Google Professional-Cloud-Security-Engineer日本語 問題集

質問 1：
あなたの会社の最高情報セキュリティ責任者 (CISO) は、会社のグローバル展開計画に影響を与える規制要件のために、ビジネス データを特定の場所に保存することを要求しています。この要件を実装するための計画に取り組んだ後、次のことを決定します。
* 対象となるサービスは、Google Cloud のデータ所在地要件に含まれています。
* ビジネス データは、同じ組織内の特定の場所に残ります。
* フォルダー構造には、複数のデータ常駐場所を含めることができます。
* プロジェクトは特定の場所に配置されます。
リソースの場所の制限組織ポリシーの制約を使用して、非常にきめ細かい制御を行う予定です。
階層のどのレベルで制約を設定する必要がありますか?
A. フォルダ
B. リソース
C. 組織
D. プロジェクト
正解：D

質問 2：
ある企業は、さまざまな Google Cloud Platform リージョンに冗長メール サーバーを配置しており、場所に基づいて最も近いメール サーバーに顧客をルーティングしたいと考えています。
会社はこれをどのように達成すべきですか？
A. Cloud CDN を使用して、メール トラフィックをクライアント IP アドレスに基づいて最も近い送信元メール サーバーにルーティングします。
B. TCP プロキシ負荷分散を、ポート 995 でリッスンするグローバル負荷分散サービスとして構成します。
C. 場所に基づいてトラフィックを転送する転送ルールを使用して、TCP ポート 995 でリッスンする Network Load Balancer を作成します。
D. HTTP(S) ロード バランサーでクロスリージョン ロード バランシングを使用して、最も近いリージョンにトラフィックをルーティングします。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 3：
ある会社では、すべての従業員が Google Cloud Platform を使用できるようにしています。各部門には Google グループがあり、すべての部門メンバーがグループ メンバーになります。部門メンバーが新しいプロジェクトを作成する場合、その部門のすべてのメンバーは、すべての新しいプロジェクト リソースへの読み取り専用アクセス権を自動的に持つ必要があります。他の部門のメンバーは、プロジェクトにアクセスできません。この動作を構成する必要があります。
これらの要件を満たすにはどうすればよいですか?
A. 組織の下に部門ごとにフォルダーを作成します。各部門のフォルダについて、プロジェクト閲覧者の役割をその部門に関連する Google グループに割り当てます。
B. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、プロジェクト閲覧者の役割をその部門に関連する Google グループに割り当てます。
C. 組織の下に部門ごとにフォルダーを作成します。各部門のフォルダについて、プロジェクト ブラウザの役割をその部門に関連する Google グループに割り当てます。
D. 組織の下の部門ごとにプロジェクトを作成します。各部門のプロジェクトについて、プロジェクト閲覧者の役割をその部門に関連する Google グループに割り当てます。
正解：A
解説: (Topexam メンバーにのみ表示されます)

質問 4：
あなたは会社のセキュリティ チームのメンバーです。すべてのパブリック IP アドレスを削除して、Linux 踏み台ホストの外部攻撃対象領域を減らすように依頼されました。サイト信頼性エンジニア (SRE) は、オフサイトで内部 VPC にアクセスできるように、公共の場所から要塞ホストにアクセスする必要があります。このアクセスをどのように有効にする必要がありますか?
A. 踏み台ホスト用の Identity-Aware Proxy TCP 転送を実装します。
B. 踏み台ホストの 2 段階認証を使用して OS ログインを実装します。
C. 踏み台ホストの前に Google Cloud Armor を実装します。
D. 要塞ホストが存在するリージョンに Cloud VPN を実装します。
正解：A

質問 5：
Cloud Run でアプリケーションを実行します。脆弱性スキャンのためのコンテナ分析はすでに有効になっています。ただし、デプロイされたアプリケーションを制御できないことを懸念しています。信頼できるコンテナ イメージのみが Cloud Run にデプロイされるようにする必要があります。
あなたは何をするべきか？
2 つの答えを選択してください
A. 既存の Kubernetes クラスターで Binary Authorization を有効にします。
B. 組織ポリシー制約constraints/compute.trustedimageProjectsを、信頼されたコンテナーイメージを含む保護のリストに設定します。
C. Cloud Run ブレークグラスを使用して、デフォルトで Binary Authorization ポリシーを満たすイメージをデプロイします。
D. 既存の Cloud Run サービスで Binary Authorization を有効にします。
E. 組織ポリシーの制約制約/実行を設定します。allowedBinaryAuthorizationPolicie を、許可される Binary Authorization ポリシー名のリストに追加します。
正解：D,E

質問 6：
組織の顧客は、契約書と運転免許証をスキャンして、Cloud Storage のウェブ ポータルにアップロードする必要があります。12 か月以上経過したファイルからは、個人を特定できる情報 (Pll) をすべて削除する必要があります。また、保持目的で匿名化されたファイルをアーカイブする必要があります。
あなたは何をするべきか？
A. 12 か月以上前に作成された PLL ファイルを匿名化し、別の Cloud Storage バケットにアーカイブする Cloud Data Loss Prevention (DLP) 検査ジョブを作成します。元のファイルを削除します。
B. Cloud Storage バケット内のファイルの存続期間 (TTL) を 12 か月に設定します。これにより、PH が削除され、ファイルがアーカイブ ストレージ クラスに移動されます。
C. Cloud Storage バケットの Autoclass 機能を構成して、PLL を匿名化し、12 か月以上古いファイルをアーカイブします。元のファイルを削除します。
D. Pll を含むクラウド ストレージ ファイルの暗号化キーの 12 か月のクラウド キー管理サービス (KMS) ローテーション期間をスケジュールして、暗号化キーを匿名化します。元のキーを削除します。
正解：A

質問 7：
会社のオンプレミス データセンターと VPC ホスト ネットワークの間に Cloud Interconnect 接続を設定する必要があります。オンプレミス アプリケーションが、パブリック インターネット経由ではなく、Cloud Interconnect 経由でのみ Google API にアクセスできるようにしたいと考えています。サポートされていない API への流出リスクを軽減するために、VPC Service Controls でサポートされている API のみを使用する必要があります。ネットワークをどのように構成する必要がありますか?
A. 地域のサブネットとグローバル動的ルーティング モードで限定公開の Google アクセスを有効にします。
B. 「all-apis」の API バンドルを使用して、Private Service Connect エンドポイントの IP アドレスを設定します。これは、クラウド相互接続接続を介したルートとしてアドバタイズされます。
C. private.googleapis.com を使用して、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。これらの IP アドレスは、接続を介してルートとしてアドバタイズされます。
D. 制限付きの googleapis.com を使用して、Cloud Interconnect 接続を介してルートとしてアドバタイズされる、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。
正解：D
解説: (Topexam メンバーにのみ表示されます)