← 試験一覧に戻る

Professional Cloud Security Engineer

Question 176

あなたはGoogle Cloud上のGoogle Kubernetes Engine (GKE) コンテナでコードを実行しており、そのコードはCloud Storageバケットに保存されているオブジェクトへのアクセスを必要としています。管理オーバーヘッドを最小限に抑えつつ、Podにバケットへのアクセス権を安全に付与する必要があります。どうすればよいですか?

A.
サービスアカウントを作成します。GKEのWorkload Identity連携を使用して、Podにバケットへのアクセス権を付与します。
B.
キーを持つサービスアカウントを作成します。キーをSecret Managerに保存し、30日間のローテーションスケジュールを設定します。Podでこれらのキーを参照します。
C.
キーを持つサービスアカウントを作成します。キーをKubernetes Secretとして保存します。Podでこれらのキーを参照します。
D.
キーを持つサービスアカウントを作成します。キーをSecret Managerに保存します。Podでこれらのキーを参照します。
Question 177

あなたの組織ではGoogle Cloudの導入を進めており、機密性の高いリソースへは、社内のオンプレミス企業ネットワークに接続されたデバイスからのみアクセスできるようにしたいと考えています。この要件を満たすために、Access Context Managerを設定する必要があります。以下の点が考慮事項となります。 • 社内ネットワークでは、IPアドレス範囲 10.100.0.0/16 および 192.168.0.0/16 が使用されています。 • 一部の従業員はリモートで業務を行いますが、その際は会社が管理する仮想プライベートネットワーク(VPN)経由で安全に接続します。このVPNでは、IPアドレスプール 172.16.0.0/20 から動的にIPアドレスが割り当てられます。 • アクセスは、既存のサービス境界内に含まれる特定のGoogle Cloudプロジェクトに限定する必要があります。 この場合、どのように設定すべきでしょうか?

A.
「承認済みデバイス」という名前のアクセスレベルを作成します。デバイスポリシー属性を使用して、企業が管理するデバイスであることを必須条件とします。このアクセスレベルを対象のGoogle Cloudプロジェクトに適用し、全従業員に対し、使用するデバイスを組織の管理システムに登録するよう指示します。
B.
「社内ネットワークのみ」という名前のアクセスレベルを作成します。このアクセスレベルには、以下の属性を持つ条件を追加します: • IPサブネットワーク:10.100.0.0/16, 192.168.0.0/16 • デバイスポリシー:OSがWindowsまたはmacOSであることを必須条件とする。このアクセスレベルを機密性の高いGoogle Cloudプロジェクトに適用します。
C.
「企業アクセス」という名前のアクセスレベルを作成します。このアクセスレベルには、IPサブネットワーク属性を持つ条件を追加し、IPアドレス範囲として 10.100.0.0/16、192.168.0.0/16、および 172.16.0.0/20 を含めます。このアクセスレベルを、機密プロジェクトを包含するサービス境界に割り当てます。
D.
「InternalAccess」という名前の新しいIAMロールを作成します。IPアドレス範囲 10.100.0.0/16、192.16.0.0/16、および 172.16.0.0/20 をIAM条件としてこのロールに追加します。このロールを、オンプレミスユーザーおよびVPNユーザーに対応するIAMグループに割り当てます。さらに、このロールに、機密性の高いGoogle Cloudプロジェクト内のリソースに対する必要な権限を付与します。
Question 178

あなたのチームは、個人識別情報(PII)を含む1PBの機密データをBigQuery内で管理しています。このデータセットを分析目的で組織内の別のチームに提供する必要があります。PIIを保護しながら、BigQueryデータセットを他のチームと共有しなければなりません。どうすればよいですか?

A.
BigQueryの行レベルのアクセスポリシーを利用して、他のチームのユーザーIDに基づいてPII列をマスクする。
B.
BigQueryデータセットをCloud Storageにエクスポートする。VPC Service Controlペリメータを作成し、そのチームのプロジェクトのみバケットへのアクセスを許可する。
C.
データ匿名化技術を実装して、PIIフィールドを非識別可能な値に置き換える。他のチームに匿名化されたデータセットへのアクセスを許可する。
D.
データセットのフィルタリングされたコピーを作成し、別のプロジェクトで機密データをハッシュ値に置き換える。他のチームにこの新しいプロジェクトへのアクセスを許可する。
Question 179

ある組織が、既存のオンプレミス生産性ソフトウェアシステムからG Suiteへの移行を進めています。以前のオンプレミスシステムでは、地域の規制機関によって義務付けられたネットワークセキュリティ統制がいくつか実施されていました。組織のリスクチームは、G Suiteにおいてもネットワークセキュリティ統制が維持され、効果的であることを確実にしたいと考えています。この移行を支援するセキュリティアーキテクトは、組織とGoogle Cloud間の新しい共有責任モデルの一環として、ネットワークセキュリティ統制が確実に実施されるようにするよう求められています。 要件を満たすのに役立つ解決策はどれですか?

A.
必要な統制を満たすために、ファイアウォールルールが設定されていることを確認する。
B.
G Suiteのネットワークセキュリティ統制を管理できるように、Cloud Armorを設定する。
C.
ネットワークセキュリティは組み込みのソリューションであり、G SuiteのようなSaaS製品についてはGoogle Cloudの責任範囲です。
D.
関連する規制で義務付けられているようにネットワークセキュリティを制御するために、一連のVirtual Private Cloud (VPC) ネットワークを設定する。
Question 180

あなたの組織では、分析と可視化のために大量の位置データを処理するためにGoogle Cloudを使用しています。この位置データは機密情報である可能性があります。あなたは、位置データを安全に保存および処理し、データ漏洩のリスクを最小限に抑え、規制ガイドラインと組織内部のデータ所在地ポリシーの両方を遵守できるソリューションを設計する必要があります。何をすべきでしょうか?

A.
データが処理されるCompute Engineインスタンスと仮想ディスクリソースに対してロケーション制限を有効にします。保存されているすべてのデータに地理的メタデータをタグ付けするためにラベルを適用します。
B.
保存や処理の前に、Cloud Data Loss Prevention (Cloud DLP) APIを使用して機密性の高い位置データをスキャンします。最適なパフォーマンスを得るためにグローバルな可用性を持つCloud Storageバケットを作成し、Cloud DLPの結果に基づいてデータアクセスをフィルタリングおよび制御します。
C.
データの有効期間を制限するオブジェクトライフサイクル管理ポリシーを使用して、リージョナルCloud Storageバケットを作成します。IAM条件を使用して、きめ細かいアクセス制御を有効にします。特定のCloud KMSキーロケーション内で生成された顧客管理の暗号化キー(CMEK)でデータを暗号化します。
D.
データセットのロケーション設定を使用して、指定されたリージョン内のBigQueryにデータを保存します。承認済みビューと行レベルのセキュリティを使用して、地理的なアクセス制限を適用します。顧客管理の暗号化キー(CMEK)を使用してBigQueryテーブル内のデータを暗号化します。
321問中 176-180問目
最初へ前へ3435363738次へ最後へ