Google Professional-Cloud-Security-Engineer日本語 問題集

質問 1：
あなたは組織のセキュリティ管理者です。本番環境内でサービス アカウントの作成機能を制限する必要があります。これを組織全体で一元的に達成したいと考えています。あなたは何をするべきか？
A. 組織ポリシーのconstraints/iam.disableServiceAccountKeyCreationブール値を使用して、新しいサービス アカウントの作成を無効にします。
B. 組織ポリシーのconstraints/iam.disableServiceAccountKeyUploadブール値を使用して、新しいサービス アカウントの作成を無効にします。
C. Identity and Access Management (IAM) を使用して、運用環境にアクセスできるすべてのユーザーとサービス アカウントのアクセスを制限します。
D. 組織のポリシーの制約/iam.disableServiceAccountCreation ブール値を使用して、新しいサービス アカウントの作成を無効にします。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 2：
小規模な新興企業のオフィス マネージャーは、支払いと請求書の照合と請求アラートの作成を担当しています。コンプライアンス上の理由から、オフィス マネージャーは、これらのタスクに必要な Identity and Access Management (IAM) 権限のみを持つことが許可されています。オフィス マネージャーが持つべき 2 つの IAM ロールはどれですか? （2つ選んでください。）
A. 請求先アカウント ユーザー
B. 組織管理者
C. 請求先アカウント閲覧者
D. プロジェクト作成者
E. 請求先アカウント コスト マネージャー
正解：C,E
解説: (Topexam メンバーにのみ表示されます)

質問 3：
Google Cloud に保存されている特定の BigQuery データを暗号化するには、Cloud External Key Manager を使用して暗号鍵を作成する必要があります。最初にどの手順を実行する必要がありますか?
A. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を使用して外部キーを作成します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。
B. 1. Google Cloud プロジェクトで一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. Google Cloud プロジェクトに、サポートされている外部鍵管理パートナー システムへのアクセス権を付与します。
C. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を持つ既存の鍵を作成または使用します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。
D. 1. サポートされている外部キー管理パートナー システムで、一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. 外部鍵管理パートナー システムで、この鍵に Google Cloud プロジェクトを使用するためのアクセス権を付与します。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 4：
組織では、Google Cloud 環境に保存されているデータの暗号化に使用する鍵を完全に制御したいと考えています。鍵は Google の外部で生成・保存し、BigQuery を含む多くの Google サービスと統合する必要があります。
何をすべきでしょうか?
A. 信頼できる外部システムで生成されたキーと顧客提供の暗号化キー (CSEK) を使用します。API 呼び出しの一部として生の CSEK を提供します。
B. Google が管理する FIPS 140-2 レベル 3 ハードウェア セキュリティ モジュール (HSM) に保存される KMS キーを作成します。Identity and Access Management (IAM) の権限設定を管理し、キーのローテーション期間を設定します。
C. サポートされているベンダーの外部ハードウェア セキュリティ モジュール (HSM) システムと統合する Cloud 外部キー管理 (EKM) を使用します。
D. インポートした鍵マテリアルを使用して Cloud Key Management Service（KMS）鍵を作成します。インポート中の保護のために鍵をラップします。信頼できるシステムで生成された鍵を Cloud KMS にインポートします。
正解：C
解説: (Topexam メンバーにのみ表示されます)

質問 5：
あなたの組織では、BigQuery と Cloud Storage に保存されたライブユーザーアクティビティデータを処理する ML モデルを使用して、リアルタイムのレコメンデーションエンジンを構築しています。開発された新しいモデルはすべて Artifact Registry に保存されます。この新しいシステムは、モデルを Google Kubernetes Engine にデプロイし、メッセージキューには Pub/Sub を使用します。最近の業界ニュースでは、ML モデルのサプライチェーンを悪用した攻撃が報告されています。このサーバーレス アーキテクチャのセキュリティ、特に開発およびデプロイメント パイプラインへのリスクに対するセキュリティを強化する必要があります。どうすればよいでしょうか？
A. MLモデルに使用する外部ライブラリと依存関係を可能な限り制限します。BigQueryとCloud Storageからユーザーデータにアクセスするために使用する暗号鍵を継続的にローテーションします。
B. モデル開発前にすべてのトレーニングデータを徹底的にサニタイズし、ポイズニング攻撃のリスクを軽減します。認証にはIAMを使用し、コードリポジトリとクラウドサービスにはロールベースの制限を適用します。
C. Cloud Run インスタンスへの外部トラフィックを制限するための厳格なファイアウォール ルールを作成します。侵入検知システム (IDS) を統合して、Pub/Sub メッセージフローにおけるリアルタイムの異常検出を実現します。
D. 開発中およびデプロイ前のコンテナイメージの脆弱性スキャンを有効にします。Artifact Registry から継続的インテグレーションおよび継続的デプロイ (CI/CD) パイプラインにデプロイされたイメージに Binary Authorization を適用します。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 6：
組織では、多くのオープンソース プロジェクトに関係するソフトウェアを開発しており、ソフトウェア サプライ チェーンの脅威を懸念しています。ソフトウェアが改ざんされていないことを証明するために、ビルドの来歴を提供する必要があります。
何をすべきでしょうか?
A. * 1. 外部監査人を雇ってレビューと出所の提供を依頼する
* 2. 範囲と条件を定義します。
* 3. セキュリティ部門または担当者からサポートを受けます。
B. * 1- Cloud Build を使用して、ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) レベル 3 保証を生成します。
* 2. Google Cloud コンソール内のセキュリティ分析情報サイドパネルでビルドの由来を表示します。
C. * 1、ソフトウェアコードをオープンソースとしてGitHubで公開します。
* 2. バグ報奨金プログラムを設立し、オープンソース コミュニティに脆弱性の確認、報告、修正を奨励します。
D. * 1. ソフトウェアプロセスを確認します。
* 2. 秘密鍵と公開鍵のペアを生成し、Pretty Good Privacy (PGP) プロトコルを使用して、企業の住所と連絡先を含むファイルとともに出力ソフトウェア成果物に署名します。
* 3. PGP 署名された証明書を公開 Web ページに公開します。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 7：
Google Cloud に規制対象のワークロードをデプロイしています。規制には、データの所在地とデータアクセスに関する要件が定められています。また、サポートはデータが存在する場所と同じ地理的な場所から提供される必要があります。
何をすべきでしょうか?
A. Assured Workloads をデプロイします。
B. データ アクセス ログとアクセスの透明性ログを使用して、ユーザーが別のリージョンのデータにアクセスしていないことを確認します。
C. データ所在地要件で許可されたリージョンにのみリソースを展開します
D. アクセスの透明性のログ記録を有効にします。
正解：A
解説: (Topexam メンバーにのみ表示されます)