Professional Cloud Security Engineer

セクション 1: クラウド ソリューション環境内のアクセスの構成（試験内容の約 27%）

1.1 Cloud Identity の管理。以下のような点を考慮します。

   ●  Google Cloud Directory Sync とサードパーティ コネクタの構成

   ●  Google Cloud Directory Sync の構成

   ●  特権管理者アカウントの管理

   ●  ユーザー ライフサイクル管理プロセスの自動化

   ●  プログラムを使用したユーザー アカウントとグループの管理

1.2 サービス アカウントを管理する。以下のような点を考慮します。

   ●  サービス アカウントとキーの保護と監査

   ●  ユーザーが管理するサービス アカウント キーのローテーションの自動化

   ●  サービス アカウントが必要なシナリオの特定

   ●  サービス アカウントの作成、無効化、保護

   ●  有効期間の短い認証情報の管理と作成

   ●  Workload Identity 連携の構成

   ●  デフォルト サービス アカウントの保護

   ●  サービス アカウントの権限借用を管理する

1.3 認証を管理する。以下のような点を考慮します。

   ●  ユーザー アカウントのパスワードとセッション管理ポリシーの作成

   ●  Security Assertion Markup Language（SAML）と OAuth の設定

   ●  2 要素認証プロセスの構成と適用

1.4 承認制御を管理、実装する。 以下のような点を考慮します。

   ●  Identity and Access Management（IAM）のロールと権限による特権ロールと職掌分散の管理

   ●  異なるタイプの ID に対する権限の付与

   ●  IAM とアクセス制御リスト（ACL）の権限の管理

   ●  組織、フォルダ、プロジェクト、リソースレベルでの ID ロールの設計

   ●  Access Context Manager の構成

   ●  Policy Intelligence を適用した権限管理の改善

   ●  グループを通じた権限の管理

1.5 リソース階層を定義する。以下のような点を考慮します。

   ●  組織の作成と管理

   ●  組織のフォルダ、プロジェクト、リソースの組織のポリシーの管理

   ●  リソース階層を使用したアクセス制御と権限の継承

セクション 2: 境界と境界のセキュリティの構成（試験内容の約 21%）

2.1 境界セキュリティを設計する。以下のような点を考慮します。

   ●  ネットワークの境界制御（ファイアウォール ルール、階層型ファイアウォール、Identity-Aware Proxy（IAP）、ロードバランサ、Certificate Authority Service）の構成

   ●  プライベート アドレスとパブリック アドレスの違いの特定

   ●  ウェブ アプリケーション ファイアウォールの構成（Google Cloud Armor）

   ●  Cloud DNS セキュリティ設定の構成

2.2 境界セグメントを構成する。以下のような点を考慮します。

   ●  VPC ネットワーク、VPC ピアリング、共有 VPC、ファイアウォール ルールのセキュリティ特性の構成

   ●  N 層アプリケーションを設計する際のネットワークの隔離とデータのカプセル化の構成

   ●  VPC Service Controls の構成

2.3 プライベート接続を確立する。以下のような点を考慮します。

   ●  VPC ネットワークと Google Cloud プロジェクト間のプライベート接続の設計と構成（共有 VPC、VPC ピアリング、およびオンプレミス ホスト用の限定公開の Google アクセス）

   ●  データセンターと VPC ネットワーク間のプライベート接続の設計と構成（IPsec と Cloud Interconnect）

   ●  VPC と Google API 間のプライベート接続の確立（限定公開の Google アクセス、制限付きの Google アクセス、オンプレミス ホスト用の限定公開の Google アクセス、Private Service Connect）

   ●  Cloud NAT を使用した送信トラフィックの有効化

セクション 3: データ保護の確保（試験内容の約 20%）

3.1 機密データの保護とデータ損失の防止。以下のような点を考慮します。

   ●  個人情報（PII）の検査と秘匿化

   ●  仮名化の構成

   ●  フォーマット保持置換の構成

   ●  BigQuery、Cloud Storage、Cloud SQL のデータストアへのアクセスの制限

   ●  Secret Manager でのシークレットの保護

   ●  コンピューティング インスタンス メタデータの保護と管理

3.2 保存中、転送中、使用中の暗号化の管理。以下のような点を考慮します。

   ●  Google のデフォルトの暗号化、顧客管理の暗号鍵（CMEK）、顧客指定の暗号鍵（CSEK）、Cloud External Key Manager（EKM）、Cloud HSM のユースケースの確認

   ●  CMEK、CSEK、EKM の暗号鍵の作成と管理

   ●  ユースケースへの Google の暗号化アプローチの適用

   ●  Cloud Storage のオブジェクト ライフサイクル ポリシーの構成

   ●  Confidential Computing の有効化

   ●  転送データの暗号化

セクション 4: クラウド ソリューション環境内のオペレーションの管理（試験内容の約 22%）

4.1 安全なインフラストラクチャとアプリケーションを構築、デプロイする。以下のような点を考慮します。

   ●  継続的インテグレーションと継続的デリバリー（CI/CD）のパイプラインによる、共通脆弱性識別子（CVE）に対するセキュリティ スキャンの自動化

   ●  仮想マシンイメージの作成、強化、メンテナンス、パッチ管理の自動化

   ●  コンテナ イメージの作成、検証、強化、メンテナンス、パッチ管理の自動化

   ●  Policy as Code とドリフト検出の自動化

4.2 ロギング、モニタリング、検出を構成する。 以下のような点を考慮します。

   ●  ネットワーク ログの構成と分析（ファイアウォール ルールのログ、VPC フローログ、Packet Mirroring、Cloud Intrusion Detection System（Cloud IDS））

   ●  効果的なロギング戦略の設計

   ●  セキュリティ インシデントのロギング、モニタリング、対応、修正

   ●  外部セキュリティ システムへのログのエクスポート

   ●  Google Cloud Audit Logs とデータアクセス ログの構成と分析

   ●  ログのエクスポートの構成（ログシンクと集約シンク）

   ●  Security Command Center の構成とモニタリング（Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner）

セクション 5: コンプライアンス要件のサポート（試験内容の約 10%）

5.1 クラウドの規制要件を決定する。 以下のような点を考慮します。

   ●  コンピューティング、データ、ネットワークに関する懸念事項の特定

   ●  セキュリティの共有責任モデルの評価（アクセスの透明性）

   ●  クラウド環境内のセキュリティ管理の構成（データとサービスのリージョン化）

   ●  規制コンプライアンスのためのコンピューティングとデータの制限

   ●  規制コンプライアンスのための Google Cloud 環境の決定