← 試験一覧に戻る

Professional Cloud Security Engineer

Question 171

あなたの組織は、機密データ処理ワークフローをオンプレミスインフラストラクチャからGoogle Cloudに移行しています。このワークフローには、個人識別情報(PII)を含む顧客情報の収集、保存、分析が含まれます。この新しいクラウド環境でデータ漏洩のリスクを軽減するためのセキュリティ対策を設計する必要があります。どうすればよいですか?

A.
すべての機密データを転送中および保存時に暗号化します。TLSおよびHTTPSプロトコルを使用して安全な通信チャネルを確立します。
B.
Cloud DLPソリューションを実装して機密情報をスキャンおよび識別し、PIIにリダクションまたはマスキング技術を適用します。VPC Service Controls(VPC SC)をネットワークセキュリティ制御と統合して、潜在的なデータ漏洩の試みをブロックします。
C.
クラウドリソースからのすべてのアウトバウンドネットワークトラフィックを制限します。すべての機密データおよびデータを処理するシステムに対して厳格なアクセス制御とロギングを実装します。
D.
偶発的なデータ漏洩インシデントを防ぐために、従業員の専門知識に依存します。
Question 172

あなたの組織では、社内従業員との自動会話を提供するために、生成AIを活用したチャットボットを構築しています。チャットボットを通じて個人識別情報(PII)を含むデータが伝達されないようにする必要があります。どうすればよいですか?

A.
Cloud KMS を使用して入力と出力の両方について保存データを暗号化し、暗号化キーへの最小権限アクセスを適用する。
B.
Cloud Data Loss Prevention (Cloud DLP) API を使用して、入力と出力の両方で PII データを検出し、変換する。
C.
VPC Service Controls (VPC-SC) を使用してチャットボットの周囲に安全なスコープを作成し、PII データの漏洩を防ぐ。
D.
Google Cloud Marketplace のデータ暗号化ツールを使用して、入力と出力の両方をスキャンする。
Question 173

あなたの組織は、複数のクラウドで実行されるアプリケーションを保有しています。これらのアプリケーションは、あなたのプロジェクトで実行されているGoogle Cloudリソースへのアクセスを必要とします。クラウド間のセキュリティを維持するために、短期間のアクセス認証情報を使用しなければなりません。どうすべきですか?

A.
マネージドワークロードアイデンティティを作成します。証明されたアイデンティティをCompute Engineワークロードにバインドします。
B.
サービスアカウントキーを作成します。Google Cloudリソースへのアクセスが必要な各アプリケーションにキーをダウンロードします。
C.
各外部クラウドに対応するワークロードアイデンティティプロバイダを持つワークロードアイデンティティプールを作成します。サービスアカウントを設定し、権限借用のためのIAMバインディングを追加します。
D.
外部クラウドアプリケーションのIP範囲の許可リストを持つ、受信トラフィック用のVPCファイアウォールルールを作成します。
Question 174

あなたの組織の金融モデリングアプリケーションは、すでにGoogle Cloudにデプロイされています。このアプリケーションは、大量の機密性の高い顧客の財務データを処理します。アプリケーションのコードは古く、現在のソフトウェアエンジニアには十分に理解されていません。最近の脅威モデリング演習により、アプリケーションの実行中に高度なサイドチャネル攻撃を受ける潜在的なリスクが明らかになりました。これらのサイドチャネル攻撃のリスクを軽減し、処理中の財務データの機密性を最大限に保護しつつ、アプリケーションの問題を最小限に抑えるために、Google Cloudソリューションをさらに強化する必要があります。どうすべきですか?

A.
サービスアカウント、最小権限のIAMポリシーを使用し、ネットワークアクセスを制限することで、Compute Engineインスタンスに対するアクセス制御を強化します。
B.
アプリケーションの実行にノイズとタイミングの変動を導入するように設計されたランタイムライブラリを実装し、サイドチャネル攻撃を妨害します。
C.
メモリのハードウェアレベルの暗号化を提供し、処理中の機密データを保護するために、アプリケーションをConfidential VMに移行します。
D.
暗号化プロセスを完全に制御するために、顧客管理の暗号鍵(CMEK)を利用します。
Question 175

あなたの組織は、Google Cloud上にPerimeter-AとPerimeter-Bという2つのVPCサービスコントロールのサービス境界を持っています。Perimeter-A内のCloud StorageバケットからPerimeter-B内の別のCloud Storageバケットへデータをコピーできるようにしたいと考えています。データ漏洩リスクを最小限に抑え、必要な接続のみを許可し、最小権限の原則に従う必要があります。どうすればよいですか?

A.
Perimeter-AとPerimeter-Bの間に境界ブリッジを設定し、関連するリソースとしてCloud Storageバケットを指定する。
B.
Perimeter-AとPerimeter-BのCloud Storageバケットをホストしているプロジェクト間に境界ブリッジを設定する。
C.
Perimeter-AのCloud Storageバケットに下り(エグレス)ルールを設定し、Perimeter-Bに対応する上り(イングレス)ルールを設定する。
D.
Perimeter-AとPerimeter-BのCloud Storageバケットに対して双方向の下り(エグレス)/上り(イングレス)ルールを設定する。
321問中 171-175問目
最初へ前へ3334353637次へ最後へ