Google Cloud認定資格Professional Cloud Security Engineer100題 問題集全問解答+全問解説付き
Google Cloud認定資格Professional Cloud Security Engineerの過去問100題を全問解答+全問解説付き
Google Cloud Professional Cloud Security Engineerの最新の問題になります。
筆者が実際に受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計100題。
実際に受験し、重複問題や類似問題を削除しています。
この100問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。
ここから問題と解答/解説になります。
100題、全問解答+全問解説付きになります。
1.
プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成します。
Google が推奨する方法に従いたい。
あなたは何をするべきか?
A. 権限 compute.instances.list を持つカスタム ロールを作成し、サービス アカウントにこのロールを付与します。
B. サービス アカウントに Compute Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
C. インスタンス テンプレートを作成し、サービス アカウントに Compute Engine アクセス スコープの読み取り専用アクセスを許可します。
D. サービス アカウントに Project Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
正解:C
解説:
Aは、最小特権の原則に従っています。Compute Engine インスタンスを一覧表示するだけの場合は、compute.instances.list 権限のみが必要です。カスタム ロールを作成して、この権限のみをサービス アカウントに付与できます。
Bは、最小特権の原則に反しています。Compute Viewer の役割には、Compute Engine インスタンスの読み取り、書き込み、削除の権限が含まれます。プロジェクト内のすべてのインスタンスに新しいサービス アカウントを使用している場合は、これらの権限のすべてが付与されます。
Cは、Google が推奨する方法です。インスタンス テンプレートを使用して、サービス アカウントに Compute Engine アクセス スコープの読み取り専用アクセスを許可できます。これにより、サービス アカウントは Compute Engine インスタンスを一覧表示できますが、それ以外は何もできません。
Dは、最小特権の原則に反しています。Project Viewer の役割には、プロジェクト内のすべてのリソースに対する読み取りアクセス権が含まれます。プロジェクト内のすべてのインスタンスに新しいサービス アカウントを使用している場合は、これらの権限のすべてが付与されます。
したがって、プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成するには、インスタンス テンプレートを使用して、サービス アカウントに Compute Engine アクセス スコープの読み取り専用アクセスを許可するのが最適な方法です。
2.
組織は、現在のオンプレミスの生産性向上ソフトウェア システムから G Suite に移行しています。以前のオンプレミス システムに対して、地域の規制機関によって義務付けられた、いくつかのネットワーク セキュリティ制御が実施されていました。組織のリスク チームは、ネットワーク セキュリティ制御が維持され、G Suite で有効であることを確認したいと考えています。この移行をサポートするセキュリティ アーキテクトは、組織と Google Cloud の間の新しい共有責任モデルの一部として、ネットワーク セキュリティ制御を確実に実施するよう求められました。
要件を満たすのに役立つソリューションはどれですか?
A. ネットワーク セキュリティは組み込みソリューションであり、G Suite などの SaaS プロダクトに対する Google のクラウド責任です。
B. Cloud Armor をセットアップして、G Suite のネットワーク セキュリティ コントロールを確実に管理できるようにします。
C. Virtual Private Cloud (VPC) ネットワークのアレイをセットアップして、関連する規制で義務付けられているネットワーク セキュリティを制御します。
D. ファイアウォール ルールが必要な制御を満たすように設定されていることを確認します。
正解:B
解説:
Aは、誤りです。ネットワーク セキュリティは、SaaS プロダクトに対する Google のクラウド責任の一部ですが、組織は、適用されるすべての規制要件を満たす責任があります。
Bは、正解です。Cloud Armor は、Google Cloud のネットワーク セキュリティ サービスです。組織は、Cloud Armor を使用して、G Suite へのネットワーク アクセスを制御し、関連する規制で義務付けられているネットワーク セキュリティ コントロールを実装できます。
Cは、誤りです。VPC ネットワーク アレイは、複数の VPC ネットワークを管理するための論理的な方法を提供します。ただし、ネットワーク セキュリティ コントロールを提供するわけではありません。
Dは、誤りです。ファイアウォール ルールは、ネットワーク トラフィックの許可と拒否を制御する重要なネットワーク セキュリティ コントロールです。ただし、ファイアウォール ルールだけでは、すべてのネットワーク セキュリティ要件を満たすことはできません。
したがって、要件を満たすのに役立つソリューションは、Cloud Armor をセットアップすることです。Cloud Armor を使用すると、組織は、G Suite へのネットワーク アクセスを制御し、関連する規制で義務付けられているネットワーク セキュリティ コントロールを実装できます。
3.
ある企業が Google Kubernetes Engine でウェブショップを運営しており、BigQuery で顧客のトランザクションを分析したいと考えています。クレジット カード番号が BigQuery に保存されないようにする必要があります。どうすればいいでしょうか?
A. クレジット カード番号に一致する正規表現を使用して BigQuery ビューを作成し、影響を受ける行をクエリして削除します。
B. データが BigQuery に取り込まれる前に、Cloud Data Loss Prevention API を使用して、関連する infoType を秘匿化します。
C. Security Command Center を利用して、BigQuery でクレジット カード番号タイプのアセットをスキャンします。
D. Cloud Identity-Aware Proxy を有効にして、ログを BigQuery に保存する前にクレジット カード番号を除外します。
正解:B
解説:
Aは、誤りです。この方法では、クレジット カード番号が BigQuery に保存された後に、クレジット カード番号を削除する必要があります。これは、大量のデータを処理する必要がある場合、非常に時間がかかる可能性があります。
Bは、正解です。Cloud Data Loss Prevention API を使用して、データが BigQuery に取り込まれる前に、関連する infoType を秘匿化できます。これにより、クレジット カード番号が BigQuery に保存されることを防ぐことができます。
Cは、誤りです。Security Command Center は、セキュリティ インシデントを検出するためのツールです。クレジット カード番号が BigQuery に保存されていることを検出することはできますが、クレジット カード番号を BigQuery に保存するのを防ぐことはできません。
Dは、誤りです。Cloud Identity-Aware Proxy は、API へのアクセスを制御するためのツールです。ログを BigQuery に保存する前にクレジット カード番号を除外することはできますが、この方法では、ログの完全性が損なわれる可能性があります。
したがって、クレジット カード番号が BigQuery に保存されないようにするには、Cloud Data Loss Prevention API を使用して、データが BigQuery に取り込まれる前に、関連する infoType を秘匿化するのが最善の方法です。
4.
組織は、いくつかのミッション クリティカルなアプリケーションをオンプレミスで維持しながら、アプリケーションを Google Cloud に移行しています。組織は、少なくとも 50 Gbps の帯域幅でデータを転送する必要があります。サイト間の安全な継続的な接続を確保するために、何を使用する必要がありますか?
A. パートナー インターコネクト
B. クラウド VPN
C. クラウド ルーター
D. 専用相互接続
正解:D
解説:
Aは、誤りです。パートナー インターコネクトは、Google Cloud とパートナーのネットワーク間の接続を提供します。ただし、帯域幅は 50 Gbps 未満です。
Bは、誤りです。クラウド VPN は、インターネットを介して Google Cloud とオンプレミス ネットワークを接続します。ただし、帯域幅は 50 Gbps 未満です。
Cは、誤りです。クラウド ルータは、Google Cloud 内のネットワークを接続するために使用されます。ただし、オンプレミス ネットワークと Google Cloud を接続するためには使用されません。
Dは、正解です。専用相互接続は、Google Cloud とオンプレミス ネットワーク間の専用リンクを提供します。このリンクは、必要に応じて 50 Gbps 以上の帯域幅をサポートできます。
したがって、ミッション クリティカルなアプリケーションをサポートするために、少なくとも 50 Gbps の帯域幅でデータを転送するには、専用相互接続を使用する必要があります。
5.
ある組織は最近、App Engine を使用して、顧客向けの新しい Web アプリケーションを構築およびホストし始めました。組織は、既存の IAM セットアップを使用して、開発者の従業員がアプリケーションへのリモート アクセスを昇格できるようにしたいと考えています。これにより、HTTPS 接続を介してアプリケーションに更新と修正をプッシュできるようになります。開発者以外の従業員は、開発権限なしで製品版にのみアクセスできるようにする必要があります。これらの要件を満たすには、どの Google Cloud Platform ソリューションを使用する必要がありますか?
A. Cloud VPN 経由の従業員アクセス用に Cloud Identity を使用して、組織の Active Directory を同期します。
B. アプリケーションのアクセス制御リスト (ACL) から Google グループを削除して、開発者以外の従業員のアクセスを無効にします。
C. Cloud Identity-Aware Proxy (Cloud IAP) をセットアップして、従業員アクセスの認証とさまざまな承認レベルを管理します。
D. Virtual Private Cloud (VPC) ファイアウォール ルールを設定して、従業員アクセスの認証とさまざまな承認レベルを管理します。
正解:C
解説:
Aは、誤りです。Cloud VPN は、インターネットを介して Google Cloud とオンプレミス ネットワークを接続します。ただし、アプリケーションへのアクセスを制御する機能は提供しません。
Bは、誤りです。アプリケーションの ACL は、アプリケーションへのアクセスを制御するために使用できます。ただし、開発者以外の従業員のアクセスを無効にするだけでは、開発者の従業員がアプリケーションへのリモート アクセスを昇格できるようにすることはできません。
Cは、正解です。Cloud IAP は、Google Cloud リソースへのアクセスを認証および承認するためのサービスです。Cloud IAP を使用すると、組織は、既存の IAM セットアップを使用して、開発者の従業員に昇格されたアクセスを付与できます。また、開発者以外の従業員のアクセスを制限することもできます。
Dは、誤りです。VPC ファイアウォール ルールは、ネットワーク トラフィックの許可と拒否を制御するために使用できます。ただし、アプリケーションへのアクセスを制御する機能は提供しません。
したがって、開発者の従業員がアプリケーションへのリモート アクセスを昇格できるようにするには、Cloud IAP をセットアップするのが最善の方法です。
6.
組織の一般的なネットワークとセキュリティのレビューは、アプリケーションの通過経路、要求処理、およびファイアウォール ルールの分析で構成されます。彼らは、開発者チームがこの完全なレビューのオーバーヘッドなしで新しいアプリケーションを展開できるようにしたいと考えています。
この組織にどのようにアドバイスする必要がありますか?
A. すべての運用アプリケーションはオンプレミスで実行されます。開発者が GCP を開発および QA プラットフォームとして自由に使用できるようにします。
B. すべての VPC トラフィックをお客様が管理するルーター経由でルーティングして、本番環境で悪意のあるパターンを検出します。
C. コードとしてのインフラストラクチャの使用を義務付け、ポリシーを適用するために CI/CD パイプラインで静的分析を提供します。
D. Forseti とファイアウォール フィルターを使用して、運用環境で不要な構成をキャッチします。
正解:C
解説:
Aは、誤りです。オンプレミスでは、Google Cloud のセキュリティ機能の多くを利用できません。そのため、オンプレミス アプリケーションのセキュリティを維持することは、クラウド アプリケーションのセキュリティを維持するよりも困難になる可能性があります。
Bは、誤りです。お客様が管理するルーターは、悪意のあるパターンを検出するための十分な機能を提供しません。また、このソリューションは、すべての VPC トラフィックをお客様が管理するルーター経由でルーティングする必要があり、運用の効率を損なう可能性があります。
Cは、正解です。コードとしてのインフラストラクチャ (IaC) は、インフラストラクチャをコードとして記述する方法です。IaC を使用すると、インフラストラクチャの構成を自動化し、変更を検証して追跡しやすくすることができます。また、IaC は、静的分析を使用して、インフラストラクチャ構成がポリシーに準拠していることを確認するために使用できます。
Dは、誤りです。Forseti とファイアウォール フィルターは、運用環境で不要な構成をキャッチするために使用できます。ただし、これらのツールは、アプリケーションの通過経路や要求処理などのすべてのセキュリティ メトリックを確認することはできません。
したがって、開発者チームがこの完全なレビューのオーバーヘッドなしで新しいアプリケーションを展開できるようにするには、コードとしてのインフラストラクチャの使用を義務付け、ポリシーを適用するために CI/CD パイプラインで静的分析を提供するのが最善の方法です。
7.
顧客は、平文のシークレットをソース コード管理 (SCM) システムに保存する代わりの方法を必要としています。
お客様は、Google Cloud Platform を使用してこれをどのように達成する必要がありますか?
A. Cloud Source Repositories を使用し、シークレットを Cloud SQL に保存します。
B. Cloud Data Loss Prevention API を実行してシークレットをスキャンし、Cloud SQL に保存します。
C. ローカル SSD を使用して SCM を Compute Engine VM にデプロイし、プリエンプティブル VM を有効にします。
D. シークレットを顧客管理の暗号鍵 (CMEK) で暗号化し、Cloud Storage に保存します。
正解:D
解説:
Aは、誤りです。Cloud Source Repositories は、SCM システムですが、シークレットを保存するための安全な方法を提供しません。
Bは、誤りです。Cloud Data Loss Prevention API は、データ損失防止ソリューションであり、シークレットをスキャンして識別することはできますが、シークレットを暗号化することはできません。
Cは、誤りです。プリエンプティブル VM は、割引価格で使用できる VM ですが、セキュリティのためにシークレットをローカル SSD に保存することはお勧めしません。
Dは、正解です。CMEK は、顧客が管理する暗号鍵であり、Cloud Storage でデータを暗号化するために使用できます。シークレットを CMEK で暗号化すると、シークレットが平文で保存されることがなくなります。
したがって、顧客は、シークレットを CMEK で暗号化し、Cloud Storage に保存することで、平文のシークレットを SCM システムに保存するのを防ぐことができます。
8.
顧客は、モバイル ワーカーが Google Cloud Platform (GCP) でホストされている CRM Web インターフェイスにアクセスできるようにしたいと考えています。CRM には、企業ネットワーク上のユーザーのみがアクセスできます。顧客は、それをインターネット経由で利用できるようにしたいと考えています。あなたのチームは、2 要素認証をサポートするアプリケーションの前に認証レイヤーを必要としています。これらの要件を満たすために、お客様はどの GCP プロダクトを実装する必要がありますか?
A. クラウド エンドポイント
B. クラウド VPN
C. Cloud Identity-Aware Proxy
D. クラウドアーマー
正解:C
解説:
Aは、誤りです。クラウド エンドポイントは、オンプレミス ネットワークと GCP リソース間のプライベート接続を提供するサービスです。ただし、このサービスは、アプリケーションへのアクセスを制御する機能は提供しません。
Bは、誤りです。クラウド VPN は、インターネットを介して GCP とオンプレミス ネットワークを接続するサービスです。ただし、このサービスは、アプリケーションへのアクセスを制御する機能は提供しません。
Cは、正解です。Cloud Identity-Aware Proxy (Cloud IAP) は、Google Cloud リソースへのアクセスを認証および承認するためのサービスです。Cloud IAP は、2 要素認証をサポートするアプリケーションの前に認証レイヤーを提供できます。
Dは、誤りです。クラウドアーマーは、アプリケーションを保護するためのサービスです。ただし、このサービスは、アプリケーションへのアクセスを制御する機能は提供しません。
したがって、モバイル ワーカーがインターネット経由で GCP でホストされている CRM Web インターフェイスにアクセスできるようにするには、Cloud IAP を実装するのが最善の方法です。
9.
CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか?(2つ選んでください。)
A. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナー イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。
B. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナー イメージを検証するステップを追加します。
C. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナ イメージが見つかった場合はアラートを生成します。
D. Cloud Source Repositories リポジトリ内のコンテナ テンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。
E. Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナ イメージを自動的にスキャンします。
正解:A,C
解説:
Aは、正解です。このソリューションは、クラウドネイティブであり、費用対効果が高く、運用上のオーバーヘッドを最小限に抑えることができます。
CI/CD パイプラインで、コンテナー イメージを検証し、脆弱性が見つからない場合は、コンテナー イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックすることで、既知の脆弱性を持つコンテナーがデプロイされるのを防ぐことができます。
Cも、正解です。このソリューションは、クラウドネイティブであり、費用対効果が高く、運用上のオーバーヘッドを最小限に抑えることができます。
Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナ イメージが見つかった場合はアラートを生成することで、既知の脆弱性を持つコンテナーがデプロイされるのを防ぐことができます。
Bは、誤りです。このソリューションはクラウドネイティブではありません。Jenkins は、クラウドネイティブなソリューションではありません。また、運用上のオーバーヘッドが高くなる可能性があります。
Dは、誤りです。このソリューションは、運用上のオーバーヘッドが高くなる可能性があります。Cloud Build パイプラインは、コンテナ イメージをビルドするために使用されます。コンテナ イメージを検証するために Cloud Build パイプラインを使用する場合は、ビルドのたびにコンテナ イメージを検証する必要があります。
Eは、誤りです。このソリューションは、運用上のオーバーヘッドが高くなる可能性があります。Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナ イメージを自動的にスキャンする場合は、ログ イベントをモニタリングするために Cloud Function を定期的に実行する必要があります。
10.
脆弱性に対するパッチがリリースされ、DevOps チームは Google Kubernetes Engine (GKE) で実行中のコンテナを更新する必要があります。
DevOps チームはこれをどのように達成する必要がありますか?
A. Puppet または Chef を使用して、実行中のコンテナーにパッチをプッシュします。
B. アプリケーション コードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイします。
C. 自動アップグレードが有効になっていることを確認します。その場合、Google は GKE クラスタ内のノードをアップグレードします。
D. Container Registry で基本イメージが使用可能になったときにコンテナーを自動的にアップグレードするように構成します。
正解:C
解説:
Aは、誤りです。Puppet または Chef は、インフラストラクチャをプロビジョニングおよび管理するためのツールです。コンテナを更新するために使用することはできません。
Bは、正解です。これは、脆弱性に対するパッチを適用する最も一般的で信頼性の高い方法です。アプリケーション コードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイすると、脆弱性のない新しいコンテナーが作成されます。
Cは、誤りです。自動アップグレードは、GKE クラスタ内のノードをアップグレードするために使用されます。コンテナをアップグレードするために使用することはできません。
Dは、誤りです。Container Registry で基本イメージが使用可能になったときにコンテナーを自動的にアップグレードするように構成することはできますが、これは、脆弱性に対するパッチが適用された新しい基本イメージがリリースされた場合にのみ機能します。
したがって、DevOps チームは、脆弱性に対するパッチを適用するには、アプリケーション コードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイする必要があります。
ここから先は
¥ 2,000
この記事が気に入ったらチップで応援してみませんか?