Apacheでhttpd.confを使いセキュアヘッダーを設定する方法【完全ガイド】

ApacheのWebサーバーは広く利用されていますが、適切にセキュリティ対策を施さなければ、サイバー攻撃の対象となり得ます。特に、HTTPレスポンスヘッダーの設定は、XSS（クロスサイトスクリプティング）やクリックジャッキング、データのスニッフィングといった脆弱性を軽減する重要な要素です。

本記事では、Apacheの設定ファイルであるhttpd.confを編集し、Strict-Transport-Security（HSTS）やX-Content-Type-Optionsなどのセキュアヘッダーを追加する方法を解説します。これにより、通信の暗号化強制やコンテンツの適切な扱いを促進し、安全なWeb環境を構築できます。

初心者の方にも理解しやすいように、具体的なコード例や設定の注意点を交えて説明します。Apacheを運用するすべての管理者にとって、有益なガイドとなるはずです。

セキュアヘッダーとは？

セキュアヘッダー（Security Headers）とは、HTTPレスポンスヘッダーに追加されるセキュリティ関連の指示であり、ブラウザがWebアプリケーションの挙動を制御するための仕組みです。これにより、さまざまな攻撃手法を未然に防ぎ、ユーザーとサーバーの双方を保護します。

セキュアヘッダーの役割

セキュアヘッダーは、ブラウザに対してセキュリティポリシーを明示する役割を持っています。たとえば、HTTPS通信を強制するStrict-Transport-Securityや、コンテンツの種類を明確にするX-Content-Type-Optionsなどがその代表例です。

主なセキュアヘッダーの種類

• Strict-Transport-Security (HSTS)：HTTP通信をHTTPSに強制変換し、通信の盗聴や改ざんを防止します。
• X-Content-Type-Options：ブラウザのMIMEスニッフィングを防ぎ、意図しないファイル形式での実行を防ぎます。
• Content-Security-Policy (CSP)：スクリプトの実行ポリシーを設定し、XSS攻撃の防止に役立ちます。
• X-Frame-Options：クリックジャッキング攻撃を防ぐため、Webページの埋め込みを制御します。
• X-XSS-Protection：XSSフィルターを有効化し、ブラウザでスクリプトの実行をブロックします。

セキュアヘッダーの導入は、Webサイトの信頼性を高め、ユーザーに安心してサービスを利用してもらうための重要な施策となります。

Apacheでセキュアヘッダーを設定する理由

セキュアヘッダーをApacheに設定することは、Webサーバーのセキュリティを強化し、多くのサイバー攻撃からアプリケーションを守るために不可欠です。特に、クリックジャッキングやXSS（クロスサイトスクリプティング）、データスニッフィングなどの攻撃は、セキュアヘッダーで効果的に防止できます。

セキュアヘッダーが必要な理由

• データの改ざん防止：セキュアヘッダーは、データの改ざんや中間者攻撃（MITM）を防ぐ役割を果たします。特にStrict-Transport-Security (HSTS)は、HTTPS以外の通信をブロックするため、安全な通信経路が確保されます。
• XSS攻撃のリスク低減：Content-Security-Policy (CSP)を設定することで、悪意のあるスクリプトの実行が制限され、XSS攻撃が防止されます。
• クリックジャッキング防止：X-Frame-Optionsを利用すれば、悪意のあるサイトが自サイトをiframeで埋め込むことを防げます。これにより、ユーザーの誤操作を誘導するクリックジャッキング攻撃を抑止できます。
• 不正なファイル実行防止：X-Content-Type-Optionsを設定すると、ブラウザがMIMEタイプをスニッフィングすることを防ぎ、不正なファイルが意図しない形式で実行されるリスクを軽減します。

セキュリティインシデントの具体例

たとえば、あるWebサイトがセキュアヘッダーを設定していなかった場合、攻撃者がスクリプトを挿入し、ユーザーのブラウザ上で悪意のあるコードが実行される可能性があります。これにより、個人情報の漏洩やセッションハイジャックが発生することがあります。

セキュアヘッダーは「設置しておけば安全」というものではなく、継続的に見直しと更新が必要です。しかし、これらを適切に設定するだけで、セキュリティレベルが大きく向上し、多くの脅威を未然に防ぐことが可能になります。

httpd.confの基本構造と編集方法

Apacheの設定ファイルであるhttpd.confは、Webサーバーの挙動を制御する重要なファイルです。このファイルを編集することで、セキュアヘッダーの追加やサイトの挙動を細かく設定できます。ここでは、httpd.confの基本構造と、安全に編集するための手順を解説します。

httpd.confとは？

httpd.confは、Apache Webサーバーのメイン設定ファイルであり、サーバーのポート設定、ドキュメントルート、モジュールの読み込み、セキュリティ設定などが記述されています。デフォルトでは/etc/httpd/conf/httpd.conf（または/usr/local/apache2/conf/httpd.conf）に配置されています。

httpd.confの基本構成

httpd.confの設定は、ディレクティブと呼ばれる指示文で記述されます。代表的なディレクティブは以下の通りです。

• Listen：Apacheがリッスンするポート番号を指定（例：Listen 80）
• DocumentRoot：Webサイトのルートディレクトリを指定
• Directory：特定のディレクトリに対するアクセス制御を記述
• LoadModule：使用するモジュールを指定
• Header：HTTPレスポンスヘッダーを追加・変更

Listen 80
DocumentRoot "/var/www/html"
<Directory "/var/www/html">
    AllowOverride None
    Require all granted
</Directory>

httpd.confの編集手順

1. バックアップを作成
   httpd.confを編集する前に、必ずバックアップを作成しておきます。

sudo cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.bak

2. エディタで開く
   Vimやnanoなどのエディタを使ってhttpd.confを編集します。

sudo nano /etc/httpd/conf/httpd.conf

3. セキュアヘッダーを追加
   たとえば、Headerディレクティブを使ってHSTSを追加するには以下のように記述します。

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

4. 設定の反映
   編集が終わったら、設定を反映させるためApacheを再起動します。

sudo systemctl restart httpd

編集時の注意点

• 設定ミスがあるとApacheが起動しなくなるため、編集後は必ず構文チェックを行います。

sudo apachectl configtest

• エラーがない場合、「Syntax OK」と表示されます。エラーがある場合は詳細が表示されるので、修正後に再度テストします。

httpd.confを適切に編集し、セキュアヘッダーを設定することで、セキュリティ強化だけでなく、サーバーの安定性やパフォーマンスも向上します。

Strict-Transport-Securityの設定方法

Strict-Transport-Security (HSTS)は、Webサイトへのアクセスを強制的にHTTPSに制限するためのセキュアヘッダーです。これにより、中間者攻撃（MITM）やHTTP経由のデータ漏洩を防ぎ、通信の安全性を確保します。Apacheでは、httpd.confや.htaccessファイルにこの設定を追加することで簡単に導入できます。

HSTSの概要と効果

HSTSは、初回のアクセス時にサーバーがブラウザへ送信するHTTPレスポンスヘッダーにmax-ageを含めることで動作します。この設定により、指定した期間（通常1年間）、ブラウザは自動的にHTTPリクエストをHTTPSに書き換えます。
効果：

• HTTPS接続を強制し、平文通信の防止
• 中間者攻撃（MITM）リスクの軽減
• セキュリティスコア（例：SSL Labs）向上

httpd.confでのHSTS設定手順

1. mod_headersモジュールを有効化
   Apacheでセキュアヘッダーを設定するには、mod_headersモジュールが有効である必要があります。モジュールが無効の場合は以下のコマンドで有効化します。

sudo a2enmod headers

2. httpd.confにHSTSヘッダーを追加
   httpd.confまたは仮想ホスト設定ファイルに以下の内容を記述します。

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    # HSTSヘッダーの設定
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</VirtualHost>

ポイント解説：

• max-age=31536000：1年間のHTTPS強制（秒単位で設定）
• includeSubDomains：サブドメインもHTTPS接続を強制

1. Apacheの再起動
   設定を反映させるためApacheを再起動します。

sudo systemctl restart httpd

.htaccessを使ったHSTS設定

サイト単位でHSTSを適用したい場合は、.htaccessファイルに以下を記述します。

<IfModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

HSTS設定後の動作確認

HSTSが正しく設定されているか確認するには、ブラウザのデベロッパーツールやcurlコマンドを使います。

curl -I https://example.com

レスポンスヘッダーに以下が表示されれば成功です。

Strict-Transport-Security: max-age=31536000; includeSubDomains

注意点とトラブルシューティング

• HSTSのキャッシュ：一度設定するとブラウザが記録を保持するため、誤設定時は修正が難しい場合があります。テスト環境で十分に確認してから本番環境に適用しましょう。
• HTTPからのリダイレクト：HSTSはHTTPS接続時のみ有効です。必ずHTTPからHTTPSへのリダイレクトも同時に設定してください。

<VirtualHost *:80>
    ServerName example.com
    Redirect permanent / https://example.com/
</VirtualHost>

HSTSの適用により、Webサイトのセキュリティレベルが向上し、ユーザーに安心して利用してもらえる環境を提供できます。

X-Content-Type-Optionsの設定方法

X-Content-Type-Optionsは、ブラウザがレスポンスのMIMEタイプを自動で判別する「MIMEスニッフィング」を防ぐためのHTTPヘッダーです。これにより、不正なファイルの実行や意図しないスクリプトの実行を防ぎ、セキュリティを強化します。特に、クロスサイトスクリプティング（XSS）やコンテンツインジェクション攻撃を抑止する上で重要です。

なぜX-Content-Type-Optionsが必要か

通常、ブラウザはレスポンスのContent-Typeが不明な場合、自動的にファイル形式を判別して表示します。しかし、攻撃者が悪意のあるスクリプトやプログラムを画像やドキュメントに偽装した場合、ブラウザがこれをスクリプトとして実行してしまう可能性があります。

例：

• ファイルが「image.jpg」として送られるが、実際はスクリプトコードが埋め込まれている場合
• Content-Typeがtext/htmlのはずがtext/plainとして読み込まれ、不正なHTMLが実行される場合

X-Content-Type-Optionsを設定することで、ブラウザに「指定されたContent-Typeのみを信頼し、自動で判別しない」よう指示できます。

X-Content-Type-Optionsの設定方法

1. mod_headersモジュールを有効化
   ApacheでX-Content-Type-Optionsを設定するには、mod_headersモジュールが有効である必要があります。

sudo a2enmod headers

2. httpd.confにヘッダーを追加
   httpd.confまたは仮想ホスト設定ファイルに以下を追加します。

<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>

• nosniff：ブラウザにMIMEスニッフィングを行わせず、指定されたContent-Type以外は実行しないようにするオプションです。

1. サーバーの再起動

sudo systemctl restart httpd

.htaccessでの設定方法

サイト単位で設定を行いたい場合は、.htaccessファイルに以下を記述します。

<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>

設定後の確認方法

X-Content-Type-Optionsが正しく適用されているか確認するには、以下の方法を用います。

curl -I https://example.com

レスポンスヘッダーに以下が表示されていれば成功です。

X-Content-Type-Options: nosniff

適用例と動作確認

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    <IfModule mod_headers.c>
        Header set X-Content-Type-Options "nosniff"
    </IfModule>
</VirtualHost>

ブラウザがContent-Typeに従わない動作をしていないか、デベロッパーツール（F12）を使って「レスポンスヘッダー」を確認します。

注意点とベストプラクティス

• 必ず他のセキュリティヘッダーと併用：X-Content-Type-Optionsは単独で使うのではなく、Strict-Transport-SecurityやContent-Security-Policyと併用することで最大の効果を発揮します。
• 全ページに適用：X-Content-Type-Optionsはすべてのレスポンスに適用するのが推奨です。
• キャッシュクリア：設定変更後はキャッシュが影響する可能性があるため、ブラウザのキャッシュをクリアして動作を確認します。

この設定により、意図しないファイル形式の解釈を防ぎ、Webサイトのセキュリティが大幅に向上します。

Content-Security-Policy（CSP）の適用方法

Content-Security-Policy (CSP)は、クロスサイトスクリプティング（XSS）やデータインジェクション攻撃を防止するための強力なセキュリティヘッダーです。CSPを適用することで、外部からのスクリプトやリソースの読み込みを制御し、不正なコードの実行を未然に防ぐことができます。

CSPの仕組みと効果

CSPは、Webブラウザに対して「どのリソースが許可されるか」を指示します。これにより、信頼されていないスクリプトの読み込みや、意図しないデータの挿入がブロックされます。

例：

• 外部サイトからのスクリプト読み込みの禁止
• インラインスクリプトの無効化
• 特定のドメインからの画像やフォントの許可

効果：

• XSS攻撃を大幅に軽減
• 不正なリソースのロード防止
• セキュリティスコアの向上

httpd.confでのCSP設定手順

1. mod_headersモジュールを有効化
   CSPヘッダーを設定するには、Apacheでmod_headersモジュールを有効化します。

sudo a2enmod headers

2. CSPヘッダーをhttpd.confに追加
   httpd.confまたは仮想ホスト設定ファイルに以下のように記述します。

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';"
</IfModule>

ポイント解説：

• default-src 'self'：すべてのリソースを自身のドメインからのみ許可
• script-src 'self' https://trustedscripts.example.com：自身のドメインと特定の外部サイトからのスクリプトを許可
• object-src 'none'：FlashやJavaアプレットなどのオブジェクトを全てブロック

1. Apacheの再起動

sudo systemctl restart httpd

.htaccessでのCSP設定

特定のディレクトリやドメイン単位でCSPを適用する場合は、.htaccessに以下を記述します。

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"
</IfModule>

設定後の確認方法

ブラウザでWebサイトを開き、デベロッパーツール（F12）で「ネットワーク」タブを確認します。また、以下のコマンドでCSPが正しく適用されているか確認できます。

curl -I https://example.com

結果に以下のようなヘッダーが表示されれば成功です。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';

CSPの応用設定

• 外部APIの利用を許可：

Header set Content-Security-Policy "default-src 'self'; connect-src 'self' https://api.example.com;"

• フォントや画像の許可：

Header set Content-Security-Policy "default-src 'self'; img-src 'self' https://images.example.com; font-src 'self' https://fonts.example.com;"

注意点とベストプラクティス

• インラインスクリプトの制御：'unsafe-inline'は可能な限り使用しないことが推奨されます。インラインスクリプトはXSS攻撃の原因となる可能性があるため、外部スクリプトの読み込みを推奨します。
• ポリシーのテストモード：初回設定時はContent-Security-Policy-Report-Onlyを使用して、ポリシーが適切に機能するかをテストします。

Header set Content-Security-Policy-Report-Only "default-src 'self';"

• レポート機能の活用：違反があった場合にレポートを収集するURLを指定します。

Header set Content-Security-Policy "default-src 'self'; report-uri /csp-violation-report-endpoint/"

CSPを適切に設定することで、不正なリソースの実行を防ぎ、Webサイトのセキュリティが飛躍的に向上します。

X-Frame-Optionsの設定と動作確認

X-Frame-Optionsは、クリックジャッキング攻撃を防ぐためのHTTPセキュリティヘッダーです。このヘッダーを設定することで、外部サイトが自サイトをiframeで埋め込むことを制御し、不正なクリック誘導を防止します。

X-Frame-Optionsの仕組みと効果

クリックジャッキングとは、ユーザーが気づかないうちに悪意のあるサイトが透明なiframeを使い、他サイトのコンテンツを不正に操作させる攻撃手法です。
X-Frame-Optionsを利用することで、特定のサイトや自身のドメインのみiframeの埋め込みを許可し、他のサイトからの埋め込みを拒否できます。

オプションの種類

• DENY：iframeでの埋め込みを完全に禁止
• SAMEORIGIN：同一オリジン（自サイト）からのiframe埋め込みのみ許可
• ALLOW-FROM https://example.com：特定のドメインからのiframe埋め込みを許可

httpd.confでのX-Frame-Options設定手順

1. mod_headersモジュールを有効化
   X-Frame-Optionsを設定するにはmod_headersが必要です。

sudo a2enmod headers

2. httpd.confにX-Frame-Optionsを追加

<IfModule mod_headers.c>
    Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>

設定例：

• 完全に埋め込み禁止

Header always set X-Frame-Options "DENY"

• 自サイトからの埋め込みのみ許可

Header always set X-Frame-Options "SAMEORIGIN"

• 特定のサイトからの埋め込みを許可

Header always set X-Frame-Options "ALLOW-FROM https://trusted.example.com"

3. Apacheの再起動

sudo systemctl restart httpd

.htaccessでの設定方法

サイト単位で設定する場合は、.htaccessに以下を記述します。

<IfModule mod_headers.c>
    Header set X-Frame-Options "DENY"
</IfModule>

設定後の動作確認

X-Frame-Optionsが正しく設定されているかを確認するには、以下のコマンドを実行します。

curl -I https://example.com

レスポンスヘッダーに以下が表示されれば成功です。

X-Frame-Options: SAMEORIGIN

ブラウザでの確認

iframeタグを使って外部サイトから自身のサイトを埋め込もうとすると、エラーになります。

<iframe src="https://example.com"></iframe>

ブラウザの開発者ツール（F12）で「X-Frame-Optionsポリシーによってブロックされました」というメッセージが確認できます。

応用例：CSPと併用

X-Frame-OptionsはContent-Security-Policy (CSP)のframe-ancestorsディレクティブでも同様の効果が得られます。新しいブラウザではCSPの方が柔軟な設定が可能です。

Header set Content-Security-Policy "frame-ancestors 'self' https://trusted.example.com;"

注意点とベストプラクティス

• 特定の外部ドメインを許可する場合はCSPを推奨：ALLOW-FROMは一部のブラウザでサポートが限定的なため、frame-ancestorsの方が確実です。
• X-Frame-Optionsは必ず設定する：iframeの脆弱性を利用した攻撃は多いため、最低でもSAMEORIGINの設定が推奨されます。
• テスト環境で十分に確認：iframeを利用するアプリケーションがある場合、誤って埋め込みが制限されないようテスト環境で動作確認を行いましょう。

X-Frame-Optionsを適切に設定することで、クリックジャッキングなどの攻撃からWebサイトを保護し、ユーザーの安全を確保できます。

X-XSS-Protectionの設定方法

X-XSS-Protectionは、クロスサイトスクリプティング（XSS）攻撃を防止するために、ブラウザ側でXSSフィルターを有効化するHTTPセキュリティヘッダーです。特に古いブラウザや、XSS対策が不十分なアプリケーションに有効です。

X-XSS-Protectionの仕組みと効果

XSS攻撃とは、悪意のあるスクリプトがWebサイトに注入され、ユーザーのブラウザ上で実行される攻撃手法です。X-XSS-Protectionを設定することで、スクリプトの検出とブロックが行われます。

• 効果：XSS攻撃が検出された際に、ページのレンダリングを停止するか、攻撃コードを削除します。

X-XSS-Protectionのオプション

• 0：XSSフィルターを無効化
• 1：XSSフィルターを有効化し、攻撃が検出された場合にスクリプトをサニタイズ
• 1; mode=block：XSSフィルターを有効化し、攻撃が検出された際にページのレンダリングを完全にブロック

httpd.confでのX-XSS-Protection設定手順

1. mod_headersモジュールの有効化
   ApacheでX-XSS-Protectionを設定するにはmod_headersモジュールが必要です。

sudo a2enmod headers

2. X-XSS-Protectionをhttpd.confに追加
   httpd.confまたは仮想ホスト設定ファイルに以下を追加します。

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

設定例：

• XSSフィルターを有効化し、攻撃検出時にレンダリングをブロック
• フィルターはすべてのページに適用

1. Apacheの再起動
   設定を反映するため、Apacheを再起動します。

sudo systemctl restart httpd

.htaccessでの設定方法

サイト単位でX-XSS-Protectionを適用する場合は、.htaccessに以下を記述します。

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

設定後の確認方法

適用状況を確認するには、以下のコマンドを使用します。

curl -I https://example.com

以下のようなレスポンスが表示されれば成功です。

X-XSS-Protection: 1; mode=block

XSS攻撃のシミュレーションと確認

XSSフィルターが動作しているかを確認するため、テストページに以下のようなスクリプトを記述し、XSSフィルターがブロックするかを確認します。

<script>alert('XSS!')</script>

ブラウザの開発者ツールで「XSSフィルターが攻撃をブロックしました」というメッセージが表示される場合、設定が正しく適用されています。

応用設定：CSPと併用

X-XSS-Protectionは単独で利用するよりも、Content-Security-Policy (CSP)と併用することでさらに強力なXSS対策となります。

Header set Content-Security-Policy "script-src 'self';"

注意点とベストプラクティス

• 古いブラウザ対策：X-XSS-ProtectionはIEや古いバージョンのChromeで特に効果がありますが、最新のブラウザではCSP (Content-Security-Policy)が推奨されます。
• 複数のヘッダーを併用：X-XSS-Protectionに加えてCSPや他のセキュリティヘッダーを併用することで、多層防御が実現します。
• 0の使用は非推奨：XSSフィルターを無効化する0は、セキュリティリスクを増加させるため使用しません。最低でも1を設定します。

X-XSS-Protectionを適切に設定することで、XSS攻撃の脅威を軽減し、より安全なWeb環境を構築することができます。

まとめ

本記事では、Apacheのhttpd.confを活用してセキュリティを強化するためのセキュアヘッダー設定方法について解説しました。

Strict-Transport-Security (HSTS)、X-Content-Type-Options、Content-Security-Policy (CSP)、X-Frame-Options、X-XSS-Protectionなどのセキュリティヘッダーを適切に設定することで、クリックジャッキング、クロスサイトスクリプティング（XSS）、データスニッフィングといった脆弱性を効果的に防ぐことができます。

特に、これらのヘッダーは単独ではなく多層防御として組み合わせることで、Webサイトのセキュリティが飛躍的に向上します。セキュリティ対策は「一度設定して終わり」ではなく、継続的な見直しと更新が必要です。

安全なWebサイト運営のために、ぜひ本記事を参考にしてApacheのセキュアヘッダーを設定してください。