【PCSE】WEB問題集:セキュリティ統制編

WEB問題集

PCSE#1(security-controls)

組織全体のリソースに対して継続的なセキュリティポスチャ評価と脅威検知、コンプライアンスレポートを統合的に提供する Google Cloud のセキュリティリスク管理プラットフォームを設計したいです。最適なサービスはどれですか。

A. VPC Service Controls の境界を全プロジェクトに設定します
B. Cloud Logging のシンクを集約プロジェクトに作成します
C. Security Command Center を組織レベルで有効化します
D. Cloud Armor のセキュリティポリシーを全 LB に適用します

正解と解説ディスカッション 0

正解：C

正解の根拠

Security Command Center（SCC）は、組織レベルで有効化することで全プロジェクトの構成ミス、脆弱性、脅威、コンプライアンス違反を統合的に可視化するリスク管理プラットフォームです。

ティア	主な機能
Standard	SHA の一部、Web Security Scanner（カスタムスキャン）
Premium	SHA フル、ETD、Container Threat Detection、コンプライアンス
Enterprise	Premium に SIEM/SOAR 機能を追加

不正解の理由

B は監査ログ集約のみで脅威検知や脆弱性評価機能を持ちません。
C はデータ漏洩防止の境界制御であり、ポスチャ評価のプラットフォームではありません。
D は L7 のエッジ防御で、組織全体のリスク管理プラットフォームとは目的が異なります。

参考：SCC overview

PCSE#2(security-controls)

Security Command Center の Premium ティアでのみ利用できる検出機能の組み合わせを設計ドキュメントに記載する必要があります。該当するものを 2 つ選択してください。

（2つ選択）

A. Event Threat Detection による Cloud Logging からの脅威検知 (マルウェア通信、ブルートフォース、不正な IAM 変更など)
B. Security Health Analytics の全検出項目とコンプライアンスレポート (CIS、PCI DSS、ISO など)
C. Web Security Scanner のカスタムスキャン機能で、社内向け App Engine や GKE 上の Web アプリに対して認証付きの高度な脆弱性スキャンを定期実行できる検査機能
D. Cloud Asset Inventory による組織配下の基本的な資産一覧表示と、過去状態のスナップショット閲覧機能を含む資産管理ダッシュボード機能のフル機能

正解と解説ディスカッション 0

正解：A, B

正解の根拠

Premium ティアでは Event Threat Detection（ETD）と Security Health Analytics（SHA）の全検出項目、コンプライアンスレポートが利用可能になります。

機能	Standard	Premium
ETD	×	○
SHA フル	×	○
Web Security Scanner カスタム	○	○

不正解の理由

C は Standard でも利用可能なカスタムスキャン機能です。
D は SCC とは別の Cloud Asset Inventory サービスで全ティア共通です。
E は IAM のレコメンダーで SCC ティアに依存しません。

参考：SCC service tiers

PCSE#3(security-controls)

SCC で誤検知と判明した特定の Finding を将来にわたり一覧から除外したいですが、削除はできません。設計上の最適な対応はどれですか。

A. プロジェクト全体を SCC のスコープから外して当該 Finding が表示されない状態を作り出します
B. Finding を手動で削除し、削除権限を持つメンバーの IAM 権限を併せて変更して再発を抑止します
C. 検出元のディテクター自体を無効化し、当該カテゴリの新規検出を恒久的に停止させる運用とします
D. Finding に Mute ルールを適用して非表示にします

正解と解説ディスカッション 0

正解：D

正解の根拠

SCC の Finding は削除できないため、Mute（ミュート）機能で非表示にします。手動 Mute と Mute ルールにより、条件に合致する Finding を継続的に抑制できます。

方法	用途
手動 Mute	個別の Finding を非表示
Mute ルール	条件に合致する Finding を継続抑制

不正解の理由

B は Finding は削除できず、IAM 変更も非表示制御に該当しません。
C はディテクター全体を無効化すると他の正当な検知も失われます。
D はプロジェクトの可視性を失い運用上不適切です。

参考：Mute findings

PCSE#4(security-controls)

SCC の Asset Discovery 機能について、設計時に正しく理解すべき特性はどれですか。

A. オンプレミスのサーバや仮想マシンの資産のみを検出する仕組みであり、各ホストへインストールしたエージェントから送信されるテレメトリを集約してインベントリを構成する設計です
B. 組織配下の Google Cloud 資産を継続的に検出して資産インベントリを構築します
C. VPC 内を流れるネットワークパケットを継続的にキャプチャしてペイロード分析を行い、不審な通信パターンや署名一致を検出する仕組みとして提供されています
D. BigQuery のテーブル内に保管されているデータの中身を機械学習で分類し、機微情報の種別タグを自動付与する DLP 機能の一部として位置付けられています

正解と解説ディスカッション 0

正解：B

正解の根拠

SCC の Asset Discovery は Cloud Asset Inventory と連携し、組織配下の Google Cloud 資産（プロジェクト、VM、バケット、IAM など）を継続的に検出してインベントリを構築します。

項目	内容
対象	Google Cloud のリソースと IAM ポリシー
更新	継続的（リアルタイムに近い）

不正解の理由

B はオンプレミスを検出する機能ではなくクラウドリソース対象です。
C は Packet Mirroring の役割で SCC の機能ではありません。
D は Sensitive Data Protection（旧 DLP）の役割です。

参考：SCC asset discovery

PCSE#5(security-controls)

Compute Engine VM のディスク暗号化キーがプロジェクトのデフォルトのままで、CMEK が未適用であることを継続的に検知したいです。SCC のどの機能を有効化すべきですか。

A. Container Threat Detection
B. Event Threat Detection
C. Security Health Analytics
D. Web Security Scanner

正解と解説ディスカッション 0

正解：C

正解の根拠

Security Health Analytics（SHA）は構成ミス（Misconfiguration）を検出するマネージドサービスで、CMEK 未適用や公開バケットなどのポスチャ違反を継続的にスキャンします。

SHA 検出例	説明
DISK_CMEK_DISABLED	ディスクが CMEK 未使用
PUBLIC_BUCKET_ACL	バケットが公開状態

不正解の理由

B はログから脅威イベントを検知する機能で、構成ポスチャ評価ではありません。
C は GKE 内のランタイム脅威検出で、構成検査ではありません。
D は Web アプリの脆弱性スキャンで構成検査用途ではありません。

参考：SHA overview