← 試験一覧に戻る

Professional Cloud Security Engineer

Question 191

あなたは、機密性の高い患者データを保存し処理するためにクラウドへの拡張を進めている医療機関に勤務しています。選択したGoogle Cloud構成が、以下の厳格な規制要件を満たすようにする必要があります。 • データは特定の地理的リージョン内に存在しなければならない。 • 患者データに対する特定の管理操作には、指定されたコンプライアンス担当者からの明示的な承認が必要である。 • 患者データへのアクセスは監査可能でなければならない。 どうすべきですか?

A.
標準のGoogle Cloudリージョンを選択します。Access Context Managerを使用して、ユーザーの場所と職務に基づいて患者データへのアクセスを制限します。Cloud Audit LogsとAccess Transparencyの両方を有効にします。
B.
承認されたリージョンにAssured Workloads環境をデプロイします。患者データに対する機密性の高い操作に対してAccess Approvalを設定します。Cloud Audit LogsとAccess Transparencyの両方を有効にします。
C.
冗長性のために複数のリージョンにAssured Workloads環境をデプロイします。詳細な権限を持つカスタムIAMロールを利用します。VPC Service Controlsを使用してネットワークレベルのデータを分離します。
D.
高可用性のために複数の標準Google Cloudリージョンを選択します。患者データを含む個々のストレージオブジェクトにアクセス制御リスト(ACL)を実装します。Cloud Audit Logsを有効にします。
Question 192

あなたは、Google Cloudを含む複数のクラウドプロバイダーにシステムをデプロイしている多国籍企業に勤務しています。あなたの組織は、広範なオンプレミスのセキュリティ情報およびイベント管理(SIEM)システムを維持しています。新しいセキュリティコンプライアンス規制により、関連するGoogle Cloudのログを既存のSIEMとシームレスに統合し、セキュリティイベントの統一されたビューを提供する必要があります。あなたは、プッシュベースのほぼリアルタイムなアプローチを使用して、Google CloudのログをオンプレミスのSIEMにエクスポートするソリューションを実装する必要があります。フォールトトレランス、セキュリティ、および自動スケーリング機能を優先しなければなりません。特に、ログ配信が失敗した場合にログが再送信されるようにする必要があります。どうすればよいですか?

A.
ログ集約のためにPub/Subトピックを作成します。Cloud Function上でカスタムPythonスクリプトを作成し、Cloud Logging APIを利用してGoogle Cloudから定期的にログをプルし、SIEMに転送します。Cloud Functionを1日2回実行するようにスケジュールします。
B.
すべてのログを組織レベルの集約ログシンクに収集し、ログをPub/Subトピックに送信します。このPub/Subトピックからログを消費し、SIEMにログを配信するプライマリDataflowパイプラインを実装します。失敗したメッセージを再生するセカンダリDataflowパイプラインを実装します。
C.
すべてのログをsyslogエンドポイントに直接ルーティングするフィルタを持つCloud Loggingシンクをデプロイします。このエンドポイントは、Google Cloudでホストされている単一のCompute Engineに基づいており、すべてのログをオンプレミスのSIEMにルーティングします。失敗した場合に再試行アクションをトリガーするCloud Functionを実装します。
D.
SIEMがGoogle Cloudログを直接クエリできるようにカスタムファイアウォールルールを利用します。配信失敗をSIEMに通知し、再試行アクションをトリガーするCloud Functionを実装します。
Question 193

あなたはグローバル企業に勤務しています。コンプライアンス要件により、特定のプロジェクト内に存在する一部のCompute Engineインスタンスは、欧州連合(EU)内のクラウドリージョンに限定して配置する必要があります。既存の非準拠ワークロードが修正され、将来Compute Engineインスタンスが制限されたリージョンで起動されるのを防ぐ必要があります。どうすればよいですか?

A.
サードパーティ製の構成管理ツールを使用して、Compute Engineインスタンスのロケーションを監視します。既存のデプロイメントを含め、非準拠のインスタンスを自動的に削除または移行します。
B.
Security Command Centerのソースをデプロイして、EU外で作成されたCompute Engineインスタンスを検出します。カスタム修復機能を使用してインスタンスを自動的に再配置し、その機能を1日に1回実行します。
C.
Resource Managerの組織ポリシーの制約を使用して、特定のプロジェクト内でのCompute Engineインスタンス作成に許可されるリージョンを強制します。
D.
EU外でのCompute Engineインスタンスの作成を拒否する組織ポリシーを設定します。そのポリシーを適切なプロジェクトに適用します。既存の非準拠インスタンスを特定し、準拠するEUリージョンにインスタンスを移行します。
Question 194

あなたは開発者と協力して、Vertex AI で実行されるカスタムトレーニングジョブのセキュリティを確保する作業を行っています。コンプライアンス上の理由から、サポートされているすべてのデータ型は、ヨーロッパリージョンに存在し、あなたの組織によって管理される鍵マテリアルによって暗号化する必要があります。暗号化アクティビティは、Vertex AI でのトレーニングオペレーションに影響を与えてはなりません。どうすべきでしょうか?

A.
コード、トレーニングデータ、メタデータを Google デフォルト暗号化で暗号化します。Cloud Storage バケットにエクスポートされたトレーニング済みモデルには、顧客管理の暗号鍵 (CMEK) を使用します。
B.
コード、トレーニングデータ、メタデータ、およびエクスポートされたトレーニング済みモデルを顧客管理の暗号鍵 (CMEK) で暗号化します。
C.
コード、トレーニングデータ、およびエクスポートされたトレーニング済みモデルを顧客管理の暗号鍵 (CMEK) で暗号化します。
D.
コード、トレーニングデータ、メタデータを Google デフォルト暗号化で暗号化します。Cloud KMS のロケーションをヨーロッパリージョンに制限する制約を適用する組織のポリシーを実装します。
Question 195

あなたのEUに拠点を置く組織は、個人識別情報(PII)と非PIIデータの両方を、複数のGoogle CloudリージョンにまたがるCloud Storageバケットに保存しています。EUのデータプライバシー法では、PIIデータはEU域外に保存してはならないと定められています。このコンプライアンス要件を満たすために、EU域外のCloud Storageバケットに医療データが含まれているかどうかを検出したいと考えています。どうすべきでしょうか?

A.
Sensitive Data Protectionジョブを作成します。検出するデータのinfoTypeを指定し、すべてのGoogle Cloud Storageバケットに対してジョブを実行します。
B.
ログシンクを作成し、`resourceLocation.currentLocations`でフィルタリングします。EU域外の国を含むログメッセージが表示された場合にアラートをトリガーします。
C.
Security Command Center Premiumを有効化します。コンプライアンス監視を使用して、適用される医療規制に従っていないリソースを検出します。
D.
`gcp.resourceLocations`組織ポリシーを適用し、「healthcare」タグを持つリソースにのみ適用されるカスタムルールに「EU」を追加します。
321問中 191-195問目
最初へ前へ3738394041次へ最後へ