カテゴリー
Synology WordPress

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※
スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID23293
  • by Google Ads ID24747

暗号化の意義

データ流出のケースは大きく2つ

NASに保存しているデータの流出には,大きく2つが考えられる.1つはネットワークを介して流出する場合.もう1つは,物理的にNASまたはHDDが他人の手にわたる場合である.

1. ローカル・ネットワークからの流出

ネットワークからの流出には,パスワード管理などで防御するのが基本となる.今回,フォルダの暗号化の目的は,以下に述べた他人の手に渡ることを想定している

  • ネットワークからの流出 : あってはならない
  • ランサムウェアによるデータ破損 : バックアップから復元が可能

2. 物理的な流出

例えば,空き巣に入られてNASが持ち去られる.また、想定しづらいケースとして、自分が死亡した後のことである.管理者である自分が死亡した場合,そのほとんどのデータは,家族には必要がないものであろうと考えられる.

家族に必要のない負担や迷惑が掛からないように,なんの処理の必要もなく単に廃棄物として廃棄できるのが望ましい.

  • 持ち去られたとしても暗号化により、データは秘匿のまま守られる
スポンサーリンク
  • Synology DS517 by Amazon ID:22173
  • Synology DS920+ by Amazon ID:22172
  • オムロン BY50S用パック by Amazon ID:22171
  • オムロン BY50S by Amazon ID22170
  • Synology 高機能無線ルーター VPN Plus対応 日本正規代理店アスク サポート対応 保証2年 NT934 RT2600ac by Amazon ID24327
  • エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327

暗号化方式

スポンサーリンク
by Rakuten ID:15895

Synology NASのDS918+では,暗号化方式としてAESが採用されている.Advanced Encryption Standard (AES)は,2001年に米国政府で採用され始めた256ビットの暗号化方式である.暗号化とその解除には同じ暗号化キーを使う対称性のあるアルゴリズムである.

  • DS918+の暗号化方式 : AES

暗号化した共有フォルダのキー管理 - Synology site – より

https://www.synology.com/ja-jp/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

用語

暗号キー

最初に暗号化共有フォルダを作成する際に設定するキー (Encryption Key)のこと。キーストアに保管される。

キーの暗号化方法は,①パスフレーズと②マシンキーの2つがあるが、バスフレーズは、一般名としてのパスフレーズであり、キーマネージャのログインの際に入力するパスフレーズとは異なる。

マシンキー : Machine Key, HDDが接続されたSynology NASでのみ暗号を解除できる.すなわち,HDDを取り外し,他のマシンに載せ替えての暗号化の解除はできない.

パスフレーズ : マシンキーを使わないキー解除法

キーマネージャ

キーマネージャ (key manager)は、共有フォルダの暗号化に使用したキーの管理を行うDiskStation Manager (DSM)のプムグラム(デーモン)である。キーは、キーストアに保管されている。

  • 共有フォルダ > 操作 > キーマネージャ
  • パスフレーズ入力(実質的にキーマネージャへのログイン)
  • 追加 > 暗号化共有フォルダ > 「暗号キー」入力 > 画面にリストアップで、複数の暗号化共有フォルダを一元的に管理できる
  • 「構成 > キーマイグレーション >今すぐ移行する」でキーストアを「システムパーティション」から外部デバイスの「USBメモリ」に設定する (この設定は、機能していない。以下の「注意」を参照。バグの可能性がある)
キーマネージャのパスフレーズ

Pass Phrase, キーマネージャへのパスワード。暗号化キーとは異なるので注意。パスフレーズを知るものがキーストアの変更ができる.

  • パスフレーズは、再設定可能
  • キーマネージャを起動する度に入力が求められる

キーストア

キーストア (key store)は、キーが,保管されている場所。

  • キーマネージャにキーの管理を任せると、デフォルトの「システムパーティーション」に加えて、「外部デバイス」が使用可能になる.
  • 外部デバイスをキーストアにすると、その外部デバイスと共に、パスフレーズの照合が必要になるので、その外部デバイスを持っていて、且つ、現地において、NASに外部デバイスを挿さなければ、暗号の解除できない.ネットからの解除ができないと言うことである。即ち、これは最もセキュリティレベルが高い。
  • ネットからの暗号化共有フォルダを使いたい場合、パカチョンで一般的な使用方法は、キーマネージャの使用設定をしないで、パスフレーズのみでキー解除とするか、キーファイル (key file)をダウンロードしておいて、USBメモリなどで持ち歩く必要がある。
    • パスフレーズのみでキー解除
    • パスフレーズとキーファイルでキー解除
  • キーファイルは、「キーのエキスポート」により行う.アンマウント時には、キーファイルの入力を促するチェックもあるので、キーファイルがある場合は、ファイルを指定してキー解除しマウントする。

注意

現在、外部デバイスをキーストアに設定しても、「共有フォルダ > 暗号化 > マウント > 暗号キーの入力」でキー解除が可能です。これでは、意味がないので、他に設定が必要か検証中です (2020/04/18)。

暗号化共有フォルダの作成とマウント/アンマウントの方法

https://global.download.synology.com/download/Document/Software/UserGuide/Firmware/DSM/6.2/jpn/Syno_UsersGuide_NAServer_jpn.pdf

スポンサーリンク
by Google Ads ID19417

管理者権限で新しく暗号化共有フォルダを作成するか,既存の共有フォルダの暗号化設定により作成できる

  • 新規に暗号化共有フォルダを作る
  • 既存の共有フォルダを暗号化する : 既存のファイルを暗号化処理しなければならないため、容量依存で処理時間が必要。

新規の暗号化共有フォルダを作る

DSMにログインする

コントロールパネルを開く

共有フォルダ > 作成 > 作成

  • パスフレーズを入力
  • 「キーマネージャに暗号化キーを追加する」は、キーストアを外部デバイスを使用する場合に選択する。この項目が表示されない場合は、後から設定する。
  • 大事なデータは、チェックサムをチェック
  • フォルダの最大サイズを指定できる
  • 確認画面
  • 再度の確認画面
  • 再度の確認画面

アクセス権の設定を終えれば、暗号化した共用フォルダの作成が完了する。

キーストアの初期化

暗号化のパスフレーズ (pass phrase) 即ちパスワードをSynology NAS内かUSBメモリに設定する操作。

  1. 「コントロール パネル > 共有フォルダ > 操作*1 > キー マネージャ
  2. 「キーストアの初期化」ダイヤログが表示される
  3. [キーストア場所] からキーストアとして、「外部デバイス」または「システム パーティション」を選択します。
  4. このキーストアの [パスフレーズ] フィールドは、今後、キーマネージャを起動する都度、必要となるパスワードのことです。

*1

日本語のマニュアルには、”作成“とあるのは誤記です。

キーストアの初期化の図解

「キーストアの場所」をセレクトすると、USBメモリが接続されていれば、下図のようにシステムパーティション以外の選択肢が現れる

  • パスフレーズの保管先を選択して、パスフレーズをセットする
  • キーストアには、デフォルトの「システムパーティション」、フォーマットされたUBSメモリが挿されていれば、外部デバイスも表示される

外部デバイスに暗号キーを保管した場合、暗号解除するには、この外部デバイスと記憶している暗号キーの両方が必要となる (注意、この機能は使えるが、暗号キーのみで解除もできてしまう)

  • この外部デバイスをなくすと、暗号解除が出来なくなる
  • パスフレーズを忘れると、暗号解除が出来なくなる

暗号化共有フォルダのマウント

パスフレーズでマンウト

キーマネージャを使用しない場合のマウント方法

  • 暗号化 > マウント
  • パスフレーズ

外部デバイスでマンウト

キーストアとして外部デバイスを使った場合のマウント方法

  • キーがストアされているUSBメモリをNASに挿し、自動的にマウントしたことを確認
  • コントロールパネル > 共有フォルダ > 操作 > キーマネージャ >
  • 以下の図のように、「バスフレーズ検証」ダイヤログが表示される
  • パスフレーズを入力
  • 該当する共有フォルダがマウントされる。
  • 以下の図が現れる
  • test_2フォルダがマウントされる
  • 「起動時に自動でマウント」の設定が可能

「構成」から「パスフレーズの変更」が可能

スポンサーリンク

by Google Ads ID23409

暗号化共有フォルダのアンマウント

共有フォルダを開く(下図、左上)

  • 「暗号化」をクリク
    • アンマウントをクリック → 鍵がかかる

実際の運用の詳細

秘匿性を最大限にするには,ネットワークには繋がない運用がよいが,このご時世そうもいかない.そこで,必要な時にマウントする運用とすることを提案する.

  • 今回の暗号化共有フォルダを導入する目的は、データの秘匿性を高めることである
  • もしも、管理者権限が不正アクセスで破られ、更に、暗号化共有フォルダの暗号キーが解読される確率は、非常に低くセキュリティレベルは申し分ないと考えられる
  • 外部デバイスによる運用が追加であれば、更に、セキュリティ・レベルは高くなる
  • しかし、DSMの現バージョン(DSM 6.2.2-24922 Update 5)では、キーストアを外部デバイスにしても、暗号キーのみでマウントできてしまう。実質的に、セキュリティレベルはレベル1である
  • 今回、外部デバイスによるマウント運用によるセキュリティレベル2は見送り、レベル1で運用する
  • 次期バージョンアップでの改善を期待する

まとめ

1. マニュアルによるマウント

DSMにログイン > コントロールパネル > 共有フォルダ > (暗号化したい共有化フォルダを選択) > 暗号化 > マウント > 暗号キー入力、によりマウントできる。

2. インポートファイルによるマニュアル・マウント

キーファイルのインポートによるマウント : キーファイルを手許にダウンロード(エクスポート)しておき、暗号化した共有フォルダをマウントしたい時に、そのキーファイルを読み込ませることでマウントする。

  • キーマネージャにチェックを入れずに作った暗号化共有フォルダでは、エクスポートしたキーファイルを使って、マウントできる。
  • しかし、キーマネージャにチェックを入れて作った暗号化共有フォルダでは、認証に失敗する。原因不明。
  • キーマネージャの共有フォルダでは、Key Fileのインポートでは、エラーとなる。

3. 外部デバイスによるマウント

USBメモリーやiPhone/iPadに保管しておけば、DSMにログインして、そのファイルをインポートすれば、暗号化を解除してマウントすることができる。

4. キーマネージャによる自動・マウント

NASの起動時にマウントする方法 : 設定により、暗号化された共有フォルダを、再起動次に自動で、その暗号化された共有フォルダをマウントさせることができる.

しかし、この方法は、今回、目標としていた「必要な時に手動でマウント」するという目的には則さない方法である。

  • キーマネージャを使用している場合、NASの起動時の自動マウント機能が使える。今回の目標に沿わないが、以下、設定の仕方を示しておく
  • 共有フォルダ > 操作 > キーマネージャ > 共有フォルダを選択 > 起動時にマウント(チェック)

コメントを頂けると助かります

今回、目的には届かない運用方針になってしまいました。ご意見、情報などあれば、気軽に投げてください。

以上

編集履歴
2019/10/28 はりきり(Mr)
2020/04/16 図を使用して説明を充足
2020/04/18 外部デバイスをキーにしてマウントできが、外部デバイスでの運用については断念
スポンサーリンク
  • by Amazon ID13339
  • by Amazon ID13211
スポンサーリンク
  • 【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
  • XYZプリンティング3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|高性能|3F1AWXJP00F - ダビンチ 1.0 Pro - XYZプリンティングジャパン by AMAZON ID21511
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
スポンサーリンク

用語の解説、関連タグ付き投稿の抽出

HDD

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※

NAS

[WordPress] 2020年初心者ガイダンス・WordPressを構築し快適に運用するための必須プラグイン一覧 (2020/03/10現在) – ID10673
[Data Link] NASとは何ですか? by Synology – ID9090
[WordPress] Google AdSense登録の手順 – ID8940-UM [2020/08/24]
[WordPress] アバターを作る方法 – Gravatar – ID8936
Synology NASのセキュリティを強化する方法のリンク – ID8870
[WordPress] 初期設定でblogサイトに作ってしまったサブディレクトリを外す方法 – Google AdSenseには、サブディレクトリは不要 – ID8814

Synology

[Data Link] NASとは何ですか? by Synology – ID9090
[WordPress] Google AdSense登録の手順 – ID8940-UM [2020/08/24]
[WordPress] アバターを作る方法 – Gravatar – ID8936
Synology NASのセキュリティを強化する方法のリンク – ID8870
[WordPress] 初期設定でblogサイトに作ってしまったサブディレクトリを外す方法 – Google AdSenseには、サブディレクトリは不要 – ID8814
[WordPress] Flex Posts – Widget and Gutenberg Block プラグイン – Gutenberg エディター対応 – ID8804

フォルダ

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※

自宅暗号化

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※
スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID24747
  • by Google Ads ID:11145

Update ID21920

LIFE, TRIP
[Trip] 神戸・北野異人館 – KOBE IJINKAN – アフリカのアート:”この世成らざるもの”は心が踊った ID21007 [2020/08/08]※

目次1 KOBE IJINKAN2 参道と呼んでもよい坂道を上がっていく3 途中に、スターバックス4 北野神社5 オーストリアの家6 山手八番館6.1 山手八番館のコレクション7 Cafe8 うろこの家8.1 西洋のコレ […]

cafe, LIFE
[Cafe] STARBUCKS in 枚方 蔦屋書店 でblogメンテ – ID24905 [2020/11/21]

STARBUCKS in枚方 蔦屋書店 いつものコースです。昼食に中華の飲茶セット(本場台湾にもある、JIN DIN ROU: 京鼎樓、T-SITE 8F)、その後、3FのSTARBUCKSでホットコーヒーを買って、bl […]

BIOLOGICS, CMO, gene-therapy
気になる企業 ベクタービルダー /デザイン/受託/開発/GMP製造 [2020/11/21] ID24901

目次1 VectorBuilder1.1 サイトでできること1.2 ベクターデザインできる種類2 GMP施設 VectorBuilder ベクタービルダー・ジャパンのサイトより。 2015 foundingの受託会社です […]

BIOLOGICS, CMO, company, COMPANY-FAVOR, CRO, regeneron
気になる企業 – Coriolis Pharma – Virus Vector Formulation Development – ID23991 [工事中]

Coriolis Pharma HomePage LinkedIn 2009年 Founding Employee : 100 バイオロジクスのcGMP 分析、Formulationサービス 論文発表も多数している We […]

HEALTH, KNOWLEDGE
COVID-19関連 — PCR全自動検査装置: エリートインジーニアス – フランスから感謝状が送られたとい素晴らしい装置 – Precision System Science社、は日本の企業です – でも、装置だけでは測定はできない – ID20650 [2020/11/21]

目次1 エリートインジーニアス2 でも、装置だけでは測定できない エリートインジーニアス エリートインジーニアスは、プレシッション システム サイエンス社(Precision System Science; PSS)が開 […]

スポンサーリンク
by Google Ads ID19417
english
今日の英語 – リスクを伴う – management and execution are subject to a number of risks [2020/11/22]

are subject The management and execution are subject to a number of risks.マネジメントと実行は、多くのリスクを伴う

更新された投稿の最新順

スポンサーリンク
  • by Amazon ID19245
  • by Amaozn ID13196
スポンサーリンク

スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID:11145
  • by Google Ads ID24747

最新記事(WordPress, ID:14681)

security, WordPress
[WordPress] AMP対応化で、使用しているその他のプラグインによるエラーが出ないようにするために – プラグイン別 [2020/11/16] ID24858

はじめに 投稿/ページを公開/更新した際に、AMPの検証/再検証が行われます。その結果として、「makeupエラー」や「スクリプトエラー」などが生じることがあります。これらのエラーは、なるべく出なくすることが良いと考えま […]

plugin, Synology, WordPress
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した- ID22640 [2020/11/15]

目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定のほんとのところ4.1.1 WP Super […]

security, WordPress
[WP] WordPress – ログイン/アクセス制限に関する設定 – ID24132 [2020/10/09]工事中

目次1 はじめに2 設定ファイル・設定される方のファイル/フォルダ?3 allow?, deny? はじめに WordPressのセキュリティ設定を考えます。WordPressには、各種のファイルがあります。基本的な設定 […]

plugin, Synology, WordPress
[WordPress] 「AMP」まとめ – ID22520 [2020/09/13]

AMPの記事まとめ AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。 AMP: a well-lit path to optimizing for Google’s pa […]

スポンサーリンク
by Google Ads ID19417
mail, plugin, Synology, WordPress
[WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 – ID22422 [2020/09/13]

目次1 はじめに2 準備3 プラグインのインストール4 API プロジェクトの作成4.1 OAuthクライアント IDの作成 はじめに レンタルサーバーでWordPressの運用と違い、Synology NASにWord […]

plugin, Synology, Theme, WordPress
[WordPress] このサイトの表示に関係する使用している「テーマ」と「プラグイン」のリスト – ID22353 [2020/09/11]※

目次1 はじめに2 システム構成3 プラグイン・リスト はじめに 現在、見られているこのサイトの表示に関わるWordPressテーマ、およびプラグインのリストを公開します。これからWordPressでサイトの構築をされる […]

Page: 1 2 23
スポンサーリンク

スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID24747
  • by Google Ads ID:11145

最新記事(Synology, ID:14676)

plugin, Synology, WordPress
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した- ID22640 [2020/11/15]

目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定のほんとのところ4.1.1 WP Super […]

Synology
[Synology] 以前からeo光なのに速度が遅く感じられていた(100Mbps) – A6のネットケーブルで改善(300~500Mpbs) [2020/10/19]

目次1 eo光の速度の測定2 コースごとの測定3 ケーブル交換前の速度4 ケーブル交換後の速度5 その他のコースで測定6 使用したケーブル eo光の速度の測定 もう数年以来、ネットの速度が遅いなぁ~と思っていたが、ありま […]

Synology
[Synology – Plex] Plex Serverに繋がらなくなったときの対処法 – ID24032 [2020/10/04]

目次1 はじめに2 課題3 対処方法4 Plexの管理画面でできること5 まとめ はじめに Plexは、自宅のサーバーにあるメディア(音楽、動画)をインターネット経由でもストリーム配信できるメディア・サーバーです。 DS […]

plugin, Synology, WordPress
[WordPress] 「AMP」まとめ – ID22520 [2020/09/13]

AMPの記事まとめ AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。 AMP: a well-lit path to optimizing for Google’s pa […]

スポンサーリンク
by Google Ads ID19417
mail, plugin, Synology, WordPress
[WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 – ID22422 [2020/09/13]

目次1 はじめに2 準備3 プラグインのインストール4 API プロジェクトの作成4.1 OAuthクライアント IDの作成 はじめに レンタルサーバーでWordPressの運用と違い、Synology NASにWord […]

plugin, Synology, Theme, WordPress
[WordPress] このサイトの表示に関係する使用している「テーマ」と「プラグイン」のリスト – ID22353 [2020/09/11]※

目次1 はじめに2 システム構成3 プラグイン・リスト はじめに 現在、見られているこのサイトの表示に関わるWordPressテーマ、およびプラグインのリストを公開します。これからWordPressでサイトの構築をされる […]

Page: 1 2 20
スポンサーリンク

スポンサーリンク
  • by Google Ads ID24747
  • by Google Ads ID:11145
  • by Google Ads ID23293

その他記事(ALL-RANDOM, ID:16786)

BIOLOGICS, equipment-ufdf
[Bio-Process] UF/DF for buffer exchange – ID8458

目次1 抗体2 rAAV 抗体 抗体の精製の場合、バッファ組成を調整しないで次工程に進むことも多い rAAV 次工程のAffinityクロマトグラフィにロードするために緩衝液の組成を調整すると共に、溶液体積の縮小化を行う […]

Synology, WordPress
[Data Link] NASとは何ですか? by Synology – ID9090

NASとは何ですか? – Synologyサイトより https://www.synology.com/ja-jp/solution/what_is_nas

BIOLOGICS
[Bio-Reagent] ドデシルトリメチルアンモニウムクロリド (DTAC) – 細胞膜タンパク質の溶解 – ID8578

目次1 分類2 用途3 物性 分類 界面活性剤 用途 細胞膜タンパク質の溶解 物性 陽イオン性、分子量 263.89 ドデシルトリメチルアンモニウムクロリド https://www.sigmaaldrich.com/ca […]

スポンサーリンク
by Google Ads ID19417
Gear
[Gear] ネームランド i-ma; ラベルライター 「すごもりグッズ」今までやれなかった事をこの機に始めよう – ID12589

目次1 カシオ – ラベルライター・ネームランド i-ma2 付属テープ3 外観4 テープのセット5 取説6 iPhoneアプリ6.0.1 早速、裸族にラベル カシオ – ラベルライター・ネームラ […]

BIOLOGICS, culture, equipment-culture, production
[Bio-Equip] WAVE 25 Rocker – GE – ID11509

目次1 WAVE 25 Rocker2 関連 WAVE 25 Rocker ReadyToProcess WAVE 25 Rocker – GE Healthcare https://www.gelifesc […]

Page: 1 2 145
スポンサーリンク

スポンサーリンク
by Google Ads ID:11143(2)

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block