FAQ

  • セキュリティ
    チュートリアル
    2016.03.09

QNAP Turbo NASのデータ暗号化機能を使用するには

Turbo NASのデータ暗号化機能により、NASのディスクボリュームを256ビットAES暗号により暗号化し、データ漏洩を防ぎます。暗号化されたディスクボリュームは認証されたパスワードによってのみ、通常の読取り/書込みアクセス用にマウントすることができます。暗号化により、ハードドライブあるいはサーバ自体が盗難されても機密データを保護することができます。

AES 暗号化について:

“暗号技術において、新暗号規格 (AES) は米国政府に採用されている暗号規格です。この規格は3つのブロック暗号、AES-128, AES-192 and AES-256 […] によって構成されています。各AES暗号は128ビットのブロックサイズで、それぞれ128、192、256ビットの鍵長となります。AES暗号は広範囲にわたって分析され、現在は世界中で利用されています。” (Source: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard)

AESボリュームベース暗号化は特定のQNAP NASモデルにのみ適用されます。

始める前に

Turbo NASのデータ暗号化機能の使用を始める前に、以下の点にご注意ください。

  • Turbo NASの暗号化機能はボリュームベースです。ボリュームはシングルディスク、JBOD構成、あるいはRAIDアレイが使用できます。
  • ディスクボリュームをNAS上に作成する際に、データを暗号化するかどうかを選択する必要があります。つまり、ディスクを作成した後には暗号化を実行できません。実行するには、ディスクボリュームを初期化する必要があります。ディスクボリュームを初期化すると、そのボリューム上の既存のデータはすべて消去されます。
  • ディスクボリュームの暗号化を除去するには、初期化する必要があります。ディスクボリュームの暗号化を除去するには、ディスクボリュームを初期化し、すべてのデータを消去しなくてはなりません。
  • 暗号化パスワードあるいはキーは安全に保管してください。パスワードを忘れたり、あるいは暗号化キーを紛失すると、データを取り戻すことができません!
  • 始める前に、本書類を注意深く読み、説明に正しく従うようご注意ください。
  • Turbo NAS上でディスクボリューム暗号化を起動する


    NAS設置時にディスクボリュームを暗号化する

    クイックインストールガイド (QIG) の説明に従い、ウェブベースのインターフェイスを使用してNASを初期化します。クイック構成のステップ6にて、”Encrypt disk volume” (ディスクボリュームを暗号化する) オプションで “Yes” (はい) を選択します。

    注記: NASがLCDパネルを装備している場合、ディスクボリューム暗号化をLCDパネルから実行することができます。QIGの説明を参照してください。
    FAQ-features01
    ディスクボリュームの暗号化を選択すると、暗号化設定が表示されます。
    FAQ-features02
    暗号化パスワードを入力します。このパスワードは暗号化されたボリュームのロックを解除する際に必要となります。暗号化パスワードは8-16文字以内で設定してください。スペース ( ) は使用できません。文字と数字を混合した長いパスワードを作成するようにしてください。

  • デフォルト値を使用する:デフォルトの暗号化パスワード “admin” の使用を選択します。
  • 暗号化キーの保存:暗号化キーをNAS上に保存するよう選択します。 (このオプションは後からの変更が可能です)
    • チェックを入れた場合: NASの起動時に、保存されたパスワードを使用して暗号化ディスクボリュームを自動的にロック解除します。
    • チェックを入れない場合: NASの起動時に、暗号化ディスクボリュームはロックされています。NASに管理者としてログインし、暗号化パスワードを入力してディスクボリュームのロックを解除する必要があります。

    その後、次の手順に進んでNASの設置を完了します。

    新規ハードドライブに新規暗号化ディスクボリュームを作成する

    ご使用のNASが設置済みの場合に、新規ハードドライブをサーバに設置して新規暗号化ディスクボリュームを作成したい場合は、以下の手順に従ってください。

    1.新規ハードドライブをNASに設置します。

    2.NASに管理者としてログインします。”Disc Management” (ディスク管理) > “Volume Management” (ボリューム管理) を開きます。

    FAQ-features03

    3.設置した新規ハードドライブの番号に応じて、構成したいディスクボリュームを選択します。

    FAQ-features04

    4.ディスクボリュームを作成するハードドライブを選択します。この例では、シングルドライブの作成を選択します。手順はRAID構成の場合も同様です。

    FAQ-features06

    5.”Encryption” (暗号化) オプションにて “Yes” (はい) を選択し、暗号化設定を入力します。
    FAQ-features05

    続いて “CREATE” (作成) をクリックして、新規暗号化ボリュームを作成します。選択したドライブのすべてのデータは消去されますのでご注意ください! 暗号化ボリュームを作成する前にデータをバックアップしてください。

    FAQ-features07

    NAS上に暗号化ディスクボリュームが作成されました。


    ディスクボリュームが暗号化されたことを確認する

    ディスクボリュームが暗号化されていることを確認するには、まずNASに管理者としてログインします。続いて、”Disc Management” (ディスク管理) > “Volume Management” (ボリューム管理) を開きます。
    FAQ-features08

    ディスクボリュームのステータス欄に鍵のアイコンが表示されている場合、暗号化されていることを表します。
    暗号化ボリュームのロックが解除されると、鍵が開いたアイコンになります。ステータス欄に鍵のアイコンがないディスクボリュームは暗号化されていません。

    FAQ-features09

    システム再起動時の暗号化ボリュームの動作

    この例では、NAS上に暗号化ディスクボリュームを2つ作成しています。

    1つ目のボリューム (シングルディスクドライブ2) は “Save Encryption Key” (暗号化キーを保存) オプションを有効化して作成されています。
    2つ目のボリューム (シングルディスクドライブ5) は “Save Encryption Key” (暗号化キーを保存) オプションを無効化して作成されています。

    NASの再起動後、ボリュームステータスを確認します。1つ目のドライブのロックは解除されマウントされていますが、2つ目のドライブはロックされています。2つ目のディスクボリュームでは暗号化キーが保存されていないため、ユーザーは手動で暗号化パスワードを入力し、ロックを解除する必要があります。
    FAQ-features10

  • NAS上にキーを保管すると、ハードドライブのみが盗難された場合はデータを保護することができます。NAS全体が盗難された場合は、NASを再起動することでデータにアクセスが可能となるため、データ漏洩の危険性があります。
  • NASに暗号化キーを保存しないよう選択した場合は、サーバが盗難された際にもデータ漏洩を防ぐことができます。唯一不都合となる点は、システム再起動のたびにディスクボリュームを手動でロック解除する必要があるということです。
  • 暗号化キー管理:新規パスワード/暗号化キーの保存/暗号化キーのエクスポート

    暗号化キー設定を管理するには、NASに管理者としてログインし、”Disk Management” (ディスク管理) > “Encrypted File System” (暗号化ファイルシステム) を開きます。

    FAQ-features11

    ロック解除されているディスクボリュームの”Action” (動作) 行にある”ENCRYPTION KEY MANAGEMENT” (暗号化キー管理) をクリックします。

    FAQ-features12

    以下の動作を実行することができます:
    – 暗号化キーの変更
    – NAS上に暗号化キーを保存
    – 暗号化キーファイルのダウンロード

    FAQ-features13

    暗号化キーの変更:
    現在の暗号化パスワードを入力し、続いて新しいパスワードを入力します。(パスワードの変更後は、以前にエクスポートされたキーは無効となりますのでご注意ください。必要に応じて新しい暗号化キーをダウンロードする必要があります。その手順については以下をご覧ください。)
    暗号化キーの保存:
    暗号化キーをNASに保存し、NASが再起動する際に暗号化ディスクボリュームを自動的にロック解除しマウントします。
    暗号化キーファイルのダウンロード:
    暗号化パスワードを入力して暗号化キーファイルをダウンロードします。暗号化キーファイルをダウンロードすることで暗号化キーをファイルに保存することができます。ファイル自体も暗号化されており、実際のパスワードを知らない場合にもボリュームのロック解除が可能です。(下記の”ディスクボリュームを手動でロック解除する”をご覧ください) 暗号化キーファイルは安全な場所に保管してください!

    ディスクボリュームを手動でロック解除する

    ボリュームをロック解除するには、NASに管理者としてログインします。続いて、”Disc Management” (ディスク管理) > “Encrypted File System” (暗号化ファイルシステム) を開きます。

    FAQ-features14

    暗号化ボリューム及びそのステータスが表示されます:ロック/ロック解除。
    FAQ-features15
    ボリュームをロック解除するには、暗号化パスワードを入力するか、あるいは前にエクスポートされた暗号化キーファイルを使用します。
    FAQ-features16
    暗号化パスワードあるいはキーファイルが正しい場合、ボリュームはロック解除され使用可能となります。
    FAQ-features17

    ↑