Question#2(Associate Cloud Engineer)
あなたの会社のセキュリティ脆弱性管理ポリシーでは、セキュリティチームのメンバーが特定のCompute Engineインスタンスに関する脆弱性およびその他のOSメタデータを可視化できるようにする必要があります。このCompute Engineインスタンスは、Google Cloudプロジェクト内の重要なアプリケーションをホストしています。あなたは会社のセキュリティ脆弱性管理ポリシーを実装する必要があります。どうすべきでしょうか?
正解:C
- OS Config エージェントのインストール: OS Config エージェントは、Compute Engine インスタンスのゲスト OS レベルの情報を収集し、OS ポリシーの適用、パッチ適用の管理、そして脆弱性レポートの生成を行います。問題文で求められている「脆弱性やその他の OS メタデータ」の可視性を確保するためには、このエージェントが必須です。OS Config エージェントが有効になっていれば、OS インベントリデータ(OS メタデータ)と脆弱性レポートが自動的に収集されます。
roles/osconfig.vulnerabilityReportViewer権限の付与: この IAM ロールは、OS Config サービスによって生成される脆弱性レポートを表示するための最小限の権限を提供します。これにより、セキュリティチームのメンバーは、指定された Compute Engine インスタンスの脆弱性に関する情報を確認できるようになります。このロールは、セキュリティポリシーの要件である「脆弱性への可視性」を直接満たします。
Compute Engineインスタンスの脆弱性スキャンやOSメタデータ(パッケージ情報、カーネル、構成情報など)を取得するには、OS Config エージェントをインスタンスにインストールする必要があります。OS Configはインベントリ管理と脆弱性スキャンをサポートしており、その結果はGoogle Cloud ConsoleやAPIを通じて確認可能です。さらに、セキュリティチームのメンバーが脆弱性レポートを参照できるようにするには、roles/osconfig.vulnerabilityReportViewer を付与することが推奨されています。これにより、必要な情報への最小権限アクセスが実現でき、Google推奨のセキュリティポリシーに準拠した実装となります。
コメント