QNAP NASセキュリティガイド
本ガイドは、QNAP NASのセキュリティ設定と保護メカニズムに関する詳細な洞察を提供します。ネットワーク防御を強化してデータを保護するのに役立ちます。
安全なネットワーク構成および設定
1. NASへの正しい接続
NASのネットワークポートは、インターネットに直接接続してはいけません。NASをまずルーターに接続してから、インターネットサービスプロバイダ (ISP)から提供されるモデムに接続してください。正しく接続することで、ルーターはインターネットからの悪意あるトラフィックをブロックし、サイバー攻撃のリスクを低減させます。
正しい接続 - NASからまずルーターに接続
誤った接続 - NASから直接モデムに接続
2. ルーターを正しく設定
ルーターにログインするか、ご利用のISPにお問い合わせして、下記の設定を確認、および無効化してください。
-
UPnPを無効化
-
DMZを無効化
(非武装地帯)
-
ポートフォワーディングを無効化
3. 自動更新の有効化
QNAPはファームウェアおよびソフトウェアのセキュリティアップデートを頻繁に行います。自動アップデートを有効にすることで、最新の機能、バグ修正、脆弱性パッチが得られます。
内側から外側へ:多層的なセキュリティ
QNAPは包括的な NAS 接続保護とディザスタリカバリプランをシステムセキュリティ評価および内部ネットワーク脅威分析と組み合わせて提供し、多層的なサイバーセキュリティ管理システムを構築します。
システムのアカウントセキュリティを強化
1. デフォルトの管理者アカウント「admin」を無効化
ブルートフォース攻撃でパスワード解読を行うハッカーは、一般に「admin」(デフォルトの管理者アカウント)を標的にします。「admin」を無効にして、新たな管理者アカウントを作成するよう、強くお勧めいたします。
QTS 5.0.1 / QuTS hero h5.0.1 (またはそれ以降のバージョン)内蔵のモデルでは、「admin」はデフォルトで無効にされています。
2. アクセス保護の有効化(IP/アカウント)
「IPアクセス保護」および「アカウントアクセス保護」は、ブルートフォース攻撃によるパスワード解読を防ぐサポートを行います。特定のIPまたはアカウントへのログイン回数が多すぎる場合、IPブロッキングまたはアカウント無効化が行われ、攻撃者によってパスワードが何度も試行されることを防止します。
4. Telnet / SSHの無効化
TelnetおよびSSHは、使用する必要のない限り、無効化するよう強くお勧めいたします。これら二つの機能は、QNAPカスタマーサービスまたはシステム保守を行うITスタッフによって使用されます。これらは一般ユーザーには必要ないので、無効化するようお勧めいたします。
スナップショットのスケジューリング有効化
スナップショットは、複数バージョンの復元ポイントを作成することで、重要なデータを保護します。ランサムウェアに攻撃された場合、スナップショットからデータを復元できます。適切なデータセキュリティおよびストレージ可用性を実現するため、定期的なスナップショットを設定し、スナップショット削除ポリシーを設定することを強くお勧めいたします。
詳細情報:スナップショットとは?, Snapshot Replica – スナップショットをバックアップ, リアルタイムSnapSync (*QuTS heroでのみ利用可能 )
メニューから「ストレージ&スナップショット」を開き、「ボリューム」をクリックして、「スナップショットマネージャー」を開きます。
「スナップショットのスケジュールを設定する」をクリックします。スナップショットのスケジュールは「毎日」または「毎週」が推奨されます。
スナップショット保持ポリシーを設定して、スナップショットの数量を制限し、スナップショットがあまり大きなスペースを占めないようにすることができます。「スマートバージョニング」を設定するよう推奨されます。
「ストレージ空間」が「ストレージプール」構成で、「ストレージプール」がスナップショットを作成するのに十分なスペースがあることをご確認ください。QNAPは、スマートスナップショットスペース管理を有効にして、スナップショットに対してシンボリュームを使用することで、NASが正しく機能するために十分なストレージ空間を確保するようお勧めいたします。
セキュリティ センター - QNAP NAS のためのあなたの セキュリティ ポータル
セキュリティ センターは、 NAS の状態、異常なファイルアクティビティ、セキュリティ脅威の可能性を積極的に分析・監視し、システムと データ を保護するための迅速な保護対策を提供します。また、QNAP NAS の完全な保護を確保するために、アンチウイルスおよびアンチマルウェアソフトウェアを統合しています。
「Security Center」を開き、ニーズに合ったセキュリティポリシーレベルを選択し、「今すぐスキャン」をクリックします。
スキャン結果にセキュリティリスクが表示された場合は、「推奨設定アシスタント」をクリックして設定を調整できます。
「スキャンスケジュール」は少なくとも月に一度に設定することをお勧めします。これにより、システムは定期的に設定とシステムの状態をチェックできます。リスクが検出され、通知センターが正しく設定されている場合は、迅速に対処できるように通知が届きます。
「異常なファイルアクティビティの監視」により、特定の期間中に NAS 上で異常なファイルや変更されたファイルの平均数を簡単に追跡できます。
QuFirewall:QNAPアプライアンスに内蔵されたファイアウォール
QuFirewallは、Tor(匿名通信接続ツール)から送信されたと思われるパケットをブロックし、ご使用のNASが攻撃されるのを防ぎます。QuFirewallはTorおよび悪意あるボットを検出し、悪意あるパケットのブロックリストを動的にアップデートすることで、QNAPデバイスのセキュリティを確保します。
ネットワークに特に必要とされない限り、「基本的な保護」を選んでから「次へ」をクリックして進めるよう、お勧めいたします。
お住まいによって地域を選択します。地域は後で追加可能です。
「QuFirewall プロファイル」ページを表示すると、「基本的な保護」が有効になっているのがわかります。「基本的な保護」をクリックして展開し、対応するファイアウォールルールを確認します。受信パケットの情報がルールによってチェックされ、ファイアウォールルールに従って許可またはブロックされます。
Malware Remover
Malware Removerは、最新のマルウェア定義を使ってお持ちのNASを定期的にスキャンします。検出された場合、感染したファイルは直ちに削除され、NAS全体のデータセキュリティを守ります。クラウドベースのマルウェア定義アップデートを定期的に受け取り、データセキュリティを強化します。
「Malware Remover」を開くと、前回のスキャン状況が表示されるので、左側の「設定」をクリックします。
「スキャンスケジュール」は、「Malware Remover」が定期的にシステム状態をチェックできるよう、毎日一回に設定するようお勧めいたします。また、「Malware Removerを自動的に最新バージョンに更新します。」にチェックを入れておくようにします。
システム通知の設定
Notification Centerはすべてのシステム通知を集中化し、設定に基づいてデバイスへのプッシュ通知を行い、最新のNASの状況が把握できます。
「Notification Center」を開き、左側のメニューから「サービスアカウントおよびデバイスのペアリング」をクリックし、「電子メール」を選択して「SMTPサービスを追加」をクリックします。
Eメールアカウントを選び、「アカウントを追加」をクリックして、手順に従って認証プロセスを完了させます。
「Notification Center」の左側のメニューから「システム通知ルール」をクリックし、「アラート通知」を選択、「ルールを作成」をクリックします。
「ルール名」を必要に応じて設定し、「警告」と「エラー」の重要度にチェックを入れて、「次へ」をクリックして完了させます。
