1047 お客様のコメント
質問 1:
本番環境プロジェクト内のすべての Google Cloud リソースを監査しています。ファイアウォール ルールを変更できるすべてのプリンシパルを特定したいと考えています。
何をすべきでしょうか?
A. ファイアウォール インサイトを使用して、ファイアウォール ルールの使用パターンを把握します。
B. Policy Analyzer を使用して、compute.firewalls.get または compute.firewalls.list の権限を照会します。
C. セキュリティ コマンド センターの「セキュリティ ヘルス分析 - ファイアウォールの脆弱性の検出」を参照します。
D. Policy Analyzer を使用して、compute.firewalls.create または compute.firewalls.update または compute.firewalls.delete の権限を照会します。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 2:
顧客は、Compute Engine で実行されているアプリケーションに、特定の Cloud Storage バケットへの書き込みのみを許可することを希望しています。どのようにアクセス権を付与すればよいでしょうか。
A. アプリケーションのサービス アカウントを作成し、バケット レベルで Cloud Storage オブジェクト作成者の権限を付与します。
B. ユーザー アカウントを作成し、アプリケーションで認証し、バケット レベルで Google ストレージ管理者権限を付与します。
C. アプリケーションのサービス アカウントを作成し、プロジェクトに Cloud Storage オブジェクト作成者の権限を付与します。
D. ユーザー アカウントを作成し、アプリケーションで認証し、プロジェクト レベルで Google ストレージ管理者権限を付与します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
組織では、ターゲットを絞ったマーケティング キャンペーンの顧客行動を予測するための高度な機械学習 (ML) モデルを開発しています。トレーニングに使用される BigQuery データセットには、機密性の高い個人情報が含まれています。AI/ML パイプラインのセキュリティ制御を設計する必要があります。
データのプライバシーはモデルのライフサイクル全体にわたって維持する必要があり、個人データがトレーニング プロセスで使用されないようにする必要があります。さらに、データセットへのアクセスを許可された一部のユーザーのみに制限する必要があります。どうすればよいでしょうか。
A. Cloud Data Loss Prevention (DLP) API を使用して、モデルをトレーニングする前に機密データを匿名化します。
BigQuery へのアクセスを制御するために、厳格な Identity and Access Management (IAM) ポリシーを実装します。
B. 使用中のデータとコードの保護を強化するために、モデルを Confidential VMs にデプロイします。厳格な Identity and Access Management (IAM) ポリシーを実装して、BigQuery へのアクセスを制御します。
C. Identity-Aware Proxy を実装して、ユーザー ID とデバイスに基づいて BigQuery とモデルへのコンテキスト認識アクセスを適用します。
D. パイプラインに顧客管理の暗号鍵 (CMEK) を使用して保存時の暗号化を実装します。厳格な Identity and Access Management (IAM) ポリシーを実装して、BigQuery へのアクセスを制御します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 4:
お客様の内部セキュリティ チームは、Cloud Storage 上のデータを暗号化するために独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵(CSEK)を使用することにしました。
チームはこのタスクをどのように完了する必要がありますか?
A. オブジェクトを暗号化してから、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。
B. gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。
C. 暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。
D. Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
安全なネットワーク アーキテクチャを作成しています。開発環境と運用環境を完全に分離し、2 つの環境間のネットワーク トラフィックを防止する必要があります。ネットワーク チームは、オンプレミス環境からクラウド ネットワークへの中央エントリ ポイントが 1 つだけであることを要求しています。どうすればよいでしょうか。
A. 環境ごとに 1 つの Virtual Private Cloud (VPC) ネットワークを作成します。クラウド ネットワークへのエントリ ポイント用に、追加の VPC を 1 つ作成します。エントリ ポイント VPC を環境 VPC とピアリングします。
B. 環境ごとに 1 つの Virtual Private Cloud (VPC) ネットワークを作成します。環境ごとに VPC Service Controls 境界を作成し、それぞれに 1 つの環境 VPC を追加します。
C. 共有仮想プライベート クラウド (VPC) ネットワークを 1 つ作成し、それをクラウド ネットワークへのエントリ ポイントとして使用します。環境ごとに個別のサブネットを作成します。トラフィックを防止するファイアウォール ルールを作成します。
D. 環境ごとに 1 つの仮想プライベート クラウド (VPC) ネットワークを作成します。オンプレミスのエントリ ポイントを本番環境の VPC に追加します。VPC を相互にピアリングし、トラフィックを防止するファイアウォール ルールを作成します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
あなたの会社では、セキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用する必要がありますか?
A. 組織のポリシーの制約を定義します。
B. パケット ミラーリング ポリシーを構成します。
C. クラウド監査ログを監視および分析します。
D. サブネットで VPC フロー ログを有効にします。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
顧客の会社には複数のビジネス ユニットがあります。各ビジネス ユニットは独立して運営されており、それぞれに独自のエンジニアリング グループがあります。あなたのチームは、社内で作成されたすべてのプロジェクトを可視化し、さまざまなビジネス ユニットに基づいて Google Cloud Platform (GCP) プロジェクトを整理したいと考えています。各ビジネス ユニットには、個別の IAM アクセス許可のセットも必要です。
これらのニーズを満たすには、どの戦略を使用する必要がありますか?
A. ビジネス ユニットごとに VPC 内の GCP リソースを割り当てて、ネットワーク アクセスを分離します。
B. gmail.com アカウントを使用して、ビジネス ユニットごとに独立したプロジェクトを確立します。
C. どのビジネス ユニットがリソースを所有しているかを示すラベルを付けて、プロジェクト内の GCP リソースを割り当てます。
D. 組織ノードを作成し、各ビジネス ユニットにフォルダーを割り当てます。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 8:
あなたは、厳格なデータ保護要件を持つ規制業界の組織で働いています。組織は、データをクラウドにバックアップします。データのプライバシー規制に準拠するために、このデータは特定の期間のみ保存でき、この特定の期間が経過したら削除する必要があります。
ストレージ コストを最小限に抑えながら、この規制への準拠を自動化したい。あなたは何をするべきか?
A. データを BigQuery テーブルに保存し、テーブルの有効期限を設定します。
B. データを Cloud Bigtable テーブルに保存し、列ファミリーに有効期限を設定します。
C. データを永続ディスクに保存し、有効期限が切れたらディスクを削除します。
D. Cloud Storage バケットにデータを保存し、バケットのオブジェクト ライフサイクル管理機能を構成します。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
本番環境プロジェクト内のすべての Google Cloud リソースを監査しています。ファイアウォール ルールを変更できるすべてのプリンシパルを特定したいと考えています。
何をすべきでしょうか?
A. ファイアウォール インサイトを使用して、ファイアウォール ルールの使用パターンを把握します。
B. Policy Analyzer を使用して、compute.firewalls.get または compute.firewalls.list の権限を照会します。
C. セキュリティ コマンド センターの「セキュリティ ヘルス分析 - ファイアウォールの脆弱性の検出」を参照します。
D. Policy Analyzer を使用して、compute.firewalls.create または compute.firewalls.update または compute.firewalls.delete の権限を照会します。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 2:
顧客は、Compute Engine で実行されているアプリケーションに、特定の Cloud Storage バケットへの書き込みのみを許可することを希望しています。どのようにアクセス権を付与すればよいでしょうか。
A. アプリケーションのサービス アカウントを作成し、バケット レベルで Cloud Storage オブジェクト作成者の権限を付与します。
B. ユーザー アカウントを作成し、アプリケーションで認証し、バケット レベルで Google ストレージ管理者権限を付与します。
C. アプリケーションのサービス アカウントを作成し、プロジェクトに Cloud Storage オブジェクト作成者の権限を付与します。
D. ユーザー アカウントを作成し、アプリケーションで認証し、プロジェクト レベルで Google ストレージ管理者権限を付与します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
組織では、ターゲットを絞ったマーケティング キャンペーンの顧客行動を予測するための高度な機械学習 (ML) モデルを開発しています。トレーニングに使用される BigQuery データセットには、機密性の高い個人情報が含まれています。AI/ML パイプラインのセキュリティ制御を設計する必要があります。
データのプライバシーはモデルのライフサイクル全体にわたって維持する必要があり、個人データがトレーニング プロセスで使用されないようにする必要があります。さらに、データセットへのアクセスを許可された一部のユーザーのみに制限する必要があります。どうすればよいでしょうか。
A. Cloud Data Loss Prevention (DLP) API を使用して、モデルをトレーニングする前に機密データを匿名化します。
BigQuery へのアクセスを制御するために、厳格な Identity and Access Management (IAM) ポリシーを実装します。
B. 使用中のデータとコードの保護を強化するために、モデルを Confidential VMs にデプロイします。厳格な Identity and Access Management (IAM) ポリシーを実装して、BigQuery へのアクセスを制御します。
C. Identity-Aware Proxy を実装して、ユーザー ID とデバイスに基づいて BigQuery とモデルへのコンテキスト認識アクセスを適用します。
D. パイプラインに顧客管理の暗号鍵 (CMEK) を使用して保存時の暗号化を実装します。厳格な Identity and Access Management (IAM) ポリシーを実装して、BigQuery へのアクセスを制御します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 4:
お客様の内部セキュリティ チームは、Cloud Storage 上のデータを暗号化するために独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵(CSEK)を使用することにしました。
チームはこのタスクをどのように完了する必要がありますか?
A. オブジェクトを暗号化してから、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。
B. gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。
C. 暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。
D. Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
安全なネットワーク アーキテクチャを作成しています。開発環境と運用環境を完全に分離し、2 つの環境間のネットワーク トラフィックを防止する必要があります。ネットワーク チームは、オンプレミス環境からクラウド ネットワークへの中央エントリ ポイントが 1 つだけであることを要求しています。どうすればよいでしょうか。
A. 環境ごとに 1 つの Virtual Private Cloud (VPC) ネットワークを作成します。クラウド ネットワークへのエントリ ポイント用に、追加の VPC を 1 つ作成します。エントリ ポイント VPC を環境 VPC とピアリングします。
B. 環境ごとに 1 つの Virtual Private Cloud (VPC) ネットワークを作成します。環境ごとに VPC Service Controls 境界を作成し、それぞれに 1 つの環境 VPC を追加します。
C. 共有仮想プライベート クラウド (VPC) ネットワークを 1 つ作成し、それをクラウド ネットワークへのエントリ ポイントとして使用します。環境ごとに個別のサブネットを作成します。トラフィックを防止するファイアウォール ルールを作成します。
D. 環境ごとに 1 つの仮想プライベート クラウド (VPC) ネットワークを作成します。オンプレミスのエントリ ポイントを本番環境の VPC に追加します。VPC を相互にピアリングし、トラフィックを防止するファイアウォール ルールを作成します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
あなたの会社では、セキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用する必要がありますか?
A. 組織のポリシーの制約を定義します。
B. パケット ミラーリング ポリシーを構成します。
C. クラウド監査ログを監視および分析します。
D. サブネットで VPC フロー ログを有効にします。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
顧客の会社には複数のビジネス ユニットがあります。各ビジネス ユニットは独立して運営されており、それぞれに独自のエンジニアリング グループがあります。あなたのチームは、社内で作成されたすべてのプロジェクトを可視化し、さまざまなビジネス ユニットに基づいて Google Cloud Platform (GCP) プロジェクトを整理したいと考えています。各ビジネス ユニットには、個別の IAM アクセス許可のセットも必要です。
これらのニーズを満たすには、どの戦略を使用する必要がありますか?
A. ビジネス ユニットごとに VPC 内の GCP リソースを割り当てて、ネットワーク アクセスを分離します。
B. gmail.com アカウントを使用して、ビジネス ユニットごとに独立したプロジェクトを確立します。
C. どのビジネス ユニットがリソースを所有しているかを示すラベルを付けて、プロジェクト内の GCP リソースを割り当てます。
D. 組織ノードを作成し、各ビジネス ユニットにフォルダーを割り当てます。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 8:
あなたは、厳格なデータ保護要件を持つ規制業界の組織で働いています。組織は、データをクラウドにバックアップします。データのプライバシー規制に準拠するために、このデータは特定の期間のみ保存でき、この特定の期間が経過したら削除する必要があります。
ストレージ コストを最小限に抑えながら、この規制への準拠を自動化したい。あなたは何をするべきか?
A. データを BigQuery テーブルに保存し、テーブルの有効期限を設定します。
B. データを Cloud Bigtable テーブルに保存し、列ファミリーに有効期限を設定します。
C. データを永続ディスクに保存し、有効期限が切れたらディスクを削除します。
D. Cloud Storage バケットにデータを保存し、バケットのオブジェクト ライフサイクル管理機能を構成します。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
Nomoto -
確実に合格できそうである。Pass4Testさん、先にあざっす
各項の注目点と基本的な考え方が分かりやすい内容だ。