Synology NASにセキュリティ強化対策として、2要素認証を設定して、DSMへログインへの認証にパスワード以外の認証を追加します。
DSMでは[信頼できるデバイス]を記憶する機能により、認証時の負担を増やすことなくセキュリティ強化を行うことが出来ます。
前提 本記事でのDSM(OS)バージョンは、Synology DSM 7.0 を用いています。
1.2要素認証とは
アカウントのサインイン時に、パスワードによる認証以外の認証を追加して、セキュリティを強化します。
もしパスワードが流出したり、ブルートフォースアタックによりパスワードを突破されても、追加した認証により不正なサインインを防止します。
追加の認証としては専用のハードウェアキー、ワンタイムパスワード(OTP)、Synology Secure SignInアプリによるサインインの承認が使用できます。
ワンタイムパスワードについては、Synology Secure SignInアプリだけではなく、Googleの認証アプリ(Arthenticator)も使用可能です。
今回はSynology Secure SignInアプリを使用して、ワンタイムパスワード(OTP)またはSignInアプリによるサインインの承認を使用する手順を紹介します。
2.2要素認証の設定
2-1.OTP(ワンタイムパスワード)の設定
[コントロールパネル]>[セキュリティ]>[アカウント][2要素認証]で、[管理者グループユーザに2要素認証を強制する]にチェックを入れ、[適用]をクリックします。
「今すぐ2要素を設定しますか」のダイアログが出てくるので[今すぐセットアップ]をクリックします。
[後でセットアップ]を選んだ場合は、次回ログインするときの実行となります。
2要素認証の設定が開始されるので、[起動]をクリックします。
スマートフォンに認証アプリをインストールします。
今回は、Synology製のSecure SignInアプリをIPhoneにインストールして使用します。
QRコードをスマートフォンのカメラで読み取り、アプリのインストールを行います。
インストール完了、または既にインストール済であれば[次へ]をクリックします。
Secure SignInアプリのセットアップを行います。
スマートフォンでSecure SingInアプリを起動し、アプリのQRコード読み取り(+マーククリック)で画面上のQRコードを読み取ります。
QRコードを読み取ると、Secure SingInアプリにOTP(ワンタイムパスワード)のアカウントが追加されます。
2要素認証の設定に戻り、Secure SingInアプリに表示されているOTP(ワンタイムパスワード)を確認コードの欄に入力して、[次へ]をクリックします。
バックアップメールの設定を行います。
もし、スマートフォンを紛失したり、スマートフォンが壊れて起動しなくなったりすると、2要素認証が出来なくなり、DSMのログインが出来なくなります。
そういった場合に、バックアップメールに緊急コードを送信してログインを行います。
よって、必ず、有効なメールアドレスを設定しておく必要があります。
2要素認証の2段階目サインインがOTP(ワンタイムパスワード)となっており、バックアップメールアドレスに先ほど入力したメールアドレスが設定されていることを確認し、よければ[完了]をクリックします。
ここまでの設定で2要素認証が設定され、ログイン時の2段階目の認証にOTP(ワンタイムパスワード)が設定された状態となっています。
2-2.[サインインの承認]の追加
今回はさらに、Secure SingInアプリによる[サインインの承認]を、2段階目の認証として追加を行います。
[コントロールパネル]>[セキュリティ]>[アカウント][2要素認証]で、「個人のアカウントに対して2要素認証をセットアップできます」の[個人]の部分をクリックします。
[サインインの方法]の[2要素認証]をクリックします。
[2要素認証用のデバイス管理]の[サインインの承認]をクリックします。
登録デバイスがない状態ですので、[追加]をクリックします。
[サインインの承認]を2段階サインインに使用する設定画面で[起動]をクリックします。
認証アプリのインストール画面が表示されますが、インストールは済なのでそのまま[次へ]をクリックします。
2要素認証の設定画面にて、QRコードが表示されますので、スマートフォンでSecure SingInアプリを起動し、アプリのQRコード読み取り(+マーククリック)で画面上のQRコードを読み取ります。
Secure SingInアプリの[アカウント]に[サインインの承認]を行うアカウントが追加されました。
[サインインの承認]を2段階サインインに使用できるようになった旨の表示が行われますので、内容確認後、[完了]をクリックして設定を完了させます。
[サインインの方法]の[2要素認証]に、[サインインの承認]が追加されています。
[保存]をクリックして設定完了となります。
3.2要素認証によるセキュリティ強化
2要素認証を有効にした場合、通常のパスワード認証の後に、2段階目の認証ステップが実行されます。
[サインインの承認]を有効化させているので、スマートフォンのSecure SignInアプリにサインインの要求が通知されます。
なお、[他のサインイン方法]をクリックすることにより、[サインインの承認]以外の手段であるOTP(ワンタイムパスワード)を選択することが出来ます。
スマートフォンのSecure SignInアプリにて[サインイン要求を承認しますか]の表示が行われるので、[承認]をタップします。
[承認]をタップすることにより、2段階目の認証が承認され、DSMにログインすることが出来ます。
また、[サインインの承認]時に、[このデバイスについて次回から確認しない]をチェックしてからスマートフォンのSecure SignInアプリで[承認]を行うと、今回ログインを行ったデバイスがDSM側に記憶されます。
記憶されたデバイスについては、信頼できるデバイスとして、次回サインインから2段階目の認証をスキップすることが出来ます。
信頼できるデバイスについては、2要素認証の画面の[管理]にて管理(設定の削除)を行うことが出来ます。
現在ログインに使用したデバイスの取り消し、その他の記憶したデバイスの取り消しを行うことが出来ます。
特定のデバイスを選択して取り消すといったことはできないので、たとえば、信頼できるデバイスとして登録したデバイスを紛失したような場合は、一旦すべてのデバイスを取り消して、必要なデバイスのみ再度登録しなおすしかないようです。
4.2要素認証の使用にあたり注意しなければならないこと
OTP(ワンタイムパスワード)は認証に使用するデバイス(スマートフォン)とNAS(DSM)の時刻があっていないと認証が通りません。時刻があっていること、NTPサーバに同期されていることを事前に確認しておきましょう。
2要素認証の2段階目の認証に使用するデバイス(スマートフォン)を紛失したり、故障して起動しなくなったりした場合、DSMにログインできなくなりますので、かならずバックアップメールの設定をしておきましょう。
2段階目の認証で緊急コードの送信を実際に実施してみて、バックアップメールのアドレスが有効であることを必ず確認しておきます。
信頼できるデバイスとして2段階目の認証をスキップさせる設定を行ったデバイスを紛失してしまった場合は、速やかにDSM側にて信頼出来るデバイスとして記憶したデバイスを取り消しして、手持ちのデバイスの再設定を実施します。
もし、自分の心当たりのない[サインイン要求を承認しますか]の表示がスマートフォンの画面に突然表示された場合、自分のアカウントのパスワードが流出しており、誰かがアカウントへのログインを試行している可能性が高いと思われます。間違ってスマートフォンの画面で[承認]を押さないことと、火急速やかにアカウントのパスワードの変更を実施します。
5.まとめ
Synology NASのDSMにて2要素認証を設定してセキュリティを強化する手順を紹介しました。
NASには個人の重要なデータが詰まっているので、Synology NASの基本のセキュリティ強化対策として、かならず設定しておきたい機能ですね。
以上、最後まで記事を読んでいただき、ありがとうございました。
