「自宅 NAS のデータを出先から見たい」というニーズは年々増えています。リモートワークの普及、家族写真を外出先で見たい場面、出張先からの業務ファイル参照——理由は様々です。
ただし、NAS をインターネットに露出するのは攻撃のリスクと表裏一体です。安易にポート開放するとランサムウェア被害につながります。安全に外部アクセスを実現する方法を整理します。
安全な順に並べたアクセス方法
外部アクセス方法は、安全性と利便性のバランスでざっくり次のように並びます。
1. メーカーのリレー型サービス(最も安全・簡単)
Synology の QuickConnect、QNAP の myQNAPcloud Link、Asustor の EZ Connect など。NAS とスマホ・PC の通信をメーカーのサーバーで中継してくれるので、ポート開放不要・グローバル IP 不要で動きます。設定もウィザード式で5分。家庭用途では基本これで十分です。
ただし通信がメーカー経由になるため、大容量ファイルの転送は遅いことがあります。
2. VPN(中程度の安全性・中程度の難易度)
NAS を OpenVPN や WireGuard サーバーにして、スマホから VPN 接続する方法。自宅 LAN にいる時と同じ感覚で NAS にアクセスでき、速度もリレーより速い。設定は中級者向けですが、Synology や QNAP のアプリには VPN サーバー機能が標準で付いています。
姉妹サイト VPN選び.jp で VPN の基礎も解説しています。
3. DDNS + ポート開放(高難易度・最大の自由度・リスクも最大)
固定 IP がなくても使えるよう DDNS(動的 DNS)を設定し、ルーターのポート開放で NAS を直接インターネットに公開する方法。最も柔軟ですが、設定を間違えるとそのまま攻撃対象になります。Deadbolt や QLocker といったランサムウェアは、まさにこの「公開されている NAS」を狙いました。
家庭用途で必要になるケースは稀です。やる場合は、最低限「不要なサービスは全停止・2要素認証必須・自動アップデート有効・許可 IP 設定」を徹底してください。
QuickConnect の設定手順(Synology)
DSM の コントロールパネル > QuickConnect で、Synology アカウントにサインインし、QuickConnect ID を決めるだけ。これだけで quickconnect.to/{ID} でアクセス可能になります。スマホアプリ(Synology Drive、Synology Photos など)も同じ ID で接続できます。
ファイアウォール設定で「QuickConnect リレー以外からのアクセスを拒否」にしておくと、より安全です。
ポート開放の前に検討すべきこと
「VPN だと遅い」「QuickConnect だと使いづらい」と感じた時、すぐにポート開放に走るのではなく、まず「何が遅いのか・何が不便なのか」を切り分けてください。多くの場合、回線速度がボトルネックで、ポート開放しても本質的な改善はありません。
ポート開放するなら、せめて「DSM の Web ポート 5000/5001 は直接公開せず、リバースプロキシ経由のみ」「HTTPS 必須」「Geo-IP で日本以外をブロック」など、何重もの防御を組んでください。
編集部の運用
編集部の Synology DS220+ は、外部アクセスは QuickConnect のみ。VPN もポート開放も使っていません。家族写真を出先で見る・スマホで撮った写真を出先からアップロードする、という用途には QuickConnect で速度も十分です。「業務で大量転送が必要」になったら VPN を検討、というスタンスです。
まとめ
NAS の外部アクセスは「QuickConnect 系 → 必要なら VPN → ポート開放は最終手段」の順で考えるのが安全です。便利さと引き換えにリスクが上がるので、自分の用途に必要な水準を見極めてください。NAS の運用全般はNAS の仕組み、構成全体の最適解は無料の構成診断で。