CCSE攻略 – Self branding

Pocket

01 クラウドセキュリティの紹介 1, 2, 3, 5

1. RAIDの種類と特徴

RAID（Redundant Array of Independent Disks）は、複数のディスクを組み合わせて1つの論理ボリュームのように扱う技術で、性能向上や耐障害性を目的とします。

RAID 0：ストライピングのみ。高速だが冗長性ゼロ。
RAID 1：ミラーリング。2台のドライブに同じデータを書き込み。高い耐障害性。
RAID 5：ブロックレベルのストライピング + 分散パリティ。最低3台。1台障害に耐えられる。
RAID 3：バイトレベルのストライピング + 専用パリティディスク（今ではあまり使われない）。

2. クラウドコンピューティングのサービスモデル

クラウドには主に3つのサービスモデルがあります：

IaaS（Infrastructure as a Service）：インフラ（仮想サーバ、ストレージなど）を提供。例：Amazon EC2
PaaS（Platform as a Service）：開発環境を提供。アプリ開発者向け。
SaaS（Software as a Service）：アプリケーションをそのまま使える。例：Gmail, Office 365
DaaS（Desktop as a Service）：仮想デスクトップを提供。

サービス	管理責任	例
IaaS	ユーザー：OS以降の管理	EC2, Azure VM
PaaS	ユーザー：アプリ構築のみ	Heroku, Beanstalk
SaaS	提供者（例：Microsoft）	Office 365, Google Workspace

3. AWS のセキュリティ可視化ツール

AWSはセキュリティや脅威検出のために様々なサービスを提供：

Amazon GuardDuty：脅威の検出
Amazon Macie：機密データの検出（特にPIIなど）
Amazon Inspector：脆弱性スキャン
Amazon Detective：ログデータ分析での調査支援、根本原因の特定に特化（今回の正解）

4. SaaSにおけるパッチ管理責任

SaaSモデル（例：Office 365）では、サービス提供者（Microsoftなど）がインフラからアプリケーションまでの保守・管理を担当します。ユーザーは基本的に使うだけなので、パッチ管理もベンダーの責任になります。

質問 #1
Lexie Roth は、マサチューセッツ州ボストンにある IT 企業でクラウドセキュリティエンジニアとして働いています。彼女の組織は膨大な量のデータを生成します。ストレージのサイズ、速度、耐障害性を高めるために、Lexie は RAID を構成して作成したいと考えています。したがって、彼女は Windows Server 2016 上に、分散パリティを使用したブロックレベルのストライピングを含む RAID を作成しました。パリティ情報は、1 台を除くすべてのドライブに分散されます。 RAID 内のデータチャンクは通常の I/O サイズよりも大きくなりますが、サイズを変更できます。ドライブ障害後のデータ損失を防ぐために、データは分散パリティから計算されます。 Lexie によって構成された RAID には少なくとも 3 つのディスクが必要ですが、堅牢なパフォーマンスを実現するために、Lexie は 7 つのディスクを使用しました。指定された情報に基づいて、Lexie によって構成および作成された RAID は次のどれですか?
A. RAID 3
B. RAID 5
C. RAID 1
D. RAID 0

B. RAID 5

解説：

「分散パリティ」＋「ブロックレベルのストライピング」はRAID 5の特徴。
パリティがすべてのディスクに分散しており、少なくとも3台のディスクが必要、最大1台の障害から回復可能。
RAID 3 はバイトレベルのストライピング＋専用パリティディスクなので不一致。
RAID 0 は耐障害性なし。
RAID 1 はミラーリングで、使用ディスク数が2台（もしくはその倍数）になる。

質問 #2
Cindy Williams は、テキサス州オースティンにある IT 企業でクラウドセキュリティエンジニアとして働いています。 AWS が提供する堅牢なセキュリティとコスト効率の高い機能のおかげで、彼女の組織は AWS クラウドベースのサービスを採用しました。 Cindy は、Amazon Elastic Compute Cloud (EC2) インスタンスにアプリケーションをデプロイしました。 Amazon EC2 インスタンスは、次のクラウドコンピューティングサービスモデルのうちどれを表しますか?

A. SaaS
B. DaaS
C.PaaS
D.IaaS

D.IaaS

解説：

EC2 は仮想マシンを提供するサービスで、インフラに近い層を扱う。つまりIaaS（Infrastructure as a Service）。
SaaS は Gmail や Office 365 のように、アプリとしてそのまま提供されるもの。
PaaS は AWS Elastic Beanstalk など。
DaaS は Amazon WorkSpaces など仮想デスクトップが該当。

質問 #3
Billy Pratt は、多国籍企業でクラウドセキュリティエンジニアとして働いています。 2012 年に、彼の組織はすべてのアプリケーションとデータを AWS クラウド環境に移行しました。 Billy は、組織の AWS クラウド環境における悪意のあるアクティビティの根本原因を分析、調査、特定したいと考えています。次の Amazon サービスは、さまざまな AWS リソースからデータを自動的に収集し、機械学習、統計分析、グラフ理論を活用して、ビリーが不審なアクティビティの根本原因を特定するのに役立つリソースとユーザーの統合されたインタラクティブなビューを提供するものはどれですか?

A. Amazon Inspector
B. Amazon Detective
C. Amazon GuardDuty
D. Amazon Macie

B. Amazon Detective

解説：

Detective は、ログやイベントデータを使って悪意ある挙動の根本原因を特定するためのサービス。UI上でインタラクティブにリソースやユーザーの関係を可視化。
Amazon Inspector は脆弱性スキャンツール。
GuardDuty は脅威検出エンジン（Detectiveの前段として併用されることも）。
Macie は機密データ（PIIなど）の検出や保護

質問 #5トピック 1
Gabriel Bateman は、過去 5 年間、IT 企業でクラウドセキュリティエンジニアとして働いてきました。新型コロナウイルス感染症（COVID-19）のパンデミックが最近発生したため、彼の組織は全従業員に在宅勤務の規定を与えました。ガブリエルの組織は Microsoft Office 365 を使用しており、これにより、すべての従業員がさまざまな場所から複数のデバイスでファイル、電子メール、その他の Office プログラムに安全にアクセスできます。 Microsoft Office 365 のパッチ管理を担当しているのは次のうち誰ですか?

A. Gabriel の組織と Microsoft は両方ともパッチ管理の責任を共有しています
B. ガブリエルの組織はパッチ管理をサードパーティに委託する必要があります
C. ガブリエルの組織はパッチ管理の全責任を負っています
D. Microsoft がパッチ管理の全責任を負います

D. Microsoft がパッチ管理の全責任を負います

解説：

Office 365 は SaaS に該当。
SaaSモデルでは、ユーザーは利用に集中し、ソフトウェアの保守・更新・パッチ適用はすべてサービス提供者の責任。
パッチ管理をユーザー組織が行うのは IaaS や一部の PaaS モデルでの話。
サードパーティに委託する必要はなく、Microsoft が責任を持って行います。

02 クラウドにおけるプラットフォームとインフラのセキュリティ 6, 7, 15, 29, 33, 59, 60, 61, 67, 69

1. TLSと証明書（X.509）

TLS（Transport Layer Security）は、インターネット通信を暗号化し、安全性を確保するプロトコルです。TLSで使われる証明書はX.509証明書と呼ばれ、公開鍵暗号方式を用いたデジタル認証の標準です。

2. クラウドの共有責任モデル

クラウドでは、プロバイダ（例：AWS、Azure）とユーザーの責任範囲が異なります。

IaaS：ユーザーがOS以上を管理、プロバイダはインフラを管理
SaaS：プロバイダが全てを管理
PaaS：ユーザーはアプリケーションとデータの管理が中心

3. IAMロールと一時認証情報

AWSではEC2インスタンスにIAMロールをアタッチすることで、一時的な認証情報を取得し、S3などのサービスにアクセスできます。開発者が認証情報を管理する必要はなく、手動の認可作業も不要です。

4. VMのフォレンジック対応

インシデント調査の際、VMをシャットダウンしても仮想ディスク（VHDなど）は残るため、証拠データを保持できます。スナップショットはマウント前にバックアップとして取得するのが原則です。

5. Azureの接続オプション

企業の拠点とAzureを高速・低遅延で接続したい場合は、ExpressRouteが最適です。インターネットを経由せず、安全性が高いです。

6. Azure Bastionと接続プロトコル

Azure Bastion はVMに対する安全なブラウザベースのRDP/SSH接続を提供し、TLSで保護されています。

7. データの種類

非構造化データ：画像、動画、音声、テキストなど、明確な構造がないもの
半構造化：XML、JSONなど
構造化：RDBに格納される表形式データ
メタデータ：データに関するデータ（例：ファイル作成日時）

8. AWS Config

AWS Config はリソース構成の履歴追跡、変更検知、コンプライアンス評価が可能です。

9. Linux パスワード管理

Linux では passwd -d <ユーザー名> により、ユーザーアカウントのパスワードが削除され、パスワードによるログインが無効化されます（要注意な操作）。

テーマ	サービス/コマンド	ポイント
TLS証明書	X.509	通信の暗号化と認証
クラウド責任分担	IaaS	OSより上はユーザー責任
IAMロール	一時認証情報	セキュアかつ自動化
VMの証拠保全	VHD保持・事前スナップショット	データ損失防止
Azure接続	ExpressRoute	安全な専用回線
データ分類	非構造化データ	画像、動画、音声など
AWS構成監査	AWS Config	構成変更・準拠性確認
パスワード無効化	`passwd -d`	空パスワード化

質問 #6トピック 1
Kelsey Lewis は、24 時間 365 日の顧客サービスを提供する BPO 会社でクラウドセキュリティエンジニアとして働いています。クラウドコンピューティングによって提供されるコスト効率の高いストレージとセキュリティ機能のおかげで、彼女の組織は 4 年前にクラウド環境を採用しました。 Kelsey は TLS プロトコルを実装して、電子メール通信、ボイスオーバー IP (VoIP) 通信、Web トラフィック、メッセージングクライアント、ファイル転送、インターネットサービス (ドメインネームサービス (DNS) およびネットワークタイムプロトコル (NTP)) にセキュリティを提供しました。ホスト間の通信認証と暗号化に TLS で使用される証明書はどれですか?

A. 認証局が発行した X.507 証明書
B. 認証局が発行した X.508 証明書
C. 認証局が発行した X.506 証明書
D. 認証局が発行した X.509 証明書

D. 認証局が発行した X.509 証明書

正解：D. X.509

解説： TLSで使用されるのはX.509形式の公開鍵証明書。証明書には所有者情報・公開鍵・認証局署名などが含まれます。X.507やX.508などは存在しません。

質問 #7トピック 1
Tom Holland は、ミシガン州ランシングにある IT 会社でクラウドセキュリティエンジニアとして働いています。彼の組織はクラウドベースのサービスを採用しており、ユーザーアクセス、アプリケーション、データセキュリティは組織の責任であり、OS、ハイパーバイザー、物理、インフラストラクチャ、およびネットワークセキュリティはクラウドサービスプロバイダーの責任です。前述のクラウドセキュリティの共有責任に基づいて、トムの組織では次のクラウドコンピューティングサービスモデルのうちどれが適用されますか?

A. Software-as-a-Service
B. On-Premises
C. Infrastructure-as-a-Service
D. Platform-as-a-Service

C. Infrastructure-as-a-Service

解説： OS・データ・ユーザー管理がユーザーの責任、ハードウェア・仮想化・ネットワークがクラウド側の責任 → これはまさにIaaSモデル。

質問 #15トピック 1
Rebecca Mader は、ミシガン州デトロイトにある IT 企業でクラウドセキュリティエンジニアとして働いています。彼女の組織は AWS クラウドベースのサービスを使用しています。 S3 バケットへのアクセスが必要な EC2 インスタンス上で、開発者によってアプリケーションが起動されます (写真)。 Rebecca は get-pics サービスロールを作成し、EC2 インスタンスにアタッチしました。このサービスロールは、S3 バケットへの読み取り専用アクセスを許可する権限ポリシーと、インスタンスがそのロールを引き受けて一時的な認証情報を取得できるようにする信頼ポリシーで構成されます。アプリケーションは、インスタンス上で実行されるときに、ロールの一時認証情報を使用して写真バケットにアクセスします。開発者は資格情報を共有または管理する必要がありますか、それとも管理者は写真バケットにアクセスする許可を開発者に付与する必要がありますか?

A. はい、開発者は認証情報を共有または管理する必要がありますが、管理者は開発者に写真バケットへのアクセス許可を与える必要はありません。
B. いいえ、開発者は資格情報を共有または管理する必要はなく、管理者は開発者に写真バケットへのアクセス許可を与える必要はありません。
C. いいえ、開発者は資格情報を共有したり管理したりする必要はありませんが、管理者は写真バケットにアクセスする許可を開発者に付与する必要があります。
D. はい、開発者は資格情報を共有または管理する必要があり、管理者は写真バケットにアクセスする許可を開発者に付与する必要があります。

B. いいえ、開発者は資格情報を共有または管理する必要はなく、管理者は開発者に写真バケットへのアクセス許可を与える必要はありません。

解説： IAMロールをEC2に割り当てているため、**一時的な認証情報が自動的に割り当てられ、開発者はキーの管理不要。**管理者による個別認可も不要。

質問 #29トピック 1
Ray Nicholson は、TerraCloud Sec Pvt. でシニアクラウドセキュリティエンジニアとして働いています。彼の組織は、すべてのアプリケーションをクラウド環境のさまざまな仮想マシンに展開しました。 Ray は IDS を使用して、攻撃者が特定の VM を侵害したことを特定しました。彼は、インシデントの範囲を制限し、クラウド内の他のリソースを保護したいと考えています。 Ray が VM をオフにするとどうなりますか?

A. 調査に必要なデータは VHD に保存されます。
B. 調査に必要なデータは保存されます
C. 調査に必要なデータは復元されます
D. 調査に必要なデータが失われる

A. 調査に必要なデータは VHD に保存されます

解説： 仮想マシンのディスクは仮想ハードディスク（VHD）として保持されるため、シャットダウンしてもフォレンジックに必要なデータは失われません。

質問 #33トピック 1
Curtis Morgan は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼の組織は、大きなファイルのオフィスサイトのバックアップ、ディザスタリカバリ、および大量のトラフィックを受信するビジネスクリティカルなアプリケーションなどに Microsoft Azure を使用しています。Curtis が複数のオンプレミスまたは共有間で高速かつ安全なプライベート接続を確立できるのは次のどれですか。 Azure 仮想プライベートネットワークを使用したインフラストラクチャ?

A. Azure Front Door
B. Point-to-Site VPN
C. Site-to-Site VPN
D. Express Route

D. Express Route

解説： ExpressRoute はオンプレミスとAzureを直接接続する専用回線。VPNよりも信頼性が高く、大容量アプリやDR向け。

質問 #59トピック 1
Frances Fisher は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼女の組織は Microsoft Azure クラウドベースのサービスを使用しています。 Frances はリソースグループ (devResourceGroup) を作成しました。次に、そのリソースグループに仮想マシン (devVM) を作成しました。次に、Frances は仮想マシン (devVM) の Bastion ホストを作成し、Azure portal から Bastion を使用して仮想マシンに接続しました。 Azure Portal から Frances の仮想マシン (devVM) への安全な接続を提供するために、Azure Bastion で使用されるプロトコルは次のどれですか?

A. TLS
B. HTTP
C. Telnet
D.TCP

A. TLS

解説： Azure Bastion はポータル経由のRDP/SSH接続をTLSで暗号化して提供。TelnetやHTTPは安全性の面で使用されない。

質問 #60トピック 1
SecureSoft IT Pvt. Ltd. は、ノースカロライナ州 CharIoTte に拠点を置く IT 企業で、医療業界向けのソフトウェアを開発しています。組織は、ビデオファイルやオーディオファイルなど、整理されていない膨大な量のデータを生成します。 Kurt は最近 SecureSoft IT Pvt. に入社しました。株式会社クラウドセキュリティエンジニアとして入社。彼は NoSQL データベースを使用して組織データを管理しています。与えられた情報に基づいて、Kurt の組織によって生成されているデータは次のうちどれですか?

A. メタデータ
B. 非構造化データ（Unstructured Data）
C. 半構造化データ（Semi-Structured Data）
D. 構造化データ（Structured Data）

B. 非構造化データ（Unstructured Data）

解説： 動画、音声、画像は非構造化データの典型例。データベース形式ではないため、NoSQLなどで処理される。

質問 #61トピック 1
Kenneth Danziger は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼の組織は AWS クラウドベースのサービスを使用しています。 Kenneth は、構成の変更と AWS リソース間の関係を確認し、詳細なリソース構成履歴を調べて、内部ガイドラインで指定されている構成に対する組織全体のコンプライアンスを判断したいと考えています。 Kenneth が AWS リソースの構成を評価、監査、評価できるようにするのは、次の AWS サービスのうちどれですか?

A. AWS Config
B. AWS CloudFormation
C. AWS Security Hub
D. AWS CloudTrail

A. AWS Config

解説： AWS Configは構成の変更追跡・ルール適用・コンプライアンス判断が可能。他の選択肢はそれぞれ別目的（例：CloudTrailはAPIログ）。

質問 #67トピック 1
Global CyberSec Pvt. Ltd. は、サイバーセキュリティに関連するソフトウェアおよびアプリケーションサービスを提供する IT 企業です。 Microsoft Azure が提供する堅牢なセキュリティ機能を利用して、組織は Azure クラウド環境を採用しました。 Azure クラウドプラットフォームでセキュリティインシデントが検出されました。 Global CyberSec Pvt. Ltd. のセキュリティチームは、さまざまなソースから収集したログデータを調査しました。 VM が影響を受けていることが判明しました。このシナリオでは、侵害された Azure VM のフォレンジック取得中に、いつスナップショットのバックアップコピーをページ BLOB として BLOB コンテナーに取得する必要がありますか?

A. スナップショットをフォレンジックワークステーションにマウントした後
B. ソースリソースグループからスナップショットを削除した後
C. スナップショットをフォレンジックワークステーションにマウントする前
D. ソースリソースグループからスナップショットを削除する前

C. スナップショットをフォレンジックワークステーションにマウントする前

質問 #69トピック 1
Simon は最近、クラウドセキュリティエンジニアとして多国籍企業に入社しました。 AWS が提供する堅牢なセキュリティサービスと製品のおかげで、彼の組織は AWS クラウドベースのサービスを使用してきました。 Simon は、アプリケーションをデプロイするために Amazon EC2 Linux インスタンスを起動しました。彼は Linux AMI を保護したいと考えています。ユーザーアカウントのパスワードを無効にするには、Simon が EC2 インスタンスで実行する必要があるコマンドは次のうちどれですか?

A. passwd -d <ユーザー名>
B. passwd -D <ユーザー名>
C. passwd -I <ユーザー名>
D. passwd -L <ユーザー名>

A. passwd -d <ユーザー名>

解説： このコマンドでユーザーのパスワードが削除され、空パスワードになる＝ログイン不可状態。-Lはロック、-Dや-Iは別用途。

03 クラウドにおけるアプリケーションセキュリティ 4, 8, 9, 10, 11, 12, 16, 17, 20, 22, 23, 26, 30, 34, 36

✅ クラウドセキュリティと法規制

GLBA（Gramm-Leach-Bliley Act）：金融機関における個人情報保護法。銀行が顧客情報を守るための義務。
CSA CCM：Cloud Security Allianceによる、クラウド特化のセキュリティ制御フレームワーク。
GDPR / ITAR / NISTなどと混同しないこと。

✅ インシデント対応ライフサイクル（NIST基準）

準備
検出・分析
封じ込め、根絶、回復
事後分析（Post-mortem）

✅ バックアップとデータ保護

増分バックアップ：前回から変更された部分だけ。
差分バックアップ：最後のフルバックアップから変更された全ファイル。

✅ クラウド構成とサービス

管理コンポーネント：クラウドの構成・設定を行うツールやUIの提供元。
タグ：リソースの識別・追跡・分類に利用。
Coldline（GCP）：安価だが長期保存に向く。最小保存期間：90日。

✅ クラウド移行・統制と契約

ベンダーロックイン：プロバイダーからの移行が難しい状態。
シャドーIT：非公式に使用されるクラウドサービスなどのIT資産。
SLA（Service Level Agreement）：サービス内容、品質保証、セキュリティ要求を明記した契約。

🔁 補足Tips

CSA CCM vs CAIQ：どちらもCSAのフレームワークだが、CCMは実装制御リスト、CAIQは質問形式の評価ツール。
封じ込めと分析の違い：分析は状況の把握、封じ込めはダメージの拡大防止。

質問 #4トピック 1
TCK銀行は、顧客の個人データの保管にクラウドを採用しています。この銀行は通常、顧客に情報共有の実践方法を説明し、機密データを保護します。ただし、情報共有の実践にはセキュリティの抜け穴がいくつか存在します。したがって、ハッカーは銀行の顧客の重要なデータを盗む可能性があります。この状況では、どのクラウドコンプライアンスフレームワークに基づいて銀行は罰せられるのでしょうか?

A. ITAR
B. GLBA
C. NIST
D. GDPR

B. GLBA

🔍 解説：

GLBA（グラム・リーチ・ブライリー法）は、米国の金融機関向けに定められたプライバシー保護法です。
銀行や証券会社、保険会社などが対象で、顧客に対して以下を義務付けています：

個人データの収集・共有の通知
セキュリティプログラムの策定と実装
情報漏洩の防止

特に「金融サービスにおける個人情報の取り扱い」が焦点です。
つまり、TCK銀行がクラウドで個人情報を扱っていて漏洩した場合、GLBAに違反し、罰則または監査対象になります。

🆚 他の選択肢と違い

A. ITAR：武器関連輸出規制（対象外）
C. NIST：セキュリティ標準であり法的強制力なし
D. GDPR：EUの法。TCK銀行がEU外なら適用されない

質問 #8トピック 1
PARADIGM PlayStation という組織は、セキュリティ対策としてインフラストラクチャをクラウドに移行しました。同社は、ホストされている Web サイトにセキュリティ上の問題がないか監視するインシデント対応チームを設立しました。インシデント対応チームは、SIEM を使用してネットワークアクセスログを調査しているときに、Web サイトの 1 つが攻撃者の標的となり、SQL インジェクション攻撃の実行に成功したことを示唆するいくつかのインシデントを発見しました。その後、インシデント対応チームは Web サイトとデータベースサーバーをオフラインにしました。インシデント対応ライフサイクルの次のどのステップで、インシデントチームはその決定を下すことを決定しましたか?

A. 封じ込め
B. 分析
C. 連携と情報共有
D. 事後分析

A. 封じ込め(Containment)

インシデント対応ライフサイクルでは、封じ込めが最優先。

質問 #9トピック 1
Global CloudEnv は、クラウド利用者にさまざまなクラウドベースのサービスを提供するクラウドサービスプロバイダーです。クラウドサービスプロバイダーは、クラウドサプライチェーン内の特定の関係者が実装する必要があるセキュリティ制御に関するガイダンスを提供することにより、クラウド実装を体系的に評価するツールとして使用できるフレームワークを遵守します。これは、セキュリティ、信頼、保証、およびリスク (STAR) レジストリで組織のセキュリティ体制を評価するための標準として使用されます。与えられた情報に基づいて、Global CloudEnv は次のサイバーセキュリティ制御フレームワークのうちどれを遵守しますか?

A.CDMI
B. CSA CAIQ
C. CSA CCM
D. ITU-T X.1601

C. CSA CCM

サプライチェーンの各プレイヤー（CSP、CSCなど）が対応すべき制御を明示。

補足：

CAIQ：チェックリスト形式（評価用）。

CDMI：クラウドストレージの標準。

ITU-T：国際通信連合の標準規格群。

質問 #10トピック 1
Global SoftTechSol は、カスタマイズされたソフトウェアソリューションとサービスをさまざまな国のさまざまな顧客に提供する多国籍企業です。パブリッククラウドを使用してアプリケーションとサービスをホストします。 Global SoftTechSol は、クラウドデバッガーを使用して、実行中のアプリケーションの現在の状態をリアルタイムで検査し、バグを発見し、本番環境でのコードの動作を理解します。 Global SoftTechSol にクラウドデバッガー機能を提供するサービスプロバイダーを特定しますか?

A. Google
B.IBM
C.アズール
D. AWS

A. Google

Google Cloud Platform（GCP）の「Cloud Debugger」は実行中アプリをリアルタイムで検査。

質問 #11トピック 1
Samuel Jackson は、VolkSec Pvt. Ltd. でクラウドセキュリティエンジニアとして過去 12 年間働いてきました。 Ltd. のアプリケーションはプライベートクラウドでホストされています。サービスのユーザー数の増加により、組織はオンプレミスのデータセンターを管理することが困難になっています。スケーラビリティとデータストレージの問題を克服するために、サミュエル氏は組織の経営陣にパブリッククラウドに移行し、アプリケーションとデータを移行するようアドバイスしました。パブリッククラウドに移行するという提案が経営陣に受け入れられると、Samuel はクラウドサービスプロバイダーを選択するように求められました。利用可能なパブリッククラウドサービスプロバイダーについて広範な調査を行った後、Samuel は推奨事項を作成しました。短期間のうちに、サミュエルと彼のチームはすべてのアプリケーションとデータをパブリッククラウドに転送することに成功しました。 Samuel のチームは、新しいクラウドコンピューティング環境でプラットフォーム、インフラストラクチャ、アプリケーションを構成および維持したいと考えています。クラウドプラットフォームとインフラストラクチャのどのコンポーネントが、プラットフォーム、インフラストラクチャ、アプリケーションを構成および保守するためのツールとインターフェイスを Samuel のチームに提供しますか?

A. 仮想化コンポーネント
B. コンピュータコンポーネント
C. 物理的および環境的要素
D. 管理コンポーネント

D. 管理コンポーネント(Management Component)

クラウドの構成・監視・操作を行うUIやツールを提供。

例：AWSマネジメントコンソール、Azureポータルなど。

質問 #12トピック 1
Global InfoSec Solution Pvt. Ltd. は、モバイルベースのソフトウェアとアプリケーションを開発する IT 企業です。ビジネスをスムーズ、安全、かつコスト効率よく促進するために、組織はパブリッククラウドサービスを使用しています。現在、Global InfoSec Solution Pvt. Ltd. はベンダーロックインの問題に直面しています。クラウドコンピューティングにおけるベンダーロックインとは何ですか?

A. クラウド利用者が多額の切り替えコストなしに別のクラウドサービスプロバイダーに切り替えることができない状況です。
B. クラウドサービスプロバイダーが、多額の切り替えコストなしに別のクラウドサービスブローカーに切り替えることができない状況です。
C. クラウド利用者が多額の切り替えコストなしにクラウドキャリアに切り替えることができない状況である
D. クラウド利用者が多額の切り替えコストなしに別のクラウドサービスブローカーに切り替えることができない状況です。

A. クラウド利用者が多額の切り替えコストなしに別のクラウドサービスプロバイダーに切り替えることができない状況です(It is a situation in which a cloud consumer cannot switch to another cloud service provider without substantial switching costs)

移行コスト、独自仕様、相互運用性の欠如が要因。
ベンダーロックイン対策には、オープン標準やマルチクラウド戦略が有効。

質問 #16トピック 1
Cindy Williams は、ワシントン州シアトルにある IT 企業でクラウドセキュリティエンジニアとして働いています。 AWS が提供するコスト効率の高いセキュリティ、ガバナンス、ストレージ機能のおかげで、彼女の組織は AWS クラウドベースのサービスを採用しました。 Cindy は、組織の AWS アカウント内の異常なアクティビティを検出したいと考えています。彼女は、セキュリティ分析とリソース変更追跡のために、組織の AWS アカウントアクティビティのイベント履歴を取得したいと考えています。次の AWS サービスのうち、組織の AWS アカウントの運用監査、コンプライアンス、ガバナンス、リスク監査を有効にしているのはどれですか?

A. AWS Security Hub
B. AWS CloudTrail
C. AWS Config
D. AWS CloudFormation

B. AWS CloudTrail

APIコールなどAWS上のアクションログを収集・保存。

質問 #17トピック 1
Katie Holmes は、過去 7 年間にわたり多国籍企業でクラウドセキュリティエンジニアとして働いてきました。新型コロナウイルス感染症 (COVID-19) のパンデミックが発生して以来、クラウドサービスプロバイダーは組織にクラウドサービスを効率的に提供できなくなりました。したがって、ケイティは経営陣に、独自のデータセンターを設計して構築するべきだと提案しました。 Katie の要求は承認され、8 か月後、Katie のチームはオンプレミスデータセンターの設計と構築に成功しました。データセンターはすべての組織要件を満たしています。ただし、容量コンポーネントは冗長ではありません。コンポーネントが取り外されると、データセンターは停止します。 Katie のチームによって設計および構築されたのはどの階層のデータセンターですか?

A. Tier III
B. Tier I
C. Tier II
D. Tier IV

B. Tier I

もっとも基本的なレベルの冗長性を持たないデータセンター。

質問 #20トピック 1
Magnitude IT Solutions という会社の GCP 環境でセキュリティインシデントが発生しました。このインシデントに対応するために、Google データインシデント対応チームはインシデントのさまざまな側面に基づいて分割されました。チームのどのメンバーがインシデントに関する権威ある知識を持ち、セキュリティ、法務、製品、デジタルフォレンジックなどのさまざまな領域に関与できるのは誰ですか?

A. コミュニケーションリード(Communications Lead)
B. オペレーションリード(Operations Lead)
C. 対象分野の専門家（Subject Matter Experts）
D. 事件指揮官(Incident Commander)

C. 対象分野の専門家（Subject Matter Experts）

法務・フォレンジック・セキュリティの専門家が対応。

質問 #22トピック 1
組織の AWS 環境内でセキュリティインシデントが発生しました。侵害された EC2 インスタンスからフォレンジック証拠を取得するために、クラウドフォレンジック調査手順が開始されます。ただし、フォレンジックインスタンスをプロビジョニングし、分析のために送信する際には、データプライバシー法を遵守することが不可欠です。分析のために 2 つの AWS リージョン間でデータを移動することによる法的影響を回避するために、組織は最初に何ができるでしょうか?

A. スナップショットから証拠ボリュームを作成する
B. フォレンジックワークステーションのプロビジョニングと起動
C. 証拠ボリュームをフォレンジックワークステーションに添付する
D. 証拠ボリュームをフォレンジックワークステーションにマウントする

A. スナップショットから証拠ボリュームを作成する(Create evidence volume from the snapshot)

スナップショットは「静的な状態」を取得する最初の手順

質問 #23トピック 1
Martin Sheen は、SecGlob Cloud Pvt. のシニアクラウドセキュリティエンジニアです。 2012 年以来、彼の組織は AWS クラウドベースのサービスを使用しています。 Martin は、侵入検知システムとウイルス対策ソフトウェアを使用して、攻撃者が組織のセキュリティを侵害しようとしていることに気づきました。したがって、Martin は組織の機密データを特定して保護したいと考えています。彼は、S3 ストレージをサポートし、公開共有バケット、暗号化されていないバケット、および組織外の AWS アカウントと共有するバケットのインベントリを提供する、フルマネージドのデータセキュリティサービスを必要としています。 Martin の要件を満たす Amazon サービスは次のうちどれですか?

A. Amazon GuardDuty
B. Amazon Macie
C. Amazon Security Hub
D. Amazon Inspector

B. Amazon Macie

S3バケットの暗号化・公開状態などをチェック

質問 #26トピック 1
Teresa Ruiz は、IT 企業でクラウドセキュリティエンジニアとして働いています。 2021 年 1 月、彼女がクラウド環境に展開したデータが破損し、組織に多大な損失をもたらしました。そのため、彼女の組織はクラウドサービスプロバイダーを変更しました。新しいサービスプロバイダーのクラウド環境にワークロードとデータを展開した後、Teresa は組織のデータ全体をバックアップしました。最近テレサの組織にクラウドセキュリティエンジニアとして加わった新入社員のバーバラヒューストンは、最後に実行したバックアップ以降に変更されたファイルのみをバックアップしていました。 Barbara によってクラウドで実行されたバックアップの種類はどれですか?

A. 増分バックアップ
B. 差分バックアップ
C. 部分バックアップ
D. 完全バックアップ

A. 増分バックアップ

容量が小さくて済むが、復元時は全バックアップを順に適用する必要あり。

質問 #30トピック 1
VoxCloPro は、南米に拠点を置くクラウドサービスプロバイダーで、あらゆる種類のクラウドベースのサービスをクラウド利用者に提供しています。 VoxCloPro が提供するクラウドベースのサービスは、安全でコスト効率に優れています。テラソフト。プライベートLtd.は、VoxCloProのクラウドベースのサービスを導入し、組織が所有するデータとアプリケーションをオンプレミスからVoxCloProクラウド環境に移行したIT企業です。中南米諸国のデータ保護法によれば、個人データのセキュリティとプライバシーの確保に責任を負うのは次のうち誰ですか?

A. Cloud Broker
B. Terra Soft. Pvt. Ltd.
C. VoxCloPro
D. Cloud Carrier

B. Terra Soft. Pvt. Ltd.

内容： データ保有者（Cloud Service Consumer）が法的責任を負う。

ポイント：

クラウド利用企業側が、適切な契約とセキュリティ対策を講じる責任あり。

質問 #34トピック 1
SecureSoft Solutions Pvt. Ltd. は、モバイルベースのアプリケーションを開発する IT 企業です。 Google が提供する安全で費用対効果の高いクラウドベースのサービスのおかげで、この組織はアプリケーションとデータをオンプレミス環境から Google クラウドに移行しました。クラウドセキュリティエンジニアの Sienna Miller は、Google クラウドストレージバケットにデータを保存するために Coldline Storage クラスを選択しました。 Coldline Storage の最小保管期間はどれくらいですか?

A. 60日
B. 120日
C. 30日
D. 90日

D. 90日

最小保管期間は90日間。それより早く削除すると早期削除手数料が発生。

質問 #36トピック 1
FinTech Inc. は、クラウドプラットフォームを利用して IT インフラストラクチャを実行する IT 企業です。さまざまな部門に所属する従業員が、IT 部門によって定められたルールや規制を実装していないため、制御が断片化され、クラウドサービスの効率に影響を与える違反が発生します。このシナリオで組織は、シャドウ IT とクラウドリソースの不当な使用を効果的に克服するにはどうすればよいでしょうか?

A. クラウドガバナンスの実装による
B. クラウドリスク管理の導入による
C. 企業コンプライアンスの徹底により
D. 規制遵守の実施による

A. クラウドガバナンスの実装による

利用状況の監視、承認プロセス、クラウドポリシーが必要。
ガバナンスは継続的な可視化・制御・ルール化が基本。

質問 #37トピック 1
ある多国籍企業は、組織インフラストラクチャとデータをクラウドに移行することを決定しました。彼らのチームはサービスプロバイダーを最終決定しました。組織のデータとインフラストラクチャのセキュリティを維持し、組織のデータコンプライアンスを定義するために、サービスプロバイダーが合意したセキュリティ標準を定義できる契約は次のうちどれですか?

A. Service Level Agreement
B. Compliance Agreement
C. Service Level Contract
D. Service Agreement

A. Service Level Agreement

04 クラウドにおけるデータセキュリティ 18, 24, 25, 35, 38, 39, 41, 44, 46, 47, 48, 51, 54, 56

1. クラウド関連の法令・規制

CLOUD法（Clarifying Lawful Overseas Use of Data Act）：米国の法律で、クラウドプロバイダーに対し、米国外に保存されているデータであっても米国の捜査機関からの開示要請に応じる義務がある。
GDPR（EU一般データ保護規則）：EU内の個人データ保護に関する法律。企業とクラウドプロバイダーが共同で責任を負う。
その他：FISMA（連邦情報セキュリティ）、HIPAA（医療）、FERPA（教育）、ITAR（軍事技術）など

2. 暗号化技術

完全準同型暗号化：暗号化されたままデータの処理が可能。クラウドにデータを渡しても復号せずに処理できる。
属性ベース暗号化（ABE）：アクセス制御を属性ベースで行う。
IDベース暗号化（IBE）：ユーザーのID情報を鍵の生成に使用。

3. クラウドアクター（NIST）

クラウドブローカー：クラウド利用を支援し、調整・交渉する第三者的存在。
クラウド監査人：セキュリティやパフォーマンスを独立評価。
クラウドキャリア：ネットワークインフラの提供。
クラウドプロバイダー：サービスの提供者。

4. ログ管理と監査

Amazon CloudTrail：AWS環境でのAPIアクティビティを記録。フォレンジックにも活用可能。
CloudWatch：モニタリングやメトリクス用（ログの一部対応）。

5. 災害復旧の種類

Cold Site：設備はあるがすぐに使用できない。
Warm Site：部分的に準備されており、数時間〜数日で稼働可能。
Hot Site：すぐに切替可能。コスト高。

6. クラウド偵察（Reconnaissance）

セキュリティ設定・ポリシー・公開リソースの情報を可視化・リスト化して攻撃面を分析するプロセス。

7. VMパフォーマンス改善

SR-IOV（Single Root I/O Virtualization）などにより、仮想マシンがハイパーバイザーをバイパスし、直接ハードウェアにアクセス可能。I/Oパフォーマンス向上。

8. データの権利保護技術

IRM（Information Rights Management）：ドキュメントやファイルに対してアクセス権を設定・暗号化。クラウド外部への共有時に有効。

9. GCPセキュリティ

Cloud Anomaly Detection：GCPにおける異常検知機能。Security Command Centerの一部。
バケット名命名規則：英小文字、数字、ハイフン（大文字やスペースは不可）。

テーマ	キーワード	ポイント
法令遵守	CLOUD / GDPR	米国・EUで異なる規制あり
暗号化	完全準同型暗号	クラウド処理中でも復号不要
ログ監査	CloudTrail	APIトラッキングと証拠収集
VM性能	ハード直アクセス	SR-IOVなどによる最適化
災害復旧	Warm Site	バランス型DR
情報保護	IRM	ファイル単位の権限管理
ネーミング	小文字＋ハイフン	バケット名の制限厳しい

質問 #18トピック 1
Daffod は、世界中の顧客にクラウドベースのサービスを提供するアメリカのクラウドサービスプロバイダーです。安全でコスト効率が高いため、Daffod が提供するクラウドサービスを採用している顧客もいます。 Daffod は、米国の経済的および国家安全保障上の利益における情報セキュリティの重要性を認識するために、米国で制定されたクラウドコンピューティング法を遵守しています。与えられた情報に基づいて、ダフォッドはどの法律命令に従っていますか?

A. FERPA
B. FISMA
C. ECPA
D. CLOUD

D. CLOUD

解説： 米国のクラウドプロバイダーが国外のデータにも適用される開示義務を持つ法律。GDPR（C）はEUの話であり、FISMA（B）やECPA（C）は目的が異なる。

質問 #24トピック 1
Melissa George は、IT 企業のクラウドセキュリティエンジニアです。彼女の組織はクラウドベースのサービスを採用しています。クラウドサービスの統合は、彼女の組織で管理するには非常に複雑になっています。したがって、彼女の組織では、ソリューションの選択を相談、調停、促進してくれる第三者を必要としています。次の NIST クラウドデプロイメントリファレンスアーキテクチャアクターのうち、クラウドサービスの使用状況、パフォーマンス、配信を管理し、CSP とクラウドコンシューマー間の関係を維持しているのはどれですか?

A. クラウド監査人(Cloud Auditor)
B. クラウドキャリア(Cloud Carrier)
C. クラウドプロバイダー(Cloud Provider)
D. クラウドブローカー(Cloud Broker)

D. クラウドブローカー(Cloud Broker)

解説： 複雑なクラウド統合・選定を支援する第三者。Cloud Providerは提供者そのもの。

質問 #25トピック 1
SeaCloud Soft Pvt. Ltd. は、ヘルスケア業界に関連するソフトウェアやアプリケーションを開発する IT 企業です。攻撃者からデータとアプリケーションを保護するために、組織はクラウドコンピューティングを採用しました。組織はクラウドサービスプロバイダーを信頼していませんでした。したがって、通信中および保存中にデータを保護する暗号化技術が実装されました。 SeaCloud Soft Pvt. Ltd. は暗号化されたデータに対して計算を実行し、そのデータをクラウドサービスプロバイダーに送信しました。指定された情報に基づいて、SeaCloud Soft Pvt. によって実装された暗号化技術は次のどれですか。株式会社？

A. 暗号文属性ベースの暗号化
B. 完全準同型暗号化
C. キーポリシーの属性ベースの暗号化
D. ID ベースの暗号化

B. 完全準同型暗号化

解説： 暗号化されたままのデータに対して演算が可能な革新的技術。他の選択肢はアクセス制御に関する方式。

質問 #35トピック 1
Rick Warren は、過去 4 年間、IT 企業でクラウドセキュリティエンジニアとして働いてきました。 AWS が提供する堅牢なセキュリティ機能とさまざまなコスト効率の高いサービスのおかげで、2010 年に彼の組織は AWS クラウド環境に移行しました。侵入検知システムを検査中に、リックはセキュリティインシデントを検出しました。さまざまなデータソースからログを収集し、セキュリティインシデント発生時のフォレンジック調査で使用できるログファイルとして一元的な場所に保存する AWS のサービスは次のどれですか?

A. AWS CloudFormation
B. Amazon CloudTrail
C. Amazon CloudWatch
D. Amazon CloudFront

B. Amazon CloudTrail

解説： CloudTrailはAPIコールの記録と監査用途。CloudWatchはメトリクス監視。CloudFrontはCDN。

質問 #38トピック 1
TeratInfo Pvt. Ltd. は、金融機関向けのソフトウェア製品とアプリケーションを開発する IT 企業です。 TeratInfo Pvt. は、クラウドコンピューティングによって提供されるコスト効率の高いストレージ機能と堅牢なサービスのおかげで、 Ltd.はクラウドベースのサービスを導入しました。最近、同社のセキュリティチームは、組織システムのパフォーマンスの低下を観察しました。クラウドセキュリティエンジニアのスーザンは、パブリックにアクセス可能なリソース、セキュリティグループ、ルーティングテーブル、ACL、サブネット、および IAM ポリシーのリストを確認しました。このプロセスは何と呼ばれますか?

A. セキュリティ管理が適切に実施されているかどうかの確認
B. クラウドサービスの監査および証拠収集機能を確認する
C. 仮想化管理セキュリティのテスト
D. クラウド偵察(reconnaissance)の実行

D. クラウド偵察(reconnaissance)の実行

解説： 外部から取得可能なリソース情報を収集し、攻撃面を調査するプロセス。

質問 #39トピック 1
Rachel McAdams は、多国籍企業でクラウドセキュリティエンジニアとして働いています。 DRaaS 企業は、組織に災害復旧サイトを提供しました。災害復旧サイトには、毎日または毎週のデータ同期機能を備えた部分的に冗長な機器が備えられています。フェイルオーバーは数時間または数日以内に発生し、データ損失は最小限に抑えられます。この情報に基づいて、DRaaS 会社によって Rachel の組織に提供されている災害復旧サイトは次のうちどれですか?

A. Hot Site
B. Cold Site
C. Remote site
D. Warm Site

D. Warm Site

解説： 準備はされているがすぐには使えず、数時間～数日で立ち上げ可能な中間的災害復旧サイト。

質問 #41トピック 1
Georgia Lyman は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼女の組織はクラウドベースのサービスを使用しています。その仮想化ネットワークと関連する仮想化リソースには、データ転送パフォーマンスと仮想サーバー通信に影響を与える特定の容量制限が発生しました。ジョージア州では、仮想化環境によって仮想サーバーに課せられるデータ転送容量のしきい値をどのようにして排除できるのでしょうか?

A. 仮想サーバーがハイパーバイザーをバイパスし、物理サーバーの I/O カードに直接アクセスするように制限する
B. 仮想アプライアンスがハイパーバイザーをバイパスし、物理サーバーの I/O カードに直接アクセスできるようにする
C. 仮想サーバーがハイパーバイザーをバイパスし、物理サーバーの I/O カードに直接アクセスできるようにする
D. 仮想アプライアンスがハイパーバイザーをバイパスし、物理サーバーの I/O カードに直接アクセスするように制限する

C. 仮想サーバーがハイパーバイザーをバイパスし、物理サーバーの I/O カードに直接アクセスできるようにする

解説： SR-IOV などにより仮想マシンが物理デバイスを直接使うことで、性能が向上する。

質問 #44トピック 1
Jack Jensen は、ウィスコンシン州マディソンにある IT 企業でクラウドセキュリティエンジニアとして働いています。 Google が提供するさまざまなセキュリティサービスを利用して、2012 年に彼の組織は Google クラウドベースのサービスを採用しました。ジャックは、組織のデータとワークロードを保護するためにセキュリティ異常を特定したいと考えています。仮想マシンまたは GCP プロジェクトでの異常なアクティビティや認証情報の漏洩などのセキュリティ異常を検出するために、動作シグナルを利用する Security Command Center の組み込み機能は次のうちどれですか?

A. Cloud Anomaly Detection
B. Cloud Armor
C. Security Health Analytics
D. Anomaly Detector

A. Cloud Anomaly Detection

解説： GCPのSecurity Command Center内の機能。異常検知に特化。Cloud ArmorはDDoS防御。

質問 #46トピック 1
Steven Smith は、過去 4 年間、多国籍企業でクラウドセキュリティエンジニアとして働いてきました。彼の組織は AWS クラウドベースのサービスを使用しています。 Steven は、AWS 上で複数のリソースを持つ複雑なアプリケーションを処理していますが、これらのリソースを管理するのは彼にとって困難です。次の AWS サービスのどれを使用すると、スティーブンは関連する AWS リソースのセットを簡単に作成し、それらを秩序だった方法で使用またはプロビジョニングできるため、リソースの管理に費やす時間が減り、AWS 環境で実行されるアプリケーションにより多くの時間を費やすことができますか?

A. AWS Control Tower
B. Amazon CloudFront
C. AWS CloudFormation
D. AWS Config

C. AWS CloudFormation

解説： AWS上のリソース構成をコードで定義・自動作成できるIaC（Infrastructure as Code）ツール

質問 #47トピック 1
TechWorld Ltd. という組織は、ビジネスにクラウドを使用していました。 EU加盟国（ポーランドとギリシャ）から運営されています。現在、この組織は EU ユーザーのみのデータを収集して処理しています。かつて、組織は重大なセキュリティ侵害に遭遇し、その結果、重要なユーザーデータが失われました。このような場合、組織はクラウドサービスプロバイダーとともに、コンプライアンス違反または違反に対する責任を負う必要があります。どのクラウドコンプライアンスフレームワークに基づいて、企業とクラウドプロバイダーは罰せられるのでしょうか?

A. NIST
B. ITAR
C. GDPR
D. HIPAA

C. GDPR

解説： EU加盟国に拠点を置き、EU市民のデータを扱うなら、GDPR準拠が必須。

質問 #48トピック 1
Aidan McGraw は、多国籍企業のクラウドセキュリティエンジニアです。 2018 年、彼の組織はワークロードとデータをクラウド環境に展開しました。 Aidan には、組織外に共有する必要がある貴重な情報を、不正な侵入者やハッカーから保護する責任が与えられました。彼は、組織の外部に共有される組織に関する機密情報を、データを暗号化し、この情報を含むファイル内にユーザー権限を含めることで攻撃者から保護したいと考えています。 Aidan の要件を満たすテクノロジーはどれですか?

A. 情報権利の管理
B. 特権ユーザーの管理
C. クロスドメイン ID 管理のためのシステム
D. ID とアクセスの管理

A. 情報権利の管理（IRM）

解説： 情報共有時にアクセス制御、暗号化、追跡を可能にする技術。

質問 #51トピック 1
WinSun Computers は、クラウドコンピューティングを採用したソフトウェア会社です。クラウド環境を安全に保つために、組織はクラウド環境の管理者によって定められた規制、管理、ルールを確実に遵守する必要があります。このシナリオで組織が定めた規制、管理、ルールの順守を表すものは次のうちどれですか?

A. ガバナンス
B. リスク管理
C. 企業のコンプライアンス
D. 規制の遵守

A. ガバナンス

解説： ルール、方針、統制の体系的な管理。コンプライアンスは法令の遵守を指す。

質問 #54トピック 1
Global SciTech Pvt. Ltd.は、ヘルスケア関連のソフトウェアを開発するIT企業です。組織のインシデント対応チームは、インシデント検出システム (IDS) とウイルス対策ソフトウェアを使用して、攻撃者が組織ネットワークをターゲットにしてオンプレミス環境のリソースにアクセスしていることを確認しました。そのため、クラウドセキュリティエンジニアのチームはクラウドサービスプロバイダーと会い、クラウドサービスプロバイダーが提供するさまざまなセキュリティ規定について話し合いました。クラウド環境における組織の仮想マシンのセキュリティについて議論している際、クラウドサービスプロバイダーは、ネットワークセキュリティグループ (NSG) がインバウンドおよびアウトバウンドのセキュリティに基づいて仮想ネットワーク内の VM インスタンスへのネットワークトラフィックを許可または拒否することで VM を保護すると述べました。ルール。 NSG を使用して仮想ネットワーク内の VM ネットワークトラフィックをフィルタリングしているクラウドサービスプロバイダーは次のうちどれですか?

A. AWS
B. Azure
C. Google
D. IBM

B. Azure

解説： NSG（Network Security Group）はAzure独自のネットワーク制御機能。AWSには類似機能はあるが名称は異なる。

質問 #56トピック 1
Jordon Bridges は、多国籍企業でシニアクラウドセキュリティエンジニアとして働いています。彼の組織は Google のクラウドベースのサービスを使用しています。 Jordon は組織データをバケットに保存し、バケットの命名に関するガイドラインに従って Google クラウドストレージ内のバケットに名前を付けました。 Jordon が指定した有効なバケット名は次のうちどれですか?

A. company storage data
B. company-storage-data
C. Company-Storage-Data
D. Company-storage-data

B. company-storage-data

解説： バケット名は英小文字・数字・ハイフンが基本。スペースや大文字は禁止。

05 クラウドでのセキュリティ運用 13, 14, 19, 21, 27, 28, 31, 32, 37, 40, 42, 43, 45, 49, 50, 52, 55, 58, 62, 65, 66, 68, 70, 71, 74, 76, 77, 79

① クラウド環境でのセキュリティ運用の中心概念

カテゴリ	説明
SIEM/SOAR	セキュリティ情報イベント管理（ログの集約と分析）と自動対応（Azure Sentinelなど）
CASB	クラウドアクセスセキュリティブローカー（アクセス制御と可視化）
JITアクセス	Just-In-Time。特定期間のみアクセス許可。Azure Security CenterのVM保護機能で使う
KMS（Key Management Service）	暗号鍵を一元管理。AWS, Azure, GCP全てに存在
IAM	ユーザー、ロール、グループなどのアクセス管理
DevOps	開発（Dev）と運用（Ops）の統合。CI/CDパイプラインも含む

② クラウドでのセキュリティ強化サービス（AWS/Azure/GCP別）

用途	AWS	Azure	GCP
ログ監査	CloudTrail	Azure Activity Log	Cloud Audit Logs
セキュリティ状態監視	Security Hub, Inspector	Security Center	Security Command Center
脅威検出/ML分析	GuardDuty, Macie	Sentinel, Anomaly Detector	Event Threat Detection
データ漏洩防止（DLP）	Macie	Microsoft Purview	Data Loss Prevention API
アクセス制御	IAM	Azure AD, Role Assignment	IAM

③ 代表的なクラウド災害復旧（DR）サイトの分類

DRサイト	概要	特徴
Hot Site	フル稼働、即時切替可能	高コスト、即時復旧、RTO/RPO低
Warm Site	一部機器・設定済。起動には少し時間必要	コストと即応性のバランス
Cold Site	設備・設定なし。災害時に準備が必要	最低コスト、復旧に時間がかかる

質問 #13トピック 1
Richard Roxburgh は、IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織は、以前のクラウドサービスプロバイダーのサービスに不満を抱いていました。そのため、2020 年 1 月に、彼の組織は AWS クラウドベースのサービスを採用し、すべてのワークロードとデータを AWS クラウドに移行しました。 Richard は、ホストされているアプリケーションのデプロイ前および AWS エコシステムでの実行中に完全なセキュリティを提供したいと考えています。 AWS が提供する次の自動セキュリティ評価サービスのうち、Richard がアプリケーションのセキュリティを向上させ、アプリケーションのあらゆる種類の脆弱性やベストプラクティスからの逸脱を自動的にチェックするために使用できるものはどれですか?

A. AWS CloudFormation
B. Amazon Inspector
C. AWS Control Tower
D. Amazon CloudFront

B. Amazon Inspector

Amazon Inspector は「自動セキュリティ評価ツール」。アプリケーションやインスタンスに脆弱性がないかチェックします。
例えば、EC2 インスタンスのOSやアプリのセキュリティベンチマークに従った脆弱性スキャンを実施。

🔍 補足:

AWS CloudFormation（A）はリソース構成用のIaC。
AWS Control Tower（C）はマルチアカウント構成支援。
CloudFront（D）はCDNでセキュリティ評価には不適。

質問 #14トピック 1
GlobalCloud は、クラウド利用者にさまざまなクラウドベースの安全でコスト効率の高いサービスを提供するクラウドサービスプロバイダーです。この組織の顧客ベースは短期間のうちに増加しました。したがって、外部監査は GlobalCloud 上で実行されました。監査人はスプレッドシート、データベース、データ分析ソフトウェアを使用して大量のデータを分析しました。与えられた情報に基づいて、監査人は客観的な証拠を収集するためにどのクラウドベースの監査方法を使用しましたか?

A. CAAT
B. Re-Performance
C. Striping
D. Gap Analysis

A. CAAT

CAAT は、大量データの中からパターンを検出したり、異常点を発見するためにツールを使う監査手法。クラウドではログ解析やデータベース検証に使われます。

🧠 覚え方: 「CAAT = 監査の猫（ツールで見逃しを探す）」とイメージ。

質問 #19トピック 1
Falcon Computers は、IT インフラストラクチャをクラウド上で実行する IT 企業です。組織は、ビジネスビジョンをクラウドビジョンと一致させるために、企業クラウド環境にクラウドガバナンスを実装する必要があります。次のクラウドガバナンスコンポーネントのうち、組織がクラウドビジョンとビジネスビジョンを調整するのに役立つものはどれですか?

A. Cloud business office
B. クラウドサービスのライフサイクルのプロセス
C. Cloud center of excellence
D. 規範、モデル、リファレンスアーキテクチャ、ベストプラクティス、ガイドライン、およびポリシー

A. Cloud business office

CBOはクラウド戦略をビジネス目標と整合させる調整機関的な役割。ガバナンス体制の整備や組織文化の適応を推進。

C: Center of Excellenceは実装・技術標準の確立。
D: ポリシー群は構成要素ではあるが、CBOがそれを統括。

質問 #21トピック 1
Jimmi Simpson は、ミシガン州リヴォニアにある IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織は Microsoft Azure のクラウドベースのサービスを使用しています。 Jimmi は、脅威インテリジェンスを使用し、組織全体にインテリジェントなセキュリティ分析を提供する、クラウドベースのスケーラブルな SIEM および SOAR ソリューションを望んでいます。次の Microsoft Azure サービスは、脅威の可視化、アラート検出、脅威への対応、プロアクティブなハンティングのための単一のソリューションを提供し、攻撃の数を減らし、組織全体の俯瞰図を提供し、大量のアラートを生成し、長期間のセキュリティを確保します。解決までの時間枠は？

A. Anomaly Detector
B. Application Insights
C. Azure Sentinel
D. Cloud App Security

C. Azure Sentinel

Azure Sentinel は SIEM + SOAR（ログ分析 + 自動対応）を一体化したMicrosoftのセキュリティソリューション。Azureの脅威情報を集約し、アラートを発し、自動で対策できます。

📘 類似サービス:

AWS: GuardDuty + Security Hub
GCP: Chronicle + Event Threat Detection

A. クラウド監査人(Cloud Auditor)
B. クラウドキャリア(Cloud Carrier)
C. クラウドプロバイダー(Cloud Provider)
D. クラウドブローカー(Cloud Broker)

D. クラウドブローカー(Cloud Broker)

A. 暗号文属性ベースの暗号化
B. 完全準同型暗号化
C. キーポリシーの属性ベースの暗号化
D. ID ベースの暗号化

B. 完全準同型暗号化

質問 #27トピック 1
Sandra Oliver は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼女の組織は、オンデマンドのスケーラビリティ、堅牢なセキュリティ、高可用性機能を備えた Microsoft Azure クラウド環境を採用しました。 Sandra のチームリーダーは、組織アプリケーションの可用性を高めるというタスクを彼女に割り当てました。したがって、Sandra は、クライアントから受信した HTTP 要求の属性に基づいて、バックエンドの Azure 仮想マシンにトラフィックを分散するために利用できるソリューションを探しています。次の Azure サービスのうち、サラの要件を満たすのはどれですか?

A. Azure ExpressRoute
B. Azure Sentinel
C. Azure Front Door
D. Azure Application Gateway

D. Azure Application Gateway

理由： Azure Application Gateway は、レイヤー7（アプリケーション層）で動作するロードバランサーで、HTTP/HTTPS トラフィックをパスベースやヘッダーなどの属性に基づいて分散できます。

その他の選択肢：

A. Azure ExpressRoute → オンプレミスと Azure 間のプライベート接続。

B. Azure Sentinel → セキュリティ情報イベント管理（SIEM）。

C. Azure Front Door → グローバルなトラフィック分散には適しているが、細かい L7 ルーティングは Application Gateway が優れる。

質問 #28トピック 1
Jayson Smith は、CloudWorld SecCo Pvt. Ltd. でクラウドセキュリティエンジニアとして働いています。 Ltd. これは、クラウドサービスプロバイダーとクラウド利用者間の接続およびトランスポートサービスを提供するサードパーティベンダーです。 CloudWorld SecCo Pvt. を説明するアクターを選択してください。 Ltd. は NIST クラウド導入リファレンスアーキテクチャに基づいていますか?

A. クラウドプロバイダー(Cloud Provider)
B. クラウド監査人(Cloud Auditor)
C. クラウドキャリア(Cloud Carrier)
D. クラウドブローカー(Cloud Broker)

C. クラウドキャリア(Cloud Carrier)

理由： NIST の定義では、Cloud Carrier はクラウドサービスのネットワーク・通信インフラ（物理的・仮想的）を提供する仲介者です。CloudWorld SecCo Pvt. Ltd. のようなネットワーク接続の提供業者が該当。

他の選択肢：

Cloud Provider → クラウドサービスそのものを提供。

Cloud Broker → CSPとユーザーの仲介。

質問 #31トピック 1
データを保護するために、AWS の顧客はアラバマリージョンでキーを作成し、カリフォルニアリージョンでデータを暗号化しました。 2 人のユーザーが外部 AWS アカウントとともにキーに追加されました。 AWS の顧客が S3 オブジェクトを暗号化しようとしたとき、キーがリストされていないことに気づきました。その理由は何でしょうか?

A. 新しいキーがリストされるまでに時間がかかります
B. 暗号化キーは同じリージョンにある必要があります
C. S3 は KMS と統合できません
D. AWS は外部 AWS アカウントをサポートしていません

B. 暗号化キーは同じリージョンにある必要があります

理由： AWS KMS キーは作成されたリージョン内でのみ使用可能。異なるリージョンで使用すると認識されず、S3 暗号化に利用できません。

注意点： 鍵管理はリージョンベースで設計されているため、データ保護とアクセス管理が明確になります。

質問 #32トピック 1
Veronica Lauren は、クラウドセキュリティエンジニアとして 4 年の経験があります。最近、彼女はシニアクラウドセキュリティエンジニアとして IT 企業に入社しました。 2010 年、彼女の組織は、攻撃者が組織のクラウドセキュリティ境界を突破して機密情報を盗むサイバーセキュリティ攻撃の被害者になりました。それ以来、彼女の組織は Google クラウドベースのサービスの使用を開始し、組織のワークロードとデータを Google クラウド環境に移行しました。ベロニカは、組織のクラウドセキュリティ境界でセキュリティ侵害を検出したいと考えています。次の Google Security Command Center の組み込みサービスは、Veronica が組織のクラウドログストリームを監視し、1 つまたは複数のプロジェクトからログを収集して、マルウェアの存在、ブルートフォース SSH 試行、クリプトマイニングなどのセキュリティ侵害を検出するのに役立ちますか?

A. Web Security Scanner
B. Container Threat Detection
C. Security Health Analytics
D. Event Threat Detection

D. Event Threat Detection

理由： Event Threat Detection は、ログに基づいたセキュリティ分析を提供し、SSH攻撃、マルウェア、クリプトマイニングなどの脅威を検出。

他の選択肢：

Web Security Scanner → XSS/SQLi などのアプリ脆弱性。

Container Threat Detection → コンテナ内の異常。

Security Health Analytics → 構成ミスの検出。

質問 #40トピック 1
ある企業は複数の組織のサードパーティベンダーであり、ニーズに合わせてカスタマイズされたソフトウェアと製品を組織に提供しています。最近、インフラストラクチャとアプリケーションをクラウドに移行しました。そのアプリケーションはクラウド上で期待どおりに動作しません。開発者とテスターは、クラウドでのコードの管理とデプロイに大きな困難を経験しています。クラウドでの統合、開発、テスト、展開の自動化に役立つものは次のうちどれですか?

A. ダッシュボード
B. DevOps
C. 脆弱性評価ツール
D.SIEM

B. DevOps

理由： DevOpsは、開発(Dev)と運用(Ops)を統合し、自動化を通じて迅速なソフトウェア提供を可能にするアプローチ。
DevOps 活用例： 自動ビルド、テスト、デプロイ（CI/CD）。

質問 #42トピック 1
SecAppSol Pvt. Ltd. は、ケンタッキー州ルイビルにあるクラウドソフトウェアおよびアプリケーション開発会社です。以前のクラウドサービスプロバイダーが提供していたセキュリティ機能は満足できるものではなく、2012 年に組織は盗聴の被害に遭いました。したがって、SecAppSol Pvt. Ltd. は、堅牢でコスト効率の高いセキュリティ機能を備えた AWS クラウドベースのサービスをクラウドサービスプロバイダーを変更して採用しました。 SecAppSol Pvtはどのようにして行うのですか？ Ltd. のセキュリティチームは、SSL または TLS セッションを開始するロードバランサとクライアントの間のトラフィックを暗号化しますか?

A. RADIUS 認証を有効にする
B. Cloud Identity Aware Proxy を有効にすることによって
C. HTTPS リスナーを有効にする
D. Amazon GuardDuty を有効にすることにより

C. HTTPS リスナーを有効にする

理由： HTTPSリスナーは、ロードバランサとクライアント間の通信を SSL/TLS で暗号化する。MITM攻撃を防ぐ基本的対策。
関連知識： ELB（Elastic Load Balancer）で HTTPS リスナーを有効にすると、証明書の設定も必須。

質問 #43トピック 1
Rachel McAdams は、クラウドサービスプロバイダー会社でシニアクラウドセキュリティエンジニアとして働いています。彼女の組織が提供する堅牢なサービスとセキュリティ機能のおかげで、クラウド利用者の数は増加し続けています。増大するクラウド消費者の要件を満たすために、彼女の組織はさらに多くのデータセンターを構築することを決定しました。そのため、レイチェルの組織は、データセンターを設計および構築するための新しいチームを結成しました。レイチェルもチームの一員であり、データセンターの設計を担当しました。 Racheal はどのようにして HVAC ユニット内の温度を安定に維持できるのでしょうか?

A. Rachel は、データセンター機器から発生する熱を外部に取り込み、機器に供給する冷気を内部に取り込むように HVAC を設計できます。
B. Rachel は、温度を安定させるためにデータセンター機器によって生成される冷気と熱が内部に留まるように HVAC を設計できます。
C. Rachel は、データセンター機器によって生成された熱を内部に取り込み、機器に供給する冷気を外部に取り出すように HVAC を設計できます。
D. Rachel は、温度を安定させるためにデータセンター機器によって生成される冷気と熱が外部に留まるように HVAC を設計できます。

A. Rachel は、データセンター機器から発生する熱を外部に取り込み、機器に供給する冷気を内部に取り込むように HVAC を設計できます。

理由： HVAC（冷暖房・換気）は「熱を外へ逃し、冷気を内部に入れる」ことで機器の温度安定を保つ。高効率な空調が信頼性に直結。

質問 #45トピック 1
Jordon Bridges は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼の組織では、Google クラウドベースのサービス (GC) を使用しています。これは、Google クラウドが堅牢なセキュリティサービス、競合他社よりも安い価格設定、パフォーマンスの向上、冗長バックアップを提供しているためです。 IAM セキュリティ構成を使用して、Jordon は最小特権の原則を実装しました。 GC IAM メンバーには、Google クラウドリソースにアクセスするための ID を持つ Google アカウント、サービスアカウント、Google グループ、G Suite、またはクラウド ID ドメインを指定できます。 GC IAM メンバーが Google クラウドリソースにアクセスするために使用する ID は次のうちどれですか?

A. Google アカウント、Google グループ、サービスアカウントの場合、使用される ID はメールアドレスですが、G Suite およびクラウド ID ドメインでは、使用される ID はドメイン名です。
B. Google アカウント、Google グループ、および G Suite の場合、使用される ID はメールアドレスですが、サービスアカウントおよびクラウド ID ドメインでは、使用される ID はドメイン名です。
C. Google アカウント、Google グループ、および G Suite の場合、使用される ID はドメイン名ですが、サービスアカウントおよびクラウド ID ドメインの場合、使用される ID は電子メールアドレスです。
D. Google アカウント、Google グループ、およびサービスアカウントの場合、使用される ID はドメイン名ですが、G Suite およびクラウド ID ドメインでは、使用される ID はメールアドレスです。

A. Google アカウント、Google グループ、サービスアカウントの場合、使用される ID はメールアドレスですが、G Suite およびクラウド ID ドメインでは、使用される ID はドメイン名です。

理由： Google Cloud IAM では、メールアドレス形式の ID を使うのが一般的（例：user@gmail.com）。G Suite や Cloud Identity ドメインはドメイン名を指定。

質問 #49トピック 1
Chris Noth は、CloudAppSec Private Ltd でシニアクラウドセキュリティエンジニアとして働いています。彼の組織は、フォールトトレラントでネットワーク接続を備えた完全に冗長な機器で構成される災害復旧サイトを提供する DRaaS (Disaster Recovery as a Service) 会社を選択しました。リアルタイムのデータ同期。したがって、クリスの組織に災害が発生した場合、ダウンタイムを最小限に抑え、データ損失をゼロにしながら、災害復旧サイトへのフェイルオーバーを実行できます。与えられた情報に基づいて、DRaaS 会社が Chris の組織に提供する災害復旧サイトはどれですか?

A. Remote site
B. Warm Site
C. Hot Site
D. Cold Site

C. Hot Site

理由： Hot Site は、リアルタイム同期、すぐに業務再開できる環境。最もコストは高いが、復旧時間（RTO）が短い。

比較：

Warm Site：一部リソース準備済。

Cold Site：最低限のハードウェアのみ。

質問 #50トピック 1
Luke Grimes は最近、クラウドセキュリティエンジニアとして多国籍企業に入社しました。同社は AWS クラウドを使用しています。彼は、すべての Redshift クラスターにおける中間者攻撃のリスクを軽減したいと考えています。すべての Redshift クラスターで中間者攻撃のリスクを軽減するには、Grimes が次のパラメータのうちどれを有効にする必要がありますか?

A.enable_user_ssl
B. fips_ssl
C.wlm_ssl
D. require_ssl

D. require_ssl

理由： Redshift クラスターでの中間者（MITM）攻撃防止には、require_ssl パラメータで SSL 通信を強制化するのが基本。

他の選択肢：

enable_user_ssl や fips_ssl は他用途や非公式。

質問 #52トピック 1
Terry Diab は、クラウドセキュリティエンジニアとして 6 年の経験があります。彼女は最近、シニアクラウドセキュリティエンジニアとして多国籍企業に入社しました。テリーさんは、組織のアプリケーションがハッキングされ、パスワード、ユーザー名、アカウント情報などのユーザーデータが攻撃者によって悪用される可能性が高いことを知りました。組織のアプリケーションはまだハッキングされていませんが、この問題には早急な対応が必要です。したがって、テリーはチームとともに、クイックリリース手順でこの問題を即座に解決するように設計されたソフトウェアアップデートをリリースしました。テリーは、通常の品質保証手順に従わずに、ソフトウェア製品の問題 (バグ) を即座に修正することに成功しました。テリーのチームは、ユーザーのダウンタイムをゼロにすることなく、ライブシステム上で問題を即座に解決しました。与えられた情報に基づいて、Terry によって実装されたアップデートは次のタイプのうちどれですか?

A. ホットフィックス
B. バージョンアップ
C.パッチ
D. ロールバック

A. ホットフィックス

理由： ホットフィックスは、本番環境で即時適用される緊急修正。通常のQAやリリース手順を省略して適用。
補足： セキュリティホールなどに迅速に対応可能。

質問 #55トピック 1
Azure サブスクリプション所有者である Arial Solutions は、重大度の高いアラート (電子メール通知) がトリガーされると、Microsoft から通知を受け取ります (デフォルト)。クラウドセキュリティエンジニアは、これらのセキュリティアラートを特定の個人、またはサブスクリプションの特定の Azure ロールを持つ人に送信し、アラートが送信される重大度レベルを変更したいと考えています。クラウドセキュリティエンジニアはこれらのアラートをどのように構成すればよいでしょうか?

A. Azure Front Door の設定による
B. エクスポート機能を使用して ASC アラートをエクスポートする
C. ASC データコネクタを使用してアラートを Azure Sentinel にストリーミングする
D. ASCセキュリティ連絡先の設定による

D. ASCセキュリティ連絡先の設定による

理由： Azure Security Center のアラート設定は「セキュリティ連絡先」で調整可能。受信者・レベルのカスタマイズもここで行う。

質問 #58トピック 1
InternSoft ソリューション Pvt. Ltd. は、マサチューセッツ州ボストンにある IT 企業です。組織の IT チームと InfoSec チームは CASP を使用して、アクセスルールをカスタマイズし、コンプライアンスポリシーを自動化します。 CASP ソリューションを使用すると、クラウド内のアカウントアクティビティにアクセスできるため、コンプライアンス、データセキュリティ、脅威保護を簡単に実現できます。 CASPとは何ですか?

A. プロキシを使用する CASB です
B. プロキシを使用する WAF です
C. APIを使用したRASPである
D. APIを使用するCASBである

D. APIを使用するCASBである

理由： APIベースのCASBは、クラウド上のユーザー・リソース・アクティビティをリアルタイムで可視化・制御できる。
補足： プロキシ型と比べ、非侵入的でセットアップも容易

質問 #62トピック 1
Shannon Elizabeth は、VicPro Soft Pvt. でクラウドセキュリティエンジニアとして働いています。 Ltd. Microsoft Azure は、すべてのクラウドベースのサービスを組織に提供しています。 Shannon はリソースグループ (ProdRes) を作成し、そのリソースグループ内に仮想マシン (myprodvm) を作成しました。 myprodvm 仮想マシンで、彼女は Azure Security Center ダッシュボードから JIT を有効にしました。 Shannon が JIT VM アクセスを有効にするとどうなりますか?

A. Azure ファイアウォールにルールを作成することで、myprodvm への受信トラフィックをロックダウンします。
B. ネットワークセキュリティグループにルールを作成することで、myprodvm からの受信トラフィックをロックダウンします。
C. ネットワークセキュリティグループにルールを作成することで、myprodvm からのアウトバウンドトラフィックをロックダウンします。
D. Azure ファイアウォールにルールを作成することで、myprodvm への送信トラフィックをロックダウンします。

B. ネットワークセキュリティグループにルールを作成することで、myprodvm からの受信トラフィックをロックダウンします。

理由： JIT（Just-In-Time）アクセスは、必要な時間だけ NSG（ネットワークセキュリティグループ）ルールを開放し、セキュリティを向上。

質問 #64トピック 1
ユアン・マクレガーは、電子商取引企業向けのソフトウェアとアプリケーションを開発する多国籍企業でクラウドセキュリティエンジニアとして働いています。アプリケーションとソフトウェアの開発のために AWS が提供する強力なサービスのおかげで、彼の組織は 2010 年に AWS クラウドに移行しました。権限を昇格して AWS 管理者アカウントのアクセスを取得できるかどうかをテストするために、ユアンは通常のユーザーでログインプロファイルを更新しようとしました。アカウント。 Ewan が既存のログインプロファイルを更新するには、次のコマンドのうちどれを試行する必要がありますか?

A. aws iam update-login-profile –user-name < ユーザー名 > –password < パスワード >
B. aws iam update-login-profile –user-name < パスワード > –password < ユーザー名 >
C. aws iam update-login-profile -user-name < パスワード > –password < ユーザー名 >
D. aws iam update-login-profile –password < パスワード > –user-name < ユーザー名 >

A. aws iam update-login-profile –user-name < ユーザー名 > –password < パスワード >

質問 #65トピック 1
Maria Howell は、IoT 製造会社でシニアクラウドセキュリティエンジニアとして働いています。彼女の組織は、IoT デバイスの設計、開発、テストを行っています。 Microsoft Azure クラウドベースのサービスを使用します。マリアさんは、データサイエンスや、データ分析に使用されるさまざまな ML モデルや AI モデルについての知識はありませんでしたが、IoT デバイスから生成される時系列データを分析して、異常を監視および特定したいと考えています。 Maria が機械学習の知識を必要とせずに時系列データの異常を監視および特定するのに役立つ AI ベースの Azure サービスは次のうちどれですか?

A. Application Insights
B. Azure Sentinel
C. Cloud App Security
D. Anomaly Detector

D. Anomaly Detector

理由： Anomaly Detector は、時系列データから異常を自動で検知する Azure のAIサービス。機械学習の知識不要。

質問 #66トピック 1
Altitude Solutions という民間の IT 企業は、クラウドから業務を実行しています。同社は、クラウドインフラストラクチャと施設 (データセンターなど) の制御とポートフォリオレベルでのアプリケーションの管理を実現するために、企業の利害関係者 (上級経営陣、従業員、投資家、サプライヤー) の利益のバランスをとりたいと考えています。クラウド環境における組織のさまざまなレベルでの活動を指示および制御する上級管理者の遵守を表しているのは次のうちどれですか?

A. ガバナンス
B. リスク管理
C. 規制の遵守
D. 企業のコンプライアンス

A. ガバナンス

理由： ガバナンスは、組織の方向性・ルール・管理体系を決定し、利害関係者のバランスを取るフレームワーク。

質問 #68トピック 1
Rebecca Gibel は、過去 5 年間、IT 企業でクラウドセキュリティエンジニアとして働いてきました。彼女の組織はクラウドベースのサービスを使用しています。 Rebecca の組織にはクライアントに関する個人情報が含まれており、それらは暗号化されてクラウド環境に保存されています。彼女の組織の CEO は、レベッカに対し、2011 年から 2015 年の間にサービスを利用したすべての顧客の個人情報を削除するよう依頼しました。レベッカは、元のデータの暗号化に使用された暗号キーを削除しました。これにより、データが読み取れなくなり、回復できなくなりました。与えられた情報に基づいて、レベッカはどの削除方法を実行しましたか?

A. Nulling Out
B. Data Erasure
C. Data Scrubbing
D. Crypto-Shredding

D. Crypto-Shredding

理由： 暗号鍵を破棄することで、暗号化されたデータを復号不可にする安全な削除手法。GDPRなどの削除要件にも対応。

A. passwd -d <ユーザー名>
B. passwd -D <ユーザー名>
C. passwd -I <ユーザー名>
D. passwd -L <ユーザー名>

A. passwd -d <ユーザー名>

質問 #70トピック 1
Ocular Private Ltd. は、グラフィックデザイン関連のソフトウェアを開発する IT 企業です。この組織は Google クラウドサービスを使用しています。 Margot Robbie は、過去 3 年間、Ocular Private Ltd でクラウドセキュリティエンジニアとして働いてきました。彼女は、GCP Cloud Operations Suite (旧名 Stack Driver) のロギングおよびモニタリングツールを使用して、GCP でホストされるアプリケーションのモニタリングとデバッグを行っています。 Margot は、クラウド監視を使用してコンピューティングエンジンインスタンスを監視したいと考えています。したがって、彼女はコンピューティングエンジンインスタンスを作成し、クラウドモニタリングエージェントをインストールしました。 Margot がクラウドモニタリングエージェントを開始するために使用できるコマンドは次のどれですか?

A. sudo stackdriver.agent start
B. sudo service stackdriver-agent start
C. sudo stackdriver-agent start
D. sudo service stackdriver.agent start

B. sudo service stackdriver-agent start

理由： sudo service stackdriver-agent start は GCP モニタリングエージェントの正しい起動方法。
補足： Stackdriver は現在 “Cloud Operations” と改称。

質問 #71トピック 1
BPO 会社はビジネスを拡大し、24 時間 365 日の顧客サービスを提供したいと考えています。したがって、組織は、最小限のメンテナンスと管理ですべての機能を提供する、完全に機能するクラウド環境に移行したいと考えています。どのクラウドサービスモデルを検討する必要がありますか?

A. IaaS
B. PaaS
C. SaaS
D.RaaS

C. SaaS

理由： SaaS（Software as a Service）は、クラウド上でフル機能のソフトウェアを提供し、ユーザーはメンテナンス不要で利用可能。
例： Gmail, Office365, Salesforce。

質問 #74トピック 1
5 年の経験を持つクラウドセキュリティエンジニアである Rufus Sewell は、最近シニアクラウドセキュリティエンジニアとして多国籍企業に加わりました。 AWS が提供するコスト効率の高いセキュリティ機能とストレージサービスのおかげで、彼の組織は 2014 年から AWS クラウドベースのサービスを使用しています。RAID を作成するために、Rufus はアレイ用の Amazon EBS ボリュームを作成し、その EBS ボリュームをインスタンスに接続しました。アレイをホストしたい場所。コマンドラインを使用して、Rufus は RAID の作成に成功しました。このアレイは、パリティ制御によるオーバーヘッドなしで読み取り操作と書き込み操作の両方で顕著なパフォーマンスを発揮し、アレイのストレージ容量全体が使用されます。 Rufus によって作成された RAID のストレージ容量は、セット内のディスク容量の合計に等しいですが、アレイはフォールトトレラントではありません。高速で読み書きする必要がある、重要ではないクラウドデータストレージに最適です。指定された情報に基づいて、Rufus によって作成される RAID は次のどれですか?

A. RAID 0
B. RAID 5
C. RAID 6
D. RAID 1

A. RAID 0

理由： RAID 0 はストライピングにより高速化と最大容量を提供。ただし、冗長性ゼロのため障害時には全損失のリスクがある。

質問 #76トピック 1
Michael Keaton は、多国籍企業でクラウドセキュリティのスペシャリストとして働いています。彼の組織では Google Cloud を使用しています。 Keaton は、n1-standard-1 (1 vCPU、3.75 GB メモリ) インスタンスでアプリケーションを起動しました。過去 3 週間にわたり、インスタンスのメモリ使用率は低くなっています。 Keaton に推奨されるマシンタイプの切り替えは次のうちどれですか?

A. n1-standard-1 (1 vCPU、3.75 GB メモリ)
B. n1-standard-2 (2 vCPU、7.5 GB メモリ)
C. g1-small (1 vCPU、1.7 GB メモリ)
D. f1-micro (1 vCPU、614 GB メモリ)

C. g1-small (1 vCPU、1.7 GB メモリ)

理由： メモリ使用率が低い場合は、軽量インスタンス（g1-small）がコスト効率よい選択

質問 #77トピック 1
Richard Branson は、多国籍企業でシニアクラウドセキュリティエンジニアとして働いています。クラウドコンピューティングによって提供されるコスト効率の高いセキュリティ機能とサービスのおかげで、彼の組織はクラウドベースのサービスを使用しています。 Richard は、テスト戦略の一環として、実稼働環境にデプロイされたアプリケーション/ソフトウェアシステムに意図的に問題を引き起こし、アプリケーション/ソフトウェアシステムがどのように混乱に対処し、脆弱性を検出し、修正するかを分析したいと考えています。突然の予期せぬ状況に耐えられるシステムの能力を確認するために、運用環境に導入されたソフトウェアシステムを実験するプロセスを指すのは次のうちどれですか?

A. Chaos Engineering
B. Social Engineering
C. Site Reliability Engineering
D. Quick-Fix Engineering

A. Chaos Engineering

システムの信頼性を高めるために、あえて故障やエラーを起こして耐性を検証する手法。

例： Netflix の「Chaos Monkey」。

質問 #79トピック 1
Andrew Gerrard は過去 3 年間、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼の組織はクラウドベースのサービスを使用しており、DR 計画を導入しています。 Andrew は、災害が発生したときに DR 計画が効率的に機能し、組織が復旧して通常の業務を継続できるようにしたいと考えています。したがって、DR 計画の所有者である Andrew と、DR 計画の開発と実装に関与する他のチームメンバーは、DR 計画を調査して、矛盾や欠落している要素を特定しました。指定されたシナリオに基づいて、Andrew の組織で実行された DR テストのタイプは次のうちどれですか?

A. 机上演習
B. 計画のレビュー
C. 刺激
D. シミュレーション

B. 計画のレビュー

理由： 計画のレビューは DR テストの初期ステップで、文書の整合性や計画の網羅性を確認する作業。

他の選択肢：

机上演習 → 実際の手順を口頭でロールプレイ。

シミュレーション → 仮想的な災害を模擬。

質問 #101トピック 1
クラウドフォレンジック調査員のアリスは、組織の Azure 環境におけるセキュリティ侵害の調査中に、関連する証拠を見つけました。彼は調査者として、監視を強化するために、Azure リソースによって生成されたさまざまな種類のログを Azure サービスと同期する必要があります。 Alice が Azure サブスクリプションレイヤーに情報を記録し、証拠 (特定のリソースに対して実行された操作、タイムスタンプ、操作のステータス、および操作を担当するユーザーに関連する情報) を取得できるようにできる Azure のログ記録および監査機能はどれですか?

A. Azure Resource Logs
B. Azure Storage Analytics Logs
C. Azure Activity Logs
D. Azure Active Directory Reports

C. Azure Activity Logs

06 クラウドでのペネトレーションテスト 91

✅ロックイン問題のチェック

SLAのチェック▶︎　ベンダーロックインの問題確認▶︎　提供者責任として代替案への切り替えができるか？
　買収切り捨て、サービス提供停止、消滅（紛争・テロなど）

✅PCI/SOXなどのコンプライアンス遵守の確認
　リーガルリスクに付随する信頼的損害(レピュテーションリスク・信用リスク・賠償リスク)

✅セキュリティマネジメントのチェック
　オペレーションーオートメーションプロセスの不整合、システムプロセスギャップの制御不備

✅クラウドリソースの分離チェック
　アカウント権限管理や環境アクセス制御(開発環境を含む)で環境分離が成立しない場合があるか検証

✅スキャンとは何か？
スキャンとは、特定の挙動事象が対象範囲にあるか否か機械的に同定する行為である。
なぜその事象を探すのかの意図が抜けた行為はスキャンとは言わない。

サービスモデル	管理対象（ユーザー）	管理対象（プロバイダー）	CPENの許可範囲
IaaS（Infrastructure as a Service）	OS、ミドルウェア、アプリ、データ	ハードウェア、仮想化、ネットワーク	許可される（申請必要）
PaaS（Platform as a Service）	アプリ、データ	OS、ランタイム、ネットワーク等	限定的に許可
SaaS（Software as a Service）	データ（利用だけ）	アプリ、OS、インフラすべて	許可されない
DBaaS（Database as a Service）	データベース内データ	DBソフト・OS・インフラなど	基本的に許可されない／制限的

🔒 SaaSではサービスプロバイダがすべてのインフラ・ソフトを管理しているため、ユーザーが勝手に侵入テストを行うことは禁止されています。

質問 #91トピック 1
ジェリー・マリガンは、クラウドセキュリティエンジニアとして IT 企業に雇用されています。 2014 年に、彼の組織はすべてのアプリケーションとデータをオンプレミスからクラウド環境に移行しました。ジェリーは、侵入テストを実行して、クラウド環境内の仮想マシン、インストールされているアプリ、OS 全体のセキュリティを評価したいと考えています。これには、重大な脅威にさらされる可能性のあるクラウド固有のリスクに対するさまざまなセキュリティ評価手順の実施も含まれます。次のクラウドコンピューティングサービスモデルのうち、Jerry に対するクラウド侵入テスト (CPEN) が許可されないものはどれですか?

A. SaaS
B.IaaS
C.PaaS
D.DBaas

A. SaaS

解説：SaaS（例：Salesforce、Office 365、Gmailなど）は、ユーザーはアプリケーションを使用するだけで、ソフトウェアやインフラの管理は全てクラウドプロバイダー側。このため、ユーザーが侵入テストを実行することはセキュリティ上も契約上も原則禁止されています。

07 クラウドでのインシデントレスポンス 57, 63, 75, 80, 81, 82, 85, 86, 89, 90, 92

1. 災害復旧アプローチ（DR戦略）

パイロットライト：最小限のインフラを常に稼働。災害時に本格起動。
ウォームスタンバイ：本番環境の縮小版が常時起動。RTO/RPOが短い。
バックアップと復元：データは保管されているが、復旧に時間がかかる。
マルチクラウド：複数のクラウドを利用した可用性戦略。

2. IaC（Infrastructure as Code）とセキュリティ

IaCテンプレートのスキャン：構成ミス、セキュリティリスクを事前に検知。
CI/CDパイプラインに自動スキャンを組み込むのがベストプラクティス。

3. CDNとCloudFront

CloudFront（AWS）は、最も近いエッジロケーションからデータを配信し、レイテンシを最小化。

4. Azureのフォレンジック調査手順

スナップショット取得後の共有には「共有アクセス署名（SAS）」が必要。

5. AWS CLIでのキー作成

正しい構文：aws iam create-access-key --user-name <ユーザー名>

6. Route 53のルーティングポリシー

地理ベース（地理的位置に基づいて）やレイテンシベースなど。ユーザーの最も近いリージョンに誘導。

7. Key VaultとAzure

AzureのKey Vaultは鍵管理、シークレット管理、証明書の制御に使われるセキュリティ機能。

8. クラウドモデルとフェイルオーバー責任

SaaS/PaaS：プロバイダがフェイルオーバー含め全てを処理
IaaS：ユーザーに設計責任あり

9. インシデント対応の役割

インシデントハンドラー：初動対応・封じ込め・根本原因分析を主導

10. 特権アクセス管理（PAM）

Azure ADにおける重要リソースへのアクセス管理機能。監査・制御・ロールベースのアクセス付与など。

11. インシデント影響レベルの分類

High（高）：業務継続に影響あり。顧客サービス中断など。
Medium：一部機能の制限
Low：軽微な影響または個別ケース

質問 #57トピック 1
Trevor Noah は、ワシントン州シアトルにある IT 企業でクラウドセキュリティエンジニアとして働いています。 Trevor は、完全に機能する環境の縮小バージョンをクラウドで実行する災害復旧アプローチを実装しました。この方法は、RTO と RPO を数分以内にする必要がある、彼の組織の中核となるビジネスクリティカルな機能とソリューションに最も適しています。与えられた情報に基づいて、Trevor は次の災害復旧アプローチのうちどれを実装しますか?

A. マルチクラウドオプション
B. ウォームスタンバイ
C. パイロットライトアプローチ
D. バックアップと復元

B. ウォームスタンバイ

解説： 常時稼働する縮小環境があり、短時間で復旧できる。RTO/RPOが短い本番環境に適する。

質問 #63トピック 1
SevocSoft Private Ltd. は、銀行部門向けのソフトウェアとアプリケーションを開発する IT 企業です。組織のセキュリティチームは、コードとしてのインフラストラクチャ (IaC) テンプレートの構成ミスが原因で発生したセキュリティインシデントを発見しました。さらなる調査の結果、セキュリティチームは、サーバー構成が誤って構成された IaC テンプレートを使用して構築されており、その結果、セキュリティ侵害が発生し、組織のクラウドリソースが悪用されたことが判明しました。このセキュリティ侵害と悪用を防ぐことができたのは次のうちどれですか?

A. IaC テンプレートのスキャン
B. IaC テンプレートのテスト
C. Iac テンプレートのストライピング
D. IaC テンプレートのマッピング

A. IaC テンプレートのスキャン

解説： 自動スキャンにより脆弱な構成を早期発見。ストライピングやマッピングは用語として不適切。

質問 #75トピック 1
Bruce McFee は、IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織は AWS クラウドベースのサービスを使用しています。 Amazon CloudFront はユーザーフレンドリーな環境を通じて低レイテンシで高速なデータ配信を提供するため、Bruce の組織は CloudFront コンテンツ配信ネットワーク (CDN) Web サービスを使用して、世界中のさまざまな顧客にデータを高速かつ安全に配信しています。 CloudFront はどのようにコンテンツ配信を高速化しますか?

A. 最も近いエッジロケーションからのエンドユーザーのリクエストを制限することによって
B. エンドユーザーのリクエストを元のソースに転送することによって
C. エンドユーザーのリクエストを最も近いエッジロケーションに送信することによって
D. エンドユーザーのリクエストを元のソースにルーティングすることによって

C. エンドユーザーのリクエストを最も近いエッジロケーションに送信することによって

解説： 最寄りのエッジサーバーから配信することで、読み込み速度を高速化。

質問 #80トピック 1
IT 企業は、同じサブスクリプション ID の下で、Production-group と Security-group という名前の 2 つのリソースグループを使用しています。 Production グループの下では、Ubuntul8 という VM が侵害されている疑いがあります。フォレンジック調査者として、さらなる調査のために、疑わしい仮想マシン Ubuntu18 の OS ディスクのスナップショット (ubuntudisksnap) を作成し、そのスナップショットをセキュリティグループの下のストレージアカウントにコピーする必要があります。 Azure のセキュリティインシデントの調査における次のステップを特定しますか?

A. 共有アクセス署名を生成する
B. スナップショットをフォレンジックワークステーションにマウントする
C. BLOB コンテナーにスナップショットのバックアップコピーを作成する
D. スナップショットをファイル共有にコピーする

C. BLOB コンテナーにスナップショットのバックアップコピーを作成する

解説：

Azure の推奨フォレンジック手順において「スナップショット → BLOB に保存 → 調査開始」が標準的フロー

ディスクの証拠を改変せずに保全するには、BLOB ストレージへの保存が最初に必要

SAS の生成やマウントは、その後の共有や分析段階

質問 #81トピック 1
William O’Neil は、フロリダ州タンパにある IT 企業でクラウドセキュリティエンジニアとして働いています。通常のユーザーアカウントでアクセスキーを作成するために、権限を昇格して AWS 管理者アカウントのアクセスを取得できるかどうかをテストしたいと考えています。 William がユーザーの新しいユーザーアクセスキー ID と秘密キーを作成するには、次のコマンドのうちどれを試行する必要がありますか?

A. aws iam -user-name target_user create-access-key
B. aws iam create-access-key -user-name target_user
C. aws iam create-access-key target_user -user-name
D. aws iam target_user -user-name create-access-key

B. aws iam create-access-key -user-name target_user

質問 #82トピック 1
Thomas Gibson は、多国籍企業で働くクラウドセキュリティエンジニアです。 Thomas は、自分のドメインからフロリダのシステムへの Route 53 レコードセットを作成し、パリとシンガポールのマシンへの同様のレコードを作成しました。ネットワーク状態は変わらず、Thomas が Amazon EC2 インスタンスでアプリケーションをホストしていると仮定します。さらに、アプリケーションの複数のインスタンスが異なる EC2 リージョンにデプロイされます。ロンドンにいるユーザーが Thomas のドメインにアクセスすると、Amazon Route 53 はユーザーのリクエストをどの場所にルーティングしますか?

A. Florida
B. London
C. Paris
D. Singapore

B. London

解説： ユーザーの場所に応じて、最も近いエンドポイントへ誘導。

質問 #85トピック 1
Chris Evans は、過去 3 年間、多国籍企業でクラウドセキュリティエンジニアとして働いてきました。彼の組織はクラウドベースのサービスを使用しています。 Chris は、暗号化キーの作成とその制御が容易になるため、キー管理ソリューションとして Key Vault を使用しています。 Chris がこれを行うことを許可しているパブリッククラウドサービスプロバイダーは次のうちどれですか?

A. Oracle
B. GCP
C. Azure
D. AWS

C. Azure

解説： Azureが提供する鍵管理サービス。他クラウドにも同様の機能はあるが、Key VaultはAzure固有。

質問 #86トピック 1
CyTech Private Ltd. は、フロリダ州ジャクソンビルにある IT 企業です。組織は単一障害点を排除したいと考えています。そのため、2017 年に組織は、クラウドサービスプロバイダーがフェールオーバーを完全に処理するクラウドコンピューティングサービスモデルを採用しました。 CyTech Private Ltd. は、自社のクラウド環境に自動フェイルオーバー機能を追加し、その機能が効率的に動作することを確認するためにテストを行ってきました。次のクラウドコンピューティングサービスモデルのうち、フェイルオーバーがクラウドサービスプロバイダーによって完全に処理されるのはどれですか?

A. IaaS
B. PaaS
C. SaaS
D. DaaS

B. PaaS

解説： アプリ基盤も含めてプロバイダが管理するので、自動フェイルオーバーも含まれる。

質問 #89トピック 1
VenturiaCloud は、堅牢でコスト効率の高いクラウドベースのサービスをクラウド利用者に提供するクラウドサービスプロバイダーです。その組織はサイバーセキュリティ攻撃の被害者になりました。攻撃者がクラウド上で DDoS 攻撃を実行し、クラウド環境全体に障害を引き起こしました。 VenturiaCloud はフォレンジック調査を実施しました。次のうち、クラウドセキュリティ攻撃に対する防御の最前線に立つのは誰ですか?その主な役割は、あらゆる種類のセキュリティインシデントに即座に対応することです。

A. 法律顧問
B. インシデントハンドラー
C. IT プロフェッショナル
D. 調査員

B. インシデントハンドラー

解説： セキュリティインシデント発生時に即座に対応し、被害拡大を防ぐ中心的な役割。

質問 #90トピック 1
Richard Harris は、多国籍企業でシニアクラウドセキュリティエンジニアとして働いています。彼の組織は Microsoft Azure クラウドベースのサービスを使用しています。リチャードは、組織内の重要なリソースへのアクセスを管理、制御、監視したいと考えています。 Richard が Azure、Azure AD、および Microsoft Intune や Microsoft 365 などの他の Microsoft オンラインサービスのリソースへのアクセスを管理、制御、監視できるようにできる Azure AD のサービスはどれですか?

A. 特権アイデンティティ管理
B. フェデレーション ID 管理
C. 特権アクセス管理
D. クロスドメイン ID 管理のためのシステム

C. 特権アクセス管理

解説： AzureやMicrosoftサービスにおける特権アクセスの付与、制限、監査を一元的に管理。

質問 #92トピック 1
Colin Farrell は、ヘルスケア会社でシニアクラウドセキュリティエンジニアとして働いています。彼の組織は、すべてのワークロードとデータをプライベートクラウド環境に移行しました。攻撃者は、コリンの組織のビジネスを妨害するためのポイントとしてクラウド環境を使用しました。 Colin は、侵入検知防止システム、ウイルス対策ソフトウェア、ログアナライザーを使用して、インシデントの検知に成功しました。しかし、ユーザーのグループは、組織が提供する重要なサービスを利用できませんでした。インシデント影響レベル分類スケールに基づいて、コリンの組織が遭遇したインシデントの重大度を選択しますか?

A. None
B. High
C. Medium
D. Low

B. High

解説： サービスが利用できなくなったため、事業継続性への影響がある重大な障害と判断。

08 クラウドでのフォレンジック調査 83, 84, 87, 88, 93, 95, 96, 98, 100

1. JSON Web Token（JWT）

JWT（JSON Web Token） は API 認証に使われる軽量なトークン形式。
Cloud Endpoints（Google Cloud）で API 呼び出しの検証によく使われる。

2. Google App Engine Firewall

アクセス制御のためのルールベースのファイアウォール機能。
最大 1000件までのルールを定義可能。

3. 災害復旧サイトの種類

Cold Site：設備のみ。即時稼働不可、コスト低。
Warm Site：縮小環境を維持、数時間〜数日で切替可。
Hot Site：即時フェイルオーバー可、高コスト。

4. GCPのVPCネットワーク設計

VMごとにネットワークタグを用いてファイアウォールルールを適用するのが標準設計。
各層を直接つなげず、必要な通信だけを許可するのがベストプラクティス。

5. AWSストレージの違い

サービス	用途	データ単位
S3	オブジェクトストレージ	ファイル単位
EBS	ブロックストレージ	OS/DBなどの高I/O向け
EFS	ネットワークファイルシステム	NFS互換
Glacier	アーカイブ	長期保存

6. 法令：FERPA

米国の学生情報保護法（Family Educational Rights and Privacy Act）。
教育機関・教育関連クラウドベンダーに適用。

7. AWS CloudWatch vs CloudTrail vs Flow Logs

CloudWatch：メトリクス（CPU使用率、ディスクI/Oなど）可視化。
CloudTrail：APIコールの記録と監査。
VPC Flow Logs：ネットワーク通信の履歴記録。通信内容の解析に必須。

8. セキュリティ評価：ギャップ分析

組織のセキュリティ要件と、クラウドベンダーの機能との差分（ギャップ）を洗い出す分析。
移行前の準備として必須。

9. 標準化団体とクラウド基準

NIST（米国標準技術研究所）はクラウドアーキテクチャや定義に関するガイドラインを策定。
CSAやDMTFなども標準化活動を行っているが、測定単位の統一にはNISTが適切。

トピック	キーワード	ポイント
JWT認証	JSON	API呼び出しのトークン形式
GCP Firewall	1000ルールまで	IPベース制御に対応
DR戦略	Cold Site	最小構成、即時使用不可
GCPネットワーク制御	タグ＋FWルール	最小限で柔軟に制御可能
ストレージ	Amazon EBS	ブロックレベル
法令（学生情報）	FERPA	教育関連の情報保護
使用状況可視化	CloudWatch	メトリクスの監視
セキュリティ分析	ギャップ分析	要件との照合
標準化団体	NIST	クラウド共通フレーム
ネットワーク証拠	VPC Flow Logs	通信パターン可視化

質問 #83トピック 1
Ryan は、IT 企業で過去 5 年間、シニアクラウドセキュリティエンジニアとして働いてきました。彼の組織は、VM のライブマイグレーション、パフォーマンスの向上、堅牢なセキュリティ、競合他社と比較した有利な価格設定を提供するため、Google クラウドベースのサービスを使用しています。 Ryan は Cloud Endpoints を使用して API を保護および管理しています。 Cloud Endpoints を使用して API へのアクセスを制御し、Web トークンと Google API キーを使用してすべての呼び出しを検証しています。 Cloud Endpoints のすべての呼び出しを検証できる Web トークンは次のうちどれですか?

A. SAML
B. JSON
C. XML
D. HTML

B. JSON

解説： JWT（JSON Web Token）はCloud EndpointsなどのAPI認証で利用され、トークンにユーザー情報や署名を含める。SAMLやXMLは一般的にエンタープライズ認証（SSO）に使われる。

質問 #84トピック 1
SecureSoftWorld Pvt. Ltd. は、医療業界のニーズに応えるソフトウェアソリューションを開発する IT 企業です。そのサービスのほとんどは Google Cloud でホストされています。クラウド環境では、アプリケーションとサービスを保護するために、組織は Google App Engine ファイアウォールを使用します。このファイアウォールは、指定された範囲の IP からのリクエストを拒否または許可する一連のルールで App Engine へのアクセスを制御します。 SecureSoftWorld Pvt が設定できる独自のファイアウォールルールはいくつありますか。 Ltd は App Engine ファイアウォールを使用して定義しますか?

A. 1000まで
B. 100まで
C. 最大10000
D. 最大10個

A. 1000まで

解説： GCP公式ドキュメントでは、App Engine Firewall ルールの最大数は1000。企業利用に十分なスケーラビリティ。

質問 #87トピック 1
Kevin Williamson は、新興 IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織が実行するビジネスでは、ライブ更新は必要ありません。 DRaaS 会社は Kevin の組織に災害復旧サイトを提供しました。そのサイトではほとんどまたはまったく機器が使用されず、ネットワーク接続のないバックアップサービスが提供されました。自動フェイルオーバーは実行されず、データ損失の高いリスクを伴うデータ同期が必要でした。与えられた情報に基づいて、DRaaS 会社が Kevin の組織に提供する災害復旧サイトは次のうちどれですか?

A. Hot Site
B. Warm Site
C. Remote site
D. Cold Site

D. Cold Site

解説： Cold Siteは設備のみの最小構成で、すぐには使えないがコストが最も低い。ライブ更新や即時切替は不可。

質問 #88トピック 1
Scott Herman は、IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織は、同じ Google Cloud Virtual Private Cloud に 3 層ウェブアプリケーションをデプロイしました。各層 (Web インターフェイス (UI)、API、データベース) は、他の層とは独立してスケーリングされます。 Scott Herman 氏は、ネットワークトラフィックは常に API を使用してデータベースにアクセスする必要があり、Web インターフェイスからデータベースに直接送信されるリクエストは許可されてはならないという要件を取得しました。 Scott は最小限の手順でネットワークをどのように構成すればよいでしょうか?

A. 各層を異なるサブネットワークに追加する
B. 各層にタグを追加し、目的のトラフィックフローを許可するルートを設定する
C. 個々の VM にソフトウェアベースのファイアウォールを設定する
D. 各層にタグを追加し、必要なトラフィックフローを許可するファイアウォールルールを設定する

D. 各層にタグを追加し、必要なトラフィックフローを許可するファイアウォールルールを設定する

解説： GCPではネットワークタグ＋ファイアウォールルールの組み合わせが最小構成で柔軟。各層の直接通信を制御可能。

質問 #93トピック 1
Christina Hendricks は最近、クラウドセキュリティエンジニアとして多国籍企業に加わりました。膨大な量のデータを保存するための堅牢な設備、セキュリティ機能、AWS が提供する費用対効果の高いサービスのおかげで、彼女の組織はアプリケーションとデータをオンプレミス環境から AWS クラウドに移行しました。 Christina の組織は、構造化データ、非構造化データ、および半構造化データを生成します。 Christina さんのチームリーダーは、ブロックレベルのデータを AWS ストレージサービスに保存するように彼女に依頼しました。 Christina がブロックレベルのデータを保存するには、次の AWS ストレージサービスのうちどれを使用する必要がありますか?

A. Amazon S3
B. Amazon Glacier
C. Amazon EFS
D. Amazon EBS

D. Amazon EBS

解説： Amazon EBS（Elastic Block Store）は、ブロック単位でアクセスするストレージで、OSやDBなどの使用に適する。

質問 #94トピック 1
Daffod は、世界中の顧客にクラウドベースのサービスを提供するアメリカのクラウドサービスプロバイダーです。安全でコスト効率が高いため、Daffod が提供するクラウドサービスを採用している顧客もいます。 Daffod は、教育機関およびその関連ベンダーによって収集された学生情報を保護するクラウドコンピューティング法に準拠しています。与えられた情報に基づいて、ダフォッドはどの法律に従っていますか?

A. FISMA
B. CLOUD
C. FERPA
D. ECPA

C. FERPA

解説： FERPAは米国の教育分野におけるプライバシー保護法。CLOUD法やFISMAは適用対象が異なる。

質問 #95トピック 1
Rachael Taylor は、CyTech Private Ltd でクラウドセキュリティエンジニアとして働いています。以前のクラウドサービスプロバイダーは、リソース使用量に対して高額な料金を請求していました。 Rachael は、リソースの使用状況をチェックして、使用されていないリソースを特定したいと考えていますが、クラウドサービスプロバイダーには、クラウドの利用者がリソースの使用状況を表示できる機能がありませんでした。 AWS はリソース利用や安全な環境を含むさまざまなクラウドベースのサービスをクラウド利用者に提供しているため、彼女の組織は AWS クラウドベースのサービスを採用しました。 Rachael は、運用パフォーマンス、リソース使用率、およびディスクの読み取りと書き込み、CPU 使用率、ネットワークトラフィックなどのメトリクスを含む全体的な需要パターンを表示したいと考えています。次の AWS サービスのうち、Racheal の要件を満たすのはどれですか?

A. Amazon CloudWatch Security
B. Amazon CloudTrail Security
C. Amazon Route 53 Security
D. Amazon CloudFront Security

A. Amazon CloudWatch Security

解説： CloudWatchはAWS内のメトリクス（CPU、I/O、ネットワークなど）を収集し可視化できる。CloudTrailはログ記録。

質問 #96トピック 1
Karen Gillan は最近、クラウドセキュリティエンジニアとして IT 企業に入社しました。彼女の組織は、クラウドベースのサービスを採用して、クライアントに 24 時間 365 日のカスタマーサポートを提供したいと考えています。同社は、顧客データベースと取引詳細を、顧客の管理とサポートに使用するアプリケーションとともに転送したいと考えています。クラウドに移行する前に、組織のセキュリティ要件とクラウドサービスプロバイダーが提供するセキュリティ要件を理解するために、クラウドサービスプロバイダーが提供するセキュリティ機能とサービスについて、次の分析のうちどれをカレンが実行する必要がありますか?

A. ビジネスへの影響分析
B. ギャップ分析
C. 人工知能分析
D. ドメイン分析

B. ギャップ分析

解説： セキュリティ機能の差を洗い出す分析。実際の要件と提供機能を突き合わせることで、対策が明確になる。

質問 #98トピック 1
クラウド組織である AZS は、AZS によって測定される CPU 速度が異なり、測定単位に規格の一貫性がないため、クラウド運用の均一性を維持したいと考えています。たとえば、AWS は Elastic Compute Unit で CPU 速度を定義し、Google は Google Compute Engine Unit で、Microsoft はクロック速度で定義します。ここで、運用の均一性を維持するためにクラウドに固有のフレームワークとアーキテクチャを活用できるクラウドコンピューティング標準はどれですか?

A. CSA
B. DMTF
C.OCC
D.NIST

D.NIST

解説： NISTはクラウド標準フレームワークの提供元。各クラウドベンダー間の技術的比較基準（CPU、ストレージなど）にも使用される。

質問 #100トピック 1
組織は運用に AWS を使用しています。組織の EC2 インスタンスが疑わしいポートと通信していることが観察されています。法医学調査員は、現在のセキュリティ侵害のパターンを理解する必要があります。 AWS プラットフォーム上のどのログソースが、調査中に証拠として価値のあるデータを調査員に提供できますか?

A. Amazon VPC flow logs
B. S3 Server Access Logs
C. Amazon CloudWatch
D. Amazon CloudTrail

A. Amazon VPC flow logs

解説： VPC Flow Logs は、EC2 や他のリソースがどの IP・ポートと通信しているかの詳細を記録する。フォレンジックの第一歩。

09 クラウドにおける事業継続とディザスターリカバリー 53, 72, 73, 78

1. GCP Security Command Center と Security Health Analytics

Security Command Center（SCC）：GCPのセキュリティ統合ダッシュボード。
Security Health Analytics は SCC のネイティブスキャナで、脆弱性、構成ミス、IAMポリシー、ストレージバケットなどの評価が可能。

2. AWS CloudTrail

AWS で ユーザーやサービスの操作履歴（APIコール）を記録する主要なログソース。
セキュリティ調査や監査に必須。

3. GCP VMパフォーマンス最適化

永続ディスク（Persistent Disk）の拡張は再起動不要で可能（Linuxではオンラインで拡張可能）。
容量が増えることでスループットとIOPSも自動的に向上する（Google Cloudの特徴）。

4. RaaS（Recovery as a Service）のアーキテクチャモデル

モデル	本番環境	バックアップ/リカバリ対象	備考
To-cloud	オンプレミス	クラウド	一般的に使われる
From-cloud	クラウド	オンプレミス	本番がクラウド
In-cloud	クラウド	同一クラウド内	クラウドネイティブ構成
By-cloud	クラウドが仲介	双方向で活用	マルチ環境対応型

質問 #53トピック 1
IntSecureSoft Solutions Pvt. Ltd. は、さまざまな教育機関向けにソフトウェアやアプリケーションを開発する IT 企業です。この組織は過去 10 年間、Google クラウドサービスを使用しています。 Tara Reid は、IntSecureSoft Solutions Pvt. でクラウドセキュリティエンジニアとして働いています。彼女は、オープンストレージバケット、SSL が実装されていないインスタンス、Web UI が有効になっていないリソースなど、さまざまな構成ミスや脆弱性を特定したいと考えています。 ID およびアクセス管理ポリシーとともに、仮想マシン、コンテナ、ネットワーク、ストレージの全体的なセキュリティ状態とアクティビティを評価する、Security Command Center のネイティブスキャナは次のうちどれですか?

A. Log Analytics Workspace
B. Security Health Analytics
C. Google Front End
D. Synapse Analytics

B. Security Health Analytics

Google Cloudの Security Health Analytics は、VM、ネットワーク、IAM、ストレージ、コンテナのセキュリティ構成を自動でスキャンし、リスクを可視化します。Log Analytics Workspace（A）はAzureの用語です。

質問 #72トピック 1
Richard Branson は、多国籍企業でシニアクラウドセキュリティエンジニアとして働いています。 Richard は、AWS リソースに対して実行されたアクション、アクセスされたサービス、リクエストを行ったユーザー、および AWS サービスに対してアクションを実行したユーザーまたはサービスを確認したいと考えています。次の AWS サービスのうち、Richard の組織 AWS アカウント内の AWS リソースに影響を与えるすべてのシステムおよびユーザーのアクションのログを提供するのはどれですか?

A. Amazon Route 53 のセキュリティ
B. Amazon CloudFront のセキュリティ
C. Amazon CloudTrail のセキュリティ
D. Amazon CloudWatch のセキュリティ

C. Amazon CloudTrail のセキュリティ

CloudTrailは AWSアカウント内のすべてのAPIコールを記録する監査ログサービス。誰が、いつ、どのリソースに、どんな操作をしたかを追跡可能。CloudWatchはモニタリング用、CloudFrontやRoute53はそれぞれCDN/ネームサービスのセキュリティです。

質問 #73トピック 1
Stephen Cyrus は、過去 7 年間にわたり多国籍企業でクラウドセキュリティエンジニアとして働いてきました。データベース管理チームは、Compute Engine 上で実行される新しいデータベースサーバーのパフォーマンスを強化できるサーバーインスタンスを構成するように Stephen にリクエストしました。このデータベースは Debian Linux 上で動作する MySQL 上に構築されており、会社のパフォーマンス統計をインポートして正規化するために使用されます。 80 GB の SSD ゾーン永続ディスクを備えた n2-standard-8 仮想マシンがあり、次のメンテナンスイベントまで再起動できません。 Stephen がこの VM のパフォーマンスを迅速かつコスト効率の高い方法で向上させるのに役立つものは次のうちどれですか?

A. PostgreSQL 上で実行される新しい VM を作成する
B. パフォーマンス指標ウェアハウスを BigQuery に移行する
C. VM メモリを 60 GB に拡張する
D. SSD 永続ディスクのサイズを 500 GB に動的に変更する

D. SSD 永続ディスクのサイズを 500 GB に動的に変更する

Google CloudではSSDの容量が大きいほど スループットとIOPSが増加します。しかもVMの再起動不要でオンライン拡張可能。その他の選択肢（PostgreSQLへの移行やメモリ変更など）はコスト・手間が大きく、必要性が曖昧。

質問 #78トピック 1
James Harden は、IT 企業でクラウドセキュリティエンジニアとして働いています。 James の組織は、本番アプリケーションがクラウドに配置され、リカバリまたはバックアップのターゲットがプライベートデータセンターに保管される RaaS アーキテクチャモデルを採用しています。与えられた情報に基づいて、James の組織にはどの RaaS アーキテクチャモデルが実装されていますか?

A. By-cloud RaaS
B. In-cloud RaaS
C. To-cloud RaaS
D. From-cloud RaaS

C. To-cloud RaaS

「本番がクラウド、バックアップがオンプレ」という構成は To-cloud RaaS。
逆に、本番がオンプレ、バックアップがクラウドなら「From-cloud」。名前が逆に感じられるので要注意です。

10 クラウドにおけるガバナンス、リスクマネジメント、コンプライアンス 97, 99, 102, 103, 104, 105, 106, 107, 108, 110, 111, 112, 113, 115, 117, 118, 119, 120, 122, 123, 124

✅ ガバナンスと標準

ISO 27001 / 27002：情報セキュリティ管理の国際標準。
COBIT（ISACA）：IT ガバナンスとマネジメントのフレームワーク。
CSA CCM：クラウドセキュリティのための統合制御フレームワーク。

✅ IAM / 認証技術

SAML：XMLベースのSSO用プロトコル。
SCIM：IDのプロビジョニング・削除を自動化。
OAuth / OpenID：認可・認証向け。

✅ ログ・モニタリング・可視化

CloudTrail（AWS）：API操作履歴を記録。
CloudWatch / Azure Monitor：システム状態・メトリクス監視。
Security Hub：複数のAWSサービスからのセキュリティ情報集約。

✅ リスクマネジメントの4つの選択肢

移転（Transference）
回避（Avoidance）
軽減（Mitigation）
受容（Acceptance）

✅ セキュリティ・可用性対策

タグ付け：リソースの所有者・目的を明確化。
URLフィルタリング：不適切サイトアクセス防止。
Route 53：DNSフェイルオーバー＋ヘルスチェック。

✅ コンプライアンス・法的責任

初動対応者は通常「インシデントハンドラー」。
フォレンジック取得では適切な順序でスナップショット・ボリューム化・マウント等を行う必要がある。

✅IAM CLI操作

IAMユーザーをグループに追加するには aws iam add-user-to-group コマンドを使用。

# IAM ユーザーをグループに追加（AWS CLI）
aws iam add-user-to-group –user-name Tom –group-name Admins

✅SSHのセキュリティ設定

/etc/ssh/sshd_config で PermitRootLogin without-password を設定し、パスワードログインを無効化。

# Linux SSH設定（Amazon Linux）
# /etc/ssh/sshd_config に以下を記載
PermitRootLogin without-password

質問 #97トピック 1
組織は、クラウド環境とリソースを監査することで隠れたクラウドインフラストラクチャを検出し、未使用または不要なワークロードをシャットダウンし、コストを節約し、セキュリティリスクを最小限に抑え、クラウドインベントリを最適化したいと考えています。このシナリオでは、顧客データの管理を可能にするクラウドセキュリティ監査に適用できる標準はどれですか?

A. NIST SP800-53 rev 4
B. ISO 27001 および 27002
C. クラウドセキュリティアライアンス
D.SOC2

B. ISO 27001 および 27002

質問 #99トピック 1
Alex Hales は、IT 企業でクラウドセキュリティスペシャリストとして働いています。彼は、従業員が単一の資格情報セットで複数のアプリケーションに安全にアクセスできるようにする Security Assertion Mark-up Language (SAML) を実装することで、組織のビジネスをより迅速かつ効率的にしたいと考えています。 SAMLとは何ですか?

A. YAML ベースの認証および認可標準です。
B. HTML ベースの認証および認可標準です
C. XML ベースの認証および認可標準です。
D. JSON ベースの認証および認可標準です。

C. XML ベースの認証および認可標準です。

質問 #102トピック 1
QuickServ Solutions は、クラウドへの移行を望んでいる組織です。クラウドベンダーと契約を締結している段階だ。そのために、QuickServ Solutions は現在のベンダー調達プロセスを評価し、クラウド関連のリスクをどのように軽減できるかを判断する必要があります。企業はどうすればそれを達成できるでしょうか?

A. ベンダー移行の使用
B. ギャップ分析の使用
C. クラウドコンピューティング契約の使用
D. 内部監査の使用

B. ギャップ分析の使用

質問 #103トピック 1
テクノロジー大手の TSC は業務にクラウドを使用しています。クラウドユーザーとして、効果的なリスク管理ライフサイクルを実装して、高リスクおよび重大なリスクを定期的に測定および監視する必要があります。さらに、TSC は、リスクをタイムリーに軽減するために、正確に何を測定する必要があるか、および許容される差異を定義する必要があります。この場合、クラウドリスク管理のツールとして使用できるのは次のうちどれですか?

A. クラウドセキュリティアライアンス(Cloud Security Alliance)
B. 情報システム監査協会
C. CSA CCM フレームワーク
D. 後援団体委員会

C. CSA CCM フレームワーク

質問 #104トピック 1
2 人のクラウドセキュリティエンジニア、Lin と Messy は、アプリケーションが使用する Azure ストレージサービスの動作の応答時間の低下など、予期せぬ変化を観察しました。問題を修正するには、テーブル、キュー、BLOB ログを調査し、応答が遅い根本原因を特定する必要があります。 Lin と Messy の両方は、Azure の運用上のセキュリティをどのようにして確保できるでしょうか?

A. Azure Monitor の使用
B. Azure Automation の使用
C. Azure Active Directory の使用
D. Azure Storage Analytics の使用
A. Azure Monitor の使用

質問 #105トピック 1
シェルソリューション社Ltd.は、BPO企業向けのソフトウェア製品やサービスを開発するIT企業です。その組織はサイバーセキュリティ攻撃の被害者になりました。そのため、アプリケーションとワークロードをオンプレミスからクラウド環境に移行しました。同組織はただちに、今後このような事件を防止するため、事件対応チームを設置した。インシデント対応チームは、侵入検知システムとマルウェア対策ソフトウェアを使用してセキュリティインシデントを検出し、攻撃を軽減しました。チームはインシデントからリソースを回復し、クラウド環境のさまざまな脆弱性と欠陥を特定しました。インシデント対応ライフサイクルのどのステップに、以前の攻撃から学んだ教訓が含まれ、何を改善すべきかを理解するためにインシデントを分析および文書化しますか?

A. 準備(Preparation)
B. 分析
C. 連携と情報共有
D. 事後分析(Post-mortem)

質問 #106トピック 1
ダスティン・ホフマンは、ヘルスケア会社でクラウドセキュリティエンジニアとして働いています。彼の組織は AWS クラウドベースのサービスを使用しています。ダスティンは、組織の AWS アカウント全体のセキュリティアラートとセキュリティ体制を確認したいと考えています。 GuardDuty、Inspector、Macie、IAM Analyzer、Systems Manager、Firewall Manager、AWS Partner Network などの AWS サービスから、集約され、整理され、優先順位付けされたセキュリティアラートを Dustin に提供できる AWS のサービスはどれですか?

A. AWS Security Hub
B. AWS CloudTrail
C. AWS Config
D. AWS CloudFormation

A. AWS Security Hub

質問 #107トピック 1
WITEC Solutions という IT 組織がクラウドコンピューティングを導入しました。組織は、特定のリスクに適したアプローチに関する知識を得ることで、ビジネスデータとサービスの安全性と実行を維持するためにリスクを管理する必要があります。アクティビティのリスクにより機密データが失われた場合、組織を補償できるリスク管理アプローチはどれですか?

A. リスク移転（Risk transference）
B. リスク回避（Risk avoidance）
C. リスクの軽減（Risk mitigation）
D. リスクの受容（Risk acceptance）

A. リスク移転（Risk transference）

質問 #108トピック 1
アレン・スミスは、多国籍企業でクラウドセキュリティエンジニアとして働いています。この会社のインシデント対応チームは、侵入検知システムを使用して、攻撃者が組織の AWS サービスを継続的に攻撃していることを特定しました。チームリーダーはアレンに、AWS リソースに加えられた変更を追跡し、セキュリティ分析を実行するように依頼しました。 AWS アカウントの AWS API 呼び出し履歴 (AWS マネジメントコンソールまたはコマンドラインツール、AWS ソフトウェア開発キット、その他の AWS サービスを介して Allen に行われた呼び出しを含む) を提供できる AWS のサービスはどれですか?

A. AWS CloudFormation
B. Amazon CloudFront
C. Amazon CloudWatch
D. Amazon CloudTrail

D. Amazon CloudTrail

質問 #110トピック 1
Cosmic IT Services はクラウドコンピューティングへの移行を望んでいます。クラウドに移行する前に、組織は標準の IT ガバナンス団体のガイドラインに従ってクラウドコンピューティングのビジネス目標を設定する必要があります。 COBIT (情報および関連技術の管理目標) という名前の IT ガバナンスを提供することで、組織がクラウドコンピューティングのビジネス目標と目標を設定するのに役立つ標準的な IT ガバナンス機関はどれですか?

A. 情報システム監査統制協会 (ISACA)
B. スポンサー組織委員会 (COSO)
C. クラウドセキュリティアライアンス (CSA)
D. 国際標準化機構 (ISO)

A. 情報システム監査統制協会 (ISACA)

質問 #111トピック 1
Dave Allen は、メリーランド州ボルチモアにある IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織はクラウドベースのサービスを使用しています。また、Network Watcher 地域サービスを使用して、ネットワークレベルでの問題を監視および診断します。これには、クラウド環境のネットワークを理解し、診断し、可視性を得るのに役立つネットワーク診断および視覚化ツールが含まれています。このサービスは、Dave がネットワークの脆弱性を検出し、ネットワークパフォーマンスを監視し、安全なクラウド運用を確保するのに役立ちました。 Network Watcher サービスを提供しているクラウドサービスプロバイダーは次のどれですか?

A. Google
B. Azure
C. IBM
D. AWS

B. Azure

質問 #112トピック 1
Elaine Gray は、金融分野に関連するソフトウェアとアプリケーションを開発する IT 企業でシニアクラウドセキュリティエンジニアとして働いています。彼女の組織は、VMware プライベートクラウドを使用してストレージ容量を拡張し、災害復旧ワークフローを自動化したいと考えています。 VMware 仮想化環境で Elaine が VM を LUN に直接接続し、SAN からアクセスするために使用できるストレージオプションは次のどれですか?

A. ファイルストレージ(File Storage)
B. 一時的なストレージ( Ephemeral Storage)
C. オブジェクトストレージ(Object Storage)
D. 未加工ストレージ(Raw Storage)

D. 未加工ストレージ(Raw Storage)

質問 #113トピック 1
テトラソフト社Ltd. は、世界中の多数の顧客にソフトウェアおよびアプリケーションサービスを提供する IT 企業です。 2015 年に、この組織はアプリケーションとデータをオンプレミスから AWS クラウド環境に移行しました。 TetraSoft Pvt. のクラウドセキュリティチームLtd. は、組織のコアアプリケーションを起動した EC2 インスタンスが侵害されているのではないかと疑っていました。以下に、EC2 インスタンスのフォレンジック取得に関連するランダムに配置された手順を示します。このシナリオでは、調査員はいつフォレンジックインスタンスが終了状態であることを確認する必要がありますか?

A. 証拠ボリュームをフォレンジックインスタンスに添付した後
B. EC2 インスタンスのスナップショットを取得する前に
C. スナップショットから証拠ボリュームを作成した後
D. 証拠ボリュームをフォレンジックインスタンスに添付する前

C. スナップショットから証拠ボリュームを作成した後

質問 #115トピック 1
クラウド管理者のサムは、Azure リソースを使用するテクノロジー会社で働いています。 Azure には多数の組織のリソースが含まれており、いくつかのアラートがタイムリーに受信されるため、テクノロジー企業がリスクのあるリソースを特定し、その所有者を特定し、それらが必要かどうかを知り、誰がその費用を支払うのかを知ることは困難です。サムは、この情報をすぐに判断するためにリソースをどのように整理すればよいでしょうか?

A. ASC データコネクタを使用する
B. Azure Front Door をセットアップすることによる
C. タグを使用する
D. ワークフロー自動化を構成することによる

C. タグを使用する

質問 #117トピック 1
Coral IT Systems は、クラウドサービスを利用する多国籍企業です。クラウドサービスコンシューマ (CSC) として、組織はクラウドサービスの選択、監視、実装、レポート、セキュリティ保護などの活動を実行する必要があります。 CSC とクラウドサービスプロバイダー (CSP) には、CSP がクラウドサービスを CSC に提供するというビジネス関係があります。どのクラウドガバナンスの役割が組織に適用されますか?

A. クラウドサービスマネージャー(Cloud service manager)
B. クラウドサービス展開マネージャー(Cloud service deployment manager)
C. クラウド監査人(Cloud auditor)
D. クラウドサービス管理者(Cloud service administrator)

A. クラウドサービスマネージャー(Cloud service manager)

質問 #118トピック 1
SecureInfo Pvt. Ltd. は、すべてのアプリケーションとデータを AWS クラウドにデプロイしました。この組織のセキュリティチームは、組織の Web サイトの健全性を定期的に検査し、プライマリ Web サイトが応答しなくなった場合はバックアップサイトに切り替える (またはフェールオーバー) と考えています。次の AWS サービスのうち、組織のウェブサイトの可用性を確保するための DNS フェイルオーバー機能とヘルスチェックを提供できるのはどれですか?

A. Amazon Route 53 のセキュリティ
B. Amazon CloudWatch のセキュリティ
C. Amazon CloudFront のセキュリティ
D. Amazon CloudTrail のセキュリティ

A. Amazon Route 53 のセキュリティ

質問 #119トピック 1
Scott Herman は、ミシガン州アナーバーにある IT 企業でクラウドセキュリティエンジニアとして働いています。彼の組織では、Microsoft Teams、安全なクラウドストレージ、ビジネス電子メール、デバイス全体にわたるプレミアム Office アプリケーション、高度なサイバー脅威保護、デバイス管理を提供する Office 365 Business Premium を使用しています。 Microsoft Office 365 は、次のクラウドコンピューティングサービスモデルのうちどれを表しますか?

A. IaaS
B. PaaS
C. DaaS
D. SaaS

D. SaaS

質問 #120トピック 1
TechnoSoft Pvt. Ltd.は、24時間365日のカスタマーサービスを提供するBPO会社です。敵対者から組織のデータとアプリケーションを保護するために、組織はクラウドコンピューティングを採用しました。セキュリティチームは、従業員が制限された不適切な Web ページを閲覧していることを観察しました。 TechnoSoft Pvt. のセキュリティチームに役立つテクニックは次のうちどれですか。 Ltd.は、従業員が制限付きまたは不適切な Web ページにアクセスすることを防止していますか?

A. URLフィルタリング
B. クラウドアクセスセキュリティブローカー (CASB)
C. 地域フィルタリング
D. データ損失防止 (DLP)

A. URLフィルタリング

質問 #122トピック 1
テクノロジー組織のクラウド環境では、攻撃者が DDoS 攻撃を開始するために数千の VM インスタンスをレンタルする可能性があります。犯罪者は、テロリストや違法送金文書などの機密文書をクラウドストレージに保管することもできます。このような状況でフォレンジック調査が開始されると、複数の利害関係者 (政府関係者、業界パートナー、サードパーティ、法執行機関) が関与します。このシナリオでは、クラウド上のセキュリティ問題に対する最初の対応者は誰になりますか?

A. インシデントハンドラー
B. 調査員
C. IT プロフェッショナル
D. 外部支援

A. インシデントハンドラー

質問 #123トピック 1
TechGloWorld は、世界中のさまざまな顧客向けにサイバーセキュリティソフトウェアとアプリケーションを開発する IT 企業です。 AWS が提供するコスト効率の高いセキュリティおよびストレージサービスのおかげで、TechGloWorld は AWS クラウドベースのサービスを採用しました。 Tom Harrison という名前の新入社員がクラウドセキュリティエンジニアとして TechGloWorld に加わりました。クラウドセキュリティエンジニアのチームリーダーは、Tom という名前の IAM ユーザーを Admins という名前の IAM グループに追加したいと考えています。 TechGloWorld セキュリティチームリーダーが使用すべきコマンドは次のうちどれですか?

A. aws iam –group-name Admins –user-name Tom add-user-to-group
B. aws iam –group-name Admins –user-name Tam add-user-to-group
C. aws iam add-user-to-group –user-name Tom –group-name Admins
D. aws iam add-user-to-group –user-name Tom –group-name Admin

C. aws iam add-user-to-group –user-name Tom –group-name Admins

質問 #124トピック 1
Kevin Ryan は、過去 2 年間、AWS ベースのクラウドサービスを使用する多国籍企業でクラウドセキュリティエンジニアとして働いてきました。彼は Amazon Linux AMI を使用して EC2 インスタンスを起動しました。 Kevin は、パスワードベースのリモートログインを無効にすることで、攻撃者がリモートからユーザーアカウントを悪用できる可能性のあるすべての抜け穴を排除したいと考えています。パスワードベースのリモートログインを無効にするために、Kevin はテキストエディターを使用して /etc/ssh/sshd_config ファイルを開き、#PermitRootLogin yes 行を見つけました。 #PermitRootLogin yes 行を変更してパスワードベースのリモートログインを無効にするために、Kevin は次のコマンドラインのどれを使用する必要がありますか?

A. PermitRootLogin without-password
B. PermitRootLogin without./password/disable
C. PermitRootLagin without./password
D. PermitRootLogin without-password/disable

A. PermitRootLogin without-password

11 基準、方針、法律、クラウドの課題 109, 114, 116, 121, 125

1. PCI DSS（Payment Card Industry Data Security Standard）

クレジットカード業界の国際的セキュリティ基準。
カード情報の保管・処理・送信を行うすべての組織が遵守する必要あり。

2. IAM（Identity and Access Management）標準

SCIM（System for Cross-domain Identity Management）：
- IDの自動プロビジョニング／デプロビジョニングを実現する標準。
- SaaSやクラウドサービスのID管理を効率化。
OAuth／OpenID Connect → 認可や認証の仕組み。
XACML → アクセス制御ポリシーの記述に使われるXMLベースの言語。

3. Amazon GuardDuty

AWSの脅威検出サービス。
機械学習・異常検知・脅威インテリジェンスを使い、不正アクセスやアカウントの乗っ取りを検知。

4. 災害復旧（DR）戦略とRTO/RPO

ウォームスタンバイ：
- 事前に縮小環境をクラウド上で構築。
- RTO（目標復旧時間）とRPO（目標復旧時点）を短縮できるバランス型ソリューション。

5. AWS Snowball

物理デバイスを使用した大容量データ転送サービス。
オンプレミスからS3へのデータ移行を高速かつ安全に実施。

質問 #109トピック 1
YourTrustedCloud は、複数の多国籍企業にクラウドベースのサービスを提供するクラウドサービスプロバイダーです。組織はさまざまなフレームワークと標準を遵守しています。 YourTrustedCloud は、クレジットカードと支払い関連のデータをクラウド環境に保存して処理し、トランザクションとクレジットカード処理システムのセキュリティを確保します。指定された情報に基づいて、YourTrustedCloud は次のどの標準に準拠していますか?

A. GLBA
B. PCI DSS
C. CLOUD
D. FERPA

B. PCI DSS

カード情報や支払いデータの保存・処理・送信にはPCI DSS準拠が必要。
GLBAは金融、FERPAは教育、CLOUDは米国外データへのアクセスに関する米国法。

質問 #114トピック 1
Chris Noth は最近、クラウドセキュリティエンジニアとして CloudAppSec Private Ltd に入社しました。オンプレミス環境にある組織のアプリケーションとデータに対して元従業員が悪意のある活動を行った事例がいくつかあったため、2010 年に彼の組織はクラウドコンピューティングを採用し、すべてのアプリケーションとデータをクラウドに移行しました。 Chris は、クラウドベースのサービスとアプリケーションでユーザー ID を管理したいと考えています。さらに、システムを離れたユーザーがシステムにログインできないようにすることで、元ユーザー (従業員) のアカウントによって引き起こされるリスクを軽減したいと考えています。したがって、彼は、ユーザーがシステムに出入りするときのプロビジョニングとプロビジョニング解除を自動化できる IAM 標準を施行しました。 Chris Noth によって実装されている IAM 標準は次のうちどれですか?

A. OpenID
B. SCIM
C.XACML
D.OAuth

B. SCIM

SCIMは、IDのライフサイクル管理（作成・削除・変更）を自動化する標準。
OAuth・OpenIDは認証/認可、XACMLはアクセス制御ポリシー記述用。

質問 #116トピック 1
Trevor Holmes は、多国籍企業でクラウドセキュリティエンジニアとして働いています。約 7 年前、彼の組織はワークロードとデータを AWS クラウド環境に移行しました。 Trevor は、クラウド環境での悪意のあるアクティビティを監視し、組織の AWS アカウント、データ、ワークロードを不正アクセスから保護したいと考えています。次の Amazon 検出サービスは、異常検出、機械学習、統合脅威インテリジェンスを使用して脅威を特定および分類し、影響を受けるリソース、攻撃者の IP アドレス、位置情報などの実用的な洞察を提供するものはどれですか?

A. Amazon Security Hub
B. Amazon Inspector
C. Amazon Macie
D. Amazon GuardDuty

D. Amazon GuardDuty

GuardDutyは異常検出＋機械学習＋IP情報などでリアルタイムに脅威を検出。
Security Hubは脅威情報の集約、Inspectorは脆弱性検出、Macieはデータ分類。

質問 #121トピック 1
Thomas Gibson は、多国籍企業に勤務するクラウドセキュリティエンジニアです。彼の組織は、アプリケーションの重要な要素をホストしたいと考えています。したがって、災害が発生した場合でも、アプリケーションを迅速かつ完全に復元できます。さらに、彼の組織は、より低い RTO 値と RPO 値を達成したいと考えています。 Thomas の組織は次の災害復旧アプローチのうちどれを採用すべきですか?

A. ウォームスタンバイ
B. パイロットライトアプローチ
C. マルチクラウドオプション
D. バックアップと復元

A. ウォームスタンバイ

縮小構成を事前にクラウドに構築し、災害時にすばやく拡張・切り替える。
バックアップ＆リストアでは時間がかかりすぎ、マルチクラウドはより大規模な設計に適する。

質問 #125トピック 1
Teresa Palmer は、多国籍企業でクラウドセキュリティエンジニアとして働いています。彼女の組織には膨大な量のデータが含まれています。これらのデータがインターネット経由で AWS S3 に転送される場合、数週間かかります。テレサの組織は、インターネットを高速インターネット接続にアップグレードするのにお金をかけたくありません。そのため、Teresa は、Amazon が提供した物理デバイスを使用して、オンプレミスから大量のバックアップデータ (テラバイトからペタバイト) を AWS に送信していました。物理デバイス内のデータは、AWS S3 バケットとの間でインポートおよびエクスポートされます。このデータ転送方法は、彼女の組織にとって、費用対効果が高く、安全で、インターネットよりも高速です。指定された情報に基づいて、Teresa は次の AWS サービスのどれを使用していますか?

A. AWS Storage Gateway Tapes
B. AWS Elastic Beanstalk
C. AWS Snowball
D. AWS Storage Gateway Volumes

C. AWS Snowball

Snowballは物理デバイスを利用し、高速・安全・安価にデータをS3に移行可能。
他の選択肢：

Storage Gateway Tapes：仮想テープライブラリ（バックアップ用途）
Beanstalk：アプリケーションデプロイサービス
Storage Gateway Volumes：ハイブリッドクラウドストレージ用

以上です。