すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

包括的な学習教材でGoogle Professional Cloud Security Engineer試験に打ち勝つ

SPOTOの試験問題集を使ってGoogle Professional Cloud Security Engineer認定試験の準備をすることで、 合格する可能性を大幅に高めることができます。これらの包括的な試験リソースは、セキュリティのベストプラクティス、業界の要件、アイデンティティとアクセス管理、組織のセキュリティポリシー、Google Cloud テクノロジーを使用したデータ保護、ネットワークセキュリティの防御、脅威の監視、セキュリティの自動化、AI セキュリティ、安全なソフトウェアサプライチェーン、規制への準拠など、関連するすべてのトピックをカバーしています。SPOTOの模擬試験は実際の試験環境をシミュレートしており、さらなる学習が必要な分野を特定することができます。これらの試験対策ツールを活用することで、プロフェッショナル クラウド セキュリティ エンジニアとして、Google Cloud 上で安全なソリューションを設計、開発、管理する専門知識を自信を持って証明することができます。
他のオンライン試験を受ける
質問 #1
アプリケーションログをクラウドストレージにエクスポートしています。ログシンクが統一されたバケツレベルのアクセスポリシーをサポートしていないというエラーメッセージが表示されました。このエラーはどのように解決すべきでしょうか?
A. バケットのアクセス制御モデルを変更する
B. シンクのバケツ先を正しく更新する。
C. ログシンクIDのバケットに、roles/logging
D. ログシンクIDのバケットに、roles/logging
回答を見る
正解: B
質問 #2
次のようなリソース階層があります。図のように、階層内の各ノードに組織ポリシーがあります。VPC Aで拒否されるロードバランサータイプはどれですか?
A. すべてのロードバランサーのタイプは、グローバルノードのポリシーに従って拒否されます。
B. INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPSは、フォルダのポリシーに従って拒否されます。
C. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXYは、プロジェクトのポリシーに従って拒否されます。
D. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPSは、フォルダとプロジェクトのポリシーに従って拒否されます。
回答を見る
正解: D
質問 #3
あなたは、Google Kubernetes Engine(GKE)上の本番クラスタにコンテナ化されたアプリケーションをデプロイするためのCI/CDパイプラインをセットアップしています。既知の脆弱性を持つコンテナがデプロイされないようにする必要があります。クラウドネイティブであることコスト効率が良いこと運用上のオーバーヘッドを最小限に抑えることこれを実現するにはどうすればよいでしょうか。(2つ選んでください)
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: CE
質問 #4
あなたのチームは、指定されたCompute Engine仮想マシンインスタンスから指定されたCloud Storageバケットへのデータ転送を認証するためにサービスアカウントを使用しています。エンジニアが誤ってサービスアカウントを削除してしまい、アプリケーションの機能が壊れてしまいました。セキュリティを損なうことなく、できるだけ早くアプリケーションを復旧させたいと考えています。
A. クラウドストレージバケットの認証を一時的に無効にします。
B. 削除解除コマンドを使用して、削除されたサービスアカウントを復元する。
C. 削除したサービスアカウントと同じ名前で新しいサービスアカウントを作成します。
D. 既存の別のサービスアカウントの権限を更新し、その資格情報をアプリケーションに提供する。
回答を見る
正解: B
質問 #5
GCPからオンプレミスのSIEMシステムにStackdriverのログを確実に配信するにはどうしたらよいでしょうか?
A. データアクセスログを照会する。
B. 管理者のアクティビティログを照会する。
C. アクセス透明性ログを照会する。
D. Query Stackdriver Monitoring Workspace
回答を見る
正解: C
質問 #6
ある顧客が、Compute Engine上に多数の3層のWebアプリケーションをデプロイしたいと考えています。この場合、アプリケーションの異なる層間の認証されたネットワーク分離をどのように確保すべきでしょうか?
A. 各階層をそれぞれのプロジェクトで実行し、プロジェクトラベルを使用して分離する。
B. 各階層を異なるサービスアカウント(SA)で実行し、SAベースのファイアウォールルールを使用する。
C. 各階層を独自のサブネットで実行し、サブネットベースのファイアウォールルールを使用する。
D. 各階層を独自のVMタグで実行し、タグベースのファイアウォールルールを使用する。
回答を見る
正解: C
質問 #7
あなたは、Google Kubernetes Engine(GKE)上の本番クラスタにコンテナ化されたアプリケーションをデプロイするためのCI/CDパイプラインをセットアップしています。既知の脆弱性を持つコンテナがデプロイされないようにする必要があります。クラウドネイティブであることコスト効率が良いこと運用上のオーバーヘッドを最小限に抑えることこれを実現するにはどうすればよいでしょうか。(2つ選んでください)
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: CE
質問 #8
プロダクションプロジェクトのために、チームのログを一元管理する必要があります。ログエクスプローラを使用して、ログを検索および分析できるようにする必要があります。どうすればよいでしょうか?
A. クラウド監視ワークスペースを有効にして、監視対象の本番プロジェクトを追加します。
B. 組織レベルでログ・エクスプローラを使用し、プロダクション・プロジェクトのログをフィルタリングします。
C. 本番プロジェクトの親フォルダーに集約Orgシンクを作成し、保存先をCloud Storageバケットに設定します。
D. 本番プロジェクトの親フォルダに集約Orgシンクを作成し、宛先をログバケットに設定します。
回答を見る
正解: D
質問 #9
あなたは、Google Cloud上の公開アプリケーションに対して、一般的なWebアプリケーション攻撃に対する外部Webアプリケーション保護を実装することを命じられました。これらのポリシーの変更を実施する前に検証したいとします。どのサービスを使うべきですか?
A. プレビューモードでのGoogle Cloud Armorの設定済みルール
B. モニターモードで事前に設定されたVPCファイアウォールルール
C. グーグルフロントエンド(GFE)固有の保護機能
D. クラウドロードバランシングファイアウォールルール
E. ドライランモードでのVPCサービスコントロール
回答を見る
正解: A
質問 #10
あなたは、厳しいデータ保護要件がある規制業界の組織に勤めています。この組織はデータをクラウドにバックアップしています。データプライバシー規制を遵守するため、このデータは特定の期間しか保存できず、特定の期間が過ぎると削除しなければなりません。あなたは、ストレージコストを最小限に抑えながら、この規制へのコンプライアンスを自動化したいと考えています。
A. データを永続ディスクに保存し、期限切れ時にディスクを削除する。
B. クラウドBigtableテーブルにデータを保存し、カラムファミリーに有効期限を設定する。
C. データをBigQueryのテーブルに保存し、テーブルの有効期限を設定する。
D. クラウドストレージのバケットにデータを保存し、バケットのオブジェクトライフサイクル管理機能を構成する。
回答を見る
正解: C
質問 #11
あるデータベース管理者が、Cloud SQLインスタンス内で悪意のあるアクティビティが行われていることに気づきました。データベース管理者は、リソースの構成またはメタデータを読み取る API 呼び出しを監視したいと考えています。データベース管理者はどのログを確認すべきですか?
A. 管理者活動
B. システムイベント
C. アクセスの透明性
D. データ・アクセス
回答を見る
正解: C
質問 #12
ある顧客が、Compute Engine上に多数の3層のWebアプリケーションをデプロイしたいと考えています。この場合、アプリケーションの異なる層間の認証されたネットワーク分離をどのように確保すべきでしょうか?
A. 各階層をそれぞれのプロジェクトで実行し、プロジェクトラベルを使って分離する。
B. 各階層を異なるサービスアカウント(SA)で実行し、SAベースのファイアウォールルールを使用する。
C. 各階層を独自のサブネットで運用し、サブネットベースのファイアウォールルールを使用する。
D. 各階層を独自のVMタグで実行し、タグベースのファイアウォールルールを使用する。
回答を見る
正解: C
質問 #13
あなたは、IPパケットデータに不正なコンテンツや悪意のあるコンテンツが含まれていないか検査する任務を与えられています。あなたは何をすべきですか?
A. パケットミラーリングを使用して、特定のVMインスタンスとの間でトラフィックをミラーリングする。ミラーリングされたトラフィックを分析するセキュリティソフトウェアを使用して検査を実行する。
B. VPC内のすべてのサブネットでVPCフローログを有効にする。クラウドロギングを使用して、フローログのデータを検査する。
C. VP内の各VMインスタンスにFluentdエージェントを設定する。 Cloud Loggingを使用してログデータの検査を実行する。
D. Google Cloud Armorのアクセスログを設定し、ログデータの検査を実行します。
回答を見る
正解: B
質問 #14
Cloud External Key Managerを使用して、Google Cloudの特定のBigQueryデータを暗号化するための暗号化キーを作成する必要があります。最初にどの手順を実行する必要がありますか?
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: C
質問 #15
Cloud External Key Managerを使用して、Google Cloudの特定のBigQueryデータを暗号化するための暗号化キーを作成する必要があります。最初にどの手順を実行する必要がありますか?
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: C
質問 #16
あなたの組織は新しいワークロードを取得しました。Webサーバーとアプリケーション(App)サーバーは、新しく作成されたカスタムVPC内のCompute Engine上で実行されます。あなたは、次の要件を満たすセキュアなネットワーク通信ソリューションを構成する責任があります。
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: A
質問 #17
あるマネージャが、コストを最小限に抑えながら、セキュリティ・イベント・ログを2年間保持し始めたいと考えています。あなたは、適切なログエントリを選択するフィルタを作成します。
A. BigQueryデータセット
B. クラウドストレージのバケット
C. スタックドライバーのロギング
D. クラウドパブ/サブトピック
回答を見る
正解: B
質問 #18
チームは、オンプレミスのActive DirectoryサービスからGCP IAM権限を一元管理したいと考えています。ADのグループメンバーシップによって権限を管理したいと考えています。これらの要件を満たすために、チームは何をすべきでしょうか。
A. グループを同期するようにCloud Directory Syncを設定し、グループにIAM権限を設定します。
B. SAML2
C. Cloud Identity and Access Management APIを使用して、Active DirectoryからグループとIAM権限を作成する。
D. 管理者SDKを使用して、Active Directoryからグループを作成し、IAM権限を割り当てる。
回答を見る
正解: B
質問 #19
ある組織が、少数のミッションクリティカルなアプリケーションをオンプレミスに維持しながら、アプリケーションをGoogle Cloudに移行しようとしている。この組織は、少なくとも50Gbpsの帯域幅でデータを転送する必要があります。サイト間の安全な継続接続を確保するために、何を使用すべきでしょうか?
A. 専用インターコネクト
B. クラウド・ルーター
C. クラウドVPN
D. パートナー・インターコネクト
回答を見る
正解: A
質問 #20
ある組織の典型的なネットワークとセキュリティのレビューは、アプリケーションのトランジットルート、リクエスト処理、ファイアウォールルールの分析で構成されています。開発チームは、このような完全なレビューのオーバーヘッドなしに新しいアプリケーションをデプロイできるようにしたいと考えています。
A. Forsetiとファイアウォールフィルタを使用して、本番環境での不要な設定を検出します。
B. インフラストラクチャー・アズ・コードの使用を義務付け、CI/CDパイプラインで静的解析を行い、ポリシーを実施する。
C. すべてのVPCトラフィックを顧客が管理するルータ経由でルーティングし、本番環境で悪意のあるパターンを検出します。
D. 本番アプリケーションはすべてオンプレミスで実行する。開発者がGCPを開発およびQAプラットフォームとして自由に使えるようにする。
回答を見る
正解: B
質問 #21
あなたのチームは、Compute EngineインスタンスがインターネットやGoogle APIやサービスにアクセスできないようにする必要があります。これらの要件を満たすために、無効にしなければならない2つの設定はどれですか?(2つ選んでください)
A. 一方向同期を容易にするために、「ユーザーのメールアドレス」を属性として持つLDAP検索ルールを使用してセキュリティグループを同期するようにGoogle Cloud Directory Syncを設定します。
B. 双方向同期を容易にするために、属性として「ユーザーメールアドレス」を持つLDAP検索ルールを使用してセキュリティグループを同期するようにGoogle Cloud Directory Syncを構成する。
C. 管理ツールを使用して、メールアドレス属性に基づいてサブセットを同期する。Googleドメインにグループを作成する。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management(IAM)ロールを持つ。
D. 管理ツールを使用して、グループオブジェクトのクラス属性に基づいてサブセットを同期する。Googleドメインにグループを作成する。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management(IAM)ロールを持ちます。
回答を見る
正解: AC
質問 #22
あなたは、IPパケットデータに不正なコンテンツや悪意のあるコンテンツが含まれていないか検査する任務を与えられています。あなたは何をすべきですか?
A. パケットミラーリングを使用して、特定のVMインスタンスとの間でトラフィックをミラーリングする。ミラーリングされたトラフィックを分析するセキュリティソフトウェアを使用して検査を実行する。
B. VPC内のすべてのサブネットでVPCフローログを有効にする。クラウドロギングを使用して、フローログのデータを検査する。
C. VP内の各VMインスタンスにFluentdエージェントを設定する。 Cloud Loggingを使用してログデータの検査を実行する。
D. Google Cloud Armorのアクセスログを設定し、ログデータの検査を実行します。
回答を見る
正解: B
質問 #23
あなたは会社のセキュリティ管理者であり、Google Cloudのアクセス制御(識別、認証、承認)の管理を担当しています。認証と認可を設定する際に従うべきGoogle推奨のベストプラクティスはどれですか?(2つ選んでください)
A. クラウド外部キーマネージャを使用して、非機密データと機密データを暗号化する。
B. クラウド鍵管理サービスで非機密データと機密データを暗号化する
C. 非機密データはGoogleデフォルトの暗号化で暗号化し、機密データはCloud External Key Managerで暗号化する。
D. 機密性のないデータはGoogleデフォルトの暗号化で暗号化し、機密性の高いデータはクラウド鍵管理サービスで暗号化する。
回答を見る
正解: DE
質問 #24
組織の Google Cloud VM は、外部ユーザー向けのウェブサービスをホストするために、パブリック IP アドレスで構成されたインスタンステンプレートを介してデプロイされます。VMは、VM用のカスタムShared VPCを1つ含むホスト(VPC)プロジェクトにアタッチされたサービスプロジェクトに常駐しています。あなたは、外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように求められました。を起動するために、パブリックIPアドレスを設定せずにインスタンス・テンプレートを再作成しました。
A. MIGのサービスプロジェクトにクラウドNATゲートウェイをデプロイします。
B. MIGのホスト(VPC)プロジェクトにクラウドNATゲートウェイをデプロイします。
C. MIGをバックエンドとするサービスプロジェクトに、外部のHTTP(S)ロードバランサーをデプロイする。
D. MIGをバックエンドとするホスト(VPC)プロジェクトに、外部のHTTP(S)ロードバランサーをデプロイする。
回答を見る
正解: C
質問 #25
共有VPCに接続されたCompute EngineインスタンスとBigQueryデータセット間のアクセス拒否エラーのトラブルシューティングを行っています。データセットは、VPCサービスコントロール境界によって保護されたプロジェクトに存在します。あなたは何をすべきですか?
A. 共有VPCを含むホストプロジェクトをサービス境界に追加します。
B. Compute Engineインスタンスが存在するサービスプロジェクトをサービス境界に追加します。
C. コンピュートエンジンインスタンスが存在するサービスプロジェクトと、Shared VPを含むホストプロジェクトの間に、サービス境界を作成する。
D. コンピュートエンジンインスタンスが存在するサービスプロジェクトと、保護されたBigQueryデータセットを含む境界との間に境界ブリッジを作成する。
回答を見る
正解: C
質問 #26
IaaS のセキュリティ責任共有モデルでは、顧客はスタックのどの 2 つのレイヤーの責任を共有するか。(2つ選んでください。)
A. ハードウェア
B. ネットワーク・セキュリティ
C. ストレージの暗号化
D. アクセスポリシー
E. ブーツ
回答を見る
正解: CD
質問 #27
標準的なネットワーク層を使用しながら、デフォルトでクライアントIPを維持するために、どのタイプのロードバランサーを使用すべきですか?
A. SSLプロキシ
B. TCPプロキシ
C. 内部TCP/UDP
D. TCP/UDPネットワーク
回答を見る
正解: C
質問 #28
VPCネットワーク上で定義される2つの暗黙のファイアウォールルールはどれですか?(2つ選んでください)
A. すべてのアウトバウンド接続を許可するルール
B. すべてのインバウンド接続を拒否するルール
C. すべてのインバウンドポート25接続をブロックするルール
D. すべてのアウトバウンド接続をブロックするルール
E. すべてのインバウンドポート80接続を許可するルール
回答を見る
正解: AB
質問 #29
顧客の会社には複数の事業部門がある。各事業部門は独立して運営されており、それぞれにエンジニアリング・グループがあります。あなたのチームは、社内で作成されたすべてのプロジェクトを可視化し、異なるビジネスユニットに基づいてGoogle Cloud Platform(GCP)プロジェクトを整理したいと考えています。また、各事業部門は別々のIAM権限セットを必要とします。これらのニーズを満たすには、どの戦略を使用すべきでしょうか。
A. 組織ノードを作成し、各ビジネスユニットのフォルダを割り当てます。
B. gmail
C. プロジェクトにGCPリソースを割り当て、どのビジネスユニットがリソースを所有しているかを示すラベルを付ける。
D. 事業部ごとにVPC内のGCPリソースを割り当て、ネットワークアクセスを分離する。
回答を見る
正解: A
質問 #30
あなたは組織のセキュリティオペレーションセンター(SOC)を管理しています。現在、パケットヘッダ情報に基づいてGoogle Cloud VPCのネットワークトラフィックの異常を監視し、検出しています。しかし、調査を支援するために、ネットワークフローとそのペイロードを調査する機能が必要です。どのGoogle Cloud製品を使用すべきでしょうか?
A. マーケットプレイスIDS
B. VPCフローログ
C. VPCサービス制御ログ
D. パケットミラーリング
E. Google Cloud Armor ディープパケットインスペクション
回答を見る
正解: D
質問 #31
Compute Engineのディスク上のデータを、Cloud Key Management Service (KMS)が管理するキーで静止時に暗号化したい。これらのキーに対するクラウドのIAM(Identity and AccessManagement)パーミッションは、すべてのキーに対して同じである必要があるため、グループ化された方法で管理する必要があります。
A. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyレベルでIAMパーミッションを管理する。
B. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyRingレベルでIAMパーミッションを管理する。
C. 永続ディスクごとにKeyRingを作成し、各KeyRingに1つのKeyを含める。KeyレベルでIAM権限を管理する。
D. 永続ディスクごとにKeyRingを作成し、各KeyRingに1つのKeyを含める。KeyRingレベルでIAM権限を管理する。
回答を見る
正解: C
質問 #32
あなたの会社では GSuite を使用しており、Google App Engine 上で社内向けのアプリケーションを開発しています。従業員のパスワードが漏洩した場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
A. クラウド・アーマー
B. Google Cloud監査ログ
C. クラウドセキュリティスキャナ
D. フォルセティ・セキュリティ
回答を見る
正解: A
質問 #33
ある顧客は、Google Cloud Platform (GCP)上でホストされているCRMのWebインターフェースに、モバイル従業員がアクセスできるようにしたいと考えています。このCRMには、企業ネットワーク上の人しかアクセスできません。顧客はインターネット経由で利用できるようにしたいと考えています。あなたのチームは、アプリケーションの前に2要素認証をサポートする認証レイヤーを必要としています。これらの要件を満たすために、顧客はどのGCP製品を導入すべきでしょうか。
A. クラウド・アイデンティティ・アウェア・プロキシ
B. クラウド・アーマー
C. クラウドエンドポイント
D. クラウドVPN
回答を見る
正解: A
質問 #34
あなたのチームは、プロジェクトco-vpc-prodがホストプロジェクトである共有VPCネットワークを設定します。あなたのチームは、ホストプロジェクト上でファイアウォールルール、サブネット、およびVPNゲートウェイを設定しました。あなたのチームは、ホストプロジェクト上でファイアウォールルール、サブネット、およびVPゲートウェイを構成しています。彼らは、エンジニアリンググループAが10.1.1.0/24サブネットのみにCompute Engineインスタンスをアタッチできるようにする必要があります。
A. ホストプロジェクトレベルのコンピュートネットワークユーザーロール。
B. サブネットレベルのコンピュートネットワークユーザーロール。
C. ホストプロジェクトレベルのCompute Shared VPC Admin Role。
D. サービスプロジェクトレベルのCompute Shared VPC Admin Role。
回答を見る
正解: B
質問 #35
あなたのチームは、Compute EngineインスタンスがインターネットやGoogle APIやサービスにアクセスできないようにする必要があります。これらの要件を満たすために、無効にしなければならない2つの設定はどれですか?(2つ選んでください)
A. 一方向同期を容易にするために、「ユーザーのメールアドレス」を属性として持つLDAP検索ルールを使用してセキュリティグループを同期するようにGoogle Cloud Directory Syncを設定します。
B. 双方向同期を容易にするために、属性として「ユーザーメールアドレス」を持つLDAP検索ルールを使用してセキュリティグループを同期するようにGoogle Cloud Directory Syncを構成する。
C. 管理ツールを使用して、メールアドレス属性に基づいてサブセットを同期する。Googleドメインにグループを作成する。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management(IAM)ロールを持つ。
D. 管理ツールを使用して、グループオブジェクトのクラス属性に基づいてサブセットを同期する。Googleドメインにグループを作成する。Googleドメインで作成されたグループは、自動的に明示的なGoogle Cloud Identity and Access Management(IAM)ロールを持ちます。
回答を見る
正解: AC
質問 #36
あなたは、ある組織のセキュリティチームのメンバーです。あなたのチームには、Web アプリケーションやデータ処理システムとともに、クレジットカード決済処理システムを含む単一の GCP プロジェクトがあります。あなたは、PCI監査基準の対象となるシステムの範囲を縮小したいと考えています。
A. Webアプリケーションの管理者アクセスに多要素認証を使用する。
B. PA-DSSに準拠していると認定されたアプリケーションのみを使用する。
C. カード会員データ環境を別のGCPプロジェクトに移動する。
D. オフィスとクラウド環境間のすべての接続にVPNを使用する。
回答を見る
正解: C
質問 #37
あなたのチームは、バックエンドのデータベースがフロントエンドのアプリケーションからのみアクセスでき、ネットワーク上の他のインスタンスからはアクセスできないようにする必要があります。
A. ファイアウォールタグを使用して、アプリケーションからデータベースへのアクセスのみを許可するイングレスファイアウォールルールを作成します。
B. フロントエンドのアプリケーションとデータベース用に異なるサブネットを作成し、ネットワークの分離を確保する。
C. 2つのVPCネットワークを作成し、クラウドVPNゲートウェイを使用して2つのネットワークを接続し、ネットワークの分離を確保する。
D. 2つのVPCネットワークを作成し、VPCピアリングを使用して2つのネットワークを接続し、ネットワークの分離を確保します。
回答を見る
正解: A
質問 #38
次のようなリソース階層があります。図のように、階層内の各ノードに組織ポリシーがあります。VPC Aで拒否されるロードバランサータイプはどれですか?
A. すべてのロードバランサーのタイプは、グローバルノードのポリシーに従って拒否されます。
B. INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPSは、フォルダのポリシーに従って拒否されます。
C. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXYは、プロジェクトのポリシーに従って拒否されます。
D. EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPSは、フォルダとプロジェクトのポリシーに従って拒否されます。
回答を見る
正解: D
質問 #39
アプリケーションとリソースにアクセス制御ポリシーを適用するために、どのGoogle Cloudサービスを使用すべきですか?
A. アイデンティティ・アウェア・プロキシ
B. クラウドNAT
C. グーグル・クラウド・アーマー
D. シールドVM
回答を見る
正解: A
質問 #40
コンプライアンス上の理由から、組織はスコープ内のPCI Kubernetes Podsが「スコープ内」のNodeのみに存在することを保証する必要があります。これらのノードは「範囲内」のPodのみを含むことができます。組織はこの目的をどのように達成すべきでしょうか?
A. ポッド構成にnodeSelectorフィールドを追加し、inscope:trueとラベル付けされたノードのみを使用するようにします。
B. ラベル「inscope: true」を持つノードプールと、そのラベルを持つノード上でのみPodの実行を許可するPodセキュリティポリシーを作成します。
C. ラベルinscope: true、エフェクトNoSchedule、Podコンフィギュレーションで一致する許容度を持つNodeにテイントを配置する。
D. 名前空間 "in-scope-pci "内のすべてのスコープ内Podを実行する。
回答を見る
正解: C
質問 #41
1つは信頼できないサブネット、もう1つは信頼できるサブネットです。次世代ファイアウォール(NGFW)などの仮想アプライアンスを構成して、2つのネットワークセグメント間のすべてのトラフィックを検査したいとします。トラフィックを検査するために、ネットワークをどのように設計すべきでしょうか。
A. すべてのログをsyslogなどの既存のプロトコルでSIEMシステムに送信する。
B. すべてのプロジェクトがすべてのログを共通のBigQueryデータセットにエクスポートし、SIEMシステムから照会されるように構成する。
C. 組織ログシンクを構成して、ログをクラウドPub/Subトピックにエクスポートし、Dataflow経由でSIEMに送信する。
D. GCP RESTful JSON APIからリアルタイムですべてのログを照会するために、SIEM用のコネクタを構築する。
回答を見る
正解: B
質問 #42
あるエンジニアリングチームが、インターネット上で公開されるウェブアプリケーションを立ち上げようとしています。このWebアプリケーションは、複数のGCPリージョンでホストされ、URLリクエストに基づいてそれぞれのバックエンドに誘導されます。あなたのチームは、アプリケーションをインターネット上に直接公開することを避けたいと考えており、悪意のあるIPアドレスの特定のリストからのトラフィックを拒否したいと考えていますこれらの要件を満たすために、あなたのチームはどのソリューションを実装すべきでしょうか。
A. クラウド・アーマー
B. ネットワークの負荷分散
C. SSLプロキシの負荷分散
D. NATゲートウェイ
回答を見る
正解: A
質問 #43
顧客には 300 人のエンジニアがいます。同社は、開発環境プロジェクトと本番環境プロジェクトで、異なるレベルのアクセス権を付与し、ユーザー間のIAM権限を効率的に管理したいと考えています。これらの要件を満たすために、同社が取るべき2つの手順はどれですか?(2つ選んでください)
A. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyレベルでIAMパーミッションを管理する。
B. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyRingレベルでIAMパーミッションを管理する。
C. 永続ディスクごとにKeyRingを作成し、各KeyRingに単一のKeyを含める。
D. 永続ディスクごとにKeyRingを作成し、各KeyRingに1つのKeyを含める。KeyRingレベルでIAMパーミッションを管理する。
回答を見る
正解: BC
質問 #44
ある組織がアプリケーションホスティングサービスに Google Cloud Platform(GCP)を採用し、Cloud Identity アカウントのパスワード要件を設定するためのガイダンスが必要である。この組織には、企業の従業員のパスワードは最小文字数でなければならないというパスワードポリシー要件があります。この組織が新しい要件を通知するために使用できる Cloud Identity パスワードガイドラインはどれですか。
A. パスワードの最小文字数を8文字に設定する。
B. パスワードの最小文字数を10文字に設定する。
C. パスワードの最小文字数を12文字に設定する。
D. パスワードの最小文字数を6文字に設定する。
回答を見る
正解: A
質問 #45
GCPからオンプレミスのSIEMシステムにStackdriverのログを確実に配信するにはどうしたらよいでしょうか?
A. データアクセスログを照会する。
B. 管理者のアクティビティログを照会する。
C. アクセス透明性ログを照会する。
D. Query Stackdriver Monitoring Workspace
回答を見る
正解: C
質問 #46
エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには、Googleが推奨するプラクティスに従う必要があります。
A. ローカルでデータ暗号化キー(DEK)を生成してデータを暗号化し、クラウドKMSで新しいキー暗号化キー(KEK)を生成してDEKを暗号化する。暗号化されたデータと暗号化されたDEKの両方を保存する。
B. ローカルでデータ暗号化キー(DEK)を生成してデータを暗号化し、クラウドKMSで新しいキー暗号化キー(KEK)を生成してDEKを暗号化する。暗号化されたデータとKEKの両方を保存する。
C. データを暗号化するためにクラウドKMSで新しいデータ暗号化キー(DEK)を生成し、キーを暗号化するためにローカルでキー暗号化キー(KEK)を生成する。暗号化されたデータと暗号化されたDEKの両方を保存する。
D. データを暗号化するためにクラウドKMSで新しいデータ暗号化キー(DEK)を生成し、キーを暗号化するためにローカルでキー暗号化キー(KEK)を生成する。暗号化されたデータとKEKの両方を保存する。
回答を見る
正解: A
質問 #47
あなたは、各ビジネスユニットが数千人のユーザーを抱える大規模な組織に勤務しています。各ビジネスユニットにアクセス制御権限の管理を委任する必要があります。各ビジネスユニットが、各自のプロジェクトのアクセス制御を管理する。各ビジネスユニットが、アクセス制御の権限を大規模に管理する。ビジネスユニットは、他のビジネスユニットのプロジェクトにアクセスできない。
A. 地域のサブネットでプライベートGoogleアクセスを有効にし、グローバルダイナミックルーティングモードを有効にする。
B. APIバンドルが "all-apis "のプライベートサービスコネクトのエンドポイントIPアドレスを設定し、クラウドインターコネクト接続上のルートとしてアドバタイズする。
C. private
D. 制限付きgoogleapis
回答を見る
正解: DE
質問 #48
あなたのチームは、指定されたCompute Engine仮想マシンインスタンスから指定されたCloud Storageバケットへのデータ転送を認証するためにサービスアカウントを使用しています。エンジニアが誤ってサービスアカウントを削除してしまい、アプリケーションの機能が壊れてしまいました。セキュリティを損なうことなく、できるだけ早くアプリケーションを復旧させたいと考えています。
A. クラウドストレージバケットの認証を一時的に無効にします。
B. 削除解除コマンドを使用して、削除されたサービスアカウントを復元する。
C. 削除したサービスアカウントと同じ名前で新しいサービスアカウントを作成します。
D. 既存の別のサービスアカウントの権限を更新し、その資格情報をアプリケーションに提供する。
回答を見る
正解: B
質問 #49
ある組織がアプリケーションホスティングサービスに Google Cloud Platform(GCP)を採用し、Cloud Identity アカウントのパスワード要件を設定するためのガイダンスが必要である。この組織には、企業の従業員のパスワードは最小文字数でなければならないというパスワードポリシー要件があります。この組織が新しい要件を通知するために使用できる Cloud Identity パスワードガイドラインはどれですか。
A. パスワードの最小文字数を8文字に設定する。
B. パスワードの最小文字数を10文字に設定する。
C. パスワードの最小文字数を12文字に設定する。
D. パスワードの最小文字数を6文字に設定する。
回答を見る
正解: A
質問 #50
あなたの組織は、サードパーティ企業のCompute Engineインスタンス上で動作する金融サービスアプリケーションをホストしています。アプリケーションを使用するサードパーティ企業のサーバーも、別のGoogle Cloud組織のCompute Engine上で実行されています。Compute Engineインスタンス間のセキュアなネットワーク接続を構成する必要があります。以下の要件があります。ネットワーク接続は暗号化されている必要があります。サーバー間の通信はプライベートIPアドレスを介して行われる必要があります。
A. ディレクトリサービスを使用してCloud SDKを使用し、Cloud IdentityのIAM権限を削除する。
B. クラウドSDKとディレクトリサービスを使用して、Cloud Identityからユーザをプロビジョニングおよびデプロビジョニングする。
C. 自社のディレクトリサービスと Cloud Directory Sync を構成し、Cloud Identity からユーザをプロビジョニングおよびデプロビジョニングする。
D. ディレクトリサービスと Cloud Directory Sync を構成し、Cloud Identity の IAM 権限を削除する。
回答を見る
正解: A
質問 #51
エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには、Googleが推奨するプラクティスに従う必要があります。
A. ローカルでデータ暗号化キー(DEK)を生成してデータを暗号化し、クラウドKMSで新しいキー暗号化キー(KEK)を生成してDEKを暗号化する。暗号化されたデータと暗号化されたDEKの両方を保存する。
B. ローカルでデータ暗号化キー(DEK)を生成してデータを暗号化し、クラウドKMSで新しいキー暗号化キー(KEK)を生成してDEKを暗号化する。暗号化されたデータとKEKの両方を保存する。
C. データを暗号化するためにクラウドKMSで新しいデータ暗号化キー(DEK)を生成し、キーを暗号化するためにローカルでキー暗号化キー(KEK)を生成する。暗号化されたデータと暗号化されたDEKの両方を保存する。
D. データを暗号化するためにクラウドKMSで新しいデータ暗号化キー(DEK)を生成し、キーを暗号化するためにローカルでキー暗号化キー(KEK)を生成する。暗号化されたデータとKEKの両方を保存する。
回答を見る
正解: A
質問 #52
企業のユーザーアカウントでフィッシング攻撃が増加していることに気づきました。あなたは、暗号署名を使用してユーザーを認証し、ログインページのURLを検証するGoogle 2段階認証(2SV)オプションを実装したいと考えています。どのGoogle 2SVオプションを使うべきですか?
A. タイタン・セキュリティ・キー
B. グーグル・プロンプト
C. Google 認証アプリ
D. クラウドHSMキー
回答を見る
正解: C
質問 #53
あなたの会社は、現在us-central-1のGoogle Cloudロードバランサーの後ろにデプロイされ、Standard Tierネットワークを使用するように構成されているアプリケーションインスタンスグループを運営しています。インフラチームは、2つ目の Google Cloud リージョンである us- east-2 に拡張したいと考えています。両方のリージョンのインスタンスグループに新しいリクエストを配布するために、単一の外部IPアドレスを設定する必要があります。
A. ロードバランサーのバックエンドの設定を、インスタンスグループの代わりにネットワークエンドポイントグループを使うように変更する。
B. ロードバランサーのフロントエンド構成をプレミアム層のネットワークを使用するように変更し、新しいインスタンスグループを追加する。
C. 標準層のネットワークを使用してus-east-2に新しいロードバランサーを作成し、静的な外部IPアドレスを割り当てます。
D. 2つの地域間でクラウドVPN接続を作成し、Googleプライベートアクセスを有効にします。
回答を見る
正解: A
質問 #54
PCI コンプライアンスのために GCP を評価する必要があります。Google固有のコントロールを特定する必要があります。この情報を見つけるには、どの文書を確認する必要がありますか?
A. Google Cloud Platform:顧客責任マトリックス
B. PCI DSS 要件およびセキュリティ評価手順
C. PCI SSC クラウド・コンピューティング・ガイドライン
D. Compute Engineの製品ドキュメント
回答を見る
正解: A
質問 #55
アプリケーション・ログを、管理者とアナリストの両方がアクセス可能な共有クラウド・ストレージ・バケットにバックアップしています。アナリストは、個人を特定できる情報(PII)を含むログにアクセスできません。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。あなたは何をすべきでしょうか?
A. 共有バケットと管理者のみがアクセスできるPll付きバケットの両方にログをアップロードします。Cloud Data Loss Prevention APIを使用して、ジョブトリガーを作成します。共有バケットからPllを含むファイルを削除するようにトリガーを設定します。
B. 共有バケットで、Pllを含むオブジェクトを削除するようにオブジェクトライフサイクル管理を設定します。
C. 共有バケット上で、PllがアップロードされたときのみトリガーされるCloud Storageトリガーを設定します。Cloud Functionsを使ってトリガーを捕捉し、Pllを含むファイルを削除する。
D. Pub/Subとクラウドファンクションを使用して、ファイルが管理者のバケットにアップロードされるたびにクラウドデータ損失防止スキャンをトリガする。スキャンでPllが検出されなかった場合は、共有Cloud Storageバケットにオブジェクトを移動させる。
回答を見る
正解: D
質問 #56
あなたの組織は、最近数回のDDoS攻撃を受けています。ドメイン名検索への応答を認証する必要があります。どのGoogle Cloudサービスを使用する必要がありますか?
A. DNSSECによるクラウドDNS
B. クラウドNAT
C. HTTP(S) ロードバランシング
D. グーグル・クラウド・アーマー
回答を見る
正解: A
質問 #57
アプリケーションとリソースにアクセス制御ポリシーを適用するために、どのGoogle Cloudサービスを使用すべきですか?
A. アイデンティティ・アウェア・プロキシ
B. クラウドNAT
C. グーグル・クラウド・アーマー
D. シールドVM
回答を見る
正解: A
質問 #58
組織の Google Cloud VM は、外部ユーザー向けのウェブサービスをホストするために、パブリック IP アドレスで構成されたインスタンステンプレートを介してデプロイされます。VMは、VM用のカスタムShared VPCを1つ含むホスト(VPC)プロジェクトにアタッチされたサービスプロジェクトに常駐しています。あなたは、外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように求められました。を起動するために、パブリックIPアドレスを設定せずにインスタンス・テンプレートを再作成しました。
A. MIGのサービスプロジェクトにクラウドNATゲートウェイをデプロイします。
B. MIGのホスト(VPC)プロジェクトにクラウドNATゲートウェイをデプロイします。
C. MIGをバックエンドとするサービスプロジェクトに、外部のHTTP(S)ロードバランサーをデプロイする。
D. MIGをバックエンドとするホスト(VPC)プロジェクトに、外部のHTTP(S)ロードバランサーをデプロイする。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.