NASのセキュリティ設定完全ガイド【不正アクセスを防ぐ7つの対策】

NASをインターネットに公開していたら、翌日にはデータが暗号化されていた——そんな被害が実際に増えています。NASはとても便利な反面、設定を間違えると 世界中から攻撃対象になるリスク があります。

結論から言うと、NASのセキュリティで最優先すべきは「2段階認証の有効化」「デフォルトポートの変更」「自動ブロックの設定」の3つです。 この3つだけで、攻撃の大半を防ぐことができます。

この記事では、Synology DSMを例に、初心者でもすぐ実践できる 7つのセキュリティ設定 を順番に解説します。QNAP QTSでも同様の設定が可能なので、ぜひ参考にしてください。

この記事でわかること

• NASが攻撃されると何が起きるか（リスクの把握）
• 今日からできる7つのセキュリティ設定（手順付き）
• 外出先からNASにアクセスする安全な方法
• やってはいけないNG設定

NASが攻撃されると何が起きる？

NASはネットワーク上のストレージです。インターネットに公開すれば世界中からアクセスできる反面、悪意あるユーザーからも狙われます。主な被害は次の3種類です。

特に2020年以降、SynologyやQNAPのNASを狙ったランサムウェア攻撃（DeadBolt等）が世界規模で発生しています。日本の家庭用NASも例外ではありません。

今日からできる7つのセキュリティ設定

① 2段階認証（2FA）を有効にする【最重要】

パスワードが漏れても、2段階認証があれば不正ログインを防げます。Synology DSMでの設定手順は次の通りです。

1. DSMにログイン → 右上のアカウントアイコン → 「個人設定」
2. 「セキュリティ」タブ → 「2段階認証」→「今すぐ開始」
3. Google AuthenticatorやSynology Secure SignInアプリをスマホにインストール
4. QRコードをスキャンして認証コードを登録

管理者アカウントだけでなく、全ユーザーに2FAを強制する ことを推奨します（コントロールパネル → ユーザーとグループ → 詳細 → 2段階認証を必須にする）。

② デフォルトポートを変更する

SynologyのデフォルトHTTPポートは5000番（HTTPS: 5001番）です。攻撃者はこのポートを自動的にスキャンしています。5000番を使い続けることは、玄関に「鍵はここ」と貼り紙するようなものです。

変更手順： コントロールパネル → ログインポータル → DSM → HTTPポートとHTTPSポートを任意の番号（例：8080, 8443）に変更。

ただし、ポート変更はセキュリティの補助手段です。これだけに頼らず、他の設定と組み合わせましょう。

③ 自動ブロックを設定する

一定回数ログインに失敗したIPアドレスを自動的にブロックする機能です。ブルートフォース攻撃（パスワードの総当たり）に非常に有効です。

設定手順： コントロールパネル → セキュリティ → 保護 → 自動ブロックを有効にする → 「5回の失敗で10分間ブロック」程度が目安。

④ ファイアウォールを有効にする

NASへのアクセスをIPアドレスや国単位で制限できます。「日本からのアクセスのみ許可」に設定するだけで、海外からの攻撃の大半を遮断できます。

設定手順： コントロールパネル → セキュリティ → ファイアウォール → 有効にする → ルール追加で「日本（JP）のみ許可」を設定。

⑤ HTTPSを強制する

HTTP（暗号化なし）でアクセスすると、通信内容が盗聴される恐れがあります。常にHTTPSでアクセスするよう強制しましょう。

設定手順： コントロールパネル → ログインポータル → DSM → 「HTTPSにリダイレクト」を有効にする。

⑥ 管理者アカウント「admin」を無効にする

NASのデフォルト管理者名「admin」は攻撃者に丸見えです。別のユーザー名で管理者アカウントを作成し、「admin」アカウントは無効化しましょう。

手順： コントロールパネル → ユーザーとグループ → 新しい管理者アカウントを作成 → adminアカウントを「無効」に変更。

⑦ DSMを常に最新バージョンに更新する

Synologyは脆弱性が発見されるたびにDSMのアップデートを配信しています。自動更新を有効にするか、少なくとも月1回は更新確認を行いましょう。

設定手順： コントロールパネル → 更新とリストア → DSMの更新 → 「重要な更新を自動インストール」を有効。

外出先から安全にNASにアクセスする方法

外出先からNASにアクセスしたい場合、Synology VPNサーバー（OpenVPN）またはSynology QuickConnect を使うのが最も安全です。

初心者にはQuickConnectを、セキュリティを最優先にするならVPNをおすすめします。ポートを直接開放するのは、上記の7つの設定をすべて完了してからにしてください。

やってはいけないNG設定

• パスワードを「123456」や「admin」のままにする：最初に試される文字列です
• 全ポートをインターネットに開放する：SMBポート（445番）の直接公開は特に危険
• ゲストアクセスをオンにしたまま外部公開する：認証なしで誰でもアクセス可能になります
• DSMの更新を長期間放置する：既知の脆弱性が悪用されます

こんな人に向いているNASセキュリティ強化

• NASをインターネット経由でアクセスしている人
• 写真・仕事のファイルなど重要データを保存している人
• 「設定したけど本当に大丈夫？」と不安な人

まとめ：7つの設定で不正アクセスを大幅に減らせる

特に①②③は今すぐ設定してください。この3つだけで、ほとんどの自動攻撃スクリプトを防ぐことができます。NASは便利なツールですが、セキュリティは後回しにせず初期設定で必ず対応しましょう。

FAQ（よくある質問）

Q1. NASをインターネットに公開しなければ攻撃されない？

基本的には外部からの攻撃は受けにくくなります。ただし、LAN内からのマルウェア感染や誤設定でのルーター穴あけには注意が必要です。

Q2. Synology以外（QNAP・Buffalo）でも同じ設定はできる？

はい。QNAPのQTSやBuffalo NAS Navigatorにも同等のセキュリティ設定があります。名称は異なりますが、2FA・ファイアウォール・自動ブロックの3つは全メーカー対応しています。

Q3. QuickConnectを使うと危険？

Synologyが提供する公式サービスで、通信はSSL暗号化されています。ただし2FAを有効にしていないとパスワード漏洩時のリスクがあるため、必ず2FAと組み合わせてください。

Q4. ランサムウェアに感染したらデータは取り戻せる？

基本的には困難です。感染前にSynology Hyper Backupで外部バックアップを取っていれば復元できます。バックアップは必ず別のデバイス・クラウドに保管してください。

Q5. セキュリティ設定後にNASにアクセスできなくなった場合は？

ファイアウォールの設定ミスが多いです。NASのリセットボタン（ソフトリセット）を押すとネットワーク設定が初期化され、再設定できます。データは消えません。

家庭用NASでも狙われる時代──基本姿勢

NASを「自宅内のクローズドな機器」と思っていると、外部公開やリモートアクセスで穴が開いていることに気づかないまま運用してしまうリスクがあります。法人向けNASだけでなく、家庭用NASに対するブルートフォース攻撃やランサムウェア感染の事例も国内外で報告されています。基本的な対策を一通り押さえておくことで、リスクは大きく下げられます。

SMBプロトコルの世代制御

Windowsとのファイル共有で使われるSMBには、SMBv1〜SMBv3の世代があります。古いSMBv1には既知の脆弱性が複数公開されているため、Microsoftも公式に「SMBv1の利用停止」を推奨しています。SynologyのDSMでは、コントロールパネル＞ファイルサービス＞SMBで「最大／最小プロトコル」を設定可能です。一般的な家庭環境であれば、最小をSMB2、最大をSMB3に設定しておくと安全性と互換性のバランスが取れます。

外部アクセスの選択肢を理解する

一般的に外部アクセスはVPN経由が最も推奨されます。SynologyならVPN Server、QNAPならQVPNなど純正パッケージで構築できます。難しさを感じる方は、まずはメーカー公式の中継サービス（QuickConnectなど）と2段階認証の組み合わせから始めるとよいでしょう。

ファイアウォールと地域ブロック

DSMには標準でファイアウォール機能があり、国別・IP別にアクセスを許可／拒否するルールを作成できます。一般家庭で海外からのアクセスが不要であれば、許可対象を「日本」のみに絞ることで、海外発のブルートフォース試行を大幅に減らせます。VPNや業務利用で海外からの接続が必要な場合は、許可IPを限定するなど慎重に設計してください。

自動ブロック・アカウントロック

ログイン失敗を一定回数繰り返したIPを自動でブロックする機能は、ブルートフォース対策の基本です。DSMでは「セキュリティ＞自動ブロック」、QTSでは「コントロールパネル＞セキュリティ＞IPアクセス保護」で設定できます。一般的には「5分間で5回失敗したらブロック」程度が目安です。

暗号化の選択肢

• 共有フォルダ単位の暗号化：DSMでは作成時に「暗号化する」を選ぶことで、AES-256で暗号化可能
• SSL/TLS（HTTPS）：Web管理画面・各種サービスはHTTPS必須化
• 外部バックアップ時の暗号化：Hyper Backupではクライアント側暗号化に対応
• USB外部HDDの暗号化：BTRFSでの暗号化共有を活用

暗号化キーやパスワードを紛失すると復号できなくなるため、安全な場所に保管することが重要です。1Passwordなどのパスワードマネージャーや、信頼できる管理者の手元で物理的に保管する方法もあります。

ファームウェア更新の運用ルール

NAS本体のファームウェア（DSM、QTS）は、セキュリティ修正を含むアップデートが定期的にリリースされます。SynologyのDSMではメジャー更新は手動、マイナー更新は「重要な更新のみ自動適用」のような選択肢が用意されています。家庭環境であれば「重要な更新は自動」「メジャー更新はリリースノートを確認してから手動」が無難です。

バックアップこそが最後の砦

セキュリティ対策の頂点は「侵入されてもデータを失わない」状態を作ることです。3-2-1ルール（3つのコピー、2種類のメディア、1つはオフサイト）を意識し、Hyper BackupやActive Backupで外部HDD・クラウドへ定期バックアップしましょう。スナップショット機能（BTRFSのSnapshot Replication）を使えば、ランサムウェア被害時にも過去状態へ復元できます。

よくある質問（FAQ）

Q1. 2段階認証はどの方式がおすすめ？

SMSではなく、Google AuthenticatorやAuthyなどのTOTPアプリ、もしくはハードウェアセキュリティキー（FIDO2）を推奨します。SMSはSIMスワッピング攻撃のリスクがあります。

Q2. adminアカウントは無効化すべき？

はい、別の管理者アカウントを作成し「admin」を無効化（または削除）することをメーカーも推奨しています。デフォルトのアカウント名は攻撃のターゲットになりやすいためです。

Q3. UPnPは有効のままで大丈夫？

UPnPはルーターのポート開放を自動化する機能で、利便性が高い反面、意図しないポート開放のリスクがあります。家庭ルーター側でUPnPを無効化し、必要なポートのみ手動で設定する運用が安全です。

Q4. ランサムウェア対策で他に何ができる？

BTRFSのSnapshot Replicationで読み取り専用スナップショットを作成しておくと、ランサムウェアにファイルを暗号化されても、過去のスナップショットから復元できます。スナップショット保存先は別ボリュームや別NASにすると安全性が高まります。

Q5. 一度設定したら見直し不要？

いいえ。最低でも年1〜2回は設定を棚卸しし、不要なアカウント・パッケージ・公開ポートを削除しましょう。Security Advisor（DSM標準ツール）を定期実行するのも有効です。

まとめ：多層防御で家族のデータを守る

NASのセキュリティは「これさえやれば安全」という単一の対策はありません。強固なパスワード、2段階認証、外部公開の制限、暗号化、定期更新、バックアップという多層防御の組み合わせが、家庭用NASでも最も現実的で効果的です。今日からできる範囲で取り組み、年に1〜2度は設定全体を見直しましょう。最新情報は各メーカー公式サイトで確認することをおすすめします。

yamakashi（クラウドじゃない人）

絶対保存領域の継承者

自宅やオフィスでのNAS活用をもっと身近に、わかりやすく伝えることを目指して「ありがとNAS」を運営しています。IT企業でサーバー・ストレージの導入や運用を経験し、現在は趣味と実務を活かして記事を執筆。初心者でも安心してNASを使いこなせるよう、最新機種レビューからトラブル解決まで実際に検証した情報を発信しています。