
[2024年04月]更新のGoogle Professional-Cloud-Security-Engineer日本語公式認定ガイドPDF
試験Professional-Cloud-Security-Engineer日本語 Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)
質問 # 131
あなたは会社の開発チームに所属しています。GKE のステージングでホストされているウェブ アプリケーションは、入力されたデータを最初に適切に検証せずに、ウェブページにユーザー データを動的に含めることに気付きました。これにより、攻撃者は意味不明なコマンドを実行し、実稼働環境で被害者のユーザーのブラウザに任意のコンテンツを表示する可能性があります。
この脆弱性をどのように防止および修正する必要がありますか?
- A. HTTPS ロード バランサーをセットアップし、本番環境に Cloud Armor を使用して潜在的な XSS 攻撃を防ぎます。
- B. IP アドレスまたはエンドユーザーのデバイス属性に基づいて Cloud IAP を使用して、脆弱性を防止および修正します。
- C. ステージングで Web Security Scanner を使用して XSS インジェクション攻撃をシミュレートし、コンテキストの自動エスケープをサポートするテンプレート システムを使用します。
- D. Web Security Scanner を使用して、コード内の古いライブラリの使用を検証し、含まれているライブラリのセキュリティで保護されたバージョンを使用します。
正解:C
解説:
Explanation
There is mention about simulating in Web Security Scanner. "Web Security Scanner cross-site scripting (XSS) injection testing *simulates* an injection attack by inserting a benign test string into user-editable fields and then performing various user actions."https://cloud.google.com/security-command-center/docs/how-to-remediate-web-security-scanner-findin
質問 # 132
あなたの組織は、サードパーティ企業の Compute Engine インスタンスで実行される金融サービス アプリケーションをホストしています。アプリケーションを使用するサードパーティ企業のサーバーも、別の Google Cloud 組織の Compute Engine 上で実行されます。Compute Engine インスタンス間に安全なネットワーク接続を構成する必要があります。次の要件があります。
* ネットワーク接続は暗号化する必要があります。
* サーバー間の通信は、プライベート IP アドレスを介して行う必要があります。
あなたは何をするべきか?
- A. Compute Engine でホストされるアプリケーションを API として公開し、サードパーティにのみアクセスを許可する TLS で暗号化される Apigee プロキシを構成します。
- B. Compute Engine インスタンスの周りに VPC Service Controls 境界を構成し、アクセス レベルを介してサードパーティへのアクセスを提供します。
- C. 組織の VPC ネットワークと、VPC ファイアウォール ルールによって制御されるサード パーティのネットワークとの間に Cloud VPN 接続を構成します。
- D. VPC ファイアウォール ルールによって制御される、組織の VPC ネットワークとサード パーティの VPC ネットワーク間の VPC ピアリング接続を構成します。
正解:D
解説:
Google encrypts and authenticates data in transit at one or more network layers when data moves outside physical boundaries not controlled by Google or on behalf of Google. All VM-to-VM traffic within a VPC network and peered VPC networks is encrypted. https://cloud.google.com/docs/security/encryption-in-transit#cio-level_summary
質問 # 133
Compute Engine でホストされているウェブ アプリケーションをデプロイしています。ビジネス要件では、アプリケーション ログを 12 年間保存し、データをヨーロッパの境界内に保持することが義務付けられています。オーバーヘッドを最小限に抑え、費用対効果の高いストレージ ソリューションを実装したいと考えています。あなたは何をするべきか?
- A. Google Cloud のオペレーション スイートの Cloud Logging エージェントを使用して、アプリケーション ログを EUROPE-WEST1 リージョンのカスタム ログ バケットに 12 年間のカスタム保持期間で送信するように、Compute Engine インスタンスを構成します。
- B. Pub/Sub トピックを使用して、アプリケーション ログを EUROPE-WEST1 リージョンの Cloud Storage バケットに転送します。
- C. EUROPE-WEST1 リージョンにある Google Cloud のオペレーション スイートのログバケットで、12 年のカスタム保持ポリシーを構成します。
- D. EUROPE-WEST1 リージョンにログを保存する Cloud Storage バケットを作成します。効率を高めるために、アプリケーション コードを変更してログをバケットに直接送信します。
正解:A
解説:
Explanation
https://youtu.be/MI4iG2GIZMA
質問 # 134
あなたの組織は最近、Security Command Center {SCO 標準レベルをアクティブ化しました。誤って一般公開された Cloud Storage バケットがいくつかあります。インシデントの影響を調査し、修正する必要があります。
あなたは何をするべきか?
- A. * 1 権限を変更して、許可されたユーザーのアクセスを制限します
* 2 すべての運用プロジェクトの周囲に VPC Service Controls 境界を適用し、不正なアクセスを即座に阻止します。
* 3 管理者のアクティビティ監査ログを確認して、不正なアクセスを報告します。 - B. * 1 バケットの権限を変更してアクセスを制限します
* 2 バケットの使用ログをクエリして、データへの不正アクセスを報告します。
* 3 リグレッションを回避するには、組織ポリシー storage.publicAccessPrevention を強制します。 - C. * 1 バケットの権限を変更してアクセスを制限します
* 2 バケットへの不正アクセスについてデータ アクセス監査ログを照会します。
* 3 設定ミスを修正した後、Security Command Center で結果をミュートします。 - D. * 1 バケットからすべてのユーザーにアクセスを許可する Identity and Access Management (IAM) を削除します。
※2 組織ポリシーストレージを適用します。リグレッションを防ぐための unifromBucketLevelAccess
※3 データアクセスログを照会し、不正アクセスを報告します。
正解:C
解説:
■■
質問 # 135
本番プロジェクトのチームのログを一元化する必要があります。チームがログ エクスプローラを使用してログを検索および分析できるようにしたいと考えています。あなたは何をするべきか?
- A. Cloud Monitoring ワークスペースを有効にし、モニタリング対象の本番プロジェクトを追加します。
- B. 本番プロジェクトの親フォルダに集約組織シンクを作成し、宛先を Cloud Storage バケットに設定します。
- C. 組織レベルでログ エクスプローラを使用し、本番プロジェクトのログをフィルタします。
- D. 本番プロジェクトの親フォルダーに集約組織シンクを作成し、宛先をログ バケットに設定します。
正解:D
解説:
https://cloud.google.com/logging/docs/export/aggregated_sinks#supported-destinations You can use aggregated sinks to route logs within or between the same organizations and folders to the following destinations: - Another Cloud Logging bucket: Log entries held in Cloud Logging log buckets.
質問 # 136
あなたは会社のインシデント対応計画を策定しています。DevOps チームが Google Cloud 環境でのデプロイの問題を確認および調査するときに使用するアクセス戦略を定義する必要があります。主な要件は次の 2 つです。
* 最小特権アクセスを常に実施する必要があります。
* DevOps チームは、展開の問題の間のみ、必要なリソースにアクセスできる必要があります。
Google が推奨するベスト プラクティスに従いながら、どのようにアクセスを許可する必要がありますか?
- A. サービス アカウントを作成し、プロジェクト オーナーの 1AM ロールを付与します。このサービス アカウントのサービス アカウント ユーザー ロールを DevOps チームに付与します。
- B. リスト/ビュー権限が制限されたカスタム 1AM ロールを作成し、DevOps チームに割り当てます。
- C. サービス アカウントを作成し、制限付きのリスト/表示権限を付与します。このサービス アカウントのサービス アカウント ユーザー ロールを DevOps チームに付与します。
- D. Project Viewer Identity and Access Management (1AM) ロールを DevOps チームに割り当てます。
正解:C
質問 # 137
あなたの会社は機密データを Cloud Storage に保存しています。オンプレミスで生成されたキーを暗号化プロセスで使用したい。
あなたは何をするべきか?
- A. 顧客提供の暗号化キーを使用してキー暗号化キー (KEK) を管理します。
- B. 顧客提供の暗号化キーを使用して、データ暗号化キー (DEK) を管理します。
- C. Cloud Key Management Service を使用して、データ暗号化キー (DEK) を管理します。
- D. Cloud Key Management Service を使用して、鍵暗号鍵 (KEK) を管理します。
正解:B
解説:
This is a Customer-supplied encryption keys (CSEK). We generate our own encryption key and manage it on-premises. A KEK never leaves Cloud KMS.There is no KEK or KMS on-premises. Encryption at rest by default, with various key management options https://cloud.google.com/security/encryption-at-rest
質問 # 138
オンプレミス環境から BigQuery データセットへの毎日の ETL プロセスで、個人を特定できる機密情報(PII)が Google Cloud 環境に取り込まれていることがわかりました。このデータを編集して PII を難読化する必要がありますが、データ分析のために再識別する必要があります。ソリューションでどのコンポーネントを使用する必要がありますか? (2つ選んでください。)
- A. AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention
- B. クラウド鍵管理サービス
- C. 暗号ハッシュによるクラウド データ損失防止
- D. 自動テキスト編集による Cloud Data Loss Prevention
- E. シークレット マネージャー
正解:A、B
解説:
Explanation
B: you need KMS to store the
CryptoKeyhttps://cloud.google.com/dlp/docs/reference/rest/v2/projects.deidentifyTemplates#crypt E: for the de-identity you need to use CryptoReplaceFfxFpeConfig or CryptoDeterministicConfighttps://cloud.google.com/dlp/docs/reference/rest/v2/projects.deidentifyTemplates#cry
https://cloud.google.com/dlp/docs/deidentify-sensitive-data
質問 # 139
Stackdriver のログを GCP からオンプレミスの SIEM システムに確実に配信するにはどうすればよいですか?
- A. syslog などの既存のプロトコルを介して、すべてのログを SIEM システムに送信します。
- B. すべてのプロジェクトを構成して、すべてのログを共通の BigQuery DataSet にエクスポートします。これは SIEM システムによってクエリされます。
- C. Cloud Pub/Sub トピックにログをエクスポートするように組織のログ シンクを構成します。このトピックは、Dataflow 経由で SIEM に送信されます。
- D. SIEM 用のコネクタを構築して、GCP RESTful JSON API からすべてのログをリアルタイムでクエリします。
正解:C
解説:
Scenarios for exporting Cloud Logging data: Splunk This scenario shows how to export selected logs from Cloud Logging to Pub/Sub for ingestion into Splunk. Splunk is a security information and event management (SIEM) solution that supports several ways of ingesting data, such as receiving streaming data out of Google Cloud through Splunk HTTP Event Collector (HEC) or by fetching data from Google Cloud APIs through Splunk Add-on for Google Cloud. Using the Pub/Sub to Splunk Dataflow template, you can natively forward logs and events from a Pub/Sub topic into Splunk HEC. If Splunk HEC is not available in your Splunk deployment, you can use the Add-on to collect the logs and events from the Pub/Sub topic. https://cloud.google.com/solutions/exporting-stackdriver-logging-for-splunk
質問 # 140
あなたは、組織の Google Cloud 環境用に Security Command Center を構成する任務を負っています。セキュリティ チームは、組織のコンピューティング環境における仮想通貨マイニングの可能性に関するアラートと、セキュリティに影響を与える一般的な Google Cloud の構成ミスに関するアラートを受け取る必要があります。これらのアラートを構成するには、Security Command Center のどの機能を使用する必要がありますか? (2つ選んでください。)
- A. Google クラウド アーマー
- B. セキュリティ状況分析
- C. コンテナ脅威検出
- D. イベント脅威検出
- E. クラウド データ損失防止
正解:B、D
解説:
Explanation
https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview Event Threat Detection is a built-in service for the Security Command Center Premium tier that continuously monitors your organization and identifies threats within your systems in near-real time.
https://cloud.google.com/security-command-center/docs/concepts-security-sources#security-health-analytics
質問 # 141
あなたの会社の最高情報セキュリティ責任者 (CISO) は、会社のグローバル展開計画に影響を与える規制要件のために、ビジネス データを特定の場所に保存することを要求しています。この要件を実装するための計画に取り組んだ後、次のことを決定します。
* 対象となるサービスは、Google Cloud のデータ所在地要件に含まれています。
* ビジネス データは、同じ組織内の特定の場所に残ります。
* フォルダー構造には、複数のデータ常駐場所を含めることができます。
* プロジェクトは特定の場所に配置されます。
リソースの場所の制限組織ポリシーの制約を使用して、非常にきめ細かい制御を行う予定です。
階層のどのレベルで制約を設定する必要がありますか?
- A. 組織
- B. リソース
- C. フォルダ
- D. プロジェクト
正解:D
質問 # 142
Google Cloud 環境には、組織ノードが 1 つと、Apps という名前のフォルダが 1 つあり、そのフォルダ内に複数のプロジェクトがあります。組織ノードは、terramearth.com 組織のメンバーを許可するconstraints/iam.allowedPolicyMemberDomains組織ポリシーを適用します。「Apps」フォルダは、 constraints/iam.allowedPolicyMemberDomains 組織ポリシーは、flowlogistic.com 組織のメンバーを許可します。これには、inheritFromParent: false プロパティもあります。
Apps フォルダー内のプロジェクトへのアクセスをユーザー [email protected] に許可しようとします。
あなたの行動の結果は何ですか、またその理由は何ですか?
- A. constraints/iam.allowedPolicyMemberDomains 組織ポリシーが設定されており、flowlogistic.com 組織のメンバーのみが許可されているため、アクションは失敗します。
- B. Terramearth という両方の組織のメンバーであるため、アクションは成功します。com または flowlogistic.com は、「Apps」フォルダー内のプロジェクトで許可されます
- C. 制約を一時的に非アクティブ化するには、現在のプロジェクトでconstraints/iam.allowedPolicyMemberDomains組織ポリシーを定義する必要があるため、アクションは失敗します。
- D. すべてのポリシーが基になるフォルダーとプロジェクトに継承されるため、アクションは成功し、新しいメンバーがプロジェクトの Identity and Access Management (1AM) ポリシーに正常に追加されます。
正解:A
解説:
The action fails because a constraints/iam.allowedPolicyMemberDomains organization policy is in place and only members from the flowlogistic.com organization are allowed. The inheritFromParent: false property on the "Apps" folder means that it does not inherit the organization policy from the organization node. Therefore, only the policy set at the folder level applies, which allows only members from the flowlogistic.com organization. As a result, the attempt to grant access to the user [email protected] fails because this user is not a member of the flowlogistic.com organization.
質問 # 143
gcloud コマンドライン ツールを使用して、サードパーティのシングル サインオン(SSO)SAML ID プロバイダを使用して認証したいと考えています。認証がサードパーティ ID プロバイダー (IdP) によってサポートされていることを確認するには、どのオプションが必要ですか? (2つ選んでください。)
- A. OpenID コネクト
- B. クラウド ID
- C. ID 認識プロキシ
- D. サードパーティ IdP としての SSO SAML
- E. ID プラットフォーム
正解:A、D
解説:
Explanation
To provide users with SSO-based access to selected cloud apps, Cloud Identity as your IdP supports the OpenID Connect (OIDC) and Security Assertion Markup Language 2.0 (SAML) protocols.
https://cloud.google.com/identity/solutions/enable-sso
質問 # 144
あなたは最近、会社の Google Cloud 実装をサポートするネットワーキング チームに参加しました。ファイアウォール ルールの構成をよく理解し、ネットワーキングと Google Cloud の経験に基づいて推奨事項を提供する必要があります。より高い優先度または同等の優先度を持つ他のファイアウォール ルールの属性と重複するファイアウォール ルールを検出するには、どの製品を推奨する必要がありますか?
- A. ファイアウォール ルールのロギング
- B. ファイアウォール インサイト
- C. セキュリティ コマンド センター
- D. VPC フロー ログ
正解:B
解説:
https://cloud.google.com/network-intelligence-center/docs/firewall-insights/concepts/overview#shadowed-firewall-rules Firewall Insights analyzes your firewall rules to detect firewall rules that are shadowed by other rules. A shadowed rule is a firewall rule that has all of its relevant attributes, such as its IP address and port ranges, overlapped by attributes from one or more rules with higher or equal priority, called shadowing rules.
質問 # 145
あなたの組織は BigQuery を使用して、機密性の高い構造化データセットを処理しています。「知る必要がある」原則に従って、次のユーザーのニーズを満たす Identity and Access Management (IAM) 設計を作成する必要があります。
* ビジネス ユーザーは厳選されたレポートにアクセスする必要があります。
* データ エンジニア: プラットフォーム内のデータ ライフサイクルを管理する必要があります。
* セキュリティ オペレータ: データ プラットフォーム上のユーザー アクティビティを確認する必要があります。
あなたは何をするべきか?
- A. キュレートされたテーブルを別のデータセットに作成し、ロール role/bigquery.dataViewer を割り当てます。
- B. ビジネス ユーザーのニーズに基づいて CSV データ ファイルを生成し、そのデータを電子メール アドレスに送信します。
- C. BigQuery サービスのデータ アクセス ログを構成し、セキュリティ オペレーターにプロジェクト閲覧者のロールを付与します。
- D. 「地域」列に基づいて行ベースのアクセス制御を設定し、データ エンジニア向けに米国のレコードをフィルターします。
正解:A
解説:
Explanation
This option directly addresses the needs of the business user who must access curated reports. By creating curated tables in a separate dataset, you can control access to specific data. Assigning the roles/bigquery.dataViewer role allows the business user to view the data in BigQuery.
質問 # 146
あなたの組織は Active Directory を使用しており、Security Assertion Markup Language (SAML) を構成したいと考えています。すべてのユーザーに対してシングル サインオン (SSO) を設定し、強制する必要があります。
あなたは何をするべきか?
- A. 1. SAML プロファイルの割り当てを管理します。
* 2. Active Directory (AD) テナントで OpenID Connect (OIDC) を有効にします。
* 3. ドメインを確認します。 - B. 1. 新しい SAML プロファイルを作成します。
* 2. X.509証明書をアップロードします。
* 3. パスワード変更 URL を有効にします。
* 4. IdP でエンティティ ID と ACS URL を構成します。 - C. 1- 新しい SAML プロファイルを作成します。
* 2. サインイン ページとサインアウト ページの URL を入力します。
* 3. X.509証明書をアップロードします。
* 4. IdP でエンティティ ID と ACS URL を構成する - D. 1. Active Directory (AD) テナントで OpenID Connect (OIDC) の前提条件を構成します。
※2. ADドメインを確認します。
* 3. SAML を使用するユーザーを決定します。
* 4. 事前構成されたプロファイルを、選択した組織単位 (OU) およびグループに割り当てます。
正解:C
解説:
Explanation
When configuring SAML-based Single Sign-On (SSO) in an organization that's using Active Directory, the general steps would involve setting up a SAML profile, specifying the necessary URLs for sign-in and sign-out processes, uploading an X.509 certificate for secure communication, and setting up the Entity ID and Assertion Consumer Service (ACS) URL in the Identity Provider (which in this case would be Active Directory).
質問 # 147
組織は、いくつかのミッション クリティカルなアプリケーションをオンプレミスで維持しながら、アプリケーションを Google Cloud に移行しています。組織は、少なくとも 50 Gbps の帯域幅でデータを転送する必要があります。サイト間の安全な継続的な接続を確保するために、何を使用する必要がありますか?
- A. クラウド ルーター
- B. 専用インターコネクト
- C. パートナー インターコネクト
- D. クラウド VPN
正解:B
解説:
Reference:
https://cloud.google.com/network-connectivity/docs/interconnect/concepts/overview
質問 # 148
組織の一般的なネットワークとセキュリティのレビューは、アプリケーションの通過経路、要求処理、およびファイアウォール ルールの分析で構成されます。彼らは、開発者チームがこの完全なレビューのオーバーヘッドなしで新しいアプリケーションを展開できるようにしたいと考えています。
この組織にどのようにアドバイスする必要がありますか?
- A. すべての運用アプリケーションはオンプレミスで実行されます。開発者が GCP を開発および QA プラットフォームとして自由に使用できるようにします。
- B. すべての VPC トラフィックをお客様が管理するルーター経由でルーティングして、本番環境で悪意のあるパターンを検出します。
- C. コードとしてのインフラストラクチャの使用を義務付け、ポリシーを適用するために CI/CD パイプラインで静的分析を提供します。
- D. Forseti とファイアウォール フィルターを使用して、本番環境で不要な構成をキャッチします。
正解:C
解説:
Explanation
https://cloud.google.com/recommender/docs/tutorial-iac
質問 # 149
あなたは、プロジェクト A の Cloud Storage バケットがプロジェクト B からのみ読み取り可能であることを確認したいセキュリティ チームの一員です。
また、ユーザーが正しい認証情報を持っている場合でも、ネットワーク外の Cloud Storage バケットから Cloud Storage バケット内のデータにアクセスしたり、Cloud Storage バケットにコピーしたりできないようにする必要があります。
あなたは何をするべきか?
- A. VPC Service Controls を有効にし、プロジェクト A と B で境界を作成し、Cloud Storage サービスを含めます。
- B. Cloud Storage バケットでドメイン制限付き共有組織ポリシーとバケット ポリシーのみを有効にします。
- C. プロジェクト A と B のネットワーク間で VPC ピアリングを有効にし、厳格なファイアウォール ルールを使用してネットワーク間の通信を許可します。
- D. プロジェクト A と B のネットワークでプライベート アクセスを有効にし、厳格なファイアウォール ルールを使用して、ネットワーク間の通信を許可します。
正解:A
解説:
Explanation
https://cloud.google.com/vpc-service-controls/docs/overview#isolate
質問 # 150
あなたの会社の従業員は、自分のパソコンを使用して組織の Google Cloud コンソールにアクセスします。ユーザーが企業発行のデバイスからのみ Google Cloud コンソールにアクセスできるようにし、有効な企業証明書を持っていることを確認する必要があります。
- A. Identity and Access Management (1AM) 条件付きポリシーを実装して、デバイス証明書を検証します。
- B. VPC ファイアウォール ポリシーを実装します。パケット インスペクションを有効にし、デバイス証明書を検証および検証するための許可ルールを作成します。
- C. アクセス コンテキストから証明書を検証するための組織ポリシーを実装します。
- D. BeyondCorp Enterprise にアクセス ポリシーを実装して、デバイス証明書を確認します。作成したばかりのアクセス ポリシーを使用してアクセス バインディングを作成します。
正解:D
解説:
https://cloud.google.com/beyondcorp?hl=pt-br
質問 # 151
Stackdriver のログを GCP からオンプレミスの SIEM システムに確実に配信するにはどうすればよいですか?
- A. syslog などの既存のプロトコルを介して、すべてのログを SIEM システムに送信します。
- B. すべてのプロジェクトを構成して、すべてのログを共通の BigQuery DataSet にエクスポートします。これは SIEM システムによってクエリされます。
- C. Cloud Pub/Sub トピックにログをエクスポートするように組織のログ シンクを構成します。このトピックは、Dataflow 経由で SIEM に送信されます。
- D. SIEM 用のコネクタを構築して、GCP RESTful JSON API からすべてのログをリアルタイムでクエリします。
正解:C
解説:
Explanation
Scenarios for exporting Cloud Logging data: Splunk This scenario shows how to export selected logs from Cloud Logging to Pub/Sub for ingestion into Splunk. Splunk is a security information and event management (SIEM) solution that supports several ways of ingesting data, such as receiving streaming data out of Google Cloud through Splunk HTTP Event Collector (HEC) or by fetching data from Google Cloud APIs through Splunk Add-on for Google Cloud. Using the Pub/Sub to Splunk Dataflow template, you can natively forward logs and events from a Pub/Sub topic into Splunk HEC. If Splunk HEC is not available in your Splunk deployment, you can use the Add-on to collect the logs and events from the Pub/Sub topic.
https://cloud.google.com/solutions/exporting-stackdriver-logging-for-splunk
質問 # 152
......
無料Professional-Cloud-Security-Engineer日本語試験問題集試験点数を伸ばそう:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html