「FAQ・よくある質問」移行のお知らせ

「FAQ・よくある質問」は新サイトに移行しております。最新の情報につきましては、以下の新サイトでご確認ください。
https://tekwind-support.com/faq/

HDDやNAS本体の盗難によるデータ流出を防ぐ ~ディスクボリュームの暗号化~

QNAP Turbo NASは、ディスクボリュームを256ビットAESにより暗号化し、大切なデータの流出を防ぐことが可能です。

データ流出において、ネットワークからの不正アクセスと同様にハードディスクドライブやNAS本体の盗難は非常に恐ろしいものです。しかし、ディスクを暗号化しておけばディスクボリュームは認証されたパスワード無しにはシステムにマウントできなくなり、盗難後のデータ流出の可能性を最小限に抑えることができます。

暗号規格AES(Advanced Encryption Standard)は元々米国政府に採用された新暗号方式ですが、高い信頼性から現在では世界中で利用されています。

ディスクボリュームのAES暗号化は特定のQNAP NASモデルでのみご利用頂くことが可能です。

詳しくは以下の対応表をご参照ください:
QNAP NAS Products Comparison (AES 256-bit volume-based encryption)
http://www.qnap.com/images/products/comparison/Comparison_NAS.html

はじめに

Turbo NASのデータ暗号化機能のご利用に際して、以下の点にご注意ください。

  • Turbo NASの暗号化機能はディスクボリュームに対して適用されるもので、特定のファイルやフォルダを暗号化するものではありません。
  • 暗号化を行うためにはディスクボリュームを初期化する必要があります。ディスクにデータが存在する場合も内容は全て消去されます。
  • 暗号化機能を途中で停止することはできません。停止するためにはボリュームの初期化が必要となり、データは全て消去されます。
  • 暗号化を解除するためのパスワード、及び暗号化キーは安全な場所で大切に保管してください。これらを紛失した場合には、NASの管理者であってもデータを取り出すことはできません。
  • 暗号化を解除するためにはNASの管理画面(管理WEBインターフェイス)にアクセスする必要があるため、NASのAdministrator権限と暗号化のパスワード、または暗号化キーファイルが必要となります。
  • 暗号化の施されたボリュームへのアクセスには、暗号化処理によりシステムに負荷がかかるためデータ転送速度が低下します。(*)
  • 機能の性質上、暗号化の役割、操作方法について十分にご理解頂いた上でご利用ください。

(*)本機能利用時のパフォーマンスにつきましては、下記のメーカーサイトFAQ(英語)をご参考ください。
What is the performance when I encrypt the hard drives using QNAP's AES-256 bit encryption? :

Turbo NAS上のディスクボリュームを暗号化する

システムセットアップ時にディスクボリュームを暗号化する方法

クイックインストールガイドの説明に従い、WEBインターフェイスのクイックセットアップを使用してNASを初期化します。
クイックセットアップのステップ6の「ディスクボリュームを暗号化する」オプションで「はい」を選択することでディスクボリュームを暗号化することができます。

注)NASが本体フロントパネルにLCDを装備している場合、ディスクボリュームの暗号化をLCDパネルの操作だけで実行することも可能です。詳しくはクイックインストールガイドをご参照ください。

イメージ

ディスクボリュームの暗号化を選択すると、暗号化に関する設定項目が表示されます。

イメージ

暗号化パスワードを入力します。このパスワードは暗号化されたボリュームのロックを解除する際に必要となります。
暗号化パスワードは8~16文字で設定してください。パスワードにスペースキーは使用できません。文字と数字を組み合わせたパスワードの作成をお勧めします。

  • デフォルト値を使用する:デフォルトの暗号化パスワード "admin" の使用を選択します。
  • 暗号化キーの保存 : 暗号化キーをNAS上に保存し、再起動時にも自動的に暗号化を解除しディスクボリュームをシステムにマウントできます。 (このオプションは後から変更が可能です)
  • チェックを入れた場合 : NASの起動時に、保存されたパスワードを使用して暗号化ディスクボリュームを自動的にロック解除します。
  • チェックを入れない場合 : NASの起動時に、暗号化ディスクボリュームはロックされています。NASに管理者としてログインし、暗号化パスワードを入力してディスクボリュームのロックを解除する必要があります。

暗号化に関する設定は以上で終了です。その後、次の手順に進みNASのセットアップを完了します。

NASに追加したHDDを暗号化する方法

セットアップされたNASの空きディスクベイにHDDを追加し暗号化ディスクボリュームを作成するには、以下の手順に従って操作を行ってください。

  1. 追加ディスクボリュームを作成するため、新しくHDDをNASに設置します。
  2. NASの管理画面に管理者としてログインします。"ディスク管理 > ボリューム管理"を開きます。
    イメージ
  3. 設置したHDDの台数に応じて、構成したいディスクボリュームタイプを選択します。
    イメージ
  4. ディスクボリュームを構成するHDDを選択します。この例では、単独ディスクボリュームの作成を選択しています。RAID構成の場合も手順は同様です。
    イメージ
  5. "暗号化" オプションにて "はい" を選択し、暗号化パスワードを入力します。
    イメージ
  6. 続いて "作成" をクリックして、ボリュームを作成します。このとき、選択したHDDのすべてのデータは消去されますのでご注意ください。使用中、及び使用済みのHDDに暗号化ボリュームを作成する場合は、必要に応じて事前にデータのバックアップを行ってください。
    イメージ

以上で、NAS上に暗号化ディスクボリュームが作成されました。

ディスクボリュームが暗号化されたことを確認する

ディスクボリュームが暗号化されていることを確認するには、まずNASの管理画面に管理者としてログインします。続いて、"ディスク管理 > ボリューム管理"を開きます。

イメージ

 

ディスクボリュームのステータス欄に鍵のアイコンが表示されている場合、暗号化されていることを示します。
暗号化ボリュームのロックが解除されると、開いた鍵のアイコンになります。ステータス欄に鍵のアイコンがないディスクボリュームは暗号化されていません。

イメージ

システム再起動時の暗号化ボリュームの動作について

暗号化キーをNASに保存することで、再起動時に自動的にロックを解除することも可能です。(セキュリティレベルは低くなります。)以下の例では、NAS上に暗号化ディスクボリュームを2つ作成しています。

1つ目のボリューム (単独ディスクドライブ1) は "暗号化キーの保存" オプションを有効化して作成されています。
2つ目のボリューム (単独ディスクドライブ2) は "暗号化キーの保存" オプションを無効化して作成されています。

NASの再起動後、ボリュームステータスを確認します。1つ目のドライブのロックは解除されシステムにマウント(共有フォルダとしてアクセスできる状態)されていますが、2つ目のドライブはロックされています。2つ目のディスクボリュームでは暗号化キーが保存されていないため、ユーザーは手動で暗号化パスワードを入力し、ロックを解除する必要があります。

イメージ

  • NAS上に暗号化キーを保管すると、NASが本体ごと盗難された場合にはデータを保護することができません。これはNAS起動時に自動でロックを解除してしまい、データにアクセスのできる状態になってしまうからです。
  • NASに暗号化キーを保存していない場合には、NAS本体が盗難された際にもデータ漏洩を防ぐことができます。その代わり、システム再起動のたびにディスクボリュームを手動でロック解除する必要があります。

暗号化キーの管理 : パスワードの変更 / 暗号化キーの保存 / 暗号化キーのダウンロード

暗号化キー設定を管理するには、NASの管理画面に管理者としてログインし、"ディスク管理 > 暗号化ファイルシステム" を開きます。

イメージ

ロック解除されているディスクボリュームの"動作" 行にある"暗号化キー管理" をクリックします。

イメージ

以下の設定を行うことが可能です :

  • 暗号化キーの変更
  • NAS上に暗号化キーを保存
  • 暗号化キーファイルのダウンロード

イメージ

  • 暗号化キーの変更 :
    現在の暗号化パスワードを入力し、続いて新しいパスワードを入力します。(パスワードの変更後は、以前にダウンロードした暗号化キーファイルは無効となりますのでご注意ください。)
  • 暗号化キーの保存 :
    暗号化キーをNASに保存すると、NASが再起動する際に暗号化ディスクボリュームを自動的にロック解除しマウントします。
  • 暗号化キーファイルのダウンロード :
    暗号化パスワードを入力して暗号化キーファイルをダウンロードします。暗号化キーファイルがあれば、実際のパスワードを知らない場合にもボリュームのロック解除が可能です。(後述の"ディスクボリュームを手動でロック解除する方法"をご覧ください) 暗号化キーファイルは安全な場所に保管してください。

※上記操作には、その時設定されている暗号化パスワードが必要になります。

ディスクボリュームを手動でロック解除する方法

ボリュームのロックを解除するには、NASの管理画面に管理者としてログインします。続いて、"ディスク管理 > 暗号化ファイルシステム" を開きます。

イメージ

暗号化ボリューム及びそのステータスが表示されます : ロック/ロック解除。

イメージ

ボリュームをロック解除するには、暗号化パスワードを入力するか、あるいは事前にダウンロードしておいた暗号化キーファイルを使用します。

イメージ

イメージ

暗号化パスワードあるいはキーファイルが正しい場合、ボリュームはロック解除され使用可能となります。(ロック解除まで数分かかる場合があります。)

イメージ