[2026-03-06更新,286問] 無料Google Professional-Cloud-Security-Engineer試験問題集、Professional-Cloud-Security-Engineer試験関連情報(ページ 14)

Professional-Cloud-Security-Engineer 試験問題 61

組織はPCIデータセキュリティ基準（PCI DSS）に準拠する必要があります。監査に備えるには、Google CloudランディングゾーンのIaaS（Infrastructure as a Service）レベルで逸脱を検出する必要があります。
何をすべきでしょうか?

A. 支払いに関連するすべてのデータタイプを網羅するデータプロファイルを作成します。Google Cloud Sensitive Data Protection でデータ検出とリスク分析ジョブを構成し、検出結果を分析します。

B. Google Cloud コンプライアンスレポートマネージャーを使用して、PCI DSS レポートの最新バージョンをダウンロードしてください。レポートを分析して、逸脱を検出してください。

C. Google Cloud 組織内に Assured Workloads フォルダを作成します。既存のプロジェクトをこのフォルダに移行し、PCI DSS の逸脱を監視します。

D. Security Command Center Premium を有効化します。コンプライアンス監視製品を使用して、PCI DSS に準拠していない可能性のある検出結果をフィルタリングします。

正解: D

Google Cloud 内のインフラストラクチャアズアサービス (IaaS) レベルでペイメントカード業界データセキュリティ基準 (PCI DSS) への準拠を確保するには、コンプライアンス要件からの逸脱を検出できる継続的なモニタリングおよび評価ツールが不可欠です。
* オプション A: Google Cloud の機密データ保護でデータプロファイルを作成し、データ検出ジョブを構成することで、機密データの識別と分析に重点を置いていますが、インフラストラクチャのコンプライアンス監視には直接対応していません。
* オプション B: コンプライアンスレポートマネージャーから最新の PCI DSS レポートをダウンロードすると、静的なコンプライアンスレポートが提供されますが、特定の環境内での逸脱をリアルタイムで検出することはできません。
* オプション C: Assured Workloads を利用すると、特定のコンプライアンス要件を満たす環境を作成するのに役立ちますが、既存のプロジェクトをそのようなフォルダーに移行しても、逸脱は積極的に検出されません。主に、新しいワークロードが事前定義されたポリシーに準拠していることを確認します。
* オプション D: Security Command Center（SCC）Premium を有効化し、コンプライアンスモニタリング機能を活用することで、PCI DSS 要件に照らして Google Cloud 環境を継続的に評価できます。SCC は、構成ミス、脆弱性、コンプライアンス違反をリアルタイムで特定し、問題に迅速に対処するための実用的な分析情報を提供します。
したがって、オプション D は、PCI DSS 監査に備えて IaaS レベルでの逸脱を検出する最も効果的なアプローチです。
参考文献:
* セキュリティコマンドセンターの概要
* セキュリティコマンドセンターコンプライアンス監視

Professional-Cloud-Security-Engineer 試験問題 62

Compute Engine でホストされるウェブアプリケーションをデプロイしています。ビジネス要件により、アプリケーションログは12年間保存され、データは欧州域内に保管されることが義務付けられています。オーバーヘッドを最小限に抑え、費用対効果の高いストレージソリューションを実装したいと考えています。どうすればよいでしょうか？

A. EUROPE-WEST1 リージョンにログを保存するための Cloud Storage バケットを作成します。アプリケーションコードを変更して、ログをバケットに直接送信し、効率性を高めます。

B. Google Cloud のオペレーションスイートの Cloud Logging エージェントを使用して、12 年間のカスタム保持期間でアプリケーションログを EUROPE-WEST1 リージョンのカスタムログバケットに送信するように Compute Engine インスタンスを構成します。

C. Pub/Sub トピックを使用して、アプリケーションログを EUROPE-WEST1 リージョンの Cloud Storage バケットに転送します。

D. EUROPE-WEST1 リージョンの Google Cloud オペレーションスイートのログバケットに 12 年間のカスタム保持ポリシーを構成します。

Professional-Cloud-Security-Engineer 試験問題 63

チームは、特定の Compute Engine 仮想マシンインスタンスから指定された Cloud Storage バケットへのデータ転送を認証するためにサービスアカウントを使用しています。エンジニアが誤ってサービスアカウントを削除してしまい、アプリケーションの機能が停止してしまいました。セキュリティを損なうことなく、できるだけ早くアプリケーションを復旧したいと考えています。
何をすべきでしょうか?

A. Cloud Storage バケットの認証を一時的に無効にします。

B. undelete コマンドを使用して、削除されたサービスアカウントを回復します。

C. 削除されたサービスアカウントと同じ名前で新しいサービスアカウントを作成します。

D. 別の既存のサービスアカウントの権限を更新し、その資格情報をアプリケーションに提供します。

Professional-Cloud-Security-Engineer 試験問題 64

アプリケーションは、ビルド時または実行時に「シークレット」と呼ばれる小さな機密データへのアクセスを必要とすることがよくあります。GCP 上でこれらのシークレットを管理する管理者は、GCP プロジェクト内で「誰が、どこで、いつ、何をしたか」を追跡したいと考えています。
管理者が探している情報を提供するログストリームはどれですか (2 つ選択してください)。

A. 管理アクティビティログ

B. システムイベントログ

C. データアクセスログ

D. VPC フローログ

E. エージェントログ

正解: A,C

GCPプロジェクト内で「誰が、どこで、いつ、何をしたか」を追跡するには、管理者は管理アクティビティログとデータアクセスログに重点を置く必要があります。これら2つのログストリームがなぜ重要なのか、以下に詳しく説明します。
管理者アクティビティログ:
これらのログには、Google Cloud リソースで実行された管理アクションが記録されます。これには、リソースの作成、変更、削除などのアクションが含まれます。
管理アクティビティログには、アクションを実行したユーザー、影響を受けたリソース、実行されたアクション、およびタイムスタンプに関する詳細情報が提供されます。
データアクセスログ:
これらのログには、Google Cloud サービス内のデータの読み取りおよび書き込み操作が記録されます。これには、データベースやストレージバケットなどに保存されているデータへのアクセスや変更などのアクションが含まれます。
データアクセスログは、ユーザーとサービスによる機密データへのアクセスパターンを追跡するのに役立ち、誰がいつどのデータにアクセスしたかに関する分析情報を提供します。
ログを有効にしてアクセスする手順:
Google Cloud Console に移動します。
左側のメニューの「ログイン」に移動します。
まだ有効になっていない場合は、管理アクティビティログとデータアクセスログを有効にします。
ログエクスプローラーを使用して、要件に基づいて特定のログをフィルタリングして表示します。
管理アクティビティログとデータアクセスログの両方を監視することで、管理者は GCP リソースとデータに対して実行されたアクションを包括的に把握でき、堅牢なセキュリティとコンプライアンスの追跡を確保できます。
参照：
Google Cloud Logging ドキュメント
監査ログの概要

Professional-Cloud-Security-Engineer 試験問題 65

Compute Engine インスタンスで実行されているアプリケーションは、Cloud Storage バケットからデータを読み取る必要があります。チームでは、Cloud Storage バケットをグローバルに読み取り可能にすることを許可しておらず、最小権限の原則を遵守したいと考えています。
どのオプションがチームの要件を満たしていますか?

A. Compute Engine インスタンスの IP アドレスからの読み取り専用アクセスを許可し、アプリケーションが認証情報なしでバケットから読み取ることができる Cloud Storage ACL を作成します。

B. Cloud Storage バケットへの読み取り専用アクセス権を持つサービスアカウントを使用し、Compute Engine インスタンス上のアプリケーションの構成にサービスアカウントの認証情報を保存します。

C. Cloud Storage バケットへの読み取り専用アクセス権を持つサービスアカウントを使用して、インスタンスメタデータから認証情報を取得します。

D. Cloud KMS を使用して Cloud Storage バケット内のデータを暗号化し、アプリケーションが KMS キーを使用してデータを復号できるようにします。

他のバージョン: 2176Google.Professional-Cloud-Security-Engineer.v2024-07-06.q237; 1503Google.Professional-Cloud-Security-Engineer.v2023-09-08.q132; 1449Google.Professional-Cloud-Security-Engineer.v2022-11-09.q110

最新アップロード: 143Salesforce.Mule-Arch-201.v2026-06-13.q56; 131Fortinet.NSE7_SOC_AR-7.6.v2026-06-13.q26; 133HP.HPE0-G04.v2026-06-13.q33; 148CrowdStrike.CCFA-200b.v2026-06-13.q88; 162Salesforce.Mule-Dev-201.v2026-06-12.q88; 172WGU.Information-Technology-Management.v2026-06-12.q113; 273CuramSoftware.CS0-003.v2026-06-12.q520; 185Salesforce.NP-Con-101.v2026-06-11.q92; 190RealEstate.Maryland-Real-Estate-Salesperson.v2026-06-11.q107; 241Microsoft.AZ-204.v2026-06-11.q260

Professional-Cloud-Security-Engineer 試験問題 61

Professional-Cloud-Security-Engineer 試験問題 62

Professional-Cloud-Security-Engineer 試験問題 63

Professional-Cloud-Security-Engineer 試験問題 64

Professional-Cloud-Security-Engineer 試験問題 65

PDFファイルをダウンロード