すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

包括的な準備のための最新のGoogle Professional Cloud Security Engineer試験問題

SPOTO の Google Professional Cloud Security Engineer 試験問題集は Google Cloud 上のワークロードとインフラのセキュリティを専門とする受験者に大きなメリットを提供します。試験の問題と解答、テスト問題と模擬試験を中心に、SPOTOは効果的な試験準備のための包括的なプラットフォームを提供します。クラウドセキュリティエンジニアとして、受験者はアイデンティティとアクセス管理、セキュリティポリシー、Google Cloudテクノロジーを使用したデータ保護、ネットワークセキュリティ、脅威の監視、セキュリティの自動化、AIセキュリティ、規制コンプライアンスに関する専門知識を身につけます。SPOTOの学習教材は、セキュリティのベストプラクティスと業界要件を網羅しており、受験者は自信を持って安全なソリューションを設計・実装できるようになります。SPOTOの試験リソースを活用することで、受験者はスキルと知識を高め、試験に合格する可能性を高め、クラウド環境における強固なセキュリティ実装に貢献することができます。
他のオンライン試験を受ける
質問 #1
ある企業がGoogle Kubernetes Engine上でウェブショップを運営しており、BigQueryで顧客トランザクションを分析したいと考えています。クレジットカード番号がBigQueryに保存されないようにする必要があります。
A. クレジットカード番号に一致する正規表現を使用してBigQueryビューを作成し、クエリを実行して該当する行を削除します。
B. データがBigQueryに取り込まれる前に、Cloud Data Loss Prevention APIを使用して関連するinfoTypeを再編集する。
C. セキュリティコマンドセンターを活用して、BigQueryでクレジットカード番号タイプの資産をスキャンする。
D. BigQueryにログを保存する前に、Cloud Identity-Aware Proxyを有効にしてクレジットカード番号をフィルタリングする。
回答を見る
正解: D
質問 #2
あなたのチームは、Compute EngineインスタンスがインターネットやGoogle APIやサービスにアクセスできないようにする必要があります。これらの要件を満たすために、無効にしなければならない2つの設定はどれですか?(2つ選んでください)
A. パブリックIP
B. IPフォワーディング
C. プライベート・グーグル・アクセス
D. 静的ルート
E. IAMネットワークユーザーの役割
回答を見る
正解: AC
質問 #3
ある企業は、アナリストと管理者の両方が共有するクラウドストレージのバケットに、アプリケーショ ンのログをバックアップしている。アナリストは、個人を特定できる情報(PII)を含まないログにのみアクセスできます。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。
A. Cloud Pub/SubとCloud Functionsを使用して、共有バケットにファイルがアップロードされるたびにData Loss Preventionスキャンをトリガーする。スキャンでPIIが検出された場合、管理者のみがアクセスできるクラウドストレージバケットに移動させる。
B. 共有バケットと管理者だけがアクセスできるバケットの両方にログをアップロードする。Cloud Data Loss Prevention APIを使用してジョブトリガーを作成します。PIIを含むファイルを共有バケットから削除するようにトリガーを設定します。
C. アナリストと管理者の両方で共有されているバケットで、PIIを含むオブジェクトを削除するようにオブジェクトのライフサイクル管理を設定します。
D. アナリストと管理者の両方で共有されているバケットに、PIIデータがアップロードされたときのみトリガーされるクラウドストレージトリガーを設定する。クラウド機能を使ってトリガーを捕捉し、そのようなファイルを削除する。
回答を見る
正解: C
質問 #4
顧客には 300 人のエンジニアがいます。同社は、開発環境プロジェクトと本番環境プロジェクトで、異なるレベルのアクセス権を付与し、ユーザー間のIAM権限を効率的に管理したいと考えています。これらの要件を満たすために、同社が取るべき2つの手順はどれですか?(2つ選んでください)
A. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyレベルでIAMパーミッションを管理する。
B. すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyRingレベルでIAMパーミッションを管理する。
C. 永続ディスクごとにKeyRingを作成し、各KeyRingに単一のKeyを含める。
D. 永続ディスクごとにKeyRingを作成し、各KeyRingに1つのKeyを含める。KeyRingレベルでIAMパーミッションを管理する。
回答を見る
正解: BC
質問 #5
ある顧客がGoogle Cloud Platform(GCP)上で分析ワークロードを実行しており、Compute EngineインスタンスがCloud Storageに保存されたデータにアクセスしています。あなたのチームは、このワークロードがインターネットにアクセスしたり、インターネットからアクセスされたりしないようにしたいと考えています。(2つ選んでください)。
A. クラスタ専用のCloud Identityユーザーアカウントを作成する。強力なセルフホスト型データ保管庫ソリューションを使用して、ユーザーの一時的な資格情報を保管する。
B. クラスター専用のCloud Identityユーザーアカウントを作成する。プロジェクトレベルで constraints/iam
C. クラスタ用のカスタムサービスアカウントを作成する プロジェクトレベルでconstraints/iam
D. Create a custom service account for cluster constraints/iam
回答を見る
正解: BE
質問 #6
コンプライアンス上の理由から、組織はスコープ内の PCI Kubernetes Pod がスコープ内のノードにのみ存在するようにする必要があります。これらのノードは「範囲内」のPodのみを含むことができます。
A. ポッド構成にnodeSelectorフィールドを追加し、inscope: trueとラベル付けされたノードのみを使用するようにします。
B. ラベル「inscope: true」を持つノード・プールと、そのラベルを持つノード上でのみPodの実行を許可するPodセキュリティ・ポリシーを作成します。
C. ラベルinscope: true、エフェクトNoSchedule、Pod設定に一致する許容値を持つNodeにテイントを配置します。
D. 名前空間 ?€in-scope-pci?€ 内のすべてのスコープ内 Pod を実行します。
回答を見る
正解: C
質問 #7
あるデータベース管理者が、Cloud SQLインスタンス内で悪意のあるアクティビティが行われていることに気づきました。データベース管理者は、リソースの構成またはメタデータを読み取る API 呼び出しを監視したいと考えています。データベース管理者はどのログを確認すべきですか?
A. 管理者活動
B. システムイベント
C. アクセスの透明性
D. データ・アクセス
回答を見る
正解: C
質問 #8
ある顧客は、ソースコード管理(SCM)システムにプレーンテキストの秘密を保存する代わりに、Google Cloud Platformを使用する必要があります。
A. クラウドソースリポジトリを使用し、クラウドSQLに秘密を保存する。
B. 顧客管理暗号鍵(CMEK)で秘密を暗号化し、クラウドストレージに保管する。
C. クラウドデータ損失防止APIを実行して秘密をスキャンし、クラウドSQLに保存する。
D. ローカルSSDを搭載したCompute Engine VMにSCMをデプロイし、プリエンプティブVMを有効にします。
回答を見る
正解: B
質問 #9
あなたの会社の新しい CEO は最近、会社の 2 つの部門を売却しました。あなたの会社の取締役は、これらの部門に関連する Google Cloud プロジェクトを新しい組織ノードに移行する手助けをするようあなたに依頼しました。この移行を行う前に必要な準備手順はどれですか。(2つ選んでください)。
A. 組織ポリシーでドメイン制限共有を有効にし、クラウドストレージバケットでバケットレベルの統一アクセスを有効にする。
B. VPCサービスコントロールを有効にし、プロジェクトAの周囲に境界を作成し、サービス境界構成にクラウドストレージAPIを含めます。
C. プロジェクトAとBの両方のネットワークで、ネットワーク間の通信を許可する厳格なファイアウォールルールでプライベートアクセスを有効にする。
D. プロジェクトAとBのネットワーク間でVPCピアリングを有効にし、ネットワーク間の通信を許可する厳格なファイアウォールルールを設定する。
回答を見る
正解: BE
質問 #10
ある企業がGoogle Kubernetes Engine上でウェブショップを運営しており、BigQueryで顧客トランザクションを分析したいと考えています。クレジットカード番号がBigQueryに保存されないようにする必要があります。
A. クレジットカード番号に一致する正規表現を使用してBigQueryビューを作成し、クエリを実行して該当する行を削除します。
B. データがBigQueryに取り込まれる前に、Cloud Data Loss Prevention APIを使用して関連するinfoTypeを再編集する。
C. セキュリティコマンドセンターを活用して、BigQueryでクレジットカード番号タイプの資産をスキャンする。
D. BigQueryにログを保存する前に、Cloud Identity-Aware Proxyを有効にしてクレジットカード番号をフィルタリングする。
回答を見る
正解: D
質問 #11
ある企業がデータ/センター全体をGoogle Cloud Platformに移行した。異なる部署が管理する複数のプロジェクトで数千のインスタンスが稼働しています。どの時点でGoogle Cloud Platformで何が実行されていたかの履歴を持ちたい。
A. Googleサポートに連絡し、新しいCloud Identityドメインでドメイン名を使用するためのドメイン争奪プロセスを開始する。
B. 新しいドメイン名を登録し、新しい Cloud Identity ドメインに使用する。
C. データサイエンス・マネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするようGoogleに依頼する。
D. 顧客の管理者に、Googleのマネージドサービスの他の用途を発見するよう依頼し、既存のスーパー管理者と連携する。
回答を見る
正解: B
質問 #12
ある顧客は、ソースコード管理(SCM)システムにプレーンテキストの秘密を保存する代わりに、Google Cloud Platformを使用する必要があります。
A. クラウドソースリポジトリを使用し、クラウドSQLに秘密を保存する。
B. 顧客管理暗号鍵(CMEK)で秘密を暗号化し、クラウドストレージに保管する。
C. クラウドデータ損失防止APIを実行して秘密をスキャンし、クラウドSQLに保存する。
D. ローカルSSDを搭載したCompute Engine VMにSCMをデプロイし、プリエンプティブVMを有効にします。
回答を見る
正解: B
質問 #13
あなたは会社のセキュリティ管理者です。クラウドストレージのバケットに3,000のオブジェクトがあります。あなたは各オブジェクトへのアクセスを個別に管理したくありません。また、オブジェクトのアップロード者が常にオブジェクトを完全にコントロールできるようにしたくありません。しかし、クラウド監査ログを使ってバケットへのアクセスを管理したい。
A. allUsersのスコープにOWNER権限を持つACLを設定する。
B. allUsersのスコープにREADER権限を持つACLを設定する。
C. デフォルトのバケットACLを設定し、IAMを使用してユーザーのアクセスを管理する。
D. クラウドストレージバケットにバケットレベルの統一アクセスを設定し、IAMを使用してユーザーのアクセスを管理する。
回答を見る
正解: A
質問 #14
あなたの会社では、セキュリティ・チームとネットワーク・エンジニアリング・チームが、VPC内およびVPC間のすべてのネットワーク異常、VMからVMへの内部トラフィック、インターネット上のエンド・ロケーションとVM間のトラフィック、VMから本番のGoogle Cloudサービスへのトラフィックを特定する必要があります。どの方法を使うべきか?
A. 組織ポリシーの制約を定義する
B. パケットミラーリングポリシーを設定します。
C. サブネット上でVPCフローログを有効にします。
D. クラウド監査ログの監視と分析
回答を見る
正解: C
質問 #15
ある顧客は、Google Cloud Platform (GCP)上でホストされているCRMのWebインターフェースに、モバイル従業員がアクセスできるようにしたいと考えています。このCRMには、企業ネットワーク上の人しかアクセスできません。顧客はインターネット経由で利用できるようにしたいと考えています。あなたのチームは、アプリケーションの前に2要素認証をサポートする認証レイヤーを必要としています。これらの要件を満たすために、顧客はどのGCP製品を導入すべきでしょうか。
A. クラウド・アイデンティティ・アウェア・プロキシ
B. クラウド・アーマー
C. クラウドエンドポイント
D. クラウドVPN
回答を見る
正解: A
質問 #16
クラウドデータ損失防止(DLP)APIの導入が社内で進むにつれ、コスト削減のために利用を最適化する必要があります。DLPの対象データはクラウドストレージとBigQueryに保存されています。場所と地域はリソース名の接尾辞として識別されます。どのコスト削減オプションを推奨すべきですか?
A. 米国外でホストされているBigQueryデータには適切なrowsLimit値を設定し、マルチリージョンのCloud Storageバケットには適切なbytesLimitPerFile値を設定します。
B. 米国外でホストされているBigQueryデータに適切なrowsLimit値を設定し、マルチリージョンのCloud Storageバケットで変換単位を最小化する。
C. rowsLimitとbytesLimitPerFileを使用してデータをサンプリングし、CloudStorageRegexFileSetを使用してスキャンを制限します。
D. FindingLimitsとTimespanContfigを使ってデータをサンプリングし、変換単位を最小化する。
回答を見る
正解: C
質問 #17
チームは、オンプレミスのActive DirectoryサービスからGCP IAM権限を一元管理したいと考えています。ADのグループメンバーシップによって権限を管理したいと考えています。これらの要件を満たすために、チームは何をすべきでしょうか。
A. グループを同期するようにCloud Directory Syncを設定し、グループにIAM権限を設定します。
B. SAML2
C. Cloud Identity and Access Management APIを使用して、Active DirectoryからグループとIAM権限を作成する。
D. 管理者SDKを使用して、Active Directoryからグループを作成し、IAM権限を割り当てる。
回答を見る
正解: B
質問 #18
あなたの会社のクラウドセキュリティポリシーでは、VMインスタンスは外部IPアドレスを持ってはいけないことになっています。外部IPアドレスを持たないVMインスタンスがインターネットに接続してVMを更新できるようにするGoogle Cloudサービスを特定する必要があります。
A. アイデンティティ・アウェア・プロキシ
B. クラウドNAT
C. TCP/UDPロードバランシング
D. クラウドDNS
回答を見る
正解: B
質問 #19
あなたは会社のために新しいGoogle Cloud組織を作成する担当者です。スーパー管理者アカウントを作成する際に取るべき2つのアクションはどれですか?(2つ選んでください)
A. クラウドラン
B. ネイティブ
C. 強制
D. ドライ・ラン
回答を見る
正解: AC
質問 #20
コンプライアンス上の理由から、組織はスコープ内のPCI Kubernetes Podsが「スコープ内」のNodeのみに存在することを保証する必要があります。これらのノードは「範囲内」のPodのみを含むことができます。組織はこの目的をどのように達成すべきでしょうか?
A. ポッド構成にnodeSelectorフィールドを追加し、inscope:trueとラベル付けされたノードのみを使用するようにします。
B. ラベル「inscope: true」を持つノードプールと、そのラベルを持つノード上でのみPodの実行を許可するPodセキュリティポリシーを作成します。
C. ラベルinscope: true、エフェクトNoSchedule、Podコンフィギュレーションで一致する許容度を持つNodeにテイントを配置する。
D. 名前空間 "in-scope-pci "内のすべてのスコープ内Podを実行する。
回答を見る
正解: C
質問 #21
あなたは、Google Cloudへのデータ移行を計画している顧客と仕事をしています。あなたは、暗号化された鍵を管理する暗号化サービスを推奨する責任があります。マスターキーは、少なくとも45日に1回ローテーションされる必要があります。マスターキーを保管するソリューションは、FIPS 140-2 レベル 3 の認証を受けていること。マスターキーは、冗長性のために米国内の複数の地域に保管されなければならない。これらの要件を満たすソリューションはどれか。
A. クラウド鍵管理サービスによる顧客管理暗号鍵
B. クラウドHSMによる顧客管理暗号鍵
C. 顧客提供の暗号化キー
D. Googleが管理する暗号鍵
回答を見る
正解: D
質問 #22
ある企業が、インフラをオンプレミス環境からGoogle Cloud Platform(GCP)に移行し始めている。この組織が最初に取りかかりたいのは、継続的なデータバックアップとディザスタリカバリソリューションをGCPに移行することです。オンプレミスの本番環境は、GCPへの移行の次の段階となる。オンプレミス環境とGCPの間の安定したネットワーク接続も実装されています。
A. クラウドVPN経由の継続的な更新を伴うデータパイプラインジョブを使用したBigQuery
B. クラウドインターコネクト経由のスケジュールタスクとgsutilを使ったクラウドストレージ
C. クラウド・インターコネクト経由で永続ディスクを使用するコンピュート・エンジン仮想マシン
D. クラウドVPN経由で定期的にバッチ・アップロード・ジョブを使用するクラウド・データストア
回答を見る
正解: B
質問 #23
あるマネージャが、コストを最小限に抑えながら、セキュリティ・イベント・ログを2年間保持し始めたいと考えています。あなたは、適切なログエントリを選択するフィルタを作成します。
A. BigQueryデータセット
B. クラウドストレージバケット
C. スタックドライバーのロギング
D. クラウドPub/Subトピック
回答を見る
正解: C
質問 #24
あるマネージャが、コストを最小限に抑えながら、セキュリティ・イベント・ログを2年間保持し始めたいと考えています。あなたは、適切なログエントリを選択するフィルタを作成します。
A. BigQueryデータセット
B. クラウドストレージのバケット
C. スタックドライバーのロギング
D. クラウドパブ/サブトピック
回答を見る
正解: B
質問 #25
セキュアなコンテナイメージを作成するとき、可能であれば、どの2つの項目をビルドに組み込むべきですか?(2つ選んでください)。
A. アプリがPID 1として実行されていないことを確認してください。
B. 単一のアプリをコンテナとしてパッケージ化する。
C. アプリに不要なツールを削除する。
D. 公開コンテナイメージをアプリのベースイメージとして使用する。
E. 機密情報を隠すために、多くのコンテナ画像レイヤーを使用する。
回答を見る
正解: BC
質問 #26
ある企業は、アナリストと管理者の両方が共有するクラウドストレージのバケットに、アプリケーショ ンのログをバックアップしている。アナリストは、個人を特定できる情報(PII)を含まないログにのみアクセスできます。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。
A. Cloud Pub/SubとCloud Functionsを使用して、共有バケットにファイルがアップロードされるたびにData Loss Preventionスキャンをトリガーする。スキャンでPIIが検出された場合、管理者のみがアクセス可能なクラウドストレージバケットに移動させる。
B. 共有バケットと管理者だけがアクセスできるバケットの両方にログをアップロードする。Cloud Data Loss Prevention API を使用してジョブトリガーを作成します。PIIを含むファイルを共有バケットから削除するようにトリガーを設定します。
C. アナリストと管理者の両方が共有するバケットで、PIIを含むオブジェクトを削除するようにオブジェクト・ライフサイクル管理を構成する。
D. アナリストと管理者の両方が共有するバケットに、PII データがアップロードされたときのみトリガーされるクラウドストレージトリガーを設定する。Cloud Functions を使ってトリガーを捕捉し、そのようなファイルを削除する。
回答を見る
正解: C
質問 #27
組織のCloud Storageバケットで、インターネットにデータを公開できないようにしたい。これをすべてのCloud Storageバケットに適用したい。
A. エンドユーザーから所有者ロールを削除し、クラウドデータ損失防止を構成します。
B. エンドユーザーから所有者ロールを削除し、組織ポリシーでドメイン制限共有を実施する。
C. 組織ポリシーで、バケツレベルの統一アクセスを設定し、ドメイン制限共有を実施する。
D. すべてのロールから*
回答を見る
正解: C
質問 #28
チームは、オンプレミスのActive DirectoryサービスからGCP IAM権限を一元管理したいと考えています。ADのグループメンバーシップによって権限を管理したいと考えています。これらの要件を満たすために、チームは何をすべきでしょうか。
A. グループを同期するようにCloud Directory Syncを設定し、グループにIAM権限を設定します。
B. SAML2
C. Cloud Identity and Access Management APIを使用して、Active DirectoryからグループとIAM権限を作成する。
D. 管理者SDKを使用して、Active Directoryからグループを作成し、IAM権限を割り当てる。
回答を見る
正解: B
質問 #29
ある顧客は、ソースコード管理(SCM)システムにプレーンテキストの秘密を保存する代わりに、Google Cloud Platformを使用する必要があります。
A. クラウドソースリポジトリを使用し、クラウドSQLに秘密を保存する。
B. 顧客管理暗号鍵(CMEK)で秘密を暗号化し、クラウドストレージに保管する。
C. クラウドデータ損失防止APIを実行して秘密をスキャンし、クラウドSQLに保存する。
D. ローカルSSDを搭載したCompute Engine VMにSCMをデプロイし、プリエンプティブVMを有効にします。
回答を見る
正解: B
質問 #30
貴社はSparkとHadoopのジョブにCloud Dataprocを使用しています。あなたはCloud Dataprocで使用される永続ディスクに使用される対称暗号化キーを作成、ローテート、破棄できるようにしたい。キーはクラウドに保存できます。
A. 組織のVPCネットワークと、VPCのファイアウォールルールによって制御されるサードパーティーのネットワークとの間に、クラウドVPN接続を構成します。
B. 組織のVPCネットワークと、VPCファイアウォールルールによって制御されるサードパーティーのVPCピアリング接続を構成する。
C. コンピュートエンジンインスタンスの周囲にVPCサービスコントロールの境界を構成し、アクセスレベルを介してサードパーティにアクセスを提供します。
D. ComputeEngineがホストするアプリケーションをAPIとして公開するApigeeプロキシを構成し、TLSで暗号化する。
回答を見る
正解: A
質問 #31
あなたの会社では、セキュリティ・チームとネットワーク・エンジニアリング・チームが、VPC内およびVPC間のすべてのネットワーク異常、VMからVMへの内部トラフィック、インターネット上のエンド・ロケーションとVM間のトラフィック、VMから本番のGoogle Cloudサービスへのトラフィックを特定する必要があります。どの方法を使うべきか?
A. 組織ポリシーの制約を定義する
B. パケットミラーリングポリシーを設定します。
C. サブネット上でVPCフローログを有効にします。
D. クラウド監査ログの監視と分析
回答を見る
正解: C
質問 #32
新しいサービスアカウントを作成し、プロジェクト内のCompute Engineインスタンスを一覧できるようにします。Googleが推奨するプラクティスに従ってください。
A. 組織レベルでリソースマネージャーを使用する。
B. Forseti Securityを使用して、インベントリのスナップショットを自動化します。
C. Stackdriverを使用して、すべてのプロジェクトにまたがるダッシュボードを作成する。
D. セキュリティコマンドセンターを使用して、組織全体のすべての資産を表示する。
回答を見る
正解: B
質問 #33
あなたは会社のセキュリティ管理者です。LDAPディレクトリからメールアドレスを持つすべてのセキュリティグループをCloud IAMに同期したい。
A. ポリシートラブルシューター
B. ポリシーアナライザー
C. IAMレコメンダー
D. ポリシー・シミュレーター
回答を見る
正解: A
質問 #34
フロントエンドがサブネットAのマネージドインスタンスグループにデプロイされ、データレイヤーが同じVPC上のサブネットBにあるmysql Compute Engine仮想マシン(VM)に保存されているアプリケーションがあります。サブネットAとサブネットBには、他にもいくつかのCompute Engine VMがあります。アプリケーションのフロントエンドだけがポート3306でアプリケーションのmysqlインスタンス内のデータにアクセスできるようにしたい。
A. サブネットAのsrc IPレンジから、ポート3306でmysql Compute Engine VMに適用されるタグ「data-tag」への通信を許可するイングレス・ファイアウォール・ルールを構成する。
B. ポート3306で、フロントエンドのuniqueserviceアカウントからmysql Compute Engine VMのunique serviceアカウントへの通信を許可するイングレスファイアウォールルールを構成する。
C. ネットワークタグ「fe-tag」をサブネットAのすべてのインスタンスに適用し、ネットワークタグ「data-tag」をサブネットBのすべてのインスタンスに適用します。
D. ネットワークタグ「fe-tag」をサブネットAのすべてのインスタンスに適用し、ネットワークタグ「data-tag」をサブネットBのすべてのインスタンスに適用します。
回答を見る
正解: B
質問 #35
組織のCloud Storageバケットで、インターネットにデータを公開できないようにしたい。これをすべてのCloud Storageバケットに適用したい。
A. エンドユーザーから所有者ロールを削除し、クラウドデータ損失防止を構成します。
B. エンドユーザーから所有者ロールを削除し、組織ポリシーでドメイン制限共有を実施する。
C. 組織ポリシーで、バケツレベルの統一アクセスを設定し、ドメイン制限共有を実施する。
D. すべてのロールから*
回答を見る
正解: C
質問 #36
あなたの会社の新しい CEO は最近、会社の 2 つの部門を売却しました。あなたの会社の取締役は、これらの部門に関連する Google Cloud プロジェクトを新しい組織ノードに移行する手助けをするようあなたに依頼しました。この移行を行う前に必要な準備手順はどれですか。(2つ選んでください)。
A. 組織ポリシーでドメイン制限共有を有効にし、クラウドストレージバケットでバケットレベルの統一アクセスを有効にする。
B. VPCサービスコントロールを有効にし、プロジェクトAの周囲に境界を作成し、サービス境界構成にクラウドストレージAPIを含めます。
C. プロジェクトAとBの両方のネットワークで、ネットワーク間の通信を許可する厳格なファイアウォールルールでプライベートアクセスを有効にする。
D. プロジェクトAとBのネットワーク間でVPCピアリングを有効にし、ネットワーク間の通信を許可する厳格なファイアウォールルールを設定する。
回答を見る
正解: BE
質問 #37
あなたのチームは、インターネットへのすべてのトラフィックを拒否する(優先度1000)ためのイグレスファイアウォールルールを作成しました。
A. 優先度1000以上のリポジトリのCIDR範囲へのトラフィックを許可するイグレスファイアウォールルールを作成します。
B. 優先度1000未満のリポジトリのCIDR範囲へのトラフィックを許可するように、イグレスファイアウォールルールを作成します。
C. 優先度が 1000 より大きいリポジトリのホスト名へのトラフィックを許可するために、イグレスファイアウォールルールを作成します。
D. 優先度が 1000 未満のリポジトリのホスト名へのトラフィックを許可するために、イグレスファイアウォールルールを作成します。
回答を見る
正解: C
質問 #38
アプリケーションは、ビルド時や実行時に、機密データの小片である「シークレット」へのアクセスを必要とすることがよくあります。GCP上でこれらのシークレットを管理する管理者は、GCPプロジェクト内で「誰が、いつ、どこで、何をしたか」を追跡したいと考えています。(2つ選んでください)
A. インスタンステンプレートを作成し、コンピュートエンジンのアクセススコープに対してサービスアカウントの読み取り専用アクセスを許可します。
B. compute
C. サービスアカウントにCompute Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
D. サービスアカウントにProject Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
回答を見る
正解: AC
質問 #39
あなたの会社のクラウドセキュリティポリシーでは、VMインスタンスは外部IPアドレスを持ってはいけないことになっています。外部IPアドレスを持たないVMインスタンスがインターネットに接続してVMを更新できるようにするGoogle Cloudサービスを特定する必要があります。
A. アイデンティティ・アウェア・プロキシ
B. クラウドNAT
C. TCP/UDPロードバランシング
D. クラウドDNS
回答を見る
正解: B
質問 #40
あるDevOpsチームが、Google Kubernetes Engine上で実行する新しいコンテナを作成する。アプリケーションはインターネットに接続されるため、コンテナの攻撃対象領域を最小限に抑えたい。
A. Cloud Buildを使用してコンテナイメージを構築します。
B. 小さなベースイメージを使用して小さなコンテナを構築する。
C. コンテナレジストリから使用されていないバージョンを削除する。
D. 継続的デリバリーツールを使用してアプリケーションをデプロイする。
回答を見る
正解: D
質問 #41
ある小売業の顧客が、ユーザーがコメントや商品レビューをアップロードできるようにしています。この顧客は、コメントやレビューが公開される前に、テキストに機密データが含まれていないことを確認する必要があります。これを実現するには、どのGoogleクラウドサービスを使用する必要がありますか?
A. クラウド鍵管理サービス
B. クラウドデータ損失防止API
C. ビッグクエリ
D. クラウドセキュリティスキャナ
回答を見る
正解: B
質問 #42
オンプレミス環境からBigQueryデータセットへの日々のETLプロセスで、個人を特定できる機密情報(PII)がGoogle Cloud環境に取り込まれていることがわかりました。このデータを冗長化してPIIを難読化する必要がありますが、データ分析の目的で再識別化する必要があります。ソリューションで使用するコンポーネントはどれですか?(2つ選んでください)。
A. クラウドVPN経由で継続的に更新するデータパイプラインジョブを使用したBigQuery
B. クラウドインターコネクト経由でスケジュールタスクとgsutilを使用したクラウドストレージ
C. クラウドインターコネクト経由で永続ディスクを使用するコンピュートエンジン仮想マシン
D. クラウドVPN経由で定期的にスケジュールされたバッチアップロードジョブを使用するクラウドデータストア
回答を見る
正解: DE
質問 #43
ある企業が、インフラをオンプレミス環境からGoogle Cloud Platform(GCP)に移行し始めている。この組織が最初に取りかかりたいのは、継続的なデータバックアップとディザスタリカバリソリューションをGCPに移行することです。オンプレミスの本番環境は、GCPへの移行の次の段階となる。オンプレミス環境とGCPの間の安定したネットワーク接続も実装されています。
A. クラウドストレージのバケットを作成し、EUROPE-WEST1リージョンにログを保存します。アプリケーションコードを変更して、ログをバケットに直接送信し、効率を高めます。
B. Googleクラウドの運用スイートCloud Loggingエージェントを使用して、アプリケーションログをEUROPE- WEST1リージョンのカスタムログバケットに送信するように、Compute Engineインスタンスを構成します。
C. Pub/Subトピックを使用して、アプリケーションログをEUROPE-WEST1リージョンのCloud Storageバケットに転送します。
D. EUROPE-WEST1リージョンのGoogle Cloudのオペレーションスイートのログバケットに12年間のカスタム保存ポリシーを設定します。
回答を見る
正解: A
質問 #44
フロントエンドがサブネットAのマネージドインスタンスグループにデプロイされ、データレイヤーが同じVPC上のサブネットBにあるmysql Compute Engine仮想マシン(VM)に保存されているアプリケーションがあります。サブネットAとサブネットBには、他にもいくつかのCompute Engine VMがあります。アプリケーションのフロントエンドだけがポート3306でアプリケーションのmysqlインスタンス内のデータにアクセスできるようにしたい。
A. サブネットAのsrc IPレンジから、ポート3306でmysql Compute Engine VMに適用されるタグ「data-tag」への通信を許可するイングレス・ファイアウォール・ルールを構成する。
B. ポート3306で、フロントエンドのuniqueserviceアカウントからmysql Compute Engine VMのunique serviceアカウントへの通信を許可するイングレスファイアウォールルールを構成する。
C. ネットワークタグ「fe-tag」をサブネットAのすべてのインスタンスに適用し、ネットワークタグ「data-tag」をサブネットBのすべてのインスタンスに適用します。
D. ネットワークタグ「fe-tag」をサブネットAのすべてのインスタンスに適用し、ネットワークタグ「data-tag」をサブネットBのすべてのインスタンスに適用します。
回答を見る
正解: B
質問 #45
機密データを保護し、非機密データの鍵管理の複雑さを軽減するアットレスト暗号化戦略を実装する必要があります。機密データの暗号鍵をどの領域に保存するかを制御する。機密データおよび非機密データの暗号化キーへのアクセス待ち時間を最小限に抑える。
A. クラウド外部キーマネージャを使用して、非機密データと機密データを暗号化する。
B. 非機密データと機密データをクラウド鍵管理サービスで暗号化する。
C. 非機密データはGoogleデフォルトの暗号化で暗号化し、機密データはCloud External Key Managerで暗号化する。
D. 機密性のないデータはGoogleデフォルトの暗号化で暗号化し、機密性の高いデータはクラウド鍵管理サービスで暗号化する。
回答を見る
正解: B
質問 #46
あなたの会社は、現在us-central-1のGoogle Cloudロードバランサーの後ろにデプロイされ、Standard Tierネットワークを使用するように構成されているアプリケーションインスタンスグループを運営しています。インフラチームは、2つ目の Google Cloud リージョンである us- east-2 に拡張したいと考えています。両方のリージョンのインスタンスグループに新しいリクエストを配布するために、単一の外部IPアドレスを設定する必要があります。
A. ロードバランサーのバックエンドの設定を、インスタンスグループの代わりにネットワークエンドポイントグループを使うように変更する。
B. ロードバランサーのフロントエンド構成をプレミアム層のネットワークを使用するように変更し、新しいインスタンスグループを追加する。
C. 標準層のネットワークを使用してus-east-2に新しいロードバランサーを作成し、静的な外部IPアドレスを割り当てます。
D. 2つの地域間でクラウドVPN接続を作成し、Googleプライベートアクセスを有効にします。
回答を見る
正解: A
質問 #47
あなたは、各ビジネスユニットが数千人のユーザーを抱える大規模な組織に勤務しています。各ビジネスユニットにアクセス制御権限の管理を委任する必要があります。各ビジネスユニットが、各自のプロジェクトのアクセス制御を管理する。各ビジネスユニットが、アクセス制御の権限を大規模に管理する。ビジネスユニットは、他のビジネスユニットのプロジェクトにアクセスできない。
A. 地域のサブネットでプライベートGoogleアクセスを有効にし、グローバルダイナミックルーティングモードを有効にする。
B. APIバンドルが "all-apis "のプライベートサービスコネクトのエンドポイントIPアドレスを設定し、クラウドインターコネクト接続上のルートとしてアドバタイズする。
C. private
D. 制限付きgoogleapis
回答を見る
正解: DE
質問 #48
貴社のメッセージングアプリがFIPS 140-2に準拠するために、GCPのコンピュートおよびネットワークサービスを使用することが決定されました。メッセージングアプリのアーキテクチャには、Compute Engineインスタンスのクラスタを制御するManaged Instance Group(MIG)が含まれています。インスタンスは、データのキャッシングにローカルSSDを使用し、インスタンス間の通信にUDPを使用しています。アプリ開発チームは、標準に準拠するために必要な変更を行う意思があります要件を満たすために推奨すべきオプションはどれですか?
A. BoringCryptoモジュールを使用して、すべてのキャッシュ・ストレージとVM間通信を暗号化する。
B. MIGが使用するインスタンステンプレートのディスク暗号化を顧客管理キーに設定し、インスタンス間のすべてのデータ転送にBoringSSLを使用する。
C. アプリのインスタンス間通信をUDPからTCPに変更し、クライアントのTLS接続でBoringSSLを有効にする。
D. MIG が使用するインスタンステンプレートのディスク暗号化を Google-managed Key に設定し、すべてのインスタンス間通信で BoringSSL ライブラリを使用する。
回答を見る
正解: D
質問 #49
ある顧客が他社と共同でCompute Engine上にアプリケーションを構築している。顧客は自社のGCP組織でアプリケーション層を構築し、他社は別のGCP組織でストレージ層を構築しています。これは3層のWebアプリケーションです。アプリケーションの各部分間の通信は、どのような手段を使っても公共のインターネットを横断してはなりません。
A. VPCピアリング
B. クラウドVPN
C. クラウド・インターコネクト
D. 共有VPC
回答を見る
正解: B
質問 #50
アプリケーションログをクラウドストレージにエクスポートしています。ログシンクが統一されたバケツレベルのアクセスポリシーをサポートしていないというエラーメッセージが表示されました。このエラーはどのように解決すべきでしょうか?
A. バケットのアクセス制御モデルを変更する
B. シンクのバケツ先を正しく更新する。
C. ログシンクIDのバケットに、roles/logging
D. ログシンクIDのバケットに、roles/logging
回答を見る
正解: B
質問 #51
あなたの会社では、セキュリティ・チームとネットワーク・エンジニアリング・チームがすべてのネットワーク異常を特定し、VPC内のペイロードをキャプチャできるようにする必要があります。どの方法を使用すべきでしょうか?
A. 組織ポリシーの制約を定義する
B. パケットミラーリングポリシーを設定します。
C. サブネット上でVPCフローログを有効にします。
D. クラウド監査ログの監視と分析
回答を見る
正解: B
質問 #52
ある組織では、フィッシングメールの受信数が増加している。このような状況で従業員の認証情報を保護するために使用すべき方法はどれか。
A. 多要素認証
B. 厳格なパスワードポリシー
C. ログインページのCaptcha
D. 暗号化された電子メール
回答を見る
正解: D
質問 #53
あなたのチームは、プロジェクトco-vpc-prodがホストプロジェクトである共有VPCネットワークを設定します。あなたのチームは、ホストプロジェクト上でファイアウォールルール、サブネット、およびVPNゲートウェイを設定しました。あなたのチームは、ホストプロジェクト上でファイアウォールルール、サブネット、およびVPゲートウェイを構成しています。彼らは、エンジニアリンググループAが10.1.1.0/24サブネットのみにCompute Engineインスタンスをアタッチできるようにする必要があります。
A. ホストプロジェクトレベルのコンピュートネットワークユーザーロール。
B. サブネットレベルのコンピュートネットワークユーザーロール。
C. ホストプロジェクトレベルのCompute Shared VPC Admin Role。
D. サービスプロジェクトレベルのCompute Shared VPC Admin Role。
回答を見る
正解: B
質問 #54
ある企業は、アナリストと管理者の両方が共有するクラウドストレージのバケットに、アプリケーショ ンのログをバックアップしている。アナリストは、個人を特定できる情報(PII)を含まないログにのみアクセスできます。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。
A. Cloud Pub/SubとCloud Functionsを使用して、共有バケットにファイルがアップロードされるたびにData Loss Preventionスキャンをトリガーする。スキャンでPIIが検出された場合、管理者のみがアクセスできるクラウドストレージバケットに移動させる。
B. 共有バケットと管理者だけがアクセスできるバケットの両方にログをアップロードする。Cloud Data Loss Prevention APIを使用してジョブトリガーを作成します。PIIを含むファイルを共有バケットから削除するようにトリガーを設定します。
C. アナリストと管理者の両方で共有されているバケットで、PIIを含むオブジェクトを削除するようにオブジェクトのライフサイクル管理を設定します。
D. アナリストと管理者の両方で共有されているバケットに、PIIデータがアップロードされたときのみトリガーされるクラウドストレージトリガーを設定する。クラウド機能を使ってトリガーを捕捉し、そのようなファイルを削除する。
回答を見る
正解: C
質問 #55
あなたは、Google Cloud上の公開アプリケーションに対して、一般的なWebアプリケーション攻撃に対する外部Webアプリケーション保護を実装することを命じられました。これらのポリシーの変更を実施する前に検証したいとします。どのサービスを使うべきですか?
A. プレビューモードでのGoogle Cloud Armorの設定済みルール
B. モニターモードで事前に設定されたVPCファイアウォールルール
C. グーグルフロントエンド(GFE)固有の保護機能
D. クラウドロードバランシングファイアウォールルール
E. ドライランモードでのVPCサービスコントロール
回答を見る
正解: A
質問 #56
あなたは、電子カルテシステムで保護された医療情報(PHI)を扱っています。プライバシー担当者は、機密データが分析システムに保存されていることを懸念しています。あなたは、機密データを元に戻せない方法で匿名化することを命じられています。また、匿名化されたデータは、文字セットと長さを保持する必要があります。どのGoogle Cloudソリューションを使うべきですか?
A. AES-SIVを用いた決定論的暗号化によるクラウドデータ損失防止
B. フォーマット保持暗号化によるクラウドデータ損失防止
C. 暗号ハッシュによるクラウドデータ損失防止
D. クラウド鍵管理サービスによるクラウドデータ損失防止は、暗号鍵をラップする。
回答を見る
正解: D
質問 #57
あなたは、ある組織のセキュリティチームのメンバーです。あなたのチームには、Web アプリケーションやデータ処理システムとともに、クレジットカード決済処理システムを含む単一の GCP プロジェクトがあります。あなたは、PCI監査基準の対象となるシステムの範囲を縮小したいと考えています。
A. Webアプリケーションの管理者アクセスに多要素認証を使用する。
B. PA-DSSに準拠していると認定されたアプリケーションのみを使用する。
C. カード会員データ環境を別のGCPプロジェクトに移動する。
D. オフィスとクラウド環境間のすべての接続にVPNを使用する。
回答を見る
正解: C
質問 #58
あなたは組織のセキュリティオペレーションセンター(SOC)を管理しています。現在、パケットヘッダ情報に基づいてGoogle Cloud VPCのネットワークトラフィックの異常を監視し、検出しています。しかし、調査を支援するために、ネットワークフローとそのペイロードを調査する機能が必要です。どのGoogle Cloud製品を使用すべきでしょうか?
A. マーケットプレイスIDS
B. VPCフローログ
C. VPCサービス制御ログ
D. パケットミラーリング
E. Google Cloud Armor ディープパケットインスペクション
回答を見る
正解: D
質問 #59
アプリケーションは、ビルド時や実行時に、機密データの小片である「シークレット」へのアクセスを必要とすることがよくあります。GCP上でこれらのシークレットを管理する管理者は、GCPプロジェクト内で「誰が、いつ、どこで、何をしたか」を追跡したいと考えています。(2つ選んでください)
A. インスタンステンプレートを作成し、コンピュートエンジンのアクセススコープに対してサービスアカウントの読み取り専用アクセスを許可します。
B. compute
C. サービスアカウントにCompute Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
D. サービスアカウントにProject Viewerの役割を与え、すべてのインスタンスに新しいサービスアカウントを使用します。
回答を見る
正解: AC
質問 #60
ある顧客がエンジニアを解雇し、そのエンジニアのGoogleアカウントが自動的にデプロビジョニングされるようにする必要があります。
A. Cloud SDK とディレクトリサービスを使用して、Cloud Identity の IAM パーミッションを削除する。
B. Cloud SDK とディレクトリサービスを使用して、Cloud Identity からユーザをプロビジョニングおよびデプロビジョニングする。
C. Cloud Identity からユーザをプロビジョニングおよびデプロビジョニングするために、自社のディレク トリサービスと Cloud Directory Sync を構成する。
D. Cloud Identity の IAM パーミッションを削除するために、ディレクトリサービスと Cloud Directory Sync を構成する。
回答を見る
正解: C
質問 #61
ある組織が、特定のITワークロードにGoogle Cloud Platform(GCP)を使用することを評価している。ユーザーIDとライフサイクル管理のために、確立されたディレクトリサービスが使用されています。このディレクトリサービスは、組織がアイデンティティの「真実のソース」ディレクトリとして使用し続ける必要があります。
A. Google Cloud Directory Sync (GCDS)
B. クラウドアイデンティティ
C. セキュリティ・アサート・マークアップ言語(SAML)
D. パブ/サブ
回答を見る
正解: B
質問 #62
共有VPCに接続されたCompute EngineインスタンスとBigQueryデータセット間のアクセス拒否エラーのトラブルシューティングを行っています。データセットは、VPCサービスコントロール境界によって保護されたプロジェクトに存在します。あなたは何をすべきですか?
A. 共有VPCを含むホストプロジェクトをサービス境界に追加します。
B. Compute Engineインスタンスが存在するサービスプロジェクトをサービス境界に追加します。
C. コンピュートエンジンインスタンスが存在するサービスプロジェクトと、Shared VPを含むホストプロジェクトの間に、サービス境界を作成する。
D. コンピュートエンジンインスタンスが存在するサービスプロジェクトと、保護されたBigQueryデータセットを含む境界との間に境界ブリッジを作成する。
回答を見る
正解: C
質問 #63
クラウドサービスの提供と利用に適用される情報セキュリティ管理に関するガイドラインを定めた国際的なコンプライアンス基準はどれか。
A. ISO 27001
B. ISO 27002
C. ISO 27017
D. ISO 27018
回答を見る
正解: C
質問 #64
あなたは、Compute Engine上で実行されるアプリケーションから機密設定データを保存し、取得するためのソリューションを推奨するよう求められています。どのオプションを推奨しますか?
A. クラウド鍵管理サービス
B. コンピュートエンジンのゲスト属性
C. Compute Engineカスタムメタデータ
D. シークレット・マネージャー
回答を見る
正解: A
質問 #65
顧客の会社には複数の事業部門がある。各事業部門は独立して運営されており、それぞれにエンジニアリング・グループがあります。あなたのチームは、社内で作成されたすべてのプロジェクトを可視化し、異なるビジネスユニットに基づいてGoogle Cloud Platform(GCP)プロジェクトを整理したいと考えています。また、各事業部門は別々のIAM権限セットを必要とします。これらのニーズを満たすには、どの戦略を使用すべきでしょうか。
A. 組織ノードを作成し、各ビジネスユニットのフォルダを割り当てます。
B. gmail
C. プロジェクトにGCPリソースを割り当て、どのビジネスユニットがリソースを所有しているかを示すラベルを付ける。
D. 事業部ごとにVPC内のGCPリソースを割り当て、ネットワークアクセスを分離する。
回答を見る
正解: A
質問 #66
ある組織の典型的なネットワークとセキュリティのレビューは、アプリケーションのトランジットルート、リクエスト処理、ファイアウォールルールの分析で構成されています。開発チームは、このような完全なレビューのオーバーヘッドなしに新しいアプリケーションをデプロイできるようにしたいと考えています。
A. Forsetiとファイアウォールフィルタを使用して、本番環境での不要な設定を検出します。
B. インフラストラクチャー・アズ・コードの使用を義務付け、CI/CDパイプラインで静的解析を行い、ポリシーを実施する。
C. すべてのVPCトラフィックを顧客が管理するルータ経由でルーティングし、本番環境で悪意のあるパターンを検出します。
D. 本番アプリケーションはすべてオンプレミスで実行する。開発者がGCPを開発およびQAプラットフォームとして自由に使えるようにする。
回答を見る
正解: B
質問 #67
あなたのチームは、インターネットへのすべてのトラフィックを拒否する(優先度1000)イグレスファイアウォールルールを作成しました。あなたのチームは何をすべきですか?
A. 優先度1000以上のリポジトリのCIDR範囲へのトラフィックを許可するegressファイアウォールルールを作成します。
B. 優先度1000未満のリポジトリのCIDR範囲へのトラフィックを許可するように、イグレスファイアウォールルールを作成します。
C. 優先度1000以上のリポジトリのホスト名へのトラフィックを許可するegressファイアウォールルールを作成します。
D. 優先度1000未満のリポジトリのホスト名へのトラフィックを許可するegressファイアウォールルールを作成します。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.