Dropbox のインシデント レスポンス ポリシーと手順

Dropbox では、次のようなインシデント レスポンス ポリシーと手順を定め、サービスの可用性、完全性、セキュリティ、プライバシー保護、機密性の問題に対応しています。当社には、インシデント レスポンス手順の一環として、専門に訓練を受けたチームが存在します。

• インシデントが疑われる警告に迅速に対応する
• インシデントの重大性を判定する
• 必要に応じて軽減措置や抑制措置を講じる
• 社内外の関係者と連絡を取り合う（違反やインシデントに関する通知を行う契約義務を履行し、関連する法律や規制を遵守するために、影響を受ける顧客に通知することも含む）
• 調査のために証拠を収集および保存する
• 事後の分析結果を文書にまとめ、恒久的なトリアージ計画を策定する

インシデント レスポンスのポリシーと手順は、SOC 2+、ISO/IEC 27001、およびその他のセキュリティ評価の一環として監査を受けています。

Dropbox では、以下のような標準的なインシデント対応のライフサイクルに従っています。

1. 発見
2. 通知
3. 対応
4. 評価
5. 是正措置

顧客に影響を与えるインシデントが報告された後、そのインシデントを引き起こしたのが外部のアクターだったか承認済みアクセス権を持つユーザーだったかにかかわらず、その問題を修正するためのアクション計画を生成するべく、影響の評価が実行されます。適用法や契約上の義務によって必要な場合、またはその他の適切な場合において、Dropbox では Dropbox データ処理契約に記載されているとおり、インシデントはお客様に通知されます。

インシデントの一部として特定された問題は、次の 2 つの主要カテゴリに分類されます。

1. アクション アイテム：リスクを軽減し、インシデントを停止するための短期的なアクション
2. セキュリティの問題：セキュリティ リスクへの悪影響を軽減するために、特定のテクノロジーまたはシステムに関連付けられた長期的なプロジェクト

アクション アイテムは、会社全体で適切な役割の人物に割り当てられ、各役割が問題を軽減し、内部の利害関係者とコミュニケーションを取り、支援のためのリソースを確保できるように調整を行います。

アクション計画のすべてのアクティビティが完了すると「解決」に至ります。

インシデントの軽減後、事後分析を実施して問題の根本原因を完全に理解し、アクション アイテムとセキュリティ問題を特定し、問題の再発を防ぐために残りの作業を完了します。インシデントについては一連のレビュー（審査）が行われ、組織のさまざまなレベルからアイデアやインサイトが収集されます。問題が深刻であるほど、インシデントのレビューのレベルが高くなります。長期的なワークストリームがスプリントとロードマップに追加され、学んだ教訓が該当チームに伝達されます。  

この段階的なアプローチにより、Dropbox は適切な時点でもっとも価値の高い作業に集中できるようになるため、将来の問題回避につなげることができます。