Synology NAS のセキュリティを強化するにはどうすればよいですか?

Synology NAS のセキュリティを強化するにはどうすればよいですか?

記事のいくつかは英語から機械翻訳されており、不正確な箇所や文法の間違いを含む場合があります。

目的

この記事では、Synology NAS をより安全にするためのいくつかの方法を紹介します。

解決策

セキュリティ アドバイザーを有効にする

セキュリティ アドバイザーは、Synology NAS をスキャンし、DSM 設定を確認し、セキュリティの弱点に対処する方法をアドバイスする DSM の組み込みアプリです。セキュリティ アドバイザーを設定するには、この記事を参照してください。

DSM ユーザーの権限設定を構成する

  • 悪意のある攻撃を防ぐために、デフォルトのadminアカウントが無効になっていることを確認してください。
  • 共有フォルダやアプリケーションへのユーザー権限を設定し、さまざまなサービスの使用量制限や速度制限を設定することで、Synology NAS へのアクセスを管理します。これをグループレベルまたは個人レベルで行うことができ、グループ/ユーザー作成プロセス中または後でコントロール パネル > ユーザー(DSM 6.2 以前の場合)またはユーザーとグループ(DSM 7.0 以降の場合)で行うことができます。

パスワード強度ルールを設定する

ユーザーが強力なパスワードを設定することで、ハッキングのリスクを減らすことができます。次の場所でパスワード強度ルールを適用するを選択します:

  • DSM 7.0 以上の場合:コントロール パネル > ユーザーとグループ > 詳細設定 > パスワード設定に移動します。
  • DSM 6.2 以前の場合:コントロール パネル > ユーザー > 詳細設定 > パスワード設定に移動します。

パスワード強度ルールの詳細については、この記事を参照してください。

パスワードの有効期限を設定する

一定期間後にユーザーにパスワードを変更させることができます。次の場所でパスワードの有効期限を有効にするを選択します:

  • DSM 7.0 以上の場合:コントロール パネル > ユーザーとグループ > 詳細設定 > パスワードの有効期限に移動します。
  • DSM 6.2 以前の場合:コントロール パネル > ユーザー > 詳細設定 > パスワードの有効期限に移動します。

パスワードの有効期限に関する詳細は、この記事を参照してください。

多要素認証を使用する

多要素認証は、DSM アカウントに追加のセキュリティを提供します。有効にすると、DSM にログインする際にパスワードに加えて2つ目の身元確認が必要になります。多要素認証の詳細については、DSM 7.0およびDSM 6.2のそれぞれのヘルプ記事を参照してください。

  • DSM 7.0 以上の場合:オプション > 個人 > アカウント > 2 要素認証に移動します。
  • DSM 6.2 以前の場合:オプション > 個人 > アカウントに移動し、2 段階認証を有効にするを選択します。

自動ブロックとアカウント保護を有効にする

事前に定義された回数のログイン試行後に IP アドレスをブロックするために、自動ブロックを有効にできます。この機能は、SSH、Telnet、rsync、ネットワークバックアップ、共有フォルダの同期、FTP、WebDAV、Synology モバイルアプリ、File Station、および DSM でのログイン試行に適用されます。次の場所で自動ブロックを設定します:

  • DSM 7.0 以上の場合:コントロール パネル > セキュリティ > 保護に移動します。
  • DSM 6.2 以前の場合:コントロール パネル > セキュリティ > アカウントに移動します。

アカウントがブルートフォース攻撃を受けるリスクを減らすために、アカウント保護を有効にできます。この機能は、DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station、および Synology モバイルアプリをサポートします。コントロール パネル > セキュリティ > アカウントアカウント保護を設定します。

暗号化された接続を使用する

SSL/TLS で接続を暗号化するには、HTTPS を使用して DSM および Synology Chat、Synology Drive、Synology Photos、Surveillance Station などのウェブベースのパッケージにアクセスします。これにより、Synology NAS とのクライアント通信が保護されます。次の方法で HTTPS を有効にできます:

  • DSM ログインのためには、コントロール パネル > ログイン ポータル > DSM に移動し、HTTP 接続を HTTPS に自動的にリダイレクト または HSTS を有効にしてブラウザに安全な接続を強制 のいずれかを選択します(カスタマイズされたドメインを使用している場合はこれを選択)。両方のオプションを同時に有効にしないでください。接続の問題を避けるためです。
  • ポータルまたはリバースプロキシ設定のためには、以下を設定する際に HSTS に関連するチェックボックスを選択します:
  • モバイルアプリおよびユーティリティのログインのためには、Synology モバイルアプリまたはデスクトップユーティリティのログイン画面で HTTPS を選択します。

上記の設定を完了したら、有効な SSL 証明書を追加してください。

さらに、一部のサービスやパッケージも接続の暗号化を提供しているため、Synology NAS をより安全にするために次の方法を試すことができます:

  • FTP はデータ転送を保護するための暗号化を提供しないため、FTPS または SFTP を有効にします。
  • Hyper Backup を介してリモート先にデータをバックアップする際に、転送暗号化 を選択します。
  • 共有フォルダ同期 を使用する際に、SSH 転送暗号化を有効にする を選択します。

ルーターで必要なサービスのために公開ポートのみを開く

Synology NAS はインターネット経由で簡単にアクセスできるように設計されています。リモートアクセスの設定方法については、このチュートリアルを参照してください。Synology NAS のセキュリティを確保するために、ルーターで必要なサービスのために公開ポートのみを開くことを強くお勧めします。

DoS 保護を有効にする

インターネット上の悪意のある攻撃を防ぐために、サービス拒否 (DoS) 保護を有効にすることができます。そのためには、コントロール パネル > セキュリティ > 保護 に移動し、DoS 保護を有効にする を選択して 適用 をクリックします。

有効にすると、Synology NAS は DSM バージョンに応じて異なる応答をします:

  • DSM 7.0 以上の場合:NAS は 1 秒あたり最大 1,000 の ICMP ping パケットに応答します。頻度が 1,000 ping を超えると、NAS は追加の要求に応答を停止します。
  • DSM 6.2 以前の場合:NAS は 1 秒あたり 1 つの ICMP ping パケットにのみ応答します。1 秒あたりに複数の ping が受信された場合、NAS は追加の要求を無視します。

デフォルトの管理ポートを変更する

悪意のあるログイン試行をブロックするためにポートをカスタマイズできます。デフォルトのポートは次のとおりです:

  • HTTP: 5000
  • HTTPS: 5001
  • SSH: 22

次の場所で デフォルトの HTTP/HTTPS ポート を変更できます:

  • DSM 7.0 以上の場合:コントロール パネル > ログイン ポータル > DSM
  • DSM 6.2 以前の場合:コントロール パネル > ネットワーク > DSM 設定

コントロール パネル > ターミナル & SNMP > ターミナルデフォルトの SSH ポート を変更できます。

目的
解決策
セキュリティ アドバイザーを有効にする
DSM ユーザーの権限設定を構成する
パスワード強度ルールを設定する
パスワードの有効期限を設定する
多要素認証を使用する
自動ブロックとアカウント保護を有効にする
暗号化された接続を使用する
ルーターで必要なサービスのために公開ポートのみを開く
DoS 保護を有効にする
デフォルトの管理ポートを変更する
さらに読む