Professional Cloud Security Engineer 模擬問題集 (2020.02.24)

[GCP] Google Cloud Certified - Professional Security Engineer
Written by E.G -
on 11月 16, 2020

本問題集は「Professional Cloud Security Engineer Practice Exam (2020.02.24)」から日本訳した問題集です。

Google Cloud 認定資格 – Professional Cloud Security Engineer(全45問)

QUESTION 1

セキュアなコンテナ イメージを作成する場合、可能であればビルドに組み込む必要がある2つの項目ははどれですか?(回答は2つ)

  • A. アプリケーションがPID1 で実行されていないことを確認します。
  • B. 単一のアプリケーションをコンテナとしてパッケージ化します。
  • C. アプリケーションが必要としない不要なツールを削除します。
  • D. パブリック コンテナのイメージをアプリケーションのベースイメージとして使用する。
  • E. 多数のコンテナ イメージ レイヤーを使用して、機密情報を非表示にします。

Correct Answer: B, C

Reference:
コンテナ構築のおすすめの方法

QUESTION 2

会社は、専用サーバルームでワークロードを実行しています。
アクセスできるのは、会社のプライベート ネットワーク内からのみです。
これらのワークロードには、Google Cloud Platform プロジェクト内のGoogle Compute Engine インスタンスから接続する必要があります。
要件を満たすために、どのアプローチが良いでしょうか?(回答は2つ)

  • A. Google Cloud VPN を使用してプロジェクトを構成します。
  • B. 共有 VPCでプロジェクトを構成します。
  • C. Cloud Interconnect を使用してプロジェクトを構成します。
  • D. VPCピアリングを使用してプロジェクトを構成します。
  • E.すべてのGoogle Compute Engine インスタンスをプライベートアクセスで構成します。

Correct Answer: D, E

Reference:
データ ワークロードの保護: GCP のユースケース

QUESTION 3

Google Compute Engine 上でホストされているERPシステムにCloud Identity-Aware Proxy を実装している顧客がいます。
セキュリティチームは、ERP システムがCloud Identity-Aware Proxy からのトラフィックのみを受け入れるようにセキュリティレイヤーを追加したいと考えています。
この要件を満たすために顧客は何をするべきでしょうか?

  • A. ERP システムがHTTP リクエスト内のJWT アサーションを検証できることを確認します。
  • B. ERP システムがHTTP リクエストのID ヘッダーを検証できることを確認します。
  • C. ERP システムがHTTP リクエスト内のx-forwarded-for ヘッダを検証できることを確認します。
  • D. ERP システムがHTTP リクエスト内のユーザーの一意の識別子ヘッダーを検証できることを確認します。

Correct Answer: A

QUESTION 4

顧客は、攻撃者によるドメイン/IP のハイジャックや、中間者 攻撃による悪意のあるサイトへのユーザーのリダイレクトを防止する必要があります。
どのソリューションを使用するべきでしょうか?

  • A. VPC Flow Logs
  • B. Google Cloud Armor
  • C. DNS Security Extensions
  • D. Cloud Identity-Aware Proxy

Correct Answer: C

Reference:
DNSSEC now available in Cloud DNS

QUESTION 5

顧客がアプリケーションをGoogle App Engine にデプロイし、Open Web Application Security Project(OWASP)の脆弱性をチェックする必要があります。
これを実現するには、どのサービスを使用するべきでしょうか?

  • A. Google Cloud Armor
  • B. Google Cloud Audit Logs
  • C. Google Cloud Security Scanner
  • D. Forseti Security

Correct Answer: C

Reference:
Cloud Security Scanner

QUESTION 6

顧客のデータサイエンスグループは、分析ワークロードにGoogle Cloud Platform(GCP)を使用したいと考えています。
会社のポリシーでは、すべてのデータは会社所有であり、すべてのユーザー認証は独自のセキュリティ アサーション マークアップ ランゲージ言語(SAML)2.0 ID プロバイダー(IdP)を通過する必要があることが規定されています。
インフラストラクチャ オペレーション システムエンジニアは、顧客向けにCloud Identity を設定しようとしており、G Suite ですでにドメインが使用されていることに気付きました。
システム エンジニアに、システム停止を最小限に抑えるようにどのようにすればいいでしょうか?

  • A. 新しいCloud Identity ドメインでドメイン名を使用するには、Google サポートに連絡してドメイン競合プロセスを開始します。
  • B. 新しいドメイン名を登録し、それを新しいCloud Identity ドメインに使用する。
  • C. 既存のドメインの特権管理者として、データサイエンス マネージャのアカウントをプロビジョニングするようにGoogle に依頼します。
  • D. 顧客の管理者に、Google 管理サービスの他の使用方法を探してもらい、既存の特権管理者と連携します。

Correct Answer: C

QUESTION 7

Google Compute Engine インスタンスで実行されるアプリケーションは、Google Cloud Storage バケットからデータを読み取る必要があります。
チームは、Google Cloud Storage バケットをグローバルに読み取り可能にすることを許可しておらず、最小限の特権の原則を確保したいと考えています。
どのオプションがチームの要件を満たしますか?

  • A. Google Compute Engine インスタンスのIP アドレスからの読み取り専用アクセスを許可し、アプリケーションが認証情報なしでバケットから読み取ることを許可するGoogle Cloud Storage ACLを作成します。
  • B. Google Cloud Storage バケットへの読み取り専用アクセスを持つサービス アカウントを使用し、Google Compute Engine インスタンスのアプリケーションの構成でサービス アカウントに認証情報を保存します。
  • C. Google Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用して、インスタンスのメタデータから認証情報を取得します。
  • D. Google Cloud KMS を使用してGoogle Cloud Storage バケットのデータを暗号化し、アプリケーションがKMS キーでデータを復号できるようにします。

Correct Answer: C

QUESTION 8

雇用主は、従業員の外れ値を特定して収益格差を修正するために、ボーナス報酬が時間とともにどのように変化したかを追跡したいと考えています。
このタスクは、個人の機密補正データを公開せずに実行する必要があり、外れ値を特定するために元に戻すことができる必要があります。
これを達成するには、どのGoogle Cloud Data Loss Prevention API テクニックを使用すれば良いでしょうか?

  • A. Generalization
  • B. Redaction
  • C. CryptoHashConfig
  • D. CryptoReplaceFfxFpeConfig

Correct Answer: B

Reference:
仮名化
Cloud DLP API による機密データの厳重な管理

QUESTION 9

エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには、Google のベストプラクティスに従います。
何をするべきでしょうか?

  • A. データを暗号化するためのデータ暗号鍵(DEK)をローカルで生成し、DEK を暗号化するための新しい鍵暗号鍵(KEK)をGoogle Cloud KMS で生成します。暗号化されたデータと暗号化されたDEK の両方を保存します。
  • B. データを暗号化するためのデータ暗号鍵(DEK)をローカルで生成し、DEK を暗号化するための新しい鍵暗号鍵(KEK)をGoogle Cloud KMS で生成します。暗号化されたデータとKEK の両方を保存します。
  • C. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、ローカルで鍵暗号鍵(KEK)を生成してキーを暗号化します。暗号化されたデータと暗号化されたDEK の両方を格納します。
  • D. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、ローカルで鍵暗号鍵(KEK)を生成してキーを暗号化します。暗号化されたデータとKEK の両方を保存します。

Correct Answer: A

Reference:
エンベロープ暗号化

QUESTION 10

利用者は、Stackdriver ログをGoogle Cloud Platform(GCP)からオンプレミスのSIEM システムに確実に配信する必要がありますか?

  • A. syslogなどの既存のプロトコルを介してすべてのログをSIEM システムに送信します。
  • B. すべてのログを共通のGoogle BigQuery データセットにエクスポートするようにすべてのプロジェクトを構成し、SIEM システムによってクエリします。
  • C. 組織のログシンクを設定し、Google Cloud Pub/Sub トピックにログをエクスポートして、Google Cloud Dataflow 経由でSIEM に送信します。
  • D. GCP RESTful JSON APIからすべてのログをリアルタイムでクエリするSIEM のコネクタを構築します。

Correct Answer: C

QUESTION 11

サポートセンターでオンラインチャットを介して担当者と作業する場合、組織のお客様は、個人識別情報(PII)を含むドキュメントの画像を共有することがよくあります。
サポートセンターを所有する組織は、PIIが顧客サービスの傾向分析のために内部または外部のアナリストによるレビューのために保持する通常のチャットログの一部としてデータベースに保存されていることを懸念しています。
データユーティリティを維持しながら、お客様のこの問題の解決を支援するには、どのGoogle Cloud ソリューションを使用するのが良いでしょうか?

  • A. Google Cloud Key Management Service(KMS)を使用して、分析用に保存する前に顧客が共有するPII データを暗号化します。
  • B. オブジェクトのライフサイクル管理を使用して、PII を含むすべてのチャット レコードを破棄し、分析用に保存しないようにします。
  • C. Google Cloud Data Loss Prevention(DLP)APIの画像検査および匿名化 アクションを使用して、分析用に保存する前に画像からPII を匿名化します。
  • D.DLP API ソリューションの汎化およびバケット化アクションを使用して、解析用に保存する前にテキストからPII を編集します。

Correct Answer: D

Reference:
機密データの匿名化

QUESTION 12

企業のアプリケーションは、ユーザーが管理するサービス アカウント キーを使用して展開されます。
Google のベストプラクティスに従って、キーをローテーションする必要があります。
何をするべきでしょうか?

  • A. Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate –iam-account = IAM_ACCOUNT を実行します。
  • B. Cloud Shell を開き、gcloud iam service-accounts keys rotate –iam-account = IAM_ACCOUNT –key = NEW_KEY を実行します。
  • C. 新しいキーを作成し、アプリケーションでその新しいキーを使用するよう切り替えた後、サービス アカウントから古いキーを削除します。
  • D. 新しいキーを作成し、アプリケーションでその新しいキーを使用するよう切り替えた後、古いキーをバックアップ キーとしてシステムに保存します。

Correct Answer: C

Reference:
サービス アカウントについて

QUESTION 13

組織は、現在のオンプレミスの生産性ソフトウェア システムからG Suiteに移行しています。
従来のオンプレミス システムでは、地域の規制機関がネットワーク セキュリティ管理を実施していました。
組織のリスクチームは、G Suite でネットワーク セキュリティ管理が維持され、効果的であることを確認したいと考えています。
この移行をサポートしているセキュリティ アーキテクトは、組織とGoogle Cloud の間の新しい責任共有モデルの一部として、ネットワーク セキュリティ管理が実施されていることを確認するよう求めています。
要件を満たすのに役立つソリューションをどれでしょうか?

  • A.必要な制御を満たすためにファイアウォール ルールが設定されていることを確認します。
  • B. Google Cloud Armor をセットアップして、G Suite のネットワークセキュリティ制御を管理できるようにします。
  • C. ネットワーク セキュリティは組み込みのソリューションであり、G Suite などのSaaS 製品に対するGoogle Cloud の責任になります。
  • D. Virtual Private Cloud(VPC)ネットワークのアレイ(array)をセットアップして、関連する規制で義務付けられているネットワークセキュリティを制御します。

Correct Answer: B

QUESTION 14

顧客の企業には複数のビジネス ユニットがあります。
各事業部門は独立して運営され、それぞれに独自のエンジニアリング グループがあります。
チームは社内で作成されたすべてのプロジェクトを可視化し、Google Cloud Platform(GCP)プロジェクトをさまざまなビジネス ユニットに基づいて整理したいと考えています。
各ビジネス ユニットには、個別のIAMアクセス許可のセットも必要です。
これらの要望を満たすために、どの戦略を使用するべきでしょうか?

  • A. 組織ノードを作成し、各ビジネス ユニットにフォルダを割り当てます。
  • B. gmail.com アカウントを使用して、各ビジネス ユニットのスタンドアロン プロジェクトを確立します。
  • C. リソースを所有するビジネス ユニットを識別するラベルを使用して、プロジェクトのGCP リソースを割り当てます。
  • D. 各ビジネス ユニットのVPCでGCP リソースを割り当て、ネットワーク アクセスを分離します。

Correct Answer: A

QUESTION 15

会社では、Google Cloud Platform のさまざまなリージョンに複数のメールサーバを冗長しており、場所に基づいて顧客を最も近いメールサーバにルーティングしたいと考えています。
会社はこれをどのように達成すべきですか?

  • A. TCP プロキシ 負荷分散を、ポート 995 でリッスンするグローバル 負荷分散 サービスとして構成します。
  • B. 場所に基づいてトラフィックを転送する転送ルールを使用して、TCP ポート 995でリッスンするネットワーク負荷分散 装置を作成します。
  • C. クロスリージョンの負荷分散をHTTP(S)負荷分散と共に使用して、トラフィックを最も近いリージョンにルーティングします。
  • D. Google Cloud CDN を使って、メールトラフィックをクライアントのIP アドレスに基づいて最も近い送信元メールサーバにルーティングします。

Correct Answer: D

QUESTION 16

チームは、プロジェクト co-vpc-prodがホストプロジェクトである共有 VPC ネットワークを設定します。
チームは、ホストプロジェクトでファイアウォール ルール、サブネット、VPN ゲートウェイを構成しました。
エンジニアリング グループ AがGoogle Compute Engine インスタンスを10.1.1.0/24 サブネットのみに接続できるようにする必要があります。
この要件を満たすために、チームはエンジニアリング グループ Aに何を強化する必要があるでしょうか?

  • A. ホスト プロジェクト レベルでのCompute Network ユーザーの役割。
  • B. サブネット レベルでのCompute Network ユーザーの役割。
  • C. ホスト プロジェクト レベルでのCompute Shared VPC 管理者 の役割。
  • D. サービス プロジェクト レベルでのCompute Shared VPC 管理者 の役割。

Correct Answer: C

Reference:
共有 VPC の概要

QUESTION 17

組織は、インフラ ストラクチャを自社オンプレミスからGoogle Cloud Platform(GCP)に移行します。
組織が最初に実行するステップは、現在のデータ バックアップと障害復旧計画ガイドを後で分析するためにGCPに移行することです。
組織の本番環境は無期限に自社オンプレミスのままになりますが、拡張性とコスト効率に優れたソリューションを求めています。
組織はどのGCP ソリューションを使用すると良いでしょうか?

  • A. 継続的なアップデートを伴うデータパイプラインジョブを使用するGoogle BigQuery。
  • B. スケジュールされたタスクとgsutil を使用したGoogle Cloud Storage。
  • C. 永続ディスクを使用したGoogle Compute Engine 仮想マシン。
  • D. 定期的にスケジュールされたバッチ アップロード ジョブを使用するGoogle Cloud Datastore。

Correct Answer: A

QUESTION 18

ユーザーに代わってユーザーのGoogle Drive にアクセスする必要がある内部Google App Engine アプリケーションを作成しています。
会社は、現在のユーザーの資格情報には依存したくなく、Google のベストプラクティスに従いたいと考えています。
どうすればいいでしょうか?

  • A. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーにサービス アカウント ユーザーの役割を付与します。
  • B. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーをGoogle グループに追加します。このグループにサービスアカウントユーザーの役割を与えます。
  • C. 専用のG Suite 管理者アカウントを使用し、これらのG Suite 資格情報を使用してアプリケーションの操作を認証します。
  • D. 新しいサービス アカウントを作成し、G Suite ドメイン全体の委任を付与します。ユーザーになりすますために、アプリケーションに使用させます。

Correct Answer: A

QUESTION 19

顧客は、マネージドインスタンスグループ(MIG)を使用して、重要なワークロードをGoogle Compute Engine ベースのクラスターに移動したいと考えています。
ジョブはバースト的であり、迅速に完了させて暗号鍵を管理およびローテーションできる必要があります。
この顧客の要件を満たすために、クラスタで使用するブートディスク暗号化ソリューションはどれですか?

  • A. 顧客指定の暗号鍵(Customer-Supplied Encryption Keys、CSEK)。
  • B. Google Cloud Key Management Service(KMS)を使用した顧客指定の暗号鍵(CMEK)。
  • C. デフォルトで暗号化。
  • D. 分析のためにGoogle Cloud Platform に転送する前のファイルの事前暗号化。

Correct Answer: B

Reference:
クラスタの作成
顧客指定の暗号鍵

QUESTION 20

顧客の社内セキュリティ チームは、Google Cloud Storage 上のデータを暗号化するための暗号化キーを独自に管理する必要があり、顧客指定の暗号鍵(CSEK)を使用することを決定しました。
チームはどのようにしてこのタスクを完了させるべきでしょうか?

  • A. 暗号鍵をGoogle Cloud Storage バケットにアップロードし、同じバケットにオブジェクトをアップロードします。
  • B. gsutil コマンドラインツールを使用してオブジェクトをGoogle Cloud Storage にアップロードし、暗号鍵の場所を指定します。
  • C. Google Cloud Platform Console で暗号鍵を生成し、指定した鍵を使用してオブジェクトをGoogle Cloud Storage にアップロードします。
  • D. オブジェクトを暗号化してから、gsutil コマンドラインツールまたはGoogle Cloud Platform Console を使用して、オブジェクトをGoogleCloud Storageにアップロードします。

Correct Answer: D

Reference:
顧客指定の暗号鍵

QUESTION 21

顧客には300人のエンジニアがいます。
開発環境プロジェクトと本番環境プロジェクトのユーザー間で、さまざまなレベルのアクセスを許可し、IAM 権限を効率的に管理したいと考えています。
これらの要件を満たすために、どのようなステップを実行する必要があるでしょうか?(回答は2つ)

  • A.環境ごとに複数のVPC ネットワークでプロジェクトを作成します。
  • B.開発および運用環境ごとにフォルダーを作成します。
  • C. エンジニアリング チームのGoogle グループを作成し、フォルダ レベルで権限を割り当てます。
  • D. 各フォルダ環境の組織ポリシー制約を作成します。
  • E. 各環境のプロジェクトを作成し、各エンジニアリング ユーザーにIAM 権限を付与します。

Correct Answer: B、D

QUESTION 22

DevOpsチームはGoogle Kubernetes Engine 上で実行する新しいコンテナを作成します。
アプリケーションはインターネットに接続されるため、コンテナの攻撃 対象領域を最小限に抑えたいと考えています。
何をするべきでしょうか?

  • A. Google Cloud Build を使用して、コンテナ イメージをビルドします。
  • B.小さなベース イメージを使用して小さなコンテナを構築します。
  • C. Container Registry から未使用バージョンを削除します。
  • D. 継続的デリバリー(Continuous Delivery)ツールを使用して、アプリケーションを展開します。

Correct Answer: D

Reference:
コンテナ構築のおすすめの方法

QUESTION 23

組織のインフラストラクチャをGoogle Cloud Platform(GCP)に移行する際には、多数のユーザーがGCP Consoleにアクセスする必要があります。
Identity Management チームは、ユーザーを管理するための十分に確立された方法をすでに持っており、既存のSSO パスワードとともに既存のActive Directory またはLDAP サーバを使用し続けたいと考えています。
何をするべきでしょうか?

  • A. Google ドメインのデータを既存のActive DirectoryまたはLDAPサーバーと手動で同期します。
  • B. Google Cloud Directory Sync を使用して、Googleドメインのデータを既存のActive Directory またはLDAP サーバと同期します。
  • C.ユーザーは、オンプレミスのKerberos 準拠のID プロバイダーからの資格情報を使用してGCP Console に直接サインインします。
  • D.ユーザーは、OpenID(OIDC)互換のIdP を使用してサインインし、認証トークンを受け取り、そのトークンを使用してGCP Console にログインします。

Correct Answer: B

Reference:
Using your existing identity management system with Google Cloud Platform
Google Cloud Directory Sync について
Google Cloud Platform と Active Directory の連携: 概要
Google Cloud Platform と Active Directory の連携: ユーザー アカウントの同期

QUESTION 24

会社はG Suiteを使用しており、Google App Engine での内部使用を目的としたアプリケーションを開発しました。
従業員のパスワードが危険にさらされた場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
何をするべきでしょうか?

  • A.すべてのユーザーに対してG Suiteで2要素認証を適用します。
  • B. Google App Engin eアプリケーションにCloud Identity-Aware Proxy を構成します。
  • C. G Suite Password Sync を使用してユーザー パスワードをプロビジョニングします。
  • D.プライベート ネットワークとGCP の間でGoogle Cloud VPN を構成します。

Correct Answer: D

QUESTION 25

企業がGoogle Cloud Platform にアプリケーションをデプロイしています。
会社のポリシーでは、少なくとも2つの地理的な場所にデータを自動的に複製できるソリューションを使用して、長期データを保存する必要があります。
どのGoogle ストレージ サービスを使用するべきですか?

A. Google Cloud Bigtable
B. Google Cloud BigQuery
C. Google Compute Engine SSD Disk
D. Google Compute Engine Persistent Disk

Correct Answer: B

Reference:
データセットのロケーション

QUESTION 26

大手のオンライン販売業者が、自社のEC サイトをGoogle Cloud Platform(GCP)に移行を検討しています。
顧客がオンラインでチェックアウトするときに、顧客のブラウザとGCP の間で支払い情報が暗号化されることを保証したいと考えています。
何をするべきでしょうか??

  • A. L7 ロードバランサ(HTTP(S)負荷分散)でSSL 証明書を構成し、暗号化を要求します。
  • B. L4 ロードバランサ(TCP プロキシ負荷分散)でSSL 証明書を構成し、暗号化を要求します。
  • C. ポート 443で上り(内向き)トラフィックを許可し、他のすべての上り(内向き)トラフィックをブロックするようにファイアウォールを構成します。
  • D. ポート 443で下り(外向き)トラフィックを許可し、他のすべての下り(外向き)トラフィックをブロックするようにファイアウォールを構成します。

Correct Answer: A

Rerence:
SSL 証明書の概要
外部 HTTP(S) 負荷分散の概要

QUESTION 27

現在のメンテナンス契約の期限が切れる前に、会社のデータセンターにある従来のアプリケーションをGoogle Cloud Platform(GCP)に移行する責任があります。
アプリケーションが使用しているポートがわからないため、確認できるドキュメントがありません。環境を危険にさらすことなく移行を完了しなけてばなりません。
何をすれば良いでしょうか?

  • A. 「Lift&Shift」アプローチを使用して、アプリケーションを独立したプロジェクトに移行します。VPC ファイアウォール ルールを使用して、すべての内部 TCP トラフィックを有効にし、VPC フローログを使用して、アプリケーションが正常に動作するために許可するトラフィックを決定します。
  • B. カスタム ネットワークの「Lift&Shift」アプローチを使用して、アプリケーションを独立したプロジェクトに移行します。VPC 内のすべてのトラフィックを無効にし、ファイアウォールのログを参照して、アプリケーションが正常に動作するために許可するトラフィックを決定します。
  • C. アプリケーションをGoogle Kubernetes Engine(GKE) クラスタのマイクロサービス アーキテクチャにリファクタリングします。ファイアウォール ルールを使用して、クラスタの外部からのすべてのトラフィックを無効にします。VPC フローログを使用して、アプリケーションが正常に動作するために許可するトラフィックを決定します。
  • D. アプリケーションを、独立したプロジェクト内のGoogle Cloud Functions でホストされるマイクロサービス アーキテクチャにリファクタリングします。ファイアウォール ルールを使用して、プロジェクトの外部からのすべてのトラフィックを無効にします。VPCフローログを使用して、アプリケーションが正常に動作するために許可するトラフィックを決定します。

Correct Answer: C

Rerence:
GCP への移行: はじめに
モノリシック アプリケーションを Google Kubernetes Engine のマイクロサービスに移行する

QUESTION 28

会社はGoogle Compute Engine 上にアプリケーションをデプロイしました。
クライアントは、ポート 587でアプリケーションにアクセスできます。
アプリケーションを実行している異なるインスタンス間で負荷を分散する必要があります。接続はTLSを使用して保護され、負荷分散によって終了される必要があります。
どのタイプのLoad Balancingを使用する必要がありますか?

  • A. ネットワーク負荷分散
  • B. HTTP(S) 負荷分散
  • C. TCP プロキシ負荷分散
  • D. SSL プロキシ負荷分散

Correct Answer: D

Reference:
SSL プロキシ負荷分散のコンセプト

QUESTION 29

チームは、ユーザーが組織内でプロジェクトを作成できないようにする必要があります。
依頼者の代わりにプロジェクトを作成できるのはDevOps チームだけです。
この要求を処理するために、チームはどのタスクを実行するべきでしょうか?(回答は2つ)

  • A. 組織レベルでプロジェクト作成者の役割からすべてのユーザーを削除します。
  • B. 組織のポリシーの制約を作成し、組織レベルで適用します。
  • C.指定されたユーザー グループに、組織レベルでプロジェクトエディターの役割を付与します。
  • D. 指定されたユーザー グループを組織レベルでプロジェクト作成者(Project Creator)の役割に追加します。
  • E. 指定されたDevOps チームに請求先アカウント作成者(Billing Account Creator)の役割を付与します。

Correct Answer: B、D

Reference:
組織のポリシーの制約
Resource Manager の役割

QUESTION 30

ある顧客が、クラウド コンピューティングの弾力性を利用したアプリケーションをGoogle Compute Engine 上にデプロイしました。
インフラストラクチャ オペレーション エンジニア と協力して、Google Compute Engine のWindows VMを最新のOS パッチで最新の状態に保つにはどうすれば良いでしょうか?

  • A. パッチが利用可能になった時点で新しいベースイメージを構築し、CI/CD パイプラインを使用してVMを再構築し、段階的にデプロイします。
  • B. ドメイン コントローラをGoogle Compute Engine に統合し、グループ ポリシー オブジェクトを使用して週単位のパッチを展開します。
  • C. Google Cloud Deployment Manager を使用して、更新されたVMを新しいインスタンス グループにプロビジョニングします。
  • D. 毎週のメンテナンス期間中にすべてのVMを再起動し、スタートアップスクリプトがインターネットから最新のパッチをダウンロードできるようにします。

Correct Answer: D

QUESTION 31

組織は、ますます多くのフィッシングメールを受信しています。
この状況で従業員の資格情報を保護するには、どの方法を使用する必要がありますか?

  • A. 多要素認証(MFA)
  • B. 厳格なパスワードポリシー
  • C. ログインページのキャプチャ
  • D. 暗号化したメール

Correct Answer: D

QUESTION 32

顧客はGoogle Compute Engine上にアプリケーションを構築するために他の企業と協力しています。
顧客はGoogle Cloud Platform(GCP) 組織でアプリケーション層を構築しており、別の企業は別のGCP 組織でストレージ層を構築しています。これは3層のWeb アプリケーションです。アプリケーションの各部分間の通信は、いかなる手段によってもパブリック インターネットを経由してはなりません。
どの接続オプションを実装するべきでしょうか?

  • A. VPC peering
  • B. Google Cloud VPN
  • C. Cloud Interconnect
  • D. Shared VPC

Correct Answer: B

QUESTION 33

チームは、本番プロジェクトで実行されているGoogle Compute Engin eインスタンスにパブリック IP アドレスがないことを確認したいと考えています。
フロントエンド アプリケーションのGoogle Compute Engine インスタンスにはパブリックIPが必要です。プロダクト エンジニアには、リソースを変更する編集者の役割があります。
チームはこの要件を実施したいと考えています。
これらの要件をどのように満たす必要がありますか?

  • A. 本番プロジェクトのVPC ネットワークでプライベート アクセスを有効にします。
  • B. Editor の役割を削除し、Compute Admin IAM の役割をエンジニアに付与します。
  • C. フロントエンドのGoogle Compute Engine インスタンスのパブリック IPのみを許可するように組織ポリシーを設定します。
  • D. 2つのサブネットを持つVPCネットワークをセットアップします。1つはパブリック IPを持つサブネットで、もう1つはパブリック IPを持たないサブネットです。

Correct Answer: C

Reference:
静的外部 IP アドレスの予約

QUESTION 34

脆弱性を修正するパッチがリリースされ、DevOps チームは、Google Kubernetes Engine(GKE)で実行中のコンテナを更新する必要があります
DevOps チームはこれをどのように達成する必要がありますか?

  • A. Puppet かChef を使って、パッチを実行中のコンテナにプッシュします。
  • B. 自動アップグレードが有効になっていることを確認します。その場合、Google はGKE クラスタ内のノードをアップグレードします。
  • C. アプリケーションコードを更新するか、パッチを適用し、新しいイメージを構築してから再配備します。
  • D. ベースイメージがコンテナ レジストリで使用可能になったときに、コンテナが自動的にアップグレードされるように設定します。

Correct Answer: B

Reference:
セキュリティに関する情報

QUESTION 35

コンプライアンス上の理由から、組織はスコープ内のPCI Kubernetes ポッドが「in-scope(範囲内で)」ノード上にのみ存在することを保証する必要があります。これらのノードには、「in-scope」ポッドのみを含めることができます。
組織はどのようにしてこの目的を達成するべきですか?

  • A. nodeSelector フィールドをポッド構成に追加して、inscope:true ラベルのノードのみを使用します。
  • B. inscope:true ラベルおよびポッドがそのラベルを持つノードでのみ実行できるようにするポッド セキュリティポリシーでノードプールを作成します。
  • C. inscope:true ラベルおよびeffect NoScheduleを持つノードに汚れを付け、ポッド構成で一致する許容値を設定します。
  • D. 名前空間「in-scope-pci」ですべてのスコープ内ポッドを実行します。

Correct Answer: C

QUESTION 36

企業のメッセージアプリをFIPS 140-2 に準拠するために、Google Cloud Platform(GCP)のコンピュートおよびネットワークサービスを使用することを決定しました。
メッセージアプリのアーキテクチャには、Google Compute Engine インスタンスのクラスタを制御するマネージド インスタンス グループ(MIG)が含まれています。インスタンスは、データのキャッシュにローカル SSDを使用し、インスタンス間の通信にUDPを使用します。アプリ開発チームは、標準に準拠するために必要な変更を喜んで行っています。
要件を満たすにはどのオプションをどれでしょうか?

  • A. BoringCrypto モジュールを使用して、すべてのキャッシュ ストレージとVM 間の通信を暗号化します。
  • B. MIGが使用するインスタンス テンプレートのディスク暗号化を顧客管理キーに設定し、インスタンス間のすべてのデータ転送にBoring SSLを使用します。
  • C. アプリのインスタンス間通信をUDPからTCPに変更し、クライアントのTLS 接続でBoring SSLを有効にします。
  • D. MIG が使用するインスタンステンプレートのディスク暗号化をGoogle 管理キーに設定し、インスタンス間のすべての通信にBoring SSLライブラリを使用します。

Correct Answer: D

QUESTION 37

Google Compute Engine 上で実行されている分析ワークロードで、インターネットへのアクセスが制限する必要があります。
チームは、インターネットへのすべてのトラフィックを拒否(優先順位 1,000)するために、拒否(egress) のファイアウォール ルールを作成しました。
Google Compute Engine インスタンスは、セキュリティ アップデートを入手するために、パブリックリ ポジトリにアクセスする必要がある。
何をするべきでしょうか?

  • A. 優先度が1,000を超えるリポジトリのCIDR 範囲へのトラフィックを許可するための拒否(egress) のファイアウォール ルールを作成します。
  • B. 優先度が1,000 未満のリポジトリのCIDR 範囲へのトラフィックを許可するための拒否(egress) のファイアウォール ルールを作成します。
  • C. 優先度が1,000を超えるリポジトリのホスト名へのトラフィックを許可するための拒否(egress) のファイアウォール ルールを作成します。
  • D. 優先度が1,000 未満のリポジトリのホスト名へのトラフィックを許可するための拒否(egress) のファイアウォール ルールを作成します。

Correct Answer: C

QUESTION 38

Google Compute Engine のディスク上に保存されているデータは、Google Cloud Key Management Service(KMS)が管理する鍵で暗号化する必要があります。
これらのキーに対するCloud Identity and Access Management(IAM)権限はすべてのキーで同じである必要があるため、グループ化された方法で管理する必要があります。
どうすれば良いでしょうか?

  • A. 鍵リングのすべての永続ディスクとすべてのキーに対して単一の鍵リングを作成し、鍵レベルでIAM 権限を管理します。
  • B. 鍵リングのすべての永続ディスクとすべての鍵に対して単一のKeyRingを作成し、鍵リング レベルでIAM 権限を管理します。
  • C. 各鍵リングに単一の鍵が含まれる永続ディスクごとに鍵リングを作成し、鍵レベルでIAM 権限を管理します。
  • D. 永続ディスクごとに鍵リングを作成し、各鍵リングには単一の鍵が含まれます。鍵リング レベルでIAM 権限を管理します。

Correct Answer: C

Reference:
鍵リングの作成 (opens in a new tab)”>対称鍵の作成>鍵リングの作成

QUESTION 39

顧客はエンジニアを解雇し、エンジニアのGoogle アカウントが自動的にプロビジョニング解除されることを確認する必要があります。
顧客は何をするべきでしょうか?

  • A. Google Cloud SDK をディレクトリサービスで使用し、Cloud Identity からIAM 権限を削除します。
  • B. Google Cloud SDK をディレクトリサービスで使用し、Cloud Identity からユーザーのプロビジョニングとプロビジョニング解除します。
  • C. Google Cloud Directory Syncをディレクトリサービスで設定し、Cloud Identityからユーザーをプロビジョニングおよびプロビジョニング解除します。
  • D. Google Cloud Directory Sync をディレクトリサービスで設定し、Cloud Identity からIAM 権限を削除します。

Correct Answer: C

QUESTION 40

クラウド サービスの提供と利用に適用できる情報セキュリティ管理のガイドラインを提供する国際的コンプライアンス基準はどれでしょうか?

  • A. ISO 27001
  • B. ISO 27002
  • C. ISO 27017
  • D. ISO 27018

Correct Answer: C

Explanation:
プロジェクト内のGoogle Compute Engine インスタンスをリストできる新しいサービスアカウントを作成します。Google のベストプラクティスを参考にしてください。

QUESTION 41

企業がインフラストラクチャをオンプレミス環境からGoogle Cloud Platform(GCP)に移行を検討しています。
組織が最初に実行したいステップは、進行中のデータ バックアップと災害復旧ソリューションをGCP に移行することです。
GCP への移行の次のフェーズは、組織のオンプレミスの本番環境です。
オンプレミス環境とGCP 間で安定したネットワーク接続も実装されています。
どのGCP ソリューションを使用するべきでしょうか?

  • A. Google Cloud VPN 経由で継続的にアップデートするデータ パイプライン ジョブを使用するGoogle BigQuery。
  • B.Cloud Interconnect 経由でスケジュールされたタスクとgsutil を使用するGoogle Cloud Storage。
  • C. Cloud Interconnect 経由で永続ディスクを使用するGoogle Compute Engines 仮想マシン。
  • D. Google Cloud VPN 経由で定期的にスケジュールされたバッチ アップロード ジョブを使用するGoogle Cloud Datastore。

Correct Answer: B

Reference:
Migration to Google Cloud: Building your foundation

QUESTION 42

エンベロープ暗号化を使用してデータを暗号化する手順はどれでしょうか?

  • A.
    • データ暗号鍵(DEK)をローカルで生成します。
    • DEK をラップ(暗号化)するには、鍵暗号鍵(KEK)を使用します。
    • KEK でデータを暗号化します。
    • 暗号化されたデータとラップされたKEK を格納します。
  • B.
    • 鍵暗号鍵(KEK)をローカルで生成します。
    • KEK を使用して、データ暗号鍵(DEK)を生成します。
    • DEK でデータを暗号化します。
    • 暗号化されたデータとラップされたDEKを保存します。
  • C.
    • データ暗号鍵(DEK)をローカルで生成します。
    • DEK でデータを暗号化します。
    • 鍵暗号鍵(KEK)を使用して、DEK をラップします。
    • 暗号化されたデータとラップされたDEK を保存します。
  • D.
    • 鍵暗号鍵(KEK)をローカルで生成します。
    • データ暗号鍵(DEK)をローカルで生成します。
    • KEKでデータを暗号化します。

Correct Answer: C

Reference:
エンベロープ暗号化

QUESTION 43

顧客は、モバイルワーカーがGoogle Cloud Platform(GCP) 上でホストされているCRM Webインターフェイスにアクセスしやすくしたいと考えています。
CRM にアクセスできるのは、企業ネットワーク上のユーザーだけで、顧客はインターネットでそれを利用できるように望んでいます。
チームでは、2要素認証をサポートするアプリケーションの前に認証レイヤーが必要です。
これらの要件を満たすためにどのGCP プロダクトを実装する必要がありますか?

  • A. Cloud Identity-Aware Proxy
  • B. Google Cloud Armor
  • C. Google Cloud Endpoints
  • D. Google Cloud VPN

Correct Answer: D

QUESTION 44

会社はGoogle Cloud Storage に機密データを保存しています。
オンプレミスで生成された鍵を暗号化プロセスで使用する必要があります。
何をするべきでしょうか?

  • A. Google Cloud Key Management Serviceを使用して、鍵暗号鍵(KEK)を管理する。
  • B. Google Cloud Key Management Serviceを使用して、鍵暗号鍵(KEK)を管理する。
  • C. 顧客が用意した暗号鍵を使用して、鍵暗号鍵(KEK)を管理します。
  • D. 顧客が用意した暗号鍵を使用して、鍵暗号鍵(KEK)を管理します。

Correct Answer: A

Reference:
Google Cloud Platform での保存時の暗号化

QUESTION 45

チームは、組織レベルで管理者権限を持つユーザーを制限したいと考えています。
チームはどの役割を制限すべきでしょうか? (回答は2つ)

  • A. Organization Administrator(組織管理者)
  • B. Super Admin(特権管理者)
  • C. Google Kubernetes Engine Cluster Admin
  • D. Compute Admin(コンピューティング管理者)
  • E. Organization Role Viewer

Correct Answer: A, B

Reference:
組織の作成と管理

Categories:

Google Cloud Platform

Tags:

Professional Cloud Security Engineer

Comments are closed