カテゴリー
Synology WordPress

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※

本編 >

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※
スポンサーリンク

by Google Ads ID:8603

暗号化の意義

データ流出のケースは大きく2つ

NASに保存しているデータの流出には,大きく2つが考えられる.1つはネットワークを介して流出する場合.もう1つは,物理的にNASまたはHDDが他人の手にわたる場合である.

1. ローカル・ネットワークからの流出

ネットワークからの流出には,パスワード管理などで防御するのが基本となる.今回,フォルダの暗号化の目的は,以下に述べた他人の手に渡ることを想定している

  • ネットワークからの流出 : あってはならない
  • ランサムウェアによるデータ破損 : バックアップから復元が可能

2. 物理的な流出

例えば,空き巣に入られてNASが持ち去られる.また、想定しづらいケースとして、自分が死亡した後のことである.管理者である自分が死亡した場合,そのほとんどのデータは,家族には必要がないものであろうと考えられる.

家族に必要のない負担や迷惑が掛からないように,なんの処理の必要もなく単に廃棄物として廃棄できるのが望ましい.

  • 持ち去られたとしても暗号化により、データは秘匿のまま守られる
スポンサーリンク
  • by Amazon ID:22170
  • by Amazon ID:22170
  • by Amazon ID:22170
  • by Amazon ID:22170

暗号化方式

Synology NASのDS918+では,暗号化方式としてAESが採用されている.Advanced Encryption Standard (AES)は,2001年に米国政府で採用され始めた256ビットの暗号化方式である.暗号化とその解除には同じ暗号化キーを使う対称性のあるアルゴリズムである.

  • DS918+の暗号化方式 : AES

暗号化した共有フォルダのキー管理 - Synology site – より

https://www.synology.com/ja-jp/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

用語

スポンサーリンク

by Google Ads ID:19417(C)

暗号キー

最初に暗号化共有フォルダを作成する際に設定するキー (Encryption Key)のこと。キーストアに保管される。

キーの暗号化方法は,①パスフレーズと②マシンキーの2つがあるが、バスフレーズは、一般名としてのパスフレーズであり、キーマネージャのログインの際に入力するパスフレーズとは異なる。

マシンキー : Machine Key, HDDが接続されたSynology NASでのみ暗号を解除できる.すなわち,HDDを取り外し,他のマシンに載せ替えての暗号化の解除はできない.

パスフレーズ : マシンキーを使わないキー解除法

キーマネージャ

キーマネージャ (key manager)は、共有フォルダの暗号化に使用したキーの管理を行うDiskStation Manager (DSM)のプムグラム(デーモン)である。キーは、キーストアに保管されている。

  • 共有フォルダ > 操作 > キーマネージャ
  • パスフレーズ入力(実質的にキーマネージャへのログイン)
  • 追加 > 暗号化共有フォルダ > 「暗号キー」入力 > 画面にリストアップで、複数の暗号化共有フォルダを一元的に管理できる
  • 「構成 > キーマイグレーション >今すぐ移行する」でキーストアを「システムパーティション」から外部デバイスの「USBメモリ」に設定する (この設定は、機能していない。以下の「注意」を参照。バグの可能性がある)
キーマネージャのパスフレーズ

Pass Phrase, キーマネージャへのパスワード。暗号化キーとは異なるので注意。パスフレーズを知るものがキーストアの変更ができる.

  • パスフレーズは、再設定可能
  • キーマネージャを起動する度に入力が求められる

キーストア

キーストア (key store)は、キーが,保管されている場所。

  • キーマネージャにキーの管理を任せると、デフォルトの「システムパーティーション」に加えて、「外部デバイス」が使用可能になる.
  • 外部デバイスをキーストアにすると、その外部デバイスと共に、パスフレーズの照合が必要になるので、その外部デバイスを持っていて、且つ、現地において、NASに外部デバイスを挿さなければ、暗号の解除できない.ネットからの解除ができないと言うことである。即ち、これは最もセキュリティレベルが高い。
  • ネットからの暗号化共有フォルダを使いたい場合、パカチョンで一般的な使用方法は、キーマネージャの使用設定をしないで、パスフレーズのみでキー解除とするか、キーファイル (key file)をダウンロードしておいて、USBメモリなどで持ち歩く必要がある。
    • パスフレーズのみでキー解除
    • パスフレーズとキーファイルでキー解除
  • キーファイルは、「キーのエキスポート」により行う.アンマウント時には、キーファイルの入力を促するチェックもあるので、キーファイルがある場合は、ファイルを指定してキー解除しマウントする。

注意

現在、外部デバイスをキーストアに設定しても、「共有フォルダ > 暗号化 > マウント > 暗号キーの入力」でキー解除が可能です。これでは、意味がないので、他に設定が必要か検証中です (2020/04/18)。

スポンサーリンク
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • XYZプリンティング3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|高性能|3F1AWXJP00F - ダビンチ 1.0 Pro - XYZプリンティングジャパン by AMAZON ID21511
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513

暗号化共有フォルダの作成とマウント/アンマウントの方法

https://global.download.synology.com/download/Document/Software/UserGuide/Firmware/DSM/6.2/jpn/Syno_UsersGuide_NAServer_jpn.pdf

管理者権限で新しく暗号化共有フォルダを作成するか,既存の共有フォルダの暗号化設定により作成できる

  • 新規に暗号化共有フォルダを作る
  • 既存の共有フォルダを暗号化する : 既存のファイルを暗号化処理しなければならないため、容量依存で処理時間が必要。

新規の暗号化共有フォルダを作る

DSMにログインする

コントロールパネルを開く

共有フォルダ > 作成 > 作成

  • パスフレーズを入力
  • 「キーマネージャに暗号化キーを追加する」は、キーストアを外部デバイスを使用する場合に選択する。この項目が表示されない場合は、後から設定する。
  • 大事なデータは、チェックサムをチェック
  • フォルダの最大サイズを指定できる
  • 確認画面
  • 再度の確認画面
  • 再度の確認画面

アクセス権の設定を終えれば、暗号化した共用フォルダの作成が完了する。

キーストアの初期化

暗号化のパスフレーズ (pass phrase) 即ちパスワードをSynology NAS内かUSBメモリに設定する操作。

  1. 「コントロール パネル > 共有フォルダ > 操作*1 > キー マネージャ
  2. 「キーストアの初期化」ダイヤログが表示される
  3. [キーストア場所] からキーストアとして、「外部デバイス」または「システム パーティション」を選択します。
  4. このキーストアの [パスフレーズ] フィールドは、今後、キーマネージャを起動する都度、必要となるパスワードのことです。

*1

日本語のマニュアルには、”作成“とあるのは誤記です。

キーストアの初期化の図解

「キーストアの場所」をセレクトすると、USBメモリが接続されていれば、下図のようにシステムパーティション以外の選択肢が現れる

  • パスフレーズの保管先を選択して、パスフレーズをセットする
  • キーストアには、デフォルトの「システムパーティション」、フォーマットされたUBSメモリが挿されていれば、外部デバイスも表示される

外部デバイスに暗号キーを保管した場合、暗号解除するには、この外部デバイスと記憶している暗号キーの両方が必要となる (注意、この機能は使えるが、暗号キーのみで解除もできてしまう)

  • この外部デバイスをなくすと、暗号解除が出来なくなる
  • パスフレーズを忘れると、暗号解除が出来なくなる

暗号化共有フォルダのマウント

パスフレーズでマンウト

キーマネージャを使用しない場合のマウント方法

  • 暗号化 > マウント
  • パスフレーズ

外部デバイスでマンウト

キーストアとして外部デバイスを使った場合のマウント方法

  • キーがストアされているUSBメモリをNASに挿し、自動的にマウントしたことを確認
  • コントロールパネル > 共有フォルダ > 操作 > キーマネージャ >
  • 以下の図のように、「バスフレーズ検証」ダイヤログが表示される
  • パスフレーズを入力
  • 該当する共有フォルダがマウントされる。
  • 以下の図が現れる
  • test_2フォルダがマウントされる
  • 「起動時に自動でマウント」の設定が可能

「構成」から「パスフレーズの変更」が可能

暗号化共有フォルダのアンマウント

共有フォルダを開く(下図、左上)

  • 「暗号化」をクリク
    • アンマウントをクリック → 鍵がかかる

実際の運用の詳細

秘匿性を最大限にするには,ネットワークには繋がない運用がよいが,このご時世そうもいかない.そこで,必要な時にマウントする運用とすることを提案する.

  • 今回の暗号化共有フォルダを導入する目的は、データの秘匿性を高めることである
  • もしも、管理者権限が不正アクセスで破られ、更に、暗号化共有フォルダの暗号キーが解読される確率は、非常に低くセキュリティレベルは申し分ないと考えられる
  • 外部デバイスによる運用が追加であれば、更に、セキュリティ・レベルは高くなる
  • しかし、DSMの現バージョン(DSM 6.2.2-24922 Update 5)では、キーストアを外部デバイスにしても、暗号キーのみでマウントできてしまう。実質的に、セキュリティレベルはレベル1である
  • 今回、外部デバイスによるマウント運用によるセキュリティレベル2は見送り、レベル1で運用する
  • 次期バージョンアップでの改善を期待する

まとめ

1. マニュアルによるマウント

DSMにログイン > コントロールパネル > 共有フォルダ > (暗号化したい共有化フォルダを選択) > 暗号化 > マウント > 暗号キー入力、によりマウントできる。

2. インポートファイルによるマニュアル・マウント

キーファイルのインポートによるマウント : キーファイルを手許にダウンロード(エクスポート)しておき、暗号化した共有フォルダをマウントしたい時に、そのキーファイルを読み込ませることでマウントする。

  • キーマネージャにチェックを入れずに作った暗号化共有フォルダでは、エクスポートしたキーファイルを使って、マウントできる。
  • しかし、キーマネージャにチェックを入れて作った暗号化共有フォルダでは、認証に失敗する。原因不明。
  • キーマネージャの共有フォルダでは、Key Fileのインポートでは、エラーとなる。

3. 外部デバイスによるマウント

USBメモリーやiPhone/iPadに保管しておけば、DSMにログインして、そのファイルをインポートすれば、暗号化を解除してマウントすることができる。

4. キーマネージャによる自動・マウント

スポンサーリンク
  • WD 内蔵 SSD M.2 2280 / WD BLACK SN750 NVMe 500GB / WDS500G3X0C by AMAZON - ID14311
  • FIDECO M.2 NVMe PCIE SSDケース USB3.1 Gen2 by AMAZON ID20626
  • Onvian【2個セット】USB A to USB C 3.1オス-Type-Cメス usb type c 変換アダプタ 両面USB3.1 10Gbps高速データ伝送 高交換性 合金製 by AMAZON - ID20727

NASの起動時にマウントする方法 : 設定により、暗号化された共有フォルダを、再起動次に自動で、その暗号化された共有フォルダをマウントさせることができる.

しかし、この方法は、今回、目標としていた「必要な時に手動でマウント」するという目的には則さない方法である。

  • キーマネージャを使用している場合、NASの起動時の自動マウント機能が使える。今回の目標に沿わないが、以下、設定の仕方を示しておく
  • 共有フォルダ > 操作 > キーマネージャ > 共有フォルダを選択 > 起動時にマウント(チェック)

コメントを頂けると助かります

今回、目的には届かない運用方針になってしまいました。ご意見、情報などあれば、気軽に投げてください。

以上

スポンサーリンク
  • by Amazon ID13211
  • by Amazon ID19245
  • by Amaozn ID13196
  • by Amazon ID13339
編集履歴
2019/10/28 はりきり(Mr)
2020/04/16 図を使用して説明を充足
2020/04/18 外部デバイスをキーにしてマウントできが、外部デバイスでの運用については断念

ここまで

< 本編はここまで。

Update ID21920

KNOWLEDGE
[用語] 角膜上皮幹細胞疲弊症 – ID23088 [2020/09/18]

結膜と角膜の境界にある角膜輪部(黒目の最も外側)には、角膜上皮幹細胞が存在している。先天的または、後天的に失われて角膜再生が低下し透明性が悪くなり視力を低下させる。 ジャパン・ティッシュ・エンジニアリング(J-TEC)は […]

AAV, BIOLOGICS, education, gene-therapy
[Bio-Edu] Plasmid – バイオロジクスには欠かせないトラディショナルな遺伝子組換え技術、そして rAAVを作るまで! – ID12915 [2020/08/05]※

目次1 はじめに2 まずは、遺伝子組換え技術2.1 大腸菌とPlasmid2.2 制限酵素2.3 DNAリガーゼ (ligase)3 大腸菌にタンパク質を作らせる4 Competent Cell4.1 製品4.1.1 X […]

BIOLOGICS, mAb
[抗体/情報] 年々増える抗体医薬 – Antibody Societyでは抗体医薬がリストされている – ID15492 [2020/05/08]

目次1 Antibody Societyサイトの紹介2 編集履歴 Antibody Societyサイトの紹介 抗体医薬の承認数は増加するばかりです。バイオ紙ミラー以外の新薬に関する承認済みやレビュー中のリストは、「An […]

Synology, WordPress
[WordPress] 自宅NASに設置のWordPressのプラグイン更新を出先から行う場合に、毎回出てくるパスワード入力を省略する設定 – ID89

出先から自宅NASのWordPressのプラグインを更新する 自宅サーバーに構築したWordPressのプラグイン更新には,デフォルトでパスワードを求めて来ます。以下のようにwp-config.phpを編集すれば、パスワ […]

analysis, BIOLOGICS
[Bio-Edu] 進化するPCR – droplet digital PCRまで – 原理を解説する ID19081 [2020/07/16]

PCR Polymerase chained reaction デジタルPCRとは。そして更に、ドロップレットPCRの原理は、シンプルで美しい。 ~20,000ウェルの微細なナノウェルにDNA分子をランダムに分配する 0 […]

Synology, WordPress
[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – ID2758 [2020/04/18]※

目次1 暗号化の意義1.1 データ流出のケースは大きく2つ1.1.1 1. ローカル・ネットワークからの流出1.1.2 2. 物理的な流出2 暗号化方式2.1 用語2.1.1 暗号キー2.1.2 キーマネージャ2.1.3 […]

スポンサーリンク
WD 内蔵 SSD M.2 2280 / WD BLACK SN750 NVMe 500GB / WDS500G3X0C by AMAZON - ID14311

最新記事(WordPress, ID:14681)

plugin, Synology, WordPress
[WordPress] 「AMP」まとめ – ID22520 [2020/09/13]

AMPの記事まとめ AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。 AMP: a well-lit path to optimizing for Google’s pa […]

mail, plugin, Synology, WordPress
[WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 – ID22422 [2020/09/13]

目次1 はじめに2 準備3 プラグインのインストール4 API プロジェクトの作成4.1 OAuthクライアント IDの作成 はじめに レンタルサーバーでWordPressの運用と違い、Synology NASにWord […]

plugin, Synology, Theme, WordPress
[WordPress] このサイトの表示に関係する使用している「テーマ」と「プラグイン」のリスト – ID22353 [2020/09/11]※

目次1 はじめに2 システム構成3 プラグイン・リスト はじめに 現在、見られているこのサイトの表示に関わるWordPressテーマ、およびプラグインのリストを公開します。これからWordPressでサイトの構築をされる […]

plugin, Synology, WordPress
[WordPress] 「AMP」プラグイン と広告プラグイン: 「Advance Ads Pro」- 高速化と広告表示の両立を図る – ID22304-UM [2020/09/9]

ナレッジベース 不要な他のPluginを削除して、AMPから再検証する作業を全てのページに施しました。その後、AMPページとしてGoogle Adsの表示が不可になっていました。<br>AMP Pluginを […]

plugin, WordPress
[WordPress] blogに載せる写真のメタデータは、EWWW Image Optimizerで取り除く – ID321 [2020/08/20]※

EWWW Image Optimizerプラグイン WordPressのblogで載せる写真は、そのままのサイズでアップしてはいけません。メタデータはそのまま残っているためです。メタデータのGeotabには、位置情報が記 […]

IT, Synology, WordPress
[Synology] RT2600acのVPN Plus Serverの導入 – 個人でも高いセキュッリティが得られる高速WiFiルーター – ID37

目次1 出先からRT2600acにアクセスするには1.1 VPN経由1.2 VPNのインストール(VPN Server側)1.3 L2TPの設定 (VPN Server側)1.4 iPhoneの設定 出先からRT2600 […]

Page: 1 2 22
スポンサーリンク
WD 内蔵 SSD M.2 2280 / WD BLACK SN750 NVMe 500GB / WDS500G3X0C by AMAZON - ID14311

最新記事(Synology, ID:14676)

plugin, Synology, WordPress
[WordPress] 「AMP」まとめ – ID22520 [2020/09/13]

AMPの記事まとめ AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。 AMP: a well-lit path to optimizing for Google’s pa […]

mail, plugin, Synology, WordPress
[WordPress] Synology (新)NASに立ち上げたWordPressから外へメールを飛ばす – WP Mail SMTP by WPFormsプラグインとGMail APIの設定 – ID22422 [2020/09/13]

目次1 はじめに2 準備3 プラグインのインストール4 API プロジェクトの作成4.1 OAuthクライアント IDの作成 はじめに レンタルサーバーでWordPressの運用と違い、Synology NASにWord […]

plugin, Synology, Theme, WordPress
[WordPress] このサイトの表示に関係する使用している「テーマ」と「プラグイン」のリスト – ID22353 [2020/09/11]※

目次1 はじめに2 システム構成3 プラグイン・リスト はじめに 現在、見られているこのサイトの表示に関わるWordPressテーマ、およびプラグインのリストを公開します。これからWordPressでサイトの構築をされる […]

security, Synology
[Synology] 自宅に設置したNASにWordPressを構築してblog配信する場合、高まるネット・リスクとその対策 – ID22342 [2020/09/11]

目次1 はじめに2 ドコモ口座の不正引き落としサイバー事件3 ドコモ口座について4 考えられるパスワードの漏出5 Synology NAS製品での対策6 まとめ はじめに これまで、DS918+を導入しblogを公開して […]

Synology
[Synology製品紹介] NVR DVA3219 – 顔認識システム – これからのセキュリティ対策は、中小企業でも顔認識も可能かも – ID22315 [2020/09/10]

目次1 NVR DVA32192 用途3 セキュリティ4 コスト5 システム構築6 用途7 管理方法8 能力 NVR DVA3219 NVR DVA3219は、Synology Surveillance Stationの […]

plugin, Synology, WordPress
[WordPress] 「AMP」プラグイン と広告プラグイン: 「Advance Ads Pro」- 高速化と広告表示の両立を図る – ID22304-UM [2020/09/9]

ナレッジベース 不要な他のPluginを削除して、AMPから再検証する作業を全てのページに施しました。その後、AMPページとしてGoogle Adsの表示が不可になっていました。<br>AMP Pluginを […]

Page: 1 2 20
スポンサーリンク
WD 内蔵 SSD M.2 2280 / WD BLACK SN750 NVMe 500GB / WDS500G3X0C by AMAZON - ID14311

その他記事(ALL-RANDOM, ID:16786)

AGC-biologics, BIOLOGICS, Celtrion, CMO, JHL-Biotech, MabPlex
[Bio-CDMO] – 中国の新規参入CDMOの勢いは止まらないが – WuXi Biologics, MabPlex JHL Biotech – ID18811 [2020/07/12]

目次1 中国及びアジアのバイオロジクスCDMO2 CDMOの基本戦略2.1 全方位戦略は大手、新規参入は? 中国及びアジアのバイオロジクスCDMO 欧米企業の要求を満たせる中国及びアジアのバイオロジクスCDMOが急成長し […]

gourmet, LIFE
[食] 大阪市内で頂ける本格的インドカレーとナン.天満橋駅ビルで1000円 – ID1254

ビンドゥー 大阪の天満橋駅ビルにあるビンドゥーでインドカレーとナンを頂きました。1000円で食せます。ナンがなかなかのボリュームでありながら、さすがのお味でした。

english
今日の英語 – on track/delay = 予定通り/遅れあり – ID12867

プロジェクトの管理に関する用語。 計画が予定通りに進んでいる場合 : on track遅れている場合 : delay未解決 : outstanding 編集履歴 2020/04/08 Mr.HARIKIRI

BIOLOGICS, CMO
[Bio-SUB] Single Use Bioreactor – バイオ医薬品の要である培養装置 – 製造メーカーまとめ – ID18234 [2020/08/12]※

目次1 Single Use Bioreactor2 参考 Single Use Bioreactor ABECは、大型のSingle Use Bioreactor (SUB)の開発を先手で進めるメーカーである。それを追 […]

KNOWLEDGE
[Knowledge] ニューロンとグリア細胞 – ID12734 [2020/07/14]

目次1 余談2 脳の細胞3 ニューロン4 グリア細胞の種類5 Blood Brain Barrier (BBB)6 BBBが存在しない脳領域 余談 アインシュタインの脳は、死後も保存されているという。研究者によれば、アイ […]

Page: 1 2 135
スポンサーリンク
WD 内蔵 SSD M.2 2280 / WD BLACK SN750 NVMe 500GB / WDS500G3X0C by AMAZON - ID14311

スポンサーリンク

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block

スポンサーリンク

by Google Ads ID:19430 (D)