はじめに
NASに保存されているデータを外部からの不正アクセスや攻撃から守るには、NAS本体のセキュリティを強化する必要があります。Synology NASには、強力なセキュリティ機能が備わっています。今回は、現状構築中での「ログインアカウント」と「2要素認証(2FA)」設定を紹介します。
「ログインアカウント」と「2要素認証(2FA)」
DSMに管理者用のアカウントでログインして、新しい管理者アカウントを作成します。必要に応じ、ユーザーアカウントを作成し、「2要素認証(2FA)」を設定します。新しい管理者アカウントが作成できたら、ログアウトして、新しい管理者アカウントでログインします。問題がなければ、デフォルトの「admin」アカウントを無効化します。
2要素認証(2FA)を有効にします。
- 1.DSMに「admin」アカウントでログインします。
- 2.「コントロールパネル」の「セキュリティ」から、「アカウント」タブを選択します。
- 3.「2要素認証」を展開します。
※ すべてのユーザーに「2要素認証」を強制にしました。運用に合わせて設定してください。
☑ 以下のユーザーに対して「2要素認証」を強制する
〇 管理者グループユーザー
● すべてのユーザー
〇 特定のユーザーまたはグループ
「適用」ボタンクリックで完了です。
新しい管理者アカウントを作成してます。
- 1.「コントロールパネル」の「ユーザーとグループ」から、作成ボタンをクリックします。
- 2. 「ユーザー作成ウィザード-「ユーザー情報を入力」画面が開きます。
新しい管理者アカウントを作成します。(*)は、入力必須です。
・名前*: 「作成したい管理者アカウント名を入力します」
・説明 : 「アカウントの説明を入力します」 ※ 任意入力
・電子メール*:「作成するアカウントの電子メールアドレスを入力します」
・パスワード*:「パスワードを入力します」※ 右側のボタンでランダムパスワードも作成できます。
・パスワードの確認*:「パスワードを入力します」
☑ 新規ユーザーに通知メールを送る
● パスワードリセットのリンクを含んでいます
リンクの有効期限 : : 24 時間 ※ 1~24時間が選択できます。
〇 ユーザーのパスワードを含める
〇 リセットリンク及びパスワードの両方を除外する
□ アカウントパスワードの変更をユーザーに許可しない
「次へ」ボタンをクリックします。 - 3.「グループの結合」画面が開きます。
※ 管理者アカウントは、「administrators」「users」に☑します。
・administrators System default admin group ☑
・http System default group for Web services □
・users System default group ☑
「次へ」ボタンをクリックします。 - 4.「共有フォルダの権限を割り当てる」画面が開きます。
・homes 読み取り/書き込み 読み取り/書き込み □ □ □
※ 「administrators System default admin group」のデフォルト権限が付加されます。
「次へ」ボタンをクリックします。 - 5.「ユーザークォータの割当」画面が開きます。
・「〇〇〇が管理者グループに属するため、クォータは無制限です。」
「次へ」ボタンをクリックします。 - 6.「アプリケーション権限の割り当て」画面が開きます。
・特に設定は不要です。
※「administrators System default admin group」のデフォルト権限が付加されます。
「次へ」ボタンをクリックします。 - 7.「ユーザーの速度制限の設定」画面が開きます。
・速度制限は不要で良いです。
今後の運用で不都合があれば調整するのが良いと考えます。
「次へ」ボタンをクリックします。 - 8.「設定の確認」画面が開きます。
・1~7で設定した内容の確認です。訂正する場合は、「戻る」ボタンで修正ができます。
「完了」ボタンをクリックします。 - 9.「電子メール」にメールが届いている事を確認してください。
・リンク画面から「ログイン」できることを確認します。 - 新しい管理者アカウントの作成は完了です。
2要素認証(2FA)を設定します。
- 1.DSMに「新しい管理者」アカウントでログインします。
- 2.ログインすると「管理者からのセキュリティ要求」画面が開きます。
「起動」ボタンをクリックします。 - 3.「2番目のサイン手順の方法を選択する」画面が開きます。
① サインインの承認
② 確認コード(OTP)
③ ハードウエアセキュリティキー
①~③いづれかを選択します。
今回は②を選択しました。
※ ① はインターネット側からのアクセスは、HGWやNASのファイアウォールで遮断しています。
DDNSで取得したホスト名で、インターネットからNASにはアクセスできませんので利用はできません。
「次へ」ボタンをクリックします。 - 「2要素認証でDSMアカウントを保護する」画面が開きます。
「次へ」ボタンをクリックします。 - 「認証アプリのインストール」画面が開きます。
「Secure SignIn」アプリをインストールします。
※ 既にインストールしてる場合は不要です。
「次へ」ボタンをクリックします。 - 「確認コード(OTP)を受信するSecure SignInをセットアップ」画面が開きます。
1.QRコードをスキャン
Sevure SignInアプリのカメラを使用してQRコードをスキャンします。
アプリの右上の「+」をクリックします。
2.確認コード(OTP)を入力します。
Sevure SignInアプリの6桁の確認コードを入力します。
「次へ」ボタンをクリックします。 - 「バックアップ用電子メールの設定」画面が開きます。
・「バックアップ電子メール: 設定したメールアドレスが表示されます。
・「確認メールの送信」ボタンをクリックします。
・電子メールが届きますので、リンクをクリックします。
・Synologyサイトの認証成功画面が開きます。 - 「完了」です。
ログイン時に確認コード(OTP)が必要になります。
あとがき
現状の環境では、② 「確認コード(OTP)」がベストと判断して使用してます。
① はインターネット側からのアクセスは、HGWやNASのファイアウォールで遮断しているため、DDNSで取得したホスト名に、インターネットからNASにはアクセスできませんので利用はできません。
普段の自宅でのPCでの運用は信頼できるデバイスに設定しているので、毎回、「確認コード(OTP)」は不要です。
③ については、検証していません。
