← 試験一覧に戻る

Professional Cloud Security Engineer

Question 131

あなたの組織では、CIS Google Cloudコンピューティング基盤ベンチマーク v1.3.0 (CIS Google Cloud Foundation 1.3) に基づいて継続的に評価を受けたいと考えています。しかし、一部のコントロールは組織にとって無関係であり、評価から除外する必要があります。関連するコントロールのみが評価されるように、自動化されたシステムまたはプロセスを構築する必要があります。 どうすればよいでしょうか?

A.
無関係なすべてのセキュリティ検出結果に、セキュリティ例外を示すタグと値を付けてマークします。マークされたすべての検出結果を選択し、それらが表示されるたびにコンソールでミュートします。Security Command Center (SCC) Premium を有効化します。
B.
Security Command Center (SCC) Premium を有効化します。SCC でセキュリティ検出結果をミュートするルールを作成し、評価されないようにします。
C.
Security Command Center (SCC) からすべての検出結果を CSV ファイルにダウンロードします。ファイル内で CIS Google Cloud Foundation 1.3 の一部である検出結果をマークします。会社にとって無関係で範囲外のエントリは無視します。
D.
外部監査会社に、必要な CIS ベンチマークを含む独立したレポートを提供するよう依頼します。監査の範囲内で、一部のコントロールは不要であり、無視する必要があることを明確にします。
Question 132

あなたは、Google Cloudから発信される全てのインターネットトラフィックを、オンプレミス環境のインターネット接続経由でルーティングする計画です。この目標を、セキュリティを確保しつつ、可能な限り最大の帯域幅で達成したいと考えています。 何をすべきですか?

A.
Google CloudへのHA VPN接続を作成します。デフォルトの0.0.0.0/0ルートを置き換えます。
B.
Compute EngineにルーティングVMを作成します。VMをネクストホップとしてデフォルトルートを設定します。
C.
HA VPNを使用してCloud Interconnectを設定します。デフォルトの0.0.0.0/0ルートをオンプレミスの宛先に置き換えます。
D.
Cloud Interconnectを設定し、オンプレミスのファイアウォール経由でトラフィックをルーティングします。
Question 133

あなたの組織では、認証にGoogle Workspace Enterprise Editionを使用しています。従業員がGoogle Cloudに認証後、長時間ノートPCを放置することについて懸念しています。悪意のある人物が従業員の放置されたノートPCを使用して環境を変更するのを防ぐ必要があります。 何をすべきですか?

A.
従業員にセッションを長時間開いたままにしないことを要求するポリシーを作成する。
B.
不要なGoogle Cloud APIを確認し、無効にする。
C.
セキュリティトークンまたはGoogle認証システムによる強力なパスワードと2段階認証プロセス(2SV)を要求する。
D.
Google Cloudサービスのセッション長のタイムアウトをより短い期間に設定する。
Question 134

オンプレミスのデータウェアハウスをBigQuery、Cloud SQL、Cloud Storageに移行しています。データウェアハウスにセキュリティサービスを設定する必要があります。会社のコンプライアンスポリシーでは、データウェアハウスは以下の要件を満たす必要があります。 • 暗号鍵の完全なライフサイクル管理により、保存データを保護する。 • データ管理とは別の鍵管理プロバイダーを実装する。 • すべての暗号鍵リクエストに対する可視性を提供する。 データウェアハウスの実装に含めるべきサービスはどれですか?(2つ選択)

A.
顧客管理の暗号鍵 (CMEK)
B.
顧客指定の暗号鍵 (CSEK)
C.
Key Access Justifications (KAJ)
D.
アクセスの透明性と承認 (Access Transparency and Approval)
E.
Cloud External Key Manager (Cloud EKM)
Question 135

あるウェブサイト制作会社が、最近すべての顧客サイトをApp Engineに移行しました。一部のサイトはまだ開発中であり、顧客と自社の従業員のみが、どの場所からでも閲覧できるようにする必要があります。 開発中のサイトへのアクセスを制限する解決策はどれですか?

A.
顧客と従業員のユーザーアカウント情報を含む.htaccessファイルをApp Engineにアップロードします。
B.
顧客と従業員のネットワークからのアクセスを許可し、その他すべてのトラフィックを拒否するApp Engineファイアウォールルールを作成します。
C.
Cloud Identity-Aware Proxy (IAP) を有効にし、顧客と従業員のユーザーアカウントを含むGoogleグループへのアクセスを許可します。
D.
Cloud VPNを使用して、関連するオンプレミスネットワークと会社のGCP Virtual Private Cloud (VPC) ネットワーク間にVPN接続を作成します。
321問中 131-135問目
最初へ前へ2526272829次へ最後へ