NASのHDD交換手順【Synology DS223J対応】
yamakashi
ありがとNAS
NASのセキュリティ設定完全ガイド【不正アクセスを防ぐ7つの対策】
yamakashi
NASをインターネットに公開していたら、翌日にはデータが暗号化されていた——そんな被害が実際に増えています。NASはとても便利な反面、設定を間違えると 世界中から攻撃対象になるリスク があります。
結論から言うと、NASのセキュリティで最優先すべきは「2段階認証の有効化」「デフォルトポートの変更」「自動ブロックの設定」の3つです。 この3つだけで、攻撃の大半を防ぐことができます。
この記事では、Synology DSMを例に、初心者でもすぐ実践できる 7つのセキュリティ設定 を順番に解説します。QNAP QTSでも同様の設定が可能なので、ぜひ参考にしてください。
この記事でわかること
- NASが攻撃されると何が起きるか(リスクの把握)
- 今日からできる7つのセキュリティ設定(手順付き)
- 外出先からNASにアクセスする安全な方法
- やってはいけないNG設定
NASが攻撃されると何が起きる?
NASはネットワーク上のストレージです。インターネットに公開すれば世界中からアクセスできる反面、悪意あるユーザーからも狙われます。主な被害は次の3種類です。
| 被害の種類 | 具体的な内容 | 被害の深刻度 |
|---|---|---|
| ランサムウェア | データが暗号化され、復号と引き換えに金銭を要求される | ★★★(最高) |
| 不正アクセス | 個人ファイル・写真・文書が流出する | ★★★ |
| 踏み台攻撃 | 自分のNASが第三者への攻撃に利用される | ★★☆ |
特に2020年以降、SynologyやQNAPのNASを狙ったランサムウェア攻撃(DeadBolt等)が世界規模で発生しています。日本の家庭用NASも例外ではありません。
今日からできる7つのセキュリティ設定
① 2段階認証(2FA)を有効にする【最重要】
パスワードが漏れても、2段階認証があれば不正ログインを防げます。Synology DSMでの設定手順は次の通りです。
- DSMにログイン → 右上のアカウントアイコン → 「個人設定」
- 「セキュリティ」タブ → 「2段階認証」→「今すぐ開始」
- Google AuthenticatorやSynology Secure SignInアプリをスマホにインストール
- QRコードをスキャンして認証コードを登録
管理者アカウントだけでなく、全ユーザーに2FAを強制する ことを推奨します(コントロールパネル → ユーザーとグループ → 詳細 → 2段階認証を必須にする)。
② デフォルトポートを変更する
SynologyのデフォルトHTTPポートは5000番(HTTPS: 5001番)です。攻撃者はこのポートを自動的にスキャンしています。5000番を使い続けることは、玄関に「鍵はここ」と貼り紙するようなものです。
変更手順: コントロールパネル → ログインポータル → DSM → HTTPポートとHTTPSポートを任意の番号(例:8080, 8443)に変更。
ただし、ポート変更はセキュリティの補助手段です。これだけに頼らず、他の設定と組み合わせましょう。
③ 自動ブロックを設定する
一定回数ログインに失敗したIPアドレスを自動的にブロックする機能です。ブルートフォース攻撃(パスワードの総当たり)に非常に有効です。
設定手順: コントロールパネル → セキュリティ → 保護 → 自動ブロックを有効にする → 「5回の失敗で10分間ブロック」程度が目安。
④ ファイアウォールを有効にする
NASへのアクセスをIPアドレスや国単位で制限できます。「日本からのアクセスのみ許可」に設定するだけで、海外からの攻撃の大半を遮断できます。
設定手順: コントロールパネル → セキュリティ → ファイアウォール → 有効にする → ルール追加で「日本(JP)のみ許可」を設定。
⑤ HTTPSを強制する
HTTP(暗号化なし)でアクセスすると、通信内容が盗聴される恐れがあります。常にHTTPSでアクセスするよう強制しましょう。
設定手順: コントロールパネル → ログインポータル → DSM → 「HTTPSにリダイレクト」を有効にする。
⑥ 管理者アカウント「admin」を無効にする
NASのデフォルト管理者名「admin」は攻撃者に丸見えです。別のユーザー名で管理者アカウントを作成し、「admin」アカウントは無効化しましょう。
手順: コントロールパネル → ユーザーとグループ → 新しい管理者アカウントを作成 → adminアカウントを「無効」に変更。
⑦ DSMを常に最新バージョンに更新する
Synologyは脆弱性が発見されるたびにDSMのアップデートを配信しています。自動更新を有効にするか、少なくとも月1回は更新確認を行いましょう。
設定手順: コントロールパネル → 更新とリストア → DSMの更新 → 「重要な更新を自動インストール」を有効。
外出先から安全にNASにアクセスする方法
外出先からNASにアクセスしたい場合、Synology VPNサーバー(OpenVPN)またはSynology QuickConnect を使うのが最も安全です。
| 方法 | 安全性 | 設定の手軽さ | 速度 |
|---|---|---|---|
| QuickConnect(Synology中継) | ○ | ◎(簡単) | △(中継のため遅め) |
| VPN(OpenVPN) | ◎(最高) | △(やや複雑) | ○ |
| ポート開放(直接公開) | △(リスクあり) | ○ | ◎ |
初心者にはQuickConnectを、セキュリティを最優先にするならVPNをおすすめします。ポートを直接開放するのは、上記の7つの設定をすべて完了してからにしてください。
やってはいけないNG設定
- パスワードを「123456」や「admin」のままにする:最初に試される文字列です
- 全ポートをインターネットに開放する:SMBポート(445番)の直接公開は特に危険
- ゲストアクセスをオンにしたまま外部公開する:認証なしで誰でもアクセス可能になります
- DSMの更新を長期間放置する:既知の脆弱性が悪用されます
こんな人に向いているNASセキュリティ強化
- NASをインターネット経由でアクセスしている人
- 写真・仕事のファイルなど重要データを保存している人
- 「設定したけど本当に大丈夫?」と不安な人
まとめ:7つの設定で不正アクセスを大幅に減らせる
| 設定 | 優先度 | 所要時間 |
|---|---|---|
| ① 2段階認証の有効化 | ★★★ | 5分 |
| ② デフォルトポートの変更 | ★★★ | 3分 |
| ③ 自動ブロックの設定 | ★★★ | 3分 |
| ④ ファイアウォールの有効化 | ★★☆ | 10分 |
| ⑤ HTTPSの強制 | ★★☆ | 2分 |
| ⑥ adminアカウントの無効化 | ★★☆ | 5分 |
| ⑦ DSMの自動更新設定 | ★★☆ | 2分 |
特に①②③は今すぐ設定してください。この3つだけで、ほとんどの自動攻撃スクリプトを防ぐことができます。NASは便利なツールですが、セキュリティは後回しにせず初期設定で必ず対応しましょう。
FAQ(よくある質問)
Q1. NASをインターネットに公開しなければ攻撃されない?
基本的には外部からの攻撃は受けにくくなります。ただし、LAN内からのマルウェア感染や誤設定でのルーター穴あけには注意が必要です。
Q2. Synology以外(QNAP・Buffalo)でも同じ設定はできる?
はい。QNAPのQTSやBuffalo NAS Navigatorにも同等のセキュリティ設定があります。名称は異なりますが、2FA・ファイアウォール・自動ブロックの3つは全メーカー対応しています。
Q3. QuickConnectを使うと危険?
Synologyが提供する公式サービスで、通信はSSL暗号化されています。ただし2FAを有効にしていないとパスワード漏洩時のリスクがあるため、必ず2FAと組み合わせてください。
Q4. ランサムウェアに感染したらデータは取り戻せる?
基本的には困難です。感染前にSynology Hyper Backupで外部バックアップを取っていれば復元できます。バックアップは必ず別のデバイス・クラウドに保管してください。
Q5. セキュリティ設定後にNASにアクセスできなくなった場合は?
ファイアウォールの設定ミスが多いです。NASのリセットボタン(ソフトリセット)を押すとネットワーク設定が初期化され、再設定できます。データは消えません。
ABOUT ME
自宅やオフィスでのNAS活用をもっと身近に、わかりやすく伝えることを目指して「ありがとNAS」を運営しています。IT企業でサーバー・ストレージの導入や運用を経験し、現在は趣味と実務を活かして記事を執筆。初心者でも安心してNASを使いこなせるよう、最新機種レビューからトラブル解決まで実際に検証した情報を発信しています。
