Professional Cloud Security Engineer 模擬問題集（2023.05.18）

※ 他の問題集は「タグ：Professional Cloud Security Engineer の模擬問題集」から一覧いただけます。

Google Cloud 認定資格 – Professional Cloud Security Engineer – 模擬問題集（全 178問）

Question 001

チームは Compute Engine インスタンスがインターネットや Google API やサービスにアクセスできないようにする必要があります。
これらの要件を満たすために無効にしておく必要がある設定はどれでしょうか？ (回答を 2つ選択してください)

• A. パブリック IP
• B. IP 転送
• C. 限定公開の Google アクセス
• D. 静的ルート
• E. IAM ネットワーク ユーザー ロール

Correct Answer: A、C

Reference:
– 限定公開の Google アクセスを構成する  |  VPC  |  Google Cloud

Question 002

VPC ネットワーク上で定義されている暗黙のファイアウォール ルールはどれでしょうか？ (回答を 2つ選択してください)

• A. すべてのアウトバウンド接続を許可するルール。
• B. すべての受信接続を拒否するルール。
• C. すべての受信ポート 25 接続をブロックするルール。
• D. すべてのアウトバウンド接続をブロックするルール。
• E. すべての受信ポート 80 接続を許可するルール。

Correct Answer: A、B

Reference:
– VPC firewall rules  |  Cloud Firewall  |  Google Cloud

Question 003

顧客は プレーン テキストの秘密をソース コード管理 (SCM) システムに保存する代替手段を必要としています。
顧客は Google Cloud Platform を使用してどのように達成するべきでしょうか？

• A. Cloud Source Repositories を使用し、シークレットを Cloud SQL に保存します。
• B. 顧客管理の暗号鍵 (CMEK) を使用してシークレットを暗号化し、Cloud Storage に保存します。
• C. Cloud Data Loss Prevention API を実行してシークレットをスキャンし、Cloud SQL に保存します。
• D. SCM をローカル SSD を備えた Compute Engine VM にデプロイし、プリエンプティブル VM を有効にします。

Correct Answer: B

Reference:
– 顧客管理の暗号鍵  |  Cloud Storage  |  Google Cloud

Question 004

チームはオンプレミスの Active Directory サービスから GCP IAM 権限を一元管理し、AD グループのメンバーシップごとに権限を管理したいと考えています。
これらの要件を満たすためにチームは何をすべきでしょうか？

• A. グループを同期するように Google Cloud Directory Sync を設定し、グループに IAM 権限を設定します。
• B. SAML 2.0 シングル サインオン (SSO) を設定し、IAM 権限をグループに割り当てます。
• C. Cloud Identity and Access Management API を使用し、Active Directory からグループと IAM 権限を作成します。
• D. Admin SDK を使用してグループを作成し、Active Directory から IAM 権限を割り当てます。

Correct Answer: A

Reference:
– Using your existing identity management system with Google Cloud Platform | Google Cloud Blog
– Identity and Access Management: Cloud Identity による認証 | Google Cloud 公式ブログ

Question 005

安全なコンテナ イメージを作成する場合、可能であればどの項目をビルドに組み込むべきでしょうか？ (回答を 2つ選択してください)

• A. アプリが PID 1 として実行されていないことを確認してください。
• B. 単一のアプリをコンテナとしてパッケージ化します。
• C. アプリに必要のない不要なツールを削除します。
• D. パブリックコンテナイメージをアプリのベースイメージとして使用します。
• E. 多くのコンテナ イメージ レイヤーを使用して機密情報を非表示にします。

Correct Answer: B、C

Reference:
–コンテナ構築のおすすめの方法  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 006

顧客は Google Cloud Platform (GCP) 上で 3層の内部 Web アプリケーションを起動する必要があります。顧客の内部コンプライアンス要件により、トラフィックが特定の既知の良好な CIDR から発信されていると思われる場合にのみエンドユーザー アクセスが許可されることが規定されています。顧客は、アプリケーションが SYN フラッド DDoS 保護のみを備えているというリスクを受け入れます。GCP のネイティブ SYN フラッド保護を使用したいと考えています。
これらの要件を満たすにはどのプロダクト/サービスを使用するべきでしょうか？

• A. Cloud Armor
• B. VPC Firewall Rules
• C. Cloud Identity and Access Management
• D. Cloud CDN

Correct Answer: A

Reference:
– Google Cloud Armor adds WAF, telemetry features | Google Cloud Blog
– オンプレミスとクラウドのワークロードに対応した Cloud Armor の新しい WAF 機能 | Google Cloud 公式ブログ

Question 007

とある企業は専用のサーバー ルームでワークロードを実行しています。これらにはプライベート企業ネットワーク内からのみアクセスする必要があります。Google Cloud Platform プロジェクト内の Compute Engine インスタンスからこれらのワークロードに接続する必要があります。
要件を満たすために取ることができるアプローチはどれでしょうか？ (回答を 2つ選択してください)

• A. Cloud VPN を使用してプロジェクトを構成する。
• B. 共有 VPC を使用してプロジェクトを構成する。
• C. Cloud Interconnect を使用してプロジェクトを構成する。
• D. VPC ピアリングを使用してプロジェクトを構成します。
• E. すべての Compute Engine インスタンスをプライベート アクセスで構成する。

Correct Answer: A、C

Question 008

顧客は Compute Engine でホストされている ERP システムに Cloud Identity-Aware Proxy を実装しています。セキュリティ チームは ERP システムが Cloud Identity-Aware Proxy からのトラフィックのみを受け入れるようにセキュリティ レイヤを追加したいと考えています。
これらの要件を満たすために何をすべきでしょうか？

• A. ERP システムが HTTP リクエスト内の JWT アサーションを検証できることを確認します。
• B. ERP システムが HTTP リクエストの ID ヘッダーを検証できることを確認します。
• C. ERP システムが HTTP リクエストの x-forwarded-for ヘッダーを検証できることを確認します。
• D. ERP システムが HTTP リクエスト内のユーザーの一意の識別子ヘッダーを検証できることを確認します。

Correct Answer: A

Question 009

とある企業は Compute Engine 上でアプリケーションを実行しています。アプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行し、その結果 Compute Engine インスタンスがクラッシュする可能性がありました。バグは修正されましたがハッキングが再発した場合に備えて通知を受け取りたいと考えています。
どうすればいいでしょうか？

• A. プロセスの健全性条件を使用して Stackdriver でアラート ポリシーを作成し、スクリプトの実行数が目的のしきい値を下回っていることを確認します。通知を有効にします。
• B. CPU 使用率の指標を使用し、Stackdriver でアラート ポリシーを作成します。CPU 使用率が 80% を超えたときに通知されるように、しきい値を 80% に設定します。
• C. スクリプトの実行をすべて Stackdriver Logging に記録します。Stackdriver Logging でログのユーザー定義指標を作成し、その指標を表示する Stackdriver ダッシュボードを作成します。
• D. スクリプトの実行をすべて Stackdriver Logging に記録します。BigQuery をログ シンクとして構成し、特定の期間内の実行数をカウントする BigQuery スケジュール済みクエリを作成します。

Correct Answer: A

Reference:
– ログベースのメトリクスの概要 |クラウドロギング

Question 010

チームは SIEM 内のすべての開発クラウド プロジェクトの統合されたログ ビューを取得する必要があります。開発プロジェクトはテスト プロジェクトと実稼働前プロジェクトとともに NONPROD 組織フォルダーの下にあります。開発プロジェクトは ABC-BILLING 請求先アカウントを組織の他のメンバーと共有します。
どのログ エクスポート戦略を使用して要件を満たすべきでしょうか？

• A.
  • 1. 専用の SIEM プロジェクトでフォルダー/NONPROD 親と includeChildren プロパティを True に設定し、ログを Cloud Pub/Sub トピックにエクスポートします。
  • 2. SIEM をトピックにサブスクライブします。
• B.
  • 1.専用の SIEM プロジェクトで billingAccounts/ABC-BILLING 親と includeChildren プロパティを False に設定した Cloud Storage シンクを作成します。
  • 2. SIEM で Cloud Storage オブジェクトを処理します。
• C.
  • 1. 各開発プロジェクトのログを専用の SIEM プロジェクトの Cloud Pub/Sub トピックにエクスポートします。
  • 2. SIEM をトピックにサブスクライブします。
• D.
  • 1. 各プロジェクトでパブリックに共有される Cloud Storage バケットを使用して Cloud Storage シンクを作成します。
  • 2. SIEM で Cloud Storage オブジェクトを処理します。

Correct Answer: C

Question 011

顧客は攻撃者がドメイン/IP をハイジャックし、中間者攻撃によってユーザーを悪意のあるサイトにリダイレクトすることを防ぐ必要があります。
この顧客はどのソリューションを使用するべきでしょうか？

• A. VPC Flow Logs
• B. Cloud Armor
• C. DNS Security Extensions
• D. Cloud Identity-Aware Proxy

Correct Answer: C

Reference:
– DNSSEC now available in Cloud DNS | Google Cloud Blog
– DNS Security Extensions（DNSSEC）の概要  |  Google Cloud

Question 012

顧客はアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性をチェックする必要があります。
実現するにはどのサービスを使用するべきでしょうか？

• A. Cloud Armor
• B. Google Cloud Audit Logs
• C. Web Security Scanner
• D. 異常検出

Correct Answer: C

Reference:
– Web Security Scanner の概要  |  Security Command Center  |  Google Cloud
– アプリのセキュリティの概要  |  Google App Engine フレキシブル環境のドキュメント  |  Google Cloud

Question 013

顧客のデータ サイエンス グループは分析ワークロードに Google Cloud Platform (GCP) を使用したいと考えています。会社のポリシーではすべてのデータは会社が所有する必要があり、すべてのユーザー認証は独自の Security Assertion Markup Language (SAML) 2.0 ID プロバイダ (IdP) を経由する必要があると規定されています。インフラストラクチャ オペレーション システム エンジニアは顧客のために Cloud Identity をセットアップしようとしていたところ、そのドメインがすでに G Suite によって使用されていることに気づきました。
混乱を最小限に抑えて作業を進めるためにシステム エンジニアにどのようにアドバイスするのがいいでしょうか？

• A. Google サポートに連絡し、ドメイン競合プロセスを開始して新しい Cloud Identity ドメインでドメイン名を使用します。
• B. 新しいドメイン名を登録し、それを新しい Cloud Identity ドメインに使用します。
• C. データ サイエンス マネージャーのアカウントを既存のドメインの特権管理者としてプロビジョニングするよう Google に依頼します。
• D. 顧客の管理者に Google 管理サービスのその他の使用法を発見し、既存の特権管理者と協力するよう依頼します。

Correct Answer: D

Question 014

多国籍企業の事業部門が GCP にサインアップし、ワークロードを GCP に移動し始めます。ビジネス ユニットは数百のプロジェクトを含む組織リソースを使用して Cloud Identity ドメインを作成します。チームはこれに気づき、アクセス許可の管理とドメイン リソースの監査を引き継ぎたいと考えています。
この要件を満たすためにチームはどのタイプのアクセスを許可するべきでしょうか？

• A. 組織管理者
• B. セキュリティレビュー担当者
• C. 組織の役割管理者
• D. 組織ポリシー管理者

Correct Answer: A

Question 015

Compute Engine インスタンス上で実行されているアプリケーションは、Cloud Storage バケットからデータを読み取る必要があります。チームは Cloud Storage バケットをグローバルに読み取り可能にすることを許可しておらず、最小権限の原則を確保したいと考えています。
どのオプションが条件を満たすか要件はどれでしょうか？

• A. Compute Engine インスタンスの IP アドレスからの読み取り専用アクセスを許可し、アプリケーションが認証情報なしでバケットから読み取ることを許可する Cloud Storage ACL を作成します。
• B. Cloud Storage バケットへの読み取り専用アクセスを持つサービス アカウントを使用し、Compute Engine インスタンス上のアプリケーションの構成にサービス アカウントの認証情報を保存します。
• C. Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用し、インスタンス メタデータから認証情報を取得します。
• D. Cloud KMS を使用して Cloud Storage バケット内のデータを暗号化し、アプリケーションが KMS 鍵を使用してデータを復号できるようにします。

Correct Answer: C

Question 016

組織の一般的なネットワークとセキュリティのレビューはアプリケーションの転送ルート、リクエストの処理、ファイアウォール ルールの分析で構成されます。開発者チームがこの完全なレビューのオーバーヘッドなしで新しいアプリケーションをデプロイできるようにしたいと考えています。
どのように組織にアドバイスするのがいいでしょうか？

• A. Forseti とファイアウォール フィルターを使用し、本番環境での不要な構成を検出します。
• B. コードとしてのインフラストラクチャの使用を義務付け、ポリシーを適用するために CI/CD パイプラインで静的分析を提供します。
• C. すべての VPC トラフィックを顧客管理のルーター経由でルーティングし、本番環境で悪意のあるパターンを検出します。
• D. すべての実稼働アプリケーションはオンプレミスで実行されます。開発者が開発および QA プラットフォームとして GCP を自由に利用できるようにします。

Correct Answer: B

Question 017

雇用主は従業員の異常値を特定し、収入格差を是正するためにボーナス報酬が時間の経過とともにどのように変化したかを追跡したいと考えています。このタスクは個人の機密報酬データを公開することなく実行する必要があり、外れ値を特定するために元に戻す必要があります。
これを実現するにはどの Cloud Data Loss Prevention API テクニックを使用するべきでしょうか？

• A. Generalization
• B. Redaction
• C. CryptoHashConfig
• D. CryptoReplaceFfxFpeConfig

Correct Answer: D

Reference:
– Google Cloud Data Loss Prevention v2 API – Class CryptoReplaceFfxFpeConfig (4.5.0)  |  .NET client library
– 変換のリファレンス  |  データ損失防止（DLP）のドキュメント  |  Google Cloud

Question 018

組織はアプリケーション ホスティング サービスに Google Cloud Platform (GCP) を採用しており、Cloud Identity アカウントのパスワード要件の設定に関するガイダンスを必要としています。この組織には従業員のパスワードには最小限の文字数を含める必要があるというパスワード ポリシー要件があります。
組織が新しい要件を通知するために使用できる Cloud Identity パスワード ガイドラインはどれでしょうか？

• A. パスワードの最小長を 8 文字に設定します。
• B. パスワードの最小長を 10 文字に設定します。
• C. パスワードの最小長を 12 文字に設定します。
• D. パスワードの最小長を 6 文字に設定します。

Correct Answer: A

Question 019

エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには Google のベストプラクティスに従う必要があります。
どうすればいいでしょうか？

• A. データ暗号鍵 (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しい鍵暗号鍵 (KEK) を生成して DEK を暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。
• B. データ暗号鍵 (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しい鍵暗号鍵 (KEK) を生成して DEK を暗号化します。暗号化されたデータと KEK の両方を保存します。
• C. Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成してキーを暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。
• D. Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成してキーを暗号化します。暗号化されたデータと KEK の両方を保存します。

Correct Answer: A

Reference:
– エンベロープ暗号化  |  Cloud KMS ドキュメント  |  Google Cloud

Question 020

顧客は Stackdriver ログを GCP からオンプレミス SIEM システムに確実に配信するにはどうすればよいでしょうか？

• A. syslog などの既存のプロトコルを介し、すべてのログを SIEM システムに送信します。
• B. すべてのログを共通の BigQuery DataSet にエクスポートするようにすべてのプロジェクトを構成します。SIEM システムによってクエリされます。
• C. ログを Cloud Pub/Sub トピックにエクスポートするように組織のログ シンクを構成します。ログは Dataflow 経由で SIEM に送信されます。
• D. SIEM が GCP RESTful JSON API からリアルタイムですべてのログをクエリするためのコネクタを構築します。

Correct Answer: C

Question 021

PCI DSS 要件を満たすために顧客はすべてのアウトバウンド トラフィックが承認されていることを確認したいと考えています。
追加の補償制御なしでこの要件を満たす GCP プロダクトはどれでしょうか？ (回答を 2つ選択してください)

• A. App Engine
• B. Cloud Functions
• C. Compute Engine
• D. Google Kubernetes Engine
• E. Cloud Storage

Correct Answer: C、D

Reference:
– PCI データ セキュリティ基準の遵守  |  Cloud アーキテクチャ センター  |  Google Cloud
– GKE における PCI DSS コンプライアンス  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 022

最近、ある Web サイトのデザイン会社はすべての顧客サイトを App Engine に移行しました。一部のサイトはまだ進行中であり、どこからでも顧客と従業員のみが閲覧できるようにする必要があります。
進行中のサイトへのアクセスを制限するソリューションはどれでしょうか？

• A. 顧客と従業員のユーザー アカウントを含む .htaccess ファイルを App Engine にアップロードします。
• B. 顧客および従業員のネットワークからのアクセスを許可し、他のすべてのトラフィックを拒否する App Engine ファイアウォール ルールを作成します。
• C. Cloud Identity-Aware Proxy (IAP) を有効にし、顧客と従業員のユーザー アカウントを含む Google グループへのアクセスを許可します。
• D. Cloud VPN を使用し、関連するオンプレミス ネットワークと会社の GCP Virtual Private Cloud (VPC) ネットワークの間に VPN 接続を作成します。

Correct Answer: C

Reference:
– IAP による App Engine アプリの保護  |  BeyondCorp Enterprise  |  Google Cloud

Question 023

オンライン チャットを通じてサポート センターのエージェントと連携する場合、組織の顧客は個人を特定できる情報 (PII) が含まれるドキュメントの写真を共有することがよくあります。経営陣はこの PII が定期的なチャット ログの一部として保存されており、顧客サービスの傾向について社内または社外のアナリストがレビューしていることを懸念しています。データのユーティリティを維持しながらこの懸念を解決したいと考えています。
どうすればいいでしょうか？

• A. 鍵管理サービスを使用し、顧客が共有する PII を分析用に保存する前に暗号化します。
• B. オブジェクト ライフサイクル管理を使用し、PII を含むすべてのチャット レコードが破棄され、分析用に保存されないようにします。
• C. DLP API の画像検査および編集アクションを使用し、分析用に保存する前に画像から PII を編集します。
• D. DLP API ソリューションの一般化アクションとバケット化アクションを使用し、テキストを分析用に保存する前にテキストから PII を編集します。

Correct Answer: C

Reference:
– 機密データの匿名化  |  データ損失防止（DLP）のドキュメント  |  Google Cloud

Question 024

企業のアプリケーションはユーザー管理のサービス アカウント キーを使用して展開されます。Google のベストプラクティスを使用してキーをローテーションしたいと考えています。
どうすればいいでしょうか？

• A. Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate –iam-account=IAM_ACCOUNT を実行します。
• B. Cloud Shell を開き、gcloud iam service-accounts keyrotate –iam-account=IAM_ACCOUNT –key=NEW_KEY を実行します。
• C. 新しいキーを作成し、アプリケーションで新しいキーを使用します。サービス アカウントから古いキーを削除します。
• D. 新しいキーを作成し、アプリケーションでその新しいキーを使用します。古いキーをバックアップ キーとしてシステムに保存します。

Correct Answer: C

Reference:
– サービス アカウントについて  |  IAM のドキュメント  |  Google Cloud

Question 025

チームはファイアウォール ルール、サブネット、ルートなどのネットワーク リソースを一元的に制御できるように Google Cloud Platform (GCP) 環境を構成する必要があります。また、リソースがプライベート VPN 接続を通じて GCP リソースにアクセスする必要があるオンプレミス環境もあります。ネットワーク リソースは、ネットワーク セキュリティ チームによって制御される必要があります。
これらの要件を満たすために、どのタイプのネットワーク設計を使用するべきでしょうか？

• A. ホスト プロジェクトとサービス プロジェクトによる共有 VPC ネットワーク
• B. 各エンジニアリング プロジェクトのネットワーキング チームにコンピューティング管理者の役割を付与する
• C. ハブアンドスポークモデルを使用したすべてのエンジニアリングプロジェクト間の VPC ピアリング
• D. ハブアンドスポーク モデルを使用したすべてのエンジニアリング プロジェクト間の Cloud VPN ゲートウェイ

Correct Answer: A

Reference:
– エンタープライズ企業のベスト プラクティス #ネットワーク制御を一元管理する |  ドキュメント  |  Google Cloud

Question 026

ある組織は現在のオンプレミスの生産性向上ソフトウェア システムから G Suite に移行しています。以前のオンプレミス システムでは地域の規制機関によって義務付けられていたネットワーク セキュリティ制御がいくつか導入されていました。組織のリスク チームはネットワーク セキュリティ制御が G Suite で維持され、効果的であることを確認したいと考えています。この移行をサポートするセキュリティ アーキテクトは組織と Google Cloud の間の新しい責任共有モデルの一部としてネットワーク セキュリティ制御が確実に実施されるようにするよう依頼されました。
要件を満たすにはどのようなソリューションはどれでしょうか？

• A. 必要な制御を満たすためにファイアウォール ルールが設定されていることを確認します。
• B. Cloud Armor をセットアップして G Suite のネットワーク セキュリティ制御を確実に管理できるようにします。
• C. ネットワーク セキュリティは組み込みソリューションであり、G Suite などの SaaS 製品に対する Google のクラウド責任です。
• D. 関連する規制に従ってネットワーク セキュリティを制御するために一連の Virtual Private Cloud (VPC) ネットワークをセットアップします。

Correct Answer: C

Question 027

顧客の会社には複数のビジネスユニットがあります。各ビジネスユニットは独立して運営されており、それぞれに独自のエンジニアリンググループがあります。チームは社内で作成されたすべてのプロジェクトを可視化し、さまざまなビジネス ユニットに基づいて Google Cloud Platform (GCP) プロジェクトを編成したいと考えています。各ビジネスユニットには個別の IAM 権限セットも必要です。
これらの要件を満たすにはどの戦略を使用するべきでしょうか？

• A. 組織ノードを作成し、ビジネス ユニットごとにフォルダーを割り当てます。
• B. gmail.com アカウントを使用し、ビジネス ユニットごとにスタンドアロン プロジェクトを確立します。
• C. リソースを所有するビジネス ユニットを識別するラベルを付けて、プロジェクトに GCP リソースを割り当てます。
• D. ビジネス ユニットごとに VPC 内の GCP リソースを個別のネットワーク アクセスに割り当てます。

Correct Answer: A

Question 028

ある企業は様々な Google Cloud Platform リージョンに冗長メール サーバーを備えており、顧客を場所に基づいて最も近いメール サーバーにルーティングしたいと考えています。
企業はこれをどのように達成すべきでしょうか？

• A. TCP プロキシ ロードバランシングをポート 995 でリッスンするグローバル ロードバランシング サービスとして構成します。
• B. 場所に基づいてトラフィックを転送する転送ルールを使用し、TCP ポート 995 でリッスンするネットワーク ロードバランサを作成します。
• C. HTTP (S) ロード バランサでクロスリージョン ロードバランシングを使用し、トラフィックを最も近いリージョンにルーティングします。
• D. Cloud CDN を使用し、クライアント IP アドレスに基づいて最も近い送信元メール サーバーにメール トラフィックをルーティングします。

Correct Answer: A

Question 029

チームはプロジェクト co-vpc-prod がホスト プロジェクトである共有 VPC ネットワークを設定します。チームはホスト プロジェクトでファイアウォール ルール、サブネット、VPN ゲートウェイを構成しました。エンジニアリング グループ A が Compute Engine インスタンスを 10.1.1.0/24 サブネットのみに接続できるようにする必要があります。
この要件を満たすためにエンジニアリング グループ A に何を付与するべきでしょうか？

• A. ホスト プロジェクト レベルでサービス プロジェクト管理者 (compute.networkUser) の役割を付与します。
• B. サブネットレベルでサービス プロジェクト管理者 (compute.networkUser) の役割を付与します。
• C. ホスト プロジェクト レベルで共有 VPC 管理者 (compute.xpnAdmin) の役割を付与します。
• D. サービス プロジェクト レベルで共有 VPC 管理者 (compute.xpnAdmin) の役割を付与します。

Correct Answer: B

Reference:
– 共有 VPC  |  Google Cloud

Question 030

ある企業はデータ/センター全体を Google Cloud Platform に移行しました。さまざまな部門が管理する複数のプロジェクトにわたって数千のインスタンスを実行しています。任意の時点で Google Cloud Platform で実行されていた内容の履歴記録を保持したいと考えています。
どうすればいいでしょうか？

• A. 組織レベルでリソース マネージャーを使用します。
• B. Forseti Security を使用し、インベントリ スナップショットを自動化します。
• C. Stackdriver を使用し、すべてのプロジェクトにわたるダッシュボードを作成します。
• D. Security Command Center を使用し、組織全体のすべての資産を表示します。

Correct Answer: B

Reference:
– Spotify と Google が共同開発 : オープンソースの GCP セキュリティ ツール Forseti Security | Google Cloud 公式ブログ

Question 031

ある組織はインフラストラクチャをオンプレミス環境から Google Cloud Platform (GCP) に移行し始めています。組織が実行したい最初のステップは後の分析のために現在のデータ バックアップおよび災害復旧ソリューションを GCP に移行することです。組織の運用環境は無期限にオンプレミスに残します。組織はスケーラブルでコスト効率の高いソリューションを望んでいます。
組織はどの GCP ソリューションを使用するべきでしょうか？

• A. 継続的な更新を行うデータ パイプライン ジョブを使用する BigQuery
• B. スケジュールされたタスクと gsutil を使用した Cloud Storage
• C. 永続ディスクを使用した Compute Engine 仮想マシン
• D. 定期的にスケジュールされたバッチ アップロード ジョブを使用する Cloud Datastore

Correct Answer: B

Question 032

ユーザーに代わってユーザーの Google ドライブにアクセスする必要がある内部 App Engine アプリケーションを作成しています。会社は現在のユーザーの資格情報に依存したくないと考えています。また、Google が推奨するプラクティスに従いたいと考えています。
どうすればいいでしょうか？

• A. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーにサービス アカウント ユーザーの役割を与えます。
• B. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーを Google グループに追加します。このグループにサービス アカウント ユーザーの役割を与えます。
• C. 専用の G Suite 管理者アカウントを使用し、これらの G Suite 認証情報を使用してアプリケーションの操作を認証します。
• D. 新しいサービス アカウントを作成し、G Suite ドメイン全体の委任を付与します。アプリケーションがそれを使用してユーザーになりすますようにします。

Correct Answer: A

Question 033

顧客はマネージド インスタンス グループ (MIG) を使用し、機密ワークロードを Compute Engine ベースのクラスタに移動したいと考えています。ジョブは突発的に発生するため、迅速に完了する必要があります。キーのライフサイクルを制御できるという要件があります。
この顧客の要件を満たすためにはクラスタでどのブートディスク暗号化ソリューションを使用するべきでしょうか？

• A. 顧客指定の暗号鍵 (CSEK)
• B. Cloud Key Management Service (Cloud KMS) を使用した顧客管理の暗号鍵 (CMEK)
• C. デフォルトでの暗号化
• D. 分析のために Google Cloud Platform (GCP) に転送する前にファイルを事前暗号化する

Correct Answer: B

Reference:
– 顧客管理の暗号鍵（CMEK）を使用する  |  Google Kubernetes Engine（GKE）  |  Google Cloud

Question 034

会社は Spark ジョブと Hadoop ジョブに Cloud Dataproc を使用しています。Cloud Dataproc で使用される永続ディスクに使用される対称暗号鍵を作成、ローテーション、破棄できるようにしたいと考えています。鍵はクラウドに保存できます。
どうすればいいでしょうか？

• A. ク​​ラウド 鍵管理サービスを使用し、データ暗号鍵 (DEK) を管理します。
• B. クラウド 鍵管理サービスを使用し、鍵暗号鍵 (KEK) を管理します。
• C. 顧客が提供した暗号kagiを使用し、データ暗号鍵 (DEK) を管理します。
• D. 顧客が提供した暗号化キーを使用し、鍵暗号鍵 (KEK) を管理します。

Correct Answer: B

Question 035

組織のセキュリティ チームのメンバーです。チームには Web アプリケーションやデータ処理システムとともにクレジット カード支払い処理システムを備えた単一の GCP プロジェクトがあります。PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。
どうすればいいでしょうか？

• A. Web アプリケーションへの管理者アクセスには多要素認証を使用します。
• B. PA-DSS に準拠していることが認定されたアプリケーションのみを使用してください。
• C. カード会員データ環境を別の GCP プロジェクトに移動します。
• D. オフィスとクラウド環境の間のすべての接続に VPN を使用します。

Correct Answer: C

Question 036

小売顧客はユーザーがコメントや製品レビューをアップロードできるようにします。顧客はコメントやレビューを公開する前にテキストに機密データが含まれていないことを確認する必要があります。
どの Google Cloud サービスを使用して実現するべきでしょうか？

• A. ク​​ラウド 鍵管理サービス
• B. Cloud Data Loss Prevention API
• C. BigQuery
• D. Web Security Scanner

Correct Answer: B

Question 037

ある会社ではすべての従業員に Google Cloud Platform の使用を許可しています。各部門には Google グループがあり、すべての部門メンバーがグループ メンバーとなります。部門のメンバーが新しいプロジェクトを作成した場合、その部門のすべてのメンバーはすべての新しいプロジェクト リソースに対して自動的に読み取り専用アクセス権を持つ必要があります。他の部門のメンバーはプロジェクトにアクセスできません。この動作を構成する必要があります。
これらの要件を満たすには何をすべきでしょうか？

• A. 組織の下の部門ごとにフォルダーを作成します。各部門のフォルダに対し、その部門に関連する Google グループにプロジェクト閲覧者の役割を割り当てます。
• B. 組織の下の部門ごとにフォルダーを作成します。各部門のフォルダに対して、その部門に関連する Google グループにプロジェクト ブラウザの役割を割り当てます。
• C. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、その部門に関連する Google グループにプロジェクト閲覧者の役割を割り当てます。
• D. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、その部門に関連する Google グループにプロジェクト ブラウザの役割を割り当てます。

Correct Answer: A

Question 038

顧客の社内セキュリティ チームは Cloud Storage 上のデータを暗号化するための独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵 (CSEK) を使用することを決定します。
チームはこのタスクをどのように完了するべきでしょうか？

• A. 暗号鍵を Cloud Storage バケットにアップロードし、オブジェクトを同じバケットにアップロードします。
• B. gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号化鍵の場所を指定します。
• C. Google Cloud Platform Console で暗号鍵を生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。
• D. オブジェクトを暗号化し、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。

Correct Answer: D

Reference:
– 顧客指定の暗号鍵  |  Cloud Storage  |  Google Cloud

Question 039

顧客には 300 人のエンジニアがいます。同社は開発環境プロジェクトと運用環境プロジェクトのユーザー間でさまざまなレベルのアクセスを許可し、IAM 権限を効率的に管理したいと考えています。
これらの要件を満たすために企業はどの手順を実行するべきでしょうか？ (回答を 2つ選択してください)

• A. 環境ごとに複数の VPC ネットワークを含むプロジェクトを作成します。
• B. 開発環境と運用環境ごとにフォルダーを作成します。
• C. エンジニアリング チーム用の Google グループを作成し、フォルダ レベルで権限を割り当てます。
• D. フォルダー環境ごとに組織ポリシー制約を作成します。
• E. 環境ごとにプロジェクトを作成し、各エンジニアリング ユーザーに IAM 権限を付与します。

Correct Answer: B、C

Question 040

組織の Google Cloud インスタンスの PCI コンプライアンスを評価したいと考えています。Google 固有のコントロールを特定する必要があります。
情報を見つけるにはどの文書を確認するべきでしょうか？

• A. Google Cloud Platform：顧客責任マトリックス
• B. PCI DSS 要件とセキュリティ評価手順
• C. PCI SSC クラウド コンピューティング ガイドライン
• D. Compute Engine の製品ドキュメント

Correct Answer: A

Reference:
– PCI データ セキュリティ基準の遵守  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 041

会社は PII を Google Cloud Platform に保存する Web サイトを運営しています。データプライバシー規制に準拠するためにデータは特定の期間のみ保存でき、この特定の期間が経過した後は完全に削除する必要があります。この期間にまだ達していないデータは削除しないでください。この規制に準拠するプロセスを自動化したいと考えています。
どうすればいいでしょうか？

• A. データを 1 つの永続ディスクに保存し、有効期限が切れたらディスクを削除します。
• B. データを単一の BigQuery テーブルに保存し、適切なテーブルの有効期限を設定します。
• C. データを単一の Cloud Storage バケットに保存し、バケットの有効期間を構成します。
• D. データを単一の BigTable テーブルに保存し、列ファミリーに有効期限を設定します。

Correct Answer: C

Question 042

DevOps チームは Google Kubernetes Engine 上で実行する新しいコンテナを作成します。アプリケーションはインターネットに接続するため、コンテナの攻撃対象領域を最小限に抑えたいと考えています。
チームは何をすべきでしょうか？

• A. Cloud Build を使用してコンテナ イメージをビルドします。
• B. 小さな基本イメージを使用して小さなコンテナを構築します。
• C. 使用されていないバージョンを Container Registry から削除します。
• D. 継続的デリバリー ツールを使用してアプリケーションをデプロイします。

Correct Answer: B

Reference:
– コンテナ構築のおすすめの方法  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 043

組織のインフラストラクチャを GCP に移行する際、多数のユーザーが GCP Console にアクセスする必要があります。ID 管理チームはユーザーを管理する確立された方法をすでに持っており、既存の Active Directory または LDAP サーバーと既存の SSO パスワードを引き続き使用したいと考えています。
どうすればいいでしょうか？

• A. Google ドメインのデータを既存の Active Directory または LDAP サーバーと手動で同期します。
• B. Google Cloud Directory Sync を使用し、Google ドメイン内のデータを既存の Active Directory または LDAP サーバーと同期します。
• C. ユーザーはオンプレミスの Kerberos 準拠の ID プロバイダーからの認証情報を使用して GCP Console に直接サインインします。
• D. ユーザーは OpenID (OIDC) 互換 IdP を使用してサインインし、認証トークンを受け取り、そのトークンを使用して Google Cloud コンソールにログインします。

Correct Answer: B

Reference:
– Using your existing identity management system with Google Cloud Platform | Google Cloud Blog
– Google Cloud と Active Directory の連携  |  Identity and Access Management

Question 044

会社は G Suite を使用しており、Google App Engine で内部使用を目的としたアプリケーションを開発しました。従業員のパスワードが漏洩した場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
どうすればいいでしょうか？

• A. G Suite で全ユーザーに対して 2 段階認証プロセスを強制します。
• B. App Engine アプリケーション用に Cloud Identity-Aware Proxy を構成します。
• C. G Suite Password Sync を使用してユーザー パスワードをプロビジョニングします。
• D. プライベート ネットワークと GCP の間に Cloud VPN を構成します。

Correct Answer: A

Question 045

大手金融機関はビッグデータ分析を Google Cloud Platform に移行しています。BigQuery に保存されているデータの暗号化プロセスを最大限に制御したいと考えています。
教育機関はどのような手法を使用するべきでしょうか？

• A. Cloud Storage をフェデレーション データソースとして使用します。
• B. Cloud Hardware Security Module (Cloud HSM) を使用します。
• C. 顧客管理の暗号鍵 (CMEK) を使用します。
• D. 顧客指定の暗号鍵 (CSEK) を使用します。

Correct Answer: C

Reference:
– 保存時の暗号化  |  BigQuery  |  Google Cloud

Question 046

ある企業はアプリケーションを Google Cloud Platform にデプロイしています。会社のポリシーでは少なくとも 2 つの地理的場所にデータを自動的に複製できるソリューションを使用し、長期データを保存することが求められています。
どのストレージ ソリューションを使用するべきでしょうか？

• A. Cloud Bigtable
• B. BigQuery
• C. Compute Engine の SSD ディスク
• D. Compute Engine の永続ディスク

Correct Answer: B

Reference:
– BigQuery のロケーション  |  Google Cloud

Question 047

大手電子小売業者は自社の e コマース Web サイトを Google Cloud Platform に移行しています。同社は顧客がオンラインでチェックアウトするときに顧客のブラウザと GCP の間で支払い情報が確実に暗号化されるようにしたいと考えています。
何をすべきでしょうか？

• A. L7 ロードバランサで SSL 証明書を構成し、暗号化を要求します。
• B. ネットワーク TCP ロードバランサで SSL 証明書を構成し、暗号化を要求します。
• C. ポート 443 での受信トラフィックを許可し、他のすべての受信トラフィックをブロックするようにファイアウォールを構成します。
• D. ポート 443 での送信トラフィックを許可し、他のすべての送信トラフィックをブロックするようにファイアウォールを構成します。

Correct Answer: A

Question 048

アプリケーションは多くの場合、ビルド時または実行時に「Secret」、つまり小さな機密データにアクセスする必要があります。GCP 上でこれらのシークレットを管理する管理者は、GCP プロジェクト内で「誰が、どこで、いつ行ったか」を追跡したいと考えています。
管理者が探している情報を提供する 2 つのログ ストリームはどれでしょうか？ (回答を 2つ選択してください)

• A. 管理アクティビティ ログ
• B. システム イベント監査ログ
• C. データアクセス監査ログ
• D. VPC フローログ
• E. エージェント ログ

Correct Answer: A、C

Reference:
– Secret Manager のコンセプトの概要  |  Secret Manager のドキュメント  |  Google Cloud

Question 049

現在の保守契約が切れる前に会社のデータセンターから GCP にレガシー アプリケーションを移行することを担当しています。そのアプリケーションがどのポートを使用しているのかわからず、確認するための文書もありません。環境を危険にさらすことなく、移行を完了したいと考えています。
どうすればいいでしょうか？

• A. 「リフト&シフト」アプローチを使用し、アプリケーションを分離プロジェクトに移行します。VPC ファイアウォール ルールを使用し、すべての内部 TCP トラフィックを有効にします。VPC フローログを使用し、アプリケーションが適切に動作するためにどのトラフィックを許可する必要があるかを判断します。
• B. カスタム ネットワークで「リフト&シフト」アプローチを使用し、アプリケーションを分離プロジェクトに移行します。VPC 内のすべてのトラフィックを無効にし、ファイアウォール ログを調べて、アプリケーションが適切に動作するためにどのトラフィックを許可する必要があるかを判断します。
• C. アプリケーションを GKE クラスタ内のマイクロサービス アーキテクチャにリファクタリングします。ファイアウォール ルールを使用し、クラスタの外部からのすべてのトラフィックを無効にします。VPC フローログを使用し、アプリケーションが適切に動作するためにどのトラフィックを許可する必要があるかを判断します。
• D. アプリケーションを、分離されたプロジェクトの Cloud Functions でホストされるマイクロサービス アーキテクチャにリファクタリングします。ファイアウォール ルールを使用し、プロジェクトの外部からのすべてのトラフィックを無効にします。VPC フローログを使用し、アプリケーションが適切に動作するためにどのトラフィックを許可する必要があるかを判断します。

Correct Answer: A

Reference:
– クラウドへの移行: リフト＆シフトがとても簡単な理由 | Google Cloud 公式ブログ

Question 050

会社は Compute Engine にアプリケーションをデプロイしました。アプリケーションはクライアントからポート 587 でアクセスできます。アプリケーションを実行しているさまざまなインスタンス間で負荷のバランスをとる必要があります。接続は TLS を使用して保護され、ロードバランサによって終了される必要があります。
どのタイプの負荷分散を使用するべきでしょうか？

• A. ネットワーク ロードバランサ
• B. HTTP (S) ロードバランサ
• C. TCP プロキシ ロードバランサ
• D. SSL プロキシ ロードバランサ

Correct Answer: D

Reference:
– 外部 SSL プロキシ ロードバランサの概要  |  負荷分散  |  Google Cloud

Question 051

ブートディスクのソースとして使用できるイメージを制限したいと考えています。これらの画像は専用のプロジェクトに保存されます。
どうすればいいでしょうか？

• A. 組織ポリシー サービスを使用し、組織レベルで compute.trustedImageProjects ポリシーを作成します。信頼できるプロジェクトをホワイトリストとしてリストします。許可された 手術。
• B. 組織ポリシー サービスを使用し、組織レベルで compute.trustedImageProjects ポリシーを作成します。信頼できるプロジェクトを拒否操作の例外としてリストします。
• C. リソース マネージャーで信頼されたプロジェクトのプロジェクト権限を編集します。組織を追加するメンバーとして compute.imageUser の役割を付与します。
• D. リソース マネージャーで組織の権限を編集します。プロジェクトIDを追加しますメンバーとして compute.imageUser の役割を付与します。

Correct Answer: A

Reference:
– Trusted Image ポリシーの設定  |  Compute Engine ドキュメント  |  Google Cloud

Question 052

チームはユーザーが組織内でプロジェクトを作成できないようにする必要があります。DevOps チームのみが要求者に代わってプロジェクトを作成できるようにする必要があります。
このリクエストを処理するためにチームが実行すべきタスクはどれでしょうか？ (回答を 2つ選択してください)

• A. 組織レベルでプロジェクト作成者の役割からすべてのユーザーを削除します。
• B. 組織ポリシー制約を作成し、それを組織レベルで適用します。
• C. 指定されたユーザー グループに組織レベルでプロジェクト編集者の役割を付与します。
• D. 指定されたユーザーのグループを組織レベルでプロジェクト作成者の役割に追加します。
• E. 指定された DevOps チームに請求先アカウント作成者のロールを付与します。

Correct Answer: A、D

Question 053

顧客はクラウド コンピューティングの柔軟な性質を利用するアプリケーションを Compute Engine にデプロイしました。
インフラストラクチャ オペレーション エンジニアと協力して Windows Compute Engine VM が最新の OS パッチをすべて適用して最新の状態を保つにはどうすればよいでしょうか？

• A. パッチが利用可能になったら新しい基本イメージを構築し、CI/CD パイプラインを使用して VM を再構築し、段階的にデプロイします。
• B. ドメイン コントローラーを Compute Engine に統合し、グループ ポリシー オブジェクトを介して毎週のパッチをロールアウトします。
• C. Deployment Manager を使用し、更新された VM を新しいインスタンス グループ (IG) にプロビジョニングします。
• D. 毎週のメンテナンス期間中にすべての VM を再起動し、スタートアップ スクリプトがインターネットから最新のパッチをダウンロードできるようにします。

Correct Answer: A

Question 054

チームはバックエンド データベースにフロントエンド アプリケーションのみがアクセスでき、ネットワーク上の他のインスタンスがアクセスできないことを確認する必要があります。
チームはこのネットワークをどのように設計すべきでしょうか？

• A. ファイアウォール タグを使用し、アプリケーションからデータベースへのアクセスのみを許可する受信ファイアウォール ルールを作成します。
• B. フロントエンド アプリケーションとデータベース用に別のサブネットを作成し、ネットワークを確実に分離します。
• C. 2 つの VPC ネットワークを作成し、Cloud VPN ゲートウェイを使用して 2 つのネットワークを接続し、ネットワークを確実に分離します。
• D. 2 つの VPC ネットワークを作成し、VPC ピアリングを使用して 2 つのネットワークを接続し、ネットワークを確実に分離します。

Correct Answer: A

Question 055

組織が受信するフィッシングメールの数が増加しています。
この状況で従業員の資格情報を保護するにはどの方法を使用するべきでしょうか？

• A. 多要素認証 (MFA)
• B. 厳格なパスワード ポリシー
• C. ログイン ページのキャプチャ
• D. 暗号化されたメール

Correct Answer: A

Question 056

顧客は別の企業と協力して Compute Engine 上にアプリケーションを構築しています。顧客は自社の GCP 組織内にアプリケーション層を構築しており、もう一方の企業は別の GCP 組織内にストレージ層を構築しています。これは 3 層 Web アプリケーションです。アプリケーションの各部分間の通信は、いかなる手段であっても公共のインターネットを経由してはなりません。
どの接続オプションを実装するべきでしょうか？

• A. VPC ネットワーク ピアリング
• B. Cloud VPN
• C. Cloud Interconnect
• D. 共有 VPC

Correct Answer: A

Reference:
– VPC ネットワーク ピアリングを使用する  |  Google Cloud

Question 057

チームは本番プロジェクトで実行されている Compute Engine インスタンスにパブリック IP アドレスがないことを確認したいと考えています。フロントエンド アプリケーションの Compute Engine インスタンスにはパブリック IP が必要です。プロダクト エンジニアにはリソースを変更する編集者の役割があります。チームはこの要件を強制したいと考えています。
これらの要件をどのように満たすべきでしょうか？

• A. 実稼働プロジェクトの VPC ネットワークでプライベート アクセスを有効にします。
• B. 編集者の役割を削除し、エンジニアにコンピューティング管理者の IAM ロールを付与します。
• C. フロントエンド Compute Engine インスタンスのパブリック IP のみを許可するように組織ポリシーを設定します。
• D. 2 つのサブネットを持つ VPC ネットワークを設定します。1 つはパブリック IP を持ち、もう 1 つはパブリック IP を持ちません。

Correct Answer: C

Reference:
– 静的外部 IP アドレスを予約する  |  Compute Engine ドキュメント  |  Google Cloud

Question 058

2 つの VPC ネットワークを接続するための VPC ピアリングの使用に関連するセキュリティ特性はどれでしょうか？ (回答を 2つ選択してください)

• A. ピアリングされたネットワークのルート、ファイアウォール、VPN の一元管理
• B. 非遷移的ピアリングネットワーク：直接ピアリングされたネットワークのみが通信できる場所
• C. 異なる Google Cloud 組織に属するネットワークをピアリングする機能
• D. あるピアリングされたネットワークから別のピアリングされたネットワークへのタグを使用して作成できるファイアウォール ルール
• E. ピアリングされたネットワーク間で特定のサブネットを共有する機能

Correct Answer: B、C

Question 059

脆弱性に対するパッチがリリースされたため、DevOps チームは Google Kubernetes Engine (GKE) で実行中のコンテナを更新する必要があります。
DevOps チームはこれをどのように達成すべきでしょうか？

• A. Puppet または Chef を使用し、実行中のコンテナにパッチをプッシュします。
• B. 自動アップグレードが有効になっていることを確認します。その場合、Google は GKE クラスタ内のノードをアップグレードします。
• C. アプリケーション コードを更新するかパッチを適用し、新しいイメージを構築して再デプロイします。
• D. 基本イメージが Container Registry で利用可能になったときに自動的にアップグレードするようにコンテナを構成します。

Correct Answer: C

Reference:
– セキュリティに関する情報  |  Anthos クラスタ  |  Google Cloud

Question 060

ある企業は Google Kubernetes Engine で Web ショップを運営しており、顧客のトランザクションを BigQuery で分析したいと考えています。クレジットカード番号が BigQuery に保存されていないことを確認する必要があります。
どうすればいいでしょうか？

• A. ク​​レジットカード番号に一致する正規表現を使用して BigQuery ビューを作成し、影響を受ける行をクエリして削除します。
• B. データが BigQuery に取り込まれる前に Cloud Data Loss Prevention API を使用して関連する infoType を秘匿化します。
• C. Security Command Center を利用して BigQuery でクレジットカード番号タイプのアセットをスキャンします。
• D. Cloud Identity-Aware Proxy を有効にしてログを BigQuery に保存する前にクレジットカード番号をフィルタリングして除外します。

Correct Answer: B

Question 061

顧客は Compute Engine 上に多数の 3 層 Web アプリケーションをデプロイしたいと考えています。
顧客はアプリケーションの異なる層間で認証されたネットワークをどのように分離するべきでしょうか？

• A. 各層を独自のプロジェクトで実行し、プロジェクト ラベルを使用して分離します。
• B. 各層を異なるサービス アカウント (SA) で実行し、SA ベースのファイアウォール ルールを使用します。
• C. 各層を独自のサブネットで実行し、サブネットベースのファイアウォール ルールを使用します。
• D. 各層を独自の VM タグで実行し、タグベースのファイアウォール ルールを使用します。

Correct Answer: B

Question 062

管理者はコストを最小限に抑えながら、セキュリティ イベント ログを 2 年間保持したいと考えています。適切なログ エントリを選択するフィルターを作成します。
ログをどこにエクスポートするべきでしょうか？

• A. BigQuery データセット
• B. Cloud Storage バケット
• C. StackDriver のロギング
• D. Cloud Pub/Sub トピック

Correct Answer: B

Reference:
–転送とストレージの概要 #除外フィルタ  |  Cloud Logging  |  Google Cloud

Question 063

コンプライアンスの理由から組織は範囲内の PCI Kubernetes ポッドが「範囲内の」ノードのみに存在することを確認する必要があります。これらのノードには「スコープ内の」ポッドのみを含めることができます。
組織はこの目標をどのように達成すべきでしょうか？

• A. Pod 構成に nodeSelector フィールドを追加し、inscope: true と表示された Node のみを使用するようにします。
• B. inscope:true というラベルを持つノードプールとそのラベルを持つノード上でのみ Pod の実行を許可する PodSecurityPolicy を作成します。。
• C. ラベル inscope: true を使用してノードにテイントを配置し、NoSchedule と Pod 構成で一致する許容範囲を設定します。
• D. 名前空間 in-scope-pci 内のスコープ内のすべての Pod を実行します。

Correct Answer: A

Question 064

会社のメッセージング アプリが FIPS 140-2 に準拠するための取り組みとして GCP コンピューティング サービスとネットワーク サービスを使用することが決定されました。メッセージング アプリのアーキテクチャには Compute Engine インスタンスのクラスタを制御するマネージド インスタンス グループ (MIG) が含まれています。インスタンスはデータ キャッシュにローカル SSD を使用し、インスタンス間の通信に UDP を使用します。アプリ開発チームは標準に準拠するために必要な変更を喜んで行います。
要件を満たすためにどのオプションを推奨するべきでしょうか？

• A. BoringCrypto モジュールを使用し、すべてのキャッシュ ストレージと VM 間の通信を暗号化します。
• B. MIG によって使用されるインスタンス テンプレートのディスク暗号化を顧客管理キーに設定し、インスタンス間のすべてのデータ転送に BoringSSL を使用します。
• C. アプリのインスタンス間の通信を UDP から TCP に変更し、クライアントの TLS 接続で BoringSSL を有効にします。
• D. MIG によって使用されるインスタンス テンプレートのディスク暗号化を Google が管理する鍵に設定し、すべてのインスタンス間の通信で BoringSSL ライブラリを使用します。

Correct Answer: A

Question 065

顧客は Compute Engine 上で分析ワークロードを実行しており、インターネット アクセスは制限されている必要があります。チームはインターネットへのすべてのトラフィックを拒否する (優先度 1000) 下り (外向き) ファイアウォール ルールを作成しました。Compute Engine インスタンスはセキュリティ アップデートを取得するためにパブリック リポジトリにアクセスする必要があります。
チームは何をすべきでしょうか？

• A. 優先度 1000 を超えるリポジトリの CIDR 範囲へのトラフィックを許可する下り (外向き) ファイアウォール ルールを作成します。
• B. 優先度が 1000 未満のリポジトリの CIDR 範囲へのトラフィックを許可する下り (外向き) ファイアウォール ルールを作成します。
• C. 優先度 1000 を超えるリポジトリのホスト名へのトラフィックを許可する下り (外向き) ファイアウォール ルールを作成します。
• D. 優先度が 1000 未満のリポジトリのホスト名へのトラフィックを許可する下り (外向き) ファイアウォール ルールを作成します。

Correct Answer: B

Question 066

Compute Engine ディスク上のデータを Cloud Key Management Service (KMS) によって管理される鍵を使用して保存時に暗号化したいと考えています。これらの鍵に対する Cloud Identity and Access Management (IAM) 権限はすべてのキーで同じである必要があるため、グループ化された方法で管理する必要があります。
どうすればいいでしょうか？

• A. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。IAM 権限をキーレベルで管理します。
• B. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。IAM 権限をキーリング レベルで管理します。
• C. 永続ディスクごとにキーリングを作成し、各キーリングに 1 つのキーを含めます。IAM 権限をキーレベルで管理します。
• D. 永続ディスクごとにキーリングを作成し、各キーリングに 1 つのキーを含めます。IAM 権限をキーリング レベルで管理します。

Correct Answer: B

Reference:
– キーリングの作成  |  Cloud KMS ドキュメント  |  Google Cloud

Question 067

ある企業はアナリストと管理者の両方が共有する Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは個人を特定できる情報 (PII) が含まれないログのみにアクセスできるようにする必要があります。PII を含むログ ファイルは管理者のみがアクセスできる別のバケットに保存する必要があります。
どうすればいいでしょうか？

• A. Cloud Pub/Sub と Cloud Functions を使用し、ファイルが共有バケットにアップロードされるたびにデータ損失防止スキャンをトリガーします。スキャンで PII が検出された場合は管理者のみがアクセスできる Cloud Storage バケットに関数を移動します。
• B. 共有バケットと管理者のみがアクセスできるバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブ トリガーを作成します。PII を含む共有バケットからファイルを削除するようにトリガーを構成します。
• C. アナリストと管理者の両方が共有するバケットで PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
• D. アナリストと管理者の両方と共有するバケットで PII データがアップロードされた場合にのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、そのようなファイルを削除します。

Correct Answer: A

Question 068

顧客はエンジニアを解雇するため、エンジニアの Google アカウントが自動的にプロビジョニング解除されることを確認する必要があります。
顧客は何をすべきでしょうか？

• A. Cloud SDK とディレクトリ サービスを使用し、Cloud Identity の IAM 権限を削除します。
• B. Cloud SDK とディレクトリ サービスを使用し、Cloud Identity からユーザーをプロビジョニングおよびプロビジョニング解除します。
• C. Cloud Identity からユーザーをプロビジョニングおよびプロビジョニング解除するために Cloud Directory Sync をディレクトリ サービスと構成します。
• D. Cloud Identity の IAM 権限を削除するには Cloud Directory Sync をディレクトリ サービスと構成します。

Correct Answer: C

Question 069

ある組織は特定の IT ワークロードに対する Google Cloud Platform (GCP) の使用を評価しています。ユーザー ID とライフサイクル管理の管理には確立されたディレクトリ サービスが使用されます。組織が ID の「信頼できる情報源」ディレクトリとして使用するにはディレクトリ サービスを継続する必要があります。
組織の要件を満たすソリューションはどれでしょうか？

• A. Google Cloud Directory Sync (GCDS)
• B. Cloud Identity
• C. Security Assertion Markup Language (SAML)
• D. Cloud Pub/Sub

Correct Answer: A

Reference:
– Google Cloud と Active Directory の連携  |  Identity and Access Management

Question 070

クラウド サービスの提供と使用に適用される情報セキュリティ管理のガイドラインを提供する国際コンプライアンス規格はどれでしょうか？

• A. ISO 27001
• B. ISO 27002
• C.ISO 27017
• D. ISO 27018

Correct Answer: C

プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成します。Google が推奨するプラクティスに従いたいと考えています。

Question 071

プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成します。Google が推奨するプラクティスに従いたいと考えています。
どうすればいいでしょうか？

• A. インスタンス テンプレートを作成し、サービス アカウントに Compute Engine のアクセス スコープに対する読み取り専用アクセスを許可します。
• B. compute.instances.list 権限を持つカスタム ロールを作成し、サービス アカウントにこのロールを付与します。
• C. サービス アカウントに Compute 閲覧者(compute.viewer) の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
• D. サービス アカウントに閲覧者 (viewer) の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。

Correct Answer: B

Question 072

IaaS のセキュリティ責任共有モデルにおいて、顧客はスタックのどの 2 つの層に対して責任を共有しますか？ (回答を 2つ選択してください)

• A. ハードウェア
• B. ネットワークセキュリティ
• C. ストレージの暗号化
• D. アクセス ポリシー
• E. ブート

Correct Answer: B、D

Question 073

ある組織はインフラストラクチャをオンプレミス環境から Google Cloud Platform (GCP) に移行し始めています。組織が実行したい最初のステップは継続的なデータ バックアップと災害復旧ソリューションを GCP に移行することです。組織のオンプレミスの本番環境は GCP への移行の次のフェーズになります。オンプレミス環境と GCP 間の安定したネットワーク接続も実装されています。
組織はどの GCP ソリューションを使用するべきでしょうか？

• A. Cloud VPN 経由で継続的に更新するデータ パイプライン ジョブを使用する BigQuery
• B. Cloud Interconnect 経由でスケジュールされたタスクと gsutil を使用する Cloud Storage
• C. Cloud Interconnect 経由で永続ディスクを使用する Compute Engine 仮想マシン
• D. Cloud VPN 経由で定期的にスケジュールされたバッチ アップロード ジョブを使用する Cloud Datastore

Correct Answer: B

Reference:
– Google Cloud への移行: 基盤の構築

Question 074

エンベロープ暗号化を使用してデータを暗号化する手順はどれでしょうか？

• A.
  • データ暗号鍵 (DEK) をローカルで生成します。
  • 鍵暗号鍵 (KEK) を使用して DEK をラップします。
  • KEK を使用してデータを暗号化します。
  • 暗号化されたデータとラップされた KEK を保存します。
• B.
  • 鍵暗号鍵 (KEK) をローカルで生成します。
  • KEK を使用してデータ暗号鍵 (DEK) を生成します。
  • DEK を使用してデータを暗号化します。
  • 暗号化されたデータとラップされた DEK を保存します。
• C.
  • データ暗号鍵 (DEK) をローカルで生成します。
  • DEK を使用してデータを暗号化します。
  • 鍵暗号鍵 (KEK) を使用して DEK をラップします。
  • 暗号化されたデータとラップされた DEK を保存します。
• D.
  • 鍵暗号鍵 (KEK) をローカルで生成します。
  • データ暗号鍵 (DEK) をローカルで生成します。
  • KEK を使用してデータを暗号化します。
  • 暗号化されたデータとラップされた DEK を保存します。

Correct Answer: C

Reference:
– エンベロープ暗号化  |  Cloud KMS ドキュメント  |  Google Cloud

Question 075

顧客はモバイル従業員が Google Cloud Platform (GCP) でホストされている CRM の Web インターフェースに簡単にアクセスできるようにしたいと考えています。CRM には企業ネットワーク上のユーザーのみがアクセスできます。顧客はそれをインターネット経由で利用できるようにしたいと考えています。チームには 2 要素認証をサポートするアプリケーションの前に認証レイヤーが必要です。
これらの要件を満たすために顧客はどの GCP プロダクトを実装するべきでしょうか？

• A. Cloud Identity-Aware Proxy
• B. Cloud Armor
• C. Cloud Endpoints
• D. Cloud VPN

Correct Answer: A

Question 076

会社は機密データを Cloud Storage に保存しています。オンプレミスで生成されたキーを暗号化プロセスで使用したいと考えています。
どうすればいいでしょうか？

• A. ク​​ラウド 鍵管理サービスを使用し、データ暗号鍵 (DEK) を管理します。
• B. クラウド 鍵管理サービスを使用し、鍵暗号鍵 (KEK) を管理します。
• C. 顧客が提供した暗号鍵を使用し、データ暗号鍵 (DEK) を管理します。
• D. 顧客が提供した暗号鍵を使用し、鍵暗号鍵 (KEK) を管理します。

Correct Answer: C

Reference:
– デフォルトの保存データの暗号化  |  ドキュメント  |  Google Cloud

Question 077

先週、ある企業はログを BigQuery に書き込む新しい App Engine アプリケーションをデプロイしました。プロジェクト内で他のワークロードは実行されていません。BigQuery に書き込まれるすべてのデータが App Engine のデフォルト サービス アカウントを使用して行われたことを検証する必要があります。
どうすればいいでしょうか？

• A.
  • 1. Cloud Logging を使用し、BigQuery 挿入ジョブでフィルタします。
  • 2. 認証フィールドの App Engine デフォルト サービス アカウントに一致するメール アドレスをクリックします。
  • 3. 「一致するエントリを非表示」をクリックします。
  • 4. 結果のリストが空であることを確認します。
• B.
  • 1. Cloud Logging を使用し、BigQuery 挿入ジョブでフィルタします。
  • 2. 認証フィールドの App Engine デフォルト サービス アカウントに一致するメール アドレスをクリックします。
  • 3. 「一致するエントリを表示」をクリックします。4. 結果のリストが空であることを確認します。
• C.
  • 1. BigQuery で関連するデータセットを選択します。
  • 2. App Engine デフォルト サービス アカウントがデータセットに書き込みできる唯一のアカウントであることを確認します。
• D.
  • 1. プロジェクトの「Identity and Access Management (IAM)」セクションに移動します。
  • 2. App Engine デフォルト サービス アカウントが BigQuery に書き込みできるロールを持つ唯一のアカウントであることを検証します。

Correct Answer: A

Question 078

チームは管理者権限を持つユーザーを組織レベルで制限したいと考えています。
チームはどの 2 つの役割を制限するべきでしょうか？ (回答を 2つ選択してください)

• A. 組織管理者
• B. 特権管理者
• C. GKE クラスタ管理者
• D. コンピューティング管理者
• E. 組織役割閲覧者

Correct Answer: A、B

Reference:
– 組織の作成と管理  |  Resource Manager のドキュメント  |  Google Cloud

Question 079

組織のセキュリティ チームとリスク管理チームは Google Cloud で実行している特定の本番ワークロードに対する自分たちの責任がどこにあるのか、また Google の責任がどこにあるのかを懸念しています。ti-無は主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) サービスを使用してワークロードを実行しています。
App Engine を使用する場合、テクノロジー スタックのどの領域を主な責任として重視するべきでしょうか？

• A. VPC フローログの設定と監視
• B. XSS および SQLi 攻撃に対する防御
• C. ゲスト OS の最新アップデートとセキュリティ パッチの管理
• D. 保存されているすべてのデータの暗号化

Correct Answer: B

Question 080

エンジニアリング チームはインターネット上に公開する Web アプリケーションを立ち上げています。Web アプリケーションは複数の GCP リージョンでホストされており、URL リクエストに基づいてそれぞれのバックエンドにリダイレクトされます。チームはアプリケーションをインターネット上に直接公開することを避け、悪意のある IP アドレスの特定のリストからのトラフィックを拒否したいと考えています。
これらの要件を満たすためにチームはどのソリューションを実装するべきでしょうか？

• A. Cloud Armor
• B. ネットワーク ロードバランサ
• C. SSL プロキシのロードバランサ
• D. NAT ゲートウェイ

Correct Answer: A

Reference:
– セキュリティ ポリシーの概要  |  Google Cloud Armor

Question 081

顧客は Google Cloud Platform (GCP) 上で分析ワークロードを実行しており、Compute Engine インスタンスは Cloud Storage に保存されているデータにアクセスしています。チームはワークロードがインターネットにアクセスできない、またはインターネットからアクセスできないようにしたいと考えています。
これらの要件を満たすためにチームはどの戦略を使用するべきでしょうか？ (回答を 2つ選択してください)

• A. Compute Engine サブネットで限定公開の Google アクセスを構成する。
• B. Compute Engine クラスタにパブリック IP アドレスを割り当てないようにする。
• C. Compute Engine クラスタが別のサブネットで実行されていることを確認する。
• D. クラスタ内の Compute Engine インスタンスで IP 転送をオフにする。
• E. Cloud NAT ゲートウェイを構成する。

Correct Answer: A、B

Question 082

顧客は VM 上でバッチ処理システムを実行し、出力ファイルを Cloud Storage バケットに保存したいと考えています。ネットワーキング チームとセキュリティ チームは VM がパブリック インターネットに到達できないことを決定しました。
これはどのように達成すべきでしょうか？

• A. VM からのインターネット トラフィックをブロックするファイアウォール ルールを作成します。
• B. Cloud Storage API エンドポイントにアクセスするために NAT ゲートウェイをプロビジョニングします。
• C. 限定公開の Google アクセスを有効にします。
• D. Cloud Storage バケットをローカル ファイル システムとしてすべての VM にマウントします。

Correct Answer: C

Question 083

社内で Cloud Data Loss Prevention (Cloud DLP) API の導入が進むにつれて、コストを削減するために使用方法を最適化する必要があります。Cloud DLP ターゲット データは Cloud Storage と BigQuery に保存されます。場所と地域はリソース名の接尾辞として識別されます。
どのコスト削減オプションを推奨するべきでしょうか？

• A. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットに適切な bytesLimitPerFile 値を設定します。
• B. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットで変換ユニットを最小限に抑えます。
• C. rowsLimit と bytesLimitPerFile を使用してデータをサンプリングし、CloudStorageRegexFileSet を使用してスキャンを制限します。
• D. FindingLimits と TimespanContfig を使用してデータをサンプリングし、変換単位を最小限に抑えます。

Correct Answer: C

Reference:
– InspectJobConfig  |  Data Loss Prevention Documentation  |  Google Cloud

Question 084

チームは特定の Compute Engine 仮想マシンインスタンスから特定の Cloud Storage バケットへのデータ転送を認証するためにサービスアカウントを使用しています。エンジニアが誤ってサービス アカウントを削除してしまい、アプリケーションの機能が破壊されてしまいます。セキュリティを損なうことなく、できるだけ早くアプリケーションを回復したいと考えています。
どうすればいいでしょうか？

• A. Cloud Storage バケットの認証を一時的に無効にします。
• B. undelete コマンドを使用し、削除されたサービス アカウントを復元します。
• C. 削除されたサービス アカウントと同じ名前で新しいサービス アカウントを作成します。
• D. 別の既存のサービス アカウントの権限を更新し、それらの資格情報をアプリケーションに提供します。

Correct Answer: B

Reference:
– サービス アカウントを作成する  |  IAM のドキュメント  |  Google Cloud

Question 085

会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリのメール アドレスを持つすべてのセキュリティ グループを同期したいと考えています。
どうすればいいでしょうか？

• A. 一方向の同期を容易にする属性として「ユーザーのメール アドレス」を持つ LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
• B. 双方向同期を容易にする属性として「ユーザーのメール アドレス」を持つ LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
• C. 管理ツールを使用し、メール アドレス属性に基づいてサブセットを同期します。Google ドメインにグループを作成します。Google ドメインで作成されたグループには明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に割り当てられます。
• D. 管理ツールを使用し、グループオブジェクトクラス属性に基づくサブセットを同期します。Google ドメインにグループを作成します。Google ドメインで作成されたグループには明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に割り当てられます。

Correct Answer: A

Question 086

侵害されたサービス アカウント キーを調査しているセキュリティ チームの一員です。サービス アカウントによってどの新しいリソースが作成されたかを監査する必要があります。
どうすればいいでしょうか？

• A. データアクセスログをクエリします。
• B. 管理アクティビティ ログをクエリします。
• C. アクセス透明性 ログをクエリします。
• D. Stackdriver Monitoring ワークスペースをクエリします。

Correct Answer: B

Reference:
– サービス アカウントのログの例  |  IAM のドキュメント  |  Google Cloud

Question 087

フロントエンドがサブネット A のマネージド インスタンス グループにデプロイされ、データ レイヤーが同じ VPC 上のサブネット B の mysql Compute Engine 仮想マシン (VM) に保存されているアプリケーションがあります。サブネット A とサブネット B には他のいくつかの Compute Engine VM が保持されます。アプリケーション フロントエンドがポート 3306 でアプリケーションの mysql インスタンス内のデータにアクセスすることのみを許可したいとします。
どうすればいいでしょうか？

• A. ポート 3306 の mysql Compute Engine VM に適用されるタグ「data-tag」に対して、サブネット A の src IP レンジからの通信を許可する上り (内向き) ファイアウォールルールを構成する。します。
• B. フロントエンドのユニークなサービスアカウントからポート3306上のmysql Compute Engine VMのユニークなサービスアカウントへの通信を許可する上り (内向き) ファイアウォール ルールを構成します。
• C. サブネットAのすべてのインスタンスにネットワークタグ「fe-tag」をサブネットBのすべてのインスタンスにネットワークタグ「data-tag」を設定し、data-tag でタグ付けした Compute Engine VMからfe-tagでタグ付けした宛先 Compute Engine VMへの通信を許可するegressファイアウォール規則を構成します。
• D. サブネット A の全インスタンスにネットワークタグ「fe-tag」をサブネット B の全インスタンスにネットワークタグ「data-tag」を設定し、fe-tag でタグ付けした Compute Engine VM から data-tag でタグ付けした Compute Engine VM への通信を許可する上り (内向き) ファイアウォール ルールを設定します。

Correct Answer: B

Question 088

会社は現在 us-central-1 の Google Cloud ロードバランサのバックエンドにデプロイされ、スタンダード ティア ネットワークを使用するように構成されているアプリケーション インスタンス グループを運用しています。インフラストラクチャ チームは 2 番目の Google Cloud リージョンである us-east-2 に拡張したいと考えています。新しいリクエストを両方のリージョンのインスタンス グループに分散するには単一の外部 IP アドレスを設定する必要があります。
どうすればいいでしょうか？

• A. インスタンス グループの代わりにネットワーク エンドポイント グループを使用するようにロードバランサのバックエンド構成を変更します。
• B. プレミアム ティア ネットワークを使用するようにロードバランサ フロントエンド構成を変更し、新しいインスタンス グループを追加します。
• C. スタンダード層ネットワークを使用して us-east-2 に新しいロードバランサを作成し、静的外部 IP アドレスを割り当てます。
• D. 2 つのリージョン間に Cloud VPN 接続を作成し、Google Private Access を有効にします。

Correct Answer: B

Reference:
– Network Service Tiers の概要  |  Google Cloud

Question 089

会社のセキュリティ管理者です。Cloud Storage バケットには 3,000 個のオブジェクトがあります。各オブジェクトへのアクセスを個別に管理したくありません。また、オブジェクトのアップロード者が常にオブジェクトを完全に制御できるようにすることも望ましくありません。ただし、Cloud Audit Logs を使用してバケットへのアクセスを管理したいと考えています。
どうすればいいでしょうか？

• A. allUsers のスコープに対する OWNER 権限を持つ ACL を設定します。
• B. allUsers のスコープに対する READER 権限を持つ ACL を設定します。
• C. デフォルトのバケット ACL を設定し、IAM を使用してユーザーのアクセスを管理します。
• D. Cloud Storage バケットに均一のバケットレベルのアクセスを設定し、IAM を使用してユーザーのアクセスを管理します。

Correct Answer: D

Reference:
– アクセス制御リスト（ACL）  |  Cloud Storage  |  Google Cloud

Question 090

会社のセキュリティ管理者です。開発チームはいくつかの開発、ステージング、本番ワークロード用に「implementation」フォルダの下に複数の GCP プロジェクトを作成します。セキュリティ境界を設定し、悪意のある内部関係者や侵害されたコードによるデータの漏洩を防止したいと考えています。ただし、プロジェクト間の通信を制限したくありません。
どうすればいいでしょうか？

• A. 共有 VPC を使用してすべてのプロジェクト間の通信を有効にし、ファイアウォール ルールを使用してデータの漏洩を防ぎます。
• B. Access Context Manager でアクセス レベルを作成してデータ漏洩を防止し、プロジェクト間の通信に共有 VPC を使用します。
• C. コードとしてのインフラストラクチャ ソフトウェア ツールを使用して単一のサービス境界を設定し、Stackdriver と Cloud Pub/Sub 経由で「実装」フォルダを監視する Cloud Functions をデプロイします。この関数は、新しいプロジェクトがフォルダーに追加されたことを認識すると、Terraform を実行して、新しいプロジェクトを関連する境界に追加します。
• D. コードとしてのインフラストラクチャ ソフトウェア ツールを使用して、開発、ステージング、本番用の 3 つの異なるサービス境界を設定し、Stackdriver と Cloud Pub/Sub を介して「実装」フォルダを監視する Cloud Functions をデプロイします。新しいプロジェクトがフォルダーに追加されたことを関数が認識すると Terraform を実行して新しいプロジェクトをそれぞれの境界に追加します。

Correct Answer: C

Question 091

GCP リソースに直接アクセスする必要がある開発者と運用スタッフのそれぞれに Google Cloud の企業ユーザー アカウントを提供する必要があります。企業ポリシーではサードパーティの ID 管理プロバイダーでユーザー ID を維持し、シングル サインオンを利用することが求められています。かなりの数のユーザーが企業ドメインのメール アドレスを個人の Google アカウントに使用していることがわかりました。Google のベストプラクティスに従って既存の管理対象外ユーザーを管理対象アカウントに変換する必要があります。
どのアクションを取るべきでしょうか？ (回答を 2つ選択してください)

• A. Google Cloud Directory Sync を使用し、ローカル ID 管理システムを Cloud Identity に同期します。
• B. Google 管理コンソールを使用し、どの管理対象ユーザーが再設定用メールに個人アカウントを使用しているかを確認します。
• C. 管理対象の Google アカウントにユーザーを追加し、個人アカウントに関連付けられているメール アドレスの変更をユーザーに強制します。
• D. 管理対象外ユーザー用転送ツール (TTUU) を使用し、競合するアカウントを持つユーザーを見つけ、個人の Google アカウントを転送するよう依頼します。
• E. すべての従業員にメールを送信し、個人の Google アカウントの会社メール アドレスを持つユーザーに、個人アカウントをすぐに削除するよう依頼します。

Correct Answer: A、D

Question 092

あなたは会社の開発チームに所属しています。GKE 上のステージングでホストされている Web アプリケーションでは入力されたデータを最初に適切に検証せずに Web ページにユーザー データが動的に含まれていることに気付きました。これにより、攻撃者が意味不明なコマンドを実行し、本番環境の被害ユーザーのブラウザに任意のコンテンツを表示する可能性があります。
この脆弱性をどのように防止し、修正するべきでしょうか？

• A. IP アドレスまたはエンドユーザーのデバイス属性に基づいて Cloud IAP を使用して、脆弱性を防止および修正します。
• B. HTTPS ロードバランサをセットアップし、本番環境に Cloud Armor を使用して、潜在的な XSS 攻撃を防ぎます。
• C. Web Security Scanner を使用してコード内で古いライブラリが使用されていることを検証し、組み込まれているライブラリの安全なバージョンを使用します。
• D. ステージングで Web Security Scanner を使用して XSS インジェクション攻撃をシミュレートし、コンテキスト自動エスケープをサポートするテンプレート システムを使用します。

Correct Answer: D

Reference:
–Web セキュリティ スキャナーの検出結果を修復する |セキュリティ コマンド センター |グーグルクラウド

Question 093

あなたはプロジェクト A の Cloud Storage バケットがプロジェクト B からのみ読み取れるようにしたいと考えているセキュリティ チームの一員です。また、Cloud Storage バケット内のデータが外部の Cloud Storage バケットにアクセスしたり、Cloud Storage バケットにコピーされたりできないようにしたいと考えています。ユーザーが正しい資格情報を持っている場合でもネットワークにアクセスできません。
どうすればいいでしょうか？

• A. VPC Service Controls を有効にし、プロジェクト A と B で境界を作成し、Cloud Storage サービスを含めます。
• B. Cloud Storage バケットでドメイン制限付き共有組織ポリシーとバケット ポリシーのみを有効にします。
• C. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B のネットワークでプライベート アクセスを有効にします。
• D. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B のネットワーク間の VPC ピアリングを有効にします。

Correct Answer: A

Reference:
–ドメインによる ID の制限 |リソース マネージャーのドキュメント |グーグルクラウド

Question 094

BigQuery 内の機密性の高いデータを保護する責任はあなたにあります。運用チームはこのデータにアクセスする必要がありますが、プライバシー規制を考慮するとメール アドレスや名前などの機密フィールドを読み取れないようにする必要があります。これらの特定の機密フィールドは人事チームが知る必要がある場合にのみ利用できるようにする必要があります。
どうすればいいでしょうか？

• A. Cloud Data Loss Prevention API を使用してデータ マスキングを実行し、後で使用できるようにそのデータを BigQuery に保存します。
• B. Cloud Data Loss Prevention API を使用してデータ秘匿化を実行し、後で使用できるようにそのデータを BigQuery に保存します。
• C. Cloud Data Loss Prevention API を使用してデータ検査を実行し、後で使用できるようにそのデータを BigQuery に保存します。
• D. Cloud Data Loss Prevention API を使用して仮名化のためのトークン化を実行し、後で使用できるようにそのデータを BigQuery に保存します。

Correct Answer: D

Reference:
–BigQuery、PII、クラウド データ損失防止 (DLP): Data Catalog で次のレベルへ |マルセロ・コスタ著 |データサイエンスに向けて

Question 095

あなたは組織のセキュリティ管理者です。運用環境内ではサービス アカウントの作成機能を制限する必要があります。これを組織全体で一元的に実現したいと考えています。
どうすればいいでしょうか？

• A. Identity and Access Management (IAM) を使用し、運用環境にアクセスできるすべてのユーザーとサービス アカウントのアクセスを制限します。
• B. 組織ポリシーの iam.disableServiceAccountKeyCreation ブール制約のブール値を使用し、新しいサービス アカウントの作成を無効にします。
• C. 組織ポリシーの iam.disableServiceAccountKeyUpload ブール制約のブール値を使用し、新しいサービス アカウントの作成を無効にします。
• D. 組織ポリシーの iam.disableServiceAccountCreation ブール制約のブール値を使用し、新しいサービス アカウントの作成を無効にします。

Correct Answer: D

Reference:
–サービス アカウントの使用の制限  |  Resource Manager のドキュメント  |  Google Cloud

Question 096

Identity and Access Management (IAM) 管理者として所有および管理しているプロジェクト内で実行される規制されたワークロードのプロジェクト所有者です。今後の監査ではアクセス レビューの証拠を提供する必要があります。
どのツールを使用するべきでしょうか？

• A. Policy Troubleshooter
• B. Policy Analyzer
• C. IAM Recommender
• D. Policy Simulator

Correct Answer: B

Reference:
– プロジェクト、フォルダ、組織へのアクセス権の管理  |  IAM のドキュメント  |  Google Cloud

Question 097

組織は Cloud Identity と Microsoft Active Directory の間の同期と SAML フェデレーションを実装しています。Google Cloud ユーザー アカウントが侵害されるリスクを軽減したいと考えています。
どうすればいいでしょうか？

• A. 強力なパスワード設定を使用して Cloud Identity パスワード ポリシーを作成し、Google 管理コンソールでセキュリティ キーを使用して 2 段階認証プロセスを構成します。
• B. 強力なパスワード設定を使用して Cloud Identity パスワード ポリシーを作成し、Google 管理コンソールでテキストまたは電話による確認コードを使用して 2 段階認証プロセスを構成します。
• C. 強力なパスワード設定を使用して Active Directory ドメイン パスワード ポリシーを作成し、Google 管理コンソールでセキュリティ キーを使用して SSO (シングル サインオン) 後の 2 段階認証プロセスを構成します。
• D. 強力なパスワード設定を使用して Active Directory ドメイン パスワード ポリシーを作成し、Google 管理コンソールでテキストまたは電話による確認コードを使用して SSO (シングル サインオン) 後の 2 段階認証プロセスを構成します。

Correct Answer: C

Reference:
– Google Cloud と Active Directory の連携  |  Identity and Access Management

Question 098

Google Cloud 上のパブリック アプリケーションに対する一般的な Web アプリケーション攻撃に対する外部 Web アプリケーション保護を実装する任務を負っています。これらのポリシーの変更を適用する前に検証したいと考えています。
どのようなサービスを利用すればよいでしょうか？

• A. プレビュー モードでの Google Cloud Armor の事前構成ルール
• B. モニター モードで事前設定された VPC ファイアウォール ルール
• C. Google フロントエンド (GFE) の固有の保護
• D. Cloud Load Balancing ファイアウォール ルール
• E. ドライラン モードの VPC Service Controls

Correct Answer: A

Reference:
– Google Cloud における 2021 年の OWASP トップ 10 緩和策  |  Cloud アーキテクチャ センター

Question 099

Compute Engine 上で実行されるアプリケーションから機密構成データを保存および取得するためのソリューションを推奨するように求められます。
どのオプションをお勧めしますか？

• A. Cloud Key Management Service
• B. Compute Engine のゲスト属性
• C. Compute Engine のカスタム メタデータ
• D. Secret Manager

Correct Answer: D

Reference:
– Secret Manager API へのアクセス  |  Secret Manager のドキュメント  |  Google Cloud
– Google Cloud Platform Tutorial: From Zero to Hero with GCP

Question 100

非機密データのキー管理の複雑さを軽減し、機密データを保護しながらキーの常駐とローテーション スケジュールを柔軟に制御できる保存時の暗号化戦略を実装する必要があります。すべてのデータ型に FIPS 140-2 L1 への準拠が必要です。
どうすればいいでしょうか？

• A. Cloud External Key Manager を使用し、非機密データと機密データを暗号化します。
• B. クラウド 鍵管理サービスを使用し、非機密データと機密データを暗号化します。
• C. 非機密データは Google のデフォルト暗号化で暗号化し、機密データは Cloud External Key Manager で暗号化します。
• D. 非機密データは Google のデフォルト暗号化で暗号化し、機密データは Cloud Key Management Service で暗号化します。

Correct Answer: D

Reference:
– Cloud Key Management Service の詳細  |  ドキュメント  |  Google Cloud

Question 101

会社は顧客の年齢層に応じて信用スコアを向上させるためにどのような製品を構築できるかを判断したいと考えています。これを実現するには会社のバンキング アプリのユーザー情報とサードパーティから受け取った顧客の信用スコア データを結合する必要があります。この生データを使用するとこのタスクを完了できますが機密データが公開され、新しいシステムに伝播される可能性があります。このリスクはデータベース全体の参照整合性を維持しながら Cloud Data Loss Prevention による匿名化とトークン化を使用して対処する必要があります。
これらの要件を満たすにはどの暗号トークン形式を使用するべきでしょうか？

• A. 確定的暗号化
• B. 安全なキーベースのハッシュ
• C. フォーマット保持暗号化
• D. 暗号ハッシュ

Correct Answer: A

Reference:
–Take charge of your data: How tokenization makes data usable without sacrificing privacy | Google Cloud Blog
– 変換のリファレンス #確定的暗号化  |  データ損失防止（DLP）のドキュメント  |  Google Cloud
– 仮名化 #AES-SIV を使用した確定的暗号化  |  データ損失防止（DLP）のドキュメント  |  Google Cloud

Question 102

小規模な新興企業のオフィス マネージャーは支払いと請求書を照合し、請求アラートを作成する責任があります。コンプライアンス上の理由からオフィスマネージャーにはタスクに必要な ID とアクセス管理 (IAM) 権限のみが許可されています。
オフィス マネージャーが持つべき IAM ロールはどれでしょうか？ (回答を 2つ選択してください)

• A. 組織管理者
• B. プロジェクト作成者
• C. 請求先アカウント閲覧者
• D. 請求先アカウントのコスト マネージャー
• E. 請求先アカウントのユーザー

Correct Answer: C、D

Reference:
– Take charge of your data: How tokenization makes data usable without sacrificing privacy | Google Cloud Blog
– 請求関連ジョブ機能の IAM ロール  |  IAM のドキュメント  |  Google Cloud

Question 103

Secret Manager に保存されている組織のシークレットの新しいガバナンス モデルを設計しています。現在、運用アプリケーションと非運用アプリケーションのシークレットはサービス アカウントを使用して保存され、アクセスされます。提案するソリューションは次のことを行う必要があります。
– シークレットへのきめ細かなアクセスを提供する
– シークレットを包む暗号鍵のローテーションのスケジュールをコントロール
– 環境の分離を維持する
– 管理のしやすさ
どのアプローチを取るべきですか？

• A.
  • 1. 別々の Google Cloud プロジェクトを使用し、本番環境と非本番環境のシークレットを保存します。
  • 2. プロジェクト レベルの ID とアクセス管理 (IAM) バインディングを使用し、シークレットへのアクセス制御を強制します。
  • 3. 顧客管理の暗号鍵を使用してシークレットを暗号化します。
• B.
  • 1. 単一の Google Cloud プロジェクトを使用し、本番環境と非本番環境の両方のシークレットを保存します。
  • 2. シークレットレベルの Identity and Access Management (IAM) バインディングを使用し、シークレットへのアクセス制御を強制します。
  • 3. Google が管理する暗号鍵を使用してシークレットを暗号化します。
• C.
  • 1. 別々の Google Cloud プロジェクトを使用し、本番環境と非本番環境のシークレットを保存します。
  • 2. シークレットレベルの Identity and Access Management (IAM) バインディングを使用し、シークレットへのアクセス制御を強制します。
  • 3. Google が管理する暗号鍵を使用してシークレットを暗号化します。
• D.
  • 1. 単一の Google Cloud プロジェクトを使用し、本番環境と非本番環境の両方のシークレットを保存します。
  • 2. プロジェクト レベルの Identity and Access Management (IAM) バインディングを使用し、シークレットへのアクセス制御を強制します。
  • 3. 顧客管理の暗号鍵を使用してシークレットを暗号化します。

Correct Answer: A

Question 104

金融会社のセキュリティ エンジニアで組織は Google Cloud にデータを保存することを計画していますが、リーダーシップ チームは機密性の高いデータのセキュリティを懸念しています。具体的には、会社は Google 社内の従業員が Google Cloud 上の会社のデータにアクセスできることを懸念しています。
どのような解決策を提案すべきでしょうか？

• A. 顧客管理の暗号鍵を使用します。
• B. Google の Identity and Access Management (IAM) サービスを使用し、Google Cloud 上のアクセス制御を管理します。
• C. 管理アクティビティ ログを有効にし、リソースへのアクセスを監視します。
• D. Google 従業員のアクセス承認リクエストを含むアクセスの透明性ログを有効にします。

Correct Answer: D

Reference:
– アクセスの透明性ログの把握と使用  |  Google Cloud

Question 105

gcloud コマンドライン ツールを使用し、サードパーティのシングル サインオン (SSO) SAML ID プロバイダーを使用して認証したいと考えています。
認証がサードパーティ ID プロバイダ (IdP) によってサポートされていることを確認するには、どのオプションが必要でしょうか？ (回答を 2つ選択してください)

• A. サードパーティIdP としての SSO SAML
• B. Identity Platform
• C. OpenID Connect
• D. Identity-Aware Proxy
• E. Cloud Identity

Correct Answer: A、E

Reference:
– クラウドアプリで SSO を有効にする  |  Cloud Identity  |  Google Cloud

Question 106

各事業単位に数千人のユーザーがいる大規模な組織で働いています。アクセス制御権限の管理を各ビジネスユニットに委任する必要があります。
次の要件があります。
– 各ビジネスユニットは独自のプロジェクトのアクセス制御を管理します。
– 各ビジネスユニットは大規模なアクセス制御権限を管理します。
– ビジネス ユニットは他のビジネス ユニットのプロジェクトにアクセスできません。
– ユーザーは別の事業部門に移動または退職するとアクセスできなくなります。
– ユーザーとアクセス制御権限はオンプレミスのディレクトリ サービスによって管理されます。
どうすればいいでしょうか？ (回答を 2つ選択してください)

• A. VPC Service Controls を使用し、各ビジネス ユニットのプロジェクトの周囲に境界を作成します。
• B. プロジェクトをフォルダに整理し、フォルダ レベルで Google グループに権限を割り当てます。
• C. 組織単位 (OU) に基づいてビジネス ユニットをグループ化し、OU に基づいて権限を管理します。
• D. プロジェクトの命名規則を作成し、Google の IAM 条件を使用してプロジェクト名のプレフィックスに基づいてアクセスを管理します。
• E. Google Cloud Directory Sync を使用して Cloud Identity のユーザーとグループ メンバーシップを同期します。

Correct Answer: B、E

Question 107

組織は最近、Google Kubernetes Engine に新しいアプリケーションをデプロイしました。アプリケーションを保護するソリューションをデプロイする必要があります。
ソリューションには次の要件があります。
– 週 1回以上スキャンを実行すること
– クロスサイト スクリプティングの脆弱性を検出することができること
– Google アカウントを使用した認証が可能であること
どのソリューションを使用するべきでしょうか？

• A. Google Cloud Armor
• B. Web Security Scanner
• C. Security Health Analytics
• D. Container Threat Detection

Correct Answer: B

Reference:
–Web セキュリティ スキャナの概要 |セキュリティ コマンド センター |グーグルクラウド

Question 108

ある組織はいくつかのミッション クリティカルなアプリケーションをオンプレミスで維持しながらアプリケーションを Google Cloud に移行しています。組織は少なくとも 50 Gbps の帯域幅でデータを転送する必要があります。
サイト間の安全な継続的な接続を確保するには何を使用するべきでしょうか？

• A. Dedicated Interconnect
• B. Cloud Router
• C. Cloud VPN
• D. Partner Interconnect

Correct Answer: A

Reference:
– Google Cloud への移行: 大規模なデータセットの転送

Question 109

組織は最近、いくつかの DDoS 攻撃を受けています。ドメイン名検索に対する応答を認証する必要があります。
どの Google Cloud サービスを使用するべきでしょうか？

• A. DNSSEC を使用した Cloud DNS
• B. Cloud NAT
• C. HTTP(S) ロードバランサ
• D. Google Cloud Armor

Correct Answer: A

Reference:
– よくある質問  |  Public DNS  |  Google for Developers

Question 110

会社のセキュリティ チームは元従業員が過去 2 か月以内にサービス アカウント キーを使用して Google Cloud リソースに不正アクセスしたと考えています。不正アクセスを確認し、ユーザーのアクティビティを判断する必要があります。
どうすればいいでしょうか？

• A. Security Health Analytics を使用し、ユーザーのアクティビティを特定します。
• B. Cloud Monitoring コンソールを使用し、ユーザーごとに監査ログをフィルタリングします。
• C. Cloud Data Loss Prevention API を使用し、Cloud Storage のログをクエリします。
• D. ログ エクスプローラを使用し、ユーザー アクティビティを検索します。

Correct Answer: D

Question 111

会社ではセキュリティ チームとネットワーク エンジニアリング チームが VPC 内および VPC 間のすべてのネットワーク異常、VM から VM への内部トラフィック、インターネット上のエンド ロケーションと VM 間のトラフィック、VM から本番環境の Google Cloud サービスへのトラフィックを特定する必要があります。
どの方法を使用するべきでしょうか？

• A. 組織のポリシー制約を定義します。
• B. パケット ミラーリング ポリシーを構成します。
• C. サブネット上で VPC フローログを有効にします。
• D. Cloud Audit Logs を監視および分析します。

Correct Answer: B

Reference:
– VPC 設計のためのおすすめの方法とリファレンス アーキテクチャ  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 112

会社は Google Cloud リソースへのアクセスを提供するために、Cloud Identity でユーザーを手動で作成しています。環境を継続的に拡大するため、Google Cloud Directory Sync (GCDS) インスタンスを認証し、オンプレミスの LDAP サーバーと統合して数百のユーザーをオンボードしたいと考えています。次のことを行う必要があります。
– Cloud Identity のオンプレミス LDAP サーバーからユーザーとグループのライフサイクル変更をレプリケートします。
– Cloud Identity で手動で作成されたユーザーを無効にします。
Google Cloud のスコープにユーザーとセキュリティ グループを含めるように LDAP 検索属性がすでに構成されています。
この解決策を完了するには何をするべきでしょうか？

• A.
  • 1. LDAP で見つからないドメイン ユーザーを一時停止するオプションを構成します。
  • 2. 定期的な GCDS タスクを設定します。
• B.
  • 1. LDAP で見つからないドメイン ユーザーを削除するオプションを構成します。
  • 2. ユーザーとグループのライフサイクル変更後に GCDS を実行します。
• C.
  • 1. LDAP で見つからない手動で作成された Cloud Identity ユーザーを除外するように LDAP 検索属性を構成します。
  • 2. 定期的な GCDS タスクを設定します。
• D.
  • 1. LDAP で見つからない手動で作成された Cloud Identity ユーザーを除外するように LDAP 検索属性を構成します。
  • 2. ユーザーとグループのライフサイクル変更後に GCDS を実行します。

Correct Answer: A

Reference:
– Your How-To for Provisioning in G-Suite: Part 2: Users

Question 113

共有 VPC に接続されている Compute Engine インスタンスと BigQuery データセットの間で発生するアクセス拒否エラーのトラブルシューティングを行っています。データセットは VPC Service Controls 境界によって保護されたプロジェクト内に存在します。
どうすればいいでしょうか？

• A. 共有 VPC を含むホスト プロジェクトをサービス境界に追加します。
• B. Compute Engine インスタンスが存在するサービス プロジェクトをサービス境界に追加します。
• C. Compute Engine インスタンスが存在するサービス プロジェクトと共有 VPC を含むホスト プロジェクトの間にサービス境界を作成します。
• D. Compute Engine インスタンスが存在するサービス プロジェクトと保護された BigQuery データセットを含む境界の間に境界ブリッジを作成します。

Correct Answer: A

Reference:
– トラブルシューティング  |  VPC Service Controls  |  Google Cloud

Question 114

最近、会社の Google Cloud 実装をサポートするネットワーキング チームに加わりました。ファイアウォール ルールの構成を理解し、ネットワーキングと Google Cloud の経験に基づいて推奨事項を提供することが求められます。
他のファイアウォール ルールの属性と重複する、より高いまたは同等の優先順位を持つファイアウォール ルールを検出するには、どのプロダクト/サービスを推奨しますか？

• A. Security Command Center
• B. ファイアウォール ルールのロギング
• C. VPC フローログ
• D. ファイアウォール インサイト

Correct Answer: D

Reference:
– ファイアウォール インサイトの概要  |  ファイアウォールのインサイト  |  Google Cloud

Question 115

セキュリティ運用チームは組織内のすべてのプロジェクトのセキュリティ関連ログにアクセスする必要があります。
次の要件があります。
– ログへの表示アクセスのみを許可する最小特権モデルに従います。
– 管理アクティビティ ログにアクセスできる。
– データ アクセス ログにアクセスできる。
– アクセスの透明性ログにアクセスできます。
セキュリティ運用チームにはどの Identity and Access Management (IAM) ロールを付与するべきでしょうか？

• A. roles/logging.privateLogViewer
• B. roles/logging.admin
• C. roles/viewer
• D. roles/logging.viewer

Correct Answer: A

Reference:
– IAM によるアクセス制御  |  Cloud Logging  |  Google Cloud

Question 116

アプリケーション ログを Cloud Storage にエクスポートしています。ログ シンクが均一なバケット レベルのアクセス ポリシーをサポートしていないというエラー メッセージが表示されます。
このエラーはどのように解決すればよいでしょうか？

• A. バケットのアクセス制御モデルを変更します。
• B. シンクを正しいバケット宛先で更新します。
• C. ログ シンク ID のバケットに roles/logging.logWriter Identity and Access Management (IAM) の役割を追加します。
• D. ログ シンク ID のバケットに roles/logging.bucketWriter Identity and Access Management (IAM) の役割を追加します。

Correct Answer: A

Reference:
– How to meet Google Cloud Platform security best practices

Question 117

Compute Engine でホストされる CI/CD クラスタを使用してクラウド インフラストラクチャをデプロイすることを計画しています。認証情報が第三者に盗まれるリスクを最小限に抑えたいと考えています。
どうすればいいでしょうか？

• A. ク​​ラスタ専用の Cloud Identity ユーザー アカウントを作成します。強力なセルフホスト型 Vault ソリューションを使用し、ユーザーの一時的な認証情報を保存します。
• B. クラスタ専用の Cloud Identity ユーザー アカウントを作成します。プロジェクト レベルで constraints/iam.disableServiceAccountCreation 組織ポリシーを有効にします。
• C. クラスタのカスタム サービス アカウントを作成します。プロジェクト レベルで constraints/iam.disableServiceAccountKeyCreation 組織ポリシーを有効にします。
• D. クラスタのカスタム サービス アカウントを作成します。プロジェクト レベルで constraints/iam.allowServiceAccountCredentialLifetimeExtension 組織ポリシーを有効にします。

Correct Answer: C

Reference:
– サービス アカウントの使用の制限  |  Resource Manager のドキュメント  |  Google Cloud

Question 118

2 つのネットワーク セグメントを設定する必要があります。1 つは信頼できないサブネット、もう 1 つは信頼できるサブネットです。2 つのネットワーク セグメント間のすべてのトラフィックを検査するように次世代ファイアウォール (NGFW) などの仮想アプライアンスを構成したいと考えています。
トラフィックを検査するにはネットワークをどのように設計すればよいでしょうか？

• A.
  • 1. 2 つのサブネット (1つは信頼済み、もう1つは非信頼済み) を持つ 1 つの VPC を設定します。
  • 2. 仮想アプライアンスに向けたすべてのトラフィック (0.0.0.0/0) のカスタム ルートを構成します。
• B.
  • 1. 2 つのサブネット (1つは信頼済み、もう1つは非信頼済み) を持つ 1 つの VPC を設定します。
  • 2. 仮想アプライアンスに向けられたすべての RFC1918 サブネットのカスタム ルートを構成します。
• C.
  • 1. 2 つの VPC ネットワーク  (1つは信頼済み、もう1つは非信頼済み) を設定し、相互にピアリングします。
  • 2. 仮想アプライアンスに向けられた各ネットワークにカスタム ルートを構成します。
• D.
  • 1. 2 つの VPC ネットワーク  (1つは信頼済み、もう1つは非信頼済み) を設定します。
  • 2. 複数のネットワーク インターフェイスを使用して仮想アプライアンスを構成し、各インターフェイスが VPC ネットワークの 1 つに接続されます。

Correct Answer: D

Question 119

会社のセキュリティ チームのメンバーです。すべてのパブリック IP アドレスを削除して Linux Bastion ホストの外部攻撃対象領域を減らすように求められました。サイト信頼性エンジニアリング (SRE) はオフサイトでも内部 VPC にアクセスできるように公共の場所から要塞ホストにアクセスする必要があります。
このアクセスを有効にするにはどうすればよいですか？

• A. Bastion ホストが存在するリージョンに Cloud VPN を実装します。
• B. 要塞ホストの 2 段階認証を使用した OS ログインを実装します。
• C. 踏み台ホストに Identity-Aware Proxy TCP 転送を実装します。
• D. Bastion ホストの前に Google Cloud Armor を実装します。

Correct Answer: C

Reference:
– プライベート VM のインターネット接続の構築  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 120

VPC Service Controls を有効にしてリソースへのアクセスを妨げることなく、既存の環境の境界への変更を許可する必要があります。
どの VPC Service Controls モードを使用するべきでしょうか？

• A. Cloud Run
• B. ネイティブ
• C. 自動適用
• D. ドライラン

Correct Answer: D

Reference:
– サービス境界の詳細と構成  |  VPC Service Controls  |  Google Cloud

Question 121

組織のセキュリティ オペレーション センター (SOC) を管理しています。現在、パケット ヘッダー情報に基づいて、Google Cloud VPC 内のネットワーク トラフィックの異常を監視および検出しています。ただし、調査を支援するために、ネットワーク フローとそのペイロードを調査する機能が必要です。
どの Google Cloud プロダクトを使用するべきでしょうか？

• A. マーケットプレイスIDS
• B. VPC フローログ
• C. VPC Service Controls ログ
• D. Packet Mirroring
• E. Google Cloud Armor 詳細なパケット検査

Correct Answer: D

Reference:
– New – VPC Traffic Mirroring – Capture & Inspect Network Traffic | AWS News Blog

Question 122

組織は新しいワークロードを取得しました。Web サーバーとアプリケーション (アプリ) サーバーは新しく作成されたカスタム VPC 内の Compute Engine 上で実行されます。
次の要件を満たす安全なネットワーク通信ソリューションを構成するのは顧客の責任です。
– Web 層とアプリ層の間の通信のみを許可します。
– Web 層とアプリ層の自動スケーリング時に一貫したネットワーク セキュリティを強制します。
– Compute Engine インスタンス管理者がネットワーク トラフィックを変更できないようにします。
どうすればいいでしょうか？

• A.
  • 1. 実行中のすべての Web サーバーとアプリケーション サーバーをそれぞれのネットワーク タグで構成します。
  • 2. ターゲット/ソースをそれぞれのネットワーク タグで指定する許可 VPC ファイアウォール ルールを作成します。
• B.
  • 1. 実行中のすべての Web サーバーとアプリケーション サーバーをそれぞれのサービス アカウントで構成します。
  • 2. それぞれのサービス アカウントでターゲット/ソースを指定する許可 VPC ファイアウォール ルールを作成します。
• C.
  • 1. それぞれのネットワーク タグで構成されたインスタンス テンプレートを使用して Web サーバーとアプリケーション サーバーを再デプロイします。
  • 2. ターゲット/ソースをそれぞれのネットワーク タグで指定する許可 VPC ファイアウォール ルールを作成します。
• D.
  • 1. それぞれのサービス アカウントで構成されたインスタンス テンプレートを使用して Web サーバーとアプリ サーバーを再デプロイします。
  • 2. それぞれのサービス アカウントでターゲット/ソースを指定する許可 VPC ファイアウォール ルールを作成します。

Correct Answer: D

Question 123

組織のオンプレミス ネットワークを本番環境と非本番環境という名前の 2 つのサブネットを持つ 1 つの共有 VPC を含む既存の Google Cloud 環境に接続する必要があります。次のことを行う必要があります。
– 専用のトランスポート リンクを使用します。
– オンプレミス環境からのプライベート API エンドポイントを介した Google Cloud API へのアクセスを構成します。
– Google Cloud API が VPC Service Controls 経由でのみ使用されることを確認します。
どうすればいいでしょうか？

• A.
  • 1. オンプレミス環境と Google Cloud の間に Cloud VPN リンクを設定します。
  • 2. オンプレミスの DNS 構成で restricted.googleapis.com ドメインを使用してプライベート アクセスを構成します。
• B.
  • 1. オンプレミス環境と Google Cloud の間に Partner Interconnect リンクを設定します。
  • 2. オンプレミスの DNS 構成で private.googleapis.com ドメインを使用してプライベート アクセスを構成します。
• C.
  • 1. オンプレミス環境と Google Cloud の間に Dedicated Interconnect リンクを設定します。
  • 2. 両方の VPC サブネットのプライベート アクセスを構成します。
• D.
  • 1. オンプレミス環境と Google Cloud の間に Dedicated Interconnect リンクを設定します。
  • 2. オンプレミスの DNS 構成で restricted.googleapis.com ドメインを使用してプライベート アクセスを構成します。

Correct Answer: D

Question 124

電子医療記録システムの保護された医療情報 (PHI) を使用して作業しています。プライバシー担当者は機密データが分析システムに保存されていることを懸念しています。元に戻せない方法で機密データを匿名化するという使命があります。また、匿名化されたデータでは文字セットと長さが保持されるべきではありません。
どの Google Cloud ソリューションを使用するべきでしょうか？

• A. AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention
• B. フォーマット保持暗号化による Cloud Data Loss Prevention
• C. 暗号ハッシュを使用した Cloud Data Loss Prevention
• D. クラウド 鍵管理サービスでラップされた暗号鍵を使用した Cloud Data Loss Prevention

Correct Answer: C

Reference:
– 仮名化 #Cloud DLP でサポートされている暗号化方法  |  データ損失防止（DLP）のドキュメント  |  Google Cloud

Question 125

コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) 上の本番クラスタにデプロイするための CI/CD パイプラインを設定しています。既知の脆弱性を持つコンテナがデプロイされないようにする必要があります。
ソリューションには次の要件があります。
– クラウドネイティブであること
– 費用対効果に優れていること
– 運用上のオーバーヘッドを最小化すること
これをどのように達成すべきでしょうか？ (回答を 2つ選択してください)

• A. Cloud Source Repositories リポジトリ内のコンテナ テンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドを続行する前に Container Analysis の結果を分析するステップを追加します。
• B. Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Functions を使用し、Container Registry 内のコンテナ イメージを自動的にスキャンします。
• C. Compute Engine インスタンスで cron ジョブを使用して、既存のリポジトリをスキャンして既知の脆弱性を調べ、非準拠のコンテナ イメージが見つかった場合はアラートを生成します。
• D. GKE に Jenkins をデプロイし、コンテナを Container Registry にデプロイするための CI/CD パイプラインを構成します。コンテナをクラスタにデプロイする前にコンテナ イメージを検証するステップを追加します。
• E. CI/CD パイプラインで脆弱性が見つからなかった場合にコンテナ イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスタ内の証明書のないコンテナのデプロイメントをブロックします。

Correct Answer: A、E

Reference:
– クイックスタート: アプリを GKE クラスタにデプロイする  |  Google Kubernetes Engine（GKE）  |  Google Cloud
– 本番環境での Google Kubernetes Engine の準備  |  Cloud アーキテクチャ センター  |  Google Cloud

Question 126

標準ネットワーク層の使用中にデフォルトでクライアント IP を維持するには、どのタイプのロードバランサを使用するべきでしょうか？

• A. SSL プロキシ
• B. TCP プロキシ
• C. 内部 TCP/UDP
• D. TCP/UDP ネットワーク

Correct Answer: D

Question 127

ユーザーが共有 VPC ホスト プロジェクトを誤って削除しないようにしたいと考えています。
どの組織レベルのポリシー制約を有効にするべきでしょうか？

• A. compute.restrictSharedVpcHostProjects
• B. compute.restrictXpnProjectLienRemoval
• C. compute.restrictSharedVpcSubnetworks
• D. compute.sharedRegistrationsOwnerProjects

Correct Answer: B

Reference:
– 共有 VPC をプロビジョニングする  |  Google Cloud

Question 128

Compute Engine でホストされている公開アプリケーションの停止がユーザーから報告されています。ファイアウォール ルールに対する最近の変更が原因ではないかと思われます。ファイアウォール ルールが適切に機能しているかどうかをテストする必要があります。
どうすればいいでしょうか？

• A. 変更された最新のルールでファイアウォール ルールのログを有効にします。ログ エクスプローラーを使用し、ルールが正しく機能しているかどうかを分析します。
• B. VPC 内の要塞ホストに接続します。ネットワーク トラフィック アナライザーを使用し、リクエストがどの時点でブロックされているかを判断します。
• C. 運用前環境では、すべてのファイアウォール ルールを個別に無効にし、ユーザー トラフィックをブロックしているファイアウォール ルールを特定します。
• D. VPC で VPC フローログを有効にします。ログ エクスプローラーを使用し、ルールが正しく機能しているかどうかを分析します。

Correct Answer: A

Reference:
– VPC フローログを使用する  |  Google Cloud

Question 129

会社のセキュリティ管理者です。Google が推奨するベスト プラクティスに従ってドメイン制限付き共有組織ポリシーを実装し、必要なドメインのみがプロジェクトにアクセスできるようにしました。エンジニアリング チームは現在、組織ドメイン外の外部パートナーのユーザーにはプロジェクト内のリソースへのアクセスを許可できないと報告しています。
記載されているベスト プラクティスに従いながら、パートナーのドメインに例外を作成するにはどうすればよいでしょうか？

• A. ドメイン制限の共有組織ポリシーをオフにします。ポリシー値を「すべて許可」に設定します。
• B. ドメイン制限付き共有組織ポリシーをオフにします。Google の Identity and Access Management (IAM) サービスを使用し、外部パートナーに必要な権限を提供します。
• C. ドメイン制限付き共有組織ポリシーをオフにします。各パートナーの Google Workspace 顧客 ID を Google グループに追加し、その Google グループを組織ポリシーの例外として追加し、ポリシーを再度有効にします。
• D. ドメイン制限付き共有組織ポリシーをオフにします。ポリシー値を「カスタム」に設定します。各外部パートナーの Cloud Identity または Google Workspace の顧客 ID を組織ポリシーの例外として追加し、ポリシーを再度有効にします。

Correct Answer: D

Question 130

Google Cloud Armor ポリシーを使用してクロスサイト スクリプティング (XSS) や SQL インジェクション (SQLi) などの一般的な攻撃が Web アプリケーションのバックエンドに到達するのを防ぐことを計画しています。
Google Cloud Armor セキュリティ ポリシーを使用するための要件は何ですか？ (回答を 2つ選択してください)

• A. ロードバランサは外部 SSL プロキシ ロードバランサである必要があります。
• B. Google Cloud Armor Policy ルールはレイヤー 7 (L7) 属性でのみ照合できます。
• C. ロードバランサはプレミアム ネットワーク サービス層を使用する必要があります。
• D. バックエンド サービスの負荷分散スキームは EXTERNAL である必要があります。
• E. ロードバランサは外部 HTTP(S) ロードバランサである必要があります。

Correct Answer: D、E

Reference:
– Cloud Armor のネットワーク セキュリティ  |  Google Cloud Armor

Question 131

顧客のアーキテクチャに対してセキュリティ評価を実行し、複数の VM にパブリック IP アドレスがあることがわかりました。パブリック IP アドレスを削除するための推奨事項を提供した後、顧客の通常の操作の一環として、それらの VM が外部サイトと通信する必要があることが通知されます。
顧客の VM でのパブリック IP アドレスの必要性を減らすために何を推奨しますか？

• A. Google Cloud Armor
• B. Cloud NAT
• C. Cloud Router
• D. Cloud VPN

Correct Answer: B

Question 132

Google Cloud コンソールのログイン アクティビティ イベントと Google Cloud リソースの構成を変更する API 呼び出しのセキュリティ ログをエクスポートして監査するというタスクが課されています。
エクスポートは次の要件を満たしている必要があります。
– Google Cloud 組織内のすべてのプロジェクトの関連ログをエクスポートします。
– ログをほぼリアルタイムで外部 SIEM にエクスポートします。
どうすればいいでしょうか？ (回答を 2つ選択してください)

• A. Pub/Sub 宛先を使用して組織レベルでログ シンクを作成します。
• B. includeChildren パラメーターを使用して組織レベルでログ シンクを作成し、宛先を Pub/Sub トピックに設定します。
• C. 組織レベルでデータ アクセス監査ログを有効にして、すべてのプロジェクトに適用します。
• D. 管理コンソールで Google Workspace 監査ログを Google Cloud と共有できるようにします。
• E. SIEM が監査ログ エントリの AuthenticationInfo フィールドを処理して ID 情報を収集することを確認します。

Correct Answer: B、D

Reference:
– Best Practices for Monitoring GCP Audit Logs | Datadog

Question 133

会社の最高情報セキュリティ責任者 (CISO) は会社の世界展開計画に影響を与える規制要件により、ビジネス データを特定の場所に保存する必要があるという要件を作成します。
この要件を実装するための詳細を検討した後、次のことを決定します。
– 対象サービスは、Google Cloud Data Residency Termsに含まれます。
– 業務データは同一組織下の特定の場所内に残ります。
– フォルダ構造には複数のデータ残存場所を含めることができます。
リソースの場所の制限組織ポリシー制約を使用する予定です。
リソース階層のどのレベルで制約を設定するべきでしょうか？

• A. フォルダー
• B. リソース
• C. プロジェクト
• D. 組織

Correct Answer: C

Question 134

会社のオンプレミス データ センターと VPC ホスト ネットワークの間にクラウド相互接続接続を設定する必要があります。オンプレミス アプリケーションがパブリック インターネット経由ではなく、Cloud Interconnect 経由でのみ Google API にアクセスできるようにしたいと考えています。サポートされていない API への漏洩リスクを軽減するには、VPC Service Controls でサポートされている API のみを使用する必要があります。
ネットワークをどのように構成すればよいでしょうか？

• A. リージョン サブネットとグローバル ダイナミック ルーティング モードで限定公開の Google アクセスを有効にします。
• B. 「all-apis」の API バンドルを使用して Private Service Connect エンドポイント IP アドレスを設定します。Cloud Interconnect 接続を介してルートとしてアドバタイズされます。
• C. private.googleapis.com を使用し、Google Cloud 内からのみルーティング可能な IP アドレスのセットを使用して Google API にアクセスします。IP アドレスは接続経由でルートとしてアドバタイズされます。
• D. 制限付き googleapis.com を使用し、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。IP アドレスは Cloud Interconnect 接続を介してルートとしてアドバタイズされます。

Correct Answer: D

Reference:
– Cloud Interconnect の概要  |  Google Cloud

Question 135

機密データを保護し、非機密データのキー管理の複雑さを軽減する保存時暗号化戦略を実装する必要があります。
ソリューションには次の要件があります。
– 機密データの鍵のローテーションをスケジュールする。
– 機密データの暗号鍵がどのリージョンに保存されるかを制御する。
– 機密データおよび非機密データの暗号鍵へのアクセス待ち時間を最小化する。
どうすればいいでしょうか？

• A. Cloud External Key Manager を使用し、非機密データと機密データを暗号化します。
• B. クラウド 鍵管理サービスを使用し、非機密データと機密データを暗号化します。
• C. 非機密データは Google のデフォルト暗号化で暗号化し、機密データは Cloud External Key Manager で暗号化します。
• D. 非機密データは Google のデフォルト暗号化で暗号化し、機密データは Cloud Key Management Service で暗号化します。

Correct Answer: D

Question 136

セキュリティ チームは暗号鍵を使用してユーザー データの機密性を確保します。Cloud Key Management Service (Cloud KMS) で侵害された可能性のある対称暗号鍵の影響を軽減するプロセスを確立したいと考えています。
インシデントが発生する前にチームはどの手順を実行するべきでしょうか？ (回答を 2つ選択してください)

• A. 侵害された鍵へのアクセスを無効にして取り消します。
• B. 定期的なスケジュールで鍵バージョンの自動ローテーションを有効にします。
• C. 臨時スケジュールに基づいて鍵バージョンを手動でローテーションします。
• D. 各鍵バージョンで暗号化されるメッセージの数を制限します。
• E. Cloud KMS API を無効にします。

Correct Answer: B、D

Question 137

会社の最高情報セキュリティ責任者 (CISO) は会社の世界展開計画に影響を与える規制要件のため、ビジネス データを特定の場所に保存することを要求しています。
この要件を実装するための計画に取り組んだ後、次のことを決定します。
– 対象となるサービスは Google Cloudのデータレジデンシー要件に含まれます。
– 業務データは同一組織下の特定の場所内に残ります。
– フォルダー構造には複数のデータ常駐場所を含めることができます。
– フォルダ構造には、複数のデータレジデンシーロケーションを含めることができます。
– プロジェクトは特定のロケーションに揃えられている。
リソースの場所の制限組織ポリシー制約を非常に詳細な制御で使用することを計画しています。
階層内のどのレベルで制約を設定するべきでしょうか？

• A. 組織
• B. リソース
• C. プロジェクト
• D. フォルダー

Correct Answer: C

Question 138

データベース管理者は Cloud SQL インスタンス内での悪意のあるアクティビティに気づきました。データベース管理者はリソースの構成またはメタデータを読み取る API 呼び出しを監視したいと考えています。
データベース管理者はどのログを確認するべきでしょうか？

• A. 管理者のアクティビティ
• B. システムイベント
• C. アクセスの透明性
• D. データアクセス

Correct Answer: D

Question 139

管理者とアナリストの両方がアクセスできる共有 Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは個人を特定できる情報 (PII) を含むログにアクセスしてはなりません。PII を含むログ ファイルは管理者のみがアクセスできる別のバケットに保存する必要があります。
どうすればいいでしょうか？

• A. 共有バケットと管理者のみがアクセスできる PII を含むバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブ トリガーを作成します。PII を含むファイルを共有バケットから削除するようにトリガーを構成します。
• B. 共有バケットで PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
• C. 共有バケットで PII がアップロードされた場合にのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、PII を含むファイルを削除します。
• D. Pub/Sub と Cloud Functions を使用し、ファイルが管理者のバケットにアップロードされるたびに Cloud Data Loss Prevention スキャンをトリガーします。スキャンで PII が検出されない場合は関数でオブジェクトを共有 Cloud Storage バケットに移動します。

Correct Answer: D

Question 140

厳格なデータ保護要件を持つ規制された業界の組織で働いています。組織はデータをクラウドにバックアップします。データプライバシー規制に準拠するためにこのデータは特定の期間のみ保存でき、この特定の期間が経過したら削除する必要があります。ストレージコストを最小限に抑えながら、この規制への準拠を自動化したいと考えています。
どうすればいいでしょうか？

• A. データを永続ディスクに保存し、有効期限が切れたらディスクを削除します。
• B. データを Cloud Bigtable テーブルに保存し、列ファミリーに有効期限を設定します。
• C. データを BigQuery テーブルに保存し、テーブルの有効期限を設定します。
• D. データを Cloud Storage バケットに保存し、バケットのオブジェクト ライフサイクル管理機能を構成します。

Correct Answer: D

Question 141

組織の Google Cloud 環境に Security Command Center を構成する任務を与えられました。セキュリティ チームは組織のコンピューティング環境における潜在的な暗号通貨マイニングに関するアラートとセキュリティに影響を与える一般的な Google Cloud の構成ミスに関するアラートを受け取る必要があります。
どの Security Command Center 機能を使用してアラートを設定するべきでしょうか？ (回答を 2つ選択してください)

• A. Event Threat Detection
• B. Container Threat Detection
• C. Security Health Analytics
• D. Cloud Data Loss Prevention
• E. Google Cloud Armor

Correct Answer: A、C

Question 142

企業ユーザー アカウント全体でフィッシング攻撃の数が増加していることに気づきました。暗号署名を使用してユーザーを認証し、ログイン ページの URL を確認する Google の 2 段階認証プロセス (2SV) オプションを実装したいと考えています。
どの Google の 2SV オプションを使用するべきでしょうか？

• A. Titan セキュリティ キー
• B. Google プロンプト
• C. Google 認証アプリ
• D. Cloud HSM キー

Correct Answer: A

Reference:
– Titan セキュリティ キー  |  Titan Security Key  |  Google Cloud

Question 143

組織はサードパーティ企業の Compute Engine インスタンス上で実行される金融サービス アプリケーションをホストしています。アプリケーションを使用するサードパーティ企業のサーバーも別の Google Cloud 組織の Compute Engine 上で実行されます。Compute Engine インスタンス間に安全なネットワーク接続を構成する必要があります。
次の要件があります。
– ネットワーク接続は暗号化されている必要があります。
– サーバー間の通信はプライベートIPアドレスで行うこと。
どうすればいいでしょうか？

• A. 組織の VPC ネットワークと VPC ファイアウォール ルールによって制御されるサードパーティの VPC ネットワークとの間に Cloud VPN 接続を構成します。
• B. 組織の VPC ネットワークと VPC ファイアウォール ルールによって制御されるサードパーティの VPC ネットワークとの間に VPC ピアリング接続を構成します。
• C. Compute Engine インスタンスの周囲に VPC Service Controls 境界を構成し、アクセス レベルを介してサードパーティへのアクセスを提供します。
• D. Compute Engine でホストされるアプリケーションを API として公開し、サードパーティのみにアクセスを許可する TLS で暗号化される Apigee プロキシを構成します。

Correct Answer: B

Question 144

最近、会社の新しい CEO は会社の 2 つの部門を売却しました。ディレクターはこれらの部門に関連付けられている Google Cloud プロジェクトを新しい組織ノードに移行するのを手伝ってほしいと依頼しています。
この移行を行う前にどのような準備手順が必要ですか？ (回答を 2つ選択してください)

• A. プロジェクト レベルのカスタム Identity and Access Management (IAM) の役割をすべて削除します。
• B. 組織ポリシーの継承を禁止します。
• C. 移行するプロジェクトで継承された Identity and Access Management (IAM) の役割を特定します。
• D. 移行するすべてのプロジェクト用の新しいフォルダーを作成します。
• E. VPC Service Controls の境界およびブリッジから特定の移行プロジェクトを削除します。

Correct Answer: C、E

Question 145

プライベート クラウドから Google Cloud へのデータの移行を検討している組織のコンサルタントです。組織のコンプライアンス チームは Google Cloud に詳しくなく、Google Cloud でコンプライアンス要件をどのように満たすかについてのガイダンスを必要としています。具体的なコンプライアンス要件の 1 つは保管中の顧客データが特定の地理的境界内に存在することです。
組織にどのオプションを推奨して Google Cloud でのデータ所在地要件を満たすべきでしょうか？

• A. 組織ポリシーのサービス制約
• B. Shielded VM インスタンス
• C. アクセス制御リスト (ACL)
• D. Geolocation アクセス制御
• E. Google Cloud Armor

Correct Answer: A

Question 146

セキュリティ チームはユーザー管理キーが誤って管理されたり侵害されたりするリスクを軽減したいと考えています。実現するには開発者が組織内のプロジェクトに対してユーザー管理のサービス アカウント キーを作成できないようにする必要があります。
これをどのように強制すべきでしょうか？

• A. サービス アカウント キーを管理するために Secret Manager を構成します。
• B. 組織ポリシーを有効にし、サービス アカウントの作成を無効にします。
• C. 組織ポリシーを有効にし、サービス アカウント キーが作成されないようにします。
• D. iam.serviceAccounts.getAccessToken 権限をユーザーから削除します。

Correct Answer: C

Question 147

Google Cloud で会社の ID を管理する責任があります。会社ではすべてのユーザーに対して 2 段階認証プロセス (2SV) を強制しています。ユーザーのアクセスをリセットする必要がありますがユーザーは 2SV の 2 番目の要素を失いました。リスクを最小限に抑えたいと考えています。
どうすればいいでしょうか？

• A. Google 管理コンソールで適切なユーザー アカウントを選択し、ユーザーがログインできるようにするバックアップ コードを生成します。ユーザーに 2 番目の要素を更新するように依頼します。
• B. Google 管理コンソールですべてのユーザーの 2SV 要件を一時的に無効にします。ユーザーにログインし、新しい 2 番目の要素をアカウントに追加するように依頼します。すべてのユーザーに対して 2SV 要件を再度有効にします。
• C. Google 管理コンソールで適切なユーザー アカウントを選択し、このアカウントの 2SV を一時的に無効にします。ユーザーに 2 番目の要素を更新してアカウントの 2SV を再度有効にするよう依頼します。
• D. Google 管理コンソールで特権管理者アカウントを使用してユーザー アカウントの認証情報をリセットします。最初のログイン後に資格情報を更新するようにユーザーに依頼します。

Correct Answer: A

Question 148

どの Google Cloud サービスを使用してアプリケーションとリソースにアクセス制御ポリシーを適用するべきでしょうか？

• A. Identity-Aware Proxy
• B. Cloud NAT
• C. Google Cloud Armor
• D. Shielded VM

Correct Answer: A

Question 149

既存の VPC Service Controls 境界を新しいアクセス レベルで更新したいと考えています。この変更によって既存の境界が破壊されることを避け、オーバーヘッドを最小限に抑えながらユーザーへの混乱を最小限に抑える必要があります。
どうすればいいでしょうか？

• A. 既存の境界の正確なレプリカを作成します。新しいアクセス レベルをレプリカに追加します。アクセス レベルが精査された後、既存の境界を更新します。
• B. 決して一致しない新しいアクセス レベルで境界を更新します。過度に寛容になるのを避けるために一度に 1 条件ずつ、新しいアクセス レベルを目的の状態に一致するように更新します。
• C. 境界でドライラン モードを有効にします。新しいアクセス レベルを境界構成に追加します。アクセス レベルを精査した後、境界の構成を更新します。
• D. 境界でドライラン モードを有効にします。新しいアクセス レベルを境界ドライ ラン構成に追加します。アクセス レベルを精査した後、境界の構成を更新します。

Correct Answer: D

Question 150

組織の Google Cloud VM は外部ユーザー向けの Web サービスをホストするためにパブリック IP アドレスを使用して構成するインスタンス テンプレートを介してデプロイされます。VM は VM 用の 1 つのカスタム共有 VPC を含むホスト (VPC) プロジェクトに接続されたサービス プロジェクト内に存在します。外部ユーザーへのサービスを継続しながら VM のインターネットへの公開を減らすように求められました。マネージド インスタンス グループ (MIG) を起動するためにパブリック IP アドレスを構成せずにインスタンス テンプレートをすでに再作成しました。
どうすればいいでしょうか？

• A. MIG のサービス プロジェクトに Cloud NAT ゲートウェイをデプロイします。
• B. MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。
• C. MIG をバックエンドとして使用し、サービス プロジェクトに外部 HTTP(S) ロード バランサをデプロイします。
• D. MIG をバックエンドとして使用し、外部 HTTP(S) ロードバランサをホスト (VPC) プロジェクトにデプロイします。

Correct Answer: C

Question 151

プライバシー チームは個人を特定できる情報 (PII) を削除する戦略として暗号シュレディング (暗号消去) を使用します。プラットフォームのサービスの大部分を利用し、運用オーバーヘッドを最小限に抑えながら、プラクティスを Google Cloud に実装する必要があります。
どうすればいいでしょうか？

• A. Google Cloud にデータを送信する前にクライアント側の暗号化を使用し、オンプレミスで暗号鍵を削除します。
• B. Cloud External Key Manager を使用し、特定の暗号鍵を削除します。
• C. 顧客管理の暗号鍵 (CMEK) を使用し、特定の暗号鍵を削除します。
• D. Google のデフォルト暗号化を使用し、特定の暗号鍵を削除します。

Correct Answer: C

Reference:
– 顧客管理の暗号鍵（CMEK）について  |  Cloud Spanner  |  Google Cloud

Question 152

実稼働プロジェクトのチームのログを一元管理する必要があります。チームがログ エクスプローラーを使用してログを検索および分析できるようにしたいと考えています。
どうすればいいでしょうか？

• A. Cloud Monitoring ワークスペースを有効にし、監視する本番プロジェクトを追加します。
• B. 組織レベルでログ エクスプローラーを使用し、運用プロジェクト ログをフィルターします。
• C. 本番プロジェクトの親フォルダに集約組織シンクを作成し、宛先を Cloud Storage バケットに設定します。
• D. 運用プロジェクトの親フォルダーに集約組織シンクを作成し、宛先をログバケットに設定します。

Correct Answer: D

Question 153

Cloud External Key Manager を使用し、Google Cloud に保存されている特定の BigQuery データを暗号化するための暗号鍵を作成する必要があります。
最初にどの手順を実行するべきでしょうか？

• A.
  • 1. Google Cloud プロジェクトで一意の URI（Uniform Resource Identifier）を持つキーを作成するか、既存のキーを使用します。
  • 2. Google Cloud プロジェクトにサポートされている外部鍵管理パートナー システムへのアクセスを許可します。
• B.
  • 1. Cloud Key Management Service (Cloud KMS) で一意のユニフォーム リソース識別子 (URI) を持つ既存のキーを作成または使用します。
  • 2. Cloud KMS で鍵を使用するためのアクセス権を Google Cloud プロジェクトに付与します。
• C.
  • 1. サポートされている外部 鍵管理パートナー システムで一意の URI (Uniform Resource Identifier) を持つ既存鍵を作成または使用します。
  • 2. 外部鍵 管理パートナー システムで鍵に Google Cloud プロジェクトを使用するためのアクセスを許可します。
• D.
  • 1. Cloud Key Management Service (Cloud KMS) で一意の URI (Uniform Resource Identifier) を持つ外部鍵を作成します。
  • 2. Cloud KMS で鍵を使用するためのアクセス権を Google Cloud プロジェクトに付与します。

Correct Answer: C

Question 154

会社のクラウド セキュリティ ポリシーでは VM インスタンスに外部 IP アドレスを持たせないことが規定されています。外部 IP アドレスのない VM インスタンスがインターネットに接続して VM を更新できるようにする Google Cloud サービスを特定する必要があります。
どのサービスを使用するべきでしょうか？

• A. Identity Aware-Proxy
• B. Cloud NAT
• C. TCP/UDP ロードバランサ
• D. Cloud DNS

Correct Answer: B

Question 155

組織の Cloud Storage バケットにデータをインターネットに公開できないようにしたいと考えています。これをすべての Cloud Storage バケットに適用したいと考えています。
どうすればいいでしょうか？

• A. エンド ユーザーから所有者の役割を削除し、Cloud Data Loss Prevention を構成します。
• B. エンド ユーザーから所有者の役割を削除し、組織ポリシーでドメイン制限付き共有を強制します。
• C. 統一されたバケットレベルのアクセスを構成し、組織ポリシーでドメイン制限付き共有を強制します。
• D. すべてのロールから *.setIamPolicy 権限を削除し、組織ポリシーでドメイン制限付き共有を強制します。

Correct Answer: C

Question 156

会社は IT インフラストラクチャのほとんどを Google Cloud に移行することを計画しています。既存のオンプレミス Active Directory を Google Cloud の ID プロバイダとして活用したいと考えています。
会社のオンプレミス Active Directory を Google Cloud と統合し、アクセス管理を構成するには、どの手順を実行するべきでしょうか？ (回答を 2つ選択してください)

• A. Identity Platform を使用してユーザーとグループを Google Cloud にプロビジョニングします。
• B. Cloud Identity SAML 統合を使用して、ユーザーとグループを Google Cloud にプロビジョニングします。
• C. Google Cloud Directory Sync をインストールし、Active Directory と Cloud Identity に接続します。
• D. 各 Active Directory グループに対応する権限を持つ Identity and Access Management (IAM) ロールを作成します。
• E. 各 Active Directory グループに対応する権限を持つ Identity and Access Management (IAM) グループを作成します。

Correct Answer: C、E

Question 157

会社の新しい Google Cloud 組織の作成を担当しています。
特権管理者アカウントを作成するときに実行する必要がある 2 つのアクションはどれでしょうか？ (回答を 2つ選択してください)

• A. Google 管理コンソールでアクセス レベルを作成し、特権管理者が Google Cloud にログインできないようにします。
• B. Google Cloud Console で組織レベルの特権管理者の Identity and Access Management (IAM) の役割を無効にします。
• C. 物理トークンを使用し、多要素認証 (MFA) で特権管理者の資格情報を保護します。
• D. インターネット経由で資格情報が送信されないようにプライベート接続を使用して特権管理者アカウントを作成します。
• E. 特権管理者ユーザーの日常業務のために特権のない ID を提供します。

Correct Answer: C、E

Question 158

Compute Engine でホストされる Web アプリケーションをデプロイしています。ビジネス要件ではアプリケーション ログを 12 年間保存し、データをヨーロッパの境界内に保管することが義務付けられています。オーバーヘッドを最小限に抑え、コスト効率の高いストレージ ソリューションを実装したいと考えています。
どうすればいいでしょうか？

• A. europe-west1 リージョンにログを保存する Cloud Storage バケットを作成します。効率を高めるためにログをバケットに直接送信するようにアプリケーション コードを変更します。
• B. Google Cloud のオペレーション スイート Cloud Logging エージェントを使用して、アプリケーション ログを europe-west1 リージョンのカスタム ログ バケットに 12 年間のカスタム保持期間で送信するように Compute Engine インスタンスを構成します。
• C. Pub/Sub トピックを使用してアプリケーション ログを europe-west1 リージョンの Cloud Storage バケットに転送します。
• D. europe-west1 リージョンの Google Cloud のオペレーション スイート ログバケットに 12 年間のカスタム保持ポリシーを構成します。

Correct Answer: B

Question 159

オンプレミス環境から BigQuery データセットへの毎日の ETL プロセスで、機密の個人を特定できる情報 (PII) が Google Cloud 環境に取り込まれていることを発見しました。PII を難読化するにはこのデータを編集する必要がありますがデータ分析の目的で再識別する必要があります。
ソリューションではどのコンポーネントを使用するべきでしょうか？ (回答を 2つ選択してください)

• A. Secret Manager
• B. Cloud Key Management Service
• C. 暗号ハッシュを使用した Cloud Data Loss Prevention
• D. テキストの自動秘匿化による Cloud Data Loss Prevention
• E. AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention

Correct Answer: B、E

Question 160

機密データの暗号鍵の制御に懸念を抱いているクライアントと仕事をしています。クライアントは暗号鍵が暗号化されているデータと同じクラウド サービス プロバイダ (CSP) に保存されることを望んでいません。
クライアントにはどの Google Cloud の暗号化ソリューションを推奨すべきですか？ (回答を 2つ選択してください)

• A. 顧客指定の暗号鍵
• B. Google デフォルトの暗号化
• C. Secret Manager
• D. Cloud External Key Manager (Cloud EKM)
• E. 顧客管理の暗号鍵 (CMEK)

Correct Answer: A、D

Question 161

GDPR 要件に従って設計的にデータ保護を実装しています。設計レビューの一環として Compute Engine、Google Kubernetes Engine、Cloud Storage、BigQuery、Pub/Sub のワークロードを含むソリューションの暗号鍵を管理する必要があると言われました。
この実装ではどのオプションを選択するべきでしょうか？

• A. Cloud External Key Manager (Cloud EKM)
• B. 顧客管理の暗号鍵 (CMEK)
• C. 顧客指定の暗号鍵
• D. Google デフォルトの暗号化

Correct Answer: B

Question 162

HTTPS リソースにアクセスするには Identity and Access Management (IAM) ユーザーにどの Identity-Aware Proxy ロールを付与するべきでしょうか？

• A. セキュリティレビュー担当者
• B. IAP で保護されたトンネル ユーザー
• C. IAP で保護された Web アプリのユーザー
• D. サービス ブローカー オペレーター

Correct Answer: C

Question 163

Google Cloud footprint のネットワーク セグメントを監査する必要があります。現在、本番および非本番のサービスとしてのインフラストラクチャ (IaaS) 環境を運用しています。すべての VM インスタンスはサービス アカウントのカスタマイズなしでデプロイされます。カスタム ネットワーク内のトラフィックを観察するとトラフィックを適切にセグメント化するためのタグベースの VPC ファイアウォール ルールが優先度 1000 で設定されているにもかかわらず、すべてのインスタンスが自由に通信できることがわかります。
この動作の最も考えられる理由は何ですか？

• A. すべての VM インスタンスにそれぞれのネットワーク タグがありません。
• B. すべての VM インスタンスが同じネットワーク サブネットに存在します。
• C. すべての VM インスタンスが同じネットワーク ルートで構成されている。
• D. VPC ファイアウォール ルールは優先度 999 の同じサービス アカウントに基づいてソース/ターゲット間のトラフィックを許可しています。VPC ファイアウォール ルールは優先度 1001 の同じサービス アカウントに基づいてソース/ターゲット間のトラフィックを許可しています。

Correct Answer: A、D

Question 164

新しいインフラストラクチャ CI / CD パイプラインを作成して Google Cloud 組織に何百もの一時的なプロジェクトをデプロイし、ユーザーが Google Cloud とやり取りできるようにしようとしています。Google が推奨するベスト プラクティスに従い、組織内のデフォルト ネットワークの使用を制限したいと考えています。
どうすればいいでしょうか？

• A. 組織レベルで constraints/compute.skipDefaultNetworkCreation 組織ポリシー制約を有効にします。
• B. cron ジョブを作成して毎日の Cloud Functions をトリガーし、各プロジェクトのすべてのデフォルト ネットワークを自動的に削除します。
• C. ユーザーに組織レベルで IAM オーナーの役割を付与します。compute.googleapis.com API を制限するプロジェクトの周囲に VPC Service Controls 境界を作成します。
• D. ユーザーがデフォルト ネットワークの作成をスキップするためにデプロイできる事前定義されたインフラストラクチャ テンプレートのセットを含む CI/CD パイプラインの使用のみを許可します。

Correct Answer: A

Question 165

会社のセキュリティ管理者で Google Cloud でのアクセス制御 (識別、認証、認可) の管理を担当しています。
認証と認可を構成する際に Google が推奨するベスト プラクティスに従う必要があるのはどれでしょうか？ (回答を 2つ選択してください)

• A. Google デフォルトの暗号化を使用します。
• B. ユーザーを手動で Google Cloud に追加します。
• C. Google の Identity and Access Management (IAM) サービスを使用し、ユーザーに基本的な役割をプロビジョニングします。
• D. ユーザー認証とユーザーのライフサイクル管理に Cloud Identity との SSO/SAML 統合を使用します。
• E. 事前定義されたロールによるきめ細かなアクセスを提供します。

Correct Answer: D、E

Question 166

無効なコンテンツまたは悪意のあるコンテンツがないか IP パケット データを検査する任務を負っています。
どうすればいいでしょうか？

• A. パケット ミラーリングを使用し、特定の VM インスタンスとの間のトラフィックをミラーリングします。ミラーリングされたトラフィックを分析するセキュリティ ソフトウェアを使用して検査を実行します。
• B. VPC 内のすべてのサブネットの VPC フローログを有効にします。Cloud Logging を使用してフロー ログ データの検査を実行します。
• C. VPC 内の各 VM インスタンスで Fluentd エージェントを構成します。Cloud Logging を使用してログデータの検査を実行します。
• D. ログ データの検査を実行するように Google Cloud Armor アクセス ログを構成します。

Correct Answer: A

Question 167

次のリソース階層があります。図に示すように階層内の各ノードに組織ポリシーがあります。
VPC A で拒否されるロードバランサのタイプはどれでしょうか？

• A. すべてのロード バランサ タイプはグローバル ノードのポリシーに従って拒否されます。
• B. INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPS はフォルダーのポリシーに従って拒否されます。
• C. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY はプロジェクトのポリシーに従って拒否されます。
• D. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP、および INTERNAL_HTTP_HTTPS はフォルダーおよびプロジェクトのポリシーに従って拒否されます。

Correct Answer: A

Question 168

セキュリティ チームは Cloud Storage バケットに保存されている機密データを保護するための多層防御アプローチを実装したいと考えています。
チームには次の要件があります。
– プロジェクト A の Cloud Storage バケットはプロジェクト B からのみ読み取り可能です。
– プロジェクト A の Cloud Storage バケットはネットワーク外部からアクセスできません。
– Cloud Storage バケット内のデータは外部の Cloud Storage バケットにコピーできません。
セキュリティチームは何をすべきでしょうか？

• A. 組織ポリシーでドメイン制限付き共有を有効にし、Cloud Storage バケットで均一なバケットレベルのアクセスを有効にします。
• B. VPC Service Controls を有効にし、プロジェクト A と B の周囲に境界を作成し、サービス境界構成に Cloud Storage API を含めます。
• C. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B の両方のネットワークでプライベート アクセスを有効にします。
• D. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用し、プロジェクト A と B のネットワーク間の VPC ピアリングを有効にします。

Correct Answer: B

Question 169

セキュリティ チームがファイアウォール ルールなどのネットワーク リソースを制御できるようにする VPC を作成する必要があります。
ネットワークをどのように構成すればネットワーク リソースの役割を分離できるでしょうか？

• A. 複数の VPC ネットワークをセットアップし、ネットワークに接続するためにマルチ NIC 仮想アプライアンスをセットアップします。
• B. VPC ネットワーク ピアリングを設定し、開発者が共有 VPC を使用してネットワークをピアリングできるようにします。
• C. プロジェクト内に VPC をセットアップします。Compute Network Admin ロールをセキュリティ チームに割り当て、Compute Admin ロールを開発者に割り当てます。
• D. セキュリティ チームがファイアウォール ルールを管理する共有 VPC を設定し、サービス プロジェクトを通じて開発者とネットワークを共有します。

Correct Answer: D

Question 170

新しいユーザーを Cloud Identity にオンボーディングしていると一部のユーザーが企業ドメイン名を使用してコンシューマ ユーザー アカウントを作成していることがわかりました。
Cloud Identity を使用してこれらのコンシューマー ユーザー アカウントをどのように管理すればよいでしょうか？

• A. Google Cloud Directory Sync を使用し、管理対象外のユーザー アカウントを変換します。
• B.一般ユーザー向けアカウントごとに新しい管理対象ユーザー アカウントを作成します。
• C. 管理対象外のユーザー アカウントには転送ツールを使用します。
• D. 顧客のサードパーティ プロバイダを使用してシングル サイン オンを構成します。

Correct Answer: C

Question 171

組織のセキュリティ標準に従って強化された OS イメージを作成し、セキュリティ チームが管理するプロジェクトに保存しました。Google Cloud 管理者は、運用オーバーヘッドを最小限に抑えながら Google Cloud 組織内のすべての VM がその特定の OS イメージのみを使用できるようにする必要があります。
どうすればいいでしょうか？ (回答を 2つ選択してください)

• A. ユーザーに自分のプロジェクトで compute.imageUser の役割を付与します。
• B. ユーザーに OS イメージ プロジェクトの compute.imageUser の役割を付与します。
• C. 組織内で立ち上げられたすべてのプロジェクトにイメージを保存します。
• D. イメージ アクセスの組織ポリシー制約を設定し、セキュリティ チームが管理するプロジェクトをプロジェクトの許可リストにリストします。
• E. プロジェクトのユーザーから VM インスタンスの作成権限を削除し、あなたとチームのみが VM インスタンスを作成できるようにします。

Correct Answer: B、D

Question 172

会社のインシデント対応計画を策定しています。Google Cloud 環境でのデプロイメントの問題を確認および調査するときに DevOps チームが使用するアクセス戦略を定義する必要があります。
主な要件は 2 つあります。
– 最小特権アクセスは常に強制されなければならない。
– DevOpsチームはデプロイメント問題の間だけ、必要なリソースにアクセスできなければなりません。
Google が推奨するベスト プラクティスに従い、アクセスを許可するにはどうすればよいですか？

• A. プロジェクト閲覧者の ID およびアクセス管理 (IAM) の役割を DevOps チームに割り当てます。
• B. リスト/表示権限が制限されたカスタム IAM の役割を作成し、DevOps チームに割り当てます。
• C. サービス アカウントを作成し、それにプロジェクト所有者の IAM ロールを付与します。このサービス アカウントのサービス アカウント ユーザーの役割を DevOps チームに与えます。
• D. サービス アカウントを作成し、限定的なリスト/表示権限を付与します。このサービス アカウントのサービス アカウント ユーザーの役割を DevOps チームに与えます。

Correct Answer: D

Question 173

データを Google Cloud に移行することを計画しているクライアントと協力しています。暗号鍵を管理する暗号化サービスを推奨するのは顧客の責任です。
次の要件があります。
– マスターキーは少なくとも 45 日に 1 回はローテーションされなければならない。
– マスターキーを保管するソリューションは FIPS 140-2 レベル 3 の検証を受ける必要があります。
– マスターキーは冗長性のために米国内の複数のリージョンに保管されなければならない。
これらの要件を満たすソリューションはどれでしょうか？

• A. Cloud Key Management Service を使用した顧客管理の暗号鍵 (CMEK)
• B. Cloud HSM を使用した顧客管理の暗号鍵 (CMEK)
• C. 顧客指定の暗号鍵 (CSEK)
• D. Google が管理する暗号鍵

Correct Answer: B

Question 174

組織のセキュリティ オペレーション センター (SOC) を管理しています。現在、ネットワーク ログに基づいて VPC 内のネットワーク トラフィックの異常を監視および検出しています。ただし、ネットワーク ペイロードとヘッダーを使用して環境を調査したいと考えています。
どの Google Cloud プロダクトを使用するべきでしょうか？

• A. Cloud IDS
• B. VPC Service Controls ログ
• C. VPC フローログ
• D. Google Cloud Armor
• E. Packet Mirroring

Correct Answer: E

Question 175

Google Cloud 内のアプリケーション データ (転送中のデータ、使用中のデータ、保存中のデータを含む) のエンドツーエンドの暗号化を必要とするクライアントと相談しています。
これを達成するにはどのオプションを利用するべきでしょうか？ (回答を 2つ選択してください)

• A. 外部鍵マネージャー
• B. 顧客指定の暗号鍵
• C. ハードウェア セキュリティ モジュール (HSM)
• D. Confidential Computing と Istio
• E. クライアント側の暗号

Correct Answer: D、E

Question 176

ユーザーがバケット内のオブジェクトを外部に公開できないようにするセキュリティ ポリシーを Google Cloud 組織に適用する必要があります。現在、組織にはバケットがありません。運用上のオーバーヘッドを最小限に抑えてこの目標を達成するには、どのソリューションを積極的に実装するべきでしょうか？

• A. パブリック バケットを検索してプライベートにする Cloud Functions を実行する 1 時間ごとの cron ジョブを作成します。
• B. 組織レベルでconstraints/storage.publicAccessPrevention 制約を有効にします。
• C. 組織レベルでconstraints/storage.uniformBucketLevelAccess 制約を有効にします。
• D. バケットを含むプロジェクト内の storage.googleapis.com サービスを保護する VPC Service Controls 境界を作成します。バケットを含む新しいプロジェクトを境界に追加します。

Correct Answer: B

Question 177

会社ではセキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用するべきでしょうか？

• A. 組織のポリシー制約を定義します。
• B. パケット ミラーリング ポリシーを構成します。
• C. サブネット上で VPC フローログを有効にします。
• D. Cloud Audit Logs を監視および分析します。

Correct Answer: B

Question 178

ある組織は従業員の異常値を特定し、収入格差を是正するためにボーナス報酬が時間の経過とともにどのように変化したかを追跡したいと考えています。このタスクは、個人の機密報酬データを公開することなく実行する必要があり、外れ値を特定するために元に戻せる必要があります。
どの Cloud Data Loss Prevention API テクニックを使用するべきでしょうか？

• A. 暗号ハッシュ
• B. 秘匿化
• C. フォーマット保持暗号化
• D. 一般化

Correct Answer: C