自宅NASとVPNを連携して
どこからでも安全にアクセスする方法
仕組みから設定手順まで、図解つきでわかりやすく解説。初心者でも今日から実践できます。
NASとは?基礎知識をおさらい
NAS(Network Attached Storage)とは、自宅のLANに接続して使う「自分専用のクラウドストレージ」です。SynologyやQNAPなどのメーカーが有名で、一度導入すれば月額費用なしで大容量のファイルサーバーを運用できます。
ファイル共有
家族や職場でファイルを簡単に共有。写真・動画・書類を一括管理。
バックアップ
PCやスマホの自動バックアップ先として活用。データ消失を防ぐ。
メディアサーバー
Plex等と連携してどこでも動画・音楽をストリーミング再生。
自動同期
複数デバイスのデータをリアルタイムで同期。クラウド不要。
なぜVPNが必要なのか?直接公開の危険性
「ポートを開けてNASを直接インターネットに公開すればいいのでは?」と思う方も多いですが、これは非常に危険です。
図1:VPNなしでNASを直接公開した場合のリスク
直接公開の主なリスク
ブルートフォース攻撃
自動化ツールによりパスワードを何万回も試される。弱いパスワードは数時間で突破されることもある。
ゼロデイ脆弱性の悪用
NASのOS(DSMなど)やアプリに未知の脆弱性があった場合、世界中の攻撃者からスキャンされ続ける。
ランサムウェア感染
近年、Synology/QNAPのNASを狙うランサムウェアが増加。直接公開していたケースで被害が多発。
NAS+VPN連携の仕組みを図解で理解
VPN(Virtual Private Network)は、インターネット上に「仮想的な専用トンネル」を作る技術です。このトンネルを通ることで、外出先のスマホや会社のPCが「自宅のLANにいるのと同じ状態」になります。
図2:VPN連携時のデータフロー。暗号化トンネル内は外部から見えない
VPN接続の3つのポイント
認証(Authentication)
証明書や鍵ペアで「本物のユーザーかどうか」を確認。パスワードだけより格段に安全。
暗号化(Encryption)
通信内容をAES-256などで暗号化。傍受されても内容は読めない。
トンネリング(Tunneling)
仮想的な専用回線を作り、自宅LAN内にいるのと同じ通信が可能になる。
IPアドレスの秘匿
NASのポートを直接公開せず、VPNのポートのみ公開。攻撃対象を最小限に絞る。
VPN方式の比較:WireGuard vs OpenVPN
自宅NASでVPNサーバーを立てる場合、主に2つの方式を使います。それぞれの特徴を比較しましょう。
| 項目 | WireGuard おすすめ | OpenVPN |
|---|---|---|
| 速度 | ⚡ 非常に高速 | △ やや遅め |
| 設定の手軽さ | ✅ シンプル | △ やや複雑 |
| セキュリティ | ✅ 最新設計・高水準 | ✅ 実績十分 |
| CPU負荷 | ✅ 低い | △ 高め |
| 使用ポート | UDP 51820(デフォルト) | UDP/TCP 1194 |
| コード行数 | 約4,000行(監査しやすい) | 約100,000行 |
| NASメーカー対応 | Synology DSM 7.2以降等 | ほぼ全メーカー対応 |
| モバイル対応 | ✅ iOS/Android公式アプリ | ✅ 公式アプリあり |
設定の全体フロー
実際の設定は大きく4つのステップに分かれます。全体像を把握してから細部に進みましょう。
図3:NAS+VPN連携の設定フロー全体図
ルーター側の設定(ポートフォワーディング)
外部からVPN接続を受け付けるには、ルーターに「このポートへの通信はNASに転送してください」という設定が必要です。これをポートフォワーディング(ポート転送)と呼びます。
ポートフォワーディングの設定例
| 設定項目 | WireGuardの場合 | OpenVPNの場合 |
|---|---|---|
| 外部ポート(WAN側) | 51820 | 1194 |
| 内部ポート(LAN側) | 51820 | 1194 |
| プロトコル | UDP | UDP または TCP |
| 転送先IPアドレス | NASの固定IPアドレス(例:192.168.1.100) | 同左 |
NASのLAN内IPアドレスを固定する
ポートフォワーディングの転送先IPが変わってしまうと接続できなくなります。必ずNASのIPアドレスをDHCP予約(MACアドレス固定)またはNAS側で静的IP設定しましょう。
NASのMACアドレスを確認する
NASの管理画面(DSMなど)でネットワーク設定を開き、MACアドレスをメモする。
ルーターでDHCP予約を設定する
ルーターの管理画面でMACアドレスに対して固定IP(例:192.168.1.100)を予約する。
NASを再起動して確認する
NASを再起動し、割り当てたIPアドレスになっているかネットワーク設定で確認する。
NASでVPNサーバーを立てる
ここでは代表的なNASメーカーであるSynologyを例に解説します(QNAPも基本的な流れは同じです)。
Synology DSMでのWireGuard設定(概要)
VPNサーバーパッケージをインストール
DSMのパッケージセンターで「VPN Server」を検索してインストール。DSM 7.2以降はVPN Serverパッケージ内でWireGuardが使用可能。
WireGuardを有効化してインターフェースを作成
VPN Server → WireGuard → 「作成」ボタン。サーバーの公開鍵・秘密鍵が自動生成される。リスニングポートはデフォルト51820でOK。
ピア(接続クライアント)を追加する
接続したいデバイスごとにピアを追加。QRコードまたは設定ファイル(.conf)をエクスポートできる。このファイルをクライアントアプリに読み込ませる。
ファイアウォールの設定確認
DSMのコントロールパネル → ファイアウォールで、WireGuardポート(UDP 51820)が許可されているか確認する。
スマホ・PCからの接続設定
図4:クライアント側の接続設定フロー
WireGuardアプリのダウンロード先
iOS(iPhone / iPad)
App Storeで「WireGuard」を検索。WireGuard Development Teamの公式アプリをインストール。
Android
Google PlayまたはF-Droidで「WireGuard」を検索。公式アプリをインストール。
Windows
wireguard.comよりインストーラーをダウンロード。管理者権限でインストール後、.confファイルをインポート。
macOS
Mac App Storeで「WireGuard」を検索。または公式サイトよりダウンロード。
よくあるトラブルと解決策
| 症状 | 原因 | 解決策 |
|---|---|---|
| VPNに繋がらない | ポートフォワーディング未設定・ミス | ルーター設定を再確認。外部からポートが開いているかは「canyouseeme.org」で確認可能。 |
| 接続はできるがNASにアクセスできない | VPNのIPサブネットが衝突している | 自宅LAN(192.168.1.x)とVPN仮想NW(10.0.0.x)が重複しないようにする。 |
| 速度が遅い | OpenVPN使用 or 上り回線の帯域不足 | WireGuardに変更、または回線プラン見直し。 |
| グローバルIPが変わると繋がらなくなる | DDNS未設定 | Synology DDNSやNo-IPを設定し、IPではなくドメイン名で接続する。 |
| マンション・会社のWi-Fiから繋がらない | 特定ポートのブロック | WireGuardのポートをUDP 443等に変更するか、Tailscaleを検討。 |
| スマホのバッテリー消費が増えた | VPN常時接続による影響 | VPNをオンデマンド接続(必要な時だけON)に設定する。 |
Tailscale:設定が難しい場合の代替手段
ポートフォワーディングが使えない環境や、設定が難しい場合はTailscaleという選択肢があります。TailscaleはNASとクライアントにアプリをインストールするだけで、ルーターの設定なしにVPN接続を実現できるサービスです(個人利用は無料)。
Tailscaleのメリット
ルーター設定不要・NAT越え自動処理・Synologyパッケージあり・無料プランあり。
Tailscaleのデメリット
外部サービス依存(Tailscale社の認証サーバーが必要)・完全な自己ホストではない。
よくある質問(FAQ)
自宅NASをVPNと連携させることで、外出先から安全にデータへアクセスできるようになります。初心者にはWireGuard + Synology VPN Serverの組み合わせが最もセットアップしやすくおすすめです。ポートフォワーディングが難しい環境ではTailscaleが手軽な代替手段になります。セキュリティを確保しながら、自分だけのプライベートクラウドを構築しましょう!