← 試験一覧に戻る

Professional Cloud Security Engineer

Question 216

あなたの組織は、18ヶ月間の期間限定で小規模なパートナーチームを雇用しました。この一時的なチームは、あなたの組織のDevOpsチームと協力して、Google Cloud上でホストされているアプリケーションを開発します。あなたは、この一時的なパートナーチームにGoogle Cloud上のアプリケーションリソースへのアクセス権を付与し、パートナー企業の従業員が所属組織から削除された場合にはアクセス権を失うように保証しなければなりません。どうすればよいでしょうか?

A.
一時的なパートナーチームのメンバー用に一時的なユーザー名とパスワードを作成します。業務契約終了後、ユーザー名とパスワードを自動的にクリーンアップします。
B.
Workforce Identity プールを作成し、そのIDプールを一時的なパートナーチームのIDプロバイダー (IdP) とフェデレーションします。
C.
一時的なパートナーチームに対して、Google Cloudへのジャストインタイム特権アクセスを実装します。
D.
一時的なパートナーチームのメンバーのIDを、あなたの組織のIDプロバイダー (IdP) に追加します。
Question 217

あなたの組織は、ロードバランサーの背後にインターネット向けアプリケーションを運用しています。規制当局は、ユーザーのログイン認証情報のエンドツーエンド暗号化を要求しています。あなたはこの要件を実装する必要があります。何をすべきですか?

A.
Cloud KMSで対称鍵を生成します。クライアント側のユーザー認証情報をその対称鍵を使用して暗号化します。
B.
認証情報をタイムスタンプと連結します。タイムスタンプと認証情報のハッシュ値をネットワークに送信します。
C.
Google Cloud Global HTTPs Load BalancerにTLS証明書をデプロイし、ユーザー認証情報をHTTPs経由で送信します。
D.
Cloud KMSで非対称鍵を生成します。クライアント側のユーザー認証情報を公開鍵を使用して暗号化します。
Question 218

あなたの組織では、セキュリティのベストプラクティスを優先しつつ、サーバーレスアプリケーションを多用しています。あなたは、デプロイ前にイメージの出所とセキュリティ標準への準拠を強制する責任があります。コンテナイメージのビルドには、継続的インテグレーション/継続的デプロイメント(CI/CD)ツールとしてCloud Buildを利用しています。Cloud Buildパイプラインによってビルドされたイメージのみがデプロイされ、かつそのイメージがセキュリティ標準のコンプライアンスチェックに合格することを保証するために、Binary Authorizationを設定する必要があります。何をすべきでしょうか?

A.
スキャナを使用してソースコード管理リポジトリを評価するBinary Authorizationアテスターを作成します。アテスターがセキュリティポリシーに対して結果を検証した場合にのみ、イメージをデプロイします。
B.
スキャナを利用してコンテナイメージのビルドプロセスを評価するBinary Authorizationアテスターを作成します。この証明が存在する場合にのみイメージのデプロイを要求するポリシーを定義します。
C.
コンテナイメージのCloud BuildビルドIDを取得するBinary Authorizationアテスターを作成します。一致するビルドIDの証明がある場合にのみデプロイを許可するポリシーを設定します。
D.
カスタムのSecurity Health Analyticsモジュールを利用してポリシーを作成します。事前定義されたセキュリティ標準を満たさないイメージのデプロイを防ぐために、Binary Authorizationを通じてポリシーを強制します。
Question 219

あなたの組織は規制の厳しい業界で事業を展開しており、複数のGoogle Cloudサービスを利用しています。規制遵守に対する潜在的なリスクを特定する必要があります。どの状況が最も大きなリスクをもたらしますか?

A.
セキュリティチームは、機密として分類されたすべてのデータに対して、顧客管理の暗号鍵(CMEK)の使用を義務付けています。
B.
機密データは、均一なバケットレベルのアクセス設定が有効になっているCloud Storageバケットに保存されています。
C.
監査チームは、BigQueryのようなマネージドサービスに関連するCloud Audit Logsへのアクセスを必要としています。
D.
プリンシパルは、事前に定義された強化プロセスなしにCompute Engine VMの作成と管理を許可する広範なIAMロールを持っています。
Question 220

あなたの多国籍企業は、Google Cloud内で急速に拡大しています。新しいチームやプロジェクトが頻繁に追加されています。あなたは、組織全体でセキュリティポリシーの適用に一貫性がなくなり、権限が無秩序に拡大する可能性を懸念しています。地域チームの自律性を維持しつつ、一貫した標準を強制しなければなりません。セキュリティと管理効率を確保しながら、IAM(Identity and Access Management)と組織ポリシーを大規模かつ効果的に管理するための戦略を設計する必要があります。どうすべきでしょうか?

A.
一般的なシナリオに対応する詳細な組織全体のポリシーを作成します。チームには、必要に応じてプロジェクトレベルおよびリソースレベルで慎重にポリシーを適用するよう指示します。
B.
組織ポリシーの作成を地域チームに委任します。展開前にこれらのポリシーを中央でコンプライアンスについてレビューします。
C.
少数の必須組織ポリシーを定義します。これらのポリシーを、チームが必要に応じて活用できるオプションのポリシーテンプレートのライブラリで補足します。
D.
フォルダの階層構造を使用します。テンプレートベースの組織ポリシーを実装し、下位にカスケードさせ、地域チームによる限定的なカスタマイズを許可します。
321問中 216-220問目
最初へ前へ4243444546次へ最後へ