Google Professional Cloud Security Engineer合格への近道と、試験勉強法について解説します!
サッとお読みいただけるよう、シンプルかつ要点をまとめて記載してます!
Google Professional Cloud Security Engineerとは
1. 試験概要
◆誰でも受験可能(受験資格なし。ただしIT全般で3年以上の実務経験(うちGoogle Cloud上でのセキュリティソリューションの設計・管理経験1年以上)が推奨されています)
◆選択式(単一選択・複数選択)50〜60問程度/2時間(合格ラインは公式非公開。一般的に7割程度が目安とされています)
◆事前に読み込むケーススタディ(事例文)はなく、各設問が独立したシナリオ形式(Professional Cloud Architectのような事前公開のケーススタディは出題されず、すべての状況設定が問題文内で完結します)
◆受験料 : $200(税別・約¥30,000前後)
◆試験は日本語でも受験可能(出題言語:英語/日本語)
◆テストセンターもしくは、オンラインでの試験実施(オンラインで受験可能なのがありがたいですね!)
◆有効期限は2年間(更新は短縮版の更新試験でも可能)
2. 出題範囲・受験対象者
受験対象者
Google Cloud上で、セキュアなワークロードとインフラストラクチャを設計・実装できることを証明したい方が対象です。セキュリティのベストプラクティスと業界要件を理解したうえで、Googleのセキュリティ技術を用いて安全なソリューションを設計・開発・管理する力が求められます。Identity and Access Management(IAM)・Cloud Identity・Workforce/Workload Identity Federation・Privileged Access Managerによるアクセス制御、リソース階層と組織ポリシーの定義、Cloud Next Generation Firewall(Cloud NGFW)・Identity-Aware Proxy(IAP)・Google Cloud Armor・Secure Web Proxy・VPC Service Controlsによるネットワークセキュリティと境界防御、Sensitive Data Protection(SDP)・Secret Manager・Cloud KMS(CMEK)・Cloud External Key Manager(EKM)・Confidential Computingによるデータ保護、Security Command Center(SCC)・Binary Authorization・監査ログ・ログシンクによる脅威の監視とセキュリティ自動化、AIワークロード(Gemini Enterprise Agent Platform等)のセキュリティ、Assured Workloads・Access Transparency/Access Approvalを用いた規制・コンプライアンス対応への理解が想定されています。本認定はクラウドセキュリティ領域に特化したプロフェッショナルレベルの認定で、単なる製品知識ではなく「与えられたビジネス要件・コンプライアンス要件に対して、いかに安全にアクセス・通信・データ・運用を設計し、脅威を検知・対応するか」という総合的な判断力が問われる点が最大の特徴です。近年はPrivileged Access Manager・Cloud NGFW・Secure Web Proxy・Workforce Identity Federationといった比較的新しいサービスや、AIワークロード(Gemini Enterprise Agent Platform)のセキュリティ、ソフトウェアサプライチェーンの保護も出題範囲に色濃く反映されており、IT全般で3年以上(うちGoogle Cloud上でのセキュリティソリューションの設計・管理経験1年以上)が推奨されています。
出題範囲(全5セクション)
- アクセスの構成(約25%) — Cloud Identityの管理(Google Cloud Directory Sync・サードパーティIdPとのSSO・スーパー管理者アカウント・ユーザーライフサイクル自動化・Workforce Identity Federation)、サービスアカウントの管理(デフォルトサービスアカウントの保護、サービスアカウントキーの監査・抑制、短期認証情報、Workload Identity Federation、なりすまし〔impersonation〕)、認証の管理(パスワード/セッションポリシー、SAML・OAuth、2段階認証の強制)、認可制御(IAMロールと権限、職務分掌、IAM Conditions・IAM拒否ポリシー、最小権限に基づく組織/フォルダ/プロジェクト/リソースレベルのアクセス制御、Access Context Manager、Policy Intelligence、Privileged Access Manager)、リソース階層の定義(フォルダ・プロジェクトの大規模管理、組織ポリシー、権限の継承)
- 通信の保護と境界防御の確立(約22%) — 境界セキュリティの設計・構成(Cloud NGFWのルール/ポリシー、IAP、ロードバランサ、Certificate Authority Service、レイヤ7のアプリケーション検査、Google Cloud ArmorによるWAF、Secure Web Proxy、Cloud DNSセキュリティ、APIの継続的監視・制限)、境界セグメンテーション(VPC・VPCピアリング・共有VPC・ファイアウォールルール、N層アプリのネットワーク分離、VPC Service Controls)、プライベート接続の確立(共有VPC・VPCピアリング・Private Google Access、HA VPN・Cloud Interconnectによるデータセンター間の暗号化接続、Private Service Connect、Cloud NATによる外向き通信)
- データ保護の確保(約23%) — 機密データの保護とデータ損失防止(Sensitive Data Protection〔SDP〕によるPIIの検出・秘匿化、仮名化・書式保持暗号化、BigQuery・Cloud Storage・Cloud SQL等のデータサービスへのアクセス制限、Secret Managerによるシークレット管理、コンピューティングインスタンスのメタデータ保護)、保存時/転送時/使用時の暗号化(デフォルト暗号化・CMEK・Cloud EKMの使い分け、鍵のローテーション・失効・インポート、Cloud Storageのオブジェクトライフサイクル、Confidential Computing)、AIワークロードのセキュリティ(AI/MLシステムのセキュリティ・プライバシー制御、IaaS/PaaSでの学習モデルのセキュリティ要件、Gemini Enterprise Agent Platformのセキュリティ制御)
- 運用の管理(約19%) — インフラ・アプリケーションセキュリティの自動化(CI/CDパイプラインでのCVEスキャン、GKE/Cloud RunのBinary Authorization、VM・コンテナイメージのハードニング/パッチ管理、ポスチャ管理とドリフト検出、Security Health Analyticsのカスタムモジュール)、ロギング・モニタリング・検知(Cloud NGFW・VPCフローログ・Packet Mirroring・Cloud IDS・Log Analyticsの分析、効果的なロギング戦略、インシデントの検知・対応・修復、監査ログ/データアクセスログ、ログシンク・集約シンク、Security Command Centerの構成・監視)
- コンプライアンス要件への対応(約11%) — 規制・業界標準への準拠(コンピューティング/データ/ネットワーク/ストレージに関する技術要件の把握、共有責任モデルの評価、Assured Workloads・組織ポリシー・Access Transparency・Access Approval・データやサービスのリージョン化によるコンプライアンス統制、規制対象となるGoogle Cloud環境の特定、コンプライアンス要件とGoogle Cloudサービス・セキュリティ制御のマッピング)
単なる製品知識ではなく、「与えられたビジネス要件・コンプライアンス要件・制約に対して、どのGoogle Cloudのサービスをどう組み合わせて、安全にアクセス・通信・データ・運用を設計し、脅威を検知・対応するか」という判断力が全体を通して重視されている点が特徴です。特に本試験ではIAM/アクセス制御・ネットワーク境界防御・データ暗号化・Security Command Centerによる脅威検知・コンプライアンス統制に関する実務的なシナリオ問題が多く出題され、現実のワークロードに対して最適なセキュリティソリューションを導けるかが問われます。
3. 受験申込方法
◆Google Professional Cloud Security Engineerページより受験申し込みが可能です。
認定試験を申し込む
攻略法
1. まず伝えたいこと
Google Cloudのサービスは日を追うごとに進化していくため、「数ヶ月目を離していたら、新しい機能や新製品が追加されていた!」なんてことは往々にしてあります。
そのため、試験問題も最新の製品・ブランディングに合わせて更新されますので、最新版に対応した試験問題集で勉強することをお勧めします!
実際この試験も、Privileged Access Manager・Workforce Identity Federation・Cloud NGFW・Secure Web Proxyといった比較的新しいサービスや、AIワークロード(Gemini Enterprise Agent Platform)のセキュリティ、ソフトウェアサプライチェーンの保護といった領域の追加を反映して内容がアップデートされています。扱う製品は幅広く進化が早い領域ですので、最新の状況は必ず公式の試験ガイドでご確認ください。
また本試験はIAM/アクセス制御・ネットワーク境界防御・データ暗号化・脅威検知・コンプライアンス統制といった、実際のセキュリティ運用への対応力が問われる、実務寄り・思考力重視の試験です。Professional Cloud Architectのような事前に読み込むケーススタディ(事例文)はなく、すべての状況設定が各設問の中で完結する形式ですので、事前に長い事例文を暗記しておく必要はありません。知識のインプットだけでなく、ハンズオンラボで実際にIAM・VPC Service Controls・Cloud KMS・Security Command Centerの構成やインシデント対応を手を動かして試しておくことが合格への近道になります。
本サイトでは、Google Cloudのセキュリティを第一線で扱うエンジニアによる解説付きの問題集を用意しておりますので、気になった方は是非チェックしてみてください!(ページの1番下にもリンクがあります!)
2. 勉強方法
①Google Skills(ハンズオン)
↓
②Google 模擬試験
↓
③試験対策問題集
私は上記の順番で勉強することをお勧めします!
各勉強方法の意図としては、下記に記載の通りです。
①Google Skills(Security Engineer ラーニングパス)で、出題範囲の基礎知識を学びつつ、ハンズオンラボでGoogle CloudのIAM・ネットワークセキュリティ・データ保護・脅威検知の操作に慣れます。
②Google模擬試験(公式サンプル問題)で、出題形式と問われ方を確認します。
③Professional Cloud Security Engineer 試験対策問題集で、実試験で出題される問題の感覚や、解き方に慣れます。
Google Skillsでは体系的に試験に関する知識を学べるうえ、ハンズオンラボで手を動かしながらGoogle CloudのIAM・境界防御・暗号化・Security Command Centerによる脅威検知を習得できますので、まずこれに取り組むことをお勧めします!
Google模擬試験は、出題形式を確認できる公式のサンプル問題です。本番の問われ方に近いので、試験に慣れるために一度はやっておきましょう!
また本試験は要件(機密性・可用性・最小権限・コンプライアンスなど)に対して最適なサービス・手法を選ぶ「選定問題」や、アクセス制御・ネットワーク境界・データ暗号化・インシデント対応のシナリオ問題が多く出題されます。IAMロールとIAM Conditions/拒否ポリシーの使い分け、VPC Service Controlsとファイアウォール設計、CMEK/EKMの選択、Security Command Centerによる検知と対応のパターンを整理しておくと、本番で大きく差がつきます。
なお、本試験はIT全般で3年以上(うちGoogle Cloud上でのセキュリティソリューションの設計・管理経験1年以上)が推奨されています。無料枠(新規登録で$300クレジット)も活用し、できるだけ実際にGoogle Cloudのサービスを触りながら学習を進めるのがおすすめです。
3. 当サイトの問題集
日本語対応しているGoogle Professional Cloud Security Engineer試験の問題集はかなり少ないため、自然な日本語に翻訳したり、回答が正しいか調べたりと、かなりの時間をそこに費やすこととなり、効率的に勉強を進めることができません。
当サイトの問題集には、以下4つの強みがあり、効率的に勉強を進めることが可能です。
①最新の試験問題に対応
②Google Cloudのセキュリティを第一線で扱うエンジニアによる解説(解説には一次ソースを記載)
③10問単位でページがシンプルかつ広告が一切ない
④実際の試験問題の出題方式がわかるよう問題を作成(プルダウン方式、チェックボタン方式等)
まずは、はじめの10問を解いてみましょう!

