ApacheでHTTPメソッド(GET, POST)ごとにアクセスを制限する方法を解説

Apacheで特定のHTTPメソッド（GETやPOSTなど）ごとにアクセスを制限する方法について解説します。
ウェブサーバーが受け取るリクエストにはさまざまなHTTPメソッドが存在し、それぞれに異なる目的があります。例えば、GETはデータの取得、POSTはデータの送信に使われます。セキュリティやリソース保護の観点から、これらのメソッドごとにアクセス制御を行うことが求められる場面が多くあります。

Apacheは柔軟なアクセス制御を可能にするディレクティブを提供しており、必要に応じて特定のメソッドだけを許可または拒否する設定が可能です。
本記事では、ApacheでHTTPメソッドごとにアクセスを制限する具体的な方法を、httpd.confや.htaccessを使った設定例を交えながら詳しく解説します。セキュリティを強化し、安全なサーバー運用を目指すための参考にしてください。

Apacheの基本設定とhttpd.confの役割

Apacheは、世界中で広く利用されているWebサーバーソフトウェアで、柔軟な設定が可能です。その中心となるのがhttpd.confファイルで、Apacheの動作を決定する主要な設定が記述されています。

httpd.confとは？

httpd.confは、Apacheのメイン設定ファイルであり、サーバー全体の挙動を管理します。バーチャルホストの設定やポートの指定、アクセス制御など、Webサーバーの動作に関するあらゆる項目がこのファイルに記述されます。

主な設定項目

• Listenディレクティブ：サーバーがリッスンするポート番号を指定します。
• DocumentRoot：Webサイトのルートディレクトリを設定します。
• Directoryディレクティブ：特定のディレクトリに対するアクセス制御やオプションを指定します。
• Limitディレクティブ：HTTPメソッドごとにアクセスを制御するために使用します。

設定ファイルの構成

httpd.confはディレクティブと呼ばれる設定命令で構成され、ディレクティブは次のような形式で記述されます。

<Directory "/var/www/html">
    Options Indexes FollowSymLinks
    AllowOverride All
    Require all granted
</Directory>

この例では、/var/www/htmlディレクトリに対するアクセス設定を行っています。

サーバー再起動と設定反映

httpd.confの変更を反映させるには、Apacheを再起動する必要があります。以下のコマンドで再起動を行います。

sudo systemctl restart httpd

または、設定のテストだけを行う場合は次のコマンドを実行します。

sudo apachectl configtest

これにより、設定ファイルの文法エラーを事前にチェックできます。

Apacheの設定を理解することで、HTTPメソッドごとのアクセス制御など、より高度な設定が可能になります。

HTTPメソッドとは？基本的な種類と特徴

HTTPメソッドは、クライアントがサーバーに対してどのようなアクションを求めているかを示す命令です。
Webアプリケーションの設計やセキュリティ対策において、各メソッドの特徴を理解し、必要に応じて制限をかけることが重要です。

主要なHTTPメソッド一覧

1. GETメソッド

• 用途：リソースの取得
• 特徴：
• URLにパラメータを付与してリクエストを送信します。
• サーバーからデータを取得する際に使用され、サーバーの状態を変更しません。
• キャッシュされやすく、ブックマークが可能です。
• 例：

GET /index.html HTTP/1.1

2. POSTメソッド

• 用途：リソースの送信・作成
• 特徴：
• フォームデータやファイルを送信する際に使用されます。
• サーバーの状態を変更する可能性があります。
• URLにパラメータを表示せず、セキュアなデータ送信が可能です。
• 例：

POST /submit-form HTTP/1.1

3. PUTメソッド

• 用途：リソースの更新または作成
• 特徴：
• 指定したリソースが存在しない場合は新規作成します。
• 既存のリソースを完全に置き換えます。
• 例：

PUT /api/user/123 HTTP/1.1

4. DELETEメソッド

• 用途：リソースの削除
• 特徴：
• 指定したリソースをサーバーから削除します。
• 誤ってリソースを削除しないよう慎重に使用します。
• 例：

DELETE /api/user/123 HTTP/1.1

5. OPTIONSメソッド

• 用途：サーバーがサポートするメソッドの問い合わせ
• 特徴：
• 特定のリソースに対して、利用可能なHTTPメソッドを確認します。
• 例：

OPTIONS /api/user HTTP/1.1

HTTPメソッドを制限する理由

一部のHTTPメソッド（特にPUTやDELETE）はサーバーの状態を変更する可能性があるため、不正アクセスのリスクがあります。
特定のメソッドだけを許可することで、セキュリティを強化し、不要な攻撃のリスクを軽減できます。
次のセクションでは、Apacheで特定のメソッドを制限する方法について解説します。

特定のHTTPメソッドを制限するディレクティブ設定方法

Apacheでは、<Limit> および <LimitExcept> ディレクティブを使用して、特定のHTTPメソッドを制限できます。これにより、不必要なメソッドの利用を防ぎ、サーバーのセキュリティを強化できます。

ディレクティブの基本

<Limit> ディレクティブは、指定したHTTPメソッドだけを制限し、それ以外は許可します。
例えば、GETとPOSTのみ許可し、PUTやDELETEを禁止する場合に利用します。

設定例：GETとPOSTのみ許可

<Directory "/var/www/html">
    <Limit PUT DELETE>
        Require all denied
    </Limit>
</Directory>

• <Directory>：制限をかけるディレクトリを指定します。
• <Limit PUT DELETE>：PUTとDELETEメソッドに対してアクセスを拒否します。
• Require all denied：すべてのユーザーからのアクセスを拒否します。

ディレクティブの基本

<LimitExcept> は、指定したメソッド以外を制限します。つまり、「指定したメソッドだけを許可」する逆の動作になります。
例えば、GETメソッドだけを許可し、それ以外をすべて拒否したい場合に使用します。

設定例：GETメソッドだけを許可

<Directory "/var/www/html">
    <LimitExcept GET>
        Require all denied
    </LimitExcept>
</Directory>

• <LimitExcept GET>：GET以外のメソッドを制限します。
• これにより、POSTやDELETEなどのメソッドでのアクセスはすべて拒否されます。

ファイルアップロードディレクトリへのPUT制限

ファイルアップロードを制限する例です。

<Directory "/var/www/uploads">
    <Limit PUT DELETE>
        Require all denied
    </Limit>
</Directory>

この設定では、/var/www/uploadsディレクトリへのPUTとDELETEメソッドの使用を禁止します。アップロードファイルの削除や改ざんを防ぐために有効です。

バーチャルホストごとの設定

バーチャルホストごとにメソッド制限を設定することも可能です。

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot "/var/www/example"

    <Directory "/var/www/example">
        <Limit POST PUT DELETE>
            Require all denied
        </Limit>
    </Directory>
</VirtualHost>

この設定では、example.comに対するPOST、PUT、DELETEメソッドの使用を禁止します。

設定反映と確認

設定を反映させるには、Apacheを再起動またはリロードします。

sudo systemctl restart httpd

または

sudo apachectl graceful

これにより、設定が適用され、不正なメソッドによるアクセスを防ぐことができます。

次のセクションでは、.htaccess を使ったHTTPメソッドの制限方法を解説します。

<Limit>ディレクティブを使用した設定例

<Limit>ディレクティブは、特定のHTTPメソッド（GETやPOSTなど）に対してアクセスを制限する際に使用します。このディレクティブは、ディレクトリ単位で設定することができ、Apacheの設定ファイル（httpd.conf）や.htaccessで簡単に導入できます。

GETとPOSTを許可し、PUTとDELETEを制限する例

以下は、特定のディレクトリに対してPUTとDELETEメソッドを禁止し、GETとPOSTのみを許可する設定例です。

<Directory "/var/www/html">
    <Limit PUT DELETE>
        Require all denied
    </Limit>
</Directory>

• ディレクトリの指定：/var/www/htmlに対して設定を行います。
• ：PUTとDELETEメソッドの使用を制限します。
• Require all denied：すべてのユーザーからのPUTおよびDELETEリクエストを拒否します。

POSTメソッドのみ許可する例

以下は、管理ページなどでPOSTメソッドだけを許可し、それ以外のメソッドをすべて制限する例です。

<Directory "/var/www/admin">
    <LimitExcept POST>
        Require all denied
    </LimitExcept>
</Directory>

• ：POSTメソッド以外のすべてのメソッドを制限します。
• 管理ディレクトリへの制限：/var/www/adminディレクトリに対してのみ適用されます。

特定のIPアドレスからのみPUTを許可

特定のIPアドレスからのPUTメソッドだけを許可し、その他のアクセスは制限する方法です。

<Directory "/var/www/uploads">
    <Limit PUT>
        Require ip 192.168.1.100
    </Limit>
    <LimitExcept PUT>
        Require all denied
    </LimitExcept>
</Directory>

• PUTメソッドの制限：PUTは192.168.1.100からのリクエストだけを許可します。
• その他のメソッド制限：PUT以外のすべてのメソッドは拒否されます。
• アップロードディレクトリへの保護：ファイルのアップロードや削除が不正に行われるリスクを防ぎます。

設定の確認方法

設定ファイルを変更した後は、構文エラーをチェックします。

sudo apachectl configtest

エラーがない場合、以下のコマンドでApacheを再起動して設定を反映させます。

sudo systemctl restart httpd

このように、<Limit>ディレクティブを利用することで、特定のメソッドだけを制限したり、特定のIPからのアクセスを柔軟に管理できます。次のセクションでは、.htaccessファイルを活用したメソッド制限について詳しく説明します。

.htaccessを活用したメソッドごとのアクセス制限

Apacheでは、.htaccessファイルを使ってHTTPメソッドごとにアクセス制限をかけることができます。これにより、サーバー全体ではなく、特定のディレクトリ単位で細かい制御が可能になります。特に共有ホスティング環境など、httpd.confにアクセスできない場合に有効です。

.htaccessとは？

.htaccessはApacheのディレクトリ単位の設定ファイルで、ディレクトリごとに独自のルールを記述できます。これにより、アクセス制御、リダイレクト、認証などさまざまな機能を簡単に追加できます。

.htaccessでHTTPメソッドを制限する基本構文

以下のように、.htaccess内で<Limit>ディレクティブを使って、特定のメソッドを制限します。

<Limit PUT DELETE>
    Require all denied
</Limit>

• <Limit PUT DELETE>：PUTとDELETEメソッドを制限します。
• Require all denied：すべてのユーザーに対して拒否します。

例1：PUTとDELETEを禁止し、GETとPOSTを許可する

# .htaccessファイルに記述
<Limit PUT DELETE>
    Require all denied
</Limit>

この設定では、GETとPOSTは許可されますが、PUTとDELETEメソッドのリクエストはすべて拒否されます。

例2：管理ディレクトリでPOSTのみ許可する

# /var/www/admin/.htaccess
<LimitExcept POST>
    Require all denied
</LimitExcept>

• POSTメソッド以外はすべて制限されます。
• /var/www/admin内でのみこのルールが適用されます。

例3：特定のIPアドレスからだけPUTを許可

<Limit PUT>
    Require ip 192.168.1.100
</Limit>

• PUTメソッドは192.168.1.100のIPアドレスからのリクエストだけを許可します。
• その他のIPからのPUTリクエストはすべて拒否されます。

設定を反映するためのポイント

.htaccessを使用する場合、httpd.confで以下の設定が必要です。

<Directory "/var/www/html">
    AllowOverride All
</Directory>

• AllowOverride Allが指定されているディレクトリで.htaccessが有効になります。
• デフォルトでは無効になっている場合があるので、忘れずに確認してください。

設定のテストと確認

.htaccessの記述ミスがあると、Webサイト全体に影響を及ぼすことがあります。設定後は、Apacheの設定チェックを行いましょう。

sudo apachectl configtest

問題がなければ、Apacheを再起動して設定を反映させます。

sudo systemctl restart httpd

.htaccessを活用することで、必要なディレクトリに対して細かくメソッド制限をかけることが可能になります。次のセクションでは、さらにセキュリティを強化する応用設定例を解説します。

セキュリティ強化のための応用設定例

ApacheでのHTTPメソッド制限は、基本的なアクセス制御だけでなく、セキュリティ強化にも役立ちます。リクエストの細かな制御や特定の条件下でのアクセス許可を行うことで、攻撃リスクを低減できます。以下に、実践的な応用例を紹介します。

特定のIPアドレスだけにPUTとDELETEを許可

重要なディレクトリで、特定のIPアドレスだけPUTやDELETEメソッドを許可し、他のIPからのアクセスを制限します。

<Directory "/var/www/admin">
    <Limit PUT DELETE>
        Require ip 192.168.1.100
    </Limit>
</Directory>

• PUTとDELETEは192.168.1.100のみ許可されます。
• 他のIPからはアクセス不可となり、不正なリクエストを防ぎます。

内部ネットワークからのみアクセス可能にする

イントラネット専用のディレクトリを作成し、外部からのリクエストをブロックします。

<Directory "/var/www/intranet">
    <LimitExcept GET POST>
        Require ip 10.0.0.0/24
    </LimitExcept>
</Directory>

• 内部ネットワーク（10.0.0.x）のIPだけがGETとPOST以外のメソッドを使用できます。
• インターネット経由のリクエストを遮断し、安全な通信を確保します。

ユーザー認証を伴うメソッド制限

特定のメソッドを使用する場合に、ユーザー認証を必須にすることでセキュリティを向上させます。

<Directory "/var/www/secure">
    AuthType Basic
    AuthName "Restricted Area"
    AuthUserFile /etc/apache2/.htpasswd
    Require valid-user

    <Limit POST PUT DELETE>
        Require valid-user
    </Limit>
</Directory>

• 認証されたユーザーのみがPOST、PUT、DELETEメソッドを使用可能です。
• .htpasswdでパスワードを管理し、権限を持つユーザーだけが操作できます。

リクエストヘッダーを利用した制限

特定のリクエストヘッダーを持つリクエストのみを許可する設定です。これにより、APIアクセスなどを制限できます。

<Directory "/var/www/api">
    <If "%{HTTP:Authorization} =~ /^Bearer /">
        Require all granted
    </If>
    <Else>
        Require all denied
    </Else>
</Directory>

• Bearerトークンを含むリクエストだけが許可されます。
• トークンがないリクエストは拒否され、APIの不正利用を防止します。

クロスサイトスクリプティング（XSS）対策

クロスサイトスクリプティングを防ぐため、特定のメソッドに対して制限を加えます。

<If "%{QUERY_STRING} =~ /<script>/i">
    Require all denied
</If>

• リクエストURLに<script>が含まれている場合、アクセスを拒否します。
• XSS攻撃を未然に防ぐ簡単な対策です。

設定の反映と確認

設定後は、Apacheをリロードして変更を反映させます。

sudo systemctl reload httpd

構文エラーがないかを事前に確認する場合は以下を実行します。

sudo apachectl configtest

これらの応用設定により、HTTPメソッドの制限だけでなく、Apache全体のセキュリティが強化されます。次のセクションでは、記事のまとめとして、設定のポイントを振り返ります。

まとめ

本記事では、ApacheでHTTPメソッドごとにアクセスを制限する方法について解説しました。
<Limit> および <LimitExcept> ディレクティブを活用することで、特定のメソッドを許可または制限し、セキュリティを強化できます。

特に、.htaccessを使ったディレクトリ単位の制御や、IPアドレスやリクエストヘッダーによる詳細な制限は、不正アクセス防止やシステムの安定性向上に有効です。
PUTやDELETEメソッドなど、リソースの変更を伴うメソッドは慎重に管理し、必要最小限の許可設定を行うことが重要です。

適切なアクセス制御を行い、安全なWebサーバー運用を目指しましょう。