976 お客様のコメント
質問 1:
あなたのような組織を標的とする脅威アクターがいます。攻撃は常に既知の IP アドレス範囲から開始されます。Application Load Balancer を通じてインターネットに公開されている Web サイトの IP を拒否リストに登録したいと考えています。どうすればよいでしょうか?
A. Application Load Balancer のバックエンドに対して Identity-Aware Proxy をアクティブ化します。プロキシからアプリケーションへのトラフィックのみを許可するファイアウォール ルールを作成します。
B. 既知の IP アドレス範囲に対する拒否ルールを含むクラウド ファイアウォール ポリシーを作成します。ファイアウォール ポリシーをアプリケーション バックエンドを持つ仮想プライベート クラウドに関連付けます。
C. 既知の IP アドレス範囲に対する拒否ルールを含む Cloud Armor ポリシーを作成します。ポリシーを Application Load Balancer のバックエンドにアタッチします。
D. 既知の IP アドレス範囲を含むフィルターを使用してログシンクを作成します。これらの IP から Application Load Balancer にアクセスされたことを検出するアラートをトリガーします。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 2:
組織の Google Cloud VM は、外部ユーザー向けのウェブ サービスをホストするためにパブリック IP アドレスを使用して構成するインスタンス テンプレートを介してデプロイされます。VM は、VM 用の 1 つのカスタム共有 VPC を含むホスト (VPC) プロジェクトに接続されたサービス プロジェクトに存在します。外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように依頼されました。マネージド インスタンス グループ (MIG) を起動するためのパブリック IP アドレス構成なしで、インスタンス テンプレートを既に再作成しています。あなたは何をするべきか?
A. MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロード バランサーをデプロイします。
B. MIG のサービス プロジェクトに Cloud NAT ゲートウェイをデプロイします。
C. MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。
D. MIG をバックエンドとしてサービス プロジェクトに外部 HTTP(S) ロード バランサをデプロイします。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
機密データを保護し、非機密データのキー管理の複雑さを軽減する保管時の暗号化戦略を実装する必要があります。ソリューションには次の要件があります。
* 機密データのキー ローテーションをスケジュールします。
* 機密データの暗号化キーを保存するリージョンを制御します。
* 機密データと非機密データの両方の暗号化キーにアクセスするための待ち時間を最小限に抑えます。
あなたは何をするべきか?
A. 非機密データと機密データを Cloud External Key Manager で暗号化します。
B. 非機密データを Google のデフォルトの暗号化で暗号化し、機密データを Cloud Key Management Service で暗号化します。
C. 非機密データと機密データを Cloud Key Management Service で暗号化します。
D. 非機密データは Google のデフォルトの暗号化で暗号化し、機密データは Cloud External Key Manager で暗号化します。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 4:
あなたは会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリからのメールアドレスを持つすべてのセキュリティ グループを同期したいと考えています。
あなたは何をするべきか?
A. 管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
B. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。
C. 管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
D. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
あなたの組織は、CIS Google Cloud Computing Foundations Benchmark v1 3 0 (CIS Google Cloud Foundation 1 3) に対して継続的に評価されることを望んでいます。コントロールの中には組織に無関係なものもあり、評価では無視する必要があります。関連するコントロールのみが確実に評価されるように、自動化されたシステムまたはプロセスを作成する必要があります。
あなたは何をするべきか?
A. Security Command Center (SCC) プレミアムを有効にする SCC のセキュリティ検出結果をミュートして評価されないようにするルールを作成します。
B. Security Command Center (SCC) からすべての検出結果を CSV ファイルにダウンロードします。 CIS Google Cloud Foundation 1 3 の一部である検出結果をファイル内でマークします。 無関係で会社の範囲外のエントリは無視します。
C. 無関係なすべてのセキュリティ検出結果をタグとセキュリティ例外を示す値でマークします。 マークされた検出結果をすべて選択し、表示されるたびにコンソールでミュートします。 Security Command Center (SCC) Premium をアクティブにします。
D. 外部の監査会社に、必要な CIS ベンチマークを含む独立したレポートの提供を依頼します。監査の範囲内で、一部の管理は不要であり、無視する必要があることを明確にします。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
ある企業は、アナリストと管理者の両方が共有する Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含まないログにのみアクセスできる必要があります。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。
あなたは何をするべきか?
A. Cloud Pub/Sub と Cloud Functions を使用して、ファイルが共有バケットにアップロードされるたびにデータ損失防止スキャンをトリガーします。スキャンで PII が検出された場合は、管理者のみがアクセスできる Cloud Storage バケットに関数を移動します。
B. 共有バケットと管理者のみがアクセスできるバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブトリガーを作成します。PII を含む共有バケットからすべてのファイルを削除するようにトリガーを構成します。
C. アナリストと管理者の両方が共有するバケットで、PII データがアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、そのようなファイルを削除します。
D. アナリストと管理者の両方が共有するバケットで、PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
組織の Cloud Storage バケットのデータをインターネットで一般公開できないようにしたいと考えています。これをすべての Cloud Storage バケットに適用したいと考えています。あなたは何をするべきか?
A. すべての役割から *.setIamPolicy 権限を削除し、組織のポリシーでドメイン制限共有を適用します。
B. 均一なバケット レベルのアクセスを構成し、組織のポリシーでドメイン制限共有を適用します。
C. エンド ユーザーから所有者の役割を削除し、組織のポリシーでドメイン制限共有を適用します。
D. エンド ユーザーから所有者の役割を削除し、Cloud Data Loss Prevention を構成します。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 8:
Google Cloud に規制対象のワークロードをデプロイしています。規制には、データの保存場所とデータ アクセスの要件があります。また、データが存在する場所と同じ地理的な場所からサポートを提供することも求められます。
何をすべきでしょうか?
A. アクセスの透明性ログを有効にします。
B. データ レジデンシー要件によって許可されたリージョンにのみリソースをデプロイします。
C. 保証されたワークロードをデプロイします。
D. データ アクセス ログとアクセスの透明性ログを使用して、別のリージョンのデータにアクセスしているユーザーがいないことを確認します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
あなたのような組織を標的とする脅威アクターがいます。攻撃は常に既知の IP アドレス範囲から開始されます。Application Load Balancer を通じてインターネットに公開されている Web サイトの IP を拒否リストに登録したいと考えています。どうすればよいでしょうか?
A. Application Load Balancer のバックエンドに対して Identity-Aware Proxy をアクティブ化します。プロキシからアプリケーションへのトラフィックのみを許可するファイアウォール ルールを作成します。
B. 既知の IP アドレス範囲に対する拒否ルールを含むクラウド ファイアウォール ポリシーを作成します。ファイアウォール ポリシーをアプリケーション バックエンドを持つ仮想プライベート クラウドに関連付けます。
C. 既知の IP アドレス範囲に対する拒否ルールを含む Cloud Armor ポリシーを作成します。ポリシーを Application Load Balancer のバックエンドにアタッチします。
D. 既知の IP アドレス範囲を含むフィルターを使用してログシンクを作成します。これらの IP から Application Load Balancer にアクセスされたことを検出するアラートをトリガーします。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 2:
組織の Google Cloud VM は、外部ユーザー向けのウェブ サービスをホストするためにパブリック IP アドレスを使用して構成するインスタンス テンプレートを介してデプロイされます。VM は、VM 用の 1 つのカスタム共有 VPC を含むホスト (VPC) プロジェクトに接続されたサービス プロジェクトに存在します。外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように依頼されました。マネージド インスタンス グループ (MIG) を起動するためのパブリック IP アドレス構成なしで、インスタンス テンプレートを既に再作成しています。あなたは何をするべきか?
A. MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロード バランサーをデプロイします。
B. MIG のサービス プロジェクトに Cloud NAT ゲートウェイをデプロイします。
C. MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。
D. MIG をバックエンドとしてサービス プロジェクトに外部 HTTP(S) ロード バランサをデプロイします。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
機密データを保護し、非機密データのキー管理の複雑さを軽減する保管時の暗号化戦略を実装する必要があります。ソリューションには次の要件があります。
* 機密データのキー ローテーションをスケジュールします。
* 機密データの暗号化キーを保存するリージョンを制御します。
* 機密データと非機密データの両方の暗号化キーにアクセスするための待ち時間を最小限に抑えます。
あなたは何をするべきか?
A. 非機密データと機密データを Cloud External Key Manager で暗号化します。
B. 非機密データを Google のデフォルトの暗号化で暗号化し、機密データを Cloud Key Management Service で暗号化します。
C. 非機密データと機密データを Cloud Key Management Service で暗号化します。
D. 非機密データは Google のデフォルトの暗号化で暗号化し、機密データは Cloud External Key Manager で暗号化します。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 4:
あなたは会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリからのメールアドレスを持つすべてのセキュリティ グループを同期したいと考えています。
あなたは何をするべきか?
A. 管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
B. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。
C. 管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
D. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
あなたの組織は、CIS Google Cloud Computing Foundations Benchmark v1 3 0 (CIS Google Cloud Foundation 1 3) に対して継続的に評価されることを望んでいます。コントロールの中には組織に無関係なものもあり、評価では無視する必要があります。関連するコントロールのみが確実に評価されるように、自動化されたシステムまたはプロセスを作成する必要があります。
あなたは何をするべきか?
A. Security Command Center (SCC) プレミアムを有効にする SCC のセキュリティ検出結果をミュートして評価されないようにするルールを作成します。
B. Security Command Center (SCC) からすべての検出結果を CSV ファイルにダウンロードします。 CIS Google Cloud Foundation 1 3 の一部である検出結果をファイル内でマークします。 無関係で会社の範囲外のエントリは無視します。
C. 無関係なすべてのセキュリティ検出結果をタグとセキュリティ例外を示す値でマークします。 マークされた検出結果をすべて選択し、表示されるたびにコンソールでミュートします。 Security Command Center (SCC) Premium をアクティブにします。
D. 外部の監査会社に、必要な CIS ベンチマークを含む独立したレポートの提供を依頼します。監査の範囲内で、一部の管理は不要であり、無視する必要があることを明確にします。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
ある企業は、アナリストと管理者の両方が共有する Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含まないログにのみアクセスできる必要があります。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。
あなたは何をするべきか?
A. Cloud Pub/Sub と Cloud Functions を使用して、ファイルが共有バケットにアップロードされるたびにデータ損失防止スキャンをトリガーします。スキャンで PII が検出された場合は、管理者のみがアクセスできる Cloud Storage バケットに関数を移動します。
B. 共有バケットと管理者のみがアクセスできるバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブトリガーを作成します。PII を含む共有バケットからすべてのファイルを削除するようにトリガーを構成します。
C. アナリストと管理者の両方が共有するバケットで、PII データがアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、そのようなファイルを削除します。
D. アナリストと管理者の両方が共有するバケットで、PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
組織の Cloud Storage バケットのデータをインターネットで一般公開できないようにしたいと考えています。これをすべての Cloud Storage バケットに適用したいと考えています。あなたは何をするべきか?
A. すべての役割から *.setIamPolicy 権限を削除し、組織のポリシーでドメイン制限共有を適用します。
B. 均一なバケット レベルのアクセスを構成し、組織のポリシーでドメイン制限共有を適用します。
C. エンド ユーザーから所有者の役割を削除し、組織のポリシーでドメイン制限共有を適用します。
D. エンド ユーザーから所有者の役割を削除し、Cloud Data Loss Prevention を構成します。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 8:
Google Cloud に規制対象のワークロードをデプロイしています。規制には、データの保存場所とデータ アクセスの要件があります。また、データが存在する場所と同じ地理的な場所からサポートを提供することも求められます。
何をすべきでしょうか?
A. アクセスの透明性ログを有効にします。
B. データ レジデンシー要件によって許可されたリージョンにのみリソースをデプロイします。
C. 保証されたワークロードをデプロイします。
D. データ アクセス ログとアクセスの透明性ログを使用して、別のリージョンのデータにアクセスしているユーザーがいないことを確認します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
桑原** -
重要なキーワードのProfessional-Cloud-Security-Engineer日本語版解説がサイドの所に載っていて分かりやすかったですProfessional-Cloud-Security-Engineer日本語版試験直前の決定版だね!