- 操作環境:
- OS:Windows11
- Webブラウザー:Edge
- 対象機器:Synology DS416(DSM7.2.2/HDD×3/RAID-5)
セキュリティ設定について
Synology NASのセキュリティ設定については、公式サイトに掲載されています。その中からいくつか試した機能についてご紹介します。
セキュリティアドバイザーの使用
DSMの標準機能であるセキュリティアドバイザーでは、推奨のセキュリティ対策が施されているか判定し、設定方法を示してくれます。
NAS管理者でDSM管理画面にアクセスし、左上のメニューアイコンから[セキュリティアドバイザー]を選択します。
用途を適宜選択し(この例では[自宅と個人])、[起動]を選択します。
初回スキャンが行われ、結果が表示されます。この例では[良好]ということで問題点はありませんでした。
詳細を確認するため、左メニューの[結果]を選択します。
この例では一件警告マークが表示されています。さらに詳細を確認するため、これを選択します。
[推奨する操作]を確認できます。これに従い、この後[コントロールパネル]より設定してみます。
[コントロールパネル]を起動し、左メニューの[通知]を選択し、[ルール]タブを選択し、[default]を選択し、[編集]を選択します。
検索欄に[DSM]と入力して検索し、[新しいDSMアップデートの準備ができています]が表示されたらチェックをつけ、[保存]を選択します。
[セキュリティアドバイザー]の画面に戻り、左メニューの[概要]を選択し、再度[スキャン]を選択します。
スキャンが完了したら、左メニューの[結果]を選択し、初回スキャン時の警告が消えていることを確認します。
左メニューの[詳細]では、セキュリティアドバイザーのスケジュール実行やレポート保存について設定することができます。
定期的に実施し、改善項目がある場合は設定を見直すと良いでしょう。
多要素認証の適用
NASユーザーに対し、多要素認証を強制することができます。
NAS管理者でDSM管理画面にアクセスし、[コントロールパネル]を起動し、左メニューの[セキュリティ]を選択し、[アカウント]タブを選択し、[以下のユーザーに対して2要素認証を強制する]にチェックをつけ、[特定のユーザーまたはグループ]を選択し、その下の[設定]を選択します。
この例では、[ローカルグループ]の[members]グループ(NASの一般ユーザーを包含するグループ)にチェックをつけ、[保存]を選択します。
ここからはユーザーPCのWebブラウザーとスマホを使って、多要素認証の初期設定と動作確認を行います。
まずは多要素認証の強制対象としたユーザー(この例では”System Admin”ユーザー)でNASのWeb画面にアクセスし、[DSMにログイン]からユーザー名とパスワードでサインインを試みます。
この時、以前の記事で紹介した[SSO認証]を選択してサインインすると、多要素認証の設定は促されません。
[管理者からのセキュリティ要求]画面が表示されたら、[起動]を選択します。
この例では、[確認コード(OTP)]を試してみます。
[管理者からのセキュリティ要求]画面が表示されたら、[起動]を選択します。
スマホに認証アプリが未導入の場合はこれを入手します。Google Authenticator等の認証アプリが導入済ならそれを使う形でも構いません。
その後、認証アプリを起動して[次へ]を選択します。
スマホの認証アプリでPC画面に表示されたQRコードをスキャンし、スマホの認証アプリに表示された確認コードをPC画面に入力し、[次へ]を選択します。
[バックアップ用電子メールの設定]画面で[認証メールの送信]を選択します。
図表3-5の右側の画面で指定したメールアドレス宛にメールが届いています。メール本文内の[リンク]を選択し、[認証成功]と表示されれば問題ありません。
スマホの認証アプリが使用できない場合、このメールアドレス宛に緊急コードを送ることで、NASにアクセスできるようになります。
多要素認証の設定画面に戻り、[完了]を選択します。
動作確認のため、一度NASのWeb画面からサインアウトし(右上の人物アイコンから[サインアウト]を選択)、再度Web画面にアクセスします。
パスワード入力後、認証コードの入力を求められるようになります。
認証アプリを起動して表示された認証コードを入力すれば、NASのWeb画面にアクセスできるようになります。
こちらは参考情報です。
スマホの機種変更時や認証方法変更時は、ユーザー本人がNASのWeb画面にアクセスし、古いデバイスの多要素認証の設定をリセットした後、図表3-2から7の手順で新デバイスの設定を行います。リセットまでの手順を紹介します。
人物アイコンから[個人]を選択します。
[セキュリティ]タブを選択し、[2要素認証]を選択します。
NASアクセス時のパスワード入力し、[OK]を選択します。
古いデバイスで設定していた方法を選択し(この例では[確認コード(OTP)])、[デバイスのリセット]を選択します。
その後は前述の[2要素認証でDSMアカウントを保護する]画面に遷移しますので、指示に従い、新しいデバイスで多要素認証を設定します。
SSL証明書導入、HTTPS通信使用
NASのWeb画面へのアクセス時、有効なSSL証明書がない状態でHTTPS通信を行うと、[セキュリティ保護なし]の警告が表示されます。
ここではNASの画面からLet’s EncryptのSSL証明書を取得し、NASを設置しているネットワーク内/外から警告が出ない状態でHTTPS通信を行えるようにする方法を紹介します。
NAS管理者でDSM管理画面にアクセスし、[コントロールパネル]を起動し、左メニューの[外部アクセス]を選択し、[DDNS]タブを選択し、[追加]を選択します。
以下の通り設定し、[テスト接続]を選択します。
- サービスプロバイダー:Synology
- ホスト名:(適宜設定)
- Synologyアカウント:(あれば自動取得される。ない場合はサインアップすること)
- 外部アドレス:(自動取得される。IPv4はNASを設置しているネットワークのグローバルIPも表示される)
- Let’s Encryptから証明書を取得して、デフォルトの証明書として設定する:チェックをつける
[正常]と表示されたら、[OK]を選択します。
サービス影響に関する確認メッセージが表示されますので、[OK]を選択します。
- Let‘s Encrypt証明書を取得できない場合の公式FAQ:
Let's Encrypt証明書を登録または更新できません。どうすればいいですか? - Synology ナレッジセンター
図表4-3の左下の確認メッセージに従い、[コントロールパネル]の左メニューの[セキュリティ]を選択し、[証明書]タブを選択します。
一行目の[xxx.xxx.me]が図表4-3で追加したLet’s Encryptの証明書です。なお、二行目はSynology Drive導入時に設定したQuickConnectの証明書です(こちらの記事で紹介)。
[設定]を選択します。
QuickConnect以外はすべて今回追加した証明書が選択されている筈です。
これまで証明書の設定を触っていなければ、このままで問題ありません。
これまで証明書の設定を触っており、今回追加した証明書に選択が変わっている場合は必要に応じて調整します。
[コントロールパネル]の左メニューの[ログインポータル]を選択し、[DSM]タブを選択し、[HTTP接続をDSMデスクトップ用のHTTPSに自動リダイレクトします。]にチェックがついていない場合はチェックをつけ、[保存]を選択します。
また、この例では変更していませんが、[DSMポート(HTTPS)]をデフォルトの5001から別の番号に変更しておくとより安全です。
この段階では、Webブラウザーから[https://xxx.xxx.me(ホスト名):5001(DSMポート(HTTPS))]にアクセスしても、[セキュリティ保護なし]の警告が出たり、ページに到達できなかったりします。
NASを設置しているネットワーク内のインターネット接続用ルーターにて、図表4-6の[DSMポート(HTTPS)]のポート番号で通信できるようにする必要があります。
画面はバッファローのルーターの例です。ポート番号はDSM(HTTPS)のデフォルト値5001を使用していますが、変更した場合は値を読み替えてください。
Webブラウザーから[https://xxx.xxx.me(ホスト名):5001(DSMポート(HTTPS))]にアクセスすると、[セキュリティ保護なし]の警告が表示されなくなりました。
DDNSにより[xxx.xxx.me]がグローバルIPアドレスに変換され、NASのWeb画面(HTTPS)の通信で使用するポートを開放したため、NASを設置しているネットワーク外(つまりインターネットから)でもこの画面にアクセスできる状態になっています。
【2025/03/07追記】
Let‘s Encrypt証明書の更新について紹介します。DSM管理画面で導入したLet‘s Encrypt証明書は、60日ごとに更新が必要となります。期限が近付くと画面イメージのようなメールが届きます(以前の記事で紹介したDSM管理画面の[コントロールパネル>通知>電子メール]にて予め設定が必要です)。
DSM管理画面の[コントロールパネル>セキュリティ>証明書]にてLet‘s Encrypt証明書を右クリックし、[証明書を更新]を選択します。暫くすると、証明書の期限が延長されます。この画面イメージのようにQuick Connectの設定も行っている場合(以前の記事で紹介)、これも一緒に期限が延長されました。
その他のセキュリティ設定
設定のみですが、最後に二点ご紹介します。
一点目はアカウント保護の有効化です。ログイン試行の回数等に基づきアカウントの保護やクライアントのブロックを行います。
[コントロールパネル]の左メニューの[セキュリティ]を選択し、[アカウント]タブを選択し、画面下部の[アカウント保護を有効化]にチェックをつけ、詳細設定を行います。
二点目はDoS保護の有効化です。指定したネットワーク(一般的にWAN側)に対しDoS攻撃の防御を行います。
[コントロールパネル]の左メニューの[セキュリティ]を選択し、[保護]タブを選択し、対象の[ネットワークインターフェイス]を選択し、[DoS保護を有効にする]にチェックをつけます。
おわりに
Synology NASにはリモートワークに対応しやすい便利な機能が色々と用意されています。それだけでなく、この記事で紹介したようなセキュリティ設定を行うことができ、公式サイトにも情報が沢山掲載されています。利便性とセキュリティのバランスを見ながら試行して、環境に合う運用方法を模索できると良いでしょう。
当ブログ内の関連記事
