Michael Boelenは、コンピュータセキュリティに非常に積極的です。彼は、人気のあるオープンソースセキュリティツールであるルートキットハンター(rkhunter)とLynisの作成者であり、Linux AuditでのLinuxセキュリティについてブログを書き、LinuxSecurityExpertでセキュリティツールを評価しています。彼はまた、複数のオペレーティングシステムのセキュリティ監査で組織を支援するために、Lynisツールの周りにCISOfyという名前の会社を設立しました。
Lynisを使用した後、私はMichaelと話をして、Linux、セキュリティ、およびオープンソースソフトウェアに関する彼の見解について学びたいと思っていました。次のインタビューは、明確さと簡潔さのために編集されています。
ガウラフ:マイケル、自己紹介をお願いしますか?
マイケル: やあ!私の名前はマイケル・ベーレンです。オランダ南部に妻のデビーと息子のヒューゴと一緒に住んでいます。私は1982年に生まれ、近所の人から中古のコモドール64を入手したとき、早くからコンピューターに夢中になりました。当初、兄と私はボルダーダッシュのようなゲームをプレイしていました。その後、BASICで独自のプログラムを作成できることを発見しました。何もないところから何かを作るのは不思議な感覚でした。 10歳のとき、私のプログラムは単純でしたが、もっと作成したいという願望が浮かび上がりました。
その他のLinuxリソース
- Linuxコマンドのチートシート
- 高度なLinuxコマンドのチートシート
- 無料のオンラインコース:RHELの技術概要
- Linuxネットワーキングのチートシート
- SELinuxチートシート
- Linuxの一般的なコマンドのチートシート
- Linuxコンテナとは何ですか?
- 最新のLinux記事
その後、MS-DOSで286に移行しました。コンピュータウイルスに感染するまで、それほど時間はかかりませんでした。キャラクターがゆっくりと画面から落ちていくなど、ウイルスの中にはかなり面白いものもありました。おそらくこれがマルウェアと情報セキュリティへの私の関心の源です。
私が学校にいないときは、いつでもコンピューターの後ろで私を見つけることができました。その後のコンピューターで、150MHzのIntelPentiumやその後の450MHzのIntelPentiumIIIなどのゲームをプレイしました。私が一人だったとき、プログラミングやコンピューターの作り方の学習など、物事がどのように機能するかを理解しようとしました。
早送り:適切なモジュールがないなどの状況のため、私は学校を少し簡単に修了しました。たとえば、数学Bが気に入らなかったので、落としました。数年後、私のメンターは、そのモジュールがないために高等教育に進むことができないと私に言いました。おっと…それで私は自分のレベル以下で教育を続けなければなりませんでした。修了後はさらに勉強する気にはならなかったので、就職活動をしました。私は2002年に、いくつかの追加のWeb開発を伴う顧客関係管理(CRM)ソリューションを作成した小さな会社で、最初のフルタイムの仕事に就きました。私の直属の上司は私の可能性を見て、既存のサービスを調査し、最適化または置き換える自由を与えてくれました。 Sendmailを実行している古いシステムを移行し、新しいDNSサーバーを作成し、両方のカスタムWebインターフェイスを開発しました。単語がまだ存在していなかったとき、私はDevOpsを実行していました。
最初のフルタイムの仕事の後、私はコンサルタント会社に切り替えました。この会社は、オランダで最も著名な会社のほとんどにサービスを提供しました。フィリップス、ASML、ドイツテレコムの娘会社であるT-Systemsなどの多国籍企業で働く機会がいくつかありました。作業には、Unix管理やデータストレージなどの技術的責任が含まれていました。次に並んでいたのは、セキュリティ担当者、問題管理者、サービス管理者などの役割でした。その最後の役割は、財務計画、予算編成、内部の利害関係者へのサービス提供、および期限への対処について私にもっと教えてくれました。
大胆な一歩を踏み出す時が来ました。高給の仕事に別れを告げて、自分の会社を始めましょう。それは2013年に起こりました。アイデアは、オープンソースツールのLynisをコアとして使用する価値のあるサービスを作成することでした。同時に、生計を立てながら、ツールの開発をさらに進めることができました。幸いなことに、私にとって、そしてさらに重要なことに、Lynisプロジェクトにとってはうまくいきました。
Gaurav:あなたはかなり長い間オープンソースソフトウェアとセキュリティに関係してきました。どのようなプロジェクトに取り組んできましたか?
マイケル: rkhunterとLynisという2つの人気のあるソフトウェアプロジェクトから私を知っている人もいるかもしれません。私は2003年に、chkrootkitの代替手段を提供するためにrkhunterを作成しました。名前が示すように、システムに存在する可能性のあるルートキットまたはその他のマルウェアパーツの痕跡を検出します。
もう1つのツールはLynisです。これは、Unixベースのシステムをスキャンして、システムの強化に関して改善の余地があることを検出するためのセキュリティツールです。
Gaurav:オープンソースを始めたきっかけは何ですか?
マイケル: オープンソースでの私の本当のスタートは、2003年にrkhunterでした。 FreeBSDシステムでいくつかの誤検知が見られたとき、chkrootkitプロジェクトを支援するのに十分なシェルスクリプトの経験がありませんでした。代わりに、シェルスクリプトを学び、同時に便利なツールを構築する絶好の機会だと思いました。ボーナスチャレンジとして、POSIXと互換性を持たせるのは良い考えだと思いました。このようにして、Linuxだけでなく、BSD、Solarisなどでも実行できます。
Gaurav:オープンソースソフトウェアはあなたにとってどのような意味がありますか?
マイケル: オープンソースは、問題を解決しながらソフトウェアの創造性を表現する方法です。適切なライセンスがあれば、ほとんどの人がソフトウェアを通常は無料で使用できます。誰もがソフトウェアや関連サービスにお金を払う余裕があるわけではないので、それも重要です。オランダ人は謙虚で率直で、物事が「無償」であることに恋をしていることで知られています。この言葉はラテン語でも同じで、「感謝のために」または「何のために」を意味します。 FOSSのFはこのタイプのフリーについて言及していませんが、ソフトウェアをより多くの人の手に渡せるようにするための強力な推進力であると私は信じています。これは、フィードバック、アイデア、さらにはコードの改善への扉を開くことができるため、それ自体が価値があります。
Gaurav:Lynisを開発するようになったきっかけは何ですか?
マイケル: 2007年、2つの仕事の合間に1か月間、LinuxおよびUnixベースのシステムのセキュリティ面を改善するという自分の仕事に役立つ新しいプロジェクトを開始したいと思いました。既存のツールは時代遅れのようだったので、新たなスタートを切りたかったのです。
Gaurav:Lynisは、他のセキュリティツールとどのように異なりますか? Lynisをオープンソースツールとして宣伝した経験は何ですか?
マイケル: 利用可能な多くのセキュリティツールがあります。 Linux Security Expertプロジェクトの一環として、それらの多くをレビューしています。何百ものツールを調べた後、Lynisには多くのツールにはないものがあることがわかりました。違いは「シンプルさ」、つまりツールをできるだけ使いやすくすることです。この経験から、ツールを使いやすくするのは本当に難しいことも共有できます。
ライニスを宣伝することになると、私は物事を多様化しようとします。ブログの投稿や会議での講演でそれについて書いていることもあります。同時に、ツール自体の価値が真のプロモーションを行います。人々はそれが好きなので、他の人とツールを共有する傾向があります。私は昇進の価値を強く信じています。それはあなたの創造物をより多くの人々に見せ、その結果、使用法と提案が増えます。したがって、ツールの作成者である場合は、この部分をスキップしないでください。私のブログ投稿オープンソースプロジェクトを宣伝する方法をお読みください。 。
Gaurav:LinuxAuditで人気のブログも運営しています。 LynisまたはLinuxのセキュリティ全般からの学習を補完しますか?
マイケル: はい、ブログは人気があり、何百もの記事で構成されています。最近は書く時間が減っていますが、すぐに変わることを願っています。ブログは、難しいテーマに飛び込み、読者が理解しやすいものに変えるための優れた方法です。 「単純さ」の原則は、ここでも実際に当てはまります。このブログは、Lynisの使用を含むLinuxのセキュリティだけでなく、その他の関連トピックにも焦点を当てています。
Gaurav:あなたはLynisの周りにCISOfyという名前の会社を設立し、トレーニングを提供しました。これらについて教えてください。
マイケル: 私は、企業がオープンソースソフトウェアをマーケティング手段として使用していることに非常に警戒しています。それはLynisとCISOfyが関係している方法ではありません。 Lynisプロジェクトは、会社が設立されるずっと前から存在していました(それぞれ、2007年と2013年)。他のセキュリティ会社のようにソフトウェアを閉鎖する代わりに、会社は私がツールのより積極的な開発を行うことを許可し、それを大きく後押ししました。他の人のために善を行うことは、思いがけない方法で恩恵を返すと私は信じています。
そして、私はLynisに関しても非常に厳格です:それはオープンソースのままでなければなりません。それが私が会社を設立した主な理由の1つです。
砂の中に明確な線があることを確認するために、私たちは商業部分をLynisEnterpriseと名付けました。これはLynisの拡張バージョンではなく、実際にLynisツールを必要とする別のものです。このように、同社はツールの品質に依存しているため、Lynisへの投資を継続する強い動機があります。コミュニティと顧客の両方がより優れたツールを手に入れることができるため、誰もが勝ちます。
教科書には、会社はお金を稼いで利益を上げるために存在すると書かれていますが、ソフトウェア会社も違いを生むことができることを発見しました。このため、数年前にGoogleアナリティクスなどのツールを使用しないことを決定し、追跡テクノロジーを廃止しました。また、ビジネスを遂行するために収集および保存するデータを最小限に制限します。私はスパムが嫌いなので、それが私たちが企業や個人に連絡しない理由でもあります。あなたがそれを要求したか、私たちと取引をした場合にのみ、あなたは私たちから電子メールを受け取ります。今のところ、CISOfyはプライバシー以外のことでももっと積極的になってほしいと思っています。 1つは、CO 2 になるなど、より多くの持続可能性イニシアチブをサポートすることです。 中性または吸収性のCO2 。太陽光発電の利用、森林の再植林に役立つ寄付、より持続可能な銀行の切り替えなど。
Gaurav:Linuxは成長を続けているため、マルウェア作成者の標的であり続ける可能性があります。どう思いますか?
マイケル: ほとんどの攻撃は依然としてWindows、Android、およびAppleベースのシステムに焦点を当てていますが、すでに増加が見られます。私の推測では、Linuxシステムをターゲットにすることには、ディストリビューションやバージョンの多様性など、独自の課題があります。
Gaurav:ランサムウェアは通常のマルウェアとどのように異なり、組織はこの脅威にどのように取り組む必要がありますか?
マイケル: これは、データの取得と人質の保持に主な焦点を当てた別の脅威アクターです。私の提案は単純です。バックアップを作成し、復元をテストします。
Gaurav:人々はLinuxのセキュリティに取り組みたいと思うことがよくありますが、どこから始めればよいのかわかりません。彼らが始めることをどのように提案しますか?
マイケル: 個人のシステムまたは利用可能なテストデバイスにセキュリティ対策を実装することをお勧めします。どこから始めればよいかわからない場合は、Linuxのセキュリティに関してLynisが何ができるかについての良いインスピレーションになるかもしれません。また、Linux Auditブログについても言及されました。これは、読者がこのテーマをよりよく理解するのに役立つ可能性があります。
Gaurav:興味深い新しいプロジェクトやツールに取り組んでいますか?
マイケル: 現在、予備時間はごくわずかです。私たちは最近新しい家に引っ越しましたが、まだ落ち着いています。暇な時間が増えたら、おそらくブログを再開し、Linux SecurityExpertWebサイトのセキュリティツールを確認します。
Gaurav:Lynisやセキュリティツールに取り組んでいないときは、暇なときに何をしますか?
マイケル: 季節により少し異なります。私は散歩とウイスキーを飲むのが好きです。それから家と庭で家事があります。私の現在の焦点は、家の下のクロールスペースを掃除して床の断熱材を追加することです。屋根裏部屋もさらに断熱する必要があります。平均的な空き時間のプロジェクトではありませんが、将来の快適さのレベルには不可欠です。
オペレーティングシステムを保護する方法を学ぶことに興味がある場合は、Michaelのブログに豊富な情報があります。また、オープンソースの愛好家は、Lynisを試してシステムの弱点を明らかにし、それらを軽減する方法を学ぶ必要があります。