セキュリティの今日、そして明日を読む

世界トップの脆弱性発見コミュニティ “Zero Day Initiative”

3,000人以上の研究者が脆弱性の発見を競う

ZDI は、サイバー攻撃に悪用される危険のあるソフトウェアの脆弱性を発見するためのコミュニティで、世界中のセキュリティ研究者が参加しています。2005 年に開始し、10年以上の歴史があります。現在では世界約 80 カ国約 3,000 名のセキュリティ研究者が参加しています。 ZDIでは、彼らから収集した脆弱性情報を、攻撃に悪用される前にソフトウェアベンダに連絡し対応を求めたり、一般公開することで、インターネットの安全向上を図っています。

世界中から研究者を集めるコミュニティの特徴のひとつは、どんな企業の製品やサービスでも幅広く扱う中立性の維持です。ZDI の脆弱性公開方針がオープンになっていることも特徴です。こういう場合は公開する、こういう条件なら公開を待つ、というポリシーが明確に定められています。たとえトレンドマイクロの製品であっても ポリシーに則りZDI は公開するでしょう。どんな相手でもポリシーを変えません。開始から 10 年以上にわたり一貫して研究者とベンダに敬意を払い、透明性の高いポリシーのもと脆弱性情報を扱ってきたことが、わたしたち ZDI が信頼を得られている理由だと思います。

またZDIでは脆弱性報告者に対して報奨金を支払いますが、これはコミュニティを成長させる意図で行っています。開発元に脆弱性を報告する際、本人の希望がない限り、個人情報を伝えることは絶対にありません。情報源のプライバシーは厳重に秘匿されるのです。 そのほか、大企業を中心にグローバルで利用されるTippingPoint のフィルターに ZDI の脆弱性情報が用いられていることも信用を裏付ける一因になっています。
(2017年12月に掲載)

TREND PARK

関連するコンテンツ