Professional Cloud Security Engineer 模擬問題集(2020.07.02)

[GCP] Google Cloud Certified - Professional Security Engineer
Written by E.G -
on 12月 28, 2020

Google Cloud 認定資格 – Professional Cloud Security Engineer – 模擬問題集(全 40問)

QUESTION 1

顧客は Google Compute Engine の弾力性を利用するアプリケーションを Google Compute Engine にデプロイしました。
インフラストラクチャ運用エンジニアと協力して、Google Compute Engine VM Windows がすべての最新のOS パッチで最新であることを確認するにはどうすればよいでしょうか?

  • A. ドメインコントローラーを Google Compute Engine に統合し、グループポリシーオブジェクトを介して毎週パッチを展開します。
  • B. Google Cloud Deployment Manager を使用して、更新されたVM を新しいサービング インスタンス グループ(IGs)にプロビジョニングします。
  • C. 毎週のメンテナンス期間中にすべてのVM を再起動し、起動スクリプトがインターネットから最新のパッチをダウンロードできるようにします。
  • D. パッチが利用可能になったときに新しいベースイメージを構築し、CI/CD パイプラインを使用してVM を再構築し、段階的に展開します。

Correct Answer: C

QUESTION 2

セキュリティチームの一員であり、侵害されたサービス アカウントキーを調査しています。
サービス アカウントによって作成された新しいリソースを監査する必要があります。
何をするべきかでしょうか?

  • A. データアクセス ログをクエリします。
  • B. 管理アクティビティ ログをクエリします。
  • C. アクセスの透明性ログをクエリします。
  • D. Stackdriver Monitoring Workspace をクエリします。

Correct Answer: A

Reference contents:
サービス アカウントの監査ログ
Cloud Audit Logs > データアクセス監査ログ

QUESTION 3

顧客はVMでバッチ処理システムを実行し、出力ファイルを Google Cloud Storage バケットに保存したいと考えています。
ネットワークチームとセキュリティチームはVM がパブリック インターネットに到達できないことを決定しました。
これはどのように達成すればいいでしょうか?

  • A. すべてのVM にローカルファイルシステムとして Google Cloud Storage バケットをマウントします。
  • B. Google Cloud Storage API エンドポイントにアクセスするためのNAT ゲートウェイをプロビジョニングします。
  • C. VPC で限定公開の Google アクセスを有効にします。
  • D. VM からのインターネットトラフィックをブロックするファイアウォール ルールを作成します。

Correct Answer: B

QUESTION 4

会社は専用サーバルームでワークロードを実行しています。
それらは民間企業ネットワーク内からのみアクセスし、Google Cloud Platform プロジェクト内の Google Compute Engine インスタンスからこれらのワークロードに接続する必要があります。
要件を満たすために採用できるアプローチはどれでしょうか? (2つ選択してください)

  • A. Cloud VPN を使用してプロジェクトを構成します。
  • B. 共有 VPC を使用してプロジェクトを構成します。
  • C. Google Cloud Interconnect を使用してプロジェクトを構成します。
  • D. VPC ネットワーク ピアリングを使用してプロジェクトを設定します。
  • E. すべての Google Compute Engine インスタンスをプライベートアクセスで構成します。

Correct Answer: D、E

Reference contents:
データ ワークロードの保護: Google Cloud のユースケース

QUESTION 5

顧客はプレーンテキストの秘密をソースコード管理(SCM)システムに保存する代わりの方法を必要としています。
Google Cloud Platformを使用してどのように達成できますか?

  • A. 顧客管理の暗号鍵(CMEK)を使用してシークレットを暗号化し、 Google Cloud Storage に保存します。
  • B. Google Cloud Data Loss Prevention APIを実行して秘密をスキャンし、Google Cloud SQLに保存します。
  • C. ローカル SSD を搭載した Google Compute Engine VM にSCM をデプロイし、先読み可能なVM を有効にします。
  • D. Google Cloud Source Repositories を使用し、Google Cloud SQL にシークレットを保存します。

Correct Answer: A

QUESTION 6

クラウドの顧客はオンプレミスの鍵管理システムを使用しており、それを使用して暗号鍵を生成、保護、ローテーション、および監査したいと考えています。
独自の暗号鍵を使用して Google Cloud Storage をどのように使用できますか?

  • A. コンプライアンスに関する監査レポートで、保存時のデフォルトの暗号化の使用を宣言します。
  • B. 暗号鍵を同じ Google Cloud Storage バケットにアップロードします。
  • C. 顧客管理の暗号鍵(CMEK)を使用します。
  • D. 顧客指定の暗号鍵(CSEK)を使用します。

Correct Answer: D

A は正しくありません。これは保存時のデフォルトの暗号化で Google が生成した鍵と Google が管理するキーを使用するため、ユースケースに対応していないためです。
この Google Cloud Storage バケットデータを復号化するには最初に暗号鍵が必要になるため、B は正しくありませんが実際に復号化するまでこれらの暗号鍵を使用することはできません。顧客が指定した暗号鍵は Google のインフラストラクチャに保存されません。C は顧客が独自の鍵管理システムから独自の暗号鍵を使用したいというこのシナリオに対応していないため、正しくありません。ただし、このオプションは顧客が Google で生成され、顧客が管理する鍵を使用する場合に有効です。 Google Cloud Storage を使用するときに独自のAES-256鍵を提供することを選択できるため、D は正しいです。この鍵は顧客提供の暗号鍵(CSEK)と呼ばれます。 CSEK を提供する場合、Google Cloud Storage は鍵を Google のサーバに永続的に保存したり、その他の方法でキーを管理したりすることはありません。代わりに Google Cloud Storage の操作ごとに鍵を指定すると、操作の完了後に鍵が Google のサーバから削除されます。 Google Cloud Storage は鍵の暗号化ハッシュのみを保存するため、将来のリクエストはハッシュに対して検証できます。

Reference contents:
保存データの暗号化
顧客指定の暗号鍵の使用
顧客指定の暗号鍵
顧客管理の暗号鍵

QUESTION 7

組織のセキュリティチームのメンバーです。
チームにはWebアプリケーションやデータ処理システムに加えてクレジットカード支払い処理システムを備えた単一の Google Cloud Platform(GCP)プロジェクトがあり、PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。
何をするべきかでしょうか?

  • A. Webアプリケーションへの管理者アクセスには多要素認証を使用してください。
  • B. PA-DSS に準拠していると認定されたアプリケーションのみを使用してください。
  • C. カード会員データ環境を別のGCP プロジェクトに移動します。
  • D. オフィスとクラウド環境間のすべての接続にVPN を使用します。

Correct Answer: D

Reference contents:
PCI データ セキュリティ基準の遵守

QUESTION 8

会社はコンテナ イメージ内のパッケージのCVE 情報を収集して分析し、既知のセキュリティ問題のあるイメージが Google Kubernetes Engine 環境で実行されないようにしたいと考えています。
コンテナ ビルド パイプラインに含めることを Google が推奨するセキュリティ機能はどれでしょうか?

  • A. 展開ポリシー。
  • B. パスワードポリシー。
  • C. 脆弱性スキャン。
  • D. ネットワークの分離。

Correct Answer: A

バイナリ認証で定義されたデプロイポリシーにより、信頼できるイメージのみが Google Kubernetes Engine クラスタにデプロイできることが保証されるため、Aは正解です。 Binary Authorization は Container Registry に保存されているコンテナ イメージをスキャンして脆弱性を検出し、認証プロセスで使用される信頼できるメタデータを保存するContainer Analysis と統合できます。B はユースケースに対応していないため正しくありません。C は脆弱性スキャンを実行できるため正しいです。 Container Analysis により、コンテナ ベースイメージ内のパッケージの脆弱性情報を検出し、それぞれのLinux ディストリビューションからCVE データを取得します。D はユースケースに対応していないため、正しくありません。

参考内容:
Binary Authorization の概要
Container Analysis と脆弱性スキャン

QUESTION 9

顧客はアプリケーションを Google App Engine にデプロイし、Open Web Application Security Project(OWASP)の脆弱性をチェックする必要があります。
これを実現するにはどのサービスを使用するべきでしょうか?

  • A. Google Cloud Armor
  • B. Google Cloud Audit Logs
  • C. Google Cloud Security Scanner
  • D. Forseti Security

Correct Answer: C

Reference contents:
Security Command Center

QUESTION 10

アプリケーションでは、ビルド時や実行時に「秘密」、つまり小さな機密データへのアクセスが必要になることがよくあります。
GCP 上でこれらの秘密を管理する管理者は、GCPプロジェクト内で「誰が、どこで、いつ、何をしたか」を追跡したいと考えています。
管理者が探している情報を提供するログストリームはどれでしょうか

  • A. 管理アクティビティ ログ
  • B. システム イベント ログ
  • C. データアクセス ログ
  • D. VPC フローログ
  • E. Logging エージェント

Correct Answer: A、C

Reference contents:
Secret Manager のコンセプトの概要
Cloud Audit Logs

QUESTION 11

会社のメッセージングアプリがFIPS 140-2 に準拠するために、GCP コンピューティングサービスとネットワークサービスを使用することが決定されました。
メッセージングアプリのアーキテクチャには Google Compute Engine インスタンスのクラスターを制御するマネージド インスタンス グループ(MIG)が含まれています。インスタンスはデータキャッシングにローカルSSD を使用し、インスタンス間通信にUDP を使用します。アプリ開発チームは標準に準拠するために必要な変更を喜んで行います。
要件を満たすためにどのオプションをお勧めしますか?

  • A. アプリのインスタンス間の通信をUDP からTCP に変更し、クライアントのTLS 接続でBoringSSL を有効にします。
  • B. BoringCrypto モジュールを使用して、すべてのキャッシュ ストレージとVM 間通信を暗号化します。
  • C. MIG が使用するインスタンス テンプレートのディスク暗号化を Google が管理する鍵に設定し、すべてのインスタンス間通信でBoringSSL ライブラリを使用します。
  • D. MIG が使用するインスタンス テンプレートのディスク暗号化を顧客管理の鍵に設定し、インスタンス間のすべてのデータ転送にBoringSSL を使用します。

Correct Answer: C

Reference contents:
Google Cloud インフラストラクチャのセキュリティ設計の概念(PDF)

QUESTION 12

安全なコンテナ イメージを作成する場合、可能であればビルドに組み込む必要がある2つのアイテムはどれでしょうか? (2つ選択してください)

  • A. アプリがPID 1として実行されていないことを確認します。
  • B. 単一のアプリをコンテナとしてパッケージ化します。
  • C. アプリが必要としない不要なツールを削除します。
  • D. 公開されているコンテナ イメージをアプリのベースイメージとして使用します。
  • E. 機密情報を隠すために多くのコンテナ画像レイヤーを使用します。

Correct Answer: B、C

Reference contents:
コンテナ構築のおすすめの方法

QUESTION 13

エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには Google が推奨する方法に従う必要があります。
何をするべきでしょうか?

  • A. データを暗号化するためにローカルでデータ暗号鍵(DEK)を生成し、DEKを暗号化するために Google Cloud KMS で新しい鍵暗号鍵(KEK)を生成します。暗号化されたデータと暗号化されたDEK の両方を保存します。
  • B. データを暗号化するためにローカルでデータ暗号鍵(DEK)を生成し、DEK を暗号化するために Google Cloud KMS で新しい鍵暗号鍵(KEK)を生成します。暗号化されたデータとKEK の両方を保存します。
  • C. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、鍵暗号鍵(KEK)をローカルで生成して鍵を暗号化します。暗号化されたデータと暗号化されたDEK の両方を保存します。
  • D. Google Cloud KMS で新しいデータ暗号鍵(DEK)を生成してデータを暗号化し、キー暗号鍵(KEK)をローカルで生成して鍵を暗号化します。暗号化されたデータとKEK の両方を保存します。

Correct Answer: A

Reference contents:
エンベロープ暗号化

QUESTION 14

オンライン チャットを介してサポート センターのエージェントと連携するとき、組織の顧客は個人を特定できる情報(PII)とドキュメントの写真を共有することがよくあります。
サポート センターを所有する組織は顧客サービスの傾向分析のために内部または外部のアナリストによるレビューのために保持する通常のチャットログの一部としてPII がデータベースに保存されていることを懸念しています。
データユーティリティを維持しながら、顧客のこの懸念を解決するために、組織はどの Google Cloud ソリューションを使用するべきでしょうか?

  • A. Google Cloud Key Management Service(KMS)を使用して、分析用に保存する前に、顧客が共有するPII データを暗号化します。
  • B. オブジェクトのライフサイクル管理を使用して、PII を含むすべてのチャットレコードが破棄され、分析のために保存されないようにします。
  • C. DLP API の画像検査および編集アクションを使用して、分析のために画像を保存する前に、画像からPIIを編集します。
  • D. DLP API ソリューションの一般化およびバケット化アクションを使用して、分析のためにテキストを保存する前にテキストからPII を編集します。

Correct Answer: D

Reference contents:
機密データの匿名化

QUESTION 15

大規模なe コマースサイトは Google Cloud Platform への移行を進めています。
顧客がオンラインでチェックアウトするときに、顧客のブラウザと GCP の間で支払い情報が暗号化されていることを確認したいと考えています。
何をすべきできでしょうか?

  • A. ポート 443でのインバウンド トラフィックを許可し、他のすべてのインバウンド トラフィックをブロックするようにファイアウォールを構成します。
  • B. ネットワーク TCP ロードバランサでSSL 証明書を構成し、暗号化を要求します。
  • C. ポート 443でアウトバウンド トラフィックを許可し、他のすべてのアウト バウンドトラフィックをブロックするようにファイアウォールを構成します。
  • D. L7 ロードバランサでSSL 証明書を構成し、暗号化を要求します。

Correct Answer: D

QUESTION 16

会社は Google Kubernetes Engine でWebショップを運営おり、Google BigQuery で顧客のトランザクションを分析したいと考えています。
Google BigQuery にクレジットカード番号が保存されていないことを確認する必要があります。
何をするべきでしょうか?

  • A. クレジットカード番号に一致する正規表現を使用して Google BigQuery ビューを作成し、影響を受ける行をクエリして削除します。
  • B. Google BigQuery にログを保存する前に Google Cloud Identity-AwareProxy がクレジットカード番号を除外できるようにします。
  • C. Security Command Center を利用して Google BigQuery でクレジットカード番号タイプのアセットをスキャンします。
  • D. Google Cloud Data Loss Prevention API を使用して、データが Google BigQuery に取り込まれる前に関連するinfoType を編集します。

Correct Answer: B

QUESTION 17

メールアドレスなどの顧客 ID を含むアプリケーションログのデータを編集する必要があります。
ただし、これらのログには company.com の内部開発者のメールアドレスも含まれているため、編集しないでください。
これらの要件を満たすにはどのソリューションを使用するべきでしょうか?

  • A. 開発者のメールアドレスのサブセットを一覧表示する標準のカスタム辞書検出器を作成します。
  • B. @company.com で一致する正規表現(regex)カスタム infoType 検出器を作成します。
  • C. Cloud Identity にリストされているすべてのメールアドレスに一致する標準のカスタム辞書検出器を作成します。
  • D. @company.com に一致する COMPANY_EMAIL というカスタム infoType 検出器 を作成します。

Correct Answer: B

A は正しくありません。これはcompany.com のすべてのメールアドレスが機密であり、フィルタリングする必要があるため、静的リストを維持するのが難しく、機密データを簡単に見逃す可能性があるためです。正規表現は保護してログファイルに書き込む必要があるすべてのcompany.com メールアドレスを検出するため、B は正しいです。 Cloud Identity のユーザーベースは、必要なすべてのメールのサブセットにすぎない可能性があるため、C は正しくありません。カスタム infoType 内で検出器を指定する必要があり、検出器はすべての@company.com メールアドレスに一致する正規表現である必要があるため、D は正しくありません。

Reference contents:
infoType 検出器リファレンス
カスタム infoType 検出器の作成

QUESTION 18

ネットワークで定義されている 2つの暗黙のファイアウォール ルールはどれでしょうか?(2つ選択してください)

  • A. すべての下り(外向き)許可ルール。
  • B. すべての上り(内向き)拒否ルール。
  • C. すべての下り(外向き)ポート 25接続を拒否ルール。
  • D. すべての下り(外向き)拒否ルール。
  • E. すべての上り(内向き)ポート 80接続を拒否ルール。

Correct Answer: A、B

Reference contents:
VPC ファイアウォール ルールの概要

QUESTION 19

チームはプロジェクト co-vpc-prod がホストプロジェクトである共有 VPC ネットワークを設定します。
チームはホスト プロジェクトでファイアウォール ルール、サブネット、およびVPN ゲートウェイを構成しました。エンジニアリング グループA が Google Compute Engine インスタンスを10.1.1.0/24 サブネットにのみ接続できるようにする必要があります。
この要件を満たすためにチームはエンジニアリング グループA に何を付与するべきでしょうか?

  • A. ホストプロジェクトレベルでの compute.networkUser のロール。
  • B. サブネットレベルでの compute.networkUser のロール
  • C. ホストプロジェクトレベルでの compute.xpnAdmin のロール
  • D. サービスプロジェクトレベルでの compute.xpnAdmin のロール。

Correct Answer: C

Reference contents:
共有 VPC の概要
Compute Engine IAM のロールと権限 > Compute ネットワーク ユーザーのロール

QUESTION 20

組織の一般的なネットワークとセキュリティのレビューはアプリケーションのトランジットルート、リクエスト処理、およびファイアウォール ルールの分析で構成されます。
開発者チームがこの完全なレビューのオーバーヘッドなしに新しいアプリケーションを展開できるようにしたいと考えています。
どのようにアドバイスすべきでしょうか?

  • A. すべての本番アプリケーションはオンプレミスで実行されます。開発者が開発者およびQA プラットフォームとして GCP を自由に利用できるようにします。
  • B. Forseti とファイアウォール フィルタを使用して、本番環境で不要な構成をキャッチします。
  • C. インフラストラクチャをコードとして使用することを義務付け、ポリシーを適用するためにCI/CD パイプラインで静的分析を提供します。
  • D. すべてのVPC トラフィックを顧客が管理するルーターにルーティングして、本番環境で悪意のあるパターンを検出します。

Correct Answer: C

QUESTION 21

 Google Cloud Platform 内のVPC でサブネットを定義しました。
これらのサブネットのIP アドレスを使用して Google Compute Engine インスタンスを作成するには複数のプロジェクトが必要です。
何をするべきでしょうか?

  • A. プロジェクト間でCloud VPN を構成します。
  • B. 関連するすべてのプロジェクト間でVPC ピアリングを設定します。
  • C. VPC サブネットを変更して、限定公開の Google アクセスを有効にします。
  • D. 共有 VPC を使用して、サブネットを他のプロジェクトと共有します。

Correct Answer: D

A は正しくありません。プロジェクト間の Cloud VPN はリソースをホストするためのサブネットを共有する機能を提供しません。2つの共有ネットワーク間のトラフィックを許可しますが、それは双方向でしかありません。ピアリングされたVPC ネットワークは管理上分離されたままです。限定公開の Google アクセスではプライベート IP からAPI にアクセスできるため、Cは正しくありませんが特定のサブネットでのコンピューティング インスタンスの作成には影響しません。 D は共有 VPCを複数のプロジェクトに共有することでホストプロジェクトで管理上の監視を維持しつつ、他のプロジェクトでは共有 VPC 内のIP 上にのみVM を作成するように制限することができるため、正解。

Reference contents:
共有 VPC の概要
VPC ネットワーク ピアリングの概要

QUESTION 22

Google Compute Engine インスタンス上で動作するアプリケーションが Google Cloud Storage バケットからデータを読み込む必要があります。
チームは Google Cloud Storage バケットをグローバルに読み取り可能にすることを許可しておらず、最小特権の原則を確保したいと考えています。
チームの要件を満たすオプションはどれでしょうか?

  • A. Google Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用して Google Compute Engine インスタンスのアプリケーションの構成でサービス アカウントの認証情報を保存します。
  • B. Google Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用して インスタンス メタデータから認証情報を取得します。
  • C. Google Cloud KMS を使用して Google Cloud Storage バケット内のデータを暗号化し、アプリケーションがKMS 鍵を使用してデータを復号化できるようにします。
  • D. Google Compute Engine インスタンスのIP アドレスからの読み取り専用アクセスを許可し、アプリケーションが認証情報なしでバケットから読み取ることを許可するGoogle Cloud Storage ACL を作成します。

Correct Answer: B

QUESTION 23

チームはオンプレミスの Active Directory サービスから Cloud IAM アクセス許可を一元管理したいと考えています。
チームは Active Directory グループメンバーシップによってアクセス許可を管理したいと考えています。
これらの要件を満たすためにチームは何をすべきでしょうか?

  • A. グループを同期するために GoogleCloud Directory Sync を設定してグループに IAM 権限を設定します。
  • B. SAML 2.0 シングルサインオン(SSO)を設定して IAM アクセス許可をグループに割り当てます。
  • C. Cloud Identity and Access Management API を使用して Active Directory からグループと IAM アクセス許可を作成します。
  • D. Admin SDK を使用してグループを作成して Active Directory から IAM アクセス許可を割り当てます。

Correct Answer: B

Reference contents:
Using your existing identity management system with Google Cloud Platform

QUESTION 24

会社のセキュリティ管理者の役割を与えられています。
開発チームはいくつかの開発、ステージング、本番ワークロード用に「implementation」フォルダの下に複数の GCP プロジェクトを作成します。セキュリティ境界を設定することにより、悪意のある内部関係者や侵害されたコードによるデータの漏えいを防ぎたいと考えています。ただし、プロジェクト間の通信を制限する必要はありません。
何をするべきでしょうか?

  • A. Access Context Manager でアクセスレベルを作成してデータの漏えいを防ぎ、プロジェクト間の通信に共有 VPC を使用します。
  • B. Infrastructure-as-Codeソフトウェアツールを使用して、単一のサービス境界を設定し、Stackdriver と Google Cloud Pub/Sub を介して「implementation」フォルダを監視する Google Cloud Function をデプロイします。関数が新しいプロジェクトがフォルダに追加されると Terraform を実行して、関連する境界に新しいプロジェクトを追加します。
  • C. Infrastructure-as-Code ソフトウェアツールを使用して、開発、ステージング、本番用に 3つの異なるサービス境界を設定し、Stackdriver と Google Cloud Pub/Sub を介して「implementation」フォルダを監視する Google Cloud Function をデプロイします。関数は新しいプロジェクトがフォルダに追加されたことを認識すると Terraform を実行して、新しいプロジェクトをそれぞれの境界に追加します。
  • D. 共有 VPC を使用してすべてのプロジェクト間の通信を有効にし、ファイアウォール ルールを使用してデータの漏洩を防ぎます。

Correct Answer: A

Reference contents:
Access Context Manager の概要

QUESTION 25

会社がは Google Cloud Platformの異なるリージョンにメールサーバーを冗長化しており、位置情報に基づいて顧客を最寄りのメールサーバにルーティングしたいと考えています。
会社はこれをどのように達成するべきでしょうか?

  • A. HTTP(S) ロードバランサでクロス リージョンロードバランシングを使用して、トラフィックを最も近いリージョンにルーティングします。
  • B. 場所に基づいてトラフィックを転送する転送ルールを使用してTCP ポート 995でリッスンするネットワークロードバランサを作成します。
  • C. ポート 995でリッスンしているグローバルな負荷分散サービスとしてTCP プロキシ負荷分散を構成します。
  • D. Cloud CDN を使用して、クライアント IP アドレスに基づいて最も近い発信元メールサーバにメールトラフィックをルーティングします。

Correct Answer: D

QUESTION 26

最近、Webサイトのデザイン会社がすべての顧客サイトを Google App Engineに移行しました。
一部のサイトはまだ進行中であり、どの場所からでも顧客と会社の従業員にのみ表示される必要があります。
進行中のサイトへのアクセスを制限するソリューションはどれでしょうか?

  • A. Cloud VPN を使用して、関連するオンプレミスネットワークと会社のGCP Virtual Private Cloud(VPC)ネットワークの間にVPN 接続を作成します。
  • B. 顧客と従業員のネットワークからのアクセスを許可し、他のすべてのトラフィックを拒否する Google App Engine ファイアウォール ルールを作成します。
  • C. 顧客と従業員のユーザーアカウントを含む.htaccess ファイルを Google App Engine にアップロードします。
  • D. Google Cloud Identity-Aware Proxy(IAP)を有効にし、顧客と従業員のユーザーアカウントを含む Google グループへのアクセスを許可します。

Correct Answer: D

QUESTION 27

会社はすべての従業員が Google Cloud Platform を使用することを許可しています。
各部門には Google グループがあり、すべての部門メンバーがグループメンバーになっています。部門のメンバーが新しいプロジェクトを作成する場合はその部門のすべてのメンバーは、すべての新しいプロジェクトリソースへの読み取り専用アクセス権を自動的に持つ必要があり、他の部門のメンバーはプロジェクトにアクセスできないようにする動作を構成する必要があります。
これらの要件を満たすにはどうすればよいでしょうか?。

  • A. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、その部門に関連する Google グループにプロジェクトビューアの役割を割り当てます。
  • B. 組織の下の部門ごとにフォルダを作成します。各部門のフォルダについて、その部門に関連する Google グループにプロジェクトビューアの役割を割り当てます。
  • C. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、その部門に関連する Google グループにプロジェクトブラウザの役割を割り当てます。
  • D. 組織の下の部門ごとにフォルダを作成します。各部門のフォルダについて、その部門に関連する Google グループにプロジェクトブラウザの役割を割り当てます。

Correct Answer: A

QUESTION 28

チームは企業のIP 範囲から Google Compute Engine の特定の要塞ホストへのSSH アクセスを許可する入力ファイアウォール ルールを作成します。
チームは開発環境でVM を管理するためのアクセス権を持つ可能性のある権限のないエンジニアがこのファイアウォール ルールを使用できないようにする必要があります。
この要件を満たすためにチームは何をすべきでしょうか?

  • A. ネットワーク タグのターゲットを使用してファイアウォール ルールを作成します。タグへのアクセスを一元管理します。
  • B. サービス アカウントのターゲットを使用してファイアウォール ルールを作成します。サービス アカウントへのアクセスを一元管理します。
  • C. ネットワーク タグのターゲットを使用して共有VPCにファイアウォール ルールを作成します。
  • D. 特定のサブネットのターゲットを使用して共有VPCにファイアウォール ルールを作成します。 

Correct Answer: B

A はファイアウォール ルールまたはVM メタデータを調べることでネットワーク タグの値を推測できるため、正しくありませんはサービス アカウントのターゲットでファイアウォール ルールを使用するにはサービス アカウントへのアクセスが必要であるため、正しくありません。C はファイアウォール ルールまたはVM メタデータを調べることでターゲットネットワーク タグの値を推測できるため、正しくありません。ファイアウォール ルールまたはVM メタデータを調べることでターゲットサブネット値を推測できるため、Dは正しくありません。

Reference contents:
VPC ファイアウォール ルールの概要 > サービス アカウントによるフィルタリングとネットワーク タグによるフィルタリング

QUESTION 29

ユーザーの代わりにユーザーの Google ドライブにアクセスする必要がある内部 Google App Engine アプリケーションを作成しています
会社は現在のユーザーの資格情報に依存することを望んでいません。また、Google が推奨する慣行に従いたいと考えています。
何をするべきでしょうか?

  • A. 新しいサービス アカウントを作成し、それに G Suite ドメイン全体の委任を付与します。アプリケーションにそれを使用させて、ユーザーになりすます。
  • B. 新しいサービス アカウントを作成し、すべてのアプリケーションユーザーを Google グループに追加します。このグループにサービス アカウントユーザーの役割を与えます。
  • C. 専用の G Suite 管理者アカウントを使用し、これらの G Suite 認証情報を使用してアプリケーションの操作を認証します。
  • D. 新しいサービス アカウントを作成し、すべてのアプリケーションユーザーにサービス アカウントユーザーの役割を与えます。

Correct Answer: D

QUESTION 30

会社は Google Cloud Platform にPII を保存するWebサイトを運営しています。
データプライバシー規制に準拠するために、このデータは特定の期間のみ保存でき、この特定の期間の後に完全に削除する必要があります。まだ期間に達していないデータは削除しないでください。
この規制に準拠するプロセスを自動化するにはどうすればよいでしょうか?

  • A. データを単一の永続ディスクに保存し、有効期限が切れたらディスクを削除します。
  • B. データを単一のGoogle Cloud Bigtable テーブルに保存し、列ファミリーに有効期限を設定します。
  • C. データを単一の Google BigQuery テーブルに保存し、適切なテーブルの有効期限を設定します。
  • D. データを単一の Google Cloud Storage バケットに保存し、バケットの存続時間を構成します。 

Correct Answer: C

QUESTION 31

PCI コンプライアンスについて GCP を評価したいと考えています。
Google 固有のコントロールを特定する必要があります。
情報を見つけるにはどのドキュメントを確認すればよいでしょうか?

  • A. Google Cloud Platform:顧客責任マトリックス。
  • B. PCI DSS 要件とセキュリティ評価手順。
  • C. PCI SSC クラウドコンピューティング ガイドライン。
  • D. Google Compute Engine のプロダクトドキュメント。

Correct Answer: C

Reference contents:
PCI データ セキュリティ基準の遵守

QUESTION 32

会社の開発チームに所属しています。
Google Kubernetes Engine でのステージングでホストされているWebアプリケーションが入力されたデータを最初に適切に検証せずに、Webページにユーザーデータを動的に含めることに気づきました。これにより、攻撃者は意味不明なコマンドを実行し、実稼働環境の被害者ユーザーのブラウザに任意のコンテンツを表示する可能性があります。
この脆弱性をどのように防止および修正するべきでしょうか?

  • A. IP アドレスまたはエンドユーザーデバイスの属性に基づいて Cloud IAP を使用して、脆弱性を防止および修正します。
  • B. HTTPS ロードバランサを設定してから、本番環境に Google Cloud Armor を使用して、潜在的なXSS 攻撃を防ぎます。
  • C. Webセキュリティ スキャナーを使用して、コード内の古いライブラリの使用状況を検証してから含まれているライブラリのセキュリティで保護されたバージョンを使用します。
  • D. ステージングでWebセキュリティ スキャナーを使用してXSS インジェクション攻撃をシミュレートしてから、コンテキストの自動エスケープをサポートするテンプレートシステムを使用します。

Correct Answer: D

Reference contents:
Security Command Center のドキュメント

QUESTION 33

顧客は攻撃者がドメイン/IP を乗っ取り、中間者攻撃によって悪意のあるサイトにユーザをリダイレクトさせないようにする必要があります。
この顧客はどのソリューションを使用すべきでしょうか?

  • A. VPC フローログ
  • B. Google Cloud Armor
  • C. DNS Security Extensions(DNSSEC)
  • D. Google Cloud Identity-Aware Proxy

Correct Answer: C

Reference contents:
DNSSEC now available in Cloud DNS
 DNS Security Extensions(DNSSEC)の概要

QUESTION 34

顧客は Google Compute Engine 上でアプリケーションを構築するために他社と協力しています。
顧客は自社の GCP 組織でアプリケーション層を構築しており、他社は別の GCP 組織でストレージ層を構築しています。これは 3層のWebアプリケーションです。アプリケーションの一部の間の通信は、どのような方法であれ、公共のインターネットを経由してはなりません。
どの接続オプションを実装するべきでしょうか?

  • A. Cloud VPN
  • B. VPC ピアリング
  • C. 共有 VPC
  • D. Google Cloud Interconnect

Correct Answer: A

QUESTION 35

Google Compute Engine に多数の3層 Webアプリケーションをデプロイしたいと考えています。
アプリケーションの異なる層の間で認証されたネットワークの分離をどのように保証するべきでしょうか?

  • A. 各層を独自のサブネットで実行し、サブネットベースのファイアウォール ルールを使用します。
  • B. 各層を独自のプロジェクトで実行し、プロジェクトラベルを使用して分離します。
  • C. 各層を独自のVM タグで実行し、タグベースのファイアウォール ルールを使用します。
  • D. 異なるサービス アカウントで各層を実行し、サービス アカウント ベースのファイアウォール ルールを使用します。

Correct Answer: A

QUESTION 36

大規模な金融機関がビッグデータ分析を Google Cloud Platform に移行しています。
Google BigQuery に保存されているデータの暗号化プロセスを最大限に制御したいと考えています。
機関はどのような技術を使用するべきでしょうか?

  • A. フフェデレーション データソースとして Google Cloud Storage を利用します。
  • B. Cloud HSM(Cloud Hardware Security Module)を使用します。
  • C. 顧客管理の暗号鍵(CMEK)を使用します。
  • D. 顧客提供の暗号鍵(CSEK)を使用します。

Correct Answer: C

Reference contents:
保存時の暗号化

QUESTION 37

会社は Google Cloud Storage にファイルを保存しています。
地域の規制に準拠するためにアップロードされたファイルが最初の 5年以内に削除されないようにする必要があります。設定後の保存期間を短くすることはできません。
何をするべきでしょうか?

  • A. バケットに 5年間の保持期間を適用し、バケットをロックします。
  • B. 一時保留を有効にし、5年間の保持期間をバケットに適用します。
  • C. Cloud IAM を使用して、 Google Cloud Storage からファイルを削除する権限を持つIAM ロールを誰も持たないようにします。
  • D. age 条件とDelete アクションを使用してオブジェクトのライフサイクルルールを作成します。年齢条件を5 age に設定します。

Correct Answer: A

Aは正解です。バケットロックを使用するとバケット内のオブジェクトを保持する必要がある期間を管理する Google Cloud Storage バケットのデータ保持ポリシーを構成できるためです。この機能を使用すると、データ保持ポリシーをロックして、ポリシーが縮小または削除されないようにすることもできます。B はオペレーター/管理者がオブジェクトの保留を簡単に解除できるため、正しくありません。管理者が自分自身または他の誰かに Google Cloud Storage 内のファイルを改ざんするのに十分な権限を付与できるため、C は正しくありません。年齢条件と削除アクションでは age 条件が満たされる前にオブジェクトが手動で削除されるのを防ぐことができないため、D は正しくありません 。

Reference contents:
保持ポリシーと保持ポリシーのロック

QUESTION 38

雇用主はボーナス報酬が時間の経過とともにどのように変化したかを追跡して、従業員の外れ値を特定し、収益の格差を修正したいと考えています。
このタスクは個人の機密性の高い報酬データを公開せずに実行し、外れ値を特定するために可逆的に実行する必要があります。
このタスクを達成するためにどの Google Cloud Data Loss Prevention API 手法を使用すべきでしょうか?

  • A. 一般化
  • B. 秘匿化
  • C. CryptoReplaceFfxFpeConfig
  • D. CryptoHashConfig

Correct Answer:B

QUESTION 39

顧客は Google Cloud Platform (GCP) 上で 3 層の内部 Web アプリケーションを起動する必要があります。
顧客の内部コンプライアンス要件ではトラフィックが特定の既知の優良な CIDR から発信されていると思われる場合にのみ、エンドユーザーのアクセスが許可されることになっています。顧客はアプリケーションが SYN flood DDoS 防御しかできないというリスクを受け入れています。GCP のネイティブ SYN フラッド DDoS 防御を使用したいと考えています。
これらの要件を満たすにはどの製品を使用すべきでしょうか?

  • A. Google Cloud Armor
  • B. VPC Firewall Rules
  • C. Cloud Identity と Access Management
  • D. Cloud CDN

Correct Answer: A

Reference contents:
Google Google Cloud Armor adds WAF, telemetry features
Google Cloud Armor: ウェブサイトとアプリケーションを保護する 3 つの主要機能のご紹介

QUESTION 40

顧客はエンジニアを解雇し、エンジニアの Google アカウントが自動的にプロビジョニング解除されることを確認する必要があります。
顧客は何をするべきでしょうか?

  • A. Google Cloud SDK とディレクトリサービスを使用して、Cloud Identity のIAM権限を削除します。
  • .B。 Google Cloud SDK とディレクトリサービスを使用して、 Cloud Identity からユーザーをプロビジョニングおよびプロビジョニング解除します。
  • C. Google Cloud Directory Syncwithのディレクトリサービスを設定して、 Cloud Identity からユーザーをプロビジョニングおよびプロビジョニング解除します。
  • D. Google Cloud Directory Sync with the Directory Service を設定して、 Cloud Identity のIAM 権限を削除します。

Correct Answer: C

Categories:

Google Cloud Platform

Tags:

Professional Cloud Security Engineer

Comments are closed