データプライバシーの日がちょうど過ぎ、world Backup Dayの角を曲がったところで、Synologyデバイスをオンラ
ここ数年は、サイバーセキュリティの脅威の劇的なエスカレーションを見てきました。 The New York Timesの報告によると、2019年には200,000以上の組織がランサムウェアで攻撃され、前年から41%増加しました。
あなた自身を保護するために、私たちはしばしば見過ごされている重要なデータセキュリティ設定のリストをまとめました。 最後に、データ保護のもう一つの柱であるデータの整合性を確保するのに役立つボーナスヒントが含まれています。
注:以下の設定のほとんどは、管理者権限を持つユーザーアカウントによってのみアクセスおよび変更できます。
ヒント1:最新の状態に保ち、通知を有効にする
機能とパフォーマンスの強化を提供し、製品のセキュリティの脆弱性を解決するために、dsm
セキュリティの脆弱性が発生するたびに、当社の製品セキュリティインシデント対応チーム(PSIRT)は、ゼロデイ攻撃による潜在的な被害を防ぐために、8時間以内に評価と調査を行い、次の15時間以内にパッチをリリースします。
ほとんどのユーザーは、最新のDSM更新プログラムを自動的にインストールするように自動更新を設定することを強くお勧めします。多くのSynologyデバイスには、Virtual Machine Manager内で仮想DSMを実行して、dsmオペレーティングシステムの仮想化バージョンを作成するオプションがあります。 仮想DSMを使用してステージング環境を作成し、その中で本番環境を複製または再現しようとします。 仮想DSMに最新のDSMバージョンをインストールしてアップグレードテストを実行し、メイン環境で更新を続行する前に、現在の展開に必要な主要な機能を確考慮すべきもう一つの重要なことは、それらが発生したときに物事の上にとどまることです。
Synology NASで通知を設定し、特定のイベントやエラーが発生したときに、電子メール、SMS、モバイルデバイス、またはwebブラウザで通知を受け取ります。 SynologyのDDNSサービスを使用している場合は、外部ネットワーク接続が失われたときに通知を受けるように選択できます。 ストレージボリュームの容量不足の通知や、バックアップと復元のタスクが失敗したときにすぐに機能することは、データの長期的なセキュリティを保
また、最新のセキュリティおよび機能の更新に追いつくために、NASおよびセキュリティアドバイザリーニュースレターを受け取るためにSynologyアカウントを設
*自動更新は、マイナーなDSM更新のみをサポートしています。 主要な更新プログラムには手動インストールが必要です。
詳細
ヒント2:Security Advisorを実行する
Security Advisorは、一般的なDSM設定の問題についてNASをスキャンし、Synology NASを安全に保つために次に何をすべきかを提案 たとえば、SSHアクセスを開いたままにしたり、異常なログイン活動が発生したり、DSMシステムファイルが変更されたりするなど、一般的なことを検出で
詳細
ヒント3:セットアップのための基本的なDSMセキュリティ機能
コントロールパネル>>自動ブロックに移動します。 自動ブロックを有効にすると、指定した回数と期間内にサインインに失敗したクライアントのIPアドレスが自動的にブロックされます。 また、管理者は特定のIPアドレスをブラックリストに登録して、ブルートフォース攻撃やサービス拒否攻撃の可能性を防ぐこともできます。
お使いのデバイスが定期的にサービスを提供するユーザーの使用環境とタイプに基づいて試行回数を設定します。 ほとんどの家庭や企業は、ユーザーのために一つの外部IPアドレスを持っているだけであり、IPアドレスは、多くの場合、動的であり、日または週の特定の数の後に変更されることを心に留めておいてください。
詳細
アカウント保護
自動ブロックは、認証試行が多すぎるIPアドレスをブラックリストに登録しますが、アカウント保護は、信頼されてい
コントロールパネルに移動します>>アカウント保護。 アカウント保護を有効にすると、設定された数の失敗したサインインの後に信頼されていないクライアントからアカウ これにより、DSMのセキュリティが向上し、分散攻撃によるブルートフォース攻撃の餌食になるアカウントのリスクが軽減されます。
詳細
HTTPSを有効にする
HTTPSを有効にすると、Synology NASと接続されたクライアント間のネットワークトラフィックを暗号化して保護できます。
コントロールパネルに移動します>>DSM設定。 HTTP接続をHTTPSに自動的にリダイレクトするチェックボックスをオンにします。 これで、HTTPS経由でDSMに接続します。 アドレスバーには、デバイスのURLが「http://」ではなく「https://」で始まることがわかります。 Httpsのデフォルトのポート番号は443ですが、httpはデフォルトでポート80を使用します。 以前に特定のファイアウォールまたはネットワーク設定があった場合は、それらを更新する必要がある場合があります。
詳細情報
詳細:ファイアウォールルールのカスタマイズ
ファイアウォールは、ルールセットに従って外部ソースからのネットワークトラフィッ コントロールパネル>>ファイアウォールに移動して、不正なサインインを防止し、サービスアクセスを制御す たとえば、特定のオフィスからのリモートアクセスを許可したり、特定のサービスやプロトコルへのアクセスのみを許可したりするのに適しています。
詳細
ヒント4:HTTPSパート2–Let’s Encrypt
デジタル証明書は、HTTPSを有効にする上で重要な役割を果たしますが、特にビジネス以外のユーザーにとっては、 DSMには、誰でも簡単に接続を保護できるように、無料で自動化された証明書発行組織であるLet’s Encryptのサポートが組み込まれています。すでに登録済みのドメインがある場合、またはDDNSを使用している場合は、コントロールパネル>>>Let’s Encryptから証明書を取得するには、ほとんどのユーザーにとって、”デフォルトの証明書として設定”* 証明書を取得するには、ドメイン名を入力します。
証明書を取得したら、すべてのトラフィックがHTTPSを通過することを確認します(ヒント#3に記載されています)。
*複数のドメインまたはサブドメインを介してサービスを提供するようにデバイスを設定している場合は、コントロールパネルで各サービスで使用5:デフォルトの管理者アカウントを無効にする
共通の管理者ユーザー名は、synology nasを、共通のユーザー名とパスワードの組み合わせを使用するブルートフォースア NASを設定するときは、「admin」、「administrator」、「root」*などの一般的な名前は避けてください。 Synology NASをセットアップした直後に強力で一意のパスワードを設定し、システムのデフォルトの管理者アカウントを無効にすることをお勧めします**。
現在”admin”ユーザーアカウントを使用してログインしている場合は、コントロールパネル>ユーザーに移動し、新しい管理アカウントを作成します。 次に、新しいアカウントを使用してログインし、システムのデフォルトの”admin”を無効にします。
*”root”はユーザー名として許可されていません。
**”admin”以外のユーザー名を使用して設定した場合、デフォルトのアカウントはすでに無効になります。
詳細
ヒント6:パスワードの強度
強力なパスワードは、不正アクセスからシステムを保護します。 大文字と小文字、数字、特殊文字が混在する複雑なパスワードを、あなただけが覚えておくことができる方法で作成します。
多くのアカウントに共通のパスワードを使用することは、ハッカーへの招待状でもあります。 アカウントが侵害された場合、ハッカーは簡単に他のアカウントの制御を取ることができます。 これは、ウェブサイトや他のサービスプロバイダのために定期的に発生します。 Have I Been PwnedやFirefox Monitorなどの公開監視サービスにサインアップすることをお勧めします。
異なるアカウントの複雑で一意のパスワードを記憶するのに問題がある場合は、パスワードマネージャー(1password、LastPass、Bitwardenなど)が最善の解決策になる可能性があ マスターパスワード––あなただけの一つのパスワードを暗記する必要があり、パスワードマネージャは、あなたが作成し、他のすべてのアカウントのサインイン
認証*を処理するSynology NASを管理する場合、ユーザーパスワードポリシーをカスタマイズして、すべての新しいユーザーアカウントのパスワードセキュリティ要件を コントロールパネル>User>Advancedに移動し、パスワード設定セクションの下にあるパスワード強度ルールの適用チェックボック ポリシーは、新しいアカウントを作成するすべてのユーザーに適用されます。
*同様のオプションは、LDAPサーバーおよびディレクトリサーバーパッケージ内でも使用できます。
詳しくはこちら
ヒント7: 2段階認証
アカウントに追加のセキュリティ層を追加する場合は、2段階認証を有効にすることを強くお勧めします。 DSMアカウントとSynologyアカウントに2段階認証を適用するには、モバイルデバイスと、時間ベースのワンタイムパスワード(TOTP)プロトコルをサポートする認証アプリが必要になります。 サインインには、不正アクセスを防ぐために、ユーザーの資格情報と、Microsoft Authenticator、Authy、またはその他の認証アプリから取得された期間限定の6桁のコードの両方が必Synologyアカウントの場合、authenticatorアプリ*で電話機を紛失した場合は、2段階認証の設定時に提供されたバックアップコードを使用してサインインできます。 これらのコードをどこかにダウンロードしたり、印刷したりすることで、安全に保つことが重要です。 これらのコードを安全しかし入手しやすい保つことを忘れないで下さい。 DSMでは、認証子を失った場合、最後の手段として2段階認証をリセットできます。 Administratorsグループに属するユーザーは、設定をリセットできます。
すべての管理者アカウントにアクセスできなくなった場合は、デバイスの資格情報とネットワーク設定をリセットする必要があります。 NASのハードウェアリセットボタンを約4秒間押し続け(ビープ音が鳴ります)、Synology Assistantを起動してデバイスを再設定します。**
*一部の認証アプリは、サードパーティのアカウントベースのバックアップと復元方法をサポートしています。 セキュリティ要件と利便性および災害復旧オプションを評価します。 **SHA、VMM、暗号化された共有フォルダの自動マウント、複数のセキュリティ設定、ユーザーアカウント、およびポート設定がリセットされます。 ヒント8:デフォルトポートの変更
DSMのデフォルトのHTTP(5000)ポートとHTTPS(5001)ポートをカスタムポートに変更すると、標的型攻撃を防ぐことはできませんが、事前に定義されたサービスのみを攻撃する一般的な脅威を抑止することができます。 デフォルトのポートを変更するには、コントロールパネル>>DSM設定に移動し、ポート番号をカスタマイズします。 定期的にシェルアクセスを使用する場合は、デフォルトのSSH(22)ポートを変更することもお勧めします。
リバースプロキシを展開して、潜在的な攻撃ベクトルを特定のwebサービスのみに減らし、セキュリティを強化することもできます。 リバースプロキシは、(通常は)内部サーバーとリモートクライアント間の通信の仲介者として機能し、実際のIPアドレスなどのサーバーに関する特定の情報を隠
詳細については、
ヒント9: 使用していないときはSSH/telnetを無効にします
シェルアクセスを頻繁に必要とするパワーユーザーの場合は、使用していないときはSSH/telnetをオフにしてくださ Rootアクセスはデフォルトで有効になっており、SSH/telnetは管理者アカウントからのサインインのみをサポートしているため、ハッカーはパスワードをブルートフォース ターミナルサービスを常に利用できるようにする必要がある場合は、セキュリティを強化するために、強力なパスワードを設定し、デフォルトのSSHポート番号(22)を変更することをお勧めします。 Vpnを活用し、SSHアクセスをローカルまたは信頼されたIpのみに制限することも検討できます。ヒント10:共有フォルダの暗号化
DSMは、物理的な脅威からのデータ抽出を防ぐために、共有フォルダのAES-256暗号化をサポートしています。 管理者は、新しく作成された共有フォルダと既存の共有フォルダを暗号化できます。
既存の共有フォルダを暗号化するには、コントロールパネル>共有フォルダに移動し、フォルダを編集します。 暗号化タブの下に暗号化キーを設定すると、DSMはフォルダの暗号化を開始します。 暗号化されたデータは、使用されたパスフレーズまたはキーファイルなしでは回復できないため、生成されたキーファイルを安全な場所に保存することを強くお勧めします。
詳細をご覧ください
ボーナスヒント:データの整合性
データセキュリティは、データの整合性と正確さと密接にリンクされています。 不正アクセスはデータの改ざんやデータの損失につながり、重要なデータを無駄にする可能性があるため、データセキュリティはデータの整合性の前提条件 データの正確性と一貫性を確保するために取ることができる2つの手段があります。
: データチェックサムを有効にし、定期的にS.M.A.R.T.テストを実行します。 これらの2つのセキュリティ方法については、以前のブログ記事で説明しました。
これまで以上に重要
オンラインの脅威は常に進化しており、データセキュリティも同様に多面的である必要があります。 より多くの接続されたデバイスが家庭や職場で導入されるにつれて、サイバー犯罪者がセキュリティホールを悪用してネットワークに侵入することが 安全な滞在は、あなたが一度やってから忘れるものではありません、それは進行中のプロセスです。