TeraStationを適切に社外公開したい

TeraStationを従業員向けとして社外公開するにあたり、よりセキュアな環境で公開したいのですが、ご指摘・ご提案をいただけますでしょうか。

部署内でBuffaloのTeraStationを使用しています。
これをTeraStationの「Webアクセス機能」を用いて、TeraStation内の共有フォルダへの社外からの接続を可能とするよう考えています。
「Webアクセス機能」は、Buffaloの提供するDDNSを用いて、外部から接続させる仕組みです。

質問です。
以下の環境・設定である現状から、共有フォルダを社外に公開するに当たり、より適切に（セキュアに？）公開するため、設備面、接続環境面、設定面等で増強・変更する箇所はありますでしょうか。
質問の幅が広いと思いますが、ご指摘いただければと思います。


【環境・設定】
・ネットワーク図は以下に示す通りです。
・公開する共有フォルダにはTeraStationの機能にてユーザー認証によるアクセス制限が設定されています。
・TeraStation本体でユーザー認証を行っています
・公開されるファイルは暗号化等の漏えい対悪を行っているものとします
・現状で、TeraStationの「Webアクセス機能」を設定した場合、社外からアクセス可能となるとします。（ルーター関係は通信を許可する設定がなされているものとします）


【接続図】

インターネット
　│
会社のルーター
　│
部署のルーター（これより配下が設備・設定の変更が可能）
　│
　├TeraStation、DHCPサーバー等、部署のサーバー関係
　│
部署のパソコン

No.2 ベストアンサー 回答者： lupin-333333 回答日時： 2013/10/22 13:26

Ｎｏ１さんい追加してですが、

Ｗｅｂなら、ＳＳＬ-VPN　と言う方式があります。最低限、ＶＰＮを使用しないと安全とは言えない環境です。


バッファローの製品はそんなもんです。業務用のもありますが、TeraStationは、それではないですよね。それだとすれば、最低限、なんらかのＶＰＮ機能があるはずです。

ちなみに
https://www.google.co.jp/search?hl=ja&q=DDNS&lr= …

を導入しても、そのサーバーはＤＭＺなど、サーバーとは別のセキュリティー管理システム配下におかれ、支配されるべき事柄です。また、Windowsと同じで　”TeraStation”　市販品の普及版は、最も狙われやすいカテゴリーです。ハッカーはすでに攻略方を見つけ、てぐすね引いています。

No.4 回答者： koi1234 回答日時： 2013/10/22 17:33

＞WEBアクセス機能を使用すると、当部署のTeraStation用にユニークなURLが作成されます

あのですね
ユニークなURLが作成されようがされまいが（されないけどね）
IPアドレスとしてアクセスされるのでURがどうのこうのとか言ったj話ではないんです
URLは人間が判断しやすくするためにIPアドレスに割り当てられる名称であり
ネットワーク上のアクセスに対して必須のものではありません
今回の内容はネットワーク上に社内のストレージを共有ドライブとして
解放したいといっているような内容で
ユーザ認証してあるから安全保てるとか言ったレベルの話と違います
(ユーザ認証すらしてないってもは問題外）

＞過去、別件ですが、VPNにはUSBメモリのようなキーが必要とかで、管理部品が増える
どういったシステム導入するか次第ですが確かにキーや
個々のパスワードなどといったものは必要になります
会社として社員全体で1つを共有させると退職者などが出たとき
対応できなくなるので

＞申請→「安全性が当社の要求に満たないため」等のぼんやりとした理由で却下
ぼんやりとした内容　ではなくて　「安全性が当社の要求に満たない」
これが全てです
お礼の内容を見ると基本的に御社のポリシー(会社の方針と思ってください）としては
社外から社内アクセスを一切許可しないという体制であると思われます
そこに今回のような要望だしたら速攻却下されるのは間違いないでしょう

VPNも却下されているということなのであれば
ユーザサポートとしてファイル（アップデータ）提供のための
体制を作りたいとかいうならともかく(この場合VPNなんか使わないけど）
おそらく社内の一部の部署のための利便性を上げるためだけに
社外からのアクセスを認めるといったことはないのではないかと思います

一部署限定　それによる利便性がどういった利便性を持つのか
といったことをきちんと説明できてそれが認められるなら許可されるかもしれません
そういったこと（社内のネットワーク規約）を考えす申請しても却下されるだけでしょう
(大企業ほど認められないと思うけど）

この回答へのお礼

すいませんね馬鹿で。

お礼日時：2013/10/22 18:04

No.3 回答者： shut0325 回答日時： 2013/10/22 15:02

TeraStationを結構前から使っていますが、そのような機能があるのを知りませんでした。

私はPacketix VPN 4.0を使って外部からTeraStation内の共有フォルダにアクセスしています。サーバー側/クライアント側ともに設定が簡単で、値段も安く重宝しています。

一度試されてはどうでしょうか？

参考URL：http://www.softether.jp/1-product/11-vpn

No.1 回答者： koi1234 回答日時： 2013/10/22 12:08

内容の前提条件がおかしいような気がします

＞現状で、TeraStationの「Webアクセス機能」を設定した場合、
＞社外からアクセス可能となるとします。
＞（ルーター関係は通信を許可する設定がなされているものとします）

＞会社のルーター
＞　│
＞部署のルーター（これより配下が設備・設定の変更が可能）

の前提でWEBアクセス機能の設定だけでアクセスできるようになってるなら
現状の設定自体がザル（穴だらけ）

どう考えても普通は会社のルータに何らかの設定が必要になります
使うソフトなどによって回避できることもありますが
会社組織としての管理部門の許可得て使用しないと
どんな結果になっても知りません

それらを一切無視して
社外から接続するのは基本的に社内の人間ということでいいのでしょうか？
それともごく普通の一般公開？

前者であれば VPN　などを導入したほうがいいと思います
後者は本当のざるになる可能性があるのでお勧めできません

部署内だけで実現しようとしないでネットワーク管理部門に相談することをお勧めします

この回答へのお礼

ご回答ありがとうございます。
あまり詳しくない者の質問で申し訳ありません。

WEBアクセス機能を使用すると、当部署のTeraStation用にユニークなURLが作成されます。
且つ、取説に従い、TeraStation自体、部署のルーター、会社のルーターに適切にポートを設定すれば、外部のパソコンのIE等からTeraStationにアクセスできるのではないかと考えました。
その前提での質問です。
ポート番号それ自体や通信方式により予約されているポート番号等、どのような設定が適切なのかわかりませんが、取説では「[ルーター外部ポート番号]に1～65535の間で任意の値を入力します。（例：123）」とありますので、会社・部署のルーターで65535個のうち、通信の仕組みや他部署などで予約されていない１つの値を開放する設定を行えばいのかなと考えました。

＞前者であれば VPN　などを導入したほうがいいと思います
VPNですか。
過去、別件ですが、VPNにはUSBメモリのようなキーが必要とかで、管理部品が増えるので面倒だと部署の上職が却下した例がありますが、今一度調べてみます。

＞部署内だけで実現しようとしないでネットワーク管理部門に相談することをお勧めします
当然ですが部署単独で公開設定等を行うことはありません。しかしながら、ネットワーク管理部署はじめパソコンの首根っこをつかんでいる部署は相談に応じてくれないので、申請→「安全性が当社の要求に満たないため」等のぼんやりとした理由で却下。具体的な不備な箇所の指摘なし→指摘箇所を適当に改善してみて再度申請、という事の繰り返しなので、どの情報を集めたらいいか不明で、大変なのです。したがって今回のようなぼんやりとした質問になっています。

お礼日時：2013/10/22 15:47