「できないこと」を確認しましょう

こんにちは。アイシーティーリンクの廣田です。
最近は色々な人が作った資料を見る機会が増えてきました。
そうしていると、あれ？これ大丈夫？というような資料もちらほら見かけました。
なので今回はその一部を紹介しようと思います。

■今回の資料
AWSの結合試験計画書

■ざっくりとした概要
・AWSのEC2とS3を使いたい。
・2つの拠点を持っているので、そこからだけEC2にSSH接続したい。
・S3はユーザによって操作を制限したい。

セキュリティのことを考えて制限しようとしているのですね。
ではどういう試験をするのか見てみましょう。

項目1.A拠点からEC2へSSH接続できること。
項目2.B拠点からEC2サーバへSSH接続できること。
項目3.ユーザ1でS3のテストバケットAにアップロードできること。
項目4.ユーザ2でS3のテストバケットBを参照できること。
などなど。。。

むむむ。
「できること」の確認ですね。
確かに構築した物が想定通りに動作するかは確認したいですね。
気持ちは分かります。
でもこれだけでは不足しています。

「できること」ができないのであれば、後から権限をキチンと付与すればいいだけですね。しかし、「できないこと」ができるのであれば、情報漏洩に繋がります。とても大きなリスクです。関係者に大きな被害を与え、信用を失ってしまいます。そのため、確認を行う時は必ず「できないこと」を確認しましょう。そちらの方が、より重要な観点となります。

具体的には、先ほどの項目であればこんな感じの確認項目が必要です。

項目1.A拠点からEC2へSSH接続できること。
項目2.B拠点からEC2サーバへSSH接続できること。
項目3.C拠点からEC2サーバへSSH接続できないこと。
項目4.ユーザ1でS3のテストバケットにアップロードできること。
項目5.ユーザ2でS3のテストバケットを参照できること。
項目6.ユーザ2がS3のテストバケットにアップロードできないこと。
項目7.ユーザ3がS3のテストバケットを参照できないこと。
などなど。。。

皆さんも「できないこと」は必ず確認しましょう。
では、今回はこの辺で。