Professional Cloud Security Engineer 模擬問題集(2020.01)

[GCP] Google Cloud Certified - Professional Security Engineer
Written by E.G -
on 11月 12, 2020

本模擬問題集は「Professional Cloud Security Engineer Practice Exam (2020.01)」を日本語翻訳した模擬問題集です。

Google Cloud Certified – Professional Cloud Security Engineer 模擬問題集(50問)

QUESTION 1

チームはGoogle Compute Engine インスタンスがインターネットやGoogle APIやサービスにアクセスできないようにする必要があります。
これらの要件を満たすために無効にしておく必要がある設定を2つ選びなさい。

  • A. パブリック IP
  • B. IP  転送
  • C. プライベート Google アクセス
  • D. 静的ルート
  • E. ネットワーク ユーザーのAM 役割

Correct Answer: C, D

Reference:
限定公開の Google アクセスの構成

QUESTION 2

VPC ネットワークで定義されている暗黙のファイアウォール ルールを2つ選びなさい。

  • A. すべてのアウトバウンド接続を許可するルール
  • B. すべての着信接続を拒否するルール
  • C. すべての受信ポート25接続をブロックするルール
  • D. すべてのアウトバウンド接続をブロックするルール
  • E. すべての受信ポート80接続を許可するルール

Correct Answer: A, B

Reference:
ファイアウォール ルールの概要

QUESTION 3

顧客は、ソースコード管理(SCM)システムにプレーンテキストの秘密を保存する代替手段を必要としています。
Google Cloud Platform を使用してこれをどのように達成する必要がありますか?

  • A. Google Cloud Source Repositories を使用して、Google Cloud SQL にシークレットを保存します。
  • B. シークレットを顧客管理の暗号鍵(Customer-Managed Encryption Keys、CMEK)で暗号化し、Google Cloud Storageに保存します。
  • C. Google Cloud Data Loss Prevention API を実行してシークレットをスキャンし、Google Cloud SQLに保存します。
  • D.ローカルSSDを使用してGoogle Compute Engine VMにSCM をデプロイし、プリエンプティブル VM を有効にします。

Correct Answer: B

Reference:
顧客管理の暗号鍵(CMEK)
保存データの暗号化

QUESTION 4

チームは、オンプレミスのActive Directory サービスからGCP IAM アクセス許可を一元管理したいと考えています。 チームは、Active Directory グループのメンバーシップごとにアクセス許可を管理する必要があります。
これらの要件を満たすためにチームは何をすべきですか?

  • A. Google Cloud Directory Sync を設定してActive Directory グループを同期し、グループにIAM アクセス許可を設定します
  • B. SAML 2.0 シングル サインオン(SSO)を設定し、グループにIAM アクセス許可を割り当てます。
  • C. Cloud Identity and Access Management APIを使用して、Active Directory からグループとIAM アクセス許可を作成します。
  • D. Admin SDK を使用してグループを作成し、Active Directory からIAM アクセス許可を割り当てます。

Correct Answer: B

Reference:
Using your existing identity management system with Google Cloud Platform
Google Cloud Platform と Active Directory の連携: 概要
Google Cloud Platform と Active Directory の連携: ユーザー アカウントの同期

QUESTION 5

セキュアなコンテナイメージを作成する場合、ビルドに組み込むべき項目を2つ選択しなさい。

  • A. アプリケーションがPID1として実行されていないことを確認します。
  • B. 1つのアプリケーションをコンテナとしてパッケージ化します。
  • C. 不要なツールを削除します。
  • D. アプリケーションのベースイメージとしてパブリック コンテナ イメージを使用します。
  • E. 多数のコンテナ イメージレイヤーを使用して、重要な情報を非表示にします。

Correct Answer: B, C

Reference:
コンテナ構築のおすすめの方法

QUESTION 6

顧客は、Google Cloud Platform (GCP) で3層の内部Webアプリケーションを起動する必要があります。
顧客の社内コンプライアンス要件では、エンドユーザー アクセスは、トラフィックが特定の既知の正常なCIDRから発信されたものと思われる場合にのみ許可することが定められています。
顧客は、アプリケーションがSYNフラッドDDoS保護のみを持つというリスクを受け入れます。 GCP のネイティブ SYNフラッド保護を使用したいと考えています。
これらの要件を満たすためにどのGCP プロダクトを使用する必要がありますか?

  • A. Google Cloud Armor
  • B. VPC Firewall Rules
  • C. Google Cloud Identity and Access Management
  • D. Google Cloud CDN

Correct Answer: A

Reference:
Google Cloud におけるセキュリティ管理と可視性のさらなる強化

QUESTION 7

会社が専用サーバールームでワークロードを実行しており、企業のプライベートネットワーク内からのみアクセスする必要があります。 Google Cloud Platform プロジェクト内のGoogle Compute Engineインスタンスからこれらのワークロードに接続する必要があります。
要件を満たすためにどちらのアプローチを選択できますか? (回答は2つ)

  • A. Google Cloud VPN を使用してプロジェクトを構成します。
  • B.共有 VPC でプロジェクトを構成します。
  • C. Google Cloud Interconnectを使用してプロジェクトを構成します。
  • D. VPC ネットワーク ピアリングを使用してプロジェクトを構成します。
  • E.すべてのGoogle Compute Engine インスタンスをプライベートアクセスで構成します。

Correct Answer: D, E

Reference:
データ ワークロードの保護: GCP のユースケース

QUESTION 8

顧客は、Google Compute Engine でホストされるERPシステムにGoogle Cloud Identity-Aware Proxy を実装します。
セキュリティチームは、ERP システムがGoogle Cloud Identity-Aware Proxy からのトラフィックのみを受け入れるようにセキュリティレイヤーを追加したいと考えています。
これらの要件を満たすために顧客は何をすべきですか?

  • A. ERP システムがHTTPリクエストのJWTアサーション を検証できることを確認してください。
  • B. ERP システムがHTTP リクエストの識別ヘッダーを検証できることを確認してください。
  • C. ERP システムがHTTP リクエスのx-forward-forヘッダを検証できることを確認してください。
  • D. ERP システムがHTTP リクエスト内のユーザーの一意の識別子ヘッダーを検証できることを確認してください。

Correct Answer: A

Reference:
署名済みヘッダーによるアプリの保護

QUESTION 9

Google Compute Engine 上でアプリケーションを実行しています。
このアプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行して、Google Compute Engine インスタンスがクラッシュすることができます。バグは修正されていますが、再びクラッシュが発生した場合には通知を受け取るようにしたいと考えています。。
どうすればいいですか?

  • A. プロセスの状態ポリシーを使用してStackdriver で警告ポリシーを作成し、スクリプトの実行回数が目的のしきい値を下回っていることを確認し、 通知を有効にします。
  • B. CPU 使用率 メトリック を使用して、Stackdriver で警告ポリシーを作成します。CPU 使用率がこの80%を超えたときに通知されるように、しきい値を80%に設定します。
  • C. スクリプトのすべての実行をStackdriver Logging に記録します。 Stackdriver Logging でログにユーザー定義のメトリックを作成し、メトリックを表示するStackdriver ダッシュボードを作成します。
  • D. スクリプトのすべての実行をStackdriver Loggingに記録します。 Google BigQuery をログシンクとして構成し、Google BigQuery スケジュール クエリを作成して、特定の期間内の実行数をカウントします。

Correct Answer: C

Reference:
ログベースの指標の概要

QUESTION 10

チームは、SIEMのすべての開発クラウドプロジェクトの統合ログビューを取得する必要があります。
開発プロジェクトは、テストプロジェクトおよび運用前プロジェクトとともにNONPROD 組織フォルダーの下にあります。開発プロジェクトは、ABC-BILLING 請求アカウントを組織の他のメンバーと共有します。
要件を満たすために、どのロギング エクスポート戦略を使用する必要がありますか?

  • A.
    1. 専用のSIEM プロジェクトで、フォルダー / NONPROD親とincludeChildren プロパティをTrueに設定し、Google Cloud Pub / Subトピックにログをエクスポートします。
    2. SIEMをトピックにサブスクライブします。
  • B.
    1. 専用のSIEM プロジェクトでbilling Accounts / ABC-BILLING親とincludeChildren プロパティをFalseに設定して、Google Cloud Storage Sink を作成します。
    2. SIEMでGoogle Cloud Storage オブジェクトを処理します。
  • C.
    1. 各開発プロジェクトのログを、専用のSIEMプロジェクトのGoogle Cloud Pub / Sub トピックにエクスポートします。
    2. SIEMをトピックにサブスクライブします。
  • D.
    1. 各プロジェクトで、パブリックに共有されたGoogle Cloud Storageバケットを使用してGoogle Cloud Storage Sink を作成します。
    2. SIEMでGoogle Cloud Storage オブジェクトを処理します。

Correct Answer: B

QUESTION 11

顧客は、攻撃者がドメイン/ IPをハイジャックし、中間者攻撃によってユーザーを悪意のあるサイトにリダイレクトするのを防ぐ必要があります。
この顧客はどのソリューションを使用する必要がありますか?

  • A. VPC フローログ
  • B. Google Cloud Armor
  • C. DNS Security(DNSSEC)
  • D. Google Cloud Identity-Aware Proxy

Correct Answer: C

Reference:
DNS Security(DNSSEC)
DNSSEC now available in Cloud DNS

QUESTION 12

顧客はアプリケーションをGoogle App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?

  • A. Google Cloud Armor
  • B. Google Cloud Audit Logs
  • C. Google Cloud Security Scanner
  • D. Forseti Security

Correct Answer: C

Reference:
Cloud Security Scanner

QUESTION 13

ある顧客のデータサイエンス部門は、分析ワークロードにGoogle Cloud Platform (GCP) を使用したいと考えています。
会社のポリシーでは、すべてのデータは会社所有でなければならず、すべてのユーザー認証は独自のSecurity Assertion Markup Language (SAML) 2.0 Identity Provider (IdP) を通過する必要があります。インフラストラクチャ オペレーション システムエンジニアは、顧客向けにGoogle Cloud Identity を設定しようとしており、G Suiteで既にドメインが使用されていることに気付きました。
システムエンジニアに、中断を最小限に抑えるようにどのようにアドバイスをしたらよいでしょうか?

  • A. Google サポートに連絡し、ドメイン競合プロセスを開始して、新しいGoogle Cloud Identity ドメインでドメイン名を使用します。
  • B. 新しいドメイン名を登録し、それを新しいGoogle Cloud Identity ドメインを使用します。
  • C. Google に、データサイエンスマネージャーのアカウントを既存のドメインのSuper Administrator (特権管理者アカウント) としてプロビジョニングするよう依頼します。
  • D. Google が管理するサービスのその他の用途を発見するよう顧客の管理者に依頼し、既存のSuper Administrator (特権管理者アカウント) と協力します。

Correct Answer: C

Reference:
特権管理者アカウントのベスト プラクティス
組織を作成、管理する

QUESTION 14

多国籍企業のビジネスユニットがGoogle  Cloud Platform (GCP) にサインアップし、ワークロードをGCP 移行を開始します。
ビジネスユニットは、数百のプロジェクトを持つ組織リソースでGoogle Cloud Identity ドメインを作成します。
チームはこれを認識し、権限の管理とドメインリソースの監査を引き継ぎたいと考えています。
この要件を満たすために、チームはどのタイプのアクセスを許可する必要がありますか?

  • A. Organization Administrator (組織管理者)
  • B. Security Reviewer (セキュリティ審査担当者)
  • C. Organization Role Administrator (組織の役割の管理者)
  • D. Organization Policy Administrator (組織ポリシー管理者)

Correct Answer: C

Reference:
IAM のカスタムの役割について:組織の役割の管理者の役割

QUESTION 15

Google Compute Engine インスタンス上で動作するアプリケーションは、Google Cloud Storage バケットからデータを読み取る必要があります。
チームはGoogle Cloud Storage バケットをグローバルに読むことを許可しておらず、最小限の特権の原則を確保したいと考えています。
チームの要件を満たすオプションはどれですか?

  • A. Google Compute Engine インスタンスのIPアドレスからの読み取り専用アクセスを許可し、認証情報なしでアプリケーションがバケットから読み取ることを許可するGoogle Cloud Storage ACLを作成します。
  • B. Google Cloud Storageバケットへの読み取り専用アクセス権を持つサービス アカウントを使用し、Google Compute Engine インスタンス上のアプリケーションの設定にあるサービス アカウントに資格情報を保存します。
  • C. Google Cloud Storage バケットへの読み取り専用アクセスを持つサービス アカウントを使用して、インスタンス メタデータから認証情報を取得します。
  • D. Google Cloud KMSを使用してGoogle Cloud Storage バケット内のデータを暗号化し、アプリケーションがKMS キーを使用してデータを復号できるようにします。

Correct Answer: C

Reference:
インスタンス メタデータの格納と取得

QUESTION 16

組織の一般的なネットワークとセキュリティのレビューは、アプリケーションの転送ルート、リクエスト処理、およびファイアウォールルールの分析から構成されます。
開発チームは、この完全なレビューのオーバーヘッドなしで新しいアプリケーションを導入できるようにしたいと考えています。
この組織にどのようにアドバイスすべきですか?

  • A. Forseti とファイアウォール フィルターを使用して、実稼働環境で不要な構成を検出します。
  • B. インフラストラクチャのコードとしての使用を義務付け、CI / CD パイプラインで静的分析を提供してポリシーを実施します。
  • C. 管理するルータを介してすべてのVPC トラフィックをルーティングし、本番環境での悪意のあるパターンを検出します。
  • D.すべての運用アプリケーションはオンプレミスで実行します。開発者とQA プラットフォームとして、開発者がGCPを自由に操作できるようにします。

Correct Answer: B

QUESTION 17

雇用者は、従業員の外れ値を特定し、所得格差を修正するためにボーナス報酬が時間の経過とともにどのように変化したかを追跡したいと考えています。
この作業は、個人の機微な補償データを暴露することなく実施されなければならず、外れ値を識別するために可逆的でなければなりません。
これを実現するには、Google Cloud Data Loss Prevention API のどの技術を使用する必要がありますか?

  • A. Generalization (一般化)
  • B. Redaction (削除)
  • C. CryptoHashConfig (仮名化 (入力値を暗号ハッシュで置換))
  • D. CryptoReplaceFfxFpeConfig (仮名化 (暗号形式を維持したトークンに置換))

Correct Answer: B

Reference:
Cloud DLP API による機密データの厳重な管理

QUESTION 18

組織は、アプリケーション ホスティング サービスにGoogle Cloud Platform を採用しており、Google Cloud Identity アカウントのパスワード要件の設定に関するガイダンスが必要です。
組織には、企業の従業員のパスワードには最小文字数を設定するパスワード ポリシー要件があります。
組織が新しい要件を通知するために使用できるGoogle Cloud Identity のパスワード ガイドラインはどれですか?

  • A. パスワードの最小長を8文字に設定します。
  • B. パスワードの最小長を10文字に設定します。
  • C. パスワードの最小長を12文字に設定します。
  • D. パスワードの最小長を6文字に設定します。

Correct Answer: C

QUESTION 19

Google のベストプラクティスに従って、エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化する必要があります。
どうすればいいですか?

  • A. データ暗号鍵(DEK)をローカルで生成してデータを暗号化し、Google Cloud KMS で新しい鍵暗号鍵(KEK)を生成してDEKを暗号化します。暗号化されたデータと暗号化されたDEKの両方を保存します。
  • B. データ暗号鍵(DEK)をローカルで生成してデータを暗号化し、Google Cloud KMS で新しい鍵暗号鍵(KEK)を生成してDEKを暗号化します。暗号化されたデータとKEKの両方を保存します。
  • C. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、鍵暗号鍵(KEK)をローカルで生成してキーを暗号化します。暗号化されたデータと暗号化されたDEKの両方を保存します。
  • D. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、鍵暗号鍵(KEK)をローカルで生成してキーを暗号化します。暗号化されたデータとKEKの両方を保存します。

Correct Answer: A

Reference:
顧客指定の暗号鍵
エンベロープ暗号化

QUESTION 20

Google Cloud Platform (GCP) からオンプレミスのSIEM システムにStackdriver のログを確実に配信するにはどうすれば良いでしょうか?

  • A. syslogなどの既存のプロトコルを使用して、すべてのログをSIEM システムに送信します。
  • B.SIEMシステムによって照会される共通のGoogle BigQuery データセットにすべてのログをエクスポートするように、すべてのプロジェクトを構成します。
  • C.Configure Organizational Log Sinks を設定して、ログをGoogle Cloud Pub / Sub トピックにエクスポートし、Google Dataflow 経由でSIEM システムに送信します。
  • D. SIEM システムがGCP のRESTful JSON APIからリアルタイムですべてのログを照会するためのコネクタを構築します。

Correct Answer: C

QUESTION 21

Payment Card Industry Data Security Standard (PCI DSS) 要件を満たすために、お客様はすべてのアウトバウンドトラフィックが許可されていることを確認したいと考えています。
追加の補完制御なしでこの要件を満たすGCP プロダクトを2つ選択しなさい。(回答は2つ)

  • A. Google App Engine
  • B. Google Cloud Functions
  • C. Google Compute Engine
  • D. Google Kubernetes Engine
  • E. Google Cloud Storage

Correct Answer: A, C

Reference:
PCI データ セキュリティ基準の遵守
標準、規制、認証:PCI DSS

QUESTION 22

Webサイトのデザイン会社が最近、すべての顧客サイトをGoogle App Engine に移行しました。一部のサイトはまだ進行中であり、どの場所からでも顧客および会社の従業員にのみ表示される必要があります。
進行中のサイトへのアクセスを制限するソリューションはどれですか?

  • A. 顧客と従業員のユーザーアカウントを含む.htaccessファイルをGoogle App Engine にアップロードします。
  • B. 顧客および従業員のネットワークからのアクセスを許可し、他のすべてのトラフィックを拒否するGoogle App Engineファイアウォールルールを作成します。
  • C. Google Cloud Identity-Aware Proxy (IAP) を有効にし、顧客および従業員のユーザーアカウントを含むGoogleグループへのアクセスを許可します。
  • D. Google Cloud VPNを使用して、関連するオンプレミスネットワークと企業のGoogle Cloud Platform のVirtual Private Cloud (VPC) network.の間にVPN 接続を作成します

Correct Answer: C

QUESTION 23

サポートセンターの担当者とオンラインチャットで作業する場合、組織の顧客は自分の文書の画像と個人を特定できる情報(PII)と共有することがよくあります。
サポートセンターを所有する組織は、顧客サービスの傾向分析のために内部または外部のアナリストによるレビューのために保持する通常のチャットログの一部として、PII がデータベースに保存されていることを懸念しています。
データユーティリティを維持しながら、顧客のこの懸念を解決するために、どのGoogle Cloud ソリューションを使用する必要がありますか?

  • A. Google Cloud Key Management Service (KMS) を使用して、分析のために保存する前に、顧客が共有するPII データを暗号化します。
  • B. オブジェクトのライフサイクル管理を使用して、PII が含まれるすべてのチャットレコードが破棄され、分析のために保存されないようにします。
  • C. Google Cloud Data Loss Prevention (DLP) API の画像の検査と秘匿化を使用して、分析のために画像を保存する前に画像からPII を秘匿化します。
  • D. Google Cloud DLP API ソリューションの一般化およびバケット化アクションを使用して、分析のために保存する前にテキストからPII を編集します。

Correct Answer: D

Reference:
機密データの匿名化
画像の検査と秘匿化

QUESTION 24

企業のアプリケーションは、ユーザーが管理するサービス アカウント キーを使用して導入されます。キーをローテーションさせるには、Google のベストプラクティスを使用したいと考えています。
どうすればいいですか?

  • A. Google Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate –iam-account = IAM_ACCOUNT を実行します。
  • B. Google Cloud Shell を開き、gcloud iam service-accounts keys rotate –iam-account = IAM_ACCOUNT –key = NEW_KEY を実行します。
  • C.新しいキーを作成し、アプリケーションで新しいキーを使用します。 サービス アカウントから古いキーを削除します。
  • D.新しいキーを作成し、アプリケーションで新しいキーを使用します。 古いキーをバックアップ キーとしてシステムに保存します。

Correct Answer: C

Reference:
サービス アカウントについて
鍵のローテーション

QUESTION 25

チームは、ファイアウォールルール、サブネット、ルートなどのネットワーキングリソースの制御を一元化できるように、Google Cloud Platform (GCP) 環境を構成する必要があります。そして、また、リソースが存在するオンプレミス環境もあります。
プライベート VPN 接続を介してGCP リソースにアクセスする必要があります。ネットワーク リソースは、ネットワーク セキュリティチームによって管理する必要があります。
これらの要件を満たすには、どのタイプのネットワーク設計を使用する必要がありますか?

  • A.ホストプロジェクトとサービスプロジェクトを持つ共有 VPC ネットワーク。
  • B.エンジニアリングプロジェクトごとに、Google Compute Adminの役割をネットワークチームに与えます。
  • C.ハブ・アンド・スポーク・モデルを使用した、すべてのエンジニアリング・プロジェクト間のVPCピアリング。
  • D.ハブ&スポークモデルを使用した、すべてのエンジニアリングプロジェクト間のGoogle Cloud VPN のゲートウェイ。

Correct Answer: A

Reference:
エンタープライズ企業のベスト プラクティス:ネットワーク制御を一元管理する

QUESTION 26

組織は、現在の社内生産性ソフトウェアシステムからG Suite に移行しようとしています。
以前の社内システムに対して、地域の規制機関によって義務付けられたネットワークセキュリティ管理がいくつか実施されていました。
組織のリスクチームは、G Suite でネットワークセキュリティ管理が維持され、効果的であることを確認したいと考えています。
この移行をサポートするセキュリティ アーキテクトは、組織とGoogle Cloud の間の新しい共有責任モデルの一部としてネットワークセキュリティ管理を確実に実施するよう求められています。
要件を満たすのに役立つソリューションはどれでしょうか?

  • A. 必要な制御を満たすファイアウォール ルールが設定されていることを確認します。
  • B. Google Cloud Armorをセットアップして、G Suite のネットワークセキュリティ制御を管理できるようにします。
  • C. ネットワークセキュリティは組み込みのソリューションであり、G Suite などのSaaS 製品に対するGoogle のクラウド責任です。
  • D. Virtual Private Cloud (VPC) ネットワークのアレイをセットアップして、関連する規制に従ってネットワークセキュリティを制御します。

Correct Answer: B

QUESTION 27

顧客の会社には複数の事業部門があります。各事業部門は独立して運営されており、それぞれに独自のエンジニアリング グループがあります。
チームは、社内で作成されたすべてのプロジェクトの可視性を望み、整理したいと考えています。
さまざまな事業単位に基づいたGoogle Cloud Platform (GCP) プロジェクト。 各事業部門には、、個別のIAMアクセス許可セットも必要です。
これらのニーズを満たすために、どの戦略を使用する必要がありますか?

  • A. 組織ノードを作成し、各事業部門にフォルダーを割り当てます。
  • B. gmail.com アカウントを使用して、各事業部門のスタンドアロンプロジェクトを確立します。
  • C. リソースを所有する事業部門を識別するラベルを使用して、プロジェクトにGCP リソースを割り当てます。
  • D. 各事業部門のVPCでGCP リソースを割り当てて、ネットワークアクセスを分離します。

Correct Answer: A

QUESTION 28

企業は、Google Cloud Platform のさまざまなリージョンに冗長なメールサーバを配置しており、場所に基づいて顧客を最も近いメールサーバにルーティングしたいと考えています。
会社はどのようにこれを達成すべきか?

  • A. ポート995でリッスンするグローバルな負荷分散サービスとしてTCP Proxy Load Balancing を構成します。
  • B. ネットワークロードバランサーを作成して、場所に基づいてトラフィックを転送する転送ルールを使用してTCPポート995でリッスンします。
  • C. クロスリージョンロードバランシングとHTTP(S)ロードバランサーを使用して、トラフィックを最も近いリージョンにルーティングします。
  • D. Googe Cloud CDNを使用して、クライアント IP アドレスに基づいて最も近いオリジンメールサーバーにメールトラフィックをルーティングします。

Correct Answer: D

QUESTION 29

チームは、プロジェクト co-vpc-prod がホスト プロジェクトである共有 VPC ネットワークをセットアップします。チームは、ホスト プロジェクトでファイアウォールルール、サブネット、およびVPN ゲートウェイを構成しました。エンジニアリンググループA がGoogle Compute Engine インスタンスを10.1.1.0 / 24 サブネットのみに接続できるようにする必要があります。
この要件を満たすために、チームはエンジニアリンググループAに何を許可する必要がありますか?

A. ホスト プロジェクトでネットワーク ユーザー(compute.networkUser)の役割を許可します。
B. サブネットレベルでネットワーク ユーザー(compute.networkUser)の役割を許可します。
C. ホスト プロジェクトで共有 VPC 管理者(compute.xpnAdmin)の役割を許可します。
D. サービス プロジェクトで共有 VPC 管理者(compute.xpnAdmin)の役割を許可します。

Correct Answer: C

Reference:
共有 VPC の概要

QUESTION 30

企業がデータ / センター全体をGoogle Cloud Platform に移行しました。
異なる部門が管理する複数のプロジェクトで数千のインスタンスを実行しています。Google Cloud Platform で過去に何が動いていたかを記録する必要があります。
どうするべきでしょうか?

  • A. 組織レベルでResource Manager を使用します。
  • B. Forseti Security を使用して、インベント リスナップショットを自動化します。
  • C. Stackdriver を使用して、すべてのプロジェクトにわたってダッシュボードを作成します。
  • D. Google Cloud Security Command Center を使用して、組織全体のすべての資産を表示します。

Correct Answer: C

QUESTION 31

企業がインフラストラクチャをオンプレミス環境からGoogle Cloud Platform (GCP) に移行しよう考えております。
組織が最初に実行するステップは、現在のデータバックアップおよび災害復旧ソリューションを後で分析できるようにGCP に移行することです。組織の実稼働環境は、無期限にオンプレミスのままになります。組織は、スケーラブルでコスト効率の高いソリューションを求めています。
どのGCP プロダクトを使用するできでしょうか?

  • A. 継続的な更新を伴うデータパイプライン ジョブを使用するBigQuery。
  • B. スケジュールされたタスクとgsutilを使用したGoogle Cloud Storage。
  • C. 永続ディスクを使用したGoogle Compute Engine VM。
  • D. 定期的にスケジュールされたバッチアップロードジョブを使用するGoogle Cloud Datastore。

Correct Answer: A

QUESTION 32

ユーザーに代わってユーザーのGoogle Driveにアクセスする必要がある内部Google App Engine アプリケーションを作成しています。
会社は、現在のユーザーの資格情報には依存したくありません。また、Google のベストプラクティスにも従いたいと考えています。
どうするべきでしょうか?

  • A.新しいサービス アカウントを作成し、すべてのアプリケーションユーザーにサービス アカウント ユーザーの役割を与えます。
  • B.新しいサービス アカウントを作成し、すべてのアプリケーションユーザーをGoogle グループに追加します。このグループにサービス アカウント ユーザー の役割を与えます。
  • C.専用のG Suite Admin アカウントを使用して、これらのG Suite 認証情報でアプリケーションのオペレーションを認証します。
  • D.新しいサービス アカウントを作成し、G Suite ドメイン全体の委任を付与します。アプリケーションにユーザになりすますために使用させます。

Correct Answer: A

QUESTION 33

顧客は、マネージド インスタンス グループ(MIG)を使用して、機密性の高いワークロードをGoogle Compute Engine ベースのクラスタに移動したいと考えています。
ジョブはバースト的であり、迅速に完了する必要があります。暗号鍵を管理およびローテーションできる必要があります。
この顧客の要件を満たすために、クラスターで使用するブートディスク暗号化ソリューションはどれでしょうか?

  • A. 顧客指定の暗号鍵(Customer-Supplied Encryption Keys、CSEK)。
  • B. Google Cloud Key Management Service (KMS) を使用した顧客管理の暗号鍵(Customer-Managed Encryption Keys、CMEK)。
  • C. デフォルトで暗号化。
  • D. 分析のためにGoogle Cloud Platform に転送前にファイルを事前に暗号化。

Correct Answer: B

Reference:
顧客管理の暗号鍵(CMEK)を使用する

QUESTION 34

会社は、Google Cloud Dataproc をSpark / Hadoop ジョブに使用しています。Google Cloud Dataproc が使用する永続ディスクに使用する対称暗号化キーを作成、ローテーション、破棄できるようにする必要があります。キーはクラウドに保存できます。
どうするべきでしょうか?

  • A. Google Cloud Key Management Service を使用して、データ暗号鍵(DEK)を管理します。
  • B. Google Cloud Key Management Serviceを使用して、鍵暗号鍵(KEK)を管理します。
  • C. 顧客提供の暗号鍵を使用して、データ暗号鍵(DEK)を管理します。
  • D. 顧客提供の暗号鍵を使用して、鍵暗号鍵(KEK)を管理します。

Correct Answer: A

QUESTION 35

あなたは組織のセキュリティチームのメンバーです。
あなたのチームには、Webアプリケーションとデータ処理システムに加えて、クレジットカード決済処理システムを持った単一のGoogle Cloud Platform (GCP) プロジェクトを持っています。 PCI 監査標準の対象となるシステムの範囲を縮小する必要があります。
何をするべきでしょうか?

  • A.Webアプリケーションへの管理者アクセスにマルチファクタ認証を使用します。
  • B.PA-DSS に準拠していることが認定されているアプリケーションのみを使用します。
  • C. カード名義人データ環境を別のGCP プロジェクトに移動します。
  • D. オフィスとクラウド環境間のすべての接続にVPN を使用します。

Correct Answer: D

Reference:
PCI データ セキュリティ基準の遵守

QUESTION 36

小売顧客は、ユーザーがコメントと製品レビューをアップロードできるようにします。 顧客はコメントまたはレビューを公開する前に、テキストに機密データが含まれていないことを確認する必要があります。
これを実現するには、どのGoogle Cloud Platform サービスを使用するべきでしょうか?

  • A. Google Cloud Key Management Service
  • B. Google Cloud Data Loss Prevention API
  • C. Google BigQuery
  • D. Google Cloud Security Scanner

Correct Answer: D

QUESTION 37

会社では、すべての従業員がGoogle Cloud Platform を使用できます。各部門にはGoogle グループがあり、すべての部門メンバーがグループメンバーです。
部門のメンバーが新しいプロジェクトを作成する場合、その部門のすべてのメンバーは、すべての新しいプロジェクトリソースへの読み取り専用アクセスを自動的に持つ必要があります。他の部門のメンバーはプロジェクトにアクセスできません。 この動作を構成する必要があります。
これらの要件を満たすために何をすべきでしょうか?

  • A. 組織の下に部門ごとにフォルダを作成します。各部門のフォルダについて、その部門に関連するGoogleグループにプロジェクト ビューア の役割を割り当てます。
  • B. 組織の下に部門ごとにフォルダを作成します。各部門のフォルダについて、その部門に関連するGoogleグループにプロジェクトブラウザの役割を割り当てます。
  • C. 組織の下に部門ごとにプロジェクトを作成します。部門のプロジェクトごとに、その部門に関連するGoogle グループにプロジェクト ビューアの役割を割り当てます。
  • D. 組織の下に部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、その部門に関連するGoogleグループにプロジェクト ブラウザ役割を割り当てます。

Correct Answer: C

QUESTION 38

顧客の内部セキュリティチームは、Google Cloud Storage のデータを暗号化するための独自の暗号化キーを管理する必要があり、顧客提供の暗号鍵(Customer-Supplied Encryption Keys、CSEK)の使用を決定します。
チームはこのタスクをどのように完了する必要がありますか?

  • A. 暗号鍵をGoogle Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。
  • B. gsutil コマンドラインツールを使用してオブジェクトをGoogle Cloud Storage にアップロードし、暗号鍵の場所を指定します。
  • C. Google Cloud Platform Console で暗号鍵を生成し、指定されたキーを使用してGoogle Cloud Storage にオブジェクトをアップロードします。
  • D. オブジェクトを暗号化してから、gsutil コマンドラインツールまたはGoogle Cloud Platform Console を使用して、オブジェクトをGoogle Cloud Storage にアップロードします。

Correct Answer: D

Reference:
顧客指定の暗号鍵

QUESTION 39

顧客には300人のエンジニアがいます。顧客はさまざまなレベルのアクセスを許可し、開発環境プロジェクトと本番環境プロジェクトのユーザー間のIAMアクセス許可を効率的に管理したいと考えています。
これらの要件を満たすために、企業は次の2つのステップを実行する必要がありますか?(回答は2つ)

  • A. 環境ごとに複数のVPC ネットワークを持つプロジェクトを作成します。
  • B. 開発および運用環境ごとにフォルダーを作成します。
  • C. エンジニアリングチームのGoogle グループを作成し、フォルダーレベルで権限を割り当てます。
  • D. 各フォルダー環境の組織ポリシー制約を作成します。
  • E. 各環境のプロジェクトを作成し、各エンジニアリングユーザーにIAM権限を付与します。

Correct Answer: B, D

QUESTION 40

PCI コンプライアンスについてGCPを評価する必要があります。 Google固有のコントロールを識別する必要があります。
情報を見つけるには、どのドキュメントを確認する必要がありますか?

  • A. Google Cloud Platform:顧客責任マトリックス。
  • B. PCI DSS 要件とセキュリティ評価手順。
  • C. PCI SSC クラウドコンピューティングのガイドライン。
  • D. Google Compute Engineの製品ドキュメント。

Correct Answer: C

Reference:
PCI データ セキュリティ基準の遵守

QUESTION 41

あなたの会社はGoogle Cloud Platform上にPIIを保存するWebサイトを運営しています。
データのプライバシーに関する規制に準拠するために、このデータは特定の期間のみ保存でき、特定の期間が経過したら完全に削除する必要があります。期間に達していないデータは削除しないでください。この規則に準拠するプロセスを自動化したいとします。
どうすればいいでしょうか?

  • A.データを1つの永続ディスクに格納し、有効期限が切れたらディスクを削除します。
  • B.データを単一のGoogle BigQuery テーブルに格納し、適切なテーブル有効期限を設定します。
  • C.データを単一のGoogle Cloud Storage バケットに格納し、バケットの存続時間を設定します。
  • D.データを単一のCloud Bigtable テーブルに格納し、列ファミリに有効期限を設定します。

Correct Answer: B

QUESTION 42

DevOps チームは、Google Kubernetes Engine で実行する新しいコンテナーを作成します。アプリケーションはインターネットに接続されるため、コンテナの攻撃対象領域を最小限に抑えたいと考えています。
何をすべきですか?

  • A. Google Cloud Build を使用して、コンテナ イメージをビルドします。
  • B. 小さなベースイメージを使用して小さなコンテナを構築します。
  • C. Google Container Registry から未使用バージョンを削除します。
  • D.継続的インテグレーションツール(Continuous Delivery Tool)を使用して、アプリケーションを展開します。

Correct Answer: D

Reference:
コンテナ構築のおすすめの方法

QUESTION 43

組織のインフラストラクチャをGoogle Cloud Platform (GCP) に移行する際、多数のユーザーがGCP Console にアクセスする必要があります。 Identity Managementチームには、ユーザーを管理するための確立された方法がすでにあり、既存のSSO パスワードとともに既存のActive DirectoryまたはLDAP サーバーを使用し続けたいと考えています。
何をするべきか?

  • A. Googleドメインのデータを既存のActive DirectoryまたはLDAP サーバーと手動で同期します。
  • B. Google Cloud Directory Sync を使用して、Google ドメインのデータを既存のActive DirectoryまたはLDAP サーバーと同期します。
  • C. ユーザーは、オンプレミス Kerberos準拠のIDプロバイダーからの資格情報を使用してGCP Console に直接サインインします。
  • D. ユーザーは、OpenID(OIDC)互換のIdPを使用してサインインし、認証トークンを受け取り、そのトークンを使用してGCP Console にログインします。

Correct Answer: B

Reference:
Secure LDAP を正式リリース ―― LDAP アプリへのアクセスが Cloud Identity で管理可能に
Using your existing identity management system with Google Cloud Platform

QUESTION 44

会社はG Suiteを使用しており、Google App Engine での内部使用を目的としたアプリケーションを開発しています。
従業員のパスワードが侵害された場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
何をするべきでしょうか?

  • A. すべてのユーザーに対してG Suiteで2要素認証を強制します。
  • B. Google App EngineアプリケーションのGoogle Cloud Identity-Aware Proxyを構成します。
  • C. G Suite Password Sync を使用してユーザー パスワードをプロビジョニングします。
  • D. プライベート ネットワークとGoogle Cloud Platform の間でクラウド VPNを構成します。

Correct Answer: D

QUESTION 45

大規模な金融機関は、ビッグデータ分析をGoogle Cloud Platform に移行しています。
Google BigQuery に保存されているデータの暗号化プロセスを最大限に制御したいと考えています。
どの技術を使用するべきでしょうか?

  • A. Google Cloud Storage を統合データソースとして使用します。
  • B. Cloud Hardware Security Module(Cloud HSM)を使用します。
  • C. 顧客管理の暗号鍵(Customer-Managed Encryption Keys、CMEK)。
  • D. 顧客指定の暗号鍵(Customer-Supplied Encryption Keys、CSEK)。

Correct Answer: C

Reference:
保存時の暗号化

QUESTION 46

企業がアプリケーションをGoogle Cloud Platform にデプロイしようとしています。
企業ポリシーでは、少なくとも2つの地理的な場所にデータを自動的にレプリケートできるソリューションを使用して、長期データを保存する必要があります
どのストレージ ソリューションの使用が許可されていますか?

  • A. Google Cloud Bigtable
  • B. Google Cloud BigQuery
  • C. Google Compute Engine SSD Disk
  • D. Google Compute Engine Persistent Disk

Correct Answer: B

Reference:
データセットのロケーション

QUESTION 47

大規模な電子小売業者が、EC ウェブサイトを備えたGoogle Cloud Platform に移行しています。
同社は顧客がオンラインでチェックアウトするときに、顧客のブラウザとGCPの間で支払い情報が暗号化されるようにしたいと考えています。
何をするべきでしょうか?

  • A. L7 ロードバランサでSSL証明書を構成し、暗号化を要求します。
  • B. ネットワーク TCPロードバランサーでSSL証明書を構成し、暗号化を要求します。
  • C. ポート443で受信トラフィックを許可し、他のすべての受信トラフィックをブロックするようにファイアウォールを構成します。
  • D. ポート443でアウトバウンド トラフィックを許可し、他のすべてのアウトバウンド トラフィックをブロックするようにファイアウォールを構成します。

Correct Answer: A

QUESTION 48

アプリケーションでは、構築時または実行時に機密データの小さな断片である「秘密」へのアクセスが必要になることがよくあります。
Google Cloud Platform (GCP) 上でこれらの秘密を管理する管理者は、GCP プロジェクト内の「誰が、どこで、いつ、何をしたのか?」を追跡したいと考えています。
管理者が探している情報を提供する2つのログ ストリームはどれでしょうか?(回答は2つ)

  • A. 管理アクティビティ ログ
  • B. システム イベント ログ
  • C. データアクセス ログ
  • D. VPC Flow ログ
  • E. Agent ログ

Correct Answer: A, C

Reference:
Cloud KMS によるシークレット管理
Viewing audit logs
Cloud Audit Logging

QUESTION 49

現在のメンテナンス契約が期限切れになる前に、会社のデータセンターからGoogle Cloud Platform にレガシーアプリケーションを移行する責任があります。
アプリケーションが使用しているポートがわからないため、確認できるドキュメントがありません。環境を危険にさらすことなく移行を完了したいと考えています。
どうすればいいでしょうか?

  • A. 「Lift & Shift」アプローチを使用して、アプリケーションを分離プロジェクトに移行します。VPC ファイアウォール ルールを使用して、すべての内部 TCP トラフィックを有効にします。VPC Flowログを使用して、アプリケーションが正常に動作するために許可するトラフィックを決定します。
  • B. カスタムネットワークで「Lift & Shift」アプローチを使用して、アプリケーションを分離プロジェクトに移行します。 VPC 内のすべてのトラフィックを無効にし、ファイアウォールログを調べて、アプリケーションが正常に動作するために許可されるトラフィックを決定します。
  • C. アプリケーションをGoogle Kubernetes Engine クラスタのマイクロサービス アーキテクチャにリファクタリングします。ファイアウォールルールを使用して、クラスター外部からのすべてのトラフィックを無効にします。 VPC Flow ログを使用して、アプリケーションが適切に機能するために許可されるトラフィックを決定します。
  • D. アプリケーションを、隔離されたプロジェクトのGoogle Cloud Functions でホストされているマイクロサービス アーキテクチャにリファクタリングします。ファイアウォールルールを使用して、プロジェクト外部からのすべてのトラフィックを無効にします。 VPC Flow ログを使用して、アプリケーションが正常に動作するために許可されるトラフィックを決定します。

Correct Answer: C

QUESTION 50

会社がGoogle Compute Engineにアプリケーションをデプロイしました。
クライアントはポート587でアプリケーションにアクセスできます。アプリケーションを実行している異なるインスタンス間で負荷を分散する必要があります。 接続はTLSを使用して保護し、ロードバランサーによって終了する必要があります。
どのタイプの負荷分散を使用する必要がありますか?

  • A. Network Load Balancing
  • B. HTTP(S) Load Balancing
  • C. TCP Proxy Load Balancing
  • D. SSL Proxy Load Balancing

Correct Answer: D

Reference:
SSL プロキシ負荷分散のコンセプト

Categories:

Google Cloud Platform

Tags:

Professional Cloud Security Engineer

Comments are closed