Professional Cloud Security Engineer

セクション 1: クラウド ソリューション環境内のアクセスの構成

1.1 Cloud Identity を構成する。以下のような点を考慮します。

    ●  Cloud Identity の管理

    ●  Google Cloud Directory Sync の構成

    ●  特権管理者アカウントの管理

    ●  ユーザー ライフサイクル管理プロセスの自動化

    ●  プログラムを使用したユーザー アカウントとグループの管理

1.2 サービス アカウントを管理する。以下のような点を考慮します。

    ●  サービス アカウントとキーの保護と監査

    ●  ユーザーが管理するサービス アカウント キーのローテーションの自動化

    ●  サービス アカウントが必要なシナリオの特定

    ●  サービス アカウントの作成、承認、保護

    ●  API アクセス管理の安全な管理

    ●  有効期間の短い認証情報の管理と作成

1.3 認証を管理する。以下のような点を考慮します。

    ●  ユーザー アカウント用のパスワード ポリシーの作成

    ●  Security Assertion Markup Language（SAML）の構築

    ●  2 要素認証プロセスの構成と適用

1.4 承認制御を管理、実装する。 以下のような点を考慮します。

    ●  特権ロールと職掌分散の管理

    ●  基本ロール、事前定義ロール、カスタムロールによる IAM 権限の管理

    ●  異なるタイプの ID に対する権限の付与

    ●  Cloud Storage の IAM と ACL の違いの確認

    ●  組織、フォルダ、プロジェクト、リソースレベルでの ID ロールの設計

    ●  Access Context Manager の構成

1.5 リソース階層を定義する。以下のような点を考慮します。

    ●  組織の作成と管理

    ●  組織、フォルダ、プロジェクト、リソースのリソース ポリシーの設計

    ●  組織の制約の管理

    ●  リソース階層を使用したアクセス制御と権限の継承

    ●  Google Cloud プロジェクト内での信頼境界とセキュリティ境界の設計と管理

セクション 2: ネットワーク セキュリティの構成

2.1 ネットワーク セキュリティを設計する。以下のような点を考慮します。

    ●  ネットワークの境界制御の構成（ファイアウォール ルール、Identity-Aware Proxy（IAP））

    ●  ロード バランシングの構成（グローバル、ネットワーク、HTTP(S)、SSL プロキシ、TCP プロキシのロードバランサ）

    ●  Domain Name System Security Extensions（DNSSEC）の特定

    ●  プライベート アドレスとパブリック アドレスの違いの特定

    ●  ウェブ アプリケーション ファイアウォールの構成（Google Cloud Armor）

    ●  Cloud DNS の構成

2.2 ネットワークのセグメント化を構成する。以下のような点を考慮します。

    ●  VPC ネットワーク、VPC ピアリング、共有 VPC、ファイアウォール ルールのセキュリティ特性の構成

    ●  N 層アプリケーションを設計する際のネットワークの隔離とデータのカプセル化の構成

    ●  アプリ間セキュリティ ポリシーの構成

2.3 プライベート接続を確立する。以下のような点を考慮します。

    ●  RFC1918 に準拠した VPC ネットワークと Google Cloud プロジェクト間のプライベート接続の設計と構成（共有 VPC、VPC ピアリング）

    ●  RFC1918 に準拠したデータセンターと VPC ネットワーク間のプライベート接続の設計と構成（IPsec と Cloud Interconnect）

    ●  VPC と Google API 間のプライベート接続の確立（限定公開の Google アクセス、オンプレミス ホスト用の限定公開の Google アクセス、Private Service Connect）

    ●  Cloud NAT の構成

セクション 3: データ保護の確保

3.1 センシティブ データを保護する。以下のような点を考慮します。

    ●  個人情報（PII）の検査と秘匿化

    ●  仮名化の構成

    ●  フォーマット保持置換の構成

    ●  BigQuery データセットへのアクセスの制限

    ●  VPC Service Controls の構成

    ●  Secret Manager でのシークレットの保護

    ●  コンピューティング インスタンス メタデータの保護と管理

3.2 保管時の暗号化を管理する。以下のような点を考察します。

    ●  Google のデフォルトの暗号化、顧客管理の暗号鍵（CMEK）、顧客指定の暗号鍵（CSEK）、Cloud External Key Manager（EKM）、Cloud HSM のユースケースの確認

    ●  CMEK、CSEK、EKM の暗号鍵の作成と管理

    ●  ユースケースへの Google の暗号化アプローチの適用

    ●  Cloud Storage のオブジェクト ライフサイクル ポリシーの構成

    ●  Confidential Computing の有効化

セクション 4: クラウド ソリューション環境内のオペレーションの管理

4.1 安全なインフラストラクチャとアプリケーションを構築、デプロイする。以下のような点を考慮します。

    ●  CI / CD パイプラインを使用した、共通脆弱性識別子（CVE）に対するセキュリティ スキャンの自動化

    ●  仮想マシンイメージの作成、強化、メンテナンスの自動化

    ●  コンテナ イメージの作成、検証、強化、メンテナンス、パッチ管理の自動化

4.2 ロギング、モニタリング、検出を構成する。 以下のような点を考慮します。

    ●  ネットワーク ログの構成と分析（ファイアウォール ルールのログ、VPC フローログ、Packet Mirroring）

    ●  効果的なロギング戦略の設計

    ●  セキュリティ インシデントのロギング、モニタリング、対応、修正

    ●  外部セキュリティ システムへのログのエクスポート

    ●  Google Cloud Audit Logs とデータアクセス ログの構成と分析

    ●  ログのエクスポートの構成（ログシンク、集約シンク、ログルーター）

    ●  Security Command Center の構成とモニタリング（Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner）

セキュリティ 5: コンプライアンスの確保

5.1 クラウドの規制要件を決定する。 以下のような点を考慮します。

    ●  コンピューティング、データ、ネットワークに関する懸念事項の特定

    ●  セキュリティの責任共有モデルの評価

    ●  クラウド環境内のセキュリティ管理の構成

    ●  規制コンプライアンスのためのコンピューティングとデータの制限

    ●  規制コンプライアンスのための Google Cloud 環境の決定