← 試験一覧に戻る

Professional Cloud Security Engineer

Question 241

あなたの組織では、BigQueryとCloud Storageに保存されているライブユーザーアクティビティデータを処理するMLモデルを使用して、リアルタイム推薦エンジンを構築しています。開発された新しいモデルはすべてArtifact Registryに保存されます。この新しいシステムは、モデルをGoogle Kubernetes Engineにデプロイし、メッセージキューにはPub/Subを使用します。最近の業界ニュースでは、MLモデルのサプライチェーンを悪用する攻撃が報告されています。このサーバーレスアーキテクチャのセキュリティを強化する必要があります。特に、開発およびデプロイメントパイプラインに対するリスクへの対策が求められています。どうすべきでしょうか?

A.
開発中およびデプロイ前にコンテナイメージの脆弱性スキャンを有効にします。Artifact Registryから継続的インテグレーションおよび継続的デプロイメント(CI/CD)パイプラインにデプロイされるイメージに対してBinary Authorizationを強制します。
B.
モデル開発前にすべてのトレーニングデータを徹底的にサニタイズし、ポイズニング攻撃のリスクを軽減します。認可にはIAMを使用し、コードリポジトリとクラウドサービスにロールベースの制限を適用します。
C.
MLモデルに使用される外部ライブラリと依存関係を可能な限り制限します。BigQueryとCloud Storageからユーザーデータにアクセスするために使用される暗号化キーを継続的にローテーションします。
D.
Cloud Runインスタンスへの外部トラフィックを制限するために厳格なファイアウォールルールを策定します。Pub/Subメッセージフローのリアルタイム異常検出のために侵入検知システム(IDS)を統合します。
Question 242

データベースサーバーのために、Google Cloud内に安全な内部ネットワークをセットアップしたいと考えています。これらのサーバーは、パブリックインターネットとのいかなる直接通信も持つべきではありません。どうすればよいですか?

A.
各データベースサーバーにプライベートIPアドレスを割り当てます。NATゲートウェイを使用して、データベースサーバーにインターネット接続を提供します。
B.
各データベースサーバーに静的パブリックIPアドレスを割り当てます。ファイアウォールルールを使用して外部アクセスを制限します。
C.
プライベートサブネットを持つVPCを作成します。各データベースサーバーにプライベートIPアドレスを割り当てます。
D.
各データベースサーバーにプライベートIPアドレスとパブリックIPアドレスの両方を割り当てます。
Question 243

あなたは大規模な組織に勤務しており、最近、Google Cloud とオンプレミスエッジルーター間に 100GB の Cloud Interconnect 接続を導入しました。定期的に接続性を確認していたところ、接続は運用可能であるものの、MACsec が運用上ダウンしていることを示すエラーメッセージが表示されていることに気づきました。このエラーを解決する必要があります。何をすべきでしょうか?

A.
Cloud Interconnect 接続が MACsec をサポートしていることを確認する。
B.
オンプレミスルーターがダウンしていないことを確認する。
C.
MACsec 用に作成されたアクティブな事前共有キーが、オンプレミスと Google の両方のエッジルーターで期限切れになっていないことを確認する。
D.
アクティブな事前共有キーが、オンプレミスと Google の両方のエッジルーターで一致していることを確認する。
Question 244

あなたの組織は、機密性の高いデータをGoogle Cloud内に保存する必要があります。最強レベルのセキュリティと制御を提供するソリューションを設計する必要があります。何をすべきですか?

A.
顧客指定の暗号鍵 (CSEK) を使用したCloud Storage、ネットワーク分離のためのVPCサービスコントロール、およびデータ検査のためのCloud DLPを使用する。
B.
顧客管理の暗号鍵 (CMEK) を使用したCloud Storage、データ分類のためのCloud DLP、およびAPIアクセストークンを保存するためのSecret Managerを使用する。
C.
クライアントサイド暗号化を使用したCloud Storage、鍵管理のためのCloud KMS、および暗号操作のためのCloud HSMを使用する。
D.
サーバーサイド暗号化を使用したCloud Storage、列レベルの暗号化を使用したBigQuery、およびアクセス制御のためのIAMロールを使用する。
Question 245

情報セキュリティチームは、本番環境のすべての新しいCloud RunジョブおよびサービスでBinary Authorizationを有効にすることを義務付けました。あなたはこの要件を強制する必要があります。どうすればよいですか?

A.
Cloud Runにデプロイされるイメージに対してBinary Authorizationの強制を要求する組織のポリシーを設定する。
B.
Binary AuthorizationなしでCloud Runジョブおよびサービスが実行されるのを防ぐSecurity Health Analytics (SHA) のカスタムルールを設定する。
C.
Cloud Run管理者ロールが開発者に割り当てられないようにする。
D.
開発者が編集できず、すべてのCloud Runジョブおよびサービスに自動的にアタッチされるBinary Authorizationのカスタムポリシーを設定する。
321問中 241-245問目
最初へ前へ4748495051次へ最後へ