← 試験一覧に戻る

Professional Cloud Security Engineer

Question 186

あなたの組織は、複雑なアプリケーションをGoogle Cloudに移行しています。このアプリケーションには、複数のGoogle Cloudプロジェクトにまたがって相互に作用する複数の内部コンポーネントがあります。セキュリティは主要な懸念事項であり、最小権限の原則と職務分離に沿った管理者向けの認可スキームを設計する必要があります。どうすべきですか?

A.
アプリケーションを移行するユーザーを特定し、デフォルトのユーザーロールを取り消し、意図的に作成されたカスタムロールをユーザーに割り当てます。
B.
複数の外部IDプロバイダー(IdP)を使用し、異なるSAMLプロファイルを使用するように設定し、各アプリケーションコンポーネントに対してIdPをフェデレーションします。
C.
アプリケーションを移行するすべてのユーザーに対して物理トークンの使用を強制するために、多要素認証(MFA)を設定します。
D.
対応は不要です。Google Cloud組織が作成されると、ドメイン内のすべてのユーザーに適切な権限が自動的に割り当てられます。
Question 187

あなたの組織は規制の厳しい業界で事業を展開しており、機密性の高いGoogle Cloudリソースへ一時的にアクセスする際に厳格な管理を実施する必要があります。これまでアクセス承認 (Access Approval) を使用してこのアクセスを管理してきましたが、コンプライアンスチームからカスタム署名鍵の使用が義務付けられました。さらに、その鍵はGoogle Cloudの外部に設置されたハードウェアセキュリティモジュール (HSM) に保存する必要があると要求されています。コンプライアンス要件を満たすカスタム署名鍵を使用するようにアクセス承認を設定する必要があります。どうすればよいですか?

A.
サポートされているアルゴリズムを使用してCloud Key Management System (Cloud KMS) で新しい非対称署名鍵を作成し、アクセス承認サービスアカウントにその鍵に対するIAM 署名者/検証者ロールを付与する。
B.
既存のアクセス承認署名鍵をPEMファイルとしてエクスポートする。そのファイルを外部HSMにアップロードし、HSMの鍵を使用するようにアクセス承認を再設定する。
C.
外部HSMで署名鍵を作成する。HSMをCloud External Key Manager (Cloud EKM) と統合し、プロジェクト内で鍵を利用可能にする。アクセス承認がこの鍵を使用するように設定する。
D.
Cloud KMSで新しい非対称署名鍵を作成し、鍵のローテーション期間を30日に設定する。対応する公開鍵を外部HSMに追加する。
Question 188

あなたの組織は、BigQuery と Cloud Storage に機密データを保存しています。データを読み取るための、きめ細かく柔軟な制御認可を提供するソリューションを設計する必要があります。どうすればよいですか?

A.
Sensitive Data Protection サービス内のデータ漏洩防止機能を使用して、データセット内の機密フィールドを非識別化する。
B.
Cloud External Key Manager (Cloud EKM) を使用して、BigQuery と Cloud Storage のデータを暗号化する。
C.
プリンシパルに Identity and Access Management (IAM) のロールと権限を付与する。
D.
BigQuery と Cloud Storage のデータに対してサーバーサイド暗号化を有効にする。
Question 189

あなたの組織では、セキュリティ上の脅威を検知し警告するための中央ツールとしてSecurity Command Center Premiumを使用しています。また、既知の不審なウェブサービスのドメインをターゲットとする、疑わしいアウトバウンドトラフィックについても警告を受けたいと考えています。どうすればよいですか?

A.
Cloud DNSでDNSサーバーポリシーを作成し、ログを有効にします。このポリシーを、インターネット接続を持つすべてのVirtual Private Cloud (VPC) ネットワークにアタッチします。
B.
すべてのログをChronicle Security Information and Event Management (SIEM) に転送します。インターネットへの疑わしい下り(エグレス)トラフィックに対するアラートを作成します。
C.
Cloud Intrusion Detection System (Cloud IDS) エンドポイントを作成します。このエンドポイントを、インターネット接続を持つすべてのVirtual Private Cloud (VPC) ネットワークに接続します。
D.
宛先として脅威インテリジェンス(Threat Intelligence)を指定した下り(エグレス)ファイアウォールポリシーを作成します。このポリシーを、インターネット接続を持つすべてのVirtual Private Cloud (VPC) ネットワークにアタッチします。
Question 190

顧客の会社には複数の事業部門があります。各事業部門は独立して運営されており、それぞれ独自のエンジニアリンググループを持っています。あなたのチームは、会社内で作成されたすべてのプロジェクトに対する可視性を確保し、Google Cloud Platform (GCP) プロジェクトを異なる事業部門に基づいて整理したいと考えています。また、各事業部門には個別のIAM権限セットが必要です。 これらのニーズを満たすために、どの戦略を使用すべきですか?

A.
組織ノードを作成し、各事業部門にフォルダを割り当てる。
B.
各事業部門に対して、gmail.comアカウントを使用してスタンドアロンプロジェクトを確立する。
C.
プロジェクト内のGCPリソースに、どの事業部門がリソースを所有しているかを示すラベルを割り当てる。
D.
ネットワークアクセスを分離するために、各事業部門のVPC内にGCPリソースを割り当てる。
321問中 186-190問目
最初へ前へ3637383940次へ最後へ