Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

（A）共有バケットと、管理者のみがアクセスできる PII を含むバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブトリガーを作成します。共有バケットから PII を含むファイルを削除するようにトリガーを構成します。

（B）共有バケットで、PII がアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、PII を含むファイルを削除します。

（C）共有バケットで、PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。

（D）管理者のバケットにファイルがアップロードされるたびに、Pub/Sub と Cloud Functions を使用して Cloud Data Loss Prevention スキャンをトリガーします。スキャンで PII が検出されない場合は、関数によってオブジェクトを共有 Cloud Storage バケットに移動します。

（A）VPC フロー ログ

（B）ファイアウォール インサイト

（C）セキュリティ コマンド センター

（D）ファイアウォール ルールのロギング

（A）安全な鍵ベースのハッシュ

（B）フォーマット保存暗号化

（C）確定的暗号化

（D）暗号ハッシュ

（A）スケジュールされたタスクと gsutil を使用する Cloud Storage

（B）永続ディスクを使用する Compute Engine 仮想マシン

（C）継続的な更新を伴うデータ パイプライン ジョブを使用する BigQuery

（D）定期的にスケジュールされたバッチ アップロード ジョブを使用する Cloud Datastore

（A）VPC 内の各 VM インスタンスで Fluentd エージェントを構成します。Cloud Logging を使用してログデータを検査します。

（B）Google Cloud Armor アクセス ログを構成して、ログ データの検査を実行します。

（C）VPC 内のすべてのサブネットに対して VPC フロー ログを有効にします。Cloud Logging を使用してフローログ データを検査します。

（D）パケット ミラーリングを使用して、特定の VM インスタンスとの間のトラフィックをミラーリングします。ミラーリングされたトラフィックを分析するセキュリティ ソフトウェアを使用して検査を実行します。

（A）複数の VPC ネットワークをセットアップし、マルチ NIC 仮想アプライアンスをセットアップしてネットワークを接続します。

（B）セキュリティ チームがファイアウォール ルールを管理する共有 VPC を設定し、サービス プロジェクトを介して開発者とネットワークを共有します。

（C）プロジェクトに VPC を設定します。Compute ネットワーク管理者の役割をセキュリティ チームに割り当て、Compute 管理者の役割を開発者に割り当てます。

（D）VPC ネットワーク ピアリングを設定し、開発者がネットワークを共有 VPC とピアリングできるようにします。

（A）顧客指定の暗号化キー (CSEK)。

（B）顧客管理の暗号鍵 (CMEK)。

（C）クラウド ハードウェア セキュリティ モジュール (Cloud HSM) を使用します。

（D）Cloud Storage をフェデレーション データ ソースとして使用します。

（A）クラスタ内の Compute Engine インスタンスで IP 転送をオフにします。

（B）Compute Engine クラスタが別のサブネットで実行されていることを確認します。

（C）パブリック IP アドレスを Compute Engine クラスタに割り当てないようにします。

（D）Cloud NAT ゲートウェイを構成します。

（E）Compute Engine サブネットで限定公開の Google アクセスを構成する

（A）compute.restrictSharedVpcSubnetworks

（B）compute.restrictSharedVpcHostProjects

（C）compute.sharedReservationsOwnerProjects

（D）compute.restrictXpnProjectLienRemoval

（A）クラウド外部キー マネージャー

（B）Google のデフォルトの暗号化

（C）顧客管理の暗号鍵

（D）顧客提供の暗号化キー

（A）アクセス ポリシー

（B）ストレージ暗号化

（C）ブート

（D）ネットワーク セキュリティ

（E）ハードウェア

（A）1. 子リソースを含む「Production」フォルダ用のシンクを 1 つ作成し、子リソースを除外した組織レベルで取り込まれたログ用のシンクを 1 つ作成します。
2. 送信先として、セキュリティ チームがアクセスできるプロジェクト内の、最小保持期間が 90 日のログ バケットを使用します。
3. セキュリティ運用チームに組織レベルでセキュリティ レビュー担当者の役割を付与します。

（B）1. 「Production」フォルダー内のすべてのリソースのネットワーク ログとデータ アクセス ログを有効にします。
2. 不要なコストと遅延を避けるため、ログシンクを作成しないでください。
3. セキュリティ運用チームに、プロジェクト レベルで「ログ ビューアー」と「ブラウザー」のロールを付与します。

（C）1. 対象範囲内の各プロジェクトに専用のログシンクを作成します。
2. 時間パーティショニングが有効になっている BigQuery データセットをログシンクの宛先として使用します。
3. すべてのプロジェクトでログ メトリックに基づいてアラートを展開します。
4. 各プロジェクトのセキュリティ運用チームに「監視閲覧者」ロールを付与します。

（D）1. すべての子リソースを含む組織レベルで 1 つのログ シンクを作成します。
2. 宛先として Pub/Sub トピックを使用して、セキュリティ情報とイベントにログを取り込みましょう。
オンプレミスで SIEM (セキュリティ管理) を導入し、適切なチームが SIEM にアクセスできるようにします。
3. セキュリティ運用チームに組織レベルの閲覧者ロールを付与します。