【PCA】WEB問題集:セキュリティとコンプライアンス編

WEB問題集

PCA#1(security)

金融系の本番プロジェクトで、開発者が誤って広範な権限を付与されている疑いがあります。実運用に最小限の影響でロール過剰付与を継続的に検知し、最小権限のロールに置き換える推奨を得たい場合、最も適切な手段はどれですか。

A. 全ユーザーから所有者ロールを剥奪し、編集者ロールに統一する運用を行う。
B. Cloud Audit Logs の管理アクティビティのみを監視し、手作業で過剰権限を判定する。
C. IAM Recommender の役割推奨を有効にし、定期的に推奨を確認して適用する。
D. Security Command Center Standard の脅威検出機能だけで権限過剰を判定する。

正解と解説ディスカッション 0

正解：C

正解の根拠

IAM Recommender はプリンシパルの 90 日間の使用実績を機械学習で分析し、過剰な基本ロールを最小権限の事前定義ロールやカスタムロールへ縮小する推奨を継続的に提示します。本番環境への影響を最小化しつつ、推奨の適用や却下を運用フローに組み込めるのが特徴です。

機能	役割
Role Recommender	未使用権限を分析し縮小提案
Policy Insights	権限使用状況の可視化

不正解の理由

A: 編集者ロールも広範でありリスクが残ります。
B: 監査ログだけでは権限過剰の機械学習推奨は得られません。
D: SCC Standard は権限縮小推奨の主機能を提供しません。

参考：IAM Recommender 概要

PCA#2(security)

外部のオンプレミス Kubernetes クラスタ上のワークロードから、サービスアカウントキーを使わずに Google Cloud の API を呼び出したい要件があります。長期キーの配布を避けつつ短命の認証情報で認可するために最適なソリューションはどれですか。

A. サービスアカウントキーを暗号化して Secret Manager に保管する方式を採用する。
B. SSH 鍵を OS Login と組み合わせて API 認証に使用する方式を採用する。
C. Cloud Identity の API キーをワークロードに配布して認証に使う方式を採用する。
D. Workload Identity Federation を構成し、外部 IdP のトークンと交換する。

正解と解説ディスカッション 0

正解：D

正解の根拠

Workload Identity Federation は OIDC や SAML、AWS STS などのトークンを Google STS で短命のアクセストークンへ交換でき、サービスアカウントキーを完全に排除して鍵漏洩リスクを抑えます。外部 Kubernetes や AWS、Azure からの一貫した認可方式として推奨されます。

項目	WIF	SA キー
有効期間	短命	長期
鍵配布	不要	必要

不正解の理由

A: 鍵自体の存在がリスクであり根本解決にはなりません。
B: SSH 鍵は API 認証用ではありません。
C: API キーはユーザー認証や IAM に対応しません。

参考：Workload Identity Federation

PCA#3(security)

組織配下のすべてのプロジェクトで外部 IP を持つ VM の作成を一律禁止し、例外をフォルダ単位で許可したい要件があります。最も適切な実装方法はどれですか。

A. Cloud Armor のセキュリティポリシーで外部 IP を持つインスタンスを拒否する設定を組織配下のすべてに適用する。
B. VPC ファイアウォールで 0.0.0.0/0 への egress を全プロジェクトで一律拒否する構成を全体に適用する。
C. 組織ポリシー constraints/compute.vmExternalIpAccess を組織で deny し、必要なフォルダで上書きする。
D. IAM カスタムロールから compute.instances.create 権限を組織配下の全ユーザーから一律で削除する。

正解と解説ディスカッション 0

正解：C

正解の根拠

組織ポリシーの list 制約 compute.vmExternalIpAccess を組織レベルで継承させ、特定フォルダで上書きすることで、デフォルト禁止と例外許可を一元的に統制できます。リソース階層に従った継承と例外運用が可能です。

制約	用途
vmExternalIpAccess	外部 IP の付与可否
restrictVpcPeering	VPC ピアリング先制限

不正解の理由

A: Cloud Armor は HTTP(S) LB 向けで VM 作成を制御しません。
B: ファイアウォールは作成後の通信制御で IP 付与は止められません。
D: 全インスタンス作成が不可になり過剰制限です。

参考：組織ポリシー制約

PCA#4(security)

BigQuery と Cloud Storage 間でのデータ持ち出しを防ぎ、信頼できるネットワーク内からのみアクセスを許可したい要件があります。最も適した制御はどれですか。

A. Cloud KMS の鍵ローテーションを 1 日ごとに実施し古い鍵バージョンを即時破棄する運用を行う。
B. IAM ポリシーで全ユーザーから読み取り権限を剥奪して個別ジョブごとに付与し直す手動制御を採用する。
C. Cloud DLP で機微データを検出してマスクする処理を導入し全件のスキャンを毎時実行する運用にする。
D. VPC Service Controls でサービス境界を作成し、対象 API を制限する。

正解と解説ディスカッション 0

正解：D

正解の根拠

VPC Service Controls はサービス境界を構築し、BigQuery や Cloud Storage 等の API へのアクセスを境界内の VPC や許可されたコンテキストに限定して、IAM 権限が漏洩した場合でもデータの外部持ち出しを防止します。アクセスレベルや上り下りルールで例外を細かく定義可能です。

機能	役割
Service Perimeter	API アクセス境界
Ingress/Egress Rule	例外通信の許可

不正解の理由

B: 業務影響が大きく根本対策になりません。
C: DLP は機微検出でありネットワーク制御は別問題です。
A: 鍵ローテーションは持ち出し防止と直接関係しません。

参考：VPC Service Controls 概要

PCA#5(security)

FIPS 140-2 Level 3 認定のハードウェアで暗号鍵を生成し、Compute Engine の永続ディスクの暗号化に使用したい要件があります。最も適切な実装はどれですか。

A. Cloud KMS のソフトウェア鍵を Compute Engine に CSEK として渡し、起動スクリプトでローテーションする方式を採用する。
B. Secret Manager に鍵をエクスポートして保管し、起動時に取得して復号化する処理を構成する運用を行う。
C. Cloud HSM で鍵を生成し、Compute Engine の CMEK として指定する。
D. Google 管理の暗号化鍵をデフォルトで利用し、別途自社の HSM 機器でログ署名を行う構成にする。

正解と解説ディスカッション 0

正解：C

正解の根拠

Cloud HSM は FIPS 140-2 Level 3 認定の HSM クラスタで鍵素材を生成・保管し、Cloud KMS と同一のインターフェースで CMEK として Compute Engine の永続ディスク暗号化に利用できます。鍵素材が HSM 外に出ない高保証要件を満たします。

方式	FIPS Level
Software KMS	140-2 L1
Cloud HSM	140-2 L3

不正解の理由

A: ソフトウェア鍵は Level 3 を満たしません。
B: Secret Manager は鍵管理基盤ではありません。
D: Google 管理鍵は CMEK ではなく FIPS L3 要件と切り離せません。

参考：Cloud HSM