東陽テクニカは10月中にも,フィンランドのコデノミコンが開発した各種プロトコルのぜい弱性検査ツールを発売することを明らかにした。ルーティングやVoIP(voice over IP)など幅広い通信プロトコルに対応し,ぜい弱性テストのパターンを多数用意していることが特徴だ。Java上で動作するアプリケーションで,WindowsやLinuxに対応している。
この製品は,フィンランドのオウル大学のプロジェクト「PROTOS」をベースにしている。PROTOSプロジェクトはプロトコルぜい弱性検査の無償ツールを公開しているが,サポートするプロトコルが少ないなどの制限があるという。これをベースに使い勝手を向上し,サポートを付けたものがコデノミコンのツールである。
IP電話で使われるSIP(session initiation protocol)を例に取ると,「4万数千に及ぶテスト・パターンを用意している」(コデノミコン ロバストネス・スペシャリストのヘイッキ・コルッティ氏)。これだけのバリエーションの不正なSIPメッセージを,SIP対応のソフトフォンなどに送り付けて,クラッシュしないかなどをチェックする(写真)。テスト・パターンは番号を付けて管理されており,問題が見つかれば修正後にテストしやすくなっている。
サポートするプロトコルは,IPやTCP,HTTP,FTP,DNS,メール関連,リモート管理用,ルーティング用,VPN用,VoIP用,3G(第三世代携帯電話)用,Bluetoothなどの無線用,音楽/動画/静止画/圧縮形式などのファイル・フォーマットに分けられる。年末にはIEEE 802.11a/b/gなども加える予定だ。
同社の製品は,米シスコシステムズや仏アルカテルなどの通信機器メーカー,米AT&Tといった通信事業者などの顧客を抱えている。金融機関にもノルデアといった顧客がおり,「顧客が使うWebサービスの利用にぜい弱性がないかを検査するために使っている」(コルッティ氏)。このほかオープンソース・ソフトの「Apache」や「OpenSSL」でも使われており,政府機関でも採用されるケースがある。日本では既にインターネットイニシアティブ(IIJ)が使っているという。
価格は検査対象のプロトコル一つにつき200万円(税抜き)から。ただしIPは,TCPやUDPなどとセット販売するため最小価格の構成には含まれない。東陽テクニカはこの製品を,通信機器メーカーや通信事業者に売り込んでいく。今後は銀行や自動車メーカーなどへも販売ターゲットを広げていく意向だ。
