
[2023年12月最新リリース] 合格できるProfessional-Cloud-Security-Engineer日本語試験にはリアル問題とアンサー
合格できるProfessional-Cloud-Security-Engineer日本語レビューガイド、頼もしいProfessional-Cloud-Security-Engineer日本語テストエンジン
質問 # 100
共有 VPC と BigQuery データセットに接続された Compute Engine インスタンス間のアクセス拒否エラーのトラブルシューティングを行っています。データセットは、VPC Service Controls 境界によって保護されたプロジェクトに存在します。あなたは何をするべきか?
- A. Compute Engine インスタンスが存在するサービス プロジェクトをサービス境界に追加します。
- B. Compute Engine インスタンスが存在するサービス プロジェクトと、保護された BigQuery データセットを含む境界の間に境界ブリッジを作成します。
- C. 共有 VPC を含むホスト プロジェクトをサービス境界に追加します。
- D. Compute Engine インスタンスが存在するサービス プロジェクトと共有 VPC を含むホスト プロジェクトの間にサービス境界を作成します。
正解:C
解説:
https://cloud.google.com/vpc-service-controls/docs/service-perimeters#secure-google-managed-resources If you're using Shared VPC, you must include the host project in a service perimeter along with any projects that belong to the Shared VPC.
質問 # 101
お客様の内部セキュリティ チームは、Cloud Storage 上のデータを暗号化するために独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵(CSEK)を使用することにしました。
チームはこのタスクをどのように完了する必要がありますか?
- A. Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。
- B. 暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。
- C. gsutil コマンドライン ツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。
- D. オブジェクトを暗号化してから、gsutil コマンドライン ツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。
正解:C
解説:
Explanation
https://cloud.google.com/storage/docs/encryption/customer-supplied-keys#gsutil
質問 # 102
顧客は別の会社と協力して、Compute Engine でアプリケーションを構築しています。お客様は自社の GCP 組織でアプリケーション層を構築しており、別の会社は別の GCP 組織でストレージ層を構築しています。これは 3 層 Web アプリケーションです。アプリケーションの部分間の通信は、いかなる方法でも公共のインターネットを経由してはなりません。
どの接続オプションを実装する必要がありますか?
- A. VPC ピアリング
- B. クラウド VPN
- C. クラウド インターコネクト
- D. 共有 VPC
正解:A
解説:
Explanation
Peering two VPCs does permit traffic to flow between the two shared networks, but it's only bi-directional.
Peered VPC networks remain administratively separate.
質問 # 103
お客様は、マネージド インスタンス グループ(MIG)を使用して、機密性の高いワークロードを Compute Engine ベースのクラスタに移動したいと考えています。ジョブはバースト性があり、迅速に完了する必要があります。暗号化キーを管理およびローテーションできる必要があります。
この顧客の要件を満たすには、クラスタでどのブートディスク暗号化ソリューションを使用する必要がありますか?
- A. デフォルトでの暗号化
- B. 顧客指定の暗号化キー (CSEK)
- C. Cloud Key Management Service (KMS) を使用した顧客管理の暗号鍵 (CMEK)
- D. 分析のために Google Cloud Platform (GCP) に転送する前にファイルを事前に暗号化する
正解:C
解説:
Explanation
Reference https://cloud.google.com/kubernetes-engine/docs/how-to/dynamic-provisioning-cmek
質問 # 104
お客様には、インターネット アクセスを制限する必要がある Compute Engine で実行されている分析ワークロードがあります。
あなたのチームは、インターネットへのすべてのトラフィックを拒否する (優先度 1000) 下りファイアウォール ルールを作成しました。
Compute Engine インスタンスは、公開リポジトリにアクセスしてセキュリティ アップデートを取得する必要があります。あなたのチームは何をすべきですか?
- A. 優先度が 1000 未満のリポジトリの CIDR 範囲へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
- B. 優先度が 1000 を超えるリポジトリのホスト名へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
- C. より低い優先度でリポジトリのホスト名へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
1000。 - D. 優先度が 1000 を超えるリポジトリの CIDR 範囲へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
正解:A
解説:
Explanation
https://cloud.google.com/vpc/docs/firewalls#priority_order_for_firewall_rules
質問 # 105
クラウド サービスの提供と使用に適用される情報セキュリティ管理のガイドラインを提供する国際コンプライアンス標準はどれですか?
- A. ISO27001
- B. ISO27002
- C. ISO 27018
- D. ISO 27017
正解:D
解説:
Create a new Service Account that should be able to list the Compute Engine instances in the project. You want to follow Google-recommended practices.
https://cloud.google.com/security/compliance/iso-27017
質問 # 106
顧客は別の会社と協力して、Compute Engine でアプリケーションを構築しています。お客様は自社の GCP 組織でアプリケーション層を構築しており、別の会社は別の GCP 組織でストレージ層を構築しています。これは 3 層 Web アプリケーションです。アプリケーションの部分間の通信は、いかなる方法でも公共のインターネットを経由してはなりません。
どの接続オプションを実装する必要がありますか?
- A. VPC ピアリング
- B. クラウド VPN
- C. クラウド インターコネクト
- D. 共有 VPC
正解:A
解説:
Peering two VPCs does permit traffic to flow between the two shared networks, but it's only bi-directional. Peered VPC networks remain administratively separate.
質問 # 107
セキュリティ チームは、多層防御アプローチを実装して、Cloud Storage バケットに保存されている機密データを保護したいと考えています。チームには次の要件があります。
* プロジェクト A の Cloud Storage バケットは、プロジェクト B からのみ読み取ることができます。
* プロジェクト A の Cloud Storage バケットは、ネットワークの外部からアクセスできません。
* Cloud Storage バケット内のデータを外部の Cloud Storage バケットにコピーすることはできません。
セキュリティ チームは何をすべきですか?
- A. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B のネットワーク間の VPC ピアリングを有効にします。
- B. VPC Service Controls を有効にし、プロジェクト A と B の周囲に境界を作成し、Cloud Storage API をサービス境界構成に含めます。
- C. ネットワーク間の通信を許可する厳格なファイアウォール ルールを使用して、プロジェクト A と B の両方のネットワークでプライベート アクセスを有効にします。
- D. 組織のポリシーでドメイン制限共有を有効にし、Cloud Storage バケットで均一なバケットレベルのアクセスを有効にします。
正解:B
解説:
VPC Peering is between organizations not between Projects in an organization. That is Shared VPC. In this case, both projects are in same organization so having VPC Service Controls around both projects with necessary rules should be fine.
https://cloud.google.com/vpc-service-controls/docs/overview
質問 # 108
既存の VPC Service Controls 境界を新しいアクセス レベルで更新したいと考えています。この変更によって既存の境界を壊さないようにし、オーバーヘッドを最小限に抑えながら、ユーザーへの影響を最小限に抑える必要があります。あなたは何をするべきか?
- A. 境界で予行演習モードを有効にします。新しいアクセス レベルを境界のドライラン構成に追加します。アクセス レベルが精査された後、境界構成を更新します。
- B. 決して一致しない新しいアクセス レベルで境界を更新します。新しいアクセス レベルを更新して、必要な状態に 1 つずつ一致させ、過度に寛大にならないようにします。
- C. 既存の境界の正確なレプリカを作成します。新しいアクセス レベルをレプリカに追加します。アクセス レベルが精査された後、元の境界を更新します。
- D. 境界で予行演習モードを有効にします。新しいアクセス レベルを境界構成に追加します。
アクセス レベルが精査された後、境界構成を更新します。
正解:A
解説:
https://cloud.google.com/vpc-service-controls/docs/dry-run-mode
When using VPC Service Controls, it can be difficult to determine the impact to your environment when a service perimeter is created or modified. With dry run mode, you can better understand the impact of enabling VPC Service Controls and changes to perimeters in existing environments.
質問 # 109
あなたの会社では、セキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用する必要がありますか?
- A. サブネットで VPC フロー ログを有効にします。
- B. クラウド監査ログを監視および分析します。
- C. パケット ミラーリング ポリシーを構成します。
- D. 組織のポリシーの制約を定義します。
正解:C
解説:
https://cloud.google.com/vpc/docs/packet-mirroring
Packet Mirroring clones the traffic of specified instances in your Virtual Private Cloud (VPC) network and forwards it for examination. Packet Mirroring captures all traffic and packet data, including payloads and headers.
質問 # 110
ある会社は、Compute Engine でアプリケーションを実行しています。アプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行できるようになり、その結果、Compute Engine インスタンスがクラッシュしました。バグは修正されましたが、このハッキングが再発した場合に備えて通知を受け取りたいと考えています。
あなたは何をするべきか?
- A. プロセスの正常性条件を使用して Stackdriver でアラート ポリシーを作成し、スクリプトの実行回数が目的のしきい値を下回っていることを確認します。通知を有効にします。
- B. スクリプトのすべての実行を Stackdriver Logging に記録します。ログの Stackdriver Logging でユーザー定義の指標を作成し、指標を表示する Stackdriver ダッシュボードを作成します。
- C. CPU 使用率指標を使用して、Stackdriver でアラート ポリシーを作成します。CPU 使用率がこの 80% を超えたときに通知されるように、しきい値を 80% に設定します。
- D. スクリプトのすべての実行を Stackdriver Logging に記録します。BigQuery をログ シンクとして構成し、BigQuery のスケジュールされたクエリを作成して、特定の時間枠での実行回数をカウントします。
正解:A
質問 # 111
あなたのチームは、ユーザーが組織内でプロジェクトを作成できないようにする必要があります。DevOps チームのみが、要求者に代わってプロジェクトを作成できるようにする必要があります。
この要求を処理するためにチームが実行する必要がある 2 つのタスクはどれですか? (2つ選んでください。)
- A. 指定されたユーザー グループを、組織レベルでプロジェクト作成者の役割に追加します。
- B. 請求先アカウントの作成者の役割を、指定された DevOps チームに付与します。
- C. 組織ポリシーの制約を作成し、組織レベルで適用します。
- D. 組織レベルでプロジェクト作成者の役割からすべてのユーザーを削除します。
- E. 組織レベルでのプロジェクト編集者の役割を、指定されたユーザー グループに付与します。
正解:A、D
解説:
Explanation
https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints
質問 # 112
多国籍企業のビジネス ユニットが GCP にサインアップし、GCP へのワークロードの移動を開始します。ビジネス ユニットは、数百のプロジェクトを持つ組織リソースを使用して Cloud Identity ドメインを作成します。
あなたのチームはこれに気づき、権限の管理とドメイン リソースの監査を引き継ぐことを望んでいます。
この要件を満たすために、チームはどのタイプのアクセス権を付与する必要がありますか?
- A. 組織ロール管理者
- B. セキュリティ レビュー担当者
- C. 組織管理者
- D. 組織ポリシー管理者
正解:A
解説:
Here are the permissions available to organizationRoleAdmin
iam.roles.create
iam.roles.delete
iam.roles.undelete
iam.roles.get
iam.roles.list
iam.roles.update
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
There are sufficient as per least privilege policy. You can do user management as well as auditing.
https://cloud.google.com/iam/docs/understanding-custom-roles
質問 # 113
ある企業が、自社のアプリケーションを Google Cloud Platform にデプロイしています。会社のポリシーでは、少なくとも 2 つの地理的な場所でデータを自動的に複製できるソリューションを使用して長期データを保存する必要があります。
どのストレージ ソリューションを使用できますか?
- A. クラウド BigQuery
- B. Compute Engine 永続ディスク
- C. クラウド Bigtable
- D. Compute Engine SSD ディスク
正解:A
解説:
https://cloud.google.com/bigquery#:~:text=BigQuery%20transparently%20and%20automatically%20provides,charge%20and%20no%20additional%20setup.&text=BigQuery%20also%20provides%20ODBC%20and,interact%20with%20its%20powerful%20engine.
質問 # 114
あなたは会社の開発チームに所属しています。GKE のステージングでホストされているウェブ アプリケーションは、入力されたデータを最初に適切に検証せずに、ウェブページにユーザー データを動的に含めることに気付きました。これにより、攻撃者は意味不明なコマンドを実行し、実稼働環境で被害者のユーザーのブラウザに任意のコンテンツを表示する可能性があります。
この脆弱性をどのように防止および修正する必要がありますか?
- A. Web Security Scanner を使用して、コード内の古いライブラリの使用を検証し、含まれているライブラリのセキュリティで保護されたバージョンを使用します。
- B. IP アドレスまたはエンドユーザーのデバイス属性に基づいて Cloud IAP を使用して、脆弱性を防止および修正します。
- C. HTTPS ロード バランサーをセットアップし、本番環境に Cloud Armor を使用して潜在的な XSS 攻撃を防ぎます。
- D. ステージングで Web Security Scanner を使用して XSS インジェクション攻撃をシミュレートし、コンテキストの自動エスケープをサポートするテンプレート システムを使用します。
正解:D
解説:
Explanation
There is mention about simulating in Web Security Scanner. "Web Security Scanner cross-site scripting (XSS) injection testing *simulates* an injection attack by inserting a benign test string into user-editable fields and then performing various user actions."
https://cloud.google.com/security-command-center/docs/how-to-remediate-web-security-scanner-findings#xss
質問 # 115
CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか?(2つ選んでください。)
- A. Cloud Source Repositories リポジトリ内のコンテナ テンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。
- B. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナー イメージを検証するステップを追加します。
- C. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナ イメージが見つかった場合にアラートを生成します。
- D. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナー イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。
- E. Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナ イメージを自動的にスキャンします。
正解:A、D
解説:
Reference:
https://cloud.google.com/container-analysis/docs/container-analysis
Container Analysis is a service that provides vulnerability scanning and metadata storage for containers. The scanning service performs vulnerability scans on images in Container Registry and Artifact Registry, then stores the resulting metadata and makes it available for consumption through an API.
https://cloud.google.com/binary-authorization/docs/attestations
After a container image is built, an attestation can be created to affirm that a required activity was performed on the image such as a regression test, vulnerability scan, or other test. The attestation is created by signing the image's unique digest.
During deployment, instead of repeating the activities, Binary Authorization verifies the attestations using an attestor. If all of the attestations for an image are verified, Binary Authorization allows the image to be deployed.
質問 # 116
ある企業が、自社のアプリケーションを Google Cloud Platform にデプロイしています。会社のポリシーでは、少なくとも 2 つの地理的な場所でデータを自動的に複製できるソリューションを使用して長期データを保存する必要があります。
どのストレージ ソリューションを使用できますか?
- A. クラウド BigQuery
- B. Compute Engine 永続ディスク
- C. クラウド Bigtable
- D. Compute Engine SSD ディスク
正解:A
解説:
Explanation
https://cloud.google.com/bigquery#:~:text=BigQuery%20transparently%20and%20automatically%20provides,ch
質問 # 117
セキュリティ チームは、ユーザーが管理するキーが誤って管理され、侵害されるリスクを軽減したいと考えています。これを実現するには、開発者が組織内のプロジェクトのユーザー管理サービス アカウント キーを作成できないようにする必要があります。これをどのように実施する必要がありますか?
- A. 組織のポリシーを有効にして、サービス アカウント キーが作成されないようにします。
- B. ユーザーから iam.serviceAccounts.getAccessToken 権限を削除します。
- C. 組織のポリシーを有効にして、サービス アカウントの作成を無効にします。
- D. サービス アカウント キーを管理するように Secret Manager を構成します。
正解:A
解説:
https://cloud.google.com/iam/docs/best-practices-for-managing-service-account-keys
"To prevent unnecessary usage of service account keys, use organization policy constraints: At the root of your organization's resource hierarchy, apply the Disable service account key creation and Disable service account key upload constraints to establish a default where service account keys are disallowed. When needed, override one of the constraints for selected projects to re-enable service account key creation or upload."
質問 # 118
......
100%無料Professional-Cloud-Security-Engineer日本語日常練習試験212問題:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html