MENU
  1. ホーム
  2. Apache
  3. Apacheで外部スクリプトの実行を防ぐ!CSP設定例を徹底解説

Apacheで外部スクリプトの実行を防ぐ!CSP設定例を徹底解説

Apache

Webサイトのセキュリティ強化は、サイバー攻撃が増加する現代において必須の取り組みです。特に外部スクリプトの不正な実行は、クロスサイトスクリプティング(XSS)やデータ漏洩などの重大なリスクを引き起こします。
Apacheは、多くのWebサーバーで使用されており、その柔軟な設定によりセキュリティ強化が可能です。本記事では、Apacheを用いて外部スクリプトの実行を防ぐ方法を詳しく解説します。

また、Content Security Policy(CSP)を利用してスクリプトの読み込みを制御する具体的な設定例も紹介します。CSPはWebページにロードされるリソースを制限し、不正な外部スクリプトの実行を未然に防ぐ強力な手段です。

この記事を通して、Apacheサーバーのセキュリティ設定を見直し、安全なWebサイト運用を目指しましょう。

目次

Apacheの基本設定とセキュリティ対策の重要性


Apacheは世界中のWebサーバーで広く使用されており、そのシェアの高さから攻撃の標的となりやすいシステムです。初期設定のまま運用していると、不正アクセスや外部スクリプトによる攻撃を受けやすくなります。

特に、外部スクリプトの実行を許してしまう設定はクロスサイトスクリプティング(XSS)やリモートコード実行(RCE)といった深刻な脆弱性につながります。これにより、ユーザーの個人情報が盗まれたり、マルウェアが配布されたりする可能性が高まります。

セキュリティ対策を行う理由


適切なセキュリティ設定を施すことで、以下のメリットがあります。

  • XSS攻撃の防止:悪意のあるスクリプトが埋め込まれるリスクを低減します。
  • データ漏洩の防止:ユーザー情報や機密データが外部に流出するのを防ぎます。
  • サーバーの安定運用:不正なスクリプトが原因でサーバーのパフォーマンスが低下するのを防止します。

初期設定で考慮すべきポイント


Apacheの初期設定を見直すことで、基本的なセキュリティレベルを向上させることが可能です。特に以下の項目が重要です。

  • ディレクトリリストの無効化:不要なディレクトリ構成を隠す。
  • サーバー署名の非表示:Apacheのバージョン情報を隠し、攻撃対象となる情報を減らす。
  • アクセス権限の設定:不必要な権限を削減し、外部スクリプトが実行される余地をなくす。

このような基本的なセキュリティ対策に加えて、外部スクリプト対策としてCSPを導入することが、より安全なWebサーバー環境を構築する鍵となります。

外部スクリプトによる脅威とその事例


外部スクリプトの実行は、多くのWebサイトに潜む重大なセキュリティリスクです。悪意のあるスクリプトが埋め込まれると、ユーザーのデータが盗まれたり、マルウェアが拡散されたりする恐れがあります。この種の攻撃は非常に巧妙で、サイト管理者が気付かないうちに行われることも少なくありません。

代表的な脅威:クロスサイトスクリプティング(XSS)


XSSは、攻撃者が悪意のあるスクリプトをWebページに埋め込み、訪問者のブラウザで実行させる攻撃手法です。例えば、ユーザーが入力するフォームにスクリプトを挿入し、情報を盗み取るケースが挙げられます。
事例:ECサイトにXSSの脆弱性が存在し、入力フォーム経由で不正なスクリプトが挿入された。結果として、ログイン情報が攻撃者に流出し、多数のユーザーが不正アクセスを受けた。

リモートコード実行(RCE)


RCEは、外部から任意のコードを実行される攻撃です。Apacheの設定不備が原因で、外部スクリプトがサーバー上で実行され、サーバーが完全に制御される事例も報告されています。
事例:Apacheの脆弱性を突かれ、攻撃者がリモートからマルウェアを仕込み、サーバーがボットネットの一部として悪用された。

外部ライブラリの脆弱性


CDNや外部ライブラリを使用するケースも注意が必要です。攻撃者が提供する不正なライブラリがロードされることで、想定外のスクリプトが実行される可能性があります。
事例:サイトが外部のJavaScriptライブラリを読み込んでいたが、そのライブラリが改ざんされ、暗号通貨のマイニングスクリプトが埋め込まれた。

これらの事例は、Apacheで適切に外部スクリプトの実行を防ぐ設定がされていれば回避できた可能性が高いです。次章では、具体的にどのようにApacheでCSPを設定し、これらの脅威を防ぐかを解説します。

CSP(Content Security Policy)とは


Content Security Policy(CSP)は、Webページにおいて許可されていない外部スクリプトの実行を防ぐためのセキュリティ機能です。CSPはHTTPヘッダーまたはHTMLのメタタグを用いてポリシーを指定し、ブラウザに対してどのリソースが読み込まれるべきかを指示します。

CSPの役割と仕組み


CSPの基本的な役割は、Webサイトにおける外部リソースの制御です。これにより、不正なスクリプトやスタイルシートの実行が制限され、クロスサイトスクリプティング(XSS)などの攻撃を防ぐことができます。
CSPは「スクリプトはこのドメインからのみ許可する」といったホワイトリスト方式で動作し、不正なリソースが実行されないように制御します。

基本的な仕組み

  1. サーバーがCSPヘッダーを含めたHTTPレスポンスを送信
  2. ブラウザがCSPポリシーを確認
  3. 許可されたスクリプトやスタイルのみを読み込み、不正なリソースはブロック

主なCSPディレクティブ


CSPは複数のディレクティブを使って細かく制御できます。

  • default-src:デフォルトで許可するリソースの取得先を指定
  • script-src:スクリプトの取得先を制限
  • style-src:スタイルシートの取得先を制限
  • img-src:画像の取得先を制限
  • connect-src:AjaxリクエストやWebSocket接続の許可先を指定

具体的なCSPの例


以下は、特定のドメインからのスクリプトだけを許可するCSPの例です。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.example.com

この設定では、現在のサイト(self)およびtrusted.example.comからのスクリプトのみが実行可能になります。

CSPは柔軟に設定できるため、サイトの要件に応じて細かくカスタマイズが可能です。次章ではApacheでCSPを設定する具体的な方法について解説します。

ApacheでのCSP設定方法


ApacheでCSP(Content Security Policy)を設定することで、外部スクリプトの不正な実行を防ぎ、Webサイトのセキュリティを強化できます。CSPはApacheの設定ファイル(httpd.confや.htaccess)を通じて簡単に導入可能です。

CSPの設定方法


ApacheでCSPを設定するには、主に以下の方法があります。

  1. .htaccessファイルを使用(特定のディレクトリやサイトに適用)
  2. httpd.confを編集(サーバー全体に適用)

以下は、それぞれの方法について詳しく解説します。

1. .htaccessでの設定


.htaccessファイルは、特定のディレクトリやサイトに対してCSPを適用するのに便利です。Webルートの.htaccessファイルを編集して、以下のように記述します。

<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.example.com"  
</IfModule>

この例では、同一オリジンのスクリプトおよびtrusted.example.comからのスクリプトのみを許可しています。

2. httpd.confでの設定


サーバー全体にCSPを適用する場合は、httpd.confを編集します。

<IfModule mod_headers.c>  
  Header always set Content-Security-Policy "default-src 'self'; img-src 'self' data:;"  
</IfModule>

この設定では、画像はデータURLも許可されています。

CSP設定のポイント

  • ‘self’:同一オリジンのリソースのみを許可
  • https://example.com:特定のドメインからのリソースを許可
  • ‘none’:一切のリソースを許可しない
  • data::データURIスキームを許可(例:data:image/png)

設定後の動作確認


CSPを設定した後は、ブラウザの開発者ツール(F12)を使用して「セキュリティ」タブや「コンソール」でCSPの動作を確認できます。不正なリソースがブロックされた場合、「CSP違反」がログに表示されます。

この方法でCSPを適切に設定することで、外部スクリプトの実行を防ぎ、サイトの安全性を高めることができます。次章では、CSPディレクティブの具体的な使い方と詳細な例を紹介します。

ディレクティブの使い方と具体例


CSP(Content Security Policy)では、さまざまなディレクティブを使用して細かくリソースの制限を設定できます。Apacheでこれらを活用することで、外部スクリプトの実行やリソースの読み込みを厳密にコントロールできます。ここでは主要なディレクティブの使い方と具体例を解説します。

主要なCSPディレクティブ


CSPにはさまざまなディレクティブが存在し、それぞれが異なる種類のリソースを制御します。以下は主要なディレクティブです。

1. default-src(デフォルトのソース)


すべてのリソースのデフォルトの読み込み先を指定します。ほかのディレクティブが指定されていない場合、この設定が適用されます。

default-src 'self';

自サイトからのリソースだけが許可されます。

2. script-src(スクリプトの制御)


JavaScriptファイルやインラインスクリプトの読み込み先を制限します。XSS(クロスサイトスクリプティング)対策で最も重要なディレクティブです。

script-src 'self' https://apis.example.com;

自サイトとtrusted.example.comのスクリプトのみ許可されます。

3. style-src(スタイルシートの制御)


CSSファイルやインラインスタイルの読み込みを制限します。

style-src 'self' 'unsafe-inline';

自サイトのスタイルとインラインスタイルが許可されます。

4. img-src(画像の制御)


画像の読み込み元を制御します。

img-src 'self' data:;

自サイトの画像とデータURI形式の画像を許可します。

5. connect-src(接続先の制限)


AjaxリクエストやWebSocket接続などの外部接続を制御します。

connect-src 'self' https://api.example.com;

自サイトとapi.example.comへの接続が許可されます。

具体的なCSP設定例


以下は、XSS対策を重視したCSPの例です。

Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; connect-src 'self' https://api.example.com;"

この設定では、以下を許可します。

  • 自サイトからのリソース読み込み
  • trusted.example.comからのスクリプト
  • 自サイトおよびインラインスタイル
  • データURI形式の画像
  • api.example.comへのAjaxリクエスト

安全なCSP設定のポイント

  • インラインスクリプトは極力禁止'unsafe-inline'の使用は避ける
  • 外部リソースは信頼できるものに限定
  • ポリシーを細かく分けて適用:default-srcの設定だけでなく、script-srcやstyle-srcを明確に指定

これらのディレクティブを適切に組み合わせることで、Apacheサーバー上のセキュリティを大幅に強化し、不正な外部スクリプトの実行を防ぐことができます。

Apacheでの外部スクリプト実行防止設定例


Apacheで外部スクリプトの実行を防ぐためには、CSP(Content Security Policy)を活用して、許可するスクリプトの読み込み先を明確に指定します。ここでは、実際のApache設定例を示しながら、外部スクリプトの実行を効果的に制限する方法を解説します。

基本的なCSP設定例


外部スクリプトの実行を防ぐためには、同一オリジンのスクリプトのみを許可し、その他の外部ソースをブロックするのが基本です。以下の設定例は、自サイト以外のスクリプトの実行を防止するシンプルなCSPです。

.htaccessファイルでの設定例

<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'none';"  
</IfModule>
  • default-src ‘self’:同一オリジンのリソースのみ許可
  • script-src ‘self’:自サイトのスクリプトのみ実行可能
  • object-src ‘none’:プラグインや埋め込みオブジェクトを無効化
  • frame-ancestors ‘none’:iframeでの埋め込みを防止

httpd.confでの設定例

<IfModule mod_headers.c>  
  Header always set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;"  
</IfModule>

この例では、スクリプトだけでなくスタイルシートや画像の読み込み先も制御しています。インラインスタイルを許可する場合は、'unsafe-inline'を使用しますが、セキュリティを強化する場合は避けるべきです。

外部APIや特定ドメインのスクリプトを許可する例


特定の信頼できる外部スクリプトを使用する場合は、そのドメインを明示的に指定します。

例:Google Analyticsなど特定ドメインの許可

<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.google-analytics.com;"  
</IfModule>

この設定では、自サイトとGoogle Analyticsからのスクリプトだけが許可されます。その他の外部スクリプトはすべてブロックされます。

ディレクトリごとに異なるCSPを設定する


特定のディレクトリやページで異なるCSPポリシーを適用する場合は、ディレクトリごとに.htaccessファイルを用意して、ポリシーを分けることができます。

例:管理画面だけ強化したCSP設定

# /admin/.htaccess  
<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'none';"  
</IfModule>

この設定では、管理画面(/admin/ディレクトリ)では外部スタイルシートを完全に無効化し、スクリプトも自サイトのもののみ許可します。

設定後の検証と注意点

  • 設定後はブラウザの「開発者ツール」でCSP違反が発生していないか確認します。
  • 必要なスクリプトがブロックされていないかを検証し、適宜設定を調整します。
  • レポートモードを使用してCSP違反を検出しつつ、本番環境での影響を確認することも可能です。

レポートモード例

Header set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self'; report-uri /csp-violation-report-endpoint"

これにより、スクリプトのブロックは行わずに違反をログに記録できます。

ApacheでCSPを適切に設定することで、不正な外部スクリプトの実行を効果的に防止し、Webサイトのセキュリティを強化することができます。

ApacheログでCSP違反を検出する方法


CSP(Content Security Policy)を適用した後、不正なスクリプトやリソースがブロックされているかを確認することが重要です。Apacheでは、CSP違反を検出し、ログに記録することで、セキュリティポリシーの適用状況を把握できます。CSP違反のログを活用することで、潜在的な脅威や誤設定を特定し、適切な調整が可能になります。

CSP違反のログ記録方法


CSPには、ポリシー違反が発生した際にログを記録する「レポートモード(Report-Only)」があります。これにより、実際にはリソースをブロックせずに違反が検出された場合にのみログが記録されます。
レポートモードを利用することで、本番環境での影響を最小限に抑えつつ、ポリシーの調整が可能です。

レポートモードの設定例


Apacheの設定ファイル(.htaccessまたはhttpd.conf)に以下のように記述します。

<IfModule mod_headers.c>  
  Header set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self'; report-uri /csp-report-endpoint"  
</IfModule>
  • report-uri:違反が発生した場合に報告先とするURLを指定します。
  • Content-Security-Policy-Report-Only:違反はログに記録されますが、リソースのブロックは行いません。

違反報告の受け取りと記録


CSP違反の報告を受け取るためには、report-uriで指定したエンドポイントでJSON形式のレポートを受け取るように設定します。以下は、簡単なPHPスクリプトでCSP違反をログに記録する例です。

csp-report-endpoint.php

<?php
$report = file_get_contents("php://input");
file_put_contents("csp-violations.log", $report . "\n", FILE_APPEND);
?>

このスクリプトは、CSP違反の報告を「csp-violations.log」に追記します。

違反ログの内容例


ログには以下のようなJSON形式のレポートが記録されます。

{
  "csp-report": {
    "document-uri": "https://example.com/index.html",
    "referrer": "",
    "violated-directive": "script-src 'self'",
    "original-policy": "default-src 'self'; script-src 'self'; report-uri /csp-report-endpoint",
    "blocked-uri": "https://malicious.example.com/malware.js"
  }
}
  • document-uri:CSP違反が発生したページのURL
  • violated-directive:違反したCSPディレクティブ
  • blocked-uri:ブロックされたスクリプトやリソースのURL

効果的なCSPログ活用方法

  • 定期的にログを確認し、外部からの攻撃や不正リソースの読み込みを検出します。
  • 許可すべきリソースがブロックされた場合はCSPを調整し、必要な外部リソースのみを許可します。
  • 未知の外部スクリプトが検出された場合は、即座に対処して脆弱性を排除します。

本番環境での安全な適用方法

  1. まずレポートモード(Report-Only)でCSPを適用し、誤検出がないかを確認します。
  2. 違反の内容を分析し、必要なリソースをホワイトリストに追加します。
  3. 最終的にCSPを「Content-Security-Policy」に切り替え、ポリシー違反のリソースを実際にブロックします。

このプロセスを繰り返すことで、Apacheで安全かつ効果的に外部スクリプトの実行を防止し、Webサイトのセキュリティを強化することができます。

応用例:特定のページのみCSPを強化する方法


全サイトに対してCSP(Content Security Policy)を一律に適用すると、一部のページで必要なスクリプトやリソースがブロックされてしまう可能性があります。そこで、特定のページやディレクトリだけCSPを強化し、他のページでは緩和したポリシーを適用する方法が有効です。これにより、重要なページのセキュリティを高めつつ、ユーザビリティを維持できます。

特定のページでCSPを強化する理由

  • 管理画面やログインページ:不正なスクリプトが仕込まれるリスクが高いため、厳格なCSPを適用することで攻撃を防止します。
  • 決済ページやフォームページ:ユーザーの機密情報を扱うページでは、外部スクリプトの読み込みを制限することでデータ漏洩を防ぎます。
  • 公開APIやデータ出力ページ:外部アクセスを制限し、不正なリクエストやリソース読み込みを防止します。

.htaccessでのディレクトリ別CSP設定


Apacheでは、.htaccessを使用してディレクトリ単位で異なるCSPを設定できます。これにより、特定のフォルダやページにだけ強力なCSPを適用することが可能です。

例1:管理画面(/admin)に対するCSP強化

# /admin/.htaccess  
<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; frame-ancestors 'none';"  
</IfModule>
  • default-src ‘none’:すべての外部リソースをデフォルトで拒否
  • script-src ‘self’:自サイトのスクリプトのみ許可
  • frame-ancestors ‘none’:iframeでの埋め込みを禁止

この設定により、管理画面では外部リソースの読み込みが一切禁止されます。

例2:ログインページだけポリシーを強化

# /login/.htaccess  
<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline';"  
</IfModule>

ログインページでは、インラインスタイルを許可するものの、外部スクリプトは同一オリジンのみ許可します。

例3:APIディレクトリへの制限

# /api/.htaccess  
<IfModule mod_headers.c>  
  Header set Content-Security-Policy "default-src 'self'; connect-src 'self';"  
</IfModule>

APIエンドポイントでは、同一オリジンへの接続のみ許可し、外部の接続先を制限します。

HTMLファイル内でページごとにCSPを適用する方法


ページ単位でCSPを適用する場合は、HTMLファイルのメタタグを使用する方法も有効です。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline';">


この方法では、Apacheの設定を変更せずにHTMLファイル内で独自のCSPを適用できます。

動作確認とトラブルシューティング


CSPをディレクトリやページごとに適用した後は、以下の方法で動作を確認します。

  • ブラウザのデベロッパーツール(F12)でコンソールログを確認し、CSP違反がないかをチェックします。
  • 必要なスクリプトやスタイルがブロックされていないかをテストし、必要に応じてポリシーを緩和します。
  • レポートモード(Report-Only)を使用して、リソースがブロックされる前にログで確認できます。

この方法を活用することで、Apacheを使った柔軟なCSP設定が可能となり、ページごとに最適なセキュリティポリシーを適用できます。

まとめ


本記事では、Apacheで外部スクリプトの実行を防ぐためのCSP(Content Security Policy)の設定方法について詳しく解説しました。

CSPを活用することで、不正な外部スクリプトの実行を防ぎ、クロスサイトスクリプティング(XSS)やデータ漏洩のリスクを大幅に軽減できます。特に、管理画面やログインページなどの重要なページに対しては、ディレクトリ単位で強化されたCSPを適用することで、セキュリティをさらに向上させることが可能です。

また、レポートモードを使用してCSP違反の検出と記録を行い、サイト運用に影響を与えることなくポリシーを調整できることも大きな利点です。

適切なCSPの導入と継続的な監視を通じて、安全で信頼性の高いWebサイト運営を実現しましょう。

Apache
セキュリティ Apache CSP 外部スクリプト

コメント

コメントする

目次