[2026-03-06更新,286問] 無料Google Professional-Cloud-Security-Engineer試験問題集、Professional-Cloud-Security-Engineer試験関連情報(ページ 23)

Professional-Cloud-Security-Engineer 試験問題 106

先週、ある企業がBigQueryにログを書き込む新しいApp Engineアプリケーションをデプロイしました。プロジェクトでは他のワークロードは実行されていません。BigQueryに書き込まれたすべてのデータがApp Engineのデフォルトサービスアカウントを使用して行われたことを検証する必要があります。
何をすべきでしょうか?

A. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルトのサービスアカウントに対応するメールアドレスをクリックします。
3. 「一致するエントリを表示」をクリックします。
4. 結果のリストが空であることを確認します。

B. 1. BigQuery で関連するデータセットを選択します。
2. データセットに書き込むことができるアカウントが App Engine のデフォルトのサービスアカウントのみであることを確認します。

C. 1. プロジェクトの IAM セクションに移動します。
2. App Engine のデフォルトサービスアカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。

D. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
2. 認証フィールドで、App Engine のデフォルトのサービスアカウントに対応するメールアドレスをクリックします。
3. 「一致するエントリを非表示」をクリックします。
4. 結果のリストが空であることを確認します。

Professional-Cloud-Security-Engineer 試験問題 107

組織はサプライチェーンを攻撃から守りたいと考えています。デプロイメントパイプラインの脆弱性を自動的にスキャンし、スキャン・検証済みのコンテナのみが本番環境で実行されるようにする必要があります。管理オーバーヘッドを最小限に抑えたいと考えています。どうすればよいでしょうか？

A. すべてのコンテナイメージをステージング環境にデプロイし、コンテナ脅威検出を使用して悪意のあるコンテンツを検出してから、本番環境に昇格させます。

B. 本番環境へのデプロイ前にコンテナイメージをレビューし、公開されている脆弱性データベースを使用して既知の脆弱性がないか確認します。GrafeasとKritisを使用して、ビルドパイプラインを使用して構築されていないコンテナのデプロイを防止します。

C. トラフィック検査機能を備えた Cloud Next Generation Firewall (Cloud NGFW) Enterprise を使用して、本番環境でのコンテナ化されたアプリケーションへのアクセスを制限します。

D. Artifact Registry の脆弱性スキャンと Binary Authorization を CI/CD パイプラインに統合し、検証済みのイメージのみが本番環境にデプロイされるようにします。

正解: D

コンテナサプライチェーンのセキュリティを確保するには、可視性 (スキャン) と適用 (ポリシー) の 2 つが必要です。
Google Cloud は、この問題を解決するために、Artifact Analysis（Artifact Registry と統合）と Binary Authorization を提供しています。
Google Cloud ドキュメント (ソフトウェアサプライチェーンセキュリティ) によると、次のようになります。
サプライチェーンのセキュリティを確保するには、Artifact Registryと自動脆弱性スキャンを使用してイメージ内のリスクを特定します。次に、Binary Authorizationを使用して、イメージをGKEまたはCloud Runにデプロイする前に、信頼できる機関（認証者）による署名を要求するポリシーを定義します。これにより、セキュリティチェック（脆弱性スキャンなど）に合格したイメージのみが実行できるようになります。仕組み：
* スキャン: イメージが Artifact Registry にプッシュされるたびに、CVE が自動的にスキャンされます。
* 構成証明: スキャンが成功すると (例: 「重大な」脆弱性がない)、イメージに「署名」する (構成証明を作成する) CI/CD ステップがトリガーされます。
* 適用: GKE アドミッションコントローラ（Binary Authorization）はこの署名をチェックします。署名が欠落しているか無効な場合、デプロイはブロックされます。
他のオプションが間違っている理由:
* A は誤りです。コンテナ脅威検出は実行時（実行後）を対象としています。サプライチェーンセキュリティは、展開前の予防を目的としています。
* B は不正解です。Grafeas/Kritis はオープンソースの基盤ですが、オプション D は「管理オーバーヘッドを最小限に抑える」マネージド Google Cloud サービスを表します。
* C は不正解です。ファイアウォールはネットワークトラフィックを検査しますが、コンテナイメージ自体の整合性や脆弱性の状態は検査しません。
参照：
Google Cloud ドキュメント：「Binary Authorization の概要」（https://cloud.google.com/binary- authorization/docs/overview）。
Google Cloud ドキュメント:「Artifact Registry の脆弱性スキャン」(https://cloud.google.com)
/artifact-registry/docs/analysis)。

Professional-Cloud-Security-Engineer 試験問題 108

あなたは会社のセキュリティ管理者です。Cloud Storage バケットには 3,000 個のオブジェクトがあります。各オブジェクトへのアクセスを個別に管理したくありません。また、オブジェクトのアップロード者に常にオブジェクトのフルコントロール権限を与えることも望んでいません。しかし、バケットへのアクセス管理には Cloud Audit Logs を使用したいと考えています。
何をすべきでしょうか?

A. allUsers のスコープに OWNER 権限を持つ ACL を設定します。

B. allUsers のスコープに READER 権限を持つ ACL を設定します。

C. デフォルトのバケット ACL を設定し、IAM を使用してユーザーのアクセスを管理します。

D. Cloud Storage バケットに均一なバケットレベルのアクセスを設定し、IAM を使用してユーザーのアクセスを管理します。

Professional-Cloud-Security-Engineer 試験問題 109

エンベロープ暗号化を使用してデータを暗号化する手順は何ですか?

A. キー暗号化キー (KEK) をローカルで生成します。
データ暗号化キー（DEK）をローカルで生成します。KEKを使用してデータを暗号化します。
暗号化されたデータとラップされた DEK を保存します。

B. データ暗号化キー (DEK) をローカルで生成します。
DEK を使用してデータを暗号化します。
鍵暗号化鍵（KEK）を使用してDEKをラップします。暗号化されたデータとラップされたDEKを保存します。

C. データ暗号化キー (DEK) をローカルで生成します。
DEKをキー暗号化キー（KEK）でラップします。KEKでデータを暗号化します。
暗号化されたデータとラップされた KEK を保存します。

D. キー暗号化キー (KEK) をローカルで生成します。
KEKを使用してデータ暗号化キー（DEK）を生成します。DEKを使用してデータを暗号化します。
暗号化されたデータとラップされた DEK を保存します。

Professional-Cloud-Security-Engineer 試験問題 110

組織におけるGoogle Cloudの利用が大幅に増加し、多くのグループがそれぞれ異なるクラウドリソースを個別に利用しています。組織全体で共通する構成ミスやコンプライアンス違反を特定し、ダッシュボードで改善策の実施に必要な調査結果を追跡する必要があります。どうすればよいでしょうか？

A. Cloud Asset Inventory でフィルタセットを作成し、高い権限を持つサービスアカウントと Gmail ドメインの IAM プリンシパルを識別します。

B. Security Command Center Premium の Secure Health Analytics 検出器を使用して、脆弱性と誤った構成をスキャンして警告します。

C. Cloud Audit Logs にフィルタを設定して、特定のリスクのある API 呼び出しのログエントリにフラグを付け、Cloud Log Analytics ダッシュボードに呼び出しを表示します。

D. イベント脅威検出検出器を使用して、環境内で検出された新たな攻撃を警告および追跡します。

他のバージョン: 2184Google.Professional-Cloud-Security-Engineer.v2024-07-06.q237; 1504Google.Professional-Cloud-Security-Engineer.v2023-09-08.q132; 1451Google.Professional-Cloud-Security-Engineer.v2022-11-09.q110

最新アップロード: 150Salesforce.Mule-Arch-201.v2026-06-13.q56; 135Fortinet.NSE7_SOC_AR-7.6.v2026-06-13.q26; 141HP.HPE0-G04.v2026-06-13.q33; 162CrowdStrike.CCFA-200b.v2026-06-13.q88; 166Salesforce.Mule-Dev-201.v2026-06-12.q88; 179WGU.Information-Technology-Management.v2026-06-12.q113; 302CuramSoftware.CS0-003.v2026-06-12.q520; 203Salesforce.NP-Con-101.v2026-06-11.q92; 199RealEstate.Maryland-Real-Estate-Salesperson.v2026-06-11.q107; 253Microsoft.AZ-204.v2026-06-11.q260

Professional-Cloud-Security-Engineer 試験問題 106

Professional-Cloud-Security-Engineer 試験問題 107

Professional-Cloud-Security-Engineer 試験問題 108

Professional-Cloud-Security-Engineer 試験問題 109

Professional-Cloud-Security-Engineer 試験問題 110

PDFファイルをダウンロード