Professional-Cloud-Security-Engineer日本語 Exam Training Practice Tests (Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版))]

Question 1

組織では Vertex AI Workbench インスタンスを使用しています。新しくデプロイされたインスタンスが自動的に最新の状態に保たれ、ユーザーが誤ってオペレーティングシステムの設定を変更できないようにする必要があります。どうすればよいでしょうか？

A. VM マネージャーを有効にし、対応する Google Compute Engine インスタンスが追加されていることを確認します。 B. 新しくデプロイされたインスタンスに対して、disableRootAccess および requireAutoUpgradeSchedule 組織ポリシーを適用します。 C. タグを使用して、対応する Google Compute Engine インスタンスへの Secure Shell アクセスを防止するファイアウォールルールを実装します。 D. AI ワークベンチインスタンスのユーザーに AI Notebooks ランナーと AI Notebooks ビューアーのロールを割り当てます。

Correct Answer: B

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 2

企業のアプリケーションは、ユーザー管理のサービスアカウントキーを使用してデプロイされます。キーをローテーションするには、Google が推奨する方法を使用します。
あなたは何をするべきか？

A. 新しいキーを作成し、アプリケーションで新しいキーを使用します。古いキーをバックアップキーとしてシステムに保存します。 B. 新しいキーを作成し、アプリケーションで新しいキーを使用します。サービスアカウントから古いキーを削除します。 C. Cloud Shell を開き、gcloud iam service-accounts keys rotate --iam-account=IAM_ACCOUNT を実行します。
--key=NEW_KEY. D. Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate --iam-account=IAM_ACCOUNT を実行します。

Correct Answer: B

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 3

Google Cloud に保存されている特定の BigQuery データを暗号化するには、Cloud External Key Manager を使用して暗号鍵を作成する必要があります。最初にどの手順を実行する必要がありますか?

A. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を持つ既存の鍵を作成または使用します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。 B. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を使用して外部キーを作成します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。 C. 1. サポートされている外部キー管理パートナーシステムで、一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. 外部鍵管理パートナーシステムで、この鍵に Google Cloud プロジェクトを使用するためのアクセス権を付与します。 D. 1. Google Cloud プロジェクトで一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. Google Cloud プロジェクトに、サポートされている外部鍵管理パートナーシステムへのアクセス権を付与します。

Correct Answer: C

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 4

あなたの会社では、中央プロジェクトに人工知能モデルを導入しました。このモデルには機密性の高い知的財産が多く含まれており、インターネットから厳密に隔離しておく必要があるため、モデルエンドポイントを組織内の定義されたプロジェクトリストにのみ公開する必要があります。どうすればよいでしょうか。

A. モデルプロジェクトと、モデルに接続する必要がある各プロジェクトの両方でプライベート Google アクセスを有効にします。プライベート Google アクセスアドレスへの接続を許可するファイアウォールポリシーを作成します。 B. モデルプロジェクト内で、モデルエンドポイントを指す内部アプリケーションロードバランサーを作成します。このロードバランサーを、構成されたプロジェクトのリストに Private Service Connect で公開します。 C. 他のすべてのプロジェクトに提供される共有 VPC ネットワークをホストするための中央プロジェクトを作成します。このプロジェクト内のすべてのファイアウォールルールを一元管理して、モデルへのアクセスを許可します。 D. モデルプロジェクト内で、モデルエンドポイントを指す外部アプリケーションロードバランサを作成します。IPアドレスをGoogle Cloudに制限するためのCloud Armorポリシーを作成します。

Correct Answer: B

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 5

あなたは、機密性の高い患者データの保存と処理のためにクラウドへの展開を進めている医療機関で働いています。a. 選択した Google Cloud 構成が、以下の厳格な規制要件を満たしていることを確認する必要があります。
データは特定の地理的領域内に保存される必要があります。
患者データに関する特定の管理アクションには、指定されたコンプライアンス担当者からの明示的な承認が必要です。
患者データへのアクセスは監査可能である必要があります。
何をすべきでしょうか?

A. 冗長性を確保するために、複数のリージョンに Assured Workloads 環境をデプロイします。きめ細かな権限設定が可能なカスタム IAM ロールを活用します。VPC Service Controls を使用して、ネットワークレベルのデータを分離します。 B. 標準の Google Cloud リージョンを選択します。Access Context Manager を使用して、ユーザーの所在地と職務に基づいて患者データへのアクセスを制限します。Cloud Audit Logging とアクセスの透明性の両方を有効にします。 C. 高可用性を実現するために、複数の標準 Google Cloud リージョンを選択します。患者データを含む個々のストレージオブジェクトにアクセス制御リスト（ACL）を実装します。Cloud Audit Logs を有効にします。 D. 承認されたリージョンに Assured Workloads 環境をデプロイします。患者データに対する機密性の高い操作に対してアクセス承認を設定します。Cloud Audit Logs とアクセスの透明性の両方を有効にします。

Correct Answer: D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 6

顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?

A. Google Cloud 監査ログ B. Forseti セキュリティ C. クラウドアーマー D. クラウドセキュリティスキャナー

Correct Answer: D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 7

_Default ログバケットに代わる新しいログバケットを作成しました。現在 _Default ログバケットにルーティングされているすべてのログエントリを、この新しいログバケットに最も効率的にルーティングしたいと考えています。どうすればよいでしょうか？

A. _Defaultシンクを無効にします。ユーザー定義シンクを作成し、新しいログバケットをシンクの保存先として選択します。 B. _Defaultシンクに除外フィルターを作成し、新しいログを受信しないようにします。ユーザー定義シンクを作成し、新しいログバケットをシンクの保存先として選択します。 C. _Defaultシンクからコピーした包含フィルターを使用して、ユーザー定義シンクを作成します。シンクの保存先として、新しいログバケットを選択します。 D. _Default シンクを編集し、新しいログバケットをシンクの宛先として選択します。

Correct Answer: D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 8

あなたの会社は、顧客が年齢層に応じて信用スコアを改善するために構築できる製品を決定したいと考えています。これを実現するには、会社のバンキングアプリのユーザー情報を、サードパーティから受け取った顧客のクレジットスコアデータと結合する必要があります。この生データを使用すると、このタスクを完了することができますが、機密データが公開され、新しいシステムに伝播される可能性があります。
このリスクは、データベース全体の参照整合性を維持しながら、Cloud Data Loss Prevention による匿名化とトークン化を使用して対処する必要があります。これらの要件を満たすには、どの暗号化トークン形式を使用する必要がありますか?

A. 安全な鍵ベースのハッシュ B. フォーマット保存暗号化 C. 確定的暗号化 D. 暗号ハッシュ

Correct Answer: C

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 9

Cloud Run でアプリケーションを実行しています。脆弱性スキャンのためにコンテナ分析を既に有効にしています。しかし、デプロイされたアプリケーションの制御が不十分であることが懸念されます。信頼できるコンテナイメージのみが Cloud Run にデプロイされるようにする必要があります。
何をすべきでしょうか?
2つの回答を選択してください

A. 既存の Kubernetes クラスターで Binary Authorization を有効にします。 B. Cloud Run ブレークグラスを使用して、デフォルトで Binary Authorization ポリシーを満たすイメージをデプロイします。 C. 組織ポリシー制約の constraints/run.allowedBinaryAuthorizationPolicie を、許可された Binary Authorization ポリシー名のリストに設定します。 D. 既存の Cloud Run サービスで Binary Authorization を有効にします。 E. 組織ポリシー制約の constraints/compute.trustedimageProjects を、信頼できるコンテナイメージを含む保護のリストに設定します。

Correct Answer: C,D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 10

Google Cloud 組織では、オーナーロール（roles/ owner）を持つ Google Cloud プロジェクトをプロビジョニングすることで、各チームに管理権限を付与できます。組織には数千の Google Cloud プロジェクトが含まれており、Security Command Center Premium で複数の cpen_myscl_port の検出結果が表示されました。ガードレールを適用しており、このような一般的な構成ミスを防ぐ必要があります。
何をすべきでしょうか?

A. 組織で構成された階層型ファイアウォールポリシーを作成し、内部IP範囲からの接続のみを許可します。 B. 仮想プライベートクラウド (VPC) ごとにファイアウォールルールを作成し、優先度 0 で 0 0 0 0/0 からのトラフィックを拒否します。 C. 組織で構成された階層型ファイアウォールポリシーを作成し、0 0 0 0/0 からのすべての接続を拒否します。 D. 0 0 0 0/0 からのトラフィックを拒否する Google Cloud Armor セキュリティポリシーを作成します。

Correct Answer: A

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 11

会社の従業員は、個人のパソコンを使って組織の Google Cloud コンソールにアクセスしています。ユーザーが Google Cloud コンソールにアクセスできるのは会社発行のデバイスのみであること、また、有効なエンタープライズ証明書を所有していることを確認する必要があります。どうすればよいでしょうか？

A. デバイス証明書を検証するために、BeyondCorp Enterprise でアクセスポリシーを実装します。作成したアクセスポリシーを使用してアクセスバインディングを作成します。 B. アクセスコンテキストから証明書を検証するための組織ポリシーを実装します。 C. デバイス証明書を検証するための Identity and Access Management (1AM) 条件付きポリシーを実装します。 D. VPC ファイアウォールポリシーを実装し、パケットインスペクションを有効にして、デバイス証明書を検証および確認するための許可ルールを作成します。

Correct Answer: A

Question 12

あなたの会社では、Google Cloud 上に 3 層ウェブアプリケーション(ウェブ、アプリケーション、データベース)をデプロイしています。
攻撃対象領域を最小限に抑えるには、層間のネットワーク分離を構成する必要があります。Web層はパブリックインターネットからアクセス可能で、アプリケーション層はWeb層からのみアクセス可能、データベース層はアプリケーション層からのみアクセス可能である必要があります。ソリューションはGoogleが推奨するプラクティスに従う必要があります。どうすればよいでしょうか？

A. すべての層に単一のサブネットを作成します。同じサブネット内のインスタンス間のすべてのトラフィックを許可するファイアウォールルールを作成します。アプリケーションレベルのセキュリティを使用して、不正アクセスを防止します。 B. 各層に1つずつ、3つの独立したVPCネットワークを作成します。ウェブVPCとアプリケーションVPC間、およびアプリケーションVPCとデータベースVPC間にVPCネットワークピアリングを設定します。ファイアウォールルールを使用してトラフィックを制御します。 C. VPC 内に各層に 1 つずつ、合計 3 つのサブネットを作成します。各サブネットでプライベート Google アクセスを有効にします。サブネット間のすべてのトラフィックを許可するファイアウォールルールを 1 つ作成します。 D. VPC 内に各層に 1 つずつ、合計 3 つのサブネットを作成します。各サブネットの特定のポートへのトラフィックを許可するファイアウォールルールを作成します。ファイアウォールルールを適用するには、VM のネットワークタグまたはサービスアカウントを使用します。

Correct Answer: D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Question 13

あなたは組織の Cloud Identity 管理者です。Google Cloud 環境では、ユーザー権限の管理にグループが使用されます。各アプリケーションチームには専用のグループがあります。あなたのチームはこれらのグループを作成する責任があり、アプリケーションチームは Google Cloud コンソールを通じてチームメンバーを独自に管理できます。アプリケーションチームがグループに追加できるのは、組織内のユーザーのみであることを確認する必要があります。
何をすべきでしょうか?

A. 組織外のプリンシパルをスコープ内のグループに割り当てることを拒否する Identity and Access Management (IAM) 拒否ポリシーを定義します。 B. Cloud Identity ログを BigQuery にエクスポートし、グループに追加された外部メンバーに関するアラートを構成します。アラートによって、グループから外部メンバーを削除する Cloud Function インスタンスがトリガーされるようにします。 C. グループメンバーシップを組織に属するユーザープリンシパルに制限する条件を含む Identity and Access Management (1AM) ポリシーを設定します。 D. Google Workspace 管理コンソールで関連グループの設定を変更し、外部ユーザーがグループに追加されないようにします。

Correct Answer: D

Explanation: Only visible for TrainingDump members. You can sign-up / login (it's free).

Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版) - Professional-Cloud-Security-Engineer日本語 Exam Practice Test