Synology NAS にセキュリティを追加す

概要

Synology NAS を Internet に接続すると、DiskStation がハッカーやウイルスの脅威に晒され、許可されないユーザーが重要なデータに不正にアクセスしようと試みます。ここでは、セキュリティ面でのリスクを軽減し、ハッカーから Synology NAS を保護するために、最高の方法で Synology NAS を構成する手順を説明します。

目次

  1. はじめる前に
  2. 新しいアカウントをシステム管理者として作成し、システムの既定の管理者アカウントを無効にする
  3. パスワード強度の規則を設定する
  4. 自動ブロックで疑わしい IP アドレスを制限する
  5. 2段階認証でアカウントを保護する
  6. HTTPS 接続を有効にする
  7. FTP サービスを安全に保護する
  8. ルーターで必要なサービスのパブリックポートだけを開く
  9. パブリック コンピュータで Synology NAS にアクセスするときには、ブラウザの匿名モードを有効にするか、ゲストのブラウズ機能を使う

1. はじめる前に

ここでは、次のことがすでに行われていることを前提としています:

  • Synology NAS でハードウェアが設定されていること.
  • Synology NAS に DiskStation Manager(DSM)がインストールされ、設定されていること。

トップに戻る

2. 新しいシステム管理者を作成し、システムの既定の管理者アカウントを無効にする

デフォルトにより、Synology NAS の管理者のアカウントは admin であり、パスワードは空白になっています。このデフォルト設定では、あなたの Synology NAS に不正アクセスしようとする悪意あるユーザーはこのアカウントのログイン情報を簡単に予想できてしまします。

したがって、Synology NAS を安全に保護するには、システム管理者として新しい管理者アカウントを作成し、デフォルトの admin アカウントを無効にしておく必要があります。ここでは、その手順について説明します。

システム管理者としての新しいアカウントを作成する:

  1. administrators グループに属するアカウントで DSM にログインします。
  2. [メインメニュー] > [コントロール パネル] > [ユーザー] の順に選択します。
  3. [作成] をクリックし、ドロップダウン メニューから [ユーザーの作成] を選択します。
  4. 選択したユーザー名とパスワードを入力し、[次へ] をクリックします。
  5. [追加] チェックボックスにチェックマークを付けて、新しく作成したユーザーを administrators グループに追加した後、[次へ] をクリックします。
  6. [読み取り専用][読み込み/書き込み][アクセスなし] チェックボックスにチェックマークを付けて、新しく作成した管理者アカウントに共有フォルダの権限を指定した後、[次へ] をクリックします。
  7. 必要であれば、使用量を割り当ててください。[次へ] をクリックします。
  8. [承諾] チェックボックスにチェックマークを付けて、アプリケーションに新しく作成した管理者のアクセス権を与えた後、[次へ] をクリックします。
  9. [次へ] をクリックします。
  10. [適用] をクリックして、新しく作成した管理者アカウントの設定を確定します。
  11. DSM からログアウトするには、[オプション] メニューで [ログアウト] をクリックします。

これで、悪意あるユーザーが不正にアクセスできないようにデフォルトの admin アカウントが無効になりました。

  1. 新しく作成した管理者アカウントで DSM にログインします。
  2. [メインメニュー] > [コントロール パネル] > [ユーザー] の順に選択します。
  3. admin アカウントを選択して、[編集] をクリックします。
  4. [このアカウントを無効にする] をクリックした後、[OK] をクリックします。

トップに戻る

3. パスワード強度の規則を設定する

ハッカーにユーザー アカウントを盗まれるリスクを避けるために、いくつかのタイプのパスワード規則を有効にすることができます。

注:パスワードの制限は新しいパスワードにのみ適用されます。つまり、新しいユーザーを作成したときや、ユーザーがパスワードを変更したときにのみ適用されます。インポートしたユーザーアカウントのパスワードは制限の対象外となります。

パスワード強度の規則を設定する

  1. [メインメニュー] > [コントロール パネル] > [ユーザー] の順に選択します。
  2. [ユーザー] ページで [詳細設定] をクリックします。
  3. [パスワード長の規則を適用する] チェックボックスにチェックマークを付けて、次の規則を有効にします。
    • ユーザー名および説明はパスワードに使用しない:パスワードにユーザーの名前、あるいはユーザーの説明を使用するべきではありません。ただし UTF-8 暗号化文字は例外です。
    • 大文字と小文字を区別する:パスワードでは大文字と小文字を混ぜて使用することができます。
    • 数字を含む:パスワードには最低 1 個の数字 (0~9) を混ぜて使用します。
    • 特殊文字を含む:パスワードには最低 1 個の ASCII 特殊文字(例:~、`、!、@、#、$、%、^、&、*、(、)、-、_、=、+、[、{、]、}、\、|、;、:、'、"、<、>、/、?)を使用します。
    • 最小パスワード長:パスワードはこの長さよりも長くなければなりません。6 文字から 127 文字までの範囲で設定できます。

トップに戻る

4. 自動ブロックで疑わしい IP アドレスを制限する

予め指定されたログイン試行回数を超えて失敗した場合は、その IP アドレスをブロックすることで、Synology NAS への不正なアクセスに対するセキュリティを強化することができます。SSH、Telnet、rsync、ネットワークバックアップ、共有フォルダの同期、FTP、WebDAV、Synology モバイルアプリ、File Station、DSM でログインに失敗した回数は、すべて追加的に加算されます。

IP 自動ブロックを有効にする:

  1. [メイン メニュー] > [コントロール パネル] > [セキュリティ] > [自動ブロック] の順に選択します。
  2. [自動ブロックを有効にする] を選択します。
  3. ログイン回数および有効時間(分)の数を入力して、あらかじめ指定した時間(分)以内に指定した回数ログインに失敗したIPアドレスをブロックします。
  4. [ブロック有効期限を有効にする] を選択してから、日数を入力して、指定した日数を過ぎたブロックされたIPアドレスを削除します。
  5. [適用] をクリックします。
  6. [ブロックリスト] をクリックして、ブロックした IP アドレスを管理、削除することができます。

トップに戻る

5. 2段階認証でアカウントを保護する

2 ステップ認証は、DSM アカウントの安全性をさらに高める機能です。2 段階認証を有効にすると、DSM にログインする際、パスワード入力に加え、1 回だけ有効な認証コードを入力する必要があります。認証コードは、モバイル デバイスにインストールされた認証アプリから取得できます。つまり、誰かがお客様のアカウントにアクセスしようと思ったら、お客様のユーザー名とパスワードの他にお客様のモバイル デバイスも必要となるということです。

条件:2 ステップ認証には、モバイル デバイスと TOTP (Time-based One-Time Password) プロトコルに対応する認証アプリが必要です。認証システム アプリには、Google Authenticator (Android/iPhone/BlackBerry) または Authenticator (Windows Phone) があります。

2 ステップ認証を有効にするには

  1. [オプション] メニューで [オプション] をクリックします。
  2. [2 段階認証を有効にする] チェックボックスにチェックマークを付けて、2 段階セットアップ ウィザードを実行します。[次へ] をクリックします。
  3. Eメール アドレスを入力します。モバイル デバイスを紛失した場合、このアドレスに緊急認証コードが送信されます。[次へ] をクリックします。
  4. Google Authenticator (Android/iPhone/BlackBerry) や Authenticator (Windows Phone) などの、認証システム アプリをダウンロードして、インストールしてください。
  5. 認証アプリを開き、QR コードをスキャンします。
  6. または、リンクをクリックして Secret Key を手動で入力してください。[OK] をクリックしてウィンドウを閉じます。
  7. 次に、お客様の認証システム アプリが 6 桁の認証コードを生成します。このコードをウィザードのテキスト欄に入力して、正しく設定されていることを確認してください。エラーが発生した場合は、モバイル デバイスのシステム時間と DSM のシステム時間が同じであるかを確認してください。認証コードは定期的に更新されますので、入力したコードが有効であるかどうかも確認してください。[次へ] をクリックします。
  8. [閉じる] をクリックしてセットアップを終了します。
  9. 設定ウィザードが完了したら、[OK] をクリックして設定を保存します。

2 ステップ認証をして DSM にログインするには

2 ステップ認証が有効な場合、DSM にログインする際、6 桁の認証コードを入力するよう求められます。

  1. DSM ログイン画面でユーザー名とパスワードを入力します。
  2. 認証コードの入力を求められたら、モバイル デバイスで認証システム アプリを開きます。
  3. 6 桁の認証コードを入力してください。モバイル デバイスを紛失したときは、[電話を紛失した場合] リンクをクリックすると、お客様の電子メール アドレスに緊急コードが送信されます。
SMTP 設定:電子メールで緊急コードを受け取るには、SMTP サーバーの設定([コントロール パネル] > [通知] を選択すると表示されます)を正しく設定する必要があります。
  • 緊急コードの制限:緊急コードは1 人に 5 個までしか発行されません。5 回以上緊急コードが必要な場合は、2 ステップ認証を一度無効にした後、再度有効にしなければ、それ以上緊急コードを受け取ることはできません。
  • トップに戻る

    6. HTTPS 接続を有効にする

    HTTPS は、HTTP 標準を使用して Synology NAS と相互作用するための安全な方法です。HTTPS 接続が有効である場合は、DSM、Web Station、Photo Station、File Station、Audio Station、および Surveillance Station への接続は、SSL/TLS 暗号メカニズムを使用して暗号化されます。このようにして、Synology NAS との接続が安全に維持されます。この ハウ・トゥ では、その手順について説明します。

    7. FTP サービスを安全に保護する

    FTP サービスを有効にすると、Synology NAS 製品はデフォルトでセキュア FTP をサポートします。詳しくは、ここをお読みください。

    8. ルーターで必要なサービスのパブリックポートだけを開く

    Synology NAS は、インターネットから簡単にアクセスできるように設計されています。EZ-Internet 機能は、Synology NAS をリモートでインターネット アクセスできるようにする手順をガイドします。ルーターが EZ-Internet でサポートされていない場合は、Synology NAS が EZ-Internet ウィザードなしでルーターの設定を行えるようにします。この ハウ・トゥ では、その手順について説明します。

    Synology NAS のセキュリティを保護するには、ルーターで必要なサービスのパブリックポートだけを開くよう強くお薦めします。

    9. パブリック コンピュータで Synology NAS にアクセスするときには、ブラウザの匿名モードを有効にするか、ゲストのブラウズ機能を使う

    匿名モードで参照すると、ブラウザ履歴や検索履歴にはあなたが見ているページはリストされません。また開いているすべての匿名画面を閉じても、コンピュータ上に cookies などの足跡も残されません。したがって、パブリック コンピュータで Synology NAS にアクセスする場合は、ブラウザの匿名モードを有効にされるようお勧めします。以下のウェブサイトは、最も一般的なブラウザで匿名モードを有効にする方法を説明したものです。

    トップに戻る