WEB問題集
ある製造業の管理者は、新入社員 20 名に対して Google Cloud プロジェクト内の Cloud Storage バケットのオブジェクト読み取り権限のみを付与する必要があります。Google が推奨する最小権限の原則に従って権限を付与する場合、最適な IAM ロールはどれですか?
正解:A
正解の根拠
最小権限の原則を満たすには、必要最小限の権限を持つ Predefined ロールをリソース単位で付与することが推奨されます。roles/storage.objectViewer はオブジェクトの読み取り権限のみを含み、対象バケットのみに範囲を限定できるため、20 名の閲覧用途に最適です。Basic ロールはプロジェクト全体に広範な権限を付与してしまうため避けるべきです。
サービス比較
| 項目 | 正解 (objectViewer/バケット) | 不正解 (viewer/プロジェクト) |
|---|---|---|
| 範囲 | 単一バケットに限定 | プロジェクト全リソース |
| 原則適合 | 最小権限に合致 | 過剰権限となる |
不正解の理由
- B: roles/viewer はプロジェクト内の全リソースに対する閲覧権限を付与するため最小権限に反します。
- C: roles/editor は書き込みや削除も含む過剰な権限であり、閲覧用途には不適切です。
- D: roles/storage.admin はバケット管理権限を含み、読み取りのみの要件を大きく超えます。
参考:IAM のロールについて
ある SaaS 企業では、Compute Engine VM 上で動作するアプリケーションが BigQuery にクエリを実行する必要があります。長期鍵の管理リスクを避けつつ、認証情報を安全に管理する方法は何ですか?
正解:B
正解の根拠
Compute Engine VM にサービスアカウントを直接アタッチすると、メタデータサーバー経由で短命なアクセストークンが自動取得されます。アプリケーションは Application Default Credentials を使用するだけで、鍵ファイルを保存せず安全に Google Cloud API を呼び出せます。鍵漏洩リスクとローテーション運用が不要になるため、Google が推奨する方式です。
サービス比較
| 項目 | 正解 (アタッチ方式) | 不正解 (鍵ファイル) |
|---|---|---|
| 鍵管理 | 不要 | 必要 (ローテーション) |
| 漏洩リスク | 低 (短命トークン) | 高 (長期鍵) |
不正解の理由
- A: 鍵をメタデータに保存しても長期鍵である事実は変わらず、漏洩時の影響範囲が大きいです。
- C: ユーザー認証情報の VM 保存はセキュリティポリシー違反となり監査要件を満たしません。
- D: OAuth クライアント ID はエンドユーザー認可向けで、サーバー間認証には不適切です。
金融機関では、Cloud Storage に格納する顧客データの暗号鍵を自社で管理する必要があります。鍵自体は Google Cloud 内で集中管理し、ローテーションや監査も Cloud で実施したい場合、どの方式を採用すべきですか?
正解:D
正解の根拠
Cloud KMS で生成した顧客管理暗号鍵 (CMEK) は Google Cloud 内で鍵を一元管理しつつ、所有権・ローテーション・無効化を顧客が制御できます。Cloud Storage バケットに CMEK を設定すれば、書き込まれる全オブジェクトが指定鍵で暗号化され、鍵の使用は Cloud Audit Logs に記録されます。鍵管理の運用負荷を最小化しながらコンプライアンス要件を満たせます。
サービス比較
| 項目 | 正解 (CMEK) | 不正解 (CSEK) |
|---|---|---|
| 鍵の保管場所 | Cloud KMS 内 | 顧客側で管理 |
| 運用負荷 | 低い | 高い (API 毎指定) |
不正解の理由
- A: デフォルト暗号化は Google が鍵を管理するため顧客側での制御要件を満たしません。
- B: CSEK は鍵を顧客側で保管し API 呼び出し毎に渡す必要があり、運用負荷と紛失リスクが高いです。
- C: アプリ層暗号化はストレージ要件と独立しており、Cloud KMS の監査・ローテーション機能を活用できません。
参考:顧客管理の暗号鍵
ある研究機関では、機密データを含む BigQuery データセットを保護するため、データの外部持ち出しを完全に禁止し、信頼できるネットワークからのみアクセスを許可する境界を構築したいと考えています。最適なサービスはどれですか?
正解:D
正解の根拠
VPC Service Controls は BigQuery や Cloud Storage などのマネージドサービスに対してデータ流出防止 (DLP) の境界を提供します。サービス境界を構成し許可された IP 範囲や VPC ネットワークのみアクセスを許可することで、認証情報が漏洩しても境界外への持ち出しを防げます。BigQuery API への対応も公式にサポートされており、研究データ保護に適した手段です。
サービス比較
| 項目 | 正解 (VPC SC) | 不正解 (FW ルール) |
|---|---|---|
| 保護対象 | マネージド API | VM 間通信 |
| データ流出防止 | 可能 | 不可 |
不正解の理由
- A: ファイアウォールルールは VM 間トラフィック制御で、BigQuery API の境界保護はできません。
- B: Cloud IAP はアプリケーションへのアクセス認証用で、データ持ち出し防止には対応しません。
- C: Cloud Armor は HTTP(S) LB の WAF 用途で、BigQuery API 境界保護の機能はありません。
ある企業の監査チームは、誰がいつどの Compute Engine VM を作成・削除したかを過去 400 日にわたり確認できる必要があります。デフォルトで有効かつ追加課金なしで取得できるログはどれですか?
正解:A
正解の根拠
Cloud Audit Logs の Admin Activity ログはリソースの構成変更や作成・削除を記録し、すべての Google Cloud プロジェクトでデフォルトかつ無料で有効化されます。保持期間は 400 日固定で、VM の作成や削除といった管理操作はこのログに記録されます。監査要件に合致する標準的な方法です。
サービス比較
| 項目 | 正解 (Admin Activity) | 不正解 (Data Access) |
|---|---|---|
| デフォルト | 有効 | 無効 (要設定) |
| 保持期間 | 400 日 | 30 日 |
| 課金 | 無料 | 有料 |
不正解の理由
- B: Data Access ログはデータの読み書き記録用で、デフォルトでは無効かつ追加課金が発生します。
- C: System Event ログは Google が起動した管理操作を記録し、ユーザー操作の追跡には不向きです。
- D: Policy Denied ログは VPC SC 違反など拒否イベント用で、VM 操作履歴は記録しません。