  • D. 指定したユーザーグループに組織レベルで Project Creator ロールを付与します。
  • E. 指定された DevOps チームに課金アカウント作成者 ロールを付与します。

Correct Answer: B、D

Question 35

チームはバックエンド データベースがフロントエンド アプリケーションからのみアクセスでき、ネットワーク上の他のインスタンスからはアクセスできないようにする必要があります。
チームはこのネットワークをどのように設計すべきでしょうか?

  • A. ファイアウォール タグを使用してアプリケーションからデータベースへのアクセスのみを許可する ingress ファイアウォール ルールを作成します。
  • B. フロントエンド アプリケーションとデータベースにそれぞれ別のサブネットを作成してネットワークの分離を図ります。
  • C. 2つの VPC ネットワークを作成し、Cloud VPN ゲートウェイを使用して 2つのネットワークを接続してネットワークの分離を確保します。
  • D. 2つの VPC ネットワークを作成し、VPC ピアリングを使用して 2つのネットワークを接続し、ネットワークの分離を確保します。

Correct Answer: A

Question 36

チームは本番プロジェクトで稼働する Google Compute Engine インスタンスがパブリック IP アドレスを持たないようにしたいと考えています。
フロントエンド アプリケーションの Google Compute Engine インスタンスにはパブリック IP が必要です。プロダクト エンジニアはリソースを変更する Editor ロールを持っています。チームはこの要件を強制したいと考えています。
チームはどのようにこれらの要件を満たすべきでしょうか?

  • A. 本番プロジェクトの VPC ネットワークでプライベートアクセスを有効にします。
  • B. Editor ロールを削除し、エンジニアに Compute Admin IAM ロールを付与します。
  • C. 組織ポリシーを設定してフロントエンドの Google Compute Engine インスタンスのパブリック IP のみを許可します。
  • D. パブリック IP を持つサブネットとパブリック IP を持たないサブネットの 2つのサブネットを持つ VPC ネットワークを設定します。

Correct Answer: C

Reference contents:
静的外部 IP アドレスの予約 | Compute Engine ドキュメント| Google Cloud

Question 37

2つの VPC ネットワークを接続するための VPC ピアリングの使用に関連する 2つのセキュリティ特性はどれですか?(回答は 2つ)

  • A. ピアリングされたネットワークのルート、ファイアウォール、VPN の中央管理。
  • B. 直接ピアリングされたネットワークのみが通信可能な非遷移型ピアリング ネットワーク。
  • C. 異なる Google Cloud Platform 組織に属するネットワークをピアリングする機能
  • D. あるピアリングされたネットワークから別のピアリングされたネットワークへのタグで作成できるファイアウォール ルール。
  • E. ビアードされたネットワーク間で特定のサブネットを共有する機能。

Correct Answer: A、D

Question 38

ある脆弱性のパッチがリリースされ、DevOps チームは Google Kubernetes Engine(GKE)で稼働中のコンテナをアップデートする必要があります。
DevOps チームはどのようにこれを達成すべきでしょうか?

  • A. Puppet または Chef を使用して実行中のコンテナにパッチをプッシュします。
  • B.自動アップグレードが有効になっていることを確認します。 その場合 Google は GKE クラスタ内のノードをアップグレードします。
  • C.アプリケーションコードを更新するか、パッチを適用して新しいイメージをビルドし、再デプロイします。
  • D.ベースイメージがコンテナ レジストリで利用可能になったときに自動的にアップグレードするようにコンテナを構成します。

Correct Answer: B

Reference contents:
セキュリティに関する情報 | Anthos クラスタ| Google Cloud

Question 39

企業が Google Kubernetes Engine で Web ショップを運営しており、Google BigQuery で顧客のトランザクションを分析したいと考えています。
Google BigQuery にクレジットカード番号が保存されていないことを確認する必要があります。
どのようにすればよいでしょうか?

  • A. クレジットカード番号に一致する正規表現を使用した Google BigQuery ビューを作成してクエリを実行し、影響を受ける行を削除します。
  • B. Google Cloud Data Loss Prevention API を使用してデータが Google BigQuery に取り込まれる前に関連する infoTypes を再編集します。
  • C. Security Command Center を利用して Google BigQuery のクレジットカード番号タイプの資産をスキャンします。
  • D. Google Cloud Identity-Aware Proxy を有効にして Google BigQuery にログを格納する前にクレジットカード番号をフィルタリングします。

Correct Answer: D

Question 40

マネージャーはコストを最小限に抑えながらセキュリティ イベントログの保持を 2年間保持し始めたいと考えています。
適切なログエントリを選択するためのフィルタを書きます。
ログのエクスポート先は?

  • A. Google BigQuery データセット
  • B. Google Cloud Storage バケット
  • C. StackDriver ログ
  • D. Google Cloud Pub/Sub トピック

Correct Answer: C

Reference contents:
ログの除外 | Cloud Logging| Google Cloud

Question 41

会社のメッセージングアプリが FIPS140-2 に準拠するために GCP コンピューティング サービスとネットワークサービスを使用することが決定されました。
メッセージングアプリのアーキテクチャには Google Compute Engine インスタンスのクラスタを制御するマネージド インスタンス グループ(MIG)が含まれています。インスタンスはデータ キャッシングにローカル SSD を使用してインスタンス間の通信に UDP を使用します。アプリ開発チームは標準に準拠するために必要な変更を喜んで行います。
要件を満たすためにどのオプションをお勧めしますか?

  • A. BoringCrypto モジュールを使用してすべてのキャッシュ ストレージと VM 間の通信を暗号化します。
  • B. MIG が使用するインスタンス テンプレートのディスク暗号化を顧客管理鍵に設定してインスタンス間のすべてのデータ転送に BoringSSL を使用します。
  • C. アプリのインスタンス間通信を UDP から TCP に変更してクライアントの TLS 接続で BoringSSL を有効にします。
  • D. MIG が使用するインスタンス テンプレートのディスク暗号化を Google-managed Key に設定し、すべてのインスタンス間の通信に BoringSSL ライブラリを使用します。

Correct Answer: D

Question 42

企業ではアナリストと管理者の両方が共有する Google Cloud Storage バケットにアプリケーションのログをバックアップしています。
アナリストは個人を特定できる情報(PII)を含まないログにのみアクセスする必要があります。PII を含むログファイルは管理者のみがアクセス可能な別のバケットに保存する必要があります。
何をすべきですか?

  • A. Google Cloud Pub/Sub と Google Cloud Functions を使用して共有バケットにファイルがアップロードされるたびに Google Cloud Data Loss Prevention スキャンを実行します。スキャンの結果、PII が検出された場合は管理者のみがアクセスできる Google Cloud Storage バケットに移動させます。
  • B. 共有バケットと管理者のみアクセス可能なバケットの両方にログをアップロードします。Google Cloud Data Loss Prevention API を使用してジョブ トリガーを作成します。PII を含むファイルを共有バケットから削除するようにトリガーを設定します。
  • C. アナリストと管理者の両方に共有されているバケットで PII を含むオブジェクトを削除するようにオブジェクトのライフサイクル管理を設定します。
  • D. アナリストと管理者の両方が共有しているバケット上で PII データがアップロードされたときにのみトリガーされる Google Cloud Storage トリガーを設定します。Google Cloud Functions を使用してトリガーを捕捉してそのようなファイルを削除します。

Correct Answer: C

Question 43

顧客がエンジニアを解雇した際にそのエンジニアの Google アカウントが自動的にデプロビジョニングされるようにする必要があります。
顧客はどうすればよいでしょうか?

  • A. Google Cloud SDK とそのディレクト リサービスを使用して Google Cloud Identity の IAM パーミッションを削除します。
  • B. Google Cloud SDK とそのディレクト リサービスを使用して Google Cloud Identity からユーザーのプロビジョニングとデプロビジョニングを行います。
  • C. Google Cloud Directory Sync とそのディレクトリ サービスを設定して Google Cloud Identity からユーザーのプロビジョニングとデプロビジョニングを行います。
  • D. Google Cloud Directory Sync とそのディレクトリ サービスを設定して Google Cloud Identity の IAM パーミッションを削除します。

Correct Answer: C

Question 44

企業では特定の IT ワークロードに Google Cloud Platform(GCP)を使用することを検討しています。
ユーザーのアイデンティティとライフサイクルの管理には定評のあるディレクトリ サービスが使用されています。このディレクトリ サービスは組織がアイデンティティの「source of truth」ディレクトリとして使用し続ける必要があります。
この組織の要件を満たすソリューションはどれか?

  • A. Google Cloud Directory Sync (GCDS)
  • B. Google Cloud Identity
  • C. Security Assertion Markup Language (SAML)
  • D. Google Cloud Pub/Sub

Correct Answer: B

Reference contents:
Google Cloud と Active Directory の連携: 概要| Google Cloud

Question 45

クラウド サービスの提供と利用に適用される情報セキュリティ管理のガイドラインを定めた国際的なコンプライアンス規格はどれでしょうか?

  • A. ISO 27001
  • B. ISO 27002
  • C. ISO 27017
  • D. ISO 27018

Correct Answer: C

新しいサービス アカウントを作成してプロジェクト内の Google Compute Engine インスタンスをリストアップできるように Google のベストプラクティスに従うことになります。

Reference contents:
ISO/IEC 27017 – コンプライアンス | Google Cloud
概要 | ISO/IEC 27017(クラウドサービスセキュリティ) | ISO認証 | 日本品質保証機構(JQA)

Question 46

エンベロープ暗号でデータを暗号化する手順をどれでしょうか?

  • A.
    • データ暗号鍵(DEK)をローカルで生成します。
    • 鍵暗号鍵(KEK)を使用して DEK を暗号化します。
    • KEK でデータを暗号化します。
    • 暗号化されたデータと暗号化された KEK を保存します。
  • B.
    • 鍵暗号鍵(KEK)をローカルで生成します。
    • KEKを使用してデータ暗号鍵(DEK)を生成します。
    • DEK でデータを暗号化します。
    • 暗号化されたデータと暗号化された DEK を保存します。
  • C.
    • データ暗号鍵(DEK)をローカルに生成します。
    • DEK でデータを暗号化する。
    • 鍵暗号鍵(KEK)を使って DEK をラップします。
    • 暗号化されたデータと暗号化された DEK を保存します。
  • D.
    • 鍵暗号鍵(KEK)をローカルに生成します。
    • データ暗号鍵(DEK)をローカルに生成します。
    • KEKでデータを暗号化する。
    • 暗号化されたデータと暗号化されたDEKを保存します。

Correct Answer: C

Reference contents:
エンベロープ暗号化 | Cloud KMS ドキュメント| Google Cloud

Question 47

企業のセキュリティとリスク管理チームは Google Cloud Platform(GCP)で実行している特定の本番ワークロードの責任所在と Google の責任所在について懸念しています。
チームは主に Google App Engine を含む Google Cloud の Platform-as-a-Service(PaaS)製品を使用してワークロードを実行しています。
Google App Engine を使用する場合はテクノロジー スタックのどの領域を主な責任範囲として重視する必要があるでしょうか?

  • A. VPCフローログの設定と監視を行います。
  • B. XSS と SQLi 攻撃からの防御します。
  • C. ゲスト OSの最新アップデートやセキュリティパッチを管理します。
  • D. すべての保存データを暗号化します。

Correct Answer: D

Question 48

エンジニアリング チームがインターネット上で公開される Web アプリケーションを立ち上げようとしています。
Web アプリケーションは複数の GCP リージョンでホストされており、URL リクエストに基づいてそれぞれのバックエンドに誘導されます。チームはアプリケーションが直接インターネット上に公開されることを避けたいと考えており、特定の悪意のある IP アドレスのリストからのトラフィックを拒否したいと考えています。
これらの要件を満たすためにチームはどのソリューションを実装すべきでしょうか?

  • A. Google Cloud Armor
  • B. ネットワーク負荷分散
  • C. SSL プロキシ負荷分散
  • D. NAT ゲートウェイ

Correct Answer: A

Reference contents:
セキュリティ ポリシーの概要 Google Cloud

Question 49

顧客は Google Cloud Platform(GCP)上で分析ワークロードを実行しており、Google Compute Engine インスタンスが Google Cloud Storage に保存されたデータにアクセスしています。
チームはこのワークロードがインターネットにアクセスしたり、インターネットからアクセスされたりしないようにしたいと考えています。
チームはこれらの要件を満たすためにどの戦略を使用する必要がありますか?(回答は 2つ)

  • A. Google Compute Engine のサブネットに限定公開の Google アクセスを設定します。
  • B. Google Compute Engine クラスタにパブリック IP アドレスを割り当てないようにする。
  • C. Google Compute Engine クラスタが別のサブネットで実行されていることを確認します。
  • D. クラスタ内の Google Compute Engine インスタンスの IP 転送をオフにします。
  • E. Google Cloud NAT ゲートウェイを構成します。

Correct Answer: B、E

Question 50

会社の開発チームに所属しています。
Google Kubernetes Engine 上のステージングでホストされている Web アプリケーションが入力されたデータを適切に検証することなく、Web ページにユーザーデータを動的に含めることに気づきました。これにより、攻撃者が本番環境の被害者ユーザーのブラウザで無意味なコマンドを実行したり、任意のコンテンツを表示したりすることが可能になります。
この脆弱性をどのようにして防ぎ、修正すべきでしょうか?

  • A. IP アドレスまたはエンドユーザー デバイスの属性に基づいてGoogle Cloud IAPを使用し、脆弱性を防止・修正します。
  • B. HTTPS ロードバランサーを設定し、本番環境には Google Cloud Armor を使用して潜在的なXSS攻撃を防ぎます。
  • C. Web Security Scanner を使用してコードに含まれる古いライブラリの使用を検証し、含まれるライブラリの安全なバージョンを使用します。
  • D. Web Security Scanner をステージングで使用してXSSインジェクション攻撃をシミュレートし、コンテクストの自動エスケープをサポートするテンプレートシステムを使用します。

Correct Answer: D

Reference contents:
Security Command Center のドキュメント | セキュリティ コマンド センター | Google Cloud
Web Security Scanner の使用  セキュリティ コマンド センター | Google Cloud

Question 51

Google BigQuery の機密性の高いデータを保護する責任があります。
業務チームはこのデータにアクセスする必要がありますが個人情報保護の観点からメールアドレスや名前などの機密性の高いフィールドは閲覧できないようにしたいと考えています。これらの特定のセンシティブなフィールドは人事チームが必要に応じてのみ利用できるようにする必要があります。
どうすればいいのでしょうか?

  • A. Google Cloud DLP API でデータマスキングを行い、そのデータを Google BigQuery に保存して後で使用します。
  • B. Google Cloud DLP API を使用してデータのリダクションを実行し、そのデータを Google BigQuery に保存して後で使用します。
  • C. Google Cloud DLP API を使用してデータの検査を行い、そのデータを Google BigQuery に保存して後で使用します。
  • D. Google Cloud DLP API を使用して偽装匿名化のためのトークン化を実行し、そのデータを Google BigQuery に保存して後で使用します。

Correct Answer: C

Reference contents:
BigQuery, PII, and Cloud Data Loss Prevention (DLP): Take it to the next level with Data Catalog

Categories:

Google Cloud Platform

Tags:

Professional Cloud Security Engineer

Comments are closed