Harikiri blog and DataBase

[Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – [2022/10/08]

執筆者:

harikiri

カテゴリ:

,

暗号化共有フォルダの作成とマウント/アンマウントの方法

https://global.download.synology.com/download/Document/Software/UserGuide/Firmware/DSM/6.2/jpn/Syno_UsersGuide_NAServer_jpn.pdf

管理者権限で新しく暗号化共有フォルダを作成するか,既存の共有フォルダの暗号化設定により作成できる

  • 新規に暗号化共有フォルダを作る
  • 既存の共有フォルダを暗号化する : 既存のファイルを暗号化処理しなければならないため、容量依存で処理時間が必要。

新規の暗号化共有フォルダを作る

DSMにログインする

DSM-DESKTOP

コントロールパネルを開く

DSM

共有フォルダ > 作成 > 共有フォルダの作成

共有フォルダ 作成
  • パスフレーズを入力
  • 「キーマネージャに暗号化キーを追加する」は、キーストアを外部デバイスを使用する場合に選択する。この項目が表示されない場合は、後から設定する。
  • 大事なデータは、チェックサムをチェック
  • フォルダの最大サイズを指定できる
  • 確認画面
  • 再度の確認画面
  • 再度の確認画面

アクセス権の設定を終えれば、暗号化した共用フォルダの作成が完了する。

キーストアの初期化

暗号化のパスフレーズ (pass phrase) 即ちパスワードをSynology NAS内かUSBメモリに設定する操作。

  1. 「コントロール パネル > 共有フォルダ > 操作*1 > キー マネージャ↩️」
  2. 「キーストアの初期化」ダイヤログが表示される
  3. [キーストア場所] からキーストアとして、「外部デバイス」または「システム パーティション」を選択します。
  4. このキーストアの [パスフレーズ] フィールドは、今後、キーマネージャを起動する都度、必要となるパスワードのことです。
*1
日本語のマニュアルには、”作成“とあるのは誤記です。

キーストアの初期化の図解

「キーストアの場所」をセレクトすると、USBメモリが接続されていれば、下図のようにシステムパーティション以外の選択肢が現れる。

  • パスフレーズの保管先を選択して、パスフレーズをセットする
  • キーストアには、デフォルトの「システムパーティション」、フォーマットされたUSBメモリが挿されていれば、外部デバイスも表示される

外部デバイスに暗号キーを保管した場合、暗号解除するには、この外部デバイスと記憶している暗号キーの両方が必要となる (注意、この機能は使えるが、暗号キーのみで解除もできてしまう)

  • この外部デバイスをなくすと、暗号解除が出来なくなる
  • パスフレーズを忘れると、暗号解除が出来なくなる

暗号化共有フォルダのマウント

パスフレーズでマンウト

キーマネージャを使用しない場合のマウント方法

  • 暗号化 > マウント
  • パスフレーズ
  • ↩️

外部デバイスでマンウト

キーストアとして外部デバイスを使った場合のマウント方法

  • キーがストアされているUSBメモリをNASに挿し、自動的にマウントしたことを確認
  • コントロールパネル > 共有フォルダ > 操作 > キーマネージャ > ↩️
  • 以下の図のように、「パスフレーズ検証」ダイヤログが表示される
  • パスフレーズを入力↩️
  • 該当する共有フォルダがマウントされる。
  • 以下の図が現れる
  • test_2フォルダがマウントされる
  • 「起動時に自動でマウント」の設定が可能

「構成」から「パスフレーズの変更」が可能

暗号化共有フォルダのアンマウント

共有フォルダを開く(下図、左上)

DSM
  • 「暗号化」をクリク
    • アンマウントをクリック → 鍵がかかる
DSM

既存のフォルダを暗号化

すでにあるフォルダを暗号化するには,共有フォルダ アプリから,

  1. フォルダをクリックして選択状態にする
  2. 「編集」タグをクリックして,編集ダイオログを表示させる
  3. 「この共有フォルダを暗号化する」のチェックボックスにチェックを入れる
  4. 暗号化キー(一般的にはパスワード),確認キーを設定する
  5. 「保存」する

実際の運用の詳細

秘匿性を最大限にするには,ネットワークには繋がない運用が最も効果があるわけですが,この御時世そうもいきません.そこで,必要な時にマウントする運用とすることを提案します.

  • 今回、暗号化共有フォルダを導入する目的は、データの秘匿性を高めることである
  • もしも、管理者権限が不正アクセスで破られたとしても、更に暗号化共有フォルダの暗号キーが解読される確率は、非常に低くセキュリティレベルは申し分ないと考えられる
  • 外部デバイスによる運用が追加であれば、更に、セキュリティ・レベルは高くなる
  • しかし、DSMの現バージョン(DSM 6.2.2-24922 Update 5, 2020/4時点)では、キーストアを外部デバイスにしても、暗号キーのみでマウントできてしまう。実質的に、セキュリティレベルはレベル1(ネットからマウント可能)である
  • 今回、外部デバイスによるマウント運用によるセキュリティレベル2(ネットからマウントできず、物理キーであるUSBメモリーにある暗号キーのみでしかアクセスできない状態)は見送り、レベル1で運用する。以上の解釈は少し間違えているように思えるが、今後よく考えて解釈を訂正するかも知れない
  • 次期バージョンアップでの改善を期待するが、そもそも、僕が考えているレベル2のセキュリティは、DSMの仕様上に存在しないのかもしれない。一つの策としては、パスフレーズを最大化すれば、限りなく僕の考えるセキュリティ・レヒベル2に近づく。

関連記事:

  1. Synology NAS : Multi Domain ~ 1つのNASの上に複数ドメイン名でサイトを構築する [2025/07/02追記] Post Views: 269 はじめに WordPressは,PHP + MySQL (mariaDB)ベースの動的なCMSです.DSMに内蔵されたWeb Station (ApacheまたはNginx) + PHPが […]…
  2. Synology : RT6600ax ~ローカルから「当サイト」は閲覧できたが外からは見れなかった原因 (2025/06/12_9:00~10:40普通)になった対応の結果について [2025/06/16追記] Post Views: 91 はじめに 朝起きて何気に行っている当サイトの確認ルーチンにおいて,iPhoneのSafariからサイト閲覧ができない現象に遭遇した. 機器構成は以下のとおりけ 現象は以下の通り. 解決 以上 […]…
  3. ネットワークセキュリティ : UTMルーターは必要か?Buffalo VR-U500X・Synology Router 6600ax・余りPCで作るUTMを比較考察する. Post Views: 83 はじめに 自宅や小規模事業所でSynology NASやWordPressを外部公開している場合、通常の家庭用ルーターだけで十分なのか、UTMルーターを導入すべきなのか迷うことがあります。 […]…
  4. ネットワーク・セキュリティの一例なのか? Google Analyticsでは日本以外からのアクセスは無かったが,特定のIPからのアクセスがこの2週間で劇的に増えたのでDenyした [2026/02/08] Post Views: 52 当サイトのGoogle Analyticsの集計では,毎日のアクセス数として100程度が通常運転であり,日本以外からのアクセスはUSや欧州からのものが一桁程度にとどまっていた. この2026 […]…
  5. WordPressでメールをsmtpで飛ばすのはWP Mail smtpでもPost smtpでも可能だが,Ultimate Memberとの組み合わせでは,Post smtpじゃないと相性が悪い[2026/04/25~2026/05/21] Post Views: 47 しばらくサイトをほっておいたら... ほっておいたらは,ほったらかしにしておいたらのことで,何弁(なにべん)なんだろうか.おそらく大阪弁! それはさておき,WordPressのプラグインでW […]…

人気順

投稿をさらに読み込む