NAS(Network Attached Storage)とは、ネットワークに接続して使用するストレージのことで、社内はもちろん、会社の外部にある端末からもデータを共有できる設備です。働き方改革や新型コロナウイルスの影響で、テレワークの普及が急速に進む中、簡単に導入でき、どこでもデータをシェアできると、注目を集めています。 そこで今回は、QNAP Systems, Inc.の「TS-453D」という製品を導入し、実際に外部から安全に接続できるまでの手順と、気になるセキュリティを高める設定方法を紹介します。

チャレンジ&ナレッジ最終更新日: 20210107

QNAPのNAS TS-453DにDDNSで外部からVPN接続

  • このエントリーをはてなブックマークに追加

NAS(Network Attached Storage)とは、ネットワークに接続して使用するストレージのことで、社内はもちろん、会社の外部にある端末からもデータを共有できる設備です。働き方改革や新型コロナウイルスの影響で、テレワークの普及が急速に進む中、簡単に導入でき、どこでもデータをシェアできると、注目を集めています。
そこで今回は、QNAP Systems,Inc.の「TS-453D」という製品を導入し、実際に外部から安全に接続できるまでの手順と、気になるセキュリティを高める設定方法を紹介します。

QNAPアカウントの作成

NASを利用するためには、ローカルネットワークのパソコンからNASへデータをアップロードしたり、逆にNASに保存されたデータをダウンロードできるように、設定を行う必要があります。
今回使用するQNAPは、リモートでNASに接続するための「myQNAPcloud」というクラウドサービスを提供しています。
ここではまず、そのサービスを利用するために「QNAP Qfinder Pro」というアプリケーションをインストールして、必要な「QNAPアカウント」を作成していきます。

はじめに、ブラウザでmyQNAPcloudオフィシャルサイトにアクセスして、リモートでNASにアクセスするのに必要なアカウントを作成します。

“myQNAPcloudオフィシャルサイト”
https://www.myqnapcloud.com/

myQNAPcloudのサインイン画面myQNAPcloudのサインイン画面

「今すぐサインアップ」をクリックすると、「QNAPアカウントセンター」の画面になるので、アカウント登録に必要なニックネーム、メールアドレス、パスワードを入力。「サインアップ」をクリックすると、メールアドレスの有効確認のため、アクティベーションメールが送られます。
メール内のリンクをクリックして認証すると、QNAPアカウントの作成が完了します。

QNAPアカウントセンターの画面右側に必要項目を入力QNAPアカウントセンターの画面右側に必要項目を入力

アカウント登録ができたら、myQNAPcloudのサインイン画面に登録したメールアドレスとパスワードを入れて、サインインします。
「QNAPアカウントセンター」の左メニューにある「プロファイル」画面を開いてください。

QNAPアカウントセンターのプロファイル画面QNAPアカウントセンターのプロファイル画面

ここで、アカウントの2段階認証ができるよう、管理可能なSMSメッセージ対応の携帯番号を登録していきます。

「電話番号の追加」にSMSが受信可能な携帯番号を入力「電話番号の追加」にSMSが受信可能な携帯番号を入力

「次へ」をクリックすると、SMSで確認コードが届くので、入力して「確定」をクリックします。

SNSを確認して、確認コードを入力SNSを確認して、確認コードを入力

有効化に成功しました!有効化に成功しました!

NASの設定

QNAPアカウントをつくることができたので、ここから今回使用するNAS TS-453Dにアクセスできるように設定していきます。

まずQNAPの公式サイトにあるダウンロードセンターから、「Qfinder Pro」というアプリケーションソフトウェアをダウンロードして、インストールしていきましょう。

“TS-453D – ダウンロードセンター – QNAP”.QNAP Systems, Inc.
https://www.qnap.com/ja-jp/download?model=ts-453d&category=utility

「QNAP Qfinder Pro for Windows」の行にあるリンクからダウンロードしたexeファイルをダブルクリックして、インストールを開始します。
インストールできたら、「QNAP Qfinder Pro」アプリを起動し、使用するNASを選択して、ダブルクリックします。

「TS-453D」とある行をダブルクリック「TS-453D」とある行をダブルクリック

ダブルクリックするとブラウザが起動して下図の画面が開くので、管理者(ID:admin/パスワード:adminまたはMACアドレスから記号を省いた文字列)でログインします。

管理者用パスワードは機器に搭載されているQTS(QNAPのNAS用OS)のバージョンにより異なります。詳しくは下記ページも参考にしてください。
“QTS のデフォルトの管理者のユーザー名とパスワードを教えてください。

.QNAP Systems, Inc.
https://www.qnap.com/ja-jp/how-to/faq/article/qts-%E3%81%AE%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%90%8D%E3%81%A8%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E6%95%99%E3%81%88%E3%81%A6%E3%81%8F%E3%81%A0%E3%81%95%E3%81%84/

管理者IDとパスワードを入力管理者IDとパスワードを入力

続いて、NASの管理画面の左上にあるメニューの項目にある「myQNAPcloud」を選択します。

NASの管理画面で「myQNAPcloud」を選択NASの管理画面で「myQNAPcloud」を選択

「使用開始」ボタンをクリックします。

「使用開始」ボタンをクリック「使用開始」ボタンをクリック

myQNAPcloudウィザード画面が立ち上がるので、「開始」をクリック。

ウィザード画面で「開始」ボタンをクリックウィザード画面で「開始」ボタンをクリック

「QNAP ID」と「パスワード」に、それぞれMyQNAPcloudオフィシャルサイトの「QNAPアカウントセンター」で登録したメールアドレスとパスワードを入力し「次へ」をクリックします。

登録したQNAP IDのアカウント情報を入力登録したQNAP IDのアカウント情報を入力

「デバイス名」にアクセスしたいNASの名前を登録します。
使用可能な名前(他のデバイスと重複している名前は使用できません)を入れると、欄の右にグリーンのチェックマークが入りますので、この状態で「次へ」をクリックします。

デバイス名を入力デバイス名を入力

次に、デバイス設定を行います。
まず「自動ルータ構成」「DDNS」「公開サービス」「myQNAPcloud Link」の4つにチェックマークを入れ、「アクセスコントロール」で「カスタマイズ」を選んで「次へ」をクリックします。

すると、登録が始まります。
完了すると、下図のような表示になり、「完了」をクリックすると登録完了です。

NASへの接続

これで、今回使用するTS-453Dへ接続する設定が完了しました。
それでは実際に、外部ネットワークから接続できるか試してみましょう。

まずは「myQNAPcloud」公式サイトにブラウザでアクセスし、「サインイン」をクリックします。

“myQNAPcloud公式サイト”
https://myqnapcloud.com

myQNAPcloud公式サイトで「サインイン」をクリックmyQNAPcloud公式サイトで「サインイン」をクリック

QNAP IDとパスワードを入力して、「サインイン」をクリック。

下図のような画面が表示されますので、NASに登録されているユーザー名(初期値はadmin)とパスワードを入力し、「ログイン」をクリックしてください。

NAS内にあるフォルダやファイルが表示され、アクセスできるようになりました。

ここではパソコンでのアクセス方法を紹介しましたが、NASへはスマートフォンやタブレットなど、さまざまな端末からもアクセスすることができます。
スマートフォンやタブレットからの接続手順は、下記の記事を参考にしてください。

“ファイル共有&クラウド連携機能付きNASを使ってみる”
https://www.pc-koubou.jp/magazine/15978#section04-02

また、今回はNASへのアクセスにDDNSサービスを使用するための設定を行いましたが、myQNAPcloudではmyQNAPcloudポータルを通してQNAP NASへアクセスできる「SmartURL」を利用できます。
SmartURLはmyQNAPcloudの「概要」画面で確認することができます。


SmartURLは、例えば「https://qlink.to/NEXMAG」のように、qlink.to/の後が設定したデバイス名になっていて、短くて覚えやすいURLになっています。

インターネットに接続できる環境であれば、ブラウザにSmartURLを入力するだけで、どのパソコンからでもアクセスできます。
今回の設定の場合、https://qlink.to/NEXMAGもしくは、https://www.myqnapcloud.com/smarturl/nexmagにブラウザーでNASの管理画面にアクセスします。
アクセスコントロールで「カスタマイズ」か「プライベート」を選択している場合、サインインが求められます。

myQNAPcloud Linkについては下記ページの情報も参考にしてください。

“myQNAPcloud Link | NASにリモートからアクセス | QNAP”.QNAP Systems, Inc.2020
https://www.qnap.com/solution/myqnapcloud-link/ja-jp/

VPN接続を利用したNASへのアクセス

 はじめに、NASのIPアドレスを固定します(ルーターのポート開放設定時に必要です)
NASの管理画面から「ネットワークと仮想スイッチ」を開きます。

開いた画面左の「ネットワーク」->「インターフェース」から表示されたアダプターリストの右側(…)をクリックし、設定を選択します。

表示された設定より、「IPv4」で選択されている「DHCP経由でIPアドレス設定を自動設定する」から「静的IPアドレスを使用する」へ変更し、「固定IPアドレス」を入力して適用します。

続いて、アクセスに必要なユーザーを管理画面「コントロールパネル」>「ユーザー」>「ユーザー」の作成から登録します。

※一度に多く登録する場合、「ユーザーのインポート/エクスポート」から「ユーザー名(必須)、パスワード、部署、ユーザーの説明、メールアドレス」の一覧をCSVファイルで作成して一括インポート登録することも可能です。

次に、VPN接続を利用する場合には、前出の(メーカーサイト(myQNAPcloud)を利用してアクセスする方法)とほぼ同様の手順でデバイス登録作業までを実施しますが、デバイス設定(ウィザード)の画面では、「DDNS」、「myQNAPPcloud Link」の2つにチェックマークを入れデバイス設定を登録します。

下図がデバイス登録完了後の「DDNS」設定内容です。

下図はデバイス登録完了後の「myQNAPcloud Link」設定内容です。

次に、管理画面のApp Centerより「QVPN Service」アプリをインストールします。

続いて、インストール完了したQVPN Service アプリを開き「VPNサーバー」>「L2TP/IPSec(PSK)」から「L2TP/IPSec VPNサーバーを有効にする」にチェックを入れ、「事前共有鍵」を入力し「DNSサーバー」はNASデフォルトのままとし「適用」をクリックします。

次に、登録したユーザーにVPN接続の権限を設定します(権限設定がされていないと接続時に、権限エラーとなります)。

次に、ルータの設定が必要ですが、お使いのルータがVPN接続に用いる設定の自動設定に対応しておらず、「myQNAPcloud」の「自動ルータ構成」を使用できない場合、手動でNASのIPアドレスに対してUDPの500番、1701番、4500番のポートフォワーディング(ポート解放)設定を実施します。
※設定方法、名称などは、メーカごとに異なるので、利用するルータのマニュアルを参照して確認してください。

また、「自動ルータ構成」では、VPN接続に必要なポート番号などの確認をすることができますので、参考に「myQNAPcloud」の「自動ルータ構成」を後から有効にする手順を以下に記載します。

まず管理画面から「myQNAPcloud」の「自動ルータ構成」選択し、「UPnPポート転送を有効化」にチェツクを入れ「適用」をクリックします。

スキャンが実施され転送サービスの状況などが表示されます。

最後に、外部インターネットから接続するクライアントPC(Windows10)側の設定です
Windows10の「設定」>「ネットワークとインターネット」>「VPN」から、「VPN接続を追加する」を選択します。

VPN接続を以下のように設定し、追加します。

「VPNプロバイダー」==> Windows(ビルトイン)
「接続名」==> (任意の名称)
「サーバー名またはアドレス」==> nexmag.myqnapcloud.com
「VPNの種類」==> 事前共有キーを使った L2TP/IPSec
「事前共有キー」==> (事前共有キーに設定した文字列)
「サインイン情報の種類」==> 「ユーザー名とパスワード」
「ユーザー名(オプション)」==> (NASに設定した接続権限のあるユーザー名)
「パスワード(オプション)」==> (NASに設定した接続権限のあるユーザーのパスワード)
「サインイン情報を保存する」==> (チェックを入れる)

上記設定後、「保存」します。

クライアントPCが、外部インターネットに接続された状態で、追加されたVPN接続を使用して接続してください。

続いて下図のようにエクスプローラーで、NASのIPアドレス(デフォルトは、10.2.0.1)を入力して、ファイルにアクセスできることを確認してください。

NASの管理画面の左上にある「コントロールパネル」をクリック。NASの管理画面の左上にある「コントロールパネル」をクリック。

NASへのアクセス時のセキュリティ対策

どこからでもインターネットを介してアクセスできるNASは、利便性に優れている反面、不正アクセスなどの危険がついて回るため、セキュリティがとても重要になります。
安心して外部インターネットを経由したデータのやり取りを行うために、セキュリティの設定をしっかり行っておきましょう。

セキュリティ設定を変更するには、NASの管理画面から「コントロールパネル」>「システム」>「セキュリティ」を選択してください。

上段の「システム」にある「セキュリティ」から設定変更が可能。上段の「システム」にある「セキュリティ」から設定変更が可能。

パスワードポリシーの設定

「セキュリティ」画面を開いたら、上メニューにある「パスワードポリシー」でパスワードを入力する際のパスワード強化を行います。
特に、外部からアクセスできるようにする場合は、「admin」ユーザーのパスワードをデフォルトから複雑なものへ、変更することをおすすめします。

「パスワード強化」で「制限なし」を選択することで、パスワードの強度が向上します。
「パスワードの変更」も「ユーザーによる定期的なパスワード変更を必須にする」を選択し、有効となる最大日数を指定しておきましょう。
オプションで「パスワード失効の1週間前にユーザーに通知メールを送信する」を選択しておくと、便利です。
最後に「適用」をクリックして設定完了です。

アカウントアクセス保護を有効にする

アカウントアクセス保護は、指定した期間内にログイン試行が数回にわたって失敗した場合に、アカウントを自動的に無効化する設定です。
こちらも「セキュリティ」画面の上メニューから「アカウントアクセス保護」を選択し、「次の期間内」から期間を、「ログイン失効回数」から回数を設定して、「適用」をクリックします。

この際、「次の期間内」を「1分間」、「ログイン失効回数」を「5回」にすると、最も厳しい設定になります。

IPアクセス保護を有効にする

IPアクセス保護とは、利用者が一定の時間内に指定した回数以上にログインを失敗した場合に、アクセス元であるIPアドレスからの接続を一時的にブロックする機能です。
この時、ログイン失敗時の制限(IPアドレスを遮断する条件)を厳しくしておくと、不正アクセスの防止につながります。

「セキュリティ」の上メニューにある「IPアクセス保護」を選択すると、「次の期間内」に設定した時間内に、「ログイン失敗回数」に設定した回数のログイン試行失敗が確認された場合、「IPブロック長さ」に設定した期間の間、自動的にアクセスをブロックするように設定できます。

最も厳しい設定にしたい場合は、「次の期間内」を「1分間」、「ログイン失敗回数」を「5回」、「IPブロック長さ」を「制限なし」に設定してください。

許可/拒否リストを設定する

「許可/拒否リスト」を設定しておくと、設定したIPアドレスやネットワークドメインからのみアクセスを許可できたり、逆に指定したIPアドレスやネットワークドメインからのアクセスを拒否したりすることができます。
「セキュリティ」画面の上メニューから「許可/拒否リスト」を選択し、「リストからの接続だけを許可する」を選択してみましょう。

「追加」をクリックすると、指定したいIPアドレスかネットワークドメインを入力できます。

IPアドレスかネットワークドメインを入力し、「作成」をクリックします。

リストに追加されたら、リストの左端にあるボックスにチェックを入れ、「適用」をクリックすれば、設定完了です。

間違えると、NASへのアクセスができなくなってしまいますので、注意して設定を変更してください。

myQNAPcloudのサイトからNASへのアクセスを防ぐ

実は「myQNAPcloud」では、登録完了後にデフォルト設定のままにしておくと、誰でも「myQNAPcloud」のトップページにある検索窓で、NASを検索することができるようになっています。
第三者に見られたくない場合は、自分のNASにアクセスできないように設定を変更する必要があります。

検索してアクセスできるが、別途パスワードが必要な設定

「myQNAPcloud」のトップページで検索することはできても、アクセスする際にパスワードの入力を必要とするように設定したい場合は、NASの管理画面の左上にあるメニューから「myQNAPcloud」を選択し、「公開サービス」をクリックします。
その中から、共有したいNASサービス「公開」と「プライベート」のチェックボックスにチェックを入れます。

次に、ページ下部に表示された「myQNAPcloudアクセスコード」を入力します。

※画面内にも注意書きがありますが、6〜16文字で、アルファベットの大文字と小文字、数字の0〜9のみ使用可能です。他の人に類推されにくく、自分が忘れず管理できるコードを設定しましょう。

続いて、「ユーザーの追加」をクリックします。
この際、追加したいユーザーはあらかじめユーザー登録が必要ですので、注意してください。

許可をしたいユーザーの「myQNAPcloudウェブサイト」のチェックボックスにチェックを入れ、「適用」ボタンをクリックします

その後、許可を選択したユーザーが一覧に表示されているかを確認しましょう。
ユーザー登録したことを相手に知らせたい時は、ユーザー名の左にあるチェックボックスにチェックを入れ、「招待メール送信」をクリックすると、お知らせするメールを送ることができます。
(ただし、メールを送信するためには、NASのSMTP設定が完了している必要があります)

検索できないようにする設定

次に、「myQNAPcloud」のトップページから検索することができないようにする方法を紹介します。

NASの管理画面の左上にあるメニュー項目から「myQNAPcloud」を選択し、「公開サービス」をクリックします。
「NASサービス」の「公開」についているチェックをすべて外し、「適用」をクリックします。

次に、左メニューから「アクセスコントロール」を選択し、「デバイスアクセス制御」を「プライベート」にして、「適用」をクリック。
これで、本人のみがアクセスできるようになります。

アクセスポート番号を変更する

アクセスポート番号とは、ネットワークでデータを通信するための扉のようなもので、外から中へ入ることができるように指定された番号です。
QNAPでは、デフォルトでアクセスポート番号が「8080」になっているため、異なるポート番号へ変更することで、外部からの侵入を受けにくくすることが大切です。

変更するには、NASの管理画面の「コントロールパネル」から「一般設定」を選択します。
上部メニューの「システム管理」を選択し、「システムポート」をデフォルトの8080から変更して、「適用」をクリックしてください。

セキュリティを徹底して、安全にNASを活用!

会社の外部から、誰でも簡単にアクセスでき、複数のパソコンや端末でファイルを共有できるNASは、今後も仕事の効率化やリモートワークの導入などで大活躍しそうな設備です。
データを保存しておくことで、個々のパソコンにトラブルがあった時も、データの損失を回避することもでき、データの保管先としても便利だと思います。
しかし、インターネット上にデータを保管している以上、情報漏洩や不正アクセスなど、セキュリティ面に不安があるのも事実。複数の人材がデータを共有しているため、トラブルがあれば損害や影響も広範囲にわたります。導入時からしっかりとセキュリティレベルを上げて、できる限りの対策をすることが大切です。安全な管理の上で、NASの利便性を最大限に活用しましょう!

ライタープロフィール パソコン工房NEXMAG
[ネクスマグ] 編集部

パソコンでできるこんなことやあんなこと、便利な使い方など、様々なパソコン活用方法が「わかる!」「みつかる!」記事を書いています。

記事を
シェア