Dropbox では、サービスの可用性、整合性、セキュリティ、プライバシー、機密性の問題に対処するためにインシデント対応ポリシーと手順を設けています。インシデント対応手順の一環として、次の訓練を受けた専任チームが存在します。
- インシデントが疑われる警告に迅速に対応する
- インシデントの重大性を判定する
- 必要に応じて軽減措置や抑制措置を講じる
- 社内外の関係者と連絡を取り合う(違反やインシデントに関する通知を行う契約義務を履行し、関連する法律や規制を遵守するために、影響を受ける顧客に通知することも含む)
- 調査のために証拠を収集および保存する
- 事後分析を文書化し、軽減計画を策定する
インシデント レスポンスのポリシーと手順は、SOC 2+、ISO/IEC 27001、およびその他のセキュリティ評価の一環として監査を受けています。
Dropbox では、以下のような標準的なインシデント対応のライフサイクルに従っています。
- 見極めの質問
- 通知
- 対処法
- 検討内容
- 是正措置
顧客に影響を与えるインシデントが報告された後、そのインシデントを引き起こしたのが外部のユーザーだったか承認済みアクセス権を持つユーザーだったかにかかわらず、その問題を修正するためのアクション計画を生成するべく、影響の評価が実行されます。適用法や契約上の義務によって必要な場合、またはその他の適切な場合において、Dropbox では Dropbox データ処理契約に記載されているとおり、インシデントはお客様に通知されます。
インシデントの一部として特定された問題は、次の 2 つの主要カテゴリに分類されます。
- アクションアイテム:リスクを軽減し、インシデントを阻止するための短期的なアクション
- セキュリティ問題:特定のテクノロジーまたはシステムに関連する長期的なプロジェクトで、セキュリティリスクに対する悪影響を軽減
アクション アイテムは、会社全体で適切な役割の人物に割り当てられ、各役割が問題を軽減し、内部の利害関係者とコミュニケーションを取り、支援のためのリソースを確保できるように調整を行います。
アクション計画のすべてのアクティビティが完了すると「解決」に至ります。
インシデントの軽減に続いて、問題の根本原因を完全に理解し、アクションアイテムとセキュリティ問題を特定し、問題の再発を防ぐために残りの作業を完了するために、事後分析が行われます。インシデントに関する一連の検証が行われ、組織のさまざまなレベルで情報とインサイトが収集されます。問題が深刻なほど、インシデント検証のレベルは高くなります。長期的なワークストリームがスプリントとロードマップに追加され、得られた教訓は該当するチームに伝達されます。
この段階的なアプローチにより、Dropbox は適切な時点でもっとも価値の高い作業に集中できるようになるため、将来の問題回避につなげることができます。
