Professional-Cloud-Security-Engineer日本語試験無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版) 認定」

A. OS Config Management エージェントを VM に展開します。OS Config Management を使用して、パッチ管理ジョブを作成し、システムの変更を監視します。

B. Cloud Monitoring のメトリックス エクスプローラーを有効にして、サービス アカウントの認証イベントを追跡し、それにリンクされたアラートを作成します。

C. Cloud Audit Logs を使用します。ログ エクスポート シンクを作成し、これらのログをセキュリティ情報イベント管理 (SIEM) ソリューションに送信して、他のイベント ソースとの相関関係を確認します。

D. IAM ポリシーの変更によって Google Cloud Functions がトリガーされるように設定します。ポリシーシミュレータを使用して変更を分析し、リスクの高い変更があった場合にアラートを送信し、イベントの詳細を保存します。

A. 顧客管理の暗号鍵

B. クラウド外部キー マネージャー

C. 顧客提供の暗号化キー

D. Google のデフォルトの暗号化

A. 再認証頻度（または Google Cloud セッション制御）を 1 時間に設定します。

B. 組織ポリシーの制約を設定する
制約/iam.allowServiceAccountCredentialLifetimeExtension を 1 時間に設定します。

C. 組織ポリシー制約の constraints/iam. serviceAccountKeyExpiryHours を 1 時間に設定し、inheritFromParent を false に設定します。

D. Google セッション コントロールのセッション期間を 1 時間に設定します。

A. 各 Active Directory グループに対応する権限を持つ Identity and Access Management (1AM) ロールを作成します。

B. 各 Active Directory グループに対応する権限を持つ Identity and Access Management (1AM) グループを作成します。

C. Google Cloud Directory Sync をインストールし、Active Directory と Cloud Identity に接続します。

D. Cloud Identity SAML 統合を使用して、ユーザーとグループを Google Cloud にプロビジョニングします。

E. Identity Platform を使用して、ユーザーとグループを Google Cloud にプロビジョニングします。

A. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。

B. 管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

C. 管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

D. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。

A. vertexaiallowedModels制約を制限する組織ポリシーを実装する

B. Vertex AI のユーザー アクティビティ ログを定期的に監査し、承認されていないモデルへのアクセスを識別して取り消します。

C. 特定のモデルへのアクセスを制限するために、個々のモデルガーデンにIAM権限を設定します。

D. Vertex AI プロジェクト内でカスタムモデルをトレーニングし、これらのモデルへのユーザーアクセスを制限します。

A. Compute Engine のゲスト属性

B. Compute Engine カスタム メタデータ

C. クラウド鍵管理サービス

D. シークレット マネージャー

A. gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。

B. オブジェクトを暗号化してから、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。

C. Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。

D. 暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。

A. すべての VM インスタンスは同じネットワーク サブネットに存在します。

B. すべての VM インスタンスは同じネットワーク ルートで構成されています。

C. VPC ファイアウォール ルールは、優先度 1001 の同じサービス アカウントに基づいてソース/ターゲット間のトラフィックを許可しています。

D. VPC ファイアウォール ルールは、優先度 999 の同じサービス アカウントに基づいてソース/ターゲット間のトラフィックを許可しています。

E. すべての VM インスタンスにそれぞれのネットワーク タグがありません。

A. パスワードの最小長を 6 文字に設定します。

B. パスワードの最小長を 10 文字に設定します。

C. パスワードの最小長を 8 文字に設定します。

D. パスワードの最小長を 12 文字に設定します。

A. 機密データにアクセスするために、Compute Engine VM を Confidential VMs に移行します。

B. Cloud 外部キー マネージャーを構成して、機密データを Cloud Storage にアップロードする前に暗号化し、VM にダウンロードした後に復号化します。

C. 顧客管理の暗号鍵を構成して、機密データを Cloud Storage にアップロードする前に暗号化し、VM にダウンロードした後に機密データを復号します。

D. 既存の Compute Engine VM と Cloud Storage バケット全体に VPC Service Controls のサービス境界を作成します。

E. 機密データにアクセスするための Confidential VM を作成します。

A. Pub/Sub を実装して、各プロジェクトのすべての監査ログを外部のセキュリティ情報イベント管理 (SIEM) にリアルタイムでストリーミングし、長期的な分析を行う

B. 組織レベルの Cloud Logging シンクを確立して、オブジェクト保持ロック付きの専用の Cloud Storage バケットに Cloud Audit Logs をエクスポートします。

C. 各プロジェクト内のすべての Google Cloud サービスに対して Cloud Audit Logs を個別に構成し、30 日間の保持ポリシーでリージョンの Cloud Logging バケットにログを保存します。

D. 組織全体で Security Command Center を有効にして、脅威を一元的に可視化し、すべての Google Cloud プロジェクトのコンプライアンス体制を管理します。

A. 非機密データを Google のデフォルトの暗号化で暗号化し、機密データを Cloud Key Management Service で暗号化します。

B. 非機密データと機密データを Cloud Key Management Service で暗号化する

C. 非機密データと機密データを Cloud External Key Manager で暗号化します。

D. 非機密データは Google のデフォルトの暗号化で暗号化し、機密データは Cloud External Key Manager で暗号化します。

A. compute.sharedReservationsOwnerProjects

B. compute.restrictXpnProjectLienRemoval

C. compute.restrictSharedVpcSubnetworks

D. compute.restrictSharedVpcHostProjects

A. OS ログインを有効にして要塞ホストを構成し、VPC ファイアウォールでポート 5601 への接続を許可します。ブラウザの SSH を使用して Google Cloud コンソールから要塞ホストにログインし、次にウェブ アプリケーションにログインします。

B. パブリックネットワークにセキュアシェルアクセス（SSH）の要塞ホストを設定し、その要塞ホストのみがポート5601でアプリケーションに接続できるようにします。要塞ホストをジャンプホストとして使用してアプリケーションに接続します。

C. Google 認証情報を使用して、Identity-Aware Proxy (IAP) 保護を備えたマネージド グループを指す HTTP ロード バランシング インスタンスを構成します。VPC ファイアウォールを変更して、IAP ネットワーク範囲からのアクセスを許可します。

D. デフォルトのルート ポイントをデフォルトのインターネット ゲートウェイに設定して VPC ルーティングを変更します。VPC ファイアウォール ルールを変更して、インターネット 0.0.0.0/0 からアプリケーション インスタンスのポート 5601 へのアクセスを許可します。

A. * 1- Cloud Build を使用して、ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) レベル 3 保証を生成します。
* 2. Google Cloud コンソール内のセキュリティ分析情報サイドパネルでビルドの由来を表示します。

B. * 1、ソフトウェアコードをオープンソースとしてGitHubで公開します。
* 2. バグ報奨金プログラムを設立し、オープンソース コミュニティに脆弱性の確認、報告、修正を奨励します。

C. * 1. ソフトウェアプロセスを確認します。
* 2. 秘密鍵と公開鍵のペアを生成し、Pretty Good Privacy (PGP) プロトコルを使用して、企業の住所と連絡先を含むファイルとともに出力ソフトウェア成果物に署名します。
* 3. PGP 署名された証明書を公開 Web ページに公開します。

D. * 1. 外部監査人を雇ってレビューと出所の提供を依頼する
* 2. 範囲と条件を定義します。
* 3. セキュリティ部門または担当者からサポートを受けます。