NASの外部アクセス、セキュリティ対策は万全ですか?
自宅やオフィスに設置したNAS(Network Attached Storage)に、外出先からアクセスしたい。
写真や動画、仕事のファイルをいつでもどこでも取り出せたら便利ですよね。
しかし、NASをインターネットに公開するということは、世界中から攻撃対象になり得るということでもあります。
実際に、SynologyやQNAPのNASを狙ったランサムウェア攻撃は年々増加しています。
2021年に猛威を振るった「eCh0raix」や、2022年の「DeadBolt」は記憶に新しいところです。
大切なデータを守りながら、利便性も確保したい——そんな悩みを持つ方は少なくないはずです。
NAS初心者の方でも迷わず設定できるよう、ステップごとに丁寧に説明していきます。
なぜNASの外部アクセスにVPNが必要なのか
NASを直接公開するリスク
NASをインターネットに直接公開する方法としては、ポートフォワーディング(ルーターの特定ポートをNASに転送する設定)やDDNS(動的DNSサービス)が一般的です。SynologyのQuickConnectやQNAPのmyQNAPcloudといったメーカー提供のリモートアクセス機能を使っている方も多いでしょう。
しかし、これらの方法にはセキュリティ上の懸念がつきまといます。ポートフォワーディングではNASの管理画面が直接インターネットに露出するため、ブルートフォース攻撃(パスワードを総当たりで試す攻撃)の標的になります。メーカー提供のリモートアクセス機能も、過去に脆弱性が発見されたことがあり、完全に安心とは言えません。
通信の盗聴と中間者攻撃
外出先でカフェや空港の無料Wi-Fiを使ってNASにアクセスする場面を想像してみてください。暗号化されていない通信は、同じネットワーク上の第三者に傍受される恐れがあります。ログイン情報が漏洩すれば、NAS内のすべてのデータが危険にさらされます。
中間者攻撃(MITM)と呼ばれる手法では、攻撃者があなたとNASの間に割り込み、通信内容を盗み見たり改ざんしたりすることが可能です。HTTPSを使っていても、自己署名証明書では警告を無視してアクセスしがちで、十分な防御にはなりません。
IPアドレスの露出とプライバシー
NASを直接公開すると、自宅のグローバルIPアドレスが外部に知られます。IPアドレスからおおよその地域が特定できるほか、そのIPに対して集中的なスキャンや攻撃が行われるリスクも高まります。VPNを経由させることで、NASの実際のIPアドレスを隠し、こうしたリスクを軽減できます。
SurfsharkをNASに導入する具体的な手順
事前準備:Surfsharkの契約とOpenVPN設定ファイルの取得
まず、Surfshark VPNの契約が必要です。Surfsharkの特徴や料金プランについては「【完全ガイド】Surfshark VPNとは?メリット・デメリットからお得な始め方まで徹底解説」で詳しくまとめていますので、まだ契約していない方は参考にしてください。2026年4月時点の情報として、Surfsharkは同時接続台数が無制限なので、NASに1台分を割り当てても他のデバイスに影響しないのが大きなメリットです。
契約後、以下の手順でOpenVPN用の設定ファイルを取得します。
- Surfsharkの公式サイトにログインし、「手動設定」または「Manual Setup」のページへ移動する
- プロトコルとして「OpenVPN」を選択する
- 接続したいサーバーの国を選び、UDP版またはTCP版の.ovpnファイルをダウンロードする
- 同じページに表示される「サービス資格情報」(専用のユーザー名とパスワード)をメモしておく
ここで注意すべき点があります。サービス資格情報は、Surfsharkのログインに使うメールアドレスやパスワードとは別物です。NASの設定時にこの専用の資格情報を使うため、必ず控えておきましょう。UDPはTCPより高速ですが、一部のネットワーク環境ではTCPの方が安定します。迷った場合はまずUDPを試し、うまくいかなければTCPに切り替えるのがおすすめです。
Synology NASでの設定手順
SynologyのDSM(DiskStation Manager)での設定方法を解説します。DSM 7系を前提としていますが、DSM 6系でもほぼ同様の手順です。
- DSMにログインし、「コントロールパネル」→「ネットワーク」→「ネットワークインターフェース」を開く
- 「作成」→「VPNプロファイルの作成」をクリックする
- 「OpenVPN(.ovpnファイルのインポート経由)」を選択する
- プロファイル名を「Surfshark_JP」など分かりやすい名前にする
- 先ほどダウンロードした.ovpnファイルをアップロードする
- ユーザー名とパスワードにサービス資格情報を入力する
- 「CA証明書」欄にはSurfsharkが提供する証明書ファイルを指定する(.ovpnファイルに内蔵されている場合は不要)
- 「適用」をクリックして設定を保存する
保存後、作成したVPNプロファイルを選択して「接続」をクリックします。ステータスが「接続済み」になれば成功です。
QNAP NASでの設定手順
QNAPのQTS(QNAP Turbo NAS System)での手順も基本的な流れは同じです。
- QTSにログインし、「QVPN Service」アプリを開く(インストールされていない場合はApp Centerから追加する)
- 左メニューの「VPNクライアント」→「VPN接続プロファイル」を選択する
- 「追加」→「OpenVPN」を選ぶ
- プロファイル名を入力し、.ovpnファイルをアップロードする
- サービス資格情報のユーザー名とパスワードを入力する
- 「適用」で保存し、プロファイルを選択して「接続」をクリックする
接続確認と自動再接続の設定
VPN接続後、NASのIPアドレスがVPNサーバーのものに変わっているか確認しましょう。NASのターミナル(SSH接続)で以下を実行するか、NASの管理画面のネットワーク情報から確認できます。
Synologyの場合、「コントロールパネル」→「ネットワーク」→「ネットワークインターフェース」で、VPN接続に割り当てられたIPアドレスが表示されていれば正常です。
重要な設定として、NASの再起動時やVPN切断時に自動で再接続する仕組みを用意しておくことを強くおすすめします。Synologyでは「タスクスケジューラ」で起動時スクリプトを設定する方法が一般的です。QNAPではQVPN Serviceの設定内に自動再接続オプションがあります。
よくあるトラブルと対処法
設定時によく遭遇する問題と、その解決方法をまとめます。
- 「認証失敗」エラー:サービス資格情報(Surfsharkアカウントのログイン情報ではない専用の認証情報)を正しく入力しているか確認する
- 接続はできるがインターネットに出られない:NASのDNS設定をSurfsharkの推奨DNS(162.252.172.57 / 149.154.159.92)に変更する
- VPN接続後にローカルネットワークからNASにアクセスできなくなる:ルーティング設定を見直し、ローカル通信はVPNトンネルを経由しないよう「スプリットトンネリング」の設定を行う
- 接続が頻繁に切れる:UDPからTCPに変更する、または別のサーバーに切り替えて試す
他のVPNサービスとの比較とSurfsharkの優位性
NAS向けVPNサービスの選択肢
NASで利用可能な主要VPNサービスとして、NordVPN、ExpressVPN、Surfsharkがよく比較されます。
NordVPNはサーバー数が6,000台以上と業界最大級で、速度面での評価も高いサービスです。ただし、同時接続台数は10台に制限されています。ExpressVPNは安定性に定評がありますが、価格帯がやや高めです。
Surfsharkの強みは、前述のとおり同時接続台数が無制限である点です。NASに常時VPN接続を割り当てても、スマートフォンやPCなど他のデバイスの利用枠を気にする必要がありません。家族全員でVPNを共有する場合にも余裕があります。コストパフォーマンスの面でも、長期プランを選べば月額数百円台で利用できるため、NAS専用のVPNとして導入するハードルが低いといえます。
自前VPNサーバーとの比較
SynologyやQNAPにはVPNサーバー機能が標準搭載されており、自前でVPNサーバーを構築する選択肢もあります。この場合、外出先からVPN接続して自宅ネットワークに入り、NASにアクセスする形になります。
自前VPNサーバーのメリットは、追加コストがかからないことと、通信が自宅を経由するため速度低下が比較的少ないことです。一方で、自宅のIPアドレスは外部に露出したままであること、NAS自体がVPNサーバーとしてインターネットに公開されるため攻撃対象になり得ること、そして設定やメンテナンスの手間がかかることがデメリットです。
セキュリティ重視の方や、NASのIPアドレスを隠したい方、設定の手軽さを優先する方にはSurfsharkのような商用VPNサービスが適しています。一方、コストをかけたくない方や、自宅ネットワーク全体へのリモートアクセスが主目的の方は、自前VPNサーバーも有力な選択肢です。
NASをより安全に運用するための補足対策
VPNと併用すべきセキュリティ設定
VPNを導入しただけで万全とは言えません。以下の対策もあわせて実施することで、NASの安全性をさらに高められます。
- 管理者アカウントの無効化:デフォルトの「admin」アカウントは無効にし、別の管理者アカウントを作成する
- 二要素認証の有効化:ログイン時にワンタイムパスワードを要求する設定を有効にする
- ファイアウォールの設定:不要なポートは閉じ、接続元IPを限定する
- DSMやQTSのアップデート:セキュリティパッチが公開されたら速やかに適用する
- スナップショットの活用:ランサムウェア被害に備えて定期的なスナップショットを取得しておく
まとめ:NASの外部アクセスはVPNで守る
NASにSurfshark VPNを導入することで、外部アクセス時の通信を暗号化し、IPアドレスの露出を防ぎ、セキュリティを大幅に向上させることができます。設定自体はOpenVPNの設定ファイルをインポートするだけなので、ネットワークの専門知識がなくても十分に対応可能です。
まだVPNサービスを契約していない方は、まず「Surfshark VPNの完全ガイド」でサービスの全体像を把握したうえで、Surfshark公式サイトから長期プランを検討してみてください。同時接続台数を気にせずNASにも導入できるSurfsharkは、個人のNASユーザーにとって有力な選択肢です。