Zero Day Initiative™ (ZDI)

20周年を迎えて

この20年間、TrendAI™ ZDIは業界最高水準の脆弱性発見と責任ある情報開示を通じて、研究者を支援し、ユーザを保護し、サイバーセキュリティの未来を切り拓いてきました。

TrendAI™ のミッション

TrendAI™ ZDIは2005年、脆弱性を発見した研究者に報奨金を支払うことで、ゼロデイ脆弱性を影響を受けるベンダへ非公開で報告することを促進するために設立されました。設立当初、情報セキュリティ業界の一部では、脆弱性を発見する人々は悪意のあるハッカーで、有害な意図を持つ存在だとする風潮がありました。引き続きそのように考えられる方もあり、また高い技術を持つ不正な攻撃者も確かに存在しますが、それは新しいソフトウェアのバグを発見する人々の少数に過ぎません。

TrendAI™ のミッション

独立した研究者のグローバルコミュニティと協働することで、TrendAI™ の内部研究チームはゼロデイ脆弱性に関する研究とエクスプロイト情報をさらに強化することができます。こうしたアプローチがTrendAI™ ZDIの設立へとつながりました。TrendAI™ ZDIの主旨は以下のとおりです。 

icon

優れたスキルを持つ研究者たちの仮想コミュニティを構築することで、チームの生産性を向上します。

icon

金銭的なインセンティブを設け、信頼できるゼロデイ脆弱性の報告を促します。

icon

影響を受けるベンダがパッチを展開できるようになるまで、TrendAI™ のお客さまを脅威から保護します。

現在、TrendAI™ ZDIは世界最大級のベンダに依存しないバグバウンティプログラムとなっています。当社の脆弱性情報取得に対する取り組みは、他のプログラムとは異なります。影響を受けたベンダが問題を解決するまで、脆弱性の技術詳細は公開されません。この仕組みにより、TrendAI™ は、外部研究者の知見や技術、リソースを効果的に活用し、内部研究チームを強化すると同時に、修正プログラム開発中でもお客さまの安全を確保します。

世界中の民間研究者から、パッチが適用されていない脆弱性に関する独占情報を入手することができます。TrendAI™ の内部研究者および分析担当者は、セキュリティラボで問題を検証し、研究者に金銭的な報酬を提示します。提示が受け入れられると、速やかに支払いが行われます。TrendAI™ ZDIを通じて情報を提出することにより、複数のベンダとのバグ追跡に時間を割く必要がなくなります。また、当社はベンダとの連携を重視し、報告されたセキュリティ欠陥の技術的詳細と深刻性を正しく理解してもらうよう努めています。この取り組みにより、研究者は次の新しい脆弱性の発見に専念することができます。

優秀な研究者たちが脅威を発見してくれるおかげで安心して日々を過ごすことができますし、彼らの取り組みは世界にポジティブな影響を与えています

Jason Cradit 氏

Jason Cradit 氏
Summit Carbon

最高情報責任者(CIO) 兼 最高技術責任者(CTO)

TrendAI™ の開示ポリシーでは、ベンダが脆弱性に対応する時間が長すぎる場合、特定の詳細情報を公開するよう規定しています。そのため、パッチが利用できない状況でも、この情報を基にしてセキュリティ担当者が自社を保護するための措置を講じることができます。当社が把握した脆弱性は、製品ベンダが対応する意思がないからといって放置されるようなことはありません。ベンダの対応状況に関わらず、TrendAI™ 製品を通じて仮想パッチが提供されます。2024年、こうした仮想パッチは、ベンダによる正規パッチ提供の平均90日以上前にTrendAI™ のユーザに公開されています。このポリシーは、研究者が発見した脆弱性がいかなる場合も「隠ぺいされる」ことがないという安心感をさらに高めるものです。また、製品ベンダに対しても、情報開示プロセス全体を通じて、専門的かつ標準化されたガイドラインが遵守されることを保証します。

影響を受けたベンダからパッチが提供されるとTrendAI™ ZDIはベンダと連携し、脆弱性に関する情報を発表します。脆弱性を発見した研究者が匿名を希望しない限り、その研究者に関する情報も含まれます。この取り組みにより、自社のお客さまの保護にとどまらず、より多くの方々をサイバー脅威から守り、社会全体のセキュリティ強化に貢献することが可能となります。

TrendAI™ ZDI event

TrendAI™ ZDI がなければ、多くの脆弱性が非公開のまま残されるか、不正な目的に利用される可能性があります。TrendAI™ ZDIは、ソフトウェアベンダや研究コミュニティとの長年にわたる信頼関係を通じて、製品開発ライフサイクルにおけるセキュリティの重要性を啓発し、より安全な製品とお客さまの保護を実現しています。

TrendAI™ ZDIは過去20年間で15,000件以上の脆弱性を公開し、TrendAI™ のプラットフォームに独自の脅威インテリジェンスを提供するとともに、あらゆる人々に影響を与えるソフトウェアとサービスのアタックサーフェス(攻撃対象領域)を強化してきました。

お問い合わせはこちらから

一般のお問い合わせ

zdi@trendmicro.com

メディアからのお問い合わせ

media_relations@trendmicro.com

Mastodon

Mastodon

メールの機密性を高めたい場合

PGP Key