PSOE#5(platform-operations)
あなたはエネルギー会社の SecOps 担当です。本社オフィス内の隔離された OT セグメントから、PLC 制御サーバの Syslog を Google SecOps に取り込む必要があります。OT セグメントから Google API への直接アウトバウンド接続は禁止されており、IT セグメントの DMZ にあるプロキシ経由のみ許可されています。最小の運用負荷で取り込みを実現する構成はどれですか。
正解:C
正解の根拠
Google SecOps Forwarder は受信したログを集約し、HTTPS プロキシ経由で送信する設定 (forwarder.proxy 設定) を標準サポートします。OT 機器は Forwarder へ Syslog を投げるだけで済み、エージェントインストールが不要です。
取り込み手段比較
| 手段 | OT 機器変更 | プロキシ対応 |
|---|---|---|
| Forwarder + Proxy | 不要 | 標準対応 |
| Bindplane Agent | 必要 | 個別設定 |
| Cloud Logging 経由 | 大幅変更 | 不要 |
| S3 中継 | 大幅変更 | 遅延発生 |
不正解の理由
- B は PLC へのエージェント導入が現実的でなく、直接 API 送信もネットワーク制約に違反します。
- C は OT 機器に Cloud Logging クライアント実装が必要で、過剰な改修となります。
- D はリアルタイム性を犠牲にし、S3 のコストも発生します。
コメント