トレンドマイクロのミッション
2005年に設立されたZero Day Initiative (ZDI)は、ゼロデイ脆弱性を発見した研究者に対して金銭的インセンティブを与える取り組みを行っています。世の中に影響を与えるゼロデイ脆弱性をいち早く発見することで、世の組織のセキュリティレベルの向上を目指しています。設立当初、情報セキュリティ業界の一部では、脆弱性を発見する人々は悪意のあるハッカーで、有害な意図を持つ存在だとする風潮がありました。こうした悪意あるハッカーが存在することは事実ですが、新しいソフトウェアの欠陥を発見する人々の大多数はそのような攻撃者ではなく、むしろセキュリティレベル向上のために貢献する専門家なのです。
独立した研究者コミュニティと協働することで、トレンドマイクロの内部研究チームはゼロデイ脆弱性に関する研究とエクスプロイト情報をさらに強化することができ、脆弱性対策ソリューションの強化につなげています。Zero Day Initiative (ZDI)の主旨は以下のとおりです。
優れたスキルを持つ研究者たちの仮想コミュニティを構築することで、チームの生産性を向上します。
金銭的なインセンティブを設け、信頼できるゼロデイ脆弱性の報告を促します。
ゼロデイ脆弱性に対してベンダがパッチを配布できるようになるまで、トレンドマイクロからゼロデイ対策の仮想パッチをご提供します。
現在、Zero Day Initiative (ZDI)は世界最大級のベンダに依存しないバグバウンティプログラムとなっています。当社の脆弱性情報取得に対する取り組みは、他のプログラムとは異なります。影響を受けたベンダが問題を解決するまで、脆弱性の技術詳細は公開されません。この仕組みにより、トレンドマイクロは外部研究者の知見や技術、リソースを効果的に活用し、内部研究チームを強化すると同時に、修正プログラム開発中でもお客さまの安全を確保します。
世界中の民間研究者から、パッチが適用されていない脆弱性に関する独占情報を入手することができます。トレンドマイクロの内部研究者および分析担当者は、セキュリティラボで問題を検証し、研究者に金銭的な報酬を提示します。提示が受け入れられると、速やかに支払いが行われます。Zero Day Initiative (ZDI)を通じて情報を提出することにより、研究者はベンダとのバグ追跡に時間を割く必要がなくなります。また、当社はベンダとの連携を重視し、報告されたセキュリティ欠陥の技術的詳細と深刻性を正しく理解してもらうよう努めています。この取り組みにより、研究者は更なる脆弱性の発見に専念することができます。
