NAS不正アクセス対策設定(ブロック・MFA)
不正ログインを阻止する多層防御の考え方
- ネットワークの入り口(ルーター)を通過した攻撃者に対し、NAS本体で複数の防御壁を構築する
- パスワードが破られることを前提とし、認証の強化と機械的な攻撃への自動対処を組み合わせる
- 内部ネットワークからの不審な挙動も検知対象とし、組織内での被害拡大(ラテラルムーブメント)を防止する
- 定期的な設定見直しを行い、攻撃手法の進化に合わせて防御レベルを最適化し続ける
多要素認証(MFA)の導入と徹底
- ユーザー名とパスワードに加え、スマートフォンアプリ(Google Authenticatorなど)で生成されるワンタイムパスワードを必須にする
- パスワードが漏洩した場合でも、物理的なデバイスを持つ本人以外がログインできない環境を構築する
- 管理者アカウントだけでなく、重要なデータにアクセスする一般ユーザー全員に設定を義務付ける
- 紛失等でログインできなくなった際の「バックアップコード」を安全な場所に物理的に保管しておく
自動アカウントブロック機能の活用
- 短時間に連続してログインに失敗したIPアドレスを、NASが自動的に検知してブラックリストへ登録する
- 「5分以内に3回失敗したら永久ブロック」など、総当たり攻撃(ブルートフォースアタック)を無効化する厳しいルールを適用する
- ログイン画面だけでなく、SSHやFTPなどの管理・転送用プロトコルに対しても同様の制限をかける
- ブロックが発生した際には、管理者に即座に通知が飛ぶように設定し、攻撃の予兆を早期に把握する
サービスとポートの最小化
- 業務で使用しない機能(Webサーバー、メディアサーバー、古い通信プロトコル等)はすべて無効化する
- 標準的なポート番号(例:5000、8080など)をメーカー独自のデフォルトから変更し、自動スキャンによる標的化を避ける
- ブラウザからの管理画面アクセスは、必ず暗号化されたHTTPS通信のみを許可するように制限する
- 外部からの直接接続が必要ないサービスは、VPN接続経由のみで利用できるようにネットワーク構成を絞り込む
IPアドレス制限とファイアウォール設定
- NAS内蔵のファイアウォール機能を有効にし、許可された地域や特定のIPアドレス以外からの通信を遮断する
- 日本国内のみ、あるいはオフィスの固定IPアドレスからのみアクセスを許可するホワイトリスト形式の運用を検討する
- 同一ネットワーク内のデバイスであっても、不要な通信(ピンなど)に応答しないステルス設定を適用する
- 定期的にアクセスログを確認し、身に覚えのない場所や時間帯からの接続試行がないかをチェックする
