Professional Cloud Security Engineer

認定試験ガイド

Professional Cloud Security Engineer は、組織が Google Cloud で安全なインフラストラクチャを設計、実装できるように支援します。セキュリティに関するベスト プラクティスと業界のセキュリティ要件についての知識を活かしながら、Google のセキュリティ技術を活用して安全なインフラストラクチャを設計、開発、管理します。ID とアクセスの管理、組織構造とポリシーの定義、Google のデータ保護技術の使用、ネットワークのセキュリティ防御の構成、Google Cloud のログの収集と分析、インシデント対応の管理、規制に関する懸念事項の把握など、Cloud Security Professional はクラウド セキュリティ全般に精通している必要があります。

1. クラウド ソリューション環境内のアクセスの構成

    1.1 Cloud Identity を構成する。以下のような点を考察します。

    • Cloud Identity の管理
    • Google Cloud Directory Sync の構成
    • 特権管理者アカウントの管理

    1.2 ユーザー アカウントを管理する。以下のような点を考察します。

    • プロジェクトや組織レベルでの ID ロールの設計
    • ユーザー ライフサイクル管理プロセスの自動化
    • API の使用

    1.3 サービス アカウントを管理する。以下のような点を考察します。

    • サービス アカウントとキーの監査
    • ユーザーが管理するサービス アカウント キーのローテーションの自動化
    • サービス アカウントが必要なシナリオの特定
    • サービス アカウントの作成、承認、保護
    • API アクセスの安全な管理

    1.4 認証を管理する。以下のような点を考察します。

    • ユーザー アカウント用のパスワード ポリシーの作成
    • Security Assertion Markup Language(SAML)の構築
    • 2 要素認証プロセスの構成と適用

    1.5 承認制御を管理、実装する。以下のような点を考察します。

    • リソース階層を使用したアクセス制御
    • 特権ロールと職掌分散
    • 基本ロール、事前定義ロール、カスタムロールによる IAM 権限の管理
    • 異なるタイプの ID に対する権限の付与
    • Google Cloud Storage の IAM と ACL の違いの確認

    1.6 リソース階層を定義する。以下のような点を考察します。

    • 組織の作成と管理
    • リソース構造(組織、フォルダ、プロジェクト)
    • 組織の制約の定義と管理
    • リソース階層を使用したアクセス制御と権限の継承
    • Google Cloud プロジェクトにおける信頼とセキュリティの境界

2. ネットワーク セキュリティの構成

    2.1 ネットワーク セキュリティを設計する。以下のような点を考察します。

    • VPC ネットワーク、VPC ピアリング、共有 VPC、ファイアウォール ルールのセキュリティ特性
    • N 層アプリケーションを設計する際のネットワークの隔離とデータのカプセル化
    • DNSSEC の使用
    • プライベート アドレスと公開アドレスの指定
    • アプリ間のセキュリティ ポリシー

    2.2 ネットワークのセグメント化を構成する。以下のような点を考察します。

    • ネットワークの境界の制御(ファイアウォール ルール、IAP)
    • 負荷分散(グローバル、ネットワーク、HTTP(S)、SSL プロキシ、TCP プロキシのロードバランサ)

    2.3 プライベート接続を確立する。以下のような点を考察します。

    • RFC1918 に準拠した VPC ネットワークと Google Cloud プロジェクト間のプライベート接続(共有 VPC、VPC ピアリング)
    • RFC1918 に準拠したデータセンターと VPC ネットワーク間のプライベート接続(IPSEC と Cloud Interconnect)
    • VPC と Google API 間のプライベート接続(プライベート アクセス)の有効化

3. データ保護の確保

    3.1 DLP API を使ってデータ損失を防止する。以下のような点を考察します。

    • 個人情報(PII)の特定と秘匿化
    • トークン化の構成
    • フォーマットを維持した置き換えの構成
    • DLP データセットへのアクセスの制限

    3.2 保管時の暗号化を管理する。以下のような点を考察します。

    • デフォルトの暗号化、顧客管理の暗号鍵(CMEK)、顧客指定の暗号鍵(CSEK)のユースケースの確認
    • CMEK と CSEK の暗号鍵の作成と管理
    • アプリケーション シークレットの管理
    • Cloud Storage のオブジェクト ライフサイクル ポリシー
    • エンクレーブ コンピューティング
    • エンベロープ暗号化

4.クラウド ソリューション環境内のオペレーションの管理

    4.1 インフラストラクチャを構築、デプロイする。以下のような点を考察します。

    • バックアップとデータ損失防止戦略
    • インシデント対応計画の作成と自動化
    • ログシンク、監査ログ、データアクセス ログを使用した、リアルタイムに近いモニタリング
    • スタンバイ モデル
    • CI / CD パイプラインを使用した、共通脆弱性識別子(CVE)に対するセキュリティ スキャンの自動化
    • 仮想マシンイメージの作成、強化、メンテナンス
    • コンテナ イメージの作成、強化、メンテナンス、パッチ管理

    4.2 アプリケーションを構築、デプロイする。以下のような点を考察します。

    • アプリケーション ログのリアルタイムに近いモニタリング
    • 静的コード分析
    • CI / CD パイプラインを使用したセキュリティ スキャンの自動化

    4.3 セキュリティ イベントをモニタリングする。以下のような点を考察します。

    • セキュリティ インシデントのロギング、モニタリング、テスト、アラート
    • 外部セキュリティ システムへのログのエクスポート
    • アクセスログの自動分析と手動分析
    • Forseti の機能についての理解

5. コンプライアンスの確保

    5.1 規制に関する懸念事項を確認する。以下のような点を考察します。

    • コンピューティング、データ、ネットワークに関する懸念事項の評価
    • セキュリティの責任共有モデル
    • クラウド実行環境内のセキュリティ保証
    • 規制遵守を目的とした、コンピューティングとデータの制限

    5.2 コンピューティング環境に関する懸念事項を確認する。以下のような点を考察します。

    • 各コンピューティング環境(Compute Engine、Kubernetes Engine、App Engine)のセキュリティの保証と制限
    • 企業のコンプライアンス基準に適したコンピューティング環境の決定