Google Cloud Professional Cloud Security Engineer
227問の練習問題
最終確認:April 2026
学習のための個人ノートとリソースリンク
認定でフィルター
Google Cloud Professional Cloud Security Engineer (PCSE) 認定資格は、Google Cloud 上でセキュアなインフラストラクチャを設計・実装する能力を証明します。試験では、IAM の階層と条件、組織ポリシーの制約、VPC Service Controls、Cloud KMS / EKM / Confidential VM、Cloud Armor および Cloud IDS、Security Command Center Premium、BeyondCorp および Identity-Aware Proxy、Cloud DLP / Sensitive Data Protection、監査ロギング、および Google Cloud がサポートするコンプライアンスフレームワーク全般(HIPAA、PCI、FedRAMP、ISO、SOC)が扱われます。問題形式はシナリオが多く、多層防御の観点で考える受験者が有利です。多くの問題で技術的に正しい解答が複数提示され、最も多層的または最小権限のオプションが求められます。PCSE は、AWS Security Specialty および Azure AZ-500 の GCP 版と言えます。
最大のドメインで25%。Cloud Identity、IAM の階層(組織 / フォルダ / プロジェクト / リソース)、条件、拒否ポリシー、カスタムロール、サービスアカウントと Workload Identity Federation、BeyondCorp Enterprise。
Cloud KMS(ソフトウェア、HSM、EKM)、CMEK / CSEK、Confidential VM と Confidential GKE Nodes、Cloud DLP / Sensitive Data Protection、BigQuery の列 / 行レベルのセキュリティ、Secret Manager。23%。
VPC Service Controls(境界、イングレス / エグレスルール、ブリッジ)、Cloud Armor(OWASP、地理的制限、レート制限、アダプティブプロテクション)、Cloud IDS、IAP、Private Service Connect。22% — VPC SC が最も内容の濃いトピックです。
Security Command Center(Standard、Premium、Enterprise の各ティア)、Cloud Logging 監査ログ(Admin Activity、Data Access、System Event、Policy Denied)、Chronicle、インシデント対応パターン。19%。
最小のドメインで11%ですが、内容が濃いです。Assured Workloads、Sovereign Controls、規制フレームワーク、証拠収集、データレジデンシーおよびデータリージョン制御。
試験で出会うサービスと、それぞれが重要な理由。
事前定義およびカスタムのロール、IAM Conditions、拒否ポリシー、リソース階層の継承を介して、あらゆる承認決定を強制する、アイデンティティ、ロール、ポリシーの基本的な構成要素です。
試験に出題される理由: ドメイン1 (アクセスの構成) は IAM のメカニズムそのものであり、最小権限ロールの設計、IAM Conditions、組織/フォルダ/プロジェクト階層全体でのポリシー評価が最も出題されるトピックです。
外部 IdP にフェデレートされた従業員向けアイデンティティストアであり、VPN なしで Zero Trust アプリケーションをゲーティングするために BeyondCorp Enterprise のコンテキストアウェアなアクセスと組み合わせて利用されます。
試験に出題される理由: ドメイン1ではフェデレートされた従業員向けアイデンティティとBeyondCorpモデルが問われ、コンテキストアウェアなアクセスポリシーとデバイス信頼シグナルが試験においてネットワーク境界の信頼を置き換えるものとして出題されます。
マネージドな Google Cloud API (BigQuery、GCS など) を囲むサービス境界であり、IAM 権限が誤って構成されている場合でもデータ漏洩をブロックします。
試験に出題される理由: ドメイン2 (データ保護の確保) では、VPC Service Controls がデータ漏洩の防止と、機密性の高いプロジェクトをパブリックインターネットから分離するための典型的な解答として挙げられます。
ソフトウェアベースの KMS、FIPS 140-2 L3 HSM で保護された鍵、Google Cloud 外で顧客が保持する鍵のための EKM をすべて同じ API サーフェスで提供する、階層的な鍵管理サービスです。
試験に出題される理由: ドメイン2では、CMEK、CSEK、EKM の選択時期、および鍵のローテーション、鍵に対する IAM 権限、Cloud KMS Autokey がどのように保存時暗号化を強制するかが問われます。
クラウドネイティブな CSPM および脅威検出プラットフォームであり、Premium および Enterprise レベルでは、Event Threat Detection、Container Threat Detection、SHA の検出結果から組織全体にわたる設定ミス、脆弱性、アクティブな脅威を可視化します。
試験に出題される理由: ドメイン4 (セキュリティ運用の管理) では、GCP 組織全体の集中型ポスチャ管理、脆弱性トリアージ、アクティブな脅威調査のために SCC が解答となります。
グローバル HTTP(S) ロードバランサの前面に配置されるエッジ WAF および DDoS 保護であり、事前設定された OWASP ルール、カスタムルール、レートベースの禁止、適応型 ML 保護を提供します。
試験に出題される理由: ドメイン3 (通信と境界保護の確保) では、インターネットに公開されたアプリケーションに対する L7 攻撃軽減とエッジでのレート制限のために Cloud Armor がテストされます。
VPN なしで App Engine、Cloud Run、GKE Ingress、Compute Engine アプリへのすべてのリクエストを認証および承認する、アプリケーション層の Zero Trust ゲートウェイです。
試験に出題される理由: ドメイン1では、VPN をリクエストごとのアイデンティティチェックで置き換えるための典型的な解答として IAP が挙げられ、ドメイン3ではインスタンスを公開せずに SSH/RDP トンネリングのために再利用されます。
組織全体のすべてのリソースと IAM ポリシーの時系列カタログであり、ad-hoc クエリのために BigQuery にエクスポート可能で、Pub/Sub を介したフィードベースの変更通知も可能です。
試験に出題される理由: ドメイン4と5では、Cloud Asset Inventory がコンプライアンスの証拠 ("2024-01-01 時点のすべての公開バケットを表示") と、承認されたベースラインからのドリフト検出のために使用されます。
自動レプリケーション、バージョン管理、IAM ゲート付きアクセス、カスタマー管理の暗号鍵、Cloud Functions を介したローテーションフックを備えたマネージドなシークレットストアです。
試験に出題される理由: ドメイン2では、「API キーのソース管理へのコミットを停止する」ための解答として Secret Manager がテストされ、IAM Conditions と VPC-SC がどのようにシークレットアクセスを隔離するかが問われます。
PII の検出、分類、非識別化を行い、150 以上の infoType を検出し、その場でマスク/トークン化/編集し、BigQuery および Cloud Storage 向けのリスクプロファイルを生成します。
試験に出題される理由: ドメイン2では、ML トレーニングや外部共有の前にデータレイクや BigQuery を PII についてスキャンするための典型的なサービスとして Sensitive Data Protection が挙げられます。
長期間のサービスアカウントキーなしで Google Cloud API を呼び出せるように、外部ワークロード (AWS、Azure、GitHub Actions、OIDC IdPs) 向けの短期間の認証情報発行を可能にします。
試験に出題される理由: ドメイン1とドメイン2の両方で、Workload Identity Federation がダウンロード可能なサービスアカウントキーを排除するための明確な解答としてテストされ、これは試験で繰り返されるアンチパターンです。
Confidential VM および Confidential GKE Nodes は、AMD SEV / Intel TDX ハードウェア上でワークロードを実行し、メモリの内容がホストハイパーバイザからも暗号化されたままになるようにします。
試験に出題される理由: ドメイン2では、Confidential Computing が使用中のデータの保護のために挙げられ、共有インフラストラクチャ上の規制対象ワークロード (ヘルスケア、金融) は繰り返し出題されるシナリオです。
アクセスレベル (デバイス、IP、地理) は VPC-SC および IAP ルールに供給され、Access Approval は、サポートのために Google の担当者がデータにアクセスする前に明示的な顧客の承認を必要とします。
試験に出題される理由: ドメイン1ではAccess Context Managerがコンテキストアウェアなポリシー作成のために使用され、ドメイン5 (クラウド環境におけるコンプライアンスのサポート) ではプロバイダーアクセス監査証跡を必要とする規制業界向けに Access Approval が挙げられます。
コンテナイメージ、Maven、npm などのプライベートアーティファクトストレージであり、Container Analysis の脆弱性スキャンを備え、その検出結果を Security Command Center にフィードします。
試験に出題される理由: ドメイン3とドメイン4では、Artifact Registry にイメージを保存し、Container Analysis を介してスキャンし、Binary Authorization を介してデプロイをゲートするというサプライチェーンパターンがテストされます。
App Engine、Compute Engine、GKE をフロントエンドとするアプリをクロールし、XSS、混合コンテンツ、古いライブラリ、および OWASP Top 10 の問題を検出する、マネージドな動的アプリケーションセキュリティテスト (DAST) です。
試験に出題される理由: ドメイン3では、個別の DAST スタックをデプロイすることなくアプリケーション層の脆弱性を発見するための GCP ネイティブな解答として Web Security Scanner が挙げられます。
フォルダとプロジェクト全体にわたり、リソース構成 (外部 IP なし、許可されたリージョン、必須 CMEK など) を制限するブール値およびリスト制約を提供する、階層的なガードレールです。
試験に出題される理由: ドメイン5 (クラウド環境におけるコンプライアンスのサポート) では、Org Policy が IAM を補完し、リスクのある構成が存在する前にブロックする予防的制御として挙げられます。
Admin Activity、Data Access、System Event、および Policy Denied の監査ストリームであり、長期的な保持のために BigQuery、GCS、Pub/Sub、または Chronicle への Cloud Logging ルーティングを提供します。
試験に出題される理由: ドメイン4と5では、誰が何をしたかを示す不変の証拠記録として Audit Logs が使用され、ルーティング/ログシンクがコンプライアンス保持の場所を決定します。
SOC、ISO、PCI DSS、FedRAMP、HIPAA のアテステーションレポートをダウンロードするためのセルフサービスポータルであり、FedRAMP High および HIPAA 準拠ワークロード向けの継続的モニタリングも提供します。
試験に出題される理由: ドメイン5 (クラウド環境におけるコンプライアンスのサポート) では、Google Cloud の第三者アテステーションをどこで取得するか、およびどのサービスが各スコープに含まれるかを追跡する方法が直接問われます。
Cloud Audit Logs、EDR テレメトリ、および第三者のフィードを取り込み、YARA-L で検出ルールを実行し、レスポンスプレイブックをオーケストレーションする、クラウドネイティブな SIEM および SOAR プラットフォームです。
試験に出題される理由: ドメイン4では、Chronicle が Cloud Audit Logs のエンタープライズ SIEM ターゲットとして、また Security Command Center にフィードバックされる高精度な検出のソースとして挙げられます。
$140k–$195k–$285k USD 年収
この範囲は、GCP を主要プラットフォームとする米国拠点のシニアクラウドセキュリティエンジニアおよびアーキテクトを反映しています。FAANG の L5 セキュリティエンジニアの総報酬は30万ドルを超えます。クラウドセキュリティは、主要な3つのクラウドすべてにおいて高い報酬を得られます。GCP スキルを持つ候補者プールがAWSに比べて小さいため、PCSE 候補者はFAANG における AWS Security Specialty 相当の候補者よりもわずかに高い傾向にあります。
出典: levels.fyi 2025–2026 (Google L5–L6 security engineers, FAANG and unicorn senior cloud security), U.S. BLS OEWS May 2024 (15-1212 情報セキュリティアナリスト, 15-1241 コンピューターネットワークアーキテクト)。数値は概算であり、実際の報酬は職務、地域、経験によって異なります。
PCSE の需要は、2024年から2026年にかけて企業の GCP 導入と規制圧力がともに高まるにつれて着実に増加しています。セキュリティプラクティスを持つ Google Cloud パートナー、規制の厳しい大規模企業(金融サービス、ヘルスケア、公共部門)、そしてGoogle自体でも顧客エンジニアリングセキュリティスペシャリストに対する需要が高いです。この認定資格は、PCSE を AWS Security Specialty または Azure AZ-500 と組み合わせることで、真のクロスクラウドの深い知識を示すことができるため、マルチクラウドセキュリティチームでも価値があります。取得者は一貫してリクルーターからの強い反応を報告しており、適格な GCP セキュリティエンジニアは AWS に比べてまだ候補者プールが小さい状況です。
正式な前提条件はありません。Google は、3年以上の業界経験と、1年以上の Google Cloud セキュリティソリューションの設計・実装経験を推奨しています。実際には、PCSE は最初の GCP 認定資格としては適切ではありません。合格者は、セキュリティの基本(CIA トライアド、脅威モデリング、最小特権、多層防御)を実務レベルで理解し、少なくとも1つのクラウドで IAM、ネットワーキング、ロギングに十分な時間を費やしている必要があります。
Associate Cloud Engineer(ACE)は一般的な足がかりですが、CISSP または AWS Security Specialty のバックグラウンドも代用できます。gcloud CLI、組織ポリシーの制約、VPC Service Controls に習熟していることが実質的に求められます。Google Cloud Skills Boost の公式 Cloud Security Engineer Learning Path(約40~60時間)がカリキュラムをカバーしており、成功した候補者のほとんどは、VPC Service Controls の動作を習得するためにマルチプロジェクト、マルチペリメーターのサンドボックスを構築しています。
PCSE はプロフェッショナルレベルに位置付けられ、PCA および PCNE と並んで GCP の難易度の高い試験の一つです。PCSE が最初の GCP プロフェッショナル認定資格である場合、9~13週間で90~140時間の学習を計画し、すでに ACE と AWS Security Specialty または同等の資格を持っている場合は、5~8週間で50~80時間の学習を計画してください。試験は120分間で50~60問の多肢選択 / 複数選択問題で、Pearson VUE を通じて実施されます(Google は2026年初頭に Kryterion / Webassessor から移行しました)。
最も一般的なつまずきやすい点は VPC Service Controls です。境界設計、イングレス / エグレスルール、ブリッジ、および Shared VPC との相互作用は、ほとんどの候補者にとって難しく、不合格の不均衡な割合を占めています。2番目のつまずきやすい点は IAM の条件と拒否ポリシーで、Google は古いロールベースの回答よりもシナリオ問題でこれらを重視しています。Google は数値スコアを公表せず、合否のみを通知します。この資格は2年間有効で、再認定には現在の試験の再受験が必要です。
現在の試験ガイドは2024年初頭に更新され、IAM 拒否ポリシー、Workload Identity Federation、Sovereign Controls、および更新された Security Command Center Enterprise ティアのカバー範囲が追加されました。
VPC Service Controls を主要トピックとして導入し、データ保護ドメインを Confidential Computing を含むように拡張した大規模な更新です。
PCSE (Google Cloud Professional Cloud Security Engineer) は、深い実践経験とアーキテクチャ上のトレードオフ決定を行う能力を必要とする、挑戦的でシナリオ中心の試験 Professionalレベルの試験です。ほとんどの受験者は、プロフェッショナルおよびエキスパートレベルの試験に3〜6か月かけて150〜300時間の学習を必要とします。これらの試験は通常、事前の準専門家レベルの習熟度を想定しています。 練習試験で合格基準を安定して上回るスコアを獲得している受験者のほとんどは、初回で合格しています。
ほとんどの受験者は、プロフェッショナルおよびエキスパートレベルの試験に3〜6か月かけて150〜300時間の学習を必要とします。これらの試験は通常、事前の準専門家レベルの習熟度を想定しています。 合格までの時間は、これまでの経験によって大きく異なります。基礎となるテクノロジーでの実践的な本番経験を持つエンジニアは通常、より少ない時間で済みますが、プラットフォームに初めて触れる受験者は、この範囲の上限を目安に計画を立てる必要があります。
PCSEは、GCPエコシステムで認められた資格であり、雇用主、リクルーター、クライアントに検証済みの知識を示します。あなたにとって時間と費用をかける価値があるかどうかは、あなたの役割と目標によります。通常、GCPを日常的に扱っている、またはそのような役割に就きたいと考えているクラウドエンジニア、アーキテクト、コンサルタントにとって最も報われる傾向があります。
PCSEの合格点は未公開です。試験には50問の問題が含まれており、所要時間は2 時間です。
PCSE試験の受験料は$200 USDです。受験料はGCPによって設定されており、地域によって異なる場合があります。予約する前に、常にGCPの公式認定ページで現在の価格を確認してください。
Google Cloudプロフェッショナル認定は2年間有効です。試験の現在のバージョンを再受験することで再認定されます。
はい。試験はオンライン(プロバイダーのセキュアブラウザを介して監督され、ほとんどの地域で24時間年中無休で利用可能)または営業時間内のピアソンVUE試験センターで対面で受験できます。どちらの形式も同じ問題、時間制限、合格点を使用します。
CertLabProでは、PCSEの練習問題バンクで15の学習モードを提供しています。試験シミュレーションモードは、実際の試験を反映しており、2 時間で50問、合格基準は未公開と同じです。ブラウズモードでは、すべてのQ&Aを静的に読むことができます。