[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – [2022/10/08]

2. 物理的な流出

例えば，空き巣に入られてNASが持ち去られる．また、想定しづらいケースとして、自分が死亡した後のことです．管理者である自分が死亡した場合，そのほとんどのデータは，家族写真など家族と共有物していた重要なデータもあるかも知れませんが、ほとんどは、家族には必要の無いものばかりでしょう．

家族に必要のない負担や迷惑が掛からないように，なんの後処理の必要が無いようにできれば，それに越したことはありません．単に廃棄物として廃棄できるのが望ましと考えます．

• 対策:
  • 暗号化
    持ち去られたとしても暗号化されていることで、データは秘匿のまま守られます．かける鍵は複雑にすることを心掛ける(この場合，自分が納得することが重要)
  • 操作概要
    共有ドライブの設定から，フォルダーに対して暗号により鍵を掛けます．
  • 運用
    アクセスする時だけ，暗号を解き(マウント)，使用が終わったら鍵を閉める(アンマウント)する，のが好ましいです．マニュアルで実行するのは煩雑なので，このアンマウントの作業は自動化を取り入れます．具体的には，定期的にNASを再起動するスケジュールを組んでおくことです．シャットダウンするとマウントは解除されることを利用するのが味噌です．

暗号化方式の解説

Synology NAS (DS918+，DS920+, DS1621xs+,etc)のDSMでは，暗号化方式としてAESが採用されています．Advanced Encryption Standard (AES)は，2001年に米国政府で採用され始めた256ビットの暗号化方式です．暗号化とその解除には同じ暗号化キーを使う対称性のあるアルゴリズムであるということです．以下には、暗号化について知っておくべきことについて列挙しました。

• DSMの暗号化方式は、AESです
• 暗号化には、ソフトウエアでも実施可能ですが実用的ではありません。そこで、ハードウェアによる暗号化をサポートしているミッドレンジ以上のNASにしか使用できないことが多いようです(DS918+, DS920+, DS1621xs+, etc.)
• 暗号化には、暗号化時のシステム情報を含む丸ごと実行する場合や、それらの情報を含まないで暗号化を実行する方法があるようです。システム情報を含む場合、HDDだけを取得して別の機器に乗せても，異なるNASなどではシステム情報が異なっているためデータの複合化はできません．すなわち内容にアクセスすることはできません

暗号化した共有フォルダのキー管理　- Synology site – より

https://www.synology.com/ja-jp/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

Synology NAS で共有フォルダを暗号化および暗号化解除する方法　- Synology site – より

暗号化キーは、エクスポートして別途保管しておくことが望ましい

https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/File_Sharing/How_to_encrypt_and_decrypt_shared_folders_on_my_Synology_NAS

暗号化に関する用語

暗号キー

最初に暗号化共有フォルダを作成する際に設定するキー (Encryption Key)のこと。キーストアに保管される。

キーの暗号化方法は，①パスフレーズと②マシンキーの2つがあるが、バスフレーズは、一般名としてのパスフレーズであり、キーマネージャのログインの際に入力するパスフレーズとは異なる。

① マシンキー : Machine Key, HDDが接続されたSynology NASでのみ暗号を解除できる．すなわち，HDDを取り外し，他のマシンに載せ替えての暗号化の解除はできない．

② パスフレーズ : マシンキーを使わないキー解除法

キーマネージャ

キーマネージャ (key manager)は、共有フォルダの暗号化に使用したキーの管理を行うDiskStation Manager (DSM)のプムグラム(デーモン)である。キーは、キーストアに保管されている。

• 共有フォルダ > 操作 > キーマネージャ↩️
• パスフレーズ入力(実質的にキーマネージャへのログイン)↩️
• 追加 > 暗号化共有フォルダ > 「暗号キー」入力 > 画面にリストアップで、複数の暗号化共有フォルダを一元的に管理できる
• 「構成 > キーマイグレーション >今すぐ移行する」でキーストアを「システムパーティション」から外部デバイスの「USBメモリ」に設定する　(この設定は、機能していない。以下の「注意」を参照。バグの可能性がある)

キーマネージャのパスフレーズ

Pass Phrase, キーマネージャへのパスワード。暗号化キーとは異なるので注意。パスフレーズを知るものがキーストアの変更ができる．

• パスフレーズは、再設定可能
• キーマネージャを起動する度に入力が求められる

キーストア

キーストア (key store)は、キーが，保管されている場所。

• キーマネージャにキーの管理を任せると、デフォルトの「システムパーティーション」に加えて、「外部デバイス」が使用可能になる．
  
• 外部デバイスをキーストアにすると、その外部デバイスと共に、パスフレーズの照合が必要になるので、その外部デバイスを持っていて、且つ、現地において、NASに外部デバイスを挿さなければ、暗号の解除できない．ネットからの解除ができないと言うことである。即ち、これは最もセキュリティレベルが高い。
  
• ネットからの暗号化共有フォルダを使いたい場合、パカチョンで一般的な使用方法は、キーマネージャの使用設定をしないで、パスフレーズのみでキー解除とするか、キーファイル (key file)をダウンロードしておいて、USBメモリなどで持ち歩く必要がある。
  • パスフレーズのみでキー解除
  • パスフレーズとキーファイルでキー解除
    
• キーファイルは、「キーのエキスポート」により行う．アンマウント時には、キーファイルの入力を促するチェックもあるので、キーファイルがある場合は、ファイルを指定してキー解除しマウントする。

* 現在、外部デバイスをキーストアに設定しても、「共有フォルダ > 暗号化 > マウント > 暗号キーの入力」でキー解除が可能です。これでは、意味がないので、他に設定が必要か検証中です (2020/04/18)。