WEB問題集
あなたは小売業の Google SecOps Enterprise Plus テナントを運用しています。グローバル展開する子会社が独自のロゴ、独自のケース命名規則、独自のプレイブックセットを必要としており、本社の SOC アナリストが子会社の生データを参照できないようにする必要があります。テナント追加コストを最小化しつつ要件を満たす最初のステップを選んでください。
正解:A
正解の根拠
SOAR の Environment は単一テナント内で論理的にケース、プレイブック、コネクタ、UI ブランディングを分離する仕組みです。Environment ごとに権限グループを割り当てれば本社アナリストの子会社ケース閲覧をブロックでき、追加テナント購入は不要です。
サービス比較
| 選択肢 | 分離単位 | 追加コスト |
|---|---|---|
| 新 Environment | ケース、プレイブック、UI | なし |
| 新テナント | 完全分離 | 大 |
| SOC ロール | 権限のみ、データは見える | なし |
| Workforce Pool | 認証層のみ | なし |
不正解の理由
- A は要件を満たしますが、Environment で済むためテナント追加は過剰投資です。
- B は IdP 層の話であり、ケースデータの分離とは別レイヤーです。
- D は SOC ロールがケース可視性そのものを完全に遮断する設計ではなく、Environment と組み合わせて初めて機能します。
製造業の SOC リードであるあなたは、地域 SOC のジュニアアナリスト 12 名に対し、Google SecOps の検出ルール、参照リスト、データテーブルを閲覧できるようにしたいと考えています。ただしルールの作成・編集や Retrohunt 実行はさせません。Cloud Identity を IdP として使用しており、Google Group は既に存在します。最も適切な IAM 構成を選んでください。
正解:A
正解の根拠
roles/chronicle.Viewer は検出エンジンルール、参照リスト、データテーブルを含むリソース全般への読み取り専用アクセスを付与します。limitedViewer はルール本体や参照リストの内容まで見られないため、要件を満たしません。
ロール比較
| ロール | ルール閲覧 | ルール編集 | Retrohunt |
|---|---|---|---|
| chronicle.Viewer | 可 | 不可 | 不可 |
| chronicle.limitedViewer | 不可 | 不可 | 不可 |
| chronicle.editor | 可 | 可 | 可 |
| chronicle.admin | 可 | 可 | 可 |
不正解の理由
- A は editor が書き込み権限を含み、運用ルールでは技術的な保証になりません。
- C は limitedViewer がルール本体を非表示にするため要件未達です。
- D は Cloud Identity が既に IdP であり、Workforce Pool は外部 IdP 統合用なので不要です。
あなたは銀行の Google SecOps プラットフォーム管理者です。本部の Active Directory を IdP として継続利用したい一方で、SecOps へのアクセスは AD グループに基づき制御する要件があります。Cloud Identity への同期は経営判断により禁止されています。最小構成で要件を満たす設計はどれですか。
正解:C
正解の根拠
Workforce Identity Federation は外部 IdP の人間ユーザーを Cloud Identity に同期せずに Google Cloud リソースへアクセスさせる仕組みです。AD グループメンバーシップを SAML 属性で渡し、principalSet で IAM ロールを付与します。
機能比較
| 機能 | 用途 | Cloud Identity 同期 |
|---|---|---|
| Workforce Identity Federation | 人間ユーザー | 不要 |
| Workload Identity Federation | ワークロード | 不要 |
| GCDS | ディレクトリ同期 | 必要 |
不正解の理由
- A は Cloud Identity への同期が禁止されているため要件違反です。
- B は手動運用で大規模化に耐えず、グループベース制御もできません。
- C は Workload 用であり、人間ユーザーには適していません。
製薬企業の SecOps 運用チームは、Google SecOps Standard ライセンスを購入済みです。マネジメントから、UEBA ベースのリスク分析、Applied Threat Intelligence によるキュレートされた IOC マッチング、SOAR プレイブックによる自動化を全て利用したいとの要望が出ました。これらすべての機能を 1 つのライセンスで利用できる SKU を選んでください。
正解:C
正解の根拠
Google SecOps Enterprise Plus は UEBA、Applied Threat Intelligence (Mandiant 由来の IOC スコアリング)、SOAR、Gemini in SecOps をすべてバンドルした最上位 SKU です。Standard には SOAR や Applied TI が含まれず、Enterprise にも Applied Threat Intelligence の優先 IOC が含まれません。
SKU 比較
| 機能 | Standard | Enterprise | Enterprise Plus |
|---|---|---|---|
| UDM 検索 / YARA-L | 有 | 有 | 有 |
| SOAR | 無 | 有 | 有 |
| UEBA / Risk Analytics | 無 | 有 | 有 |
| Applied Threat Intelligence | 無 | 無 | 有 |
不正解の理由
- A は Standard に SOAR と Applied TI が含まれません。
- B は Enterprise に Applied Threat Intelligence の curated IOC が付属しません。
- D は Mandiant Advantage を別契約しても SOAR は別購入が必要となり、要件を 1 ライセンスで満たせません。
あなたはエネルギー会社の SecOps 担当です。本社オフィス内の隔離された OT セグメントから、PLC 制御サーバの Syslog を Google SecOps に取り込む必要があります。OT セグメントから Google API への直接アウトバウンド接続は禁止されており、IT セグメントの DMZ にあるプロキシ経由のみ許可されています。最小の運用負荷で取り込みを実現する構成はどれですか。
正解:C
正解の根拠
Google SecOps Forwarder は受信したログを集約し、HTTPS プロキシ経由で送信する設定 (forwarder.proxy 設定) を標準サポートします。OT 機器は Forwarder へ Syslog を投げるだけで済み、エージェントインストールが不要です。
取り込み手段比較
| 手段 | OT 機器変更 | プロキシ対応 |
|---|---|---|
| Forwarder + Proxy | 不要 | 標準対応 |
| Bindplane Agent | 必要 | 個別設定 |
| Cloud Logging 経由 | 大幅変更 | 不要 |
| S3 中継 | 大幅変更 | 遅延発生 |
不正解の理由
- B は PLC へのエージェント導入が現実的でなく、直接 API 送信もネットワーク制約に違反します。
- C は OT 機器に Cloud Logging クライアント実装が必要で、過剰な改修となります。
- D はリアルタイム性を犠牲にし、S3 のコストも発生します。