Google Cloud認定 Professional Cloud Security Engineer WEB問題集

WEB問題集

Question#1(Professional Cloud Security Engineer)

あなたの組織には Cloud Run でホストされているアプリケーションがあります。以下の要件を満たしながら、Cloud Identity-Aware Proxy (IAP) を使用してアプリケーションへのアクセスを制御する必要があります。

AppDev グループのユーザーのみがアクセスできるようにする。
アクセスを内部ネットワークの IP アドレスのみに制限する。

あなたはどうすべきですか？

A. VPN ゲートウェイをデプロイし、AppDev グループに対して、アプリケーションにアクセスする前に社内ネットワークに接続するよう指示する。
B. 内部 IP アドレス範囲と AppDev グループの条件を含むアクセスレベル (Access Level) を作成する。このアクセスレベルをアプリケーションの IAP ポリシーに適用する。
C. AppDev グループとソース IP アドレスに基づいて IAP へのアクセスを制限するようにファイアウォールルールを構成する。
D. すべてのユーザーに対して多要素認証 (MFA) を強制するように IAP を構成し、ネットワーク侵入検知システム (NIDS) を使用して不正なアクセス試行をブロックする。

正解と解説ディスカッション 0

正解：B

この問題のポイントは、Identity-Aware Proxy (IAP) と Access Context Manager を組み合わせた「コンテキストに基づくアクセス制御」を理解しているかどうかです。

なぜ B が正しいのか:
- IAP は単なる「ユーザー認証」だけでなく、Access Context Manager で定義した「アクセスレベル」を利用して、ユーザーの属性（グループ所属）やデバイスの属性、ネットワークの属性（IP アドレス）を評価できます。
- 「AppDev グループのみ」という要件は IAM ロールで解決できますが、「内部 IP からのみ」という要件を組み合わせるには、アクセスレベル (Access Level) を作成し、それを IAP のポリシーに適用するのが Google Cloud のベストプラクティスです。

Question#2(Professional Cloud Security Engineer)

あなたは組織のために Google Cloud 上に Secure Web Proxy インスタンスを実装したばかりです。テスト用インスタンスでこの構成をテストした際には、インターネットにアクセスできることを確認できました。しかし、開発者たちが Google Cloud 上の自分たちの Linux インスタンスから Secure Web Proxy インスタンス経由で許可された URL にアクセスしようとすると、アクセスできません。この問題を解決するために、開発者に対して何をすべきだと指示しますか？

A. 開発者インスタンスのサブネットからインターネットアクセスを有効にするために、Cloud NAT ゲートウェイを構成する。
B. 開発者がインスタンスを再起動し、HTTP サービスが有効になっていることを確認する。
C. 開発者がインスタンス上でプロキシのアドレスを明示的に構成（設定）していることを確認する。
D. 開発者インスタンスからの HTTP/S 通信を許可するファイアウォールルールを構成する。

正解と解説ディスカッション 0

正解：C

この問題は、Secure Web Proxy (SWP) の基本的な仕組みと、クライアント側の設定（明示的プロキシ）に関する知識を問うものです。

なぜ C が正しいのか:
- Google Cloud の Secure Web Proxy は、いわゆる「明示的プロキシ (Explicit Proxy)」として動作します。
- クライアント（この場合は Linux インスタンス）がプロキシを経由するためには、OS やアプリケーションの環境変数（http_proxy や https_proxy など）にプロキシの IP アドレスやポート番号を明示的に設定する必要があります。
- テストインスタンスでは成功し、開発者インスタンスで失敗している原因として、最も一般的なのは「クライアント側でプロキシを使用する設定が行われていない」ことです。

Question#3(Professional Cloud Security Engineer)

あなたは _Default ログバケットを置き換えるために、新しいログバケットを作成したばかりです。現在 _Default ログバケットにルーティングされているすべてのログエントリを、最も効率的な方法でこの新しいログバケットにルーティングしたいと考えています。あなたはどうすべきですか？

A. _Default シンクに除外フィルター（Exclusion filters）を作成して、新しいログを受け取らないようにする。ユーザー定義のシンクを作成し、送信先として新しいログバケットを選択する。
B. _Default シンクを無効化（Disable）する。ユーザー定義のシンクを作成し、送信先として新しいログバケットを選択する。
C. _Default シンクからコピーした包含フィルター（Inclusion filters）を使用して、ユーザー定義のシンクを作成する。送信先として新しいログバケットを選択する。
D. _Default シンクを編集し、新しいログバケットをシンクの送信先として選択する。

正解と解説ディスカッション 0

正解：D

この問題は、Cloud Logging における シンク（Sink）とバケット（Bucket）の柔軟性 に関する知識を問うものです。

なぜ D が正しいのか:
- Google Cloud のログルーティングにおいて、_Default シンクは編集可能です。
- 新しくシンクを作成（選択肢 A, B, C）するよりも、既存の _Default シンクの「送信先（Destination）」をデフォルトのバケットから新しいカスタムバケットへ変更する方が、設定の手間が少なく、最も効率的（most efficient manner） です。
- これにより、現在 _Default シンクが受け取っているログの種類（フィルター条件）を維持したまま、保存先だけをスマートに変更できます。

Question#4(Professional Cloud Security Engineer)

あなたの組織の Google Cloud 利用は大幅に拡大し、多くの異なるグループがさまざまなクラウドリソースを独立して使用しています。組織全体で共通の誤設定（misconfigurations）やコンプライアンス違反を特定し、その検出結果をダッシュボードで追跡して修正アクションにつなげる必要があります。あなたはどうすべきですか？

A. Cloud Asset Inventory でフィルターセットを作成し、権限の高いサービスアカウントや Gmail ドメインを持つ IAM プリンシパルを特定する。
B. Security Command Center (SCC) Premium の Security Health Analytics 検出器を使用して、脆弱性や誤設定のスキャンとアラート作成を行う。
C. Cloud Audit Logs にフィルターを設定して特定の高リスクな API 呼び出しをフラグ付けし、その呼び出しを Cloud Log Analytics ダッシュボードに表示する。
D. Event Threat Detection 検出器を使用して、環境内で検出された新たな攻撃についてアラートを出し、追跡する。

正解と解説ディスカッション 0

正解：B

この問題は、Google Cloud における集中型セキュリティ管理プラットフォームである Security Command Center (SCC) の役割を問うものです。

なぜ B が正しいのか:
- Security Command Center (SCC) は、組織レベルでリソースのセキュリティ状態を可視化する中心的なツールです。
- その中の機能である Security Health Analytics は、公開されているバケット、ファイアウォールの不備、暗号化の欠如などの「誤設定」や「コンプライアンス違反」を自動的にスキャンするように設計されています。
- SCC には標準でダッシュボードが備わっており、検出結果（Findings）を追跡し、修正状況を管理するのに最適です。

Question#5(Professional Cloud Security Engineer)

あなたは組織の Google Cloud 環境で実行されている一連の Cloud Functions を担当しています。昨年の年次セキュリティレビューにおいて、いくつかの Cloud Functions の**環境変数の中に機密情報（シークレット）**が含まれていることが特定されました。あなたは、機密情報がタイムリーに特定されるようにする必要があります。あなたはどうすべきですか？

A. 定期的なピアレビュー（相互レビュー）を実施して環境変数を評価し、Cloud Functions 内のシークレットを特定する。シークレットが発見された場合はセキュリティインシデントを報告する。
B. 環境変数を1日に複数回スキャンする Cloud Function を実装し、シークレットが発見された場合は Security Command Center に検出結果（Finding）を作成する。
C. Sensitive Data Protection (旧称 Cloud DLP) を使用して環境変数を1日に複数回スキャンし、シークレットが発見された場合は Security Command Center に検出結果を作成する。
D. CI/CD パイプラインに動的アプリケーションセキュリティテスト（DAST）を統合し、Cloud Functions のアプリケーションコードをスキャンする。シークレットが発見された場合はビルドプロセスを失敗させる。

正解と解説ディスカッション 0

正解：C

この問題は、Google Cloud における機密データ（PII、認証情報、キーなど）の検出と保護に関する最適なツールを問うものです。

なぜ C が正しいのか:
- Sensitive Data Protection (旧称 Cloud DLP) は、テキストやファイルの中からパスワード、API キー、クレジットカード番号などの機密データをスキャンして分類するための Google Cloud 専用サービスです。
- 選択肢 C は、スキャンを自動化（1日に複数回）し、その結果を Security Command Center (SCC) に集約するという構成になっており、組織全体のセキュリティ管理プロセスとして最も標準的かつ効率的です。
- Cloud DLP には、パスワードや秘密鍵などを検出するためのインフォタイプ（InfoType）が標準で備わっています。