情報セキュリティ


Dropbox は情報セキュリティ管理のフレームワークを確立しています。このフレームワークは高い信頼性を維持するための目的、管理方法、方針および基本規定を定めるものです。これを基に Dropbox Business のシステムのリスクを評価し、継続的にセキュリティ、機密性、整合性、可用性を改善しています。

Dropbox ではセキュリティ ポリシーのレビューや更新、セキュリティ トレーニングの提供、アプリケーションやネットワーク セキュリティのテスト(侵入テスト含む)を定期的に実施しています。また、セキュリティ ポリシーのコンプライアンスを監視し、内部および外部からのリスク評価を行っています。

セキュリティ ポリシー

  • 情報セキュリティ:
    ユーザーの情報および Dropbox の情報に関する方針。主に、デバイス セキュリティ、認証に関する必須条件、データおよびシステム セキュリティ、社員によるリソースの使用に関する制約や潜在的な問題の対処方法などが含まれます。

  • 物理セキュリティ:
    ユーザーやアセットを保護して安全性を維持するために、Dropbox が設けている対策。

  • インシデント対応:
    評価、コミュニケーション、調査手順を含む、潜在的なセキュリティ問題に対応するための要件。

  • 論理アクセス:
    企業および本番環境のアクセス管理を含む、Dropbox のシステム、ユーザー情報、および Dropbox の情報を保護するための方針。

  • 物理的アクセス:
    マネジメントによる社員の審査や、退職した社員の権限の解除などを含む、物理的なネットワークへのアクセス制限に関する手順。

  • 変更管理:
    認定デベロッパーによる、アプリケーションのソース コード、システム設定、プロダクション リリースに関するコード レビューや、セキュリティに影響を与える変更管理に関する方針。

  • サポート:
    アカウントに対するサポートの提供や対応などにおける、Dropbox サポート チームのユーザー メタデータへのアクセスに関する方針。

アクセス管理

社員による Dropbox 環境へのアクセスはセントラル ディレクトリにより管理されています。認証には強力なパスワード、パスフレーズ、保護された SSH キーや 2 段階認証、OTP トークンを使用します。

Dropbox の社内方針では、社員が本番環境や企業環境にアクセスする場合、SSH プライベートキーの作成および保管に関するベストプラクティスを遵守するように指示しています。
リモートアクセスでは 2 要素認証により保護されている VPN の使用を必要とし、特別なアクセスはセキュリティ チームがレビューおよび検証をしています。

Dropbox は技術的なアクセス管理と社内方針により、社員が自己判断でユーザーのファイルにアクセスしたり、他のユーザーのアカウントでメタデータやその他の情報にアクセスすることを制限しています。お客様のインフラの一部となっている責任として、データ保護に継続的に注力していきます。

ネットワーク セキュリティ

Dropbox はバックエンド ネットワークのセキュリティ保守に努めています。

社内のセキュリティ チームと第三者のセキュリティの専門家が定期的なアプリケーション テストや監査を行い、リスクの特定、軽減を図っています。

Dropbox はネットワークとセキュリティの監視技術により、複数の保護レイヤを提供しています。ファイアウォール、ネットワーク セキュリティの監視、侵入検出システムを含む業界標準の保護技術を導入し、承認されたトラフィックのみが Dropbox のインフラに到達できるようにしています。本番環境へのアクセスは承認された IP アドレスのみに制限し、安全な本番環境の確保のために、IP アドレスの審査を年に 4 回実施しています。

変更管理

アプリケーションの変更を本番環境に導入する前にすべて承認するための、正式な変更管理ポリシーが Dropbox のエンジニアリング チームにより定義されています。

セキュリティ要件が満たされていることを確実にするため、すべての変更はバージョン管理システムに保管され、自動化された品質管理テストの手順に従っています。

また、Dropbox のソフトウェア開発ライフサイクル(SDLC)は、セキュア コーディング ガイドラインの遵守、および潜在的なセキュリティ問題に対応するため、品質保証テストや手動のレビュー プロセスによるコード変更のスクリーニングが必須となっています。

Dropbox のセキュリティ チームは、インフラストラクチャ セキュリティの保守、サーバー、ファイアウォール、その他セキュリティ関連の構成を、業界標準に基づき最新の状態に保つ責任を負っています。

Dropbox のセキュリティ アーキテクチャに関する詳細については、Dropbox Business のセキュリティ ホワイトペーパーをご覧ください。