최신 Professional-Cloud-Security-Engineer日本語 무료덤프 - Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)

문제1

あなたは、プライベートクラウドから Google Cloud へのデータの移行を検討している組織のコンサルタントです。組織のコンプライアンスチームは Google Cloud に精通しておらず、Google Cloud でコンプライアンス要件を満たす方法についてガイダンスを必要としています。特定のコンプライアンス要件の 1 つは、お客様の保存データが特定の地理的境界内に存在することです。組織が Google Cloud でデータ所在地の要件を満たすために推奨するオプションはどれですか?

A. 位置情報アクセス制御

B. Google クラウドアーマー

C. アクセス制御リスト

D. シールドされた VM インスタンス

E. 組織ポリシーサービスの制約

정답: E

설명: (DumpTOP 회원만 볼 수 있음)

문제2

個人を特定できる情報 (Pll) を含む機密性の高い BigQuery ワークロードがあり、インターネットからアクセスできないようにしたいと考えています。データの漏洩を防ぐため、承認された IP アドレスからのリクエストのみが BigQuery テーブルへのクエリを許可されます。
あなたは何をするべきか？

A. サービス境界を使用し、許可された送信元 IP アドレスを条件としてアクセスレベルを作成します。

B. リソースサービスの使用を制限する組織ポリシー制約をクラウドデータ損失防止 (DLP) とともに使用します。

C. Cloud Data Loss Prevention (DLP) とともに、許可される Google Cloud API とサービスを制限する組織ポリシー制約を使用します。

D. グローバル HTTPS ロードバランサで承認された IP アドレスの許可リストを定義する Google Cloud Armor セキュリティポリシーを使用します。

정답: A

문제3

あなたの会社は、不正な第三者が偽のログインページを使用して Google Cloud 環境にゲームアクセスすることを懸念しています。中間者攻撃から保護するソリューションを実装する必要があります。
どのセキュリティ対策を使用する必要がありますか?

A. Google Authenticator アプリケーション

B. Google プロンプト

C. テキストメッセージまたは電話番号

D. セキュリティキー

정답: D

설명: (DumpTOP 회원만 볼 수 있음)

문제4

会社のオンプレミスデータセンターと VPC ホストネットワークの間に Cloud Interconnect 接続を設定する必要があります。オンプレミスアプリケーションが、パブリックインターネット経由ではなく、Cloud Interconnect 経由でのみ Google API にアクセスできるようにしたいと考えています。サポートされていない API への流出リスクを軽減するために、VPC Service Controls でサポートされている API のみを使用する必要があります。ネットワークをどのように構成する必要がありますか?

A. 「all-apis」の API バンドルを使用して、Private Service Connect エンドポイントの IP アドレスを設定します。これは、クラウド相互接続接続を介したルートとしてアドバタイズされます。

B. 制限付きの googleapis.com を使用して、Cloud Interconnect 接続を介してルートとしてアドバタイズされる、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。

C. private.googleapis.com を使用して、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API にアクセスします。これらの IP アドレスは、接続を介してルートとしてアドバタイズされます。

D. 地域のサブネットとグローバル動的ルーティングモードで限定公開の Google アクセスを有効にします。

정답: B

설명: (DumpTOP 회원만 볼 수 있음)

문제5

あなたは、1 日に 1 回、Compute Engine VM のみを使用する新しいアプリケーションを開発しています。このアプリケーションは 5 つの異なるバッチジョブを実行します。各バッチジョブには、アプリケーションの外部の Google Cloud リソースに対する専用の権限セットが必要です。最小特権の原則に準拠したバッチジョブの安全なアクセスの概念を設計する必要があります。

A. 1. バッチジョブを調整するための一般サービスアカウント「g-sa」を作成します。
* 2. バッチジョブごとに 1 つのサービスアカウントを作成します。Mb-sa-[1-5]」と指定し、個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与します。
* 3. g-sa にサービスアカウントトークン作成者のロールを付与します。 g-sa を使用して、b-sa-[1-5] の有効期間の短いアクセストークンを取得し、b-sa-[ の権限でバッチジョブを実行します。 1-5]。

B. 1. バッチジョブを実行するための一般サービスアカウント **g-sa" を作成します。
※2 g-saにバッチジョブの実行に必要な権限を付与します。
* 3. g-saに付与された権限でバッチジョブを実行します。

C. * 1. バッチジョブを調整するための一般サービスアカウント「g-sa」を作成します。
* 2 バッチジョブごとに 1 つのサービスアカウントを作成します 'b-sa-[1-5)\ 個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与し、これらのサービスアカウントごとにサービスアカウントキーを生成します
* 3. サービスアカウントキーを Secret Manager に保存します。g-sa に Secret Manager へのアクセスを許可し、b-sa-[1-5] の権限でバッチジョブを実行します。

D. 1. Workload Identity プールを作成し、バッチジョブごとに Workload Identity プールプロバイダーを構成します。
*2 プロバイダーで構成されている各 ID に Workload Identity ユーザーロールを割り当てます。
* 3. バッチジョブ Mb-sa-[1-5]" ごとに 1 つのサービスアカウントを作成し、個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与します。
*4 各プロバイダーの認証情報設定ファイルを生成します。これらのファイルを使用して、b-sa-[1-5] の権限でバッチジョブを実行します。

정답: A

문제6

ある会社は、Compute Engine でアプリケーションを実行しています。アプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行できるようになり、その結果、Compute Engine インスタンスがクラッシュしました。バグは修正されましたが、このハッキングが再発した場合に備えて通知を受け取りたいと考えています。
あなたは何をするべきか？

A. CPU 使用率指標を使用して、Stackdriver でアラートポリシーを作成します。CPU 使用率がこの 80% を超えたときに通知されるように、しきい値を 80% に設定します。

B. スクリプトのすべての実行を Stackdriver Logging に記録します。BigQuery をログシンクとして構成し、BigQuery のスケジュールされたクエリを作成して、特定の時間枠での実行回数をカウントします。

C. スクリプトのすべての実行を Stackdriver Logging に記録します。ログの Stackdriver Logging でユーザー定義の指標を作成し、指標を表示する Stackdriver ダッシュボードを作成します。

D. プロセスの正常性条件を使用して Stackdriver でアラートポリシーを作成し、スクリプトの実行回数が目的のしきい値を下回っていることを確認します。通知を有効にします。

정답: D

문제7

CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか？（2つ選んでください。）

A. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナーイメージを検証するステップを追加します。

B. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナーイメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。

C. Google Cloud のオペレーションスイートのログイベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナイメージを自動的にスキャンします。

D. Cloud Source Repositories リポジトリ内のコンテナテンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。

E. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナイメージが見つかった場合にアラートを生成します。

정답: B,D

문제8

あなたの組織は、Cloud Identity と Microsoft Active Directory の間の同期と SAML フェデレーションを実装しています。Google Cloud ユーザーアカウントが侵害されるリスクを軽減したいと考えています。
あなたは何をするべきか？

A. 強力なパスワード設定で Cloud Identity パスワードポリシーを作成し、Google 管理コンソールでセキュリティキーを使用して 2 段階認証プロセスを構成します。

B. 強力なパスワード設定で Cloud Identity パスワードポリシーを作成し、Google 管理コンソールでテキストメッセージまたは電話による確認コードを使用して 2 段階認証プロセスを構成します。

C. 強力なパスワード設定で Active Directory ドメインパスワードポリシーを作成し、Google 管理コンソールでセキュリティキーを使用して SSO (シングルサインオン) 後の 2 段階認証プロセスを構成します。

D. 強力なパスワード設定を使用して Active Directory ドメインパスワードポリシーを作成し、Google 管理コンソールでテキストメッセージまたは電話による確認コードを使用して、SSO (シングルサインオン) 後の 2 段階認証プロセスを構成します。

정답: C

문제9

あなたは新しいインフラストラクチャ CI / CD パイプラインを作成して、何百もの一時的なプロジェクトを Google Cloud 組織にデプロイし、ユーザーが Google Cloud を操作できるようにしています。
Google が推奨するベストプラクティスに従いながら、組織内のデフォルトネットワークの使用を制限したい。
あなたは何をするべきか？

A. 組織レベルで、constraints/compute.skipDefaultNetworkCreation 組織ポリシーの制約を有効にします。

B. cron ジョブを作成して、毎日の Cloud Function をトリガーし、各プロジェクトのすべてのデフォルトネットワークを自動的に削除します。

C. 組織レベルで 1AM 所有者の役割をユーザーに付与します。プロジェクトの周りに、compute.googleapis.com API を制限する VPC Service Controls 境界を作成します。

D. デフォルトネットワークの作成をスキップするために、ユーザーがデプロイできる事前定義された一連のインフラストラクチャテンプレートで CI/CD パイプラインを使用することのみをユーザーに許可します。

정답: A

설명: (DumpTOP 회원만 볼 수 있음)

문제10

ブートディスクのソースとして使用できるイメージを制限したい。これらの画像は、専用のプロジェクトに保存されます。
あなたは何をするべきか？

A. 組織ポリシーサービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。許可操作で、信頼できるプロジェクトをホワイトリストとしてリストします。

B. 組織ポリシーサービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。信頼できるプロジェクトを拒否操作の例外としてリストします。

C. Resource Manager で、信頼済みプロジェクトのプロジェクトパーミッションを編集します。Compute Image User というロールを持つメンバーとして組織を追加します。

D. Resource Manager で、組織のアクセス許可を編集します。役割を持つメンバーとしてプロジェクト ID を追加します: Compute Image User。

정답: A

설명: (DumpTOP 회원만 볼 수 있음)

문제11

チームは、Compute Engine インスタンスがインターネットや Google API やサービスにアクセスできないようにする必要があります。
これらの要件を満たすために無効のままにしておく必要がある 2 つの設定はどれですか? （2つ選んでください。）

A. IP フォワーディング

B. IAM ネットワークユーザーロール

C. プライベート Google アクセス

D. パブリック IP

E. 静的ルート

정답: C,D

문제12

先週、ある企業がログを BigQuery に書き込む新しい App Engine アプリケーションをデプロイしました。プロジェクトで他のワークロードは実行されていません。BigQuery に書き込まれたすべてのデータが App Engine のデフォルトサービスアカウントを使用して行われたことを検証する必要があります。
あなたは何をするべきか？

A. 1. BigQuery で、関連するデータセットを選択します。
2. App Engine のデフォルトサービスアカウントが、データセットに書き込むことができる唯一のアカウントであることを確認します。

B. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルトサービスアカウントと一致する電子メールアドレスをクリックします。
3. [一致するエントリを表示] をクリックします。
4.結果のリストが空であることを確認します。

C. 1. プロジェクトの IAM セクションに移動します。
2. App Engine のデフォルトサービスアカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。

D. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルトサービスアカウントと一致する電子メールアドレスをクリックします。
3. [一致するエントリを非表示] をクリックします。
4.結果のリストが空であることを確認します。

정답: D

문제13

組織は、インフラストラクチャをオンプレミス環境から Google Cloud Platform (GCP) に移行し始めています。組織が取りたい最初のステップは、現在進行中のデータバックアップと障害復旧ソリューションを GCP に移行することです。組織のオンプレミスの本番環境は、GCP への移行の次のフェーズになります。オンプレミス環境と GCP 間の安定したネットワーク接続も実装されています。
組織はどの GCP ソリューションを使用する必要がありますか?

A. Cloud Interconnect 経由で永続ディスクを使用する Compute Engine 仮想マシン

B. Cloud Interconnect 経由でスケジュールされたタスクと gsutil を使用する Cloud Storage

C. Cloud VPN を介して継続的に更新されるデータパイプラインジョブを使用する BigQuery

D. Cloud VPN 経由で定期的にスケジュールされたバッチアップロードジョブを使用する Cloud Datastore

정답: B

설명: (DumpTOP 회원만 볼 수 있음)

문제14

Compute Engine で実行されるアプリケーションから機密性の高い構成データを保存および取得するためのソリューションを推奨するよう求められました。どのオプションをお勧めしますか?

A. シークレットマネージャー

B. Compute Engine のゲスト属性

C. Compute Engine カスタムメタデータ

D. クラウド鍵管理サービス

정답: A

설명: (DumpTOP 회원만 볼 수 있음)

문제15

組織のセキュリティおよびリスク管理チームは、Google Cloud Platform (GCP) で実行している特定の本番ワークロードに対する責任がどこにあるのか、Google の責任がどこにあるのかについて懸念しています。主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) を使用してワークロードを実行しています。
App Engine を使用する際の主な責任として、テクノロジースタックのどの分野に注力する必要がありますか?

A. ゲスト OS の最新の更新プログラムとセキュリティパッチを管理します。

B. XSS および SQLi 攻撃に対する防御

C. すべての保存データを暗号化する

D. VPC フローログの設定とモニタリング

정답: B

설명: (DumpTOP 회원만 볼 수 있음)

문제16

Google Cloud 組織では、オーナーロール（ロール/オーナー）を持つ Google Cloud プロジェクトを提供することで、管理機能を各チームに分散できます。この組織には何千もの Google Cloud プロジェクトが含まれており、Security Command Center Premium によって複数の cpen_myscl_port の調査結果が明らかになりました。ガードレールを適用しているため、このような一般的な構成ミスを防ぐ必要があります。
あなたは何をするべきか？

A. 0 0 0 0/0 からのすべての接続を拒否するように組織で構成された階層型ファイアウォールポリシーを作成します。

B. Virtual Private Cloud (VPC) ごとに、優先度 0 の 0 0 0 0/0 からのトラフィックを拒否するファイアウォールルールを作成します。

C. 内部 IP 範囲からの接続のみを許可するように組織で構成された階層型ファイアウォールポリシーを作成します。

D. 0 0 0 0/0 からのトラフィックを拒否する Google Cloud Armor セキュリティポリシーを作成します。

정답: A

문제17

組織には、Google Cloud API にアクセスする必要があるオンプレミスホストがあります。コストを最小限に抑え、運用効率を最適化するには、これらのホスト間のプライベート接続を強制する必要があります。どうすればよいですか?

A. オンプレミスのホストとインターネット経由の VPC の間に VPC ピアリングを設定します。

B. すべてのアプリケーションにクラウドキー管理を使用してデータを暗号化することを義務付けるセキュリティポリシーを適用します。サービス (KMS) キーをネットワーク経由で送信する前に。

C. プライベート Google アクセスが有効になっている VPC への専用相互接続またはパートナー相互接続を介して、すべてのオンプレミストラフィックを Google Cloud にルーティングします。

D. プライベート Google アクセスが有効になっている VPC への IPsec VPN トンネルを介して、すべてのオンプレミストラフィックを Google Cloud にルーティングします。

정답: C

문제18

あなたの組織は BigQuery を使用して、機密性の高い構造化データセットを処理しています。「知る必要がある」原則に従って、次のユーザーのニーズを満たす Identity and Access Management (IAM) 設計を作成する必要があります。
* ビジネスユーザーは厳選されたレポートにアクセスする必要があります。
* データエンジニア: プラットフォーム内のデータライフサイクルを管理する必要があります。
* セキュリティオペレータ: データプラットフォーム上のユーザーアクティビティを確認する必要があります。
あなたは何をするべきか？

A. BigQuery サービスのデータアクセスログを構成し、セキュリティオペレーターにプロジェクト閲覧者のロールを付与します。

B. 「地域」列に基づいて行ベースのアクセス制御を設定し、データエンジニア向けに米国のレコードをフィルターします。

C. キュレートされたテーブルを別のデータセットに作成し、ロール role/bigquery.dataViewer を割り当てます。

D. ビジネスユーザーのニーズに基づいて CSV データファイルを生成し、そのデータを電子メールアドレスに送信します。

정답: C

설명: (DumpTOP 회원만 볼 수 있음)

문제19

あなたのセキュリティチームは、あなたの会社の元従業員がサービスアカウントキーを使用して、過去 2 か月間に Google Cloud リソースへの不正アクセスを取得したと考えています。不正アクセスを確認し、ユーザーの活動を判断する必要があります。あなたは何をするべきか？

A. ログエクスプローラーを使用して、ユーザーアクティビティを検索します。

B. Security Health Analytics を使用して、ユーザーアクティビティを判断します。

C. Cloud Monitoring コンソールを使用して、監査ログをユーザー別にフィルタリングします。

D. Cloud Data Loss Prevention API を使用して、Cloud Storage のログをクエリします。

정답: A

설명: (DumpTOP 회원만 볼 수 있음)

최신 Professional-Cloud-Security-Engineer日本語 무료덤프 - Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)

우리와 연락하기

유용한 링크

최신 업데이트