[2025年最新] 完璧Professional-Cloud-Security-Engineer日本語問題集問題と解答で一年無料最速更新 [Q93-Q116]

Share

[2025年最新] 完璧Professional-Cloud-Security-Engineer日本語問題集問題と解答で一年無料最速更新

更新されたのは2025年リアルな無敵Professional-Cloud-Security-Engineer日本語問題集で100% 無料Professional-Cloud-Security-Engineer日本語試験問題集

質問 # 93
2 つのネットワーク セグメントを設定する必要があります。1 つは信頼されていないサブネットで、もう 1 つは信頼されているサブネットです。
次世代ファイアウォール (NGFW) などの仮想アプライアンスを構成して、2 つのネットワーク セグメント間のすべてのトラフィックを検査したいと考えています。トラフィックを検査するには、ネットワークをどのように設計する必要がありますか?

  • A. 1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークをセットアップします。
    2. 複数のネットワーク インターフェースを使用して仮想アプライアンスを構成し、各インターフェースを VPC ネットワークの 1 つに接続します。
  • B. 1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークを設定し、それらをピアリングします。
    2. 仮想アプライアンスを指す各ネットワークでカスタム ルートを構成します。
  • C. 1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
    2. 仮想アプライアンスを指すすべてのトラフィック (0.0.0.0/0) のカスタム ルートを構成します。
  • D. 1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
    2. 仮想アプライアンスを指すすべての RFC1918 サブネットのカスタム ルートを構成します。

正解:A

解説:
Explanation
Multiple network interfaces. The simplest way to connect multiple VPC networks through a virtual appliance is by using multiple network interfaces, with each interface connecting to one of the VPC networks. Internet and on-premises connectivity is provided over one or two separate network interfaces. With many NGFW products, internet connectivity is connected through an interface marked as untrusted in the NGFW software.
https://cloud.google.com/architecture/best-practices-vpc-design#l7
This architecture has multiple VPC networks that are bridged by an L7 next-generation firewall (NGFW) appliance, which functions as a multi-NIC bridge between VPC networks. An untrusted, outside VPC network is introduced to terminate hybrid interconnects and internet-based connections that terminate on the outside leg of the L7 NGFW for inspection. There are many variations on this design, but the key principle is to filter traffic through the firewall before the traffic reaches trusted VPC networks.


質問 # 94
ユーザーに代わってユーザーの Google ドライブにアクセスする必要がある内部 App Engine アプリケーションを作成しています。あなたの会社は、現在のユーザーの資格情報に依存したくありません。また、Google が推奨するプラクティスにも従いたいと考えています。
あなたは何をするべきか?

  • A. 専用の G Suite 管理者アカウントを使用し、これらの G Suite 資格情報でアプリケーションの操作を認証します。
  • B. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーにサービス アカウント ユーザーの役割を付与します。
  • C. 新しいサービス アカウントを作成し、すべてのアプリケーション ユーザーを Google グループに追加します。このグループにサービス アカウント ユーザーの役割を与えます。
  • D. 新しいサービス アカウントを作成し、それに G Suite ドメイン全体の委任を付与します。アプリケーションでそれを使用して、ユーザーを偽装します。

正解:D

解説:
Explanation
https://developers.google.com/admin-sdk/directory/v1/guides/delegation


質問 # 95
あなたは会社のセキュリティ管理者です。Cloud IAM の LDAP ディレクトリからのメールアドレスを持つすべてのセキュリティ グループを同期したいと考えています。
あなたは何をするべきか?

  • A. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
    双方向同期を容易にするための属性として「ユーザーの電子メールアドレス」。
  • B. 管理ツールを使用して、グループ オブジェクト クラスの属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。
  • C. LDAP 検索ルールを使用してセキュリティ グループを同期するように Google Cloud Directory Sync を構成します。
    一方向の同期を容易にする属性として「ユーザーの電子メールアドレス」。
  • D. 管理ツールを使用して、電子メール アドレス属性に基づいてサブセットを同期します。Google ドメインでグループを作成します。Google ドメインで作成されたグループには、明示的な Google Cloud Identity and Access Management (IAM) ロールが自動的に付与されます。

正解:C

解説:
Explanation
search rules that have "user email address" as the attribute to facilitate one-way sync. Reference Links:https://support.google.com/a/answer/6126589?hl=en


質問 # 96
あなたは、Google Cloud コンソールのログイン アクティビティ イベントと、Google Cloud リソースの構成を変更する API 呼び出しのセキュリティ ログをエクスポートして監査する任務を負っています。エクスポートは次の要件を満たす必要があります。
Google Cloud 組織内のすべてのプロジェクトの関連ログをエクスポートします。
ログをほぼリアルタイムで外部 SIEM にエクスポートします。
あなたは何をするべきか?(2つ選んでください。)

  • A. SIEM が監査ログ エントリの AuthenticationInfo フィールドを処理して ID 情報を収集することを確認します。
  • B. 組織レベルでデータ アクセス監査ログを有効にして、すべてのプロジェクトに適用します。
  • C. includeChildren パラメータを使用して組織レベルでログ シンクを作成し、送信先を Pub/Sub トピックに設定します。
  • D. 管理コンソールで Google Workspace 監査ログを Google Cloud と共有できるようにします。
  • E. Pub/Sub 宛先を使用して、組織レベルでログ シンクを作成します。

正解:C、D


質問 # 97
あなたは会社のセキュリティ チームのメンバーです。すべてのパブリック IP アドレスを削除して、Linux 踏み台ホストの外部攻撃対象領域を減らすように依頼されました。サイト信頼性エンジニア (SRE) は、オフサイトで内部 VPC にアクセスできるように、公共の場所から要塞ホストにアクセスする必要があります。このアクセスをどのように有効にする必要がありますか?

  • A. 踏み台ホスト用の Identity-Aware Proxy TCP 転送を実装します。
  • B. 要塞ホストが存在するリージョンに Cloud VPN を実装します。
  • C. 踏み台ホストの 2 段階認証を使用して OS ログインを実装します。
  • D. 踏み台ホストの前に Google Cloud Armor を実装します。

正解:A

解説:
Reference:
https://cloud.google.com/architecture/building-internet-connectivity-for-private-vms#configuring_iap_tunnels_for_interacting_with_instances


質問 # 98
組織は、特定の IT ワークロードに対する Google Cloud Platform (GCP) の使用を評価しています。十分に確立されたディレクトリ サービスを使用して、ユーザー ID とライフサイクル管理を管理します。このディレクトリ サービスは、組織が ID の "信頼できるソース" ディレクトリとして使用するために継続する必要があります。
組織の要件を満たすソリューションはどれですか?

  • A. Google Cloud Directory Sync (GCDS)
  • B. クラウド ID
  • C. パブ/サブ
  • D. セキュリティ アサーション マークアップ言語 (SAML)

正解:A

解説:
With Google Cloud Directory Sync (GCDS), you can synchronize the data in your Google Account with your Microsoft Active Directory or LDAP server. GCDS doesn't migrate any content (such as email messages, calendar events, or files) to your Google Account. You use GCDS to synchronize your Google users, groups, and shared contacts to match the information in your LDAP server.
https://support.google.com/a/answer/106368?hl=en


質問 # 99
Google Cloud 組織では、オーナー ロール(ロール/オーナー)を持つ Google Cloud プロジェクトを提供することで、管理機能を各チームに分散できます。この組織には何千もの Google Cloud プロジェクトが含まれており、Security Command Center Premium によって複数の cpen_myscl_port の調査結果が明らかになりました。ガードレールを適用しているため、このような一般的な構成ミスを防ぐ必要があります。
あなたは何をするべきか?

  • A. 0 0 0 0/0 からのすべての接続を拒否するように組織で構成された階層型ファイアウォール ポリシーを作成します。
  • B. Virtual Private Cloud (VPC) ごとに、優先度 0 の 0 0 0 0/0 からのトラフィックを拒否するファイアウォール ルールを作成します。
  • C. 0 0 0 0/0 からのトラフィックを拒否する Google Cloud Armor セキュリティ ポリシーを作成します。
  • D. 内部 IP 範囲からの接続のみを許可するように組織で構成された階層型ファイアウォール ポリシーを作成します。

正解:A


質問 # 100
雇用主は、従業員の外れ値を特定し、所得格差を修正するために、時間の経過とともにボーナス報酬がどのように変化したかを追跡したいと考えています。このタスクは、個人の機密補償データを公開することなく実行する必要があり、外れ値を識別するために元に戻すことができる必要があります。
これを達成するには、どの Cloud Data Loss Prevention API 手法を使用する必要がありますか?

  • A. CryptoReplaceFfxFpeConfig
  • B. CryptoHashConfig
  • C. 編集
  • D. 一般化

正解:A

解説:
De-identifying sensitive data Cloud Data Loss Prevention (DLP) can de-identify sensitive data in text content, including text stored in container structures such as tables. De-identification is the process of removing identifying information from data. The API detects sensitive data such as personally identifiable information (PII), and then uses a de-identification transformation to mask, delete, or otherwise obscure the data. For example, de-identification techniques can include any of the following: Masking sensitive data by partially or fully replacing characters with a symbol, such as an asterisk (*) or hash (#). Replacing each instance of sensitive data with a token, or surrogate, string. Encrypting and replacing sensitive data using a randomly generated or pre-determined key. When you de-identify data using the CryptoReplaceFfxFpeConfig or CryptoDeterministicConfig infoType transformations, you can re-identify that data, as long as you have the CryptoKey used to originally de-identify the data. https://cloud.google.com/dlp/docs/deidentify-sensitive-data


質問 # 101
大規模な金融機関は、ビッグデータ分析を Google Cloud Platform に移行しています。彼らは、BigQuery に保存されているデータの暗号化プロセスを最大限に制御したいと考えています。
機関はどのような手法を使用する必要がありますか?

  • A. Cloud Storage をフェデレーション データ ソースとして使用します。
  • B. 顧客管理の暗号鍵 (CMEK)。
  • C. 顧客指定の暗号化キー (CSEK)。
  • D. クラウド ハードウェア セキュリティ モジュール (Cloud HSM) を使用します。

正解:B

解説:
Explanation
If you want to manage the key encryption keys used for your data at rest, instead of having Google manage the keys, use Cloud Key Management Service to manage your keys. This scenario is known as customer-managed encryption keys (CMEK). https://cloud.google.com/bigquery/docs/encryption-at-rest


質問 # 102
Cloud Data Loss Prevention (DLP) API の採用が企業内で拡大するにつれて、使用を最適化してコストを削減する必要があります。DLP ターゲット データは Cloud Storage と BigQuery に保存されます。場所と地域は、リソース名のサフィックスとして識別されます。
どのコスト削減オプションをお勧めしますか?

  • A. rowsLimit と bytesLimitPerFile を使用してデータをサンプリングし、CloudStorageRegexFileSet を使用してスキャンを制限します。
  • B. FindingLimits と TimespanContfig を使用してデータをサンプリングし、変換単位を最小化します。
  • C. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットの変換単位を最小限に抑えます。
  • D. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットに適切な bytesLimitPerFile 値を設定します。

正解:A

解説:
Explanation
https://cloud.google.com/dlp/docs/inspecting-storage#samplinghttps://cloud.google.com/dlp/docs/best-practices-


質問 # 103
あなたのチームは、本番プロジェクトで実行されている Compute Engine インスタンスにパブリック IP アドレスがないことを確認したいと考えています。フロントエンド アプリケーションの Compute Engine インスタンスには、パブリック IP が必要です。製品エンジニアには、リソースを変更する編集者の役割があります。あなたのチームは、この要件を強制したいと考えています。
あなたのチームはこれらの要件をどのように満たす必要がありますか?

  • A. フロントエンドの Compute Engine インスタンスのパブリック IP のみを許可するように組織のポリシーを設定します。
  • B. Editor ロールを削除し、Compute Admin IAM ロールをエンジニアに付与します。
  • C. 2 つのサブネットを持つ VPC ネットワークをセットアップします。1 つはパブリック IP を使用し、もう 1 つはパブリック IP を使用しません。
  • D. 本番プロジェクトの VPC ネットワークでプライベート アクセスを有効にします。

正解:A


質問 # 104
HTTPS リソースにアクセスするために、Identity and Access Management (IAM) ユーザーにどの Identity-Aware Proxy ロールを付与する必要がありますか?

  • A. lAP で保護された Web アプリ ユーザー
  • B. セキュリティ レビュー担当者
  • C. lAP で保護されたトンネル ユーザー
  • D. サービス ブローカー オペレーター

正解:A

解説:
IAP-Secured Tunnel User: Grants access to tunnel resources that use IAP. IAP-Secured Web App User: Access HTTPS resources which use Identity-Aware Proxy, Grants access to App Engine, Cloud Run, and Compute Engine resources.
https://cloud.google.com/iap/docs/managing-access#roles


質問 # 105
小規模な新興企業のオフィス マネージャーは、支払いと請求書の照合と請求アラートの作成を担当しています。コンプライアンス上の理由から、オフィス マネージャーは、これらのタスクに必要な Identity and Access Management (IAM) 権限のみを持つことが許可されています。オフィス マネージャーが持つべき 2 つの IAM ロールはどれですか? (2つ選んでください。)

  • A. 請求先アカウント ユーザー
  • B. 組織管理者
  • C. 請求先アカウント コスト マネージャー
  • D. 請求先アカウント閲覧者
  • E. プロジェクト作成者

正解:C、D

解説:
https://cloud.google.com/billing/docs/how-to/billing-access#overview-of-cloud-billing-roles-in-cloud-iam Billing Account Costs Manager (roles/billing.costsManager)
- Manage budgets and view and export cost information of billing accounts (but not pricing information) Billing Account Viewer (roles/billing.viewer)
- View billing account cost information and transactions.


質問 # 106
顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?

  • A. クラウドアーマー
  • B. クラウド セキュリティ スキャナー
  • C. Google Cloud 監査ログ
  • D. Forseti セキュリティ

正解:B


質問 # 107
コンプライアンス上の理由から、組織は、スコープ内の PCI Kubernetes Pod が「スコープ内」のノードにのみ存在するようにする必要があります。これらのノードには、「範囲内」の Pod のみを含めることができます。
組織はこの目的をどのように達成すべきか?

  • A. ラベル inscope: true を使用してノード プールを作成し、Pod がそのラベルを持つノードでのみ実行できるようにする Pod セキュリティ ポリシーを作成します。
  • B. ラベル inscope: true を使用してノードにテイントを配置し、Pod 構成で一致する NoSchedule と toleration を有効にします。
  • C. 名前空間「in-scope-pci」でスコープ内のすべての Pod を実行します。
  • D. nodeSelector フィールドを Pod 構成に追加して、inscope: true というラベルの付いたノードのみを使用します。

正解:D

解説:
Explanation
nodeSelector is the simplest recommended form of node selection constraint. You can add the nodeSelector field to your Pod specification and specify the node labels you wantthe target node to have. Kubernetes only schedules the Pod onto nodes that have each of the labels you specify. =>
https://kubernetes.io/docs/concepts/scheduling-eviction/assign-pod-node/#nodeselector Tolerations are applied to pods. Tolerations allow the scheduler to schedule pods with matching taints. Tolerations allow scheduling but don't guarantee scheduling: the scheduler also evaluates other parameters as part of its function.
=>https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/


質問 # 108
あなたの会社は GSuite を使用しており、Google App Engine での内部使用を目的としたアプリケーションを開発しました。従業員のパスワードが侵害された場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
あなたは何をするべきか?

  • A. GSuite Password Sync を使用してユーザー パスワードをプロビジョニングします。
  • B. プライベート ネットワークと GCP の間に Cloud VPN を構成します。
  • C. App Engine アプリケーション用に Cloud Identity-Aware Proxy を構成します。
  • D. すべてのユーザーに対して GSuite で 2 要素認証を適用します。

正解:D

解説:
Explanation
https://docs.google.com/document/d/11o3e14tyhnT7w45Q8-r9ZmTAfj2WUNUpJPZImrxm_F4/edit?usp=sharin
https://support.google.com/a/answer/175197?hl=en


質問 # 109
あなたは新しいインフラストラクチャ CI / CD パイプラインを作成して、何百もの一時的なプロジェクトを Google Cloud 組織にデプロイし、ユーザーが Google Cloud を操作できるようにしています。
Google が推奨するベスト プラクティスに従いながら、組織内のデフォルト ネットワークの使用を制限したい。
あなたは何をするべきか?

  • A. デフォルト ネットワークの作成をスキップするために、ユーザーがデプロイできる事前定義された一連のインフラストラクチャ テンプレートで CI/CD パイプラインを使用することのみをユーザーに許可します。
  • B. cron ジョブを作成して、毎日の Cloud Function をトリガーし、各プロジェクトのすべてのデフォルト ネットワークを自動的に削除します。
  • C. 組織レベルで 1AM 所有者の役割をユーザーに付与します。プロジェクトの周りに、compute.googleapis.com API を制限する VPC Service Controls 境界を作成します。
  • D. 組織レベルで、constraints/compute.skipDefaultNetworkCreation 組織ポリシーの制約を有効にします。

正解:D

解説:
Explanation
Enable the constraints/compute.skipDefaultNetworkCreation organization policy constraint at the organization level.
https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints - constraints/compute.skipDefaultNetworkCreation This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.


質問 # 110
あなたの会社は業界固有の規制に従う必要があります。したがって、org1 という組織内のすべての新しい Cloud Storage リソースに対して顧客管理の暗号鍵(CMEK)を適用する必要があります。
どのようなコマンドを実行すればよいでしょうか?

  • A. * 組織ポリシー:constraints/gcp.restrictStorageNonCraekServices
    * バインディング場所: orgl
    * ポリシーの種類: 許可
    * ポリシー値: サポートされているすべてのサービス
  • B. * 組織ポリシー:constraints/gcp.restrictStorageNonCraekServices
    * バインディング場所: orgl
    * ポリシーの種類: 拒否
    * ポリシー値: storage.gcogleapis.com
  • C. * 組織ポリシー: constramts/gcp.restrictNonCmekServices
    * バインディング場所: orgl
    * ポリシーの種類: 許可
    * ポリシー値: storage.googleapis.com
  • D. * 組織ポリシー:constraints/gcp.restrictHonCmekServices
    * バインディング場所: orgl
    * ポリシーの種類: 拒否
    * ポリシー値: storage.googleapis.com

正解:B


質問 # 111
あなたは新しいユーザーを Cloud Identity にオンボーディングしていて、一部のユーザーが企業のドメイン名を使用してコンシューマー ユーザー アカウントを作成していることに気付きました。これらの一般ユーザー アカウントを Cloud Identity でどのように管理する必要がありますか?

  • A. お客様のサードパーティ プロバイダーを使用してシングル サインオンを構成します。
  • B. 管理されていないユーザー アカウントの転送ツールを使用します。
  • C. Google Cloud Directory Sync を使用して、管理対象外のユーザー アカウントを変換します。
  • D. コンシューマ ユーザー アカウントごとに新しい管理対象ユーザー アカウントを作成します。

正解:B

解説:
Explanation
https://support.google.com/a/answer/6178640?hl=en
The transfer tool enables you to see what unmanaged users exist, and then invite those unmanaged users to the domain.


質問 # 112
本番プロジェクトのチームのログを一元化する必要があります。チームがログ エクスプローラを使用してログを検索および分析できるようにしたいと考えています。あなたは何をするべきか?

  • A. 本番プロジェクトの親フォルダに集約組織シンクを作成し、宛先を Cloud Storage バケットに設定します。
  • B. Cloud Monitoring ワークスペースを有効にし、モニタリング対象の本番プロジェクトを追加します。
  • C. 組織レベルでログ エクスプローラを使用し、本番プロジェクトのログをフィルタします。
  • D. 本番プロジェクトの親フォルダーに集約組織シンクを作成し、宛先をログ バケットに設定します。

正解:D

解説:
https://cloud.google.com/logging/docs/export/aggregated_sinks#supported-destinations You can use aggregated sinks to route logs within or between the same organizations and folders to the following destinations: - Another Cloud Logging bucket: Log entries held in Cloud Logging log buckets.


質問 # 113
ある企業が、自社のアプリケーションを Google Cloud Platform にデプロイしています。会社のポリシーでは、少なくとも 2 つの地理的な場所でデータを自動的に複製できるソリューションを使用して長期データを保存する必要があります。
どのストレージ ソリューションを使用できますか?

  • A. Compute Engine SSD ディスク
  • B. クラウド BigQuery
  • C. Compute Engine 永続ディスク
  • D. クラウド Bigtable

正解:B

解説:
Explanation
https://cloud.google.com/bigquery#:~:text=BigQuery%20transparently%20and%20automatically%20provides,ch


質問 # 114
あなたは、電子医療記録システムの保護医療情報 (PHI) を扱っています。プライバシー担当者は、機密データが分析システムに保存されていることを懸念しています。あなたは、機密データを元に戻せない方法で匿名化する任務を負っています。また、匿名化されたデータは、文字セットと長さを保持しないでください。どの Google Cloud ソリューションを使用する必要がありますか?

  • A. AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention
  • B. 暗号ハッシュによるクラウド データ損失防止
  • C. フォーマット保持暗号化によるクラウド データ損失防止
  • D. Cloud Key Management Service でラップされた暗号鍵を使用した Cloud Data Loss Prevention

正解:B

解説:
Reference:
https://cloud.google.com/dlp/docs/pseudonymization?hl=JA&skip_cache=true#supported-methods


質問 # 115
設計によって、GDPR 要件に従ってデータ保護を実装しています。設計レビューの一環として、Compute Engine、Google Kubernetes Engine、Cloud Storage、BigQuery、Pub/Sub のワークロードを含むソリューションの暗号鍵を管理する必要があると言われました。この実装にはどのオプションを選択する必要がありますか?

  • A. Google のデフォルトの暗号化
  • B. 顧客管理の暗号鍵
  • C. クラウド外部キー マネージャー
  • D. 顧客提供の暗号化キー

正解:B

解説:
https://cloud.google.com/kms/docs/using-other-products#cmek_integrations https://cloud.google.com/kms/docs/using-other-products#cmek_integrations CMEK is supported for all the listed google services.


質問 # 116
......

Professional-Cloud-Security-Engineer日本語問題集PDFとテストエンジン試験問題:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어