Google Professional-Cloud-Security-Engineer日本語 問題集

質問 1：
サービス アカウント キーが複数の公開コード リポジトリで公開されています。ログを確認すると、キーが短期間の認証情報を生成するために使用されていたことがわかります。サービス アカウントによるアクセスをすぐに削除する必要があります。
何をすべきでしょうか?
A. 侵害されたサービス アカウント キーを無効にします。
B. 侵害されたサービス アカウントを削除します。
C. 侵害されたサービス アカウント キーをローテーションします。
D. サービス アカウントの資格情報が自動的に期限切れになるまで待機します。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 2：
あなたの会社では、セキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用する必要がありますか?
A. サブネットで VPC フロー ログを有効にします。
B. パケット ミラーリング ポリシーを構成します。
C. クラウド監査ログを監視および分析します。
D. 組織のポリシーの制約を定義します。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 3：
組織では、機密データ処理ワークフローをオンプレミス インフラストラクチャから Google Cloud に移行しています。このワークフローには、個人情報 (PII) を含む顧客情報の収集、保存、分析が含まれます。この新しいクラウド環境でデータ流出のリスクを軽減するためのセキュリティ対策を設計する必要があります。何をすべきでしょうか。
A. Cloud DLP ソリューションを実装して機密情報をスキャンおよび識別し、PII に編集またはマスキング技術を適用します。VPC SC をネットワーク セキュリティ コントロールと統合して、潜在的なデータ流出の試みをブロックします。
B. 偶発的なデータ流出インシデントを防ぐために、従業員の専門知識を活用します。
C. 転送中および保存中のすべての機密データを暗号化します。TLS および HTTPS プロトコルを使用して、安全な通信チャネルを確立します。
D. クラウド リソースからのすべての送信ネットワーク トラフィックを制限します。すべての機密データとデータを処理するシステムに対して、厳格なアクセス制御とログ記録を実装します。
正解：A

質問 4：
プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成します。
Google が推奨する方法に従いたい。
あなたは何をするべきか？
A. インスタンス テンプレートを作成し、サービス アカウントに Compute Engine アクセス スコープの読み取り専用アクセスを許可します。
B. サービス アカウントに Compute Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
C. サービス アカウントに Project Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
D. 権限 compute.instances.list を持つカスタム ロールを作成し、サービス アカウントにこのロールを付与します。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 5：
ある会社は、Compute Engine でアプリケーションを実行しています。アプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行できるようになり、その結果、Compute Engine インスタンスがクラッシュしました。バグは修正されましたが、このハッキングが再発した場合に備えて通知を受け取りたいと考えています。
あなたは何をするべきか？
A. スクリプトのすべての実行を Stackdriver Logging に記録します。BigQuery をログ シンクとして構成し、BigQuery のスケジュールされたクエリを作成して、特定の時間枠での実行回数をカウントします。
B. プロセスの正常性条件を使用して Stackdriver でアラート ポリシーを作成し、スクリプトの実行回数が目的のしきい値を下回っていることを確認します。通知を有効にします。
C. CPU 使用率指標を使用して、Stackdriver でアラート ポリシーを作成します。CPU 使用率がこの 80% を超えたときに通知されるように、しきい値を 80% に設定します。
D. スクリプトのすべての実行を Stackdriver Logging に記録します。ログの Stackdriver Logging でユーザー定義の指標を作成し、指標を表示する Stackdriver ダッシュボードを作成します。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 6：
CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか？（2つ選んでください。）
A. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナー イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。
B. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナー イメージを検証するステップを追加します。
C. Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナ イメージを自動的にスキャンします。
D. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナ イメージが見つかった場合にアラートを生成します。
E. Cloud Source Repositories リポジトリ内のコンテナ テンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。
正解：A,E
解説: (Topexam メンバーにのみ表示されます)

質問 7：
顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?
A. クラウドアーマー
B. Forseti セキュリティ
C. クラウド セキュリティ スキャナー
D. Google Cloud 監査ログ
正解：C
解説: (Topexam メンバーにのみ表示されます)