Question#5(Professional Cloud Security Engineer)

あなたは組織の Google Cloud 環境で実行されている一連の Cloud Functions を担当しています。昨年の年次セキュリティレビューにおいて、いくつかの Cloud Functions の**環境変数の中に機密情報（シークレット）**が含まれていることが特定されました。あなたは、機密情報がタイムリーに特定されるようにする必要があります。あなたはどうすべきですか？

A. 定期的なピアレビュー（相互レビュー）を実施して環境変数を評価し、Cloud Functions 内のシークレットを特定する。シークレットが発見された場合はセキュリティインシデントを報告する。
B. 環境変数を1日に複数回スキャンする Cloud Function を実装し、シークレットが発見された場合は Security Command Center に検出結果（Finding）を作成する。
C. Sensitive Data Protection (旧称 Cloud DLP) を使用して環境変数を1日に複数回スキャンし、シークレットが発見された場合は Security Command Center に検出結果を作成する。
D. CI/CD パイプラインに動的アプリケーションセキュリティテスト（DAST）を統合し、Cloud Functions のアプリケーションコードをスキャンする。シークレットが発見された場合はビルドプロセスを失敗させる。

正解と解説ディスカッション 0

正解：C

この問題は、Google Cloud における機密データ（PII、認証情報、キーなど）の検出と保護に関する最適なツールを問うものです。

なぜ C が正しいのか:
- Sensitive Data Protection (旧称 Cloud DLP) は、テキストやファイルの中からパスワード、API キー、クレジットカード番号などの機密データをスキャンして分類するための Google Cloud 専用サービスです。
- 選択肢 C は、スキャンを自動化（1日に複数回）し、その結果を Security Command Center (SCC) に集約するという構成になっており、組織全体のセキュリティ管理プロセスとして最も標準的かつ効率的です。
- Cloud DLP には、パスワードや秘密鍵などを検出するためのインフォタイプ（InfoType）が標準で備わっています。

Question#5(Professional Cloud Security Engineer)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル