Professional Cloud Security Engineer
認定試験ガイド
Cloud Security Engineer は、組織が Google Cloud で安全なワークロードとインフラストラクチャを設計して実装できるように支援します。セキュリティに関するベスト プラクティスと業界の要件についての知識を活かしながら、Google のセキュリティ技術を利用して安全なソリューションを設計、開発、管理します。Cloud Security Engineer は、ID とアクセスの管理、組織のセキュリティ構造とポリシーの定義、Google Cloud テクノロジーを使用したデータ保護の提供、ネットワーク セキュリティの防御の構成、脅威に対応するための環境のモニタリング、セキュリティの自動化、AI セキュリティ、安全なソフトウェア サプライ チェーン、規制管理の適用に習熟しています。
セクション 1: クラウド ソリューション環境内のアクセスの構成(試験内容の約 27%)
1.1 Cloud Identity の管理。以下のような点を考慮します。
● Google Cloud Directory Sync とサードパーティ コネクタの構成
● Google Cloud Directory Sync の構成
● 特権管理者アカウントの管理
● ユーザー ライフサイクル管理プロセスの自動化
● プログラムを使用したユーザー アカウントとグループの管理
1.2 サービス アカウントを管理する。以下のような点を考慮します。
● サービス アカウントとキーの保護と監査
● ユーザーが管理するサービス アカウント キーのローテーションの自動化
● サービス アカウントが必要なシナリオの特定
● サービス アカウントの作成、無効化、保護
● 有効期間の短い認証情報の管理と作成
● Workload Identity 連携の構成
● デフォルト サービス アカウントの保護
● サービス アカウントの権限借用を管理する
1.3 認証を管理する。以下のような点を考慮します。
● ユーザー アカウントのパスワードとセッション管理ポリシーの作成
● Security Assertion Markup Language(SAML)と OAuth の設定
● 2 要素認証プロセスの構成と適用
1.4 承認制御を管理、実装する。 以下のような点を考慮します。
● Identity and Access Management(IAM)のロールと権限による特権ロールと職掌分散の管理
● 異なるタイプの ID に対する権限の付与
● IAM とアクセス制御リスト(ACL)の権限の管理
● 組織、フォルダ、プロジェクト、リソースレベルでの ID ロールの設計
● Access Context Manager の構成
● Policy Intelligence を適用した権限管理の改善
● グループを通じた権限の管理
1.5 リソース階層を定義する。以下のような点を考慮します。
● 組織の作成と管理
● 組織のフォルダ、プロジェクト、リソースの組織のポリシーの管理
● リソース階層を使用したアクセス制御と権限の継承
セクション 2: 境界と境界のセキュリティの構成(試験内容の約 21%)
2.1 境界セキュリティを設計する。以下のような点を考慮します。
● ネットワークの境界制御(ファイアウォール ルール、階層型ファイアウォール、Identity-Aware Proxy(IAP)、ロードバランサ、Certificate Authority Service)の構成
● プライベート アドレスとパブリック アドレスの違いの特定
● ウェブ アプリケーション ファイアウォールの構成(Google Cloud Armor)
● Cloud DNS セキュリティ設定の構成
2.2 境界セグメントを構成する。以下のような点を考慮します。
● VPC ネットワーク、VPC ピアリング、共有 VPC、ファイアウォール ルールのセキュリティ特性の構成
● N 層アプリケーションを設計する際のネットワークの隔離とデータのカプセル化の構成
● VPC Service Controls の構成
2.3 プライベート接続を確立する。以下のような点を考慮します。
● VPC ネットワークと Google Cloud プロジェクト間のプライベート接続の設計と構成(共有 VPC、VPC ピアリング、およびオンプレミス ホスト用の限定公開の Google アクセス)
● データセンターと VPC ネットワーク間のプライベート接続の設計と構成(IPsec と Cloud Interconnect)
● VPC と Google API 間のプライベート接続の確立(限定公開の Google アクセス、制限付きの Google アクセス、オンプレミス ホスト用の限定公開の Google アクセス、Private Service Connect)
● Cloud NAT を使用した送信トラフィックの有効化
セクション 3: データ保護の確保(試験内容の約 20%)
3.1 機密データの保護とデータ損失の防止。以下のような点を考慮します。
● 個人情報(PII)の検査と秘匿化
● 仮名化の構成
● フォーマット保持置換の構成
● BigQuery、Cloud Storage、Cloud SQL のデータストアへのアクセスの制限
● Secret Manager でのシークレットの保護
● コンピューティング インスタンス メタデータの保護と管理
3.2 保存中、転送中、使用中の暗号化の管理。以下のような点を考慮します。
● Google のデフォルトの暗号化、顧客管理の暗号鍵(CMEK)、顧客指定の暗号鍵(CSEK)、Cloud External Key Manager(EKM)、Cloud HSM のユースケースの確認
● CMEK、CSEK、EKM の暗号鍵の作成と管理
● ユースケースへの Google の暗号化アプローチの適用
● Cloud Storage のオブジェクト ライフサイクル ポリシーの構成
● Confidential Computing の有効化
● 転送データの暗号化
セクション 4: クラウド ソリューション環境内のオペレーションの管理(試験内容の約 22%)
4.1 安全なインフラストラクチャとアプリケーションを構築、デプロイする。以下のような点を考慮します。
● 継続的インテグレーションと継続的デリバリー(CI/CD)のパイプラインによる、共通脆弱性識別子(CVE)に対するセキュリティ スキャンの自動化
● 仮想マシンイメージの作成、強化、メンテナンス、パッチ管理の自動化
● コンテナ イメージの作成、検証、強化、メンテナンス、パッチ管理の自動化
● Policy as Code とドリフト検出の自動化
4.2 ロギング、モニタリング、検出を構成する。 以下のような点を考慮します。
● ネットワーク ログの構成と分析(ファイアウォール ルールのログ、VPC フローログ、Packet Mirroring、Cloud Intrusion Detection System(Cloud IDS))
● 効果的なロギング戦略の設計
● セキュリティ インシデントのロギング、モニタリング、対応、修正
● 外部セキュリティ システムへのログのエクスポート
● Google Cloud Audit Logs とデータアクセス ログの構成と分析
● ログのエクスポートの構成(ログシンクと集約シンク)
● Security Command Center の構成とモニタリング(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)
セクション 5: コンプライアンス要件のサポート(試験内容の約 10%)
5.1 クラウドの規制要件を決定する。 以下のような点を考慮します。
● コンピューティング、データ、ネットワークに関する懸念事項の特定
● セキュリティの共有責任モデルの評価(アクセスの透明性)
● クラウド環境内のセキュリティ管理の構成(データとサービスのリージョン化)
● 規制コンプライアンスのためのコンピューティングとデータの制限
● 規制コンプライアンスのための Google Cloud 環境の決定