情報セキュリティ


Dropbox は情報セキュリティ管理のフレームワークを確立しています。このフレームワークは信頼性を維持するための目的、管理方法、原則、基本規定を表し、Dropbox Business システムのリスク評価や、セキュリティ、機密性、整合性、可用性を改善することで、このフレームワークを実現しています。Dropbox ではセキュリティ ポリシーのレビューや更新、セキュリティ トレーニングの提供、アプリケーションやネットワーク セキュリティのテスト(侵入テストも含みます)を定期的に実施しています。また、セキュリティ ポリシーのコンプライアンスを監視し、社内外からのリスク評価も行っています。

セキュリティ ポリシー

  • 情報セキュリティ:ユーザーの情報および Dropbox の情報に関するポリシーで、主にデバイス セキュリティ、認証における必須要件、データとシステム セキュリティ、ユーザー データのプライバシー、社員によるリソースの使用に関する制限とガイドライン、潜在的な問題の対処方法などを含みます。

  • ユーザー データのプライバシー:Dropbox のプライバシー ポリシーに準拠するための Dropbox におけるユーザー情報とユーザー データの保護と取り扱いに関する要件です。

  • 物理セキュリティ. ユーザーやアセットを保護して安全性を維持するために、Dropbox が設けている対策。

  • インシデント レスポンス. Dropbox の評価、コミュニケーション、調査手順などを含む、潜在的なセキュリティ問題に対応するための要件。

  • 論理アクセス. 企業およびプロダクション環境のアクセス管理を含む、Dropbox のシステム、ユーザー情報、Dropbox の情報を保護するためのポリシー。

  • 物理プロダクション アクセス. マネジメントによる社員の審査や退職した社員の認証取り消しなどを含む、物理プロダクション ネットワークのアクセス制限に関する Dropbox の手続き。

  • 変更管理. 認定を受けているデベロッパーによる、アプリケーションのソースコード、システム設定、プロダクション リリースに関するコード審査や、セキュリティに影響を与える変更管理に関するポリシー。

  • セールスとカスタマー サポート:アカウントの閲覧、サポート提供、対応などにおける、Dropbox サポート チームのユーザー メタデータ アクセスに関するポリシーです。

  • ビジネスの継続性:サービスの途絶が発生した際に重要なビジネス機能を維持、復元するためのポリシーと手順で、計画と文書化から実行までを網羅しています。

  • 危機管理:Dropbox の重要な業務が中断したり、戦略的な目標を脅かしたりする恐れのある広範囲にわたる突発的な出来事に対し、どのように対処するかを定めたポリシーと手順です。

アクセス コントロール

社員による Dropbox 環境へのアクセスはセントラル ディレクトリにより管理されています。認証には強力なパスワード、パスフレーズ、保護された SSH キーや 2 要素認証、OTP トークンを使用します。Dropbox の内部ポリシーでは、社員がプロダクション環境や企業環境にアクセスする場合、SSH プライベートキーの作成および保管に関するベストプラクティスを遵守するように指示しています。リモートアクセスでは 2 要素認証により保護されている VPN の使用を必要とし、特別なアクセスはセキュリティ チームが見直し検証します。

Dropbox はテクニカル アクセス コントロールと内部ポリシーを使用し、社員が自己の判断でユーザーのファイルにアクセスしたり、他のユーザーのアカウントでメタデータやその他の情報にアクセスすることを制限しています。Dropbox はお客様のインフラ拡張としてサービスを提供しているため、お客様は安心して Dropbox にデータ保護を任せていただけます。

ネットワーク セキュリティ

Dropbox はバックエンド ネットワークのセキュリティ保守に努めています。Dropbox では、社内セキュリティ担当チームと第三者のセキュリティ チーム専門家が、定期的なアプリケーション テスト、ネットワーク テスト、その他のセキュリティ テストや監査を行い、リスクを特定し問題を軽減させます。

Dropbox のネットワークとセキュリティ監視技術は、複数の保護レイヤを提供します。Dropbox はファイアウォール、ネットワーク セキュリティの監視、侵入検出システムを含む業界標準の保護技術を導入して、承認されたトラフィックのみが Dropbox のインフラに到達できるようにしています。プロダクション環境へのアクセスは承認された IP アドレスのみに制限し、安全なプロダクション環境の確保のために、IP アドレスの審査を年に 4 回実施しています。

変更管理

アプリケーションの変更をプロダクション環境に導入する前にすべて承認するよう、正式な変更管理ポリシーが Dropbox エンジニアリング チームにより定義されました。セキュリティ要件が満たされていることを確実にするため、すべての変更はバージョン管理システムに保管され、自動化された品質管理テストの手続きに従う必要があります。Dropbox のソフトウェア開発ライフサイクル(SDLC)は、セキュア コーディング ガイドラインを遵守しなければなりません。また Dropbox による品質管理および手動の審査プロセスによる、潜在的なセキュリティ問題に対応するコード変更スクリーニングも遵守する必要があります。Dropbox セキュリティ チームは、インフラストラクチャ セキュリティの保守、サーバー、ファイアウォール、その他のセキュリティ関連の構成を業界標準に基づき最新状態に維持する責任があります。

Dropbox の情報セキュリティへの取り組みに関する詳細についてはDropbox Business セキュリティ ホワイトペーパーをご覧ください。