おしらせ:新規Webページ作成依頼募集中!
QNAPのNASを買ったら最初にやること10選【セキュリティ重視】

QNAPのNASを買ったら最初にやること10選【セキュリティ重視】

QNAP/NAS

目次

はじめに

QNAPのNASを買ってセットアップした直後は、セキュリティ設定が手薄な状態です。

NASはインターネットに繋がるストレージです。設定をそのままにしておくと、外部からの不正アクセスやランサムウェアの標的になります。

この記事では、QNAP NASを入手したら最初にやっておくべき設定10項目を、実際の管理画面のスクリーンショットとともに解説します。

1. ファームウェアを最新にする

古いファームウェアには既知の脆弱性が含まれていることがあります。まずここから始めます。

手順:

コントロールパネル → システム → ファームウェア更新 → ライブ更新

「今すぐチェック」を押して最新バージョンを確認し、アップデートがあれば適用します。

QNAPファームウェアの最新バージョン確認・アップデート画面

更新後は再起動が必要になる場合があります。重要な処理が動いていないタイミングで実施してください。

2. adminアカウントを無効化して新しい管理者アカウントを作る

デフォルトの管理者アカウント「admin」は攻撃者が最初に試みるアカウント名です。初期設定のまま使い続けるのは危険です。

手順:

  1. コントロールパネル → 権限設定 → ユーザー
  2. 新しい管理者アカウントを「管理者」権限で作成する
  3. 新アカウントでログインし直す
  4. 「admin」アカウントを選択して無効化する
QNAPのadminアカウント無効化と新規管理者作成の設定画面

adminは削除できない QTSの仕様上、adminアカウントの削除はできません。無効化することで実質的にログイン不可にします。新しいアカウント名は推測されにくいものにしてください。

3. 2段階認証を有効にする

パスワードだけの認証では、漏洩した時点で即座に不正アクセスされます。2段階認証(2FA)を有効にしておくと、パスワードが知られても第三者のログインを防げます。

手順:

  1. コントロールパネル → 権限設定 → ユーザー
  2. 対象ユーザーを選択 → 「2段階認証」タブ
  3. Google AuthenticatorなどのTOTPアプリでQRコードをスキャン
  4. 認証コードを入力して有効化
QNAPの2段階認証(2FA)有効化設定画面
QNAP 2段階認証の認証アプリ連携設定画面

管理者権限を持つアカウントには全員分設定することをおすすめします。

4. アカウントアクセス保護を設定する

ブルートフォース攻撃(パスワードの総当たり試行)への対策です。ログイン失敗回数に応じてアカウントをロックします。

手順:

コントロールパネル → セキュリティ → アカウントアクセス保護

SSH・HTTP・HTTPS・FTPなど各サービスに対して「最大ログイン試行回数」を設定します。

QNAPアカウントアクセス保護のログイン試行回数設定画面

画像では無効。

5回失敗で5分間ブロックなど、用途に応じて調整してください。

5. IPアクセス保護を設定する

アカウント単位のロックに加えて、IP単位での接続制限も有効にします。大量の接続試行元IPを自動的に遮断できます。

手順:

コントロールパネル → セキュリティ → IPアクセス保護

SSH・Telnet・HTTP・HTTPS・FTPなどのサービスを選択してIPブロックを有効にします。

QNAPのIPアクセス保護・自動ブロック設定画面

「自動ブロック」を有効にすると、指定回数以上失敗したIPが自動的にブロックリストに追加されます。ブロック済みIPは一覧から確認・解除も可能です。

6. QuFirewallを有効にする

QNAPのファイアウォールアプリです。地域別・サービス別のアクセス制御やリアルタイムのブロックができます。App Centerからインストールして使います。

手順:

App Center → QuFirewall をインストール → 起動 → Basic Protectionを有効にする
QNAPのQuFirewall有効化設定画面

わずか24時間で21,482件の接続をブロックしています。NASがいかに多くの不審な接続にさらされているかがわかります。

デフォルトのBasic Protectionを有効にするだけでも十分な効果があります。不要な国や地域からのアクセスを丸ごとブロックする設定も検討してみてください。

7. HDDのS.M.A.R.T.テストを実行する

セキュリティとは少し離れますが、データ保護の観点から欠かせない作業です。新品でも初期不良が存在することがあるため、セットアップ直後に必ず実施します。

手順:

コントロールパネル → ストレージ&スナップショット → ストレージ → ディスク → 各ドライブを選択 → S.M.A.R.T. → テスト実行
QNAPのHDD S.M.A.R.T.テスト実行画面

確認するポイントは「再割り当てセクター数」と「保留中のセクター数」がゼロであること。値が増加傾向にある場合はドライブの交換を検討してください。

8. 通知メールを設定する

QuFirewallのセキュリティイベントや、HDD障害・温度異常などをリアルタイムで把握するために通知メールを設定します。

手順:

コントロールパネル → システム → 通知センター → SMTPサーバーを設定 → 通知ルールを追加
QNAPの通知メール設定画面

Gmailを使う場合はアプリパスワードが必要 Gmailの2段階認証を有効にしているアカウントでは、通常のパスワードではSMTP接続できません。Googleアカウントの「セキュリティ」→「アプリパスワード」から専用パスワードを発行してください。

設定後は「テストメール送信」で実際に届くか確認しておきます。通知の種類は「重大なアラートのみ」に絞ると通知疲れを防げます。

9. 電源スケジュールを設定する(非推奨)

使わない時間帯は電源を切ることで、消費電力の削減と機器の寿命延長につながります。QTSには曜日・時刻を指定した電源スケジュール機能があります。

手順:

コントロールパネル → システム → 電源 → 電源スケジュール

![電源スケジュール画面(シャットダウン・毎日・07:00・有効)]

「スケジュールを有効にする」にチェックを入れた上で、「追加」からシャットダウン・起動のスケジュールを登録します。

バックアップジョブと重なる場合は注意 「レプリケーションジョブの進行中にスケジュールされた再起動/シャットダウンを延期する」オプションも用意されています。バックアップの自動実行と時間が被る場合はこちらも有効にしてください。

10. myQNAPcloudで外部アクセスを設定する

外出先からNASにアクセスしたい場合、ポート開放は最終手段です。ルーター設定を変えずにセキュアなリモートアクセスを実現する方法を使います。

myQNAPcloud Linkを使う

手順:

  1. myQNAPcloud アプリを起動
  2. 左メニューから「myQNAPcloud Link」を選択
  3. トグルをONにして接続
myQNAPcloud Linkの外部アクセス設定画面

接続状態が「正常」になるとSmartURLが発行されます。このURLからブラウザでNASの管理画面にアクセスできます。

Tailscaleを使う

Tailscaleはゼロトラストネットワークを構築できるVPNツールで、App Centerからインストールできます。NAS以外のデバイスとも一括でプライベートネットワーク化できます。

QNAP NASにTailscaleを導入してVPNのハードル下がった話。
QNAP NASにTailscaleを導入してVPNのハードル下がった話。
はじめに 自宅や遠隔地にあるQNAP NASに外部からアクセスしたい場合、VPNを使うのが一般的です。私はもともとOpenVPNを使っていましたが、諸事情でうま…
acho-torya.com

ポート開放は避けてください 管理画面やSSHのポートを直接インターネットに公開するのは攻撃リスクを大幅に高めます。myQNAPcloud LinkやTailscaleであれば、ポート開放なしで安全にアクセスできます。

番外編:デフォルトポートを変更する

10選には含めませんでしたが、合わせてやっておくと効果的な設定です。

QNAPの管理画面はデフォルトで以下のポートを使っています。

サービスデフォルトポート
HTTP管理画面8080
HTTPS管理画面443
SSH22

これらのポートはスキャンbotが最初に狙う番号として知られており、変更するだけで大半の自動攻撃を回避できます。

変更手順:

サービス変更場所
HTTP/HTTPSコントロールパネル → システム → 一般設定 → ポート番号
SSHコントロールパネル → ネットワークとファイルサービス → テレネット/SSH → SSHポート番号

変更後のポート番号は 888884432222 などがよく使われます。推測されにくい番号であれば何番でも構いません。

Cloudflare TunnelやmyQNAPcloud Link経由の場合は優先度低め 外部から管理画面へ直接アクセスしていない構成では優先度はやや下がります。ただしLAN内部からの不審なアクセスやマルウェアによる内部攻撃への備えとして変更しておくことをおすすめします。

まとめ

#設定項目カテゴリ
1ファームウェアを最新にする脆弱性対策
2adminアカウントを無効化する認証強化
32段階認証を有効にする認証強化
4アカウントアクセス保護を設定する不正アクセス対策
5IPアクセス保護を設定する不正アクセス対策
6QuFirewallを有効にするファイアウォール
7HDDのS.M.A.R.T.テストを実行するデータ保護
8通知メールを設定する監視・アラート
9電源スケジュールを設定する省電力
10myQNAPcloud/Tailscaleで外部アクセス設定リモートアクセス

NASはセットアップして終わりではなく、継続的なセキュリティ管理が必要な機器です。10項目を初期設定として実施しておくことで、一般的な攻撃の大半を防ぐ基盤が整います。

QNAP TS-464 https://amzn.to/48Oxs5N (4スロット)


QNAP TS-264 https://amzn.to/4mJW6KE (2スロット)


ちょっとお安いモデル QNAP TS-433 /AZ https://amzn.to/4vESjlS (4スロット)


ちょっとお安いモデル QNAP TS-216G / AZ https://amzn.to/4dWicr3 (2スロット)


関連記事

動作環境:QNAP TS-464 / QTS 5.2.9.3410

Amazonのアソシエイトとして、Cy!は適格販売により収入を得ています。