Synology NAS のセキュリティを強化するにはどうすればよいですか?
Synology NAS のセキュリティを強化するにはどうすればよいですか?
記事のいくつかは英語から機械翻訳されており、不正確な箇所や文法の間違いを含む場合があります。
解決策
セキュリティ アドバイザーを有効にする
セキュリティ アドバイザーは、Synology NAS をスキャンし、DSM 設定を確認し、セキュリティの弱点に対処する方法をアドバイスする DSM の組み込みアプリです。セキュリティ アドバイザーを設定するには、この記事を参照してください。
DSM ユーザーの権限設定を構成する
- 悪意のある攻撃を防ぐために、デフォルトのadminアカウントが無効になっていることを確認してください。
- 共有フォルダやアプリケーションへのユーザー権限を設定し、さまざまなサービスの使用量制限や速度制限を設定することで、Synology NAS へのアクセスを管理します。これをグループレベルまたは個人レベルで行うことができ、グループ/ユーザー作成プロセス中または後でコントロール パネル > ユーザー(DSM 6.2 以前の場合)またはユーザーとグループ(DSM 7.0 以降の場合)で行うことができます。
パスワード強度ルールを設定する
ユーザーが強力なパスワードを設定することで、ハッキングのリスクを減らすことができます。次の場所でパスワード強度ルールを適用するを選択します:
- DSM 7.0 以上の場合:コントロール パネル > ユーザーとグループ > 詳細設定 > パスワード設定に移動します。
- DSM 6.2 以前の場合:コントロール パネル > ユーザー > 詳細設定 > パスワード設定に移動します。
パスワード強度ルールの詳細については、この記事を参照してください。
パスワードの有効期限を設定する
一定期間後にユーザーにパスワードを変更させることができます。次の場所でパスワードの有効期限を有効にするを選択します:
- DSM 7.0 以上の場合:コントロール パネル > ユーザーとグループ > 詳細設定 > パスワードの有効期限に移動します。
- DSM 6.2 以前の場合:コントロール パネル > ユーザー > 詳細設定 > パスワードの有効期限に移動します。
パスワードの有効期限に関する詳細は、この記事を参照してください。
多要素認証を使用する
多要素認証は、DSM アカウントに追加のセキュリティを提供します。有効にすると、DSM にログインする際にパスワードに加えて2つ目の身元確認が必要になります。多要素認証の詳細については、DSM 7.0およびDSM 6.2のそれぞれのヘルプ記事を参照してください。
- DSM 7.0 以上の場合:オプション > 個人 > アカウント > 2 要素認証に移動します。
- DSM 6.2 以前の場合:オプション > 個人 > アカウントに移動し、2 段階認証を有効にするを選択します。
自動ブロックとアカウント保護を有効にする
事前に定義された回数のログイン試行後に IP アドレスをブロックするために、自動ブロックを有効にできます。この機能は、SSH、Telnet、rsync、ネットワークバックアップ、共有フォルダの同期、FTP、WebDAV、Synology モバイルアプリ、File Station、および DSM でのログイン試行に適用されます。次の場所で自動ブロックを設定します:
- DSM 7.0 以上の場合:コントロール パネル > セキュリティ > 保護に移動します。
- DSM 6.2 以前の場合:コントロール パネル > セキュリティ > アカウントに移動します。
アカウントがブルートフォース攻撃を受けるリスクを減らすために、アカウント保護を有効にできます。この機能は、DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station、および Synology モバイルアプリをサポートします。コントロール パネル > セキュリティ > アカウントでアカウント保護を設定します。
暗号化された接続を使用する
SSL/TLS で接続を暗号化するには、HTTPS を使用して DSM および Synology Chat、Synology Drive、Synology Photos、Surveillance Station などのウェブベースのパッケージにアクセスします。これにより、Synology NAS とのクライアント通信が保護されます。次の方法で HTTPS を有効にできます:
- DSM ログインのためには、コントロール パネル > ログイン ポータル > DSM に移動し、HTTP 接続を HTTPS に自動的にリダイレクト または HSTS を有効にしてブラウザに安全な接続を強制 のいずれかを選択します(カスタマイズされたドメインを使用している場合はこれを選択)。両方のオプションを同時に有効にしないでください。接続の問題を避けるためです。
- ポータルまたはリバースプロキシ設定のためには、以下を設定する際に HSTS に関連するチェックボックスを選択します:
- モバイルアプリおよびユーティリティのログインのためには、Synology モバイルアプリまたはデスクトップユーティリティのログイン画面で HTTPS を選択します。
上記の設定を完了したら、有効な SSL 証明書を追加してください。
さらに、一部のサービスやパッケージも接続の暗号化を提供しているため、Synology NAS をより安全にするために次の方法を試すことができます:
- FTP はデータ転送を保護するための暗号化を提供しないため、FTPS または SFTP を有効にします。
- Hyper Backup を介してリモート先にデータをバックアップする際に、転送暗号化 を選択します。
- 共有フォルダ同期 を使用する際に、SSH 転送暗号化を有効にする を選択します。
ルーターで必要なサービスのために公開ポートのみを開く
Synology NAS はインターネット経由で簡単にアクセスできるように設計されています。リモートアクセスの設定方法については、このチュートリアルを参照してください。Synology NAS のセキュリティを確保するために、ルーターで必要なサービスのために公開ポートのみを開くことを強くお勧めします。
DoS 保護を有効にする
インターネット上の悪意のある攻撃を防ぐために、サービス拒否 (DoS) 保護を有効にすることができます。そのためには、コントロール パネル > セキュリティ > 保護 に移動し、DoS 保護を有効にする を選択して 適用 をクリックします。
有効にすると、Synology NAS は DSM バージョンに応じて異なる応答をします:
- DSM 7.0 以上の場合:NAS は 1 秒あたり最大 1,000 の ICMP ping パケットに応答します。頻度が 1,000 ping を超えると、NAS は追加の要求に応答を停止します。
- DSM 6.2 以前の場合:NAS は 1 秒あたり 1 つの ICMP ping パケットにのみ応答します。1 秒あたりに複数の ping が受信された場合、NAS は追加の要求を無視します。
デフォルトの管理ポートを変更する
悪意のあるログイン試行をブロックするためにポートをカスタマイズできます。デフォルトのポートは次のとおりです:
- HTTP: 5000
- HTTPS: 5001
- SSH: 22
次の場所で デフォルトの HTTP/HTTPS ポート を変更できます:
- DSM 7.0 以上の場合:コントロール パネル > ログイン ポータル > DSM。
- DSM 6.2 以前の場合:コントロール パネル > ネットワーク > DSM 設定。
コントロール パネル > ターミナル & SNMP > ターミナル で デフォルトの SSH ポート を変更できます。