Google Professional Cloud Security Engineer (PCSE) ダンプと解説

あなたの会社は、10 個のフォルダと 150 個のプロジェクトを持つ単一の Google Cloud organization を運用しています。SOC は、すべての Google Cloud Console のサインインイベントと、リソース構成を変更する API 呼び出しを、既存および将来のすべてのプロジェクトを対象に、60 秒以内で外部の SIEM にストリーミングすることを求めています。 要件: - 組織階層全体（フォルダおよびプロジェクト）に対する関連ログを収集し、エクスポートする。 - ログをほぼリアルタイム（<60 秒）で SIEM に配信する。 - Console のログインイベントと、構成を変更する管理アクティビティを含める。 何をすべきですか？（2 つ選択）

あなたのヘルスケア分析系スタートアップは、Google Cloud 上で、Compute Engine の VM、GKE Autopilot クラスタ、Cloud Storage バケット、BigQuery のデータセット（約 50 TB）、毎秒約 80,000 メッセージを処理する Pub/Sub トピックにまたがるマルチリージョンのテレメトリ・パイプラインを構築しています。 GDPR の「Data Protection by Design」プログラムに基づくセキュリティ審査では、次を必須要件としています。(1) 暗号鍵の作成、90 日ローテーション、IAM スコープによる鍵利用の制御は、Google ではなくあなたが管理すること。(2) 鍵は外部のキーストアに依存せず、Google Cloud KMS/HSM 内に存在すること。(3) 上記すべてのサービスで一貫してサポートされる単一の鍵管理アプローチであること。 これらの要件を満たすには、どのオプションを選ぶべきですか？

あなたは Google Cloud 上のフィンテック取引プラットフォームのネットワークセキュリティを担当しています。 現在は、3 つの VPC 全体で 5 分の集計間隔で BigQuery にエクスポートされた VPC Flow Logs を用いて異常を検出しています。 レッドチーム演習により、単一の VPC 内の 2 つの本番サブネット（10.20.0.0/24 と 10.20.1.0/24）間の east-west トラフィックについて、フルパケットのペイロードおよび L4/L7 ヘッダーを調査し、元のパケットを変更することなく、このトラフィックのうち最大 8 Gbps をサードパーティ製 NIDS が稼働する Compute Engine VM にコピー転送することが求められています。 どの Google Cloud プロダクトを使用すべきですか？

us-central1 に Cloud Run job をデプロイする。ジョブは 4 時間ごとに約 20 分間実行され、最大 500 MB のログアーカイブを圧縮して Cloud Storage のバケット cr-logs-archive にアップロードする。ジョブは実行中、バケットに対して書き込み専用アクセス（read、list、delete は不可）である必要があり、長期有効な認証情報は避けたい。また、アップロードを完了するために必要最小限の権限のみを付与しなければならない。どうすべきか？

あるメディアストリーミング系スタートアップが、48時間以内に external HTTP(S) Load Balancer の背後で Cloud Run 上にパブリックな REST API を公開する必要があります。セキュリティチームは、ネットワーク構成やデプロイツールを変更せずに、コンテナイメージの攻撃面を最小化すること（目標イメージサイズは200 MB未満、対話型シェルやパッケージマネージャは含めない、必要なランタイムファイルのみを含める）を必須要件としています。この要件を満たすために、チームは何をすべきですか？