← 試験一覧に戻る

Professional Cloud Security Engineer

Question 166

定期的なセキュリティレビュー中に、あなたのチームは、頻繁に使用される特権の高いサービスアカウントになりすまそうとする、未知のIPアドレスからの不審なログイン試行を発見しました。この潜在的なセキュリティインシデントに対応するために効果的に調査する必要があります。何をすべきですか?

A.
サービスアカウントがやり取りするリソースに対して Cloud Audit Logs を有効にします。不正なアクティビティのさらなる証拠がないかログを確認します。
B.
サービスアカウントに関連するアクティビティについて Cloud Audit Logs を確認します。不審なログイン試行の期間に焦点を当てます。
C.
サービスアカウントを使用するシステムで、悪用される可能性のある脆弱性を特定するために脆弱性スキャンを実行します。
D.
Security Command Center の Event Threat Detection で関連するアラートがないか確認します。発見事項を Cloud Audit Logs と相互参照します。
Question 167

あなたの組織では、Google Cloud上のマネージドAIサービスで運用中の画像分類モデルがあります。あなたはステークホルダーとの構成レビューに参加しており、その画像分類モデルのセキュリティ責任について説明しなければなりません。何をすべきでしょうか?

A.
PaaS (Platform-as-a-Service) を使用するとセキュリティに関する懸念事項がGoogleに移管されることを説明します。予期せぬ使用や請求額の急増から保護するために、厳格なAPI使用制限の必要性を説明します。
B.
Googleのサービスを使用してユーザーがアップロードした画像を変換するコードのセキュリティ面について説明します。開発チーム内でのきめ細かいアクセス制御のためにCloud IAMを定義します。
C.
Googleの共有責任モデルについて説明します。構成レビューでは、IAM (Identity and Access Management) の権限、安全なデータのアップロード/ダウンロード手順、および潜在的な悪意のあるアクティビティに対するログの監視に焦点を当てます。
D.
画像分類サービスの周囲にカスタムネットワークファイアウォールを開発し、詳細な侵入検知および防止を行うことについて説明します。既知の脆弱性に対する脆弱性スキャンツールについて説明します。
Question 168

あなたのチームは、ファイアウォールルール、サブネット、ルートなどのネットワークリソースの制御を一元化できるように、Google Cloud Platform (GCP) 環境を設定する必要があります。また、オンプレミス環境もあり、そこにあるリソースはプライベートVPN接続を介してGCPリソースにアクセスする必要があります。 ネットワークリソースは、ネットワークセキュリティチームによって管理される必要があります。 これらの要件を満たすために、あなたのチームはどのタイプのネットワーク設計を使用すべきですか?

A.
ホストプロジェクトとサービスプロジェクトを使用する共有VPCネットワーク
B.
各エンジニアリングプロジェクトにおいて、ネットワークチームにCompute Adminロールを付与する
C.
ハブアンドスポークモデルを使用して、すべてのエンジニアリングプロジェクト間でVPCネットワークピアリングを行う
D.
ハブアンドスポークモデルを使用して、すべてのエンジニアリングプロジェクト間でCloud VPNゲートウェイを設置する
Question 169

あなたは組織のCloud Storageバケット内のデータを管理しており、オブジェクトを保持する必要があります。ストレージコストを削減するために、365日より古いオブジェクトのストレージクラスを自動的にColdlineストレージにダウングレードする必要があります。何をすべきですか?

A.
Cloud Asset Inventoryを使用して、すべてのストレージバケットの設定に関するレポートを生成します。ライフサイクル管理ポリシーの設定を確認し、正しく設定されていることを確認します。
B.
Cloud Schedulerを使用してCloud Runジョブを設定し、Cloud Storageから365日より古いファイルを検索して削除するスクリプトを実行します。
C.
Autoclass機能を有効にして、バケットストレージクラスのすべての側面を管理します。
D.
SetStorageClassアクションをCOLDLINEに、age条件(経過日数)を365日に、matchStorageClassをSTANDARDに設定したライフサイクルポリシーJSONを定義します。
Question 170

あなたの組織には、人間およびマシンによるアクセスを管理するために使用される中央集権型のIDプロバイダーがあります。あなたはこの既存のID管理システムを活用して、オンプレミスアプリケーションがハードコードされた認証情報なしでGoogle Cloudにアクセスできるようにしたいと考えています。どうすべきですか?

A.
Secure Web Proxyを有効にします。Secure Web Proxyがデプロイされる各リージョンにプロキシサブネットを作成します。Certificate ManagerにSSL証明書をデプロイします。Google Cloudサービスへのアクセスを許可するSecure Web Proxyポリシーとルールを作成します。
B.
Workforce Identity Federationを有効にします。Workforce Identityプールを作成し、オンプレミスのIDプロバイダーをWorkforce Identityプールプロバイダーとして指定します。オンプレミスのIDプロバイダートークンをGoogle STSトークンにマッピングするための属性マッピングを作成します。プロジェクトID、ワークロードIDプール、および照合されるべき属性を指定して、必要なロールを外部IDにバインドするIAMバインディングを作成します。
C.
Identity-Aware Proxy (IAP)を有効にします。アプリケーションにアクセスできるべきグループとサービスアカウントを指定してIAPを設定します。これらのIDにIAPで保護されたウェブアプリユーザーロールを付与します。
D.
Workload Identity Federationを有効にします。ワークロードIDプールを作成し、オンプレミスのIDプロバイダーをワークロードIDプールプロバイダーとして指定します。オンプレミスのIDプロバイダートークンをGoogle STSトークンにマッピングするための属性マッピングを作成します。ワークロードに必要な権限を持つサービスアカウントを作成します。外部IDにサービスアカウントに対するWorkload Identityユーザーロールを付与します。
321問中 166-170問目
最初へ前へ3233343536次へ最後へ