Professional-Cloud-Security-Engineer日本語試験無料問題集（235題）「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版) 認定」

出題：1

あなたは会社のセキュリティ管理者です。開発チームは、複数の GCP プロジェクトを
いくつかの開発、ステージング、および運用ワークロードの「実装」フォルダー。セキュリティ境界を設定することで、悪意のある内部関係者や侵害されたコードによるデータの流出を防止したいと考えています。ただし、プロジェクト間の通信を制限したくありません。
あなたは何をするべきか？

A. コードとしてのインフラストラクチャソフトウェアツールを使用して、開発、ステージング、本番用の 3 つの異なるサービス境界を設定し、Stackdriver と Cloud Pub/Sub を介して「実装」フォルダを監視する Cloud Function をデプロイします。この関数は、新しいプロジェクトがフォルダーに追加されたことを認識すると、Terraform を実行して新しいプロジェクトをそれぞれの境界に追加します。

B. コードとしてのインフラストラクチャソフトウェアツールを使用して、単一のサービス境界を設定し、Stackdriver と Cloud Pub/Sub を介して「実装」フォルダを監視する Cloud Function をデプロイします。この関数は、新しいプロジェクトがフォルダーに追加されたことを認識すると、Terraform を実行して、関連付けられた境界に新しいプロジェクトを追加します。

C. 共有 VPC を使用してすべてのプロジェクト間の通信を有効にし、ファイアウォールルールを使用してデータの流出を防ぎます。

D. Access Context Manager でアクセスレベルを作成してデータの流出を防ぎ、プロジェクト間の通信に共有 VPC を使用します。

正解：B 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：2

あなたは、Google Cloud で会社の ID を管理する責任があります。あなたの会社は、すべてのユーザーに 2 段階認証プロセス (2SV) を適用しています。ユーザーのアクセスをリセットする必要がありますが、ユーザーは 2SV の第 2 要素を失いました。
リスクを最小限に抑えたい。あなたは何をするべきか？

A. Google 管理コンソールで、適切なユーザーアカウントを選択し、このアカウントの 2SV を一時的に無効にします。ユーザーに 2 番目の要素を更新するよう依頼してから、このアカウントの 2SV を再度有効にします。

B. Google 管理コンソールで、すべてのユーザーの 2SV 要件を一時的に無効にします。ログインして、新しい第 2 要素をアカウントに追加するようユーザーに依頼します。すべてのユーザーに対して 2SV 要件を再度有効にします。

C. Google 管理コンソールで、適切なユーザーアカウントを選択し、ユーザーがサインインできるようにバックアップコードを生成します。ユーザーに 2 番目の要素を更新するように依頼します。

D. Google 管理コンソールで、スーパー管理者アカウントを使用して、ユーザーアカウントの資格情報をリセットします。
最初のログイン後に資格情報を更新するようユーザーに依頼します。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：3

あなたの組織は、Google Cloud 環境に保存されているデータの暗号化に使用される鍵を完全に制御したいと考えています。キーは Google の外部で生成および保存され、BigQuery を含む多くの Google サービスと統合される必要があります。
あなたは何をするべきか？

A. Google が管理する FIPS 140-2 レベル 3 ハードウェアセキュリティモジュール (HSM) に保存される KMS キーを作成します。Identity and Access Management (IAM) 権限設定を管理し、キーのローテーション期間を設定します。

B. 信頼できる外部システムで生成されたキーを持つ顧客指定の暗号化キー (CSEK) を使用します。 API 呼び出しの一部として生の CSEK を提供します。

C. サポートされているベンダーの外部ハードウェアセキュリティモジュール (HSM) システムと統合するクラウド外部キー管理 (EKM) を使用します。

D. インポートされたキーマテリアルを使用してクラウドキー管理サービス (KMS) キーを作成します。インポート中に保護のためにキーをラップします。信頼できるシステムで生成された鍵を Cloud KMS にインポートします。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：4

組織は Google Cloud に移行しています。プロジェクト内の Google Kubernetes Engine (GKE) クラスタには、信頼できるコンテナイメージのみがデプロイされるようにしたいと考えています。コンテナは一元管理されたものからデプロイする必要があります。コンテナーレジストリであり、信頼できる機関によって署名されています。
あなたは何をするべきか？
2 つの答えを選択してください

A. プロジェクトのそれぞれの証明書を使用して Binary Authorization ポリシーを構成します。

B. プロジェクトの Security Command Center (SCC) でコンテナー脅威検出を有効にします。

C. Google Kubernetes Engine (GKE) に Binary Authorization を適用するためのカスタム組織ポリシー制約を作成します。

D. ポッドのセキュリティ標準を有効にし、制限付きに設定します。

E. プロジェクトの信頼できるイメージ組織ポリシー制約を構成します。

正解：A,E 解答を投票する

出題：5

IaaS の共有セキュリティ責任モデルで、お客様が責任を共有するスタックの 2 つのレイヤーはどれですか? （2つ選んでください。）

A. ネットワークセキュリティ

B. ハードウェア

C. ブート

D. アクセスポリシー

E. ストレージ暗号化

正解：A,D 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：6

CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか？（2つ選んでください。）

A. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナーイメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。

B. Google Cloud のオペレーションスイートのログイベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナイメージを自動的にスキャンします。

C. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナーイメージを検証するステップを追加します。

D. Cloud Source Repositories リポジトリ内のコンテナテンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。

E. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナイメージが見つかった場合にアラートを生成します。

正解：A,D 解答を投票する

出題：7

アプリケーションログを Cloud Storage にエクスポートしています。ログシンクが均一なバケットレベルのアクセスポリシーをサポートしていないというエラーメッセージが表示されます。このエラーをどのように解決する必要がありますか?

A. バケットのアクセス制御モデルを変更します

B. roles/logging.bucketWriter Identity and Access Management (IAM) ロールをログシンク ID のバケットに追加します。

C. 正しいバケットの宛先でシンクを更新します。

D. roles/logging.logWriter Identity and Access Management (IAM) ロールをログシンク ID のバケットに追加します。

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：8

あなたは会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリからのメールアドレスを持つすべてのセキュリティグループを同期したいと考えています。
あなたは何をするべきか？

A. LDAP 検索ルールを使用してセキュリティグループを同期するように Google Cloud Directory Sync を構成します。
双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。

B. 管理ツールを使用して、グループオブジェクトクラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

C. 管理ツールを使用して、電子メールアドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

D. LDAP 検索ルールを使用してセキュリティグループを同期するように Google Cloud Directory Sync を構成します。
一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。

正解：D 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：9

VPC Service Controls を有効にして、リソースへのアクセスを妨げずに、既存の環境の境界を変更できるようにする必要があります。どの VPC Service Controls モードを使用する必要がありますか?

A. クラウドラン

B. 強制

C. ドライラン

D. ネイティブ

正解：C 解答を投票する

出題：10

あなたの会社は Google Cloud を使用しており、ネットワーク資産を公開しています。ソフトウェアツールを使用して、最小限の時間で資産を検出し、これらの資産のセキュリティ監査を実行したいと考えています。
あなたは何をするべきか？

A. 組織内のすべてのインスタンスでプラットフォームセキュリティスキャナーを実行します。

B. Google が承認したセキュリティベンダーに連絡して監査を実行してください。

C. Cloud Asset Inventory を使用してすべての外部資産を識別し、それらに対してネットワークセキュリティスキャナーを実行します。

D. 保留中の監査について Google に通知し、確認を待ってからスキャンを実行します。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：11

あなたの組織は、Google Cloud にインフラストラクチャとアプリケーションをデプロイするための新しい継続的インテグレーションおよびデリバリー（CI/CD）プロセスを展開しています。多くのチームが CI/CD ワークフローの独自のインスタンスを使用します。これは Google Kubernetes Engine（GKE）で実行されます。CI は/CD パイプラインは、Google Cloud API に安全にアクセスできるように設計する必要があります。

A. *1 CI/CD パイプライン専用のサービスアカウントを作成します。
* 2 GKE クラスタ内の専用ノードプールでデプロイパイプラインを実行します。
* 3 作成したサービスアカウントをプール内のノードの ID として使用して、Google Cloud API に対して認証します。

B. * 1 デプロイメントパイプラインごとにサービスアカウントを作成します
※2 サービスアカウントの秘密鍵を生成します。
* 3 秘密キーを、特定のデプロイパイプラインを実行するポッドのみがアクセスできる Kubernetes シークレットとして安全に保存します。

C. * 1 インフラストラクチャ用とアプリケーション展開用の 2 つのサービスアカウントを作成します。
* 2 ワークロード ID を使用して、ポッドが 2 つのパイプラインを実行し、サービスアカウントで認証できるようにします。
*3 インフラストラクチャとアプリケーションのパイプラインを別の名前空間で実行する

D. * 1 個別のサービスアカウント (または各デプロイパイプライン) を作成します
※2 サービスアカウントの命名規則にパイプラインの識別子を追加します。
* 3 各パイプラインが専用ポッドで実行されることを確認します。
* 4 Workload Identity を使用して、デプロイメントパイプラインポッドをサービスアカウントにマッピングします。

正解：D 解答を投票する

出題：12

フロントエンドがサブネット A のマネージドインスタンスグループにデプロイされ、データレイヤーが同じ VPC のサブネット B の mysql Compute Engine 仮想マシン (VM) に格納されているアプリケーションがあります。サブネット A とサブネット B は、他のいくつかの Compute Engine VM を保持しています。アプリケーションのフロントエンドがポート 3306 でアプリケーションの mysql インスタンスのデータにアクセスできるようにするだけです。
あなたは何をするべきか？

A. サブネット A の src IP 範囲からポート 3306 の mysql Compute Engine VM に適用されるタグ「data-tag」への通信を許可するイングレスファイアウォールルールを構成します。

B. サブネット A のすべてのインスタンスに適用されるネットワークタグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワークタグ「data-tag」を構成します。次に、通信を許可するイングレスファイアウォールルールを構成します。 fe-tag でタグ付けされた Compute Engine VM から、data-tag でタグ付けされた宛先 Compute Engine VM へ。

C. フロントエンドの一意のサービスアカウントからポート 3306 の mysql Compute Engine VM の一意のサービスアカウントへの通信を許可するイングレスファイアウォールルールを構成します。

D. サブネット A のすべてのインスタンスに適用されるネットワークタグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワークタグ「data-tag」を構成します。次に、通信を許可するエグレスファイアウォールルールを構成します。 data-tag でタグ付けされた Compute Engine VM から、fe-tag でタグ付けされた宛先 Compute Engine VM へ。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：13

Compute Engine でホストされている公開アプリケーションの停止について、ユーザーから報告を受けています。ファイアウォールルールに対する最近の変更が原因であると思われます。ファイアウォールルールが正しく機能しているかどうかをテストする必要があります。あなたは何をするべきか？

A. VPC の踏み台ホストに接続します。ネットワークトラフィックアナライザーを使用して、リクエストがブロックされているポイントを特定します。

B. VPC で VPC フローログを有効にします。ログエクスプローラを使用して、ルールが正しく機能しているかどうかを分析します。

C. 変更された最新のルールでファイアウォールルールログを有効にします。ログエクスプローラを使用して、ルールが正しく機能しているかどうかを分析します。

D. 運用前環境では、すべてのファイアウォールルールを個別に無効にして、ユーザートラフィックをブロックしているルールを特定します。

正解：C 解答を投票する

Professional-Cloud-Security-Engineer日本語試験無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版) 認定」