最高でProfessional-Cloud-Security-Engineer日本語最新の2025問題集は100%試験合格率保証付きます [Q126-Q148]

Share

最高でProfessional-Cloud-Security-Engineer日本語最新の2025問題集は100%試験合格率保証付きます

ベストな方法はGoogle Professional-Cloud-Security-Engineer日本語練習試験問題集

質問 # 126
管理者とアナリストの両方がアクセスできる共有 Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含むログにアクセスできません。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。あなたは何をするべきか?

  • A. 共有バケットで、Pll がアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、Pll を含むファイルを削除します。
  • B. 共有バケットで、Pll を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
  • C. ファイルが管理者のバケットにアップロードされるたびに、Pub/Sub と Cloud Functions を使用して Cloud Data Loss Prevention スキャンをトリガーします。スキャンで Pll が検出されない場合は、関数でオブジェクトを共有 Cloud Storage バケットに移動します。
  • D. 共有バケットと、管理者のみがアクセスできる Pll を使用するバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用して、ジョブ トリガーを作成します。Pll を含むすべてのファイルを共有バケットから削除するようにトリガーを構成します。

正解:C


質問 # 127
共有 VPC と BigQuery データセットに接続された Compute Engine インスタンス間のアクセス拒否エラーのトラブルシューティングを行っています。データセットは、VPC Service Controls 境界によって保護されたプロジェクトに存在します。あなたは何をするべきか?

  • A. Compute Engine インスタンスが存在するサービス プロジェクトと、保護された BigQuery データセットを含む境界の間に境界ブリッジを作成します。
  • B. Compute Engine インスタンスが存在するサービス プロジェクトをサービス境界に追加します。
  • C. Compute Engine インスタンスが存在するサービス プロジェクトと共有 VPC を含むホスト プロジェクトの間にサービス境界を作成します。
  • D. 共有 VPC を含むホスト プロジェクトをサービス境界に追加します。

正解:D


質問 # 128
顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性を確認する必要があります。
これを実現するには、どのサービスを使用する必要がありますか?

  • A. Google Cloud 監査ログ
  • B. Forseti セキュリティ
  • C. クラウド セキュリティ スキャナー
  • D. クラウドアーマー

正解:C

解説:
Reference:
Web Security Scanner supports categories in the OWASP Top Ten, a document that ranks and provides remediation guidance for the top 10 most critical web application security risks, as determined by the Open Web Application Security Project (OWASP). https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview#detectors_and_compliance


質問 # 129
あなたは、積極的な規制コンプライアンスが求められる、規制の厳しい業界の金融機関で働いています。コンプライアンス要件を満たすには、特定の構成、データ レジデンシー、組織ポリシー、および個人データ アクセス制御のセットを継続的に維持する必要があります。どうすればよいでしょうか。

  • A. 定義された制御と要件を適用するために、必要なコンプライアンス プログラムの Assured Workloads フォルダーを作成します。
  • B. Security Command Center のコンプライアンス ページに移動します。必要なコンプライアンス標準に対するステータスのレポートを表示します。定期的にコンプライアンスを維持するために違反をトリアージします。
  • C. 組織レベルで組織ポリシー制約を適用して、新しいリソースの作成場所を制限します。
  • D. 必要なセキュリティ コンプライアンス ポスチャを含む posture.yaml ファイルを作成します。Security Command Center Premium で gcloud scc attitudes create POSTURE_NAME --posture-from-file=posture.yaml コマンドを使用してポスチャを適用します。

正解:A

解説:
https://cloud.google.com/assured-workloads/docs/overview#when_to_use_assured_workloads


質問 # 130
本番環境プロジェクト内のすべての Google Cloud リソースを監査しています。ファイアウォール ルールを変更できるすべてのプリンシパルを識別したいと考えています。
あなたは何をするべきか?

  • A. ファイアウォール インサイトを使用して、ファイアウォール ルールの使用パターンを理解します。
  • B. Policy Analyzer を使用して、コンピューティング、ファイアウォール、コンピューティングの作成、ファイアウォールの権限をクエリします。コンピューティング、ファイアウォール、削除の作成。
  • C. Policy Analyzer を使用して、コンピューティング、ファイアウォール、コンピューティング、ファイアウォール、リストのアクセス許可をクエリします。
  • D. Security Command Center の Security Health Analytics - ファイアウォールの脆弱性の調査結果を参照してください。

正解:B


質問 # 131
PCI コンプライアンスについて GCP を評価したい。Google 固有のコントロールを特定する必要があります。
情報を見つけるためにどのドキュメントを確認する必要がありますか?

  • A. Compute Engine の製品ドキュメント
  • B. PCI SSC クラウド コンピューティング ガイドライン
  • C. Google Cloud Platform: お客様の責任マトリックス
  • D. PCI DSS 要件とセキュリティ評価手順

正解:C

解説:
To evaluate Google Cloud Platform (GCP) for PCI compliance and identify Google's inherent controls, you should review the "Google Cloud Platform: Customer Responsibility Matrix". This document provides detailed information about the shared responsibility model, outlining the security controls managed by Google and those that are the responsibility of the customer.
Steps to access and use the document:
Access the Document:
Go to the Google Cloud compliance resource center.
Locate the "Customer Responsibility Matrix" for PCI DSS compliance.
Review Inherent Controls:
The document lists various controls and specifies whether they are managed by Google, the customer, or both.
It covers different aspects such as infrastructure security, data protection, and compliance requirements.
Analyze PCI Compliance:
Use the matrix to understand which PCI DSS requirements are inherently addressed by Google Cloud.
Identify the controls you need to implement and manage as a customer to ensure full compliance.
By reviewing this document, you can gain a comprehensive understanding of the inherent controls provided by Google Cloud and the responsibilities you must fulfill to achieve PCI compliance.
Reference:
Google Cloud Compliance Documentation
PCI DSS Compliance on Google Cloud


質問 # 132
組織では、セキュリティのベストプラクティスを優先しながら、サーバーレス アプリケーションを多用しています。
デプロイ前に、イメージの出所とセキュリティ標準への準拠を強化する責任があります。コンテナ イメージを構築するための継続的インテグレーションと継続的デプロイ (CI/CD) ツールとして Cloud Build を活用します。Cloud Build パイプラインによってビルドされたイメージのみがデプロイされ、イメージがセキュリティ標準のコンプライアンス チェックに合格するように、Binary Authorization を構成する必要があります。何をすべきでしょうか。

  • A. カスタム Security Health Analytics モジュールを使用してポリシーを作成します。Binary Authorization を通じてポリシーを適用し、事前定義されたセキュリティ標準を満たしていないイメージの展開を防止します。
  • B. コンテナ イメージの Cloud Build ビルド ID を取得する Binary Authorization 認証者を作成します。一致するビルド ID 認証がある場合にのみデプロイを許可するようにポリシーを構成します。
  • C. スキャナーを使用してコンテナ イメージのビルド プロセスを評価する Binary Authorization 認証者を作成します。この認証が存在する場合にのみイメージの展開を要求するポリシーを定義します。
  • D. スキャナーを使用してソース コード管理リポジトリを評価する Binary Authorization アテスターを作成します。アテスターがセキュリティ ポリシーに対して結果を検証した場合にのみ、イメージをデプロイします。

正解:B


質問 # 133
あなたは組織のセキュリティ チームのメンバーです。あなたのチームには、クレジット カード決済処理システムとウェブ アプリケーションおよびデータ処理システムを含む単一の GCP プロジェクトがあります。PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。
あなたは何をするべきか?

  • A. PA-DSS に準拠することが認定されたアプリケーションのみを使用してください。
  • B. オフィスとクラウド環境間のすべての接続に VPN を使用します。
  • C. カード会員データ環境を別の GCP プロジェクトに移動します。
  • D. Web アプリケーションへの管理者アクセスに多要素認証を使用します。

正解:C

解説:
Explanation
https://cloud.google.com/solutions/best-practices-vpc-design
"Setting up your payment-processing environment" section
inhttps://cloud.google.com/solutions/pci-dss-compliance-in-gcp.


質問 # 134
ある会社は、専用のサーバー ルームでワークロードを実行しています。それらは、民間企業のネットワーク内からのみアクセスする必要があります。Google Cloud Platform プロジェクト内の Compute Engine インスタンスからこれらのワークロードに接続する必要があります。
要件を満たすために使用できる 2 つのアプローチはどれですか? (2つ選んでください。)

  • A. Cloud Interconnect でプロジェクトを構成します。
  • B. 共有 VPC でプロジェクトを構成します。
  • C. Cloud VPN を使用してプロジェクトを構成します。
  • D. VPC ピアリングを使用してプロジェクトを構成します。
  • E. すべての Compute Engine インスタンスをプライベート アクセスで構成します。

正解:A、C

解説:
A) IPsec VPN tunels: https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview Interconnect https://cloud.google.com/network-connectivity/docs/interconnect/concepts/dedicated-overview


質問 # 135
顧客管理の暗号鍵(CMEK)で暗号化された新しい Cloud Storage バケットを環境内に設定しています。CMEK はクラウド キー管理サービス (KMS) に保存されます。プロジェクト「pr j -a」内にあり、Cloud Storage バケットはプロジェクト「prj-b」を使用します。キーはクラウド ハードウェア セキュリティ モジュール (HSM) によってサポートされており、リージョン europe-west3 に存在します。ストレージ バケットはリージョン europe-west1 に配置されます。バケットを作成するときは、キーにアクセスできません。その理由をトラブルシューティングする必要があります。
アクセスの問題の原因は何ですか?

  • A. ファイアウォール ルールにより、キーへのアクセスが妨げられています。
  • B. Cloud HSM は Cloud Storage をサポートしていません
  • C. CMEK は Cloud Storage バケットとは異なるリージョンにあります。
  • D. CMEK は Cloud Storage バケットとは異なるプロジェクトにあります

正解:C

解説:
When you use a customer-managed encryption key (CMEK) to secure a Cloud Storage bucket, the key and the bucket must be located in the same region. In this case, the key is in europe-west3 and the bucket is in europe-west1, which is why you're unable to access the key.


質問 # 136
先週、ある企業がログを BigQuery に書き込む新しい App Engine アプリケーションをデプロイしました。プロジェクトで他のワークロードは実行されていません。BigQuery に書き込まれたすべてのデータが App Engine のデフォルト サービス アカウントを使用して行われたことを検証する必要があります。
あなたは何をするべきか?

  • A. 1. プロジェクトの IAM セクションに移動します。
    2. App Engine のデフォルト サービス アカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。
  • B. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
    2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
    3. [一致するエントリを非表示] をクリックします。
    4.結果のリストが空であることを確認します。
  • C. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
    2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
    3. [一致するエントリを表示] をクリックします。
    4.結果のリストが空であることを確認します。
  • D. 1. BigQuery で、関連するデータセットを選択します。
    2. App Engine のデフォルト サービス アカウントが、データセットに書き込むことができる唯一のアカウントであることを確認します。

正解:B

解説:
To validate that all data written to BigQuery was done using the App Engine Default Service Account, you can use StackDriver Logging (now known as Cloud Logging) to filter and inspect the logs for BigQuery insert jobs. By hiding the entries matching the App Engine Default Service Account, you can ensure that no other service account has written to BigQuery if the resulting list is empty.
Steps:
Open Cloud Logging: Navigate to Cloud Logging in the Google Cloud Console.
Filter Logs: Apply a filter to display logs for BigQuery insert jobs.
Inspect Entries: Click on the email address that corresponds to the App Engine Default Service Account in the authentication field.
Hide Matching Entries: Select the option to hide matching entries.
Validate: Check if the resulting list is empty, confirming that no other service account has performed write operations to BigQuery.
Reference:
Google Cloud Logging
Monitoring BigQuery logs


質問 # 137
あなたは会社のセキュリティ管理者であり、Google Cloud でのアクセス制御(識別、認証、認可)の管理を担当しています。認証と承認を構成する際に従うべき、Google が推奨するベスト プラクティスはどれですか。(2つ選んでください。)

  • A. Google の Identity and Access Management (1AM) サービスを使用して、基本的な役割を持つユーザーをプロビジョニングします。
  • B. ユーザー認証とユーザー ライフサイクル管理のために、Cloud Identity との SSO/SAML 統合を使用します。
  • C. Google の既定の暗号化を使用します。
  • D. Google Cloud にユーザーを手動で追加します。
  • E. 事前定義された役割できめ細かいアクセスを提供します。

正解:B、E

解説:
https://cloud.google.com/iam/docs/using-iam-securely#least_privilege Basic roles include thousands of permissions across all Google Cloud services. In production environments, do not grant basic roles unless there is no alternative. Instead, grant the most limited predefined roles or custom roles that meet your needs.


質問 # 138
あなたの組織は、Cloud Identity と Microsoft Active Directory の間の同期と SAML フェデレーションを実装しています。Google Cloud ユーザー アカウントが侵害されるリスクを軽減したいと考えています。
あなたは何をするべきか?

  • A. 強力なパスワード設定を使用して Active Directory ドメイン パスワード ポリシーを作成し、Google 管理コンソールでテキスト メッセージまたは電話による確認コードを使用して、SSO (シングル サインオン) 後の 2 段階認証プロセスを構成します。
  • B. 強力なパスワード設定で Cloud Identity パスワード ポリシーを作成し、Google 管理コンソールでセキュリティ キーを使用して 2 段階認証プロセスを構成します。
  • C. 強力なパスワード設定で Cloud Identity パスワード ポリシーを作成し、Google 管理コンソールでテキスト メッセージまたは電話による確認コードを使用して 2 段階認証プロセスを構成します。
  • D. 強力なパスワード設定で Active Directory ドメイン パスワード ポリシーを作成し、Google 管理コンソールでセキュリティ キーを使用して SSO (シングル サインオン) 後の 2 段階認証プロセスを構成します。

正解:D


質問 # 139
お客様には、インターネット アクセスを制限する必要がある Compute Engine で実行されている分析ワークロードがあります。
あなたのチームは、インターネットへのすべてのトラフィックを拒否する (優先度 1000) 下りファイアウォール ルールを作成しました。
Compute Engine インスタンスは、公開リポジトリにアクセスしてセキュリティ アップデートを取得する必要があります。あなたのチームは何をすべきですか?

  • A. 優先度が 1000 未満のリポジトリの CIDR 範囲へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
  • B. 優先度が 1000 を超えるリポジトリのホスト名へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
  • C. より低い優先度でリポジトリのホスト名へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。
    1000。
  • D. 優先度が 1000 を超えるリポジトリの CIDR 範囲へのトラフィックを許可するエグレス ファイアウォール ルールを作成します。

正解:A

解説:
To allow Compute Engine instances to access public repositories for security updates while an egress firewall rule is in place to deny all internet traffic, you need to create a more specific egress rule that permits traffic to the CIDR range of the repository. The priority of this rule should be lower (i.e., a higher priority number) than the deny rule.
Steps:
Identify the CIDR Range: Determine the CIDR range of the public repository from which the security updates will be fetched.
Create Egress Firewall Rule: Create a new egress firewall rule allowing traffic to the identified CIDR range with a priority less than 1000.
Apply Firewall Rule: Use the Google Cloud Console or gcloud command-line tool to apply the new firewall rule.
Reference:
Google Cloud: Firewall rules
Creating firewall rules


質問 # 140
あなたの会社は、Google Cloud Platform に PII を保存するウェブサイトを運営しています。データのプライバシー規制に準拠するために、このデータは特定の期間のみ保存でき、この特定の期間が経過したら完全に削除する必要があります。期間に達していないデータは削除しないでください。この規制に準拠するプロセスを自動化したい。
あなたは何をするべきか?

  • A. データを 1 つの永続ディスクに格納し、有効期限が切れたらディスクを削除します。
  • B. データを 1 つの BigQuery テーブルに保存し、適切なテーブルの有効期限を設定します。
  • C. データを 1 つの Cloud Storage バケットに保存し、バケットの Time to Live を構成します。
  • D. データを 1 つの BigTable テーブルに格納し、列ファミリーに有効期限を設定します。

正解:C

解説:
Explanation
"To support common use cases like setting a Time to Live (TTL) for objects, retaining noncurrent versions of objects, or "downgrading" storage classes of objects to help manage costs, Cloud Storage offers the Object Lifecycle Management feature. This page describes the feature as well as the options available when using it.
To learn how to enable Object Lifecycle Management, and for examples of lifecycle policies, see Managing Lifecycles." https://cloud.google.com/storage/docs/lifecycle


質問 # 141
あなたのチームは、本番プロジェクトで実行されている Compute Engine インスタンスにパブリック IP アドレスがないことを確認したいと考えています。フロントエンド アプリケーションの Compute Engine インスタンスには、パブリック IP が必要です。製品エンジニアには、リソースを変更する編集者の役割があります。あなたのチームは、この要件を強制したいと考えています。
あなたのチームはこれらの要件をどのように満たす必要がありますか?

  • A. Editor ロールを削除し、Compute Admin IAM ロールをエンジニアに付与します。
  • B. フロントエンドの Compute Engine インスタンスのパブリック IP のみを許可するように組織のポリシーを設定します。
  • C. 2 つのサブネットを持つ VPC ネットワークをセットアップします。1 つはパブリック IP を使用し、もう 1 つはパブリック IP を使用しません。
  • D. 本番プロジェクトの VPC ネットワークでプライベート アクセスを有効にします。

正解:B

解説:
Reference:
https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints#constraints-for-specific-services


質問 # 142
あなたの組織は、Google Cloud 環境に保存されているデータの暗号化に使用される鍵を完全に制御したいと考えています。キーは Google の外部で生成および保存され、BigQuery を含む多くの Google サービスと統合される必要があります。
あなたは何をするべきか?

  • A. インポートされたキーマテリアルを使用してクラウドキー管理サービス (KMS) キーを作成します。インポート中に保護のためにキーをラップします。信頼できるシステムで生成された鍵を Cloud KMS にインポートします。
  • B. 信頼できる外部システムで生成されたキーを持つ顧客指定の暗号化キー (CSEK) を使用します。 API 呼び出しの一部として生の CSEK を提供します。
  • C. サポートされているベンダーの外部ハードウェア セキュリティ モジュール (HSM) システムと統合するクラウド外部キー管理 (EKM) を使用します。
  • D. Google が管理する FIPS 140-2 レベル 3 ハードウェア セキュリティ モジュール (HSM) に保存される KMS キーを作成します。Identity and Access Management (IAM) 権限設定を管理し、キーのローテーション期間を設定します。

正解:C

解説:
Cloud EKM allows you to use encryption keys that are stored and managed in a third-party key management system deployed outside of Google's infrastructure. This gives your organization full control over the keys used to encrypt data at rest in Google Cloud environments, including BigQuery.


質問 # 143
開発チームが新しいアプリケーションを立ち上げようとしています。新しいアプリケーションには、Compute Engine インスタンスと、Cloud Functions などのサーバーレス コンポーネント上のマイクロサービス アーキテクチャがあります。このアプリケーションは、メモリ内に一時的かつ非常に機密性の高いデータを必要とする金融取引を処理します。この金融アプリケーションのメモリへの不正アクセスのリスクを最小限に抑えることに重点を置いて、計算中に使用するデータを保護する必要があります。どうすればよいでしょうか。

  • A. Compute Engine の Confidential VM インスタンスを有効にし、関連する Cloud Functions がハードウェアベースのメモリ分離を活用できるようにします。
  • B. アプリケーション全体およびアプリケーションのデータ処理ワークフロー全体の機密性の高い財務データ フィールドに対して、データ マスキングおよびトークン化の手法を使用します。
  • C. 顧客管理の暗号鍵 (CMEK) を使用して、処理中のすべての機密データを Cloud Storage に保存し、バケットレベルの権限を厳格に設定します。
  • D. Cloud Data Loss Prevention (Cloud DLP) API を使用して、機密データをスキャンし、マスキングしてから、データをコンピューティング環境に送り込みます。

正解:A

解説:
Confidential VMs: Using Confidential VMs provides a strong security boundary around the memory of the VM instances, protecting sensitive data from unauthorized access, even if the VM is compromised.
Hardware-Based Memory Isolation: Leveraging hardware-based memory isolation ensures that the data within the VM's memory is protected by hardware-enforced mechanisms, making it significantly more difficult for attackers to access.
Comprehensive Protection: This approach provides a comprehensive solution for securing data in use, as it combines both software-based (Confidential VMs) and hardware-based (memory isolation) protections.


質問 # 144
Google Cloud 組織内の特定のサービスに対して通信制限を実装しています。データ分析チームは専用のフォルダで作業しています。そのフォルダとそのプロジェクトに対して BigQuery へのアクセスが制御されるようにする必要があります。データ分析チームはフォルダ レベルでのみ制限を制御できる必要があります。どうすればよいでしょうか。

  • A. BigQuery へのアクセスを制限するには、フォルダに「リソース サービスの使用を制限する」組織ポリシー制約を適用します。データ分析チームに組織ポリシー管理者ロールを割り当てて、チームがフォルダ内の除外を管理できるようにします。
  • B. フォルダに階層型ファイアウォール ポリシーを定義して、BigQuery へのアクセスを拒否します。データ分析チームに Compute Organization Firewall Policy 管理者ロールを割り当てて、チームがファイアウォール ポリシーのルールを構成できるようにします。
  • C. サービス境界を持つフォルダにスコープ ポリシーを作成し、BigQuery へのアクセスを制限します。データ分析チームにスコープ ポリシーのアクセス コンテキスト マネージャ編集者ロールを割り当てて、チームがスコープ ポリシーを構成できるようにします。
  • D. サービス境界を使用して組織レベルのアクセス ポリシーを作成し、BigQuery へのアクセスを制限します。
    データ分析チームにアクセス ポリシーのアクセス コンテキスト マネージャー エディター ロールを割り当てて、チームがアクセス ポリシーを構成できるようにします。

正解:C

解説:
Scoped Policy: A scoped policy allows you to apply restrictions specifically to a folder and its projects Service Perimeter: By using a service perimeter, you can define which services (like BigQuery) can be accessed from within the specified folder.


質問 # 145
Compute Engine でホストされている CI/CD クラスタを使用して、クラウド インフラストラクチャをデプロイする予定です。資格情報が第三者に盗まれるリスクを最小限に抑えたいと考えています。あなたは何をするべきか?

  • A. クラスター専用の Cloud Identity ユーザー アカウントを作成します。プロジェクト レベルで Constraints/iam.disableServiceAccountCreation 組織ポリシーを有効にします。
  • B. クラスター専用の Cloud Identity ユーザー アカウントを作成します。ユーザーの一時的な資格情報を保存するには、強力な自己ホスト型のコンテナー ソリューションを使用します。
  • C. クラスターのカスタム サービス アカウントを作成する プロジェクト レベルで Constraints/iam.disableServiceAccountKeyCreation 組織ポリシーを有効にします。
  • D. クラスターのカスタム サービス アカウントを作成する プロジェクト レベルで Constraints/iam.allowServiceAccountCredentialLifetimeExtension 組織ポリシーを有効にします。

正解:C

解説:
Explanation
Disable service account key creation You can use the iam.disableServiceAccountKeyCreation boolean constraint to disable the creation of new external service account keys. This allows you to control the use of unmanaged long-term credentials for service accounts. When this constraint is set, user-managed credentials cannot be created for service accounts in projects affected by the constraint.
https://cloud.google.com/resource-manager/docs/organization-policy/restricting-service-accounts#example_polic


質問 # 146
オンプレミスのデータ ウェアハウスを BigQuery Cloud SQL と Cloud Storage に移行しています。データ ウェアハウスでセキュリティ サービスを構成する必要があります。会社のコンプライアンス ポリシーでは、データ ウェアハウスが次のことを行うことが義務付けられています。
* 暗号キーの完全なライフサイクル管理により保存データを保護
* データ管理とは別のキー管理プロバイダーを実装する
* すべての暗号化キー要求を可視化します。
データ ウェアハウスの実装にはどのようなサービスを含める必要がありますか?
2 つの答えを選択してください

  • A. クラウド外部キーマネージャー
  • B. 顧客指定の暗号化キー
  • C. アクセスの透明性と承認
  • D. 顧客管理の暗号化キー
  • E. キーアクセスの正当性

正解:A、E


質問 # 147
安全なコンテナ イメージを作成する場合、可能であればどの 2 つの項目をビルドに組み込む必要がありますか?
(2つ選んでください。)

  • A. 1 つのアプリをコンテナーとしてパッケージ化します。
  • B. アプリが必要としない不要なツールを削除します。
  • C. アプリが PID 1 として実行されていないことを確認します。
  • D. パブリック コンテナー イメージをアプリのベース イメージとして使用します。
  • E. 多くのコンテナー イメージ レイヤーを使用して、機密情報を非表示にします。

正解:A、B

解説:
https://cloud.google.com/solutions/best-practices-for-building-containers


質問 # 148
......

Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)認証サンプル問題と練習試験:https://www.passtest.jp/Google/Professional-Cloud-Security-Engineer-JPN-shiken.html