Professional-Cloud-Security-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

質問 1

あなたは、プライベートクラウドから Google Cloud へのデータの移行を検討している組織のコンサルタントです。組織のコンプライアンスチームは Google Cloud に精通しておらず、Google Cloud でコンプライアンス要件を満たす方法についてガイダンスを必要としています。特定のコンプライアンス要件の 1 つは、お客様の保存データが特定の地理的境界内に存在することです。組織が Google Cloud でデータ所在地の要件を満たすために推奨するオプションはどれですか?

（A）アクセス制御リスト

（B）組織ポリシーサービスの制約

（C）Google クラウドアーマー

（D）位置情報アクセス制御

（E）シールドされた VM インスタンス

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 2

顧客は、モバイルワーカーが Google Cloud Platform (GCP) でホストされている CRM Web インターフェイスにアクセスできるようにしたいと考えています。CRM には、企業ネットワーク上のユーザーのみがアクセスできます。顧客は、それをインターネット経由で利用できるようにしたいと考えています。あなたのチームは、2 要素認証をサポートするアプリケーションの前に認証レイヤーを必要としています。これらの要件を満たすために、お客様はどの GCP プロダクトを実装する必要がありますか?

（A）クラウドアーマー

（B）クラウドエンドポイント

（C）クラウド VPN

（D）Cloud Identity-Aware Proxy

正解：D 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 3

顧客は、攻撃者がドメイン/IP をハイジャックし、中間者攻撃によってユーザーを悪意のあるサイトにリダイレクトするのを防ぐ必要があります。
このお客様はどのソリューションを使用する必要がありますか?

（A）クラウドアーマー

（B）VPC フローログ

（C）DNS セキュリティ拡張機能

（D）Cloud Identity-Aware Proxy

正解：C 解答を投票する

質問 4

エンベロープ暗号化を使用してデータを暗号化する手順は?

（A）データ暗号化キー (DEK) をローカルで生成します。
DEK を使用してデータを暗号化します。
キー暗号化キー (KEK) を使用して DEK をラップします。暗号化されたデータとラップされた DEK を保存します。

（B）キー暗号化キー (KEK) をローカルで生成します。
データ暗号化キー (DEK) をローカルで生成します。KEK を使用してデータを暗号化します。
暗号化されたデータとラップされた DEK を保存します。

（C）キー暗号化キー (KEK) をローカルで生成します。
KEK を使用して、データ暗号化キー (DEK) を生成します。DEK を使用してデータを暗号化します。
暗号化されたデータとラップされた DEK を保存します。

（D）データ暗号化キー (DEK) をローカルで生成します。
キー暗号化キー (KEK) を使用して DEK をラップします。KEK を使用してデータを暗号化します。
暗号化されたデータとラップされた KEK を保存します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 5

ブートディスクのソースとして使用できるイメージを制限したい。これらの画像は、専用のプロジェクトに保存されます。
あなたは何をするべきか？

（A）組織ポリシーサービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。信頼できるプロジェクトを拒否操作の例外としてリストします。

（B）組織ポリシーサービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。許可操作で、信頼できるプロジェクトをホワイトリストとしてリストします。

（C）Resource Manager で、信頼済みプロジェクトのプロジェクトパーミッションを編集します。Compute Image User というロールを持つメンバーとして組織を追加します。

（D）Resource Manager で、組織のアクセス許可を編集します。役割を持つメンバーとしてプロジェクト ID を追加します: Compute Image User。

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 6

フロントエンドがサブネット A のマネージドインスタンスグループにデプロイされ、データレイヤーが同じ VPC のサブネット B の mysql Compute Engine 仮想マシン (VM) に格納されているアプリケーションがあります。サブネット A とサブネット B は、他のいくつかの Compute Engine VM を保持しています。アプリケーションのフロントエンドがポート 3306 でアプリケーションの mysql インスタンスのデータにアクセスできるようにするだけです。
あなたは何をするべきか？

（A）サブネット A のすべてのインスタンスに適用されるネットワークタグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワークタグ「data-tag」を構成します。次に、通信を許可するエグレスファイアウォールルールを構成します。 data-tag でタグ付けされた Compute Engine VM から、fe-tag でタグ付けされた宛先 Compute Engine VM へ。

（B）フロントエンドの一意のサービスアカウントからポート 3306 の mysql Compute Engine VM の一意のサービスアカウントへの通信を許可するイングレスファイアウォールルールを構成します。

（C）サブネット A の src IP 範囲からポート 3306 の mysql Compute Engine VM に適用されるタグ「data-tag」への通信を許可するイングレスファイアウォールルールを構成します。

（D）サブネット A のすべてのインスタンスに適用されるネットワークタグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワークタグ「data-tag」を構成します。次に、通信を許可するイングレスファイアウォールルールを構成します。 fe-tag でタグ付けされた Compute Engine VM から、data-tag でタグ付けされた宛先 Compute Engine VM へ。

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 7

あなたの会社は最近、サービスアカウントキーの使用を最小限に抑えるセキュリティポリシーを発行しました。オンプレミスの Windows ベースのアプリケーションは、Google Cloud API と対話します。オンプレミスの ID プロバイダーを使用して Workload Identity Federation (WIF) を実装する必要があります。
あなたは何をするべきか？

（A）企業の Active Directory フェデレーションサービス (ADFS) を使用して Workload Identity プールを設定します。プール内のプリンシパルが Google Cloud サービスアカウントになりすますようにルールを構成します。

（B）企業の Active Directory フェデレーションサービス (ADFS) を使用して Workload Identity プールを設定します。プール内のすべてのプリンシパルが Google Cloud サービスアカウントになりすますようにします。

（C）ネームマシン上で OpenID Connect (OIDC) サービスを使用して Workload Identity プールを設定します。プール内のプリンシパルが Google Cloud サービスアカウントになりすますようにするルールを構成します。

（D）同じマシン上で OpenID Connect (OIDC) サービスを使用して Workload Identity プールをセットアップします。プール内のすべてのプリンシパルが Google Cloud サービスアカウントになりすますようにします。

正解：A 解答を投票する

質問 8

マネージャーは、コストを最小限に抑えながら、2 年間のセキュリティイベントログの保持を開始したいと考えています。適切なログエントリを選択するフィルタを記述します。
ログはどこにエクスポートする必要がありますか?

（A）Cloud Storage バケット

（B）Cloud Pub/Sub トピック

（C）StackDriver のログ

（D）BigQuery データセット

正解：A 解答を投票する

質問 9

組織は、特定の IT ワークロードに対する Google Cloud Platform (GCP) の使用を評価しています。十分に確立されたディレクトリサービスを使用して、ユーザー ID とライフサイクル管理を管理します。このディレクトリサービスは、組織が ID の "信頼できるソース" ディレクトリとして使用するために継続する必要があります。
組織の要件を満たすソリューションはどれですか?

（A）セキュリティアサーションマークアップ言語 (SAML)

（B）Google Cloud Directory Sync (GCDS)

（C）パブ/サブ

（D）クラウド ID

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 10

あなたは、データを Google Cloud に移行することを計画しているクライアントと協力しています。暗号化されたキーを管理するための暗号化サービスを推奨するのは、お客様の責任です。次の要件があります。
* マスターキーは、少なくとも 45 日に 1 回ローテーションする必要があります。
* マスターキーを格納するソリューションは、FIPS 140-2 レベル 3 で検証済みである必要があります。
* マスターキーは、冗長性のために米国内の複数のリージョンに保存する必要があります。
これらの要件を満たすソリューションはどれですか?

（A）Cloud HSM を使用した顧客管理の暗号鍵

（B）Cloud Key Management Service を使用した顧客管理の暗号鍵

（C）Google が管理する暗号鍵

（D）顧客提供の暗号化キー

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 11

組織には、Google Cloud API にアクセスする必要があるオンプレミスホストがあります。コストを最小限に抑え、運用効率を最適化するには、これらのホスト間のプライベート接続を強制する必要があります。どうすればよいですか?

（A）プライベート Google アクセスが有効になっている VPC への専用相互接続またはパートナー相互接続を介して、すべてのオンプレミストラフィックを Google Cloud にルーティングします。

（B）すべてのアプリケーションにクラウドキー管理を使用してデータを暗号化することを義務付けるセキュリティポリシーを適用します。サービス (KMS) キーをネットワーク経由で送信する前に。

（C）オンプレミスのホストとインターネット経由の VPC の間に VPC ピアリングを設定します。

（D）プライベート Google アクセスが有効になっている VPC への IPsec VPN トンネルを介して、すべてのオンプレミストラフィックを Google Cloud にルーティングします。

正解：A 解答を投票する

質問 12

あなたは、1 日に 1 回、Compute Engine VM のみを使用する新しいアプリケーションを開発しています。このアプリケーションは 5 つの異なるバッチジョブを実行します。各バッチジョブには、アプリケーションの外部の Google Cloud リソースに対する専用の権限セットが必要です。最小特権の原則に準拠したバッチジョブの安全なアクセスの概念を設計する必要があります。

（A）1. Workload Identity プールを作成し、バッチジョブごとに Workload Identity プールプロバイダーを構成します。
*2 プロバイダーで構成されている各 ID に Workload Identity ユーザーロールを割り当てます。
* 3. バッチジョブ Mb-sa-[1-5]" ごとに 1 つのサービスアカウントを作成し、個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与します。
*4 各プロバイダーの認証情報設定ファイルを生成します。これらのファイルを使用して、b-sa-[1-5] の権限でバッチジョブを実行します。

（B）* 1. バッチジョブを調整するための一般サービスアカウント「g-sa」を作成します。
* 2 バッチジョブごとに 1 つのサービスアカウントを作成します 'b-sa-[1-5)\ 個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与し、これらのサービスアカウントごとにサービスアカウントキーを生成します
* 3. サービスアカウントキーを Secret Manager に保存します。g-sa に Secret Manager へのアクセスを許可し、b-sa-[1-5] の権限でバッチジョブを実行します。

（C）1. バッチジョブを調整するための一般サービスアカウント「g-sa」を作成します。
* 2. バッチジョブごとに 1 つのサービスアカウントを作成します。Mb-sa-[1-5]」と指定し、個々のバッチジョブの実行に必要なアクセス許可のみをサービスアカウントに付与します。
* 3. g-sa にサービスアカウントトークン作成者のロールを付与します。 g-sa を使用して、b-sa-[1-5] の有効期間の短いアクセストークンを取得し、b-sa-[ の権限でバッチジョブを実行します。 1-5]。

（D）1. バッチジョブを実行するための一般サービスアカウント **g-sa" を作成します。
※2 g-saにバッチジョブの実行に必要な権限を付与します。
* 3. g-saに付与された権限でバッチジョブを実行します。

正解：C 解答を投票する

質問 13

2 つのネットワークセグメントを設定する必要があります。1 つは信頼されていないサブネットで、もう 1 つは信頼されているサブネットです。
次世代ファイアウォール (NGFW) などの仮想アプライアンスを構成して、2 つのネットワークセグメント間のすべてのトラフィックを検査したいと考えています。トラフィックを検査するには、ネットワークをどのように設計する必要がありますか?

（A）1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークをセットアップします。
2. 複数のネットワークインターフェースを使用して仮想アプライアンスを構成し、各インターフェースを VPC ネットワークの 1 つに接続します。

（B）1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークを設定し、それらをピアリングします。
2. 仮想アプライアンスを指す各ネットワークでカスタムルートを構成します。

（C）1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
2. 仮想アプライアンスを指すすべての RFC1918 サブネットのカスタムルートを構成します。

（D）1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
2. 仮想アプライアンスを指すすべてのトラフィック (0.0.0.0/0) のカスタムルートを構成します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 14

組織は、アプリケーションホスティングサービスに Google Cloud Platform (GCP) を採用しており、Cloud Identity アカウントのパスワード要件を設定するためのガイダンスを必要としています。組織には、企業の従業員のパスワードに最小文字数を含める必要があるというパスワードポリシー要件があります。
組織が新しい要件を通知するために使用できる Cloud Identity パスワードガイドラインはどれですか?

（A）パスワードの最小長を 8 文字に設定します。

（B）パスワードの最小長を 10 文字に設定します。

（C）パスワードの最小長を 12 文字に設定します。

（D）パスワードの最小長を 6 文字に設定します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

Professional-Cloud-Security-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

弊社を連絡する

関連リンク

トップ試験

Professional-Cloud-Security-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」

弊社を連絡する

関連リンク

トップ試験

Professional-Cloud-Security-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Security Engineer Exam (Professional-Cloud-Security-Engineer日本語版)」