2022-06-29 Google Cloud Certified Professional Cloud Security Engineer 模擬試験の復習
Google Cloud Certified Professional Cloud Security Engineer 模擬試験
今回でとりあえず、 Google Cloud Certified Professional Cloud Security Engineer の模擬試験の復習は終わった。
次は、 Cloud Skills Boost を進めていく予定。
ウェブアプリケーションの脆弱性スキャン
問題
Web Security Scanner を使用して、App Engine アプリの脆弱性スキャンを実行する必要がありますが、スキャン完了後、レポートに表示されるウェブページの結果の件数が正しくありません。マウスオーバー メニューのページが抜けているようです。スキャンを適切に実行し、このメニューを取り込むためには、どうすればよいですか?
回答
スキャンを変更し、追加の開始 URL を含めるようにする。
解説
C が正解です。Web Security Scanner は、マウスオーバーによるマルチレベル メニューのような複雑な JavaScript を処理できない場合があります。このシナリオでは、追加の開始 URL を指定することで、スキャン対象を広げることができます。
Web Security Scanner というツールを用いて、ウェブアプリケーションの脆弱性スキャンを行うことができる。
これは、 Security Command Center という GCP のサービスのうちの一つである。
Web Security Scanner の概要 | Security Command Center | Google Cloud
Security Command Center
脆弱性と脅威の報告を一元的に行うサービスである。
Container, VM のセキュリティ脅威査定や、 Web アプリケーションのセキュリティスキャンなどができる。
PII の保管
問題
ある組織が、GDPR コンプライアンス戦略に取り組んでいます。個人を特定できる情報(PII)を、第三者が閲覧できないように Cloud Storage バケットに保管する制御機能を実装したいと考えています。PII を内部に公開することなく、PII が適切な場所に保管されていることを検証するには、どの Google Cloud ソリューションを使用すればよいですか?
回答
Cloud Data Loss Prevention API
解説
個人が特定できる情報 (PII) について、内部に公開することなく、適切な場所に保管されていることを保管する
-> そういうことをするのは Cloud Data Loss Prevention。
顧客指定の暗号鍵の利用
問題
クラウドを利用しているお客様が、オンプレミスの鍵管理システムを使用して、暗号鍵の生成、保護、ローテーション、監査を行いたいと考えています。このお客様が、Cloud Storage と自社の暗号鍵を併用するには、どうすればよいですか?
回答
顧客指定の暗号鍵(CSEK)を使用する。
解説
オブジェクトのサーバ側暗号化の話。
デフォルトでは、Google が生成し管理する AES-256 形式の暗号化鍵が自動生成され、自動的に適用される。
このデフォルトの鍵を利用せず、独自の鍵を利用したい場合の選択肢は二つある。
それぞれ「顧客管理の暗号鍵 (CMEK)」 と、「顧客指定の暗号鍵 (CSEK)」である。
顧客管理の暗号化鍵 (CMEK)
顧客が Cloud Key Management Service を利用して鍵を生成し、管理する。
これが Consumer Managed Encryption Keys, CMEK である。
顧客指定の暗号化鍵 (CSEK)
顧客がオブジェクトを Cloud Storage に保存する際、毎回そのリクエストに鍵の情報を含め、利用する暗号化鍵を指定する。
これが、 Consumer Supplied Encryption Keys, CSEK である。
Cloud Key Management Service 上で作成しておらず、また管理していない鍵ファイルについてはこの方法を使わないと利用できないため、今回のユースケースにおいては CSEK が適切である。
決済システムのセキュリティ (PCI DSS)
問題
あなたは、Google Kubernetes Engine を使用して適切なセキュリティ管理を適用する必要がある決済処理環境の実装を担当しています。何をすべきですか?
回答
Pod とノードに対するファイル整合性モニタリングとアンチウイルス スキャンを強制する。
PCI DSS compliance on GKE | Cloud Architecture Center
解説
- 正解です。これは、PCI DSS のセクション 5 および 11 の要件です。
決済処理環境など、クレジットカードが絡む場合は PCI DSS というセキュリティ標準を意識し、必要があればその要件を満たす必要がある。
POS アプリケーションのセキュリティ (PCI DSS)
問題
ある小売企業が、e コマースサイト(POS アプリケーションを含む)を Google Cloud に移行しようとしています。この場合に遵守する必要があるコンプライアンス標準はどれですか?
回答
PCI DSS
解説
A は不正解です。FedRAMP は米国政府規模のプログラムであり、クラウド関連のプロダクトとサービスのセキュリティ評価、認可、継続的モニタリングのための標準的なアプローチを定めています。そのため、このユースケースの業界とは無関係です。
B は不正解です。HIPAA は、個人の医療情報を保護することを目的として、特定の団体や個人に対し、データのプライバシーとセキュリティの要件を定めている米国の連邦法です。そのため、このユースケースの業界とは無関係です。
C は不正解です。SOX は、米国の公開会社の会計および財務レポートに関するものです。このユースケースとは関係ありません。
D が正解です。PCI DSS は、PCI Security Standards Council で採択された一連のネットワーク セキュリティおよびビジネス上のベスト プラクティス ガイドラインによって構成され、お客様の決済カード情報を保護するための「最小限のセキュリティ基準」が定められています。このユースケースの業界やワークロードに関連しています。
PCI DSS - Compliance | Google Cloud
PCI DSS
Payment Card Industory Data Security Standard (PCI DSS)。
クレジットカード業界のセキュリティ基準である。加盟店やサービスプロバイダにおいて、クレジット会員データを安全に取り扱うためのもの。
American Express, Discover, JCB, MasterCard, VISA の 5社が共同設立した PCI SSC という機関によって、運用管理を実施している。