自宅で外部からアクセスできるNAS構築って危険が一杯 止めるべきだ

    2016/01/01

管理人の使っている無線LANルーターのWZR-1750DHP2には簡易なNASの機能が付いている。
これをインターネット側に公開してファイルアクセスができる機能がある。
管理人はこの方式はセキュリティー的に非常に問題だと思うのだ。

バッファローのWZR-1750DHP2

広告

インターネット側からのアクセスは怖い

管理人は企業のネットワークを沢山見てきた。
特にインターネットを利用してモバイルから社内ネットワークに接続するという仕組みを専門としてきた。

インターネット上にアクセスできる経路を設置するという事はセキュリティー上において非常に怖い事なのだ。
だから企業がこうしたアクセス経路を設置する場合には非常に厳しいセキュリティー上の関門を設置する。

具体的には次のような方式があり複数を組み合わせることがほとんどだ。

  • IDとパスワード
  • アクセスする通信機器(電話機とかカードとか)の個体認証
  • ソースIPによるアクセス制限
  • PC端末の証明書を使用する
  • IP-SecのVPNを張る
  • ワンタイムパスワード
  • パターン認証
  • 生体認証

怖いからこそこうした仕組みを駆使してインターネット側からの攻撃を食い止めるのだ。

広告

WZR-1750DHP2のNAS機能のインターネット公開

前述したようにWZR-1750DHP2には非常に簡易だがNAS機能が付いている。
この仕組みはLAN内からは非常に便利に利用できるので管理人もこの機能の恩恵に預かっている

この機能はさらにインターネット側に公開してWebでのアクセスもできるようになっている。
つまりWZR-1750DHP2がWebサーバーとなってIDとパスワードで認証しファイルサーバーとして機能する。
さらにご丁寧な事に「BuffaloNAS.com」というサーバーでDDNSも利用できるようだ。

結論から言うとこれは止めといたほうが良い。

 

ルーターが剥き出しになっていること自体が危険

そもそもインターネット側にルーター自体が剥き出しになっていること自体が危険だ。
直接グローバルアドレスからルーターを攻撃されてしまう。

この時代家庭用のルーターなんて自由自在に中に侵入されると思っていた方が良いだろう。
つまりルーターをハッキングされて家庭内のネットワークに侵入を許してしまっているという事だ。
きっとあなたのPCはそうやって外部から覗かれているかもしれないのだ。

本来はこうしたエッジルーターを守るための機器やその次の関門を設置するのが通常なのだ。

広告

インターネット側にファイル公開をしたいと思うなら

GoogleでもMicrosoftでも無料のオンラインストレージが用意されているのでこれを利用すると良い。

こうしたオンラインストレージを利用するならセキュリティー確保のため必ず2段階認証を設定する。
これならばアップロードしたファイルを守ることが可能だ。

自宅のルーターをインターネット側からアクセスできるNASに仕立て上げるのは愚の骨頂だと思う。
どうぞ自由にファイルを持って行って下さいと言っているようなものだ。
すぐにやめるべきだ。

今回はこのへんで
では

広告

関連カテゴリー

関連するカテゴリーはこちら、是非チェックしてみて下さい。

おすすめコンテンツ

気に入っていただけたら是非シェアお願いします!

  • このエントリーをはてなブックマークに追加
  • Pocket

コメント一覧

  1. やs より:

    私もそれだけの専門ではありませんが同じような仕事もやっていました。私の意見は企業はもちろんそれ相応のセキュリティを確保するべきですが一般人なら別にそこまで気を使わなくてもいいんじゃない?って思います。そんなに気を使って便利な機能を使わないでいるかもしくは構築するのにそれなりの費用をかけるのか、私は人に聞かれたときはそれなりの危険があることを説明した上で誰もあなたの情報なんか狙ってないから大丈夫、漏れて問題のある情報があるなら止めておくように薦めています。

    • TomTom より:

      やsさま
      コメントありがとうございます。

      おっしゃる通りです。
      漏れて困る情報があれば止めておくべきだと思います。
      それに自宅NASよりは今時のクラウド+2段階認証のほうがよりベターだと思います。
      私の場合は漏れてはいけない情報があるのでやらないという事であります。
      イロイロ難しい世の中であります。
      今後ともよろしくお願いいたします。

  2. ttt より:

    管理人さん的にはown cloud のセキュリティはどのように考えていますか?

    • TomTom より:

      ttt さま

      コメントありがとうございます!
      オンラインストレージの「own cloud」ですね。
      管理人は「own cloud」を扱ったことはありませんので一般論と一般的な条件下での使用方法で書いてみます。

      ○一般的に
      オンラインストレージのアプリケーションは世の中に星の数ほどあります。
      管理人も以前独自のオンラインストレージアプリケーションを法人に売り込んでおりました。
      そこでセキュリティー面で重要なのが常にメンテするということです(パッチ当て)。
      新しい脆弱性がOSを始めミドル、そしてアプリケーションに発見されて対策されます。
      も一つ言えばこうしたパッチ当てが出てこないアプリケーションは使うべきではありません。

      ○構築環境について
      ・サーバ
      「own cloud」はオンプレで構築ですね。

      ・接続が閉域の場合
      この場合ならインターネット接続はしないのでセキュリティーはあまり考慮する必要はありません。
      ただし閉域内ならどこからでもというのはあまりに危険かもしれませんのでIPで制限するのが一般的です。
      IPでの制限の仕方はここでは割愛します。

      ・インターネット接続の場合
      これが一番厄介です。
      次にまとめて書いてみます。

      ○インターネット接続でのセキュリティーの確保
      Webを利用したアプリケーションであるので「own cloud」もその部分の脆弱性を避けることはできません。

      ・関係するソフト(アプリ、ミドル、OS含む)を常時パッチ当てする
      セキュリティーを確保したければ最低限しなければならないことです。
      アプリ、ミドル、OS等の関係するソフトを常に最新で脆弱性のパッチを適用することが必須です。
      具体的にはLinuxのOS、Apach等、PHPです。
      これができないのであれば他の方法を考慮する必要があります。
      ※「own cloud」自体がこうしたパッチ当てをキチンと出すのであればアプリに関しては安心して使用できますね。

      ・カスタマイズとの関連
      「own cloud」にカスタマイズを入れるときにもこうしたセキュリティーとの関連を考慮する必要があります。
      つまりコアな部分まで手を入れてしまうとパッチ当てが適用できなくなりセキュリティーを確保できなくなることがあります。

      ・WAF等を経由する
      最近ではクラウド型のWAFもありますのでセキュリティー確保するのであれば比較的ラクに使用することができます。
      ただしコストが掛かるのが難点です。

      ・IPS等のハードウェアを導入する
      セキュリティーを確保するなら外部からの攻撃を検知して食い止めるIPS等の機器の導入を考えても良いと思います。

      ○シビアにセキュリティーを確保するなら
      脆弱性の評価は必須だと思います。
      第3者に構築した「own cloud」の評価をしてもらい脆弱性を発見し対策をします。
      これで脆弱性を潰すことができます。

      ○最後に
      セキュリティー対策はやり過ぎるという事がありません。
      つまり予算や手間との戦いになります。
      そこでどこまでのセキュリティーを求めるか?、という点とそのオンラインストレージに格納するデータを制限するという事になります。
      外に漏れては絶対にダメなデータであればインターネット接続されたオンラインストレージに格納するべきではありません。
      この部分はその組織のセキュリティーポリシーと密接に関連するところなので「own cloud」のお話しだけで決めれることでもありません。
      総合的に判断が必要になります。
      一般論に終始してしまいましたがこんな感じです。

      今後ともよろしくお願いいたします。

      • ttt より:

        ここまで丁寧に回答いただけるとは思ってませんでした。
        とても分かりやすい説明をありがとうございます。
        今後とも応援しています。

        • TomTom より:

          ttt さま

          いえいえ、こちらこそご丁寧にありがとうございます。
          できるだけ時間のある限りお返事し、お役に立てればと思っております。

          今後ともよろしくお願いいたします。

コメントはお気軽にどうぞ

メールアドレスは公開されません。
*が付いている欄は必須項目です。

内容に問題なければ、下記の「OK!」ボタンを押してください。