すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

Googleプロフェッショナルクラウドセキュリティエンジニア試験の模擬試験で実力を高める

SPOTOの試験問題集を使って Google Professional Cloud Security Engineer 認定試験の準備をすることで、 合格する可能性を大幅に高めることができます。これらの包括的な試験リソースは、セキュリティのベストプラクティス、業界の要件、アイデンティティとアクセス管理、組織のセキュリティ構造とポリシー、データ保護、ネットワークセキュリティ防御、脅威の監視、セキュリティの自動化、AIセキュリティ、安全なソフトウェアサプライチェーン、規制遵守など、関連するすべてのトピックをカバーしています。SPOTOの模擬試験は実際の試験環境をシミュレートしており、さらなる学習が必要な分野を特定することができます。これらの試験対策ツールを活用することで、プロフェッショナル クラウド セキュリティ エンジニアとして、Google Cloud 上で安全なソリューションを設計、開発、管理する専門知識を自信を持って証明することができます。
他のオンライン試験を受ける
質問 #1
オンプレミスのデータセンターとVPCホストネットワークの間にクラウドインターコネクト接続を設定する必要があります。オンプレミスのアプリケーションが、パブリックインターネット経由ではなく、クラウドインターコネクト経由でのみGoogle APIにアクセスできるようにする必要があります。サポートされていないAPIへの流出リスクを軽減するために、VPCサービスコントロールでサポートされているAPIのみを使用する必要があります。ネットワークはどのように設定すればよいですか?
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: B
質問 #2
あるエンジニアリングチームが、インターネット上で公開されるウェブアプリケーションを立ち上げようとしています。このWebアプリケーションは、複数のGCPリージョンでホストされ、URLリクエストに基づいてそれぞれのバックエンドに誘導されます。あなたのチームは、アプリケーションをインターネット上に直接公開することを避けたいと考えており、悪意のあるIPアドレスの特定のリストからのトラフィックを拒否したいと考えていますこれらの要件を満たすために、あなたのチームはどのソリューションを実装すべきでしょうか。
A. クラウド・アーマー
B. ネットワークの負荷分散
C. SSLプロキシの負荷分散
D. NATゲートウェイ
回答を見る
正解: A
質問 #3
あなたは、Google Cloudへのデータ移行を計画している顧客と仕事をしています。あなたは、暗号化された鍵を管理する暗号化サービスを推奨する責任があります。マスターキーは、少なくとも45日に1回ローテーションされる必要があります。マスターキーを保管するソリューションは、FIPS 140-2 レベル 3 の認証を受けていること。マスターキーは、冗長性のために米国内の複数の地域に保管されなければならない。これらの要件を満たすソリューションはどれか。
A. クラウド鍵管理サービスによる顧客管理暗号鍵
B. クラウドHSMによる顧客管理暗号鍵
C. 顧客提供の暗号化キー
D. Googleが管理する暗号鍵
回答を見る
正解: D
質問 #4
プロダクションプロジェクトのために、チームのログを一元管理する必要があります。ログエクスプローラを使用して、ログを検索および分析できるようにする必要があります。どうすればよいでしょうか?
A. クラウド監視ワークスペースを有効にして、監視対象の本番プロジェクトを追加します。
B. 組織レベルでログ・エクスプローラを使用し、プロダクション・プロジェクトのログをフィルタリングします。
C. 本番プロジェクトの親フォルダーに集約Orgシンクを作成し、保存先をCloud Storageバケットに設定します。
D. 本番プロジェクトの親フォルダに集約Orgシンクを作成し、宛先をログバケットに設定します。
回答を見る
正解: D
質問 #5
1つは信頼できないサブネット、もう1つは信頼できるサブネットです。次世代ファイアウォール(NGFW)などの仮想アプライアンスを構成して、2つのネットワークセグメント間のすべてのトラフィックを検査したいとします。トラフィックを検査するために、ネットワークをどのように設計すべきでしょうか。
A. すべてのログをsyslogなどの既存のプロトコルでSIEMシステムに送信する。
B. すべてのプロジェクトがすべてのログを共通のBigQueryデータセットにエクスポートし、SIEMシステムから照会されるように構成する。
C. 組織ログシンクを構成して、ログをクラウドPub/Subトピックにエクスポートし、Dataflow経由でSIEMに送信する。
D. GCP RESTful JSON APIからリアルタイムですべてのログを照会するために、SIEM用のコネクタを構築する。
回答を見る
正解: B
質問 #6
あなたのチームは、バックエンドのデータベースがフロントエンドのアプリケーションからのみアクセスでき、ネットワーク上の他のインスタンスからはアクセスできないようにする必要があります。
A. ファイアウォールタグを使用して、アプリケーションからデータベースへのアクセスのみを許可するイングレスファイアウォールルールを作成します。
B. フロントエンドのアプリケーションとデータベース用に異なるサブネットを作成し、ネットワークの分離を確保する。
C. 2つのVPCネットワークを作成し、クラウドVPNゲートウェイを使用して2つのネットワークを接続し、ネットワークの分離を確保する。
D. 2つのVPCネットワークを作成し、VPCピアリングを使用して2つのネットワークを接続し、ネットワークの分離を確保します。
回答を見る
正解: A
質問 #7
あなたは、電子カルテシステムで保護された医療情報(PHI)を扱っています。プライバシー担当者は、機密データが分析システムに保存されていることを懸念しています。あなたは、機密データを元に戻せない方法で匿名化することを命じられています。また、匿名化されたデータは、文字セットと長さを保持する必要があります。どのGoogle Cloudソリューションを使うべきですか?
A. AES-SIVを用いた決定論的暗号化によるクラウドデータ損失防止
B. フォーマット保持暗号化によるクラウドデータ損失防止
C. 暗号ハッシュによるクラウドデータ損失防止
D. クラウド鍵管理サービスによるクラウドデータ損失防止は、暗号鍵をラップする。
回答を見る
正解: D
質問 #8
あなたのセキュリティチームは、ユーザデータの機密性を確保するために暗号鍵を使用しています。あなたは、クラウド鍵管理サービス(Cloud KMS)で潜在的に漏洩した対称暗号鍵の影響を軽減するプロセスを確立したいと考えています。(2つ選んでください)
A. クラウド鍵管理サービスを使用して、データ暗号化鍵(DEK)を管理します。
B. クラウド鍵管理サービスを使用して、鍵暗号化キー(KEK)を管理する。
C. データ暗号化キー(DEK)を管理するために、顧客が提供する暗号化キーを使用する。
D. 顧客が提供する暗号鍵を使用して、暗号鍵(KEK)を管理する。
回答を見る
正解: AB
質問 #9
あるウェブサイト制作会社は最近、すべての顧客サイトを App Engine に移行しました。一部のサイトはまだ進行中であり、どの場所からでも顧客と従業員のみが閲覧できるようにする必要があります。進行中のサイトへのアクセスを制限するには、どのソリューションを使用すればよいでしょうか?
A. 顧客と従業員のユーザーアカウントを含む
B. 顧客と従業員のネットワークからのアクセスを許可し、その他のすべてのトラフィックを拒否するApp Engineファイアウォールルールを作成します。
C. クラウドIAP(Identity-Aware Proxy)を有効にし、顧客と従業員のユーザーアカウントを含むGoogleグループへのアクセスを許可する。
D. クラウドVPNを使用して、関連するオンプレミスネットワークと企業のGCP仮想プライベートクラウド(VPC)ネットワークとの間にVPN接続を作成する。
回答を見る
正解: C
質問 #10
既存のVPCサービスコントロールの境界を新しいアクセスレベルで更新したい。この変更で既存の境界が壊れるのを避け、オーバーヘッドを最小限に抑えながら、ユーザーへの混乱を最小限に抑える必要があります。どうすればよいでしょうか。
A. 既存の境界の完全なレプリカを作成する。そのレプリカに新しいアクセス・レベルを追加する。アクセス・レベルの検証後、元の境界を更新する。
B. 決して一致しない新しいアクセスレベルで境界を更新する。過度に寛容にならないように、新しいアクセスレベルを1つずつ希望する状態に一致するように更新する。
C. 境界でドライランモードを有効にする。新しいアクセス・レベルを境界構成に追加する。アクセス・レベルの検証後、境界構成を更新する。
D. 境界でドライ・ラン・モードを有効にする。新しいアクセス・レベルを境界のドライラン構成に追加する。アクセス・レベルの検証後、境界構成を更新する。
回答を見る
正解: D
質問 #11
標準的なネットワーク層を使用しながら、デフォルトでクライアントIPを維持するために、どのタイプのロードバランサーを使用すべきですか?
A. SSLプロキシ
B. TCPプロキシ
C. 内部TCP/UDP
D. TCP/UDPネットワーク
回答を見る
正解: C
質問 #12
VPCサービスコントロールを有効にして、リソースへのアクセスを妨げることなく、既存環境の境界の変更を許可する必要があります。どのVPCサービスコントロールモードを使用すべきですか?
A. GSuiteで全ユーザーに2要素認証を強制する。
B. Appエンジンアプリケーション用にCloud Identity-Aware Proxyを構成する。
C. GSuiteパスワード同期を使用してユーザーパスワードをプロビジョニングする。
D. プライベートネットワークとGCPの間にクラウドVPNを構成する。
回答を見る
正解: D
質問 #13
あなたは、現在の保守契約が切れる前に、会社のデータセンターからGCPにレガシー・アプリケーションを移行する担当者です。アプリケーションがどのポートを使用しているのかわからず、確認できるドキュメントもありません。環境を危険にさらすことなく移行を完了したい。
A. 「Lift & Shift」アプローチを使用して、アプリケーションを分離されたプロジェクトに移行する。VPCファイアウォールルールを使用して、すべての内部TCPトラフィックを有効にする。VPCフロー・ログを使用して、アプリケーションが適切に動作するために許可されるべきトラフィックを特定する。
B. カスタムネットワークで「Lift & Shift」アプローチを使用して、アプリケーションを分離されたプロジェクトに移行する。VPC内のすべてのトラフィックを無効にし、ファイアウォールのログを見て、アプリケーションが適切に動作するために許可されるべきトラフィックを特定する。
C. アプリケーションをGKEクラスタ内のマイクロサービスアーキテクチャにリファクタリングする。ファイアウォールルールを使用して、クラスタ外部からのトラフィックをすべて無効にする。VPCフローログを使用して、アプリケーションが正常に動作するために許可されるべきトラフィックを決定する。
D. Refactor the application into a micro-services architecture hosted in Cloud Functions in an isolated project
回答を見る
正解: A
質問 #14
あなたは、現在の保守契約が切れる前に、会社のデータセンターからGCPにレガシー・アプリケーションを移行する担当者です。アプリケーションがどのポートを使用しているのかわからず、確認できるドキュメントもありません。環境を危険にさらすことなく移行を完了したい。
A. 「Lift & Shift」アプローチを使用して、アプリケーションを分離されたプロジェクトに移行する。VPCファイアウォールルールを使用して、すべての内部TCPトラフィックを有効にする。VPCフロー・ログを使用して、アプリケーションが適切に動作するために許可されるべきトラフィックを特定する。
B. カスタムネットワークで「Lift & Shift」アプローチを使用して、アプリケーションを分離されたプロジェクトに移行する。VPC内のすべてのトラフィックを無効にし、ファイアウォールのログを見て、アプリケーションが適切に動作するために許可されるべきトラフィックを特定する。
C. アプリケーションをGKEクラスタ内のマイクロサービスアーキテクチャにリファクタリングする。ファイアウォールルールを使用して、クラスタ外部からのトラフィックをすべて無効にする。VPCフローログを使用して、アプリケーションが正常に動作するために許可されるべきトラフィックを決定する。
D. Refactor the application into a micro-services architecture hosted in Cloud Functions in an isolated project
回答を見る
正解: A
質問 #15
ある顧客がGoogle Cloud Platform(GCP)上で分析ワークロードを実行しており、Compute EngineインスタンスがCloud Storageに保存されたデータにアクセスしています。あなたのチームは、このワークロードがインターネットにアクセスしたり、インターネットからアクセスされたりしないようにしたいと考えています。(2つ選んでください)。
A. クラスタ専用のCloud Identityユーザーアカウントを作成する。強力なセルフホスト型データ保管庫ソリューションを使用して、ユーザーの一時的な資格情報を保管する。
B. クラスター専用のCloud Identityユーザーアカウントを作成する。プロジェクトレベルで constraints/iam
C. クラスタ用のカスタムサービスアカウントを作成する プロジェクトレベルでconstraints/iam
D. Create a custom service account for cluster constraints/iam
回答を見る
正解: BE
質問 #16
アプリケーション・ログを、管理者とアナリストの両方がアクセス可能な共有クラウド・ストレージ・バケットにバックアップしています。アナリストは、個人を特定できる情報(PII)を含むログにアクセスできません。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。あなたは何をすべきでしょうか?
A. 共有バケットと管理者のみがアクセスできるPll付きバケットの両方にログをアップロードします。Cloud Data Loss Prevention APIを使用して、ジョブトリガーを作成します。共有バケットからPllを含むファイルを削除するようにトリガーを設定します。
B. 共有バケットで、Pllを含むオブジェクトを削除するようにオブジェクトライフサイクル管理を設定します。
C. 共有バケット上で、PllがアップロードされたときのみトリガーされるCloud Storageトリガーを設定します。Cloud Functionsを使ってトリガーを捕捉し、Pllを含むファイルを削除する。
D. Pub/Subとクラウドファンクションを使用して、ファイルが管理者のバケットにアップロードされるたびにクラウドデータ損失防止スキャンをトリガする。スキャンでPllが検出されなかった場合は、共有Cloud Storageバケットにオブジェクトを移動させる。
回答を見る
正解: D
質問 #17
あなたの会社では、セキュリティ・チームとネットワーク・エンジニアリング・チームがすべてのネットワーク異常を特定し、VPC内のペイロードをキャプチャできるようにする必要があります。どの方法を使用すべきでしょうか?
A. 組織ポリシーの制約を定義する
B. パケットミラーリングポリシーを設定します。
C. サブネット上でVPCフローログを有効にします。
D. クラウド監査ログの監視と分析
回答を見る
正解: B
質問 #18
ある企業が、インフラをオンプレミス環境からGoogle Cloud Platform(GCP)に移行し始めている。この組織が最初に取りかかりたいのは、継続的なデータバックアップとディザスタリカバリソリューションをGCPに移行することです。オンプレミスの本番環境は、GCPへの移行の次の段階となる。オンプレミス環境とGCPの間の安定したネットワーク接続も実装されています。
A. クラウドストレージのバケットを作成し、EUROPE-WEST1リージョンにログを保存します。アプリケーションコードを変更して、ログをバケットに直接送信し、効率を高めます。
B. Googleクラウドの運用スイートCloud Loggingエージェントを使用して、アプリケーションログをEUROPE- WEST1リージョンのカスタムログバケットに送信するように、Compute Engineインスタンスを構成します。
C. Pub/Subトピックを使用して、アプリケーションログをEUROPE-WEST1リージョンのCloud Storageバケットに転送します。
D. EUROPE-WEST1リージョンのGoogle Cloudのオペレーションスイートのログバケットに12年間のカスタム保存ポリシーを設定します。
回答を見る
正解: A
質問 #19
あなたのチームは、インターネットへのすべてのトラフィックを拒否する(優先度1000)イグレスファイアウォールルールを作成しました。あなたのチームは何をすべきですか?
A. 優先度1000以上のリポジトリのCIDR範囲へのトラフィックを許可するegressファイアウォールルールを作成します。
B. 優先度1000未満のリポジトリのCIDR範囲へのトラフィックを許可するように、イグレスファイアウォールルールを作成します。
C. 優先度1000以上のリポジトリのホスト名へのトラフィックを許可するegressファイアウォールルールを作成します。
D. 優先度1000未満のリポジトリのホスト名へのトラフィックを許可するegressファイアウォールルールを作成します。
回答を見る
正解: D
質問 #20
あなたは会社のセキュリティ管理者です。クラウドストレージのバケットに3,000のオブジェクトがあります。あなたは各オブジェクトへのアクセスを個別に管理したくありません。また、オブジェクトのアップロード者が常にオブジェクトを完全にコントロールできるようにしたくありません。しかし、クラウド監査ログを使ってバケットへのアクセスを管理したい。
A. allUsersのスコープにOWNER権限を持つACLを設定する。
B. allUsersのスコープにREADER権限を持つACLを設定する。
C. デフォルトのバケットACLを設定し、IAMを使用してユーザーのアクセスを管理する。
D. クラウドストレージバケットにバケットレベルの統一アクセスを設定し、IAMを使用してユーザーのアクセスを管理する。
回答を見る
正解: A
質問 #21
あなたは顧客のアーキテクチャのセキュリティ評価を実施し、複数の VM にパブリック IP アドレスがあることを発見しました。パブリック IP アドレスを削除するための推奨を提供した後、これらの VM は顧客の典型的なオペレーションの一部として外部サイトと通信する必要があると言われました。顧客のVMのパブリックIPアドレスの必要性を減らすために、あなたは何を推奨すべきでしょうか?
A. グーグル・クラウド・アーマー
B. クラウドNAT
C. クラウド・ルーター
D. クラウドVPN
回答を見る
正解: D
質問 #22
ある小売業の顧客が、ユーザーがコメントや商品レビューをアップロードできるようにしています。この顧客は、コメントやレビューが公開される前に、テキストに機密データが含まれていないことを確認する必要があります。これを実現するには、どのGoogleクラウドサービスを使用する必要がありますか?
A. クラウド鍵管理サービス
B. クラウドデータ損失防止API
C. ビッグクエリ
D. クラウドセキュリティスキャナ
回答を見る
正解: B
質問 #23
あなたの会社では GSuite を使用しており、Google App Engine 上で社内向けのアプリケーションを開発しています。従業員のパスワードが漏洩した場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。
A. クラウド・アーマー
B. Google Cloud監査ログ
C. クラウドセキュリティスキャナ
D. フォルセティ・セキュリティ
回答を見る
正解: A
質問 #24
あるウェブサイト制作会社は最近、すべての顧客サイトを App Engine に移行しました。一部のサイトはまだ進行中であり、どの場所からでも顧客と従業員のみが閲覧できるようにする必要があります。進行中のサイトへのアクセスを制限するには、どのソリューションを使用すればよいでしょうか?
A. 顧客と従業員のユーザーアカウントを含む
B. 顧客と従業員のネットワークからのアクセスを許可し、その他のすべてのトラフィックを拒否するApp Engineファイアウォールルールを作成します。
C. クラウドIAP(Identity-Aware Proxy)を有効にし、顧客と従業員のユーザーアカウントを含むGoogleグループへのアクセスを許可する。
D. クラウドVPNを使用して、関連するオンプレミスネットワークと企業のGCP仮想プライベートクラウド(VPC)ネットワークとの間にVPN接続を作成する。
回答を見る
正解: C
質問 #25
あなたは顧客のアーキテクチャのセキュリティ評価を実施し、複数の VM にパブリック IP アドレスがあることを発見しました。パブリック IP アドレスを削除するための推奨を提供した後、これらの VM は顧客の典型的なオペレーションの一部として外部サイトと通信する必要があると言われました。顧客のVMのパブリックIPアドレスの必要性を減らすために、あなたは何を推奨すべきでしょうか?
A. グーグル・クラウド・アーマー
B. クラウドNAT
C. クラウド・ルーター
D. クラウドVPN
回答を見る
正解: D
質問 #26
ある顧客が、Compute Engine上に多数の3層のWebアプリケーションをデプロイしたいと考えています。この場合、アプリケーションの異なる層間の認証されたネットワーク分離をどのように確保すべきでしょうか?
A. 各階層をそれぞれのプロジェクトで実行し、プロジェクトラベルを使って分離する。
B. 各階層を異なるサービスアカウント(SA)で実行し、SAベースのファイアウォールルールを使用する。
C. 各階層を独自のサブネットで運用し、サブネットベースのファイアウォールルールを使用する。
D. 各階層を独自のVMタグで実行し、タグベースのファイアウォールルールを使用する。
回答を見る
正解: C
質問 #27
あなたは会社のセキュリティ管理者です。LDAPディレクトリからメールアドレスを持つすべてのセキュリティグループをCloud IAMに同期したい。
A. ポリシートラブルシューター
B. ポリシーアナライザー
C. IAMレコメンダー
D. ポリシー・シミュレーター
回答を見る
正解: A
質問 #28
あなたの組織は、サードパーティ企業のCompute Engineインスタンス上で動作する金融サービスアプリケーションをホストしています。アプリケーションを使用するサードパーティ企業のサーバーも、別のGoogle Cloud組織のCompute Engine上で実行されています。Compute Engineインスタンス間のセキュアなネットワーク接続を構成する必要があります。以下の要件があります。ネットワーク接続は暗号化されている必要があります。サーバー間の通信はプライベートIPアドレスを介して行われる必要があります。
A. ディレクトリサービスを使用してCloud SDKを使用し、Cloud IdentityのIAM権限を削除する。
B. クラウドSDKとディレクトリサービスを使用して、Cloud Identityからユーザをプロビジョニングおよびデプロビジョニングする。
C. 自社のディレクトリサービスと Cloud Directory Sync を構成し、Cloud Identity からユーザをプロビジョニングおよびデプロビジョニングする。
D. ディレクトリサービスと Cloud Directory Sync を構成し、Cloud Identity の IAM 権限を削除する。
回答を見る
正解: A
質問 #29
ある組織が、現在のオンプレミス生産性ソフトウェアシステムからG Suiteに移行しようとしている。以前のオンプレミスシステムでは、地域の規制機関によって義務付けられたネットワークセキュリティ管理が行われていた。同組織のリスクチームは、G Suite でもネットワーク・セキュリティ管理が維持され、有効であることを確認したいと考えている。この移行をサポートするセキュリティ・アーキテクトは、新しい共有責任の一部として、ネットワーク・セキュリティ管理が確実に実施されるように求められている。
A. ファイアウォールルールが必要なコントロールに適合していることを確認する。
B. クラウドアーマーを設定して、G Suiteのネットワークセキュリティ制御を管理できるようにする。
C. ネットワーク・セキュリティはビルトイン・ソリューションであり、G SuiteのようなSaaS製品にはGoogleのクラウド責任がある。
D. 仮想プライベートクラウド(VPC)ネットワークを構築し、関連規則に従ってネットワークセキュリティを管理する。
回答を見る
正解: C
質問 #30
組織のオンプレミスネットワークを、ProductionとNon-Productionという2つのサブネットを持つ1つのShared VPCを含む既存のGoogle Cloud環境に接続する必要があります。オンプレミス環境からプライベートAPIエンドポイントを経由してGoogle Cloud APIにアクセスするように設定します。Google Cloud APIがVPCサービスコントロール経由でのみ使用されるようにします。
A. VPCフローログの設定と監視
B. XSS攻撃とSQLi攻撃からの防御
C. ゲストOSの最新のアップデートとセキュリティパッチを管理する
D. すべての保存データを暗号化する
回答を見る
正解: C
質問 #31
ある組織が、少数のミッションクリティカルなアプリケーションをオンプレミスに維持しながら、アプリケーションをGoogle Cloudに移行しようとしている。この組織は、少なくとも50Gbpsの帯域幅でデータを転送する必要があります。サイト間の安全な継続接続を確保するために、何を使用すべきでしょうか?
A. 専用インターコネクト
B. クラウド・ルーター
C. クラウドVPN
D. パートナー・インターコネクト
回答を見る
正解: A
質問 #32
ある顧客が他社と共同でCompute Engine上にアプリケーションを構築している。顧客は自社のGCP組織でアプリケーション層を構築し、他社は別のGCP組織でストレージ層を構築しています。これは3層のWebアプリケーションです。アプリケーションの各部分間の通信は、どのような手段を使っても公共のインターネットを横断してはなりません。
A. VPCピアリング
B. クラウドVPN
C. クラウド・インターコネクト
D. 共有VPC
回答を見る
正解: B
質問 #33
サポートセンターのエージェントとオンラインチャットで作業する際、ある組織の顧客は、個人を特定できる情報(PII)を含む文書の写真を共有することがよくあります。サポートセンターを所有する組織は、顧客サービスの傾向分析のために内部または外部のアナリストがレビューするために保持する定期的なチャットログの一部として、PIIがデータベースに保存されていることを懸念しています。
A. クラウド鍵管理サービス(KMS)を使用して、顧客から共有されたPIIデータを暗号化してから分析用に保存する。
B. オブジェクトライフサイクル管理を使用して、PIIを含むすべてのチャットレコードが破棄され、分析のために保存されないようにします。
C. 分析用に保存する前に、DLP APIの画像検査と再編集アクションを使用して、画像からPIIを再編集する。
D. DLP APIソリューションの汎化アクションとバケッティングアクションを使用して、分析のためにテキストを保存する前に、テキストからPIIを再編集する。
回答を見る
正解: C
質問 #34
新しいサービスアカウントを作成し、プロジェクト内のCompute Engineインスタンスを一覧できるようにします。Googleが推奨するプラクティスに従ってください。
A. インスタンステンプレートを作成し、コンピュートエンジンのアクセススコープに対してサービスアカウントの読み取り専用アクセスを許可します。
B. compute
C. サービスアカウントにCompute Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
D. サービスアカウントにProject Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
回答を見る
正解: A
質問 #35
サポートセンターのエージェントとオンラインチャットで作業する際、ある組織の顧客は、個人を特定できる情報(PII)を含む文書の写真を共有することがよくあります。サポートセンターを所有する組織は、顧客サービスの傾向分析のために内部または外部のアナリストがレビューするために保持する定期的なチャットログの一部として、PIIがデータベースに保存されていることを懸念しています。
A. クラウド鍵管理サービス(KMS)を使用して、顧客から共有されたPIIデータを暗号化してから分析用に保存する。
B. オブジェクトライフサイクル管理を使用して、PIIを含むすべてのチャットレコードが破棄され、分析のために保存されないようにします。
C. 分析用に保存する前に、DLP APIの画像検査と再編集アクションを使用して、画像からPIIを再編集する。
D. DLP APIソリューションの汎化アクションとバケッティングアクションを使用して、分析のためにテキストを保存する前に、テキストからPIIを再編集する。
回答を見る
正解: C
質問 #36
ブートディスクのソースとして使用できるイメージを制限したい。これらのイメージは専用のプロジェクトに保存されます。
A. 組織ポリシーサービスを使用して、組織レベルでcompute
B. 組織ポリシーサービスを使用して、組織レベルでcompute
C. リソースマネージャで、信頼済みプロジェクトのプロジェクト権限を編集する。ロールを持つメンバーとして組織を追加します:計算イメージユーザー。
D. リソースマネージャで、組織権限を編集する。ロールを持つメンバーとしてプロジェクトIDを追加する:計算イメージユーザー。
回答を見る
正解: B
質問 #37
あなたは、厳しいデータ保護要件がある規制業界の組織に勤めています。この組織はデータをクラウドにバックアップしています。データプライバシー規制を遵守するため、このデータは特定の期間しか保存できず、特定の期間が過ぎると削除しなければなりません。あなたは、ストレージコストを最小限に抑えながら、この規制へのコンプライアンスを自動化したいと考えています。
A. データを永続ディスクに保存し、期限切れ時にディスクを削除する。
B. クラウドBigtableテーブルにデータを保存し、カラムファミリーに有効期限を設定する。
C. データをBigQueryのテーブルに保存し、テーブルの有効期限を設定する。
D. クラウドストレージのバケットにデータを保存し、バケットのオブジェクトライフサイクル管理機能を構成する。
回答を見る
正解: C
質問 #38
あなたのセキュリティチームは、ユーザデータの機密性を確保するために暗号鍵を使用しています。あなたは、クラウド鍵管理サービス(Cloud KMS)で潜在的に漏洩した対称暗号鍵の影響を軽減するプロセスを確立したいと考えています。(2つ選んでください)
A. クラウド鍵管理サービスを使用して、データ暗号化鍵(DEK)を管理します。
B. クラウド鍵管理サービスを使用して、鍵暗号化キー(KEK)を管理する。
C. データ暗号化キー(DEK)を管理するために、顧客が提供する暗号化キーを使用する。
D. 顧客が提供する暗号鍵を使用して、暗号鍵(KEK)を管理する。
回答を見る
正解: AB
質問 #39
オンプレミスのデータセンターとVPCホストネットワークの間にクラウドインターコネクト接続を設定する必要があります。オンプレミスのアプリケーションが、パブリックインターネット経由ではなく、クラウドインターコネクト経由でのみGoogle APIにアクセスできるようにする必要があります。サポートされていないAPIへの流出リスクを軽減するために、VPCサービスコントロールでサポートされているAPIのみを使用する必要があります。ネットワークはどのように設定すればよいですか?
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: B
質問 #40
あなたの組織は、最近数回のDDoS攻撃を受けています。ドメイン名検索への応答を認証する必要があります。どのGoogle Cloudサービスを使用する必要がありますか?
A. DNSSECによるクラウドDNS
B. クラウドNAT
C. HTTP(S) ロードバランシング
D. グーグル・クラウド・アーマー
回答を見る
正解: A
質問 #41
あなたのチームは、本番プロジェクトで稼働しているCompute EngineインスタンスがパブリックIPアドレスを持っていないことを確認したいと考えています。フロントエンドアプリケーションのCompute EngineインスタンスはパブリックIPを必要とします。製品エンジニアは、リソースを変更するエディターロールを持っています。あなたのチームは、この要件を実施したいと考えています。あなたのチームは、これらの要件をどのように満たすべきですか?
A. 本番プロジェクトのVPCネットワークでプライベート・アクセスを有効にします。
B. Editor ロールを削除し、エンジニアに Compute Admin IAM ロールを付与する。
C. フロントエンドのCompute EngineインスタンスのパブリックIPのみを許可する組織ポリシーを設定します。
D. パブリックIPを持つサブネットとパブリックIPを持たないサブネットの2つのVPCネットワークを設定します。
回答を見る
正解: C
質問 #42
ある顧客は、Google Cloud Platform (GCP)上でホストされているCRMのWebインターフェースに、モバイル従業員がアクセスできるようにしたいと考えています。このCRMには、企業ネットワーク上の人しかアクセスできません。顧客はインターネット経由で利用できるようにしたいと考えています。あなたのチームは、二要素認証をサポートする認証レイヤーをアプリケーションの前に必要とします。
A. クラウドアイデンティティ対応プロキシ
B. クラウド・アーマー
C. クラウドエンドポイント
D. クラウドVPN
回答を見る
正解: D
質問 #43
ブートディスクのソースとして使用できるイメージを制限したい。これらのイメージは専用のプロジェクトに保存されます。
A. 組織ポリシーサービスを使用して、組織レベルでcompute
B. 組織ポリシーサービスを使用して、組織レベルでcompute
C. リソースマネージャで、信頼済みプロジェクトのプロジェクト権限を編集する。ロールを持つメンバーとして組織を追加します:計算イメージユーザー。
D. リソースマネージャで、組織権限を編集する。ロールを持つメンバーとしてプロジェクトIDを追加する:計算イメージユーザー。
回答を見る
正解: B
質問 #44
既存のVPCサービスコントロールの境界を新しいアクセスレベルで更新したい。この変更で既存の境界が壊れるのを避け、オーバーヘッドを最小限に抑えながら、ユーザーへの混乱を最小限に抑える必要があります。どうすればよいでしょうか。
A. 既存の境界の完全なレプリカを作成する。そのレプリカに新しいアクセス・レベルを追加する。アクセス・レベルの検証後、元の境界を更新する。
B. 決して一致しない新しいアクセスレベルで境界を更新する。過度に寛容にならないように、新しいアクセスレベルを1つずつ希望する状態に一致するように更新する。
C. 境界でドライランモードを有効にする。新しいアクセス・レベルを境界構成に追加する。アクセス・レベルの検証後、境界構成を更新する。
D. 境界でドライ・ラン・モードを有効にする。新しいアクセス・レベルを境界のドライラン構成に追加する。アクセス・レベルの検証後、境界構成を更新する。
回答を見る
正解: D
質問 #45
あなたは、Compute Engine上で実行されるアプリケーションから機密設定データを保存し、取得するためのソリューションを推奨するよう求められています。どのオプションを推奨しますか?
A. クラウド鍵管理サービス
B. コンピュートエンジンのゲスト属性
C. Compute Engineカスタムメタデータ
D. シークレット・マネージャー
回答を見る
正解: A
質問 #46
あなたの組織は新しいワークロードを取得しました。Webサーバーとアプリケーション(App)サーバーは、新しく作成されたカスタムVPC内のCompute Engine上で実行されます。あなたは、次の要件を満たすセキュアなネットワーク通信ソリューションを構成する責任があります。
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: A
質問 #47
貴社はSparkとHadoopのジョブにCloud Dataprocを使用しています。あなたはCloud Dataprocで使用される永続ディスクに使用される対称暗号化キーを作成、ローテート、破棄できるようにしたい。キーはクラウドに保存できます。
A. 組織のVPCネットワークと、VPCのファイアウォールルールによって制御されるサードパーティーのネットワークとの間に、クラウドVPN接続を構成します。
B. 組織のVPCネットワークと、VPCファイアウォールルールによって制御されるサードパーティーのVPCピアリング接続を構成する。
C. コンピュートエンジンインスタンスの周囲にVPCサービスコントロールの境界を構成し、アクセスレベルを介してサードパーティにアクセスを提供します。
D. ComputeEngineがホストするアプリケーションをAPIとして公開するApigeeプロキシを構成し、TLSで暗号化する。
回答を見る
正解: A
質問 #48
ある企業がデータ/センター全体をGoogle Cloud Platformに移行した。異なる部署が管理する複数のプロジェクトで数千のインスタンスが稼働しています。どの時点でGoogle Cloud Platformで何が実行されていたかの履歴を持ちたい。
A. Googleサポートに連絡し、新しいCloud Identityドメインでドメイン名を使用するためのドメイン争奪プロセスを開始する。
B. 新しいドメイン名を登録し、新しい Cloud Identity ドメインに使用する。
C. データサイエンス・マネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするようGoogleに依頼する。
D. 顧客の管理者に、Googleのマネージドサービスの他の用途を発見するよう依頼し、既存のスーパー管理者と連携する。
回答を見る
正解: B
質問 #49
PCI コンプライアンスのために GCP を評価する必要があります。Google固有のコントロールを特定する必要があります。この情報を見つけるには、どの文書を確認する必要がありますか?
A. Google Cloud Platform:顧客責任マトリックス
B. PCI DSS 要件およびセキュリティ評価手順
C. PCI SSC クラウド・コンピューティング・ガイドライン
D. Compute Engineの製品ドキュメント
回答を見る
正解: A
質問 #50
組織のオンプレミスネットワークを、ProductionとNon-Productionという2つのサブネットを持つ1つのShared VPCを含む既存のGoogle Cloud環境に接続する必要があります。オンプレミス環境からプライベートAPIエンドポイントを経由してGoogle Cloud APIにアクセスするように設定します。Google Cloud APIがVPCサービスコントロール経由でのみ使用されるようにします。
A. VPCフローログの設定と監視
B. XSS攻撃とSQLi攻撃からの防御
C. ゲストOSの最新のアップデートとセキュリティパッチを管理する
D. すべての保存データを暗号化する
回答を見る
正解: C
質問 #51
プロジェクト内のCompute Engineインスタンスを一覧できるように、新しいサービスアカウントを作成します。Googleが推奨するプラクティスに従ってください。
A. 組織レベルでリソースマネージャーを使用する。
B. Forseti Securityを使用して、インベントリのスナップショットを自動化します。
C. Stackdriverを使用して、すべてのプロジェクトにまたがるダッシュボードを作成する。
D. セキュリティコマンドセンターを使用して、組織全体のすべての資産を表示する。
回答を見る
正解: B
質問 #52
機密データを保護し、非機密データの鍵管理の複雑さを軽減するアットレスト暗号化戦略を実装する必要があります。機密データの暗号鍵をどの領域に保存するかを制御する。機密データおよび非機密データの暗号化キーへのアクセス待ち時間を最小限に抑える。
A. クラウド外部キーマネージャを使用して、非機密データと機密データを暗号化する。
B. 非機密データと機密データをクラウド鍵管理サービスで暗号化する。
C. 非機密データはGoogleデフォルトの暗号化で暗号化し、機密データはCloud External Key Managerで暗号化する。
D. 機密性のないデータはGoogleデフォルトの暗号化で暗号化し、機密性の高いデータはクラウド鍵管理サービスで暗号化する。
回答を見る
正解: B
質問 #53
VPCサービスコントロールを有効にして、リソースへのアクセスを妨げることなく、既存環境の境界の変更を許可する必要があります。どのVPCサービスコントロールモードを使用すべきですか?
A. GSuiteで全ユーザーに2要素認証を強制する。
B. Appエンジンアプリケーション用にCloud Identity-Aware Proxyを構成する。
C. GSuiteパスワード同期を使用してユーザーパスワードをプロビジョニングする。
D. プライベートネットワークとGCPの間にクラウドVPNを構成する。
回答を見る
正解: D
質問 #54
クラウドデータ損失防止(DLP)APIの導入が社内で進むにつれ、コスト削減のために利用を最適化する必要があります。DLPの対象データはクラウドストレージとBigQueryに保存されています。場所と地域はリソース名の接尾辞として識別されます。どのコスト削減オプションを推奨すべきですか?
A. 米国外でホストされているBigQueryデータには適切なrowsLimit値を設定し、マルチリージョンのCloud Storageバケットには適切なbytesLimitPerFile値を設定します。
B. 米国外でホストされているBigQueryデータに適切なrowsLimit値を設定し、マルチリージョンのCloud Storageバケットで変換単位を最小化する。
C. rowsLimitとbytesLimitPerFileを使用してデータをサンプリングし、CloudStorageRegexFileSetを使用してスキャンを制限します。
D. FindingLimitsとTimespanContfigを使ってデータをサンプリングし、変換単位を最小化する。
回答を見る
正解: C
質問 #55
あなたは会社のセキュリティ管理者であり、Google Cloudのアクセス制御(識別、認証、承認)の管理を担当しています。認証と認可を設定する際に従うべきGoogle推奨のベストプラクティスはどれですか?(2つ選んでください)
A. クラウド外部キーマネージャを使用して、非機密データと機密データを暗号化する。
B. クラウド鍵管理サービスで非機密データと機密データを暗号化する
C. 非機密データはGoogleデフォルトの暗号化で暗号化し、機密データはCloud External Key Managerで暗号化する。
D. 機密性のないデータはGoogleデフォルトの暗号化で暗号化し、機密性の高いデータはクラウド鍵管理サービスで暗号化する。
回答を見る
正解: DE
質問 #56
ある組織では、フィッシングメールの受信数が増加している。このような状況で従業員の認証情報を保護するために使用すべき方法はどれか。
A. 多要素認証
B. 厳格なパスワードポリシー
C. ログインページのCaptcha
D. 暗号化された電子メール
回答を見る
正解: D
質問 #57
あなたは会社のために新しいGoogle Cloud組織を作成する担当者です。スーパー管理者アカウントを作成する際に取るべき2つのアクションはどれですか?(2つ選んでください)
A. クラウドラン
B. ネイティブ
C. 強制
D. ドライ・ラン
回答を見る
正解: AC
質問 #58
オンプレミス環境からBigQueryデータセットへの日々のETLプロセスで、個人を特定できる機密情報(PII)がGoogle Cloud環境に取り込まれていることがわかりました。このデータを冗長化してPIIを難読化する必要がありますが、データ分析の目的で再識別化する必要があります。ソリューションで使用するコンポーネントはどれですか?(2つ選んでください)。
A. クラウドVPN経由で継続的に更新するデータパイプラインジョブを使用したBigQuery
B. クラウドインターコネクト経由でスケジュールタスクとgsutilを使用したクラウドストレージ
C. クラウドインターコネクト経由で永続ディスクを使用するコンピュートエンジン仮想マシン
D. クラウドVPN経由で定期的にスケジュールされたバッチアップロードジョブを使用するクラウドデータストア
回答を見る
正解: DE
質問 #59
企業のユーザーアカウントでフィッシング攻撃が増加していることに気づきました。あなたは、暗号署名を使用してユーザーを認証し、ログインページのURLを検証するGoogle 2段階認証(2SV)オプションを実装したいと考えています。どのGoogle 2SVオプションを使うべきですか?
A. タイタン・セキュリティ・キー
B. グーグル・プロンプト
C. Google 認証アプリ
D. クラウドHSMキー
回答を見る
正解: C
質問 #60
あなたのチームは、本番プロジェクトで稼働しているCompute EngineインスタンスがパブリックIPアドレスを持っていないことを確認したいと考えています。フロントエンドアプリケーションのCompute EngineインスタンスはパブリックIPを必要とします。製品エンジニアは、リソースを変更するエディターロールを持っています。あなたのチームは、この要件を実施したいと考えています。あなたのチームは、これらの要件をどのように満たすべきですか?
A. 本番プロジェクトのVPCネットワークでプライベート・アクセスを有効にします。
B. Editor ロールを削除し、エンジニアに Compute Admin IAM ロールを付与する。
C. フロントエンドのCompute EngineインスタンスのパブリックIPのみを許可する組織ポリシーを設定します。
D. パブリックIPを持つサブネットとパブリックIPを持たないサブネットの2つのVPCネットワークを設定します。
回答を見る
正解: C
質問 #61
ある組織が、現在のオンプレミス生産性ソフトウェアシステムからG Suiteに移行しようとしている。以前のオンプレミスシステムでは、地域の規制機関によって義務付けられたネットワークセキュリティ管理が行われていた。同組織のリスクチームは、G Suite でもネットワーク・セキュリティ管理が維持され、有効であることを確認したいと考えている。この移行をサポートするセキュリティ・アーキテクトは、新しい共有責任の一部として、ネットワーク・セキュリティ管理が確実に実施されるように求められている。
A. ファイアウォールルールが必要なコントロールに適合していることを確認する。
B. クラウドアーマーを設定して、G Suiteのネットワークセキュリティ制御を管理できるようにする。
C. ネットワーク・セキュリティはビルトイン・ソリューションであり、G SuiteのようなSaaS製品にはGoogleのクラウド責任がある。
D. 仮想プライベートクラウド(VPC)ネットワークを構築し、関連規則に従ってネットワークセキュリティを管理する。
回答を見る
正解: C
質問 #62
あるDevOpsチームが、Google Kubernetes Engine上で実行する新しいコンテナを作成する。アプリケーションはインターネットに接続されるため、コンテナの攻撃対象領域を最小限に抑えたい。
A. Cloud Buildを使用してコンテナイメージを構築します。
B. 小さなベースイメージを使用して小さなコンテナを構築する。
C. コンテナレジストリから使用されていないバージョンを削除する。
D. 継続的デリバリーツールを使用してアプリケーションをデプロイする。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.