100%の合格率を試そう!更新されたのはProfessional-Cloud-Security-Engineer日本語試験問題 [2025]
合格させるProfessional-Cloud-Security-Engineer日本語試験にはリアル問題解答
質問 # 13
顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?
- A. Google Cloud 監査ログ
- B. クラウド セキュリティ スキャナー
- C. クラウドアーマー
- D. Forseti セキュリティ
正解:B
解説:
Reference:
Web Security Scanner supports categories in the OWASP Top Ten, a document that ranks and provides remediation guidance for the top 10 most critical web application security risks, as determined by the Open Web Application Security Project (OWASP). https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview#detectors_and_compliance
質問 # 14
あなたは、電子医療記録システムの保護医療情報 (PHI) を扱っています。プライバシー担当者は、機密データが分析システムに保存されていることを懸念しています。あなたは、機密データを元に戻せない方法で匿名化する任務を負っています。また、匿名化されたデータは、文字セットと長さを保持しないでください。どの Google Cloud ソリューションを使用する必要がありますか?
- A. Cloud Key Management Service でラップされた暗号鍵を使用した Cloud Data Loss Prevention
- B. フォーマット保持暗号化によるクラウド データ損失防止
- C. AES-SIV を使用した確定的暗号化による Cloud Data Loss Prevention
- D. 暗号ハッシュによるクラウド データ損失防止
正解:D
質問 # 15
あなたのチームは、サービス アカウントを使用して、指定された Compute Engine 仮想マシン インスタンスから指定された Cloud Storage バケットへのデータ転送を認証します。エンジニアが誤ってサービス アカウントを削除すると、アプリケーションの機能が損なわれます。セキュリティを損なうことなく、できるだけ早くアプリケーションを回復したいと考えています。
あなたは何をするべきか?
- A. 別の既存のサービス アカウントのアクセス許可を更新し、それらの資格情報をアプリケーションに提供します。
- B. 削除したサービス アカウントと同じ名前の新しいサービス アカウントを作成します。
- C. undelete コマンドを使用して、削除されたサービス アカウントを復元します。
- D. Cloud Storage バケットの認証を一時的に無効にします。
正解:C
解説:
Explanation
https://cloud.google.com/iam/docs/reference/rest/v1/projects.serviceAccounts/undelete
質問 # 16
Compute Engine でホストされている CI/CD クラスタを使用して、クラウド インフラストラクチャをデプロイする予定です。資格情報が第三者に盗まれるリスクを最小限に抑えたいと考えています。あなたは何をするべきか?
- A. クラスター専用の Cloud Identity ユーザー アカウントを作成します。ユーザーの一時的な資格情報を保存するには、強力な自己ホスト型のコンテナー ソリューションを使用します。
- B. クラスターのカスタム サービス アカウントを作成する プロジェクト レベルで Constraints/iam.allowServiceAccountCredentialLifetimeExtension 組織ポリシーを有効にします。
- C. クラスターのカスタム サービス アカウントを作成する プロジェクト レベルで Constraints/iam.disableServiceAccountKeyCreation 組織ポリシーを有効にします。
- D. クラスター専用の Cloud Identity ユーザー アカウントを作成します。プロジェクト レベルで Constraints/iam.disableServiceAccountCreation 組織ポリシーを有効にします。
正解:C
解説:
Explanation
Disable service account key creation You can use the iam.disableServiceAccountKeyCreation boolean constraint to disable the creation of new external service account keys. This allows you to control the use of unmanaged long-term credentials for service accounts. When this constraint is set, user-managed credentials cannot be created for service accounts in projects affected by the constraint.
https://cloud.google.com/resource-manager/docs/organization-policy/restricting-service-accounts#example_polic
質問 # 17
あなたの会社は、Google Cloud リソースへのアクセスを提供するために、Cloud Identity で手動でユーザーを作成しています。環境が継続的に拡大しているため、Google Cloud Directory Sync (GCDS) インスタンスを承認し、それをオンプレミスの LDAP サーバーと統合して、何百人ものユーザーをオンボーディングしたいと考えています。次のことを行う必要があります。
ユーザーとグループのライフサイクルの変更を Cloud Identity のオンプレミス LDAP サーバーから複製します。
Cloud Identity で手動で作成されたユーザーを無効にします。
Google Cloud のスコープにユーザーとセキュリティ グループを含めるように、LDAP 検索属性をすでに構成しています。このソリューションを完了するには、次に何をすべきですか?
- A. 1. LDAP で見つからないドメイン ユーザーを一時停止するオプションを構成します。
2. 定期的な GCDS タスクを設定します。 - B. 1. LDAP 検索属性を構成して、LDAP で見つからない手動で作成された Cloud ID ユーザーを除外します。
2. ユーザーとグループのライフサイクルの変更後に GCDS を実行します。 - C. 1. LDAP 検索属性を構成して、LDAP で見つからない手動で作成された Cloud Identity ユーザーを除外します。
2. 定期的な GCDS タスクを設定します。 - D. 1. LDAP で見つからないドメイン ユーザーを削除するオプションを構成します。
2. ユーザーとグループのライフサイクルの変更後に GCDS を実行します。
正解:A
解説:
To achieve the requirement "Disable any manually created users in Cloud Identity", configure GCDS to suspend rather than delete accounts if user accounts are not found in the LDAP directory in GCDS. Ref: https://support.google.com/a/answer/7177267
質問 # 18
あなたの組織は、Google Cloud 環境に保存されているデータの暗号化に使用される鍵を完全に制御したいと考えています。キーは Google の外部で生成および保存され、BigQuery を含む多くの Google サービスと統合される必要があります。
あなたは何をするべきか?
- A. 信頼できる外部システムで生成されたキーを持つ顧客指定の暗号化キー (CSEK) を使用します。 API 呼び出しの一部として生の CSEK を提供します。
- B. サポートされているベンダーの外部ハードウェア セキュリティ モジュール (HSM) システムと統合するクラウド外部キー管理 (EKM) を使用します。
- C. Google が管理する FIPS 140-2 レベル 3 ハードウェア セキュリティ モジュール (HSM) に保存される KMS キーを作成します。Identity and Access Management (IAM) 権限設定を管理し、キーのローテーション期間を設定します。
- D. インポートされたキーマテリアルを使用してクラウドキー管理サービス (KMS) キーを作成します。インポート中に保護のためにキーをラップします。信頼できるシステムで生成された鍵を Cloud KMS にインポートします。
正解:B
解説:
Explanation
Cloud EKM allows you to use encryption keys that are stored and managed in a third-party key management system deployed outside of Google's infrastructure. This gives your organization full control over the keys used to encrypt data at rest in Google Cloud environments, including BigQuery.
質問 # 19
あなたの会社は、不正な第三者が偽のログイン ページを使用して Google Cloud 環境にゲーム アクセスすることを懸念しています。中間者攻撃から保護するソリューションを実装する必要があります。
どのセキュリティ対策を使用する必要がありますか?
- A. セキュリティキー
- B. Google Authenticator アプリケーション
- C. テキスト メッセージまたは電話番号
- D. Google プロンプト
正解:A
解説:
Explanation
A security key is a physical device that you can use for two-step verification, providing an additional layer of security for your Google Account. Security keys can defend against phishing and man-in-the-middle attacks, making your login process more secure.
質問 # 20
インターネットに接続されているすべてのトラフィックを、Google Cloud からオンプレミスのインターネット接続を通じてルーティングしています。この目標は、可能な限り最大の帯域幅を使用して安全に達成したいと考えています。
あなたは何をするべきか?
- A. HA VPN を使用したクラウド インターコネクトの構成 デフォルトの 0 0 0 0/0 ルートをオンプレミスの宛先に置き換えます。
- B. Compute Engine でルーティング VM を作成します。VM をネクストホップとしてデフォルト ルートを構成します。
- C. Google Cloud への HA VPN 接続を作成します。デフォルトの 0 0 0 0/0 ルートを置き換えます。
- D. Cloud Interconnect を構成し、オンプレミスのファイアウォールを介してトラフィックをルーティングします。
正解:D
質問 # 21
組織のセキュリティ基準に従って強化された OS イメージを作成し、セキュリティ チームが管理するプロジェクトに保存しています。GCP 管理者は、運用オーバーヘッドを最小限に抑えながら、GCP 組織内のすべての VM がその特定の OS イメージのみを使用できるようにする必要があります。あなたは何をするべきか?(2つ選んでください。)
- A. プロジェクトのユーザーから VM インスタンスの作成権限を削除し、あなたとあなたのチームだけが VM インスタンスを作成できるようにします。
- B. OS イメージ プロジェクトで compuce.imageUser ロールをユーザーに付与します。
- C. イメージ アクセスの組織ポリシーの制約を設定し、プロジェクトの許可リストにセキュリティ チームが管理するプロジェクトをリストします。
- D. ユーザーに自分のプロジェクトで compuce.imageUser ロールを付与します。
- E. 組織内でスピンアップされたすべてのプロジェクトにイメージを保存します。
正解:B、C
解説:
Explanation
https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints - constraints/compute.trustedImageProjects This list constraint defines the set of projects that can be used for image storage and disk instantiation for Compute Engine. If this constraint is active, only images from trusted projects will be allowed as the source for boot disks for new instances.
質問 # 22
ある企業は、データ/センター全体を Google Cloud Platform に移行しました。異なる部門が管理する複数のプロジェクトで数千のインスタンスを実行しています。任意の時点で Google Cloud Platform で何が実行されていたかの履歴記録が必要です。
あなたは何をするべきか?
- A. Forseti Security を使用して、インベントリ スナップショットを自動化します。
- B. 組織レベルで Resource Manager を使用します。
- C. Security Command Center を使用して、組織全体のすべてのアセットを表示します。
- D. Stackdriver を使用して、すべてのプロジェクトにわたってダッシュボードを作成します。
正解:A
解説:
Explanation
Only Forseti security can have both 'past' and 'present' (i.e. historical) records of the resources.
https://forsetisecurity.org/about/
質問 # 23
アプリケーションとリソースにアクセス制御ポリシーを適用するには、どの Google Cloud サービスを使用する必要がありますか?
- A. クラウド NAT
- B. ID 認識プロキシ
- C. Google クラウド アーマー
- D. シールドされた VM
正解:B
解説:
https://cloud.google.com/iap/docs/concepts-overview "Use IAP when you want to enforce access control policies for applications and resources."
質問 # 24
Cloud Data Loss Prevention (DLP) API の採用が企業内で拡大するにつれて、使用を最適化してコストを削減する必要があります。DLP ターゲット データは Cloud Storage と BigQuery に保存されます。場所と地域は、リソース名のサフィックスとして識別されます。
どのコスト削減オプションをお勧めしますか?
- A. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットに適切な bytesLimitPerFile 値を設定します。
- B. 米国外でホストされている BigQuery データに適切な rowsLimit 値を設定し、マルチリージョンの Cloud Storage バケットの変換単位を最小限に抑えます。
- C. rowsLimit と bytesLimitPerFile を使用してデータをサンプリングし、CloudStorageRegexFileSet を使用してスキャンを制限します。
- D. FindingLimits と TimespanContfig を使用してデータをサンプリングし、変換単位を最小化します。
正解:C
解説:
https://cloud.google.com/dlp/docs/inspecting-storage#sampling https://cloud.google.com/dlp/docs/best-practices-costs#limit_scans_of_files_in_to_only_relevant_files
質問 # 25
次のリソース階層があります。示されているように、階層内の各ノードに組織ポリシーがあります。VPC A で拒否されるロードバランサーのタイプはどれですか?
- A. プロジェクトのポリシーに従って、EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY は拒否されます。
- B. グローバル ノードのポリシーに従って、すべてのロード バランサ タイプが拒否されます。
- C. フォルダーとプロジェクトのポリシーに従って、EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP、および INTERNAL_HTTP_HTTPS が拒否されます。
- D. フォルダーのポリシーに従って、INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPS を拒否します。
正解:C
質問 # 26
あなたは会社のセキュリティ管理者です。Google が推奨するベスト プラクティスに従って、必要なドメインのみがプロジェクトにアクセスできるように、ドメイン制限共有組織ポリシーを実装しました。エンジニアリング チームは現在、組織ドメイン外の外部パートナーのユーザーにプロジェクト内のリソースへのアクセスを許可できないと報告しています。記載されているベスト プラクティスに従いながら、パートナーのドメインの例外をどのように作成する必要がありますか?
- A. ドメイン制限共有組織ポリシーをオフにします。各パートナーの Google Workspace 顧客 ID を Google グループに追加し、その Google グループを組織のポリシーの例外として追加してから、ポリシーを再び有効にします。
- B. ドメイン制限共有組織ポリシーをオフにします。Google の Identity and Access Management (IAM) サービスを使用して、外部パートナーに必要な権限を付与します。
- C. ドメイン制限共有組織ポリシーをオフにします。ポリシー値を「カスタム」に設定します。各外部パートナーの Cloud Identity または Google Workspace のお客様 ID を組織ポリシーの例外として追加してから、ポリシーをオンに戻します。
- D. ドメイン制限共有の組織ポリシーをオフにします。ポリシー値を「すべて許可」に設定します。
正解:C
解説:
Explanation
https://cloud.google.com/resource-manager/docs/organization-policy/restricting-domains#setting_the_organizati The domain restriction constraint is a type of list constraint. Google Workspace customer IDs can be added and removed from the allowed_values list of a domain restriction constraint. The domain restriction constraint does not support denying values, and an organization policy can't be saved with IDs in the denied_values list.
All domains associated with a Google Workspace account listed in the allowed_values will be allowed by the organization policy. All other domains will be denied by the organization policy.
質問 # 27
Google Cloud に保存されている特定の BigQuery データを暗号化するには、Cloud External Key Manager を使用して暗号鍵を作成する必要があります。最初にどの手順を実行する必要がありますか?
- A. 1. サポートされている外部キー管理パートナー システムで、一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. 外部鍵管理パートナー システムで、この鍵に Google Cloud プロジェクトを使用するためのアクセス権を付与します。 - B. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を持つ既存の鍵を作成または使用します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。 - C. 1. Cloud Key Management Service (Cloud KMS) で一意の Uniform Resource Identifier (URI) を使用して外部キーを作成します。
2. Cloud KMS で、キーを使用するためのアクセス権を Google Cloud プロジェクトに付与します。 - D. 1. Google Cloud プロジェクトで一意の Uniform Resource Identifier (URI) を持つ既存のキーを作成または使用します。
2. Google Cloud プロジェクトに、サポートされている外部鍵管理パートナー システムへのアクセス権を付与します。
正解:A
解説:
https://cloud.google.com/kms/docs/ekm#how_it_works
- First, you create or use an existing key in a supported external key management partner system. This key has a unique URI or key path.
- Next, you grant your Google Cloud project access to use the key, in the external key management partner system.
- In your Google Cloud project, you create a Cloud EKM key, using the URI or key path for the externally-managed key.
質問 # 28
ある企業が Google Kubernetes Engine でウェブショップを運営しており、BigQuery で顧客のトランザクションを分析したいと考えています。クレジット カード番号が BigQuery に保存されないようにする必要があります。
- A. Security Command Center を利用して、BigQuery でクレジット カード番号タイプのアセットをスキャンします。
- B. データが BigQuery に取り込まれる前に、Cloud Data Loss Prevention API を使用して、関連する infoType を秘匿化します。
- C. Cloud Identity-Aware Proxy を有効にして、ログを BigQuery に保存する前にクレジット カード番号を除外します。
- D. クレジット カード番号に一致する正規表現を使用して BigQuery ビューを作成し、影響を受ける行をクエリして削除します。
正解:B
解説:
Explanation
https://cloud.google.com/bigquery/docs/scan-with-dlp
Cloud Data Loss Prevention API allows to detect and redact or remove sensitive data before the comments or reviews are published. Cloud DLP will read information from BigQuery, Cloud Storage or Datastore and scan it for sensitive data.
質問 # 29
IaaS の共有セキュリティ責任モデルで、お客様が責任を共有するスタックの 2 つのレイヤーはどれですか? (2つ選んでください。)
- A. アクセス ポリシー
- B. ネットワーク セキュリティ
- C. ブート
- D. ストレージ暗号化
- E. ハードウェア
正解:A、B
解説:
Explanation
https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsib
質問 # 30
あなたの会社の最高情報セキュリティ責任者 (CISO) は、会社のグローバル展開計画に影響を与える規制要件のために、ビジネス データを特定の場所に保存する必要があるという要件を作成します。
この要件を実装するための詳細に取り組んだ後、次のことを決定します。
対象となるサービスは、Google Cloud Data Residency Terms に含まれています。
ビジネス データは、同じ組織の特定の場所に残ります。
フォルダー構造には、複数のデータ常駐場所を含めることができます。
リソースの場所の制限という組織ポリシーの制約を使用する予定です。リソース階層のどのレベルで制約を設定する必要がありますか?
- A. プロジェクト
- B. フォルダ
- C. 組織
- D. リソース
正解:A
解説:
https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations
質問 # 31
あなたは、規制の厳しい業界にある組織のミッションクリティカルなワークロードを管理しています。このワークロードは、エンドポイント コンピュータから Cloud Storage にアップロードされた機密データを Compute Engine VM を使用して分析および処理します。コンプライアンス チームは、このワークロードが機密データのデータ保護要件を満たしていないことを検出しました。これらの要件を満たす必要があります。
* Google Cloud の境界外でデータ暗号化キー(DEK)を管理します。
* サードパーティプロバイダーを通じて暗号化キーの完全な制御を維持します。
* 機密データをクラウド ストレージにアップロードする前に暗号化します。
* Compute Engine VM での処理中に機密データを復号化します
* Compute Engine VM での使用中にメモリ内の機密データを暗号化します。どうすればよいですか?
2 つの答えを選択してください
- A. Compute Engine VM を Confidential VM に移行して、機密データにアクセスします。
- B. 機密データを Cloud Storage にアップロードする前に暗号化し、VM にダウンロードした後に機密データを復号化するように Cloud 外部キー マネージャーを構成します。
- C. 機密データにアクセスするための Confidential VM を作成します。
- D. 顧客管理の暗号化キーを構成して、機密データを Cloud Storage にアップロードする前に暗号化し、VM にダウンロードした後に機密データを復号します。
- E. 既存の Compute Engine VM と Cloud Storage バケット全体に VPC Service Controls サービス境界を作成する
正解:B、C
解説:
Explanation
https://cloud.google.com/confidential-computing/confidential-vm/docs/creating-cvm-instance#considerations Confidential VM does not support live migration. You can only enable Confidential Computing on a VM when you first create the instance.https://cloud.google.com/confidential-computing/confidential-vm/docs/creating-cvm-instance
質問 # 32
組織は、インフラストラクチャをオンプレミス環境から Google Cloud Platform (GCP) に移行し始めています。組織が実行したいと考えている最初のステップは、現在のデータ バックアップと障害復旧ソリューションを GCP に移行して、後で分析できるようにすることです。組織の本番環境は、無期限にオンプレミスのままになります。この組織は、スケーラブルで費用対効果の高いソリューションを望んでいます。
組織はどの GCP ソリューションを使用する必要がありますか?
- A. 継続的な更新を伴うデータ パイプライン ジョブを使用する BigQuery
- B. 定期的にスケジュールされたバッチ アップロード ジョブを使用する Cloud Datastore
- C. スケジュールされたタスクと gsutil を使用する Cloud Storage
- D. 永続ディスクを使用する Compute Engine 仮想マシン
正解:C
解説:
https://cloud.google.com/solutions/dr-scenarios-planning-guide#use-cloud-storage-as-part-of-your-daily-backup-routine
質問 # 33
組織は Google Cloud で一般データ保護規則 (GDPR) に準拠したいと考えています。EU 内でデータ所在地と運用主権を実装する必要があります。
あなたは何をするべきか?
2 つの答えを選択してください
- A. ID フェデレーションを使用して、EU 以外の団体からの Google Cloud リソースへのアクセスを制限します。
- B. Cloud IDS を使用して EU 内の東西および南北のトラフィックを可視化し、VPC 内および VPC 間の通信を監視します。
- C. 主要なアクセス正当性を使用して、国籍や地理的位置などの事前定義された属性に基づいて Google 担当者のアクセスを制限する
- D. 組織ポリシー サービスのリソースの場所の制約を使用して、新しいリソースの物理的な場所を制限します。
- E. VPC フロー ログを使用して、EU 内の VPC 内および VPC 間のトラフィックを監視します。
正解:C、D
解説:
Explanation
https://cloud.google.com/architecture/framework/security/data-residency-sovereignty#manage_your_operational
質問 # 34
......
Professional-Cloud-Security-Engineer日本語試験問題を最新版を今すぐ試そうの[2025年最新] 正解回答付き:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html