TrendAI™ のミッション
TrendAI™ ZDIは2005年、脆弱性を発見した研究者に報奨金を支払うことで、ゼロデイ脆弱性を影響を受けるベンダへ非公開で報告することを促進するために設立されました。設立当初、情報セキュリティ業界の一部では、脆弱性を発見する人々は悪意のあるハッカーで、有害な意図を持つ存在だとする風潮がありました。引き続きそのように考えられる方もあり、また高い技術を持つ不正な攻撃者も確かに存在しますが、それは新しいソフトウェアのバグを発見する人々の少数に過ぎません。
独立した研究者のグローバルコミュニティと協働することで、TrendAI™ の内部研究チームはゼロデイ脆弱性に関する研究とエクスプロイト情報をさらに強化することができます。こうしたアプローチがTrendAI™ ZDIの設立へとつながりました。TrendAI™ ZDIの主旨は以下のとおりです。
優れたスキルを持つ研究者たちの仮想コミュニティを構築することで、チームの生産性を向上します。
金銭的なインセンティブを設け、信頼できるゼロデイ脆弱性の報告を促します。
影響を受けるベンダがパッチを展開できるようになるまで、TrendAI™ のお客さまを脅威から保護します。
現在、TrendAI™ ZDIは世界最大級のベンダに依存しないバグバウンティプログラムとなっています。当社の脆弱性情報取得に対する取り組みは、他のプログラムとは異なります。影響を受けたベンダが問題を解決するまで、脆弱性の技術詳細は公開されません。この仕組みにより、TrendAI™ は、外部研究者の知見や技術、リソースを効果的に活用し、内部研究チームを強化すると同時に、修正プログラム開発中でもお客さまの安全を確保します。
世界中の民間研究者から、パッチが適用されていない脆弱性に関する独占情報を入手することができます。TrendAI™ の内部研究者および分析担当者は、セキュリティラボで問題を検証し、研究者に金銭的な報酬を提示します。提示が受け入れられると、速やかに支払いが行われます。TrendAI™ ZDIを通じて情報を提出することにより、複数のベンダとのバグ追跡に時間を割く必要がなくなります。また、当社はベンダとの連携を重視し、報告されたセキュリティ欠陥の技術的詳細と深刻性を正しく理解してもらうよう努めています。この取り組みにより、研究者は次の新しい脆弱性の発見に専念することができます。