Apacheのhttpd.confで強化するセキュリティ設定一覧【2024年版】

Apacheは広く利用されているWebサーバーですが、その人気ゆえにセキュリティ上の脅威の標的となりやすい側面があります。適切に設定されたhttpd.confは、これらのリスクを軽減し、サーバーを安全に保つための重要な役割を果たします。

本記事では、Apacheのhttpd.confを活用してサーバーのセキュリティを強化する具体的な方法について解説します。サーバー情報の漏洩防止、アクセス制御、HTTPSの強制リダイレクト、XSS対策など、実践的で即効性のある設定項目を網羅し、各設定の目的と詳細な手順を説明します。

セキュリティは「設定して終わり」ではなく、常に更新・確認が求められます。本記事を通じて、最新の脅威に備えた堅牢なサーバー環境を構築するための知識を身につけましょう。

サーバー情報の漏洩防止設定

Apacheはデフォルトの状態では、エラーページやHTTPレスポンスヘッダーにサーバーのバージョン情報やモジュール構成を出力します。これらの情報は攻撃者にとって貴重な手がかりとなり、脆弱性を突かれるリスクを高めます。そのため、サーバー情報を隠す設定が必要です。

サーバーバージョンとOS情報の非表示

サーバーバージョンやOS情報は、以下の設定で簡単に隠せます。
httpd.confに次の行を追加または修正してください。

ServerTokens Prod
ServerSignature Off

• ServerTokens Prod はレスポンスヘッダーで “Apache” という最低限の情報のみを返します。
• ServerSignature Off はエラーページ下部に表示されるサーバー情報を非表示にします。

詳細なエラーメッセージの制御

エラーページには、攻撃者がサーバー構成を推測するためのヒントが含まれることがあります。エラーメッセージの内容を制御するには、次の設定を行います。

ErrorDocument 403 "Forbidden"
ErrorDocument 404 "Not Found"
ErrorDocument 500 "Internal Server Error"

この設定により、エラー時にシンプルなメッセージを返し、詳細な情報を隠します。

カスタムエラーページの作成

さらにセキュリティを強化するために、独自のエラーページを作成し、サーバーの情報を完全に隠蔽します。

ErrorDocument 404 /errors/404.html

これにより、特定のHTMLファイルをエラー時に表示することができます。
サーバー情報の隠蔽は、基本的でありながら効果的なセキュリティ対策です。最初に取り組むべき重要な設定項目の一つとして実装しましょう。

ディレクトリリスティングの無効化

Apacheはデフォルトで、ディレクトリにインデックスファイル（index.htmlやindex.phpなど）が存在しない場合、ディレクトリ内のファイル一覧を表示します。これにより、攻撃者がサーバー内のファイル構成を確認できるリスクがあります。ディレクトリリスティングを無効化し、不正アクセスを防ぐことが重要です。

ディレクトリリスティングの無効化方法

httpd.confに以下の設定を追加または修正します。

<Directory "/var/www/html">
    Options -Indexes
</Directory>

• Options -Indexes は、ディレクトリにインデックスファイルが存在しない場合に403エラー（Forbidden）を返します。
• "/var/www/html" の部分は、リスト表示を防ぎたいディレクトリパスに置き換えてください。

特定のディレクトリのみ無効化

特定のディレクトリだけディレクトリリスティングを無効にしたい場合は、対象ディレクトリに限定して設定します。

<Directory "/var/www/html/private">
    Options -Indexes
</Directory>

この設定により、/var/www/html/private 内のリスティングが禁止されます。

.htaccessを使用した設定

ディレクトリ単位で柔軟に制御したい場合は、.htaccess ファイルを使用します。ディレクトリに.htaccessファイルを設置し、以下を記述します。

Options -Indexes

これにより、該当ディレクトリ以下でディレクトリリスティングが無効になります。

動作確認

設定後、該当ディレクトリにアクセスし、インデックスファイルがない状態で403エラーが返ることを確認します。これで、ディレクトリリスティングが無効化され、サーバーのセキュリティが強化されます。

不要なモジュールの無効化

Apacheは多くのモジュールが利用可能で、必要に応じてロードされますが、不要なモジュールが有効になっているとセキュリティリスクが高まります。使わないモジュールは攻撃の対象となる可能性があるため、無効化することが推奨されます。

モジュール一覧の確認方法

現在ロードされているモジュールを確認するには、以下のコマンドを実行します。

apachectl -M

または、UbuntuやCentOSでは次のように確認できます。

httpd -M

このコマンドは、ロードされているモジュールの一覧を表示します。

不要なモジュールの特定

基本的に使用しない可能性が高いモジュールの例は以下の通りです。

• mod_autoindex – ディレクトリリスティングを生成するモジュール
• mod_status – サーバーステータスを表示するモジュール
• mod_info – サーバーの設定情報を公開するモジュール

これらのモジュールは便利ですが、セキュリティを重視する場合は無効化する方が望ましいです。

モジュールの無効化方法

CentOSやRHELの場合:

httpd.conf内で以下の記述を探し、コメントアウトします。

#LoadModule autoindex_module modules/mod_autoindex.so
#LoadModule status_module modules/mod_status.so
#LoadModule info_module modules/mod_info.so

コメントアウトすることでモジュールが無効化されます。

UbuntuやDebianの場合:

以下のコマンドで不要なモジュールを無効化できます。

a2dismod autoindex
a2dismod status
a2dismod info

コマンド実行後にApacheを再起動します。

systemctl restart apache2

無効化後の確認

再度モジュール一覧を確認し、無効化が反映されていることを確認します。

apachectl -M

必要最低限のモジュールだけが動作している状態に保つことで、攻撃のリスクが軽減され、パフォーマンスの向上にも寄与します。

アクセス制御とIP制限

サーバーへの不正アクセスを防ぐためには、特定のIPアドレスやネットワークからのアクセスのみを許可する設定が効果的です。httpd.confを使用して、重要なディレクトリや管理エリアへのアクセス制御を行いましょう。

アクセス制御の基本設定

特定のディレクトリに対して、特定のIPアドレスのみアクセスを許可する基本的な設定は以下の通りです。

<Directory "/var/www/html/admin">
    Require ip 192.168.1.100
    Require ip 203.0.113.0/24
</Directory>

• Require ip の後に許可するIPアドレスやCIDRを指定します。
• 上記の例では、192.168.1.100と203.0.113.0/24のIP範囲からのみアクセスが許可されます。
• /var/www/html/admin ディレクトリへのアクセスを制限しています。

特定のIPを拒否する設定

特定のIPアドレスを拒否し、それ以外のアクセスを許可する場合は以下のように記述します。

<Directory "/var/www/html/secure">
    Require all granted
    Require not ip 203.0.113.45
</Directory>

• Require not ip で指定したIPアドレスからのアクセスをブロックします。
• これにより、203.0.113.45からのアクセスのみ拒否されます。

全体のアクセスを制限する場合

サーバー全体にアクセス制限を設ける場合は、<Directory /> ブロックを使用します。

<Directory />
    Require all denied
</Directory>

これにより、全てのディレクトリへのアクセスが禁止されます。特定のディレクトリだけ許可したい場合は、次のように個別で設定します。

<Directory "/var/www/html/public">
    Require all granted
</Directory>

.htaccessによるIP制限

ディレクトリ単位でアクセス制御を行う場合は、.htaccess ファイルを使う方法もあります。

Require ip 192.168.1.0/24
Require not ip 203.0.113.55

• .htaccessはディレクトリごとに設置し、アクセス制御が可能です。
• .htaccessによる制御は簡便ですが、httpd.confでの制御の方がパフォーマンスに優れます。

設定の確認と適用

設定後、Apacheを再起動して変更を反映させます。

systemctl restart apache2  # Ubuntu/Debian系
systemctl restart httpd    # CentOS/RHEL系

アクセス制御の設定は、サーバーのセキュリティを大幅に向上させる重要なステップです。特に管理画面や機密領域は、IP制限を導入して不正アクセスを未然に防ぎましょう。

HTTPSの強制リダイレクト設定

HTTPSを強制することで、通信内容が暗号化され、盗聴や改ざんのリスクを防ぐことができます。Apacheではhttpd.confを使って、HTTPからHTTPSへの自動リダイレクトを簡単に設定できます。

リダイレクトの基本設定

最もシンプルな方法は、バーチャルホストでHTTPリクエストを自動的にHTTPSへリダイレクトする設定です。以下の記述をhttpd.confに追加します。

<VirtualHost *:80>
    ServerName example.com
    Redirect permanent / https://example.com/
</VirtualHost>

• *:80 はHTTPポートを示しています。
• Redirect permanent はリダイレクトが恒久的であることを示します（301リダイレクト）。
• example.com をご自身のドメイン名に置き換えてください。

全リクエストをHTTPSにリダイレクト

サーバー全体でリクエストをHTTPSにリダイレクトするには、以下のように記述します。

<VirtualHost *:80>
    ServerName example.com
    ServerAlias www.example.com
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

• RewriteEngine On でリダイレクト機能を有効にします。
• RewriteCond %{HTTPS} off で、HTTP接続のみをリダイレクト対象とします。
• RewriteRule により、すべてのリクエストがHTTPSへ転送されます。

.htaccessによるHTTPSリダイレクト

個別のディレクトリに対してHTTPSを強制する場合は、.htaccess ファイルに以下を記述します。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

• .htaccessは特定のディレクトリ単位で柔軟に設定可能です。

Let’s EncryptでSSL証明書を取得

HTTPSを利用するには、SSL証明書が必要です。無料のSSL証明書を取得するにはLet’s Encryptが便利です。以下のコマンドで証明書をインストールできます。

sudo apt install certbot python3-certbot-apache
sudo certbot --apache

• コマンド実行後、証明書が自動で取得・設定されます。
• 有効期限が切れる前に自動更新されます。

設定の確認と適用

設定後、Apacheを再起動して変更を反映します。

systemctl restart apache2  # Ubuntu/Debian系
systemctl restart httpd    # CentOS/RHEL系

ブラウザでHTTPアクセスを試み、HTTPSへ自動的にリダイレクトされることを確認してください。HTTPSの強制はWebサイトの安全性を大幅に向上させる重要な施策です。

ファイルアップロードのサイズ制限

不正なファイルのアップロードや、大容量ファイルによるDDoS攻撃を防ぐためには、Apacheでアップロード可能なファイルサイズを制限する設定が必要です。httpd.confで適切なサイズ制限を設けることで、サーバーの安定性とセキュリティが向上します。

アップロードサイズ制限の設定方法

Apacheでは、LimitRequestBody ディレクティブを使用して、ディレクトリごとにアップロードサイズを制限できます。

<Directory "/var/www/html/uploads">
    LimitRequestBody 10485760
</Directory>

• LimitRequestBody はバイト単位でサイズを指定します。
• 上記の例では、/var/www/html/uploads ディレクトリへのアップロードサイズを10MB（10485760バイト）に制限しています。
• 必要に応じてディレクトリパスを変更し、制限値を調整してください。

バーチャルホストごとの設定

バーチャルホスト単位でアップロードサイズを制限することも可能です。

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/html
    LimitRequestBody 5242880
</VirtualHost>

• この設定により、example.comへの全アップロードが5MBに制限されます。

.htaccessでのサイズ制限

ディレクトリ単位で柔軟に制限をかけたい場合は、.htaccess を利用します。

LimitRequestBody 2097152

• この例では、アップロードサイズが2MBに制限されます。
• .htaccess はアップロードを受け付けるディレクトリに配置してください。

PHPでの追加設定

Apacheと併せて、PHPを使用している場合はphp.iniでもアップロードサイズを制限する必要があります。

upload_max_filesize = 10M
post_max_size = 10M

• upload_max_filesize はファイルアップロードの最大サイズを指定します。
• post_max_size はPOSTリクエストの最大サイズを制限します。

設定後は、ApacheとPHPを再起動して変更を適用します。

systemctl restart apache2  # Ubuntu/Debian系
systemctl restart httpd    # CentOS/RHEL系

設定の確認とテスト

アップロードフォームを作成し、大容量のファイルをアップロードして制限が機能しているか確認してください。制限サイズを超える場合には413 Request Entity Too Largeエラーが返されるはずです。

ファイルアップロードのサイズ制限は、攻撃リスクを軽減しサーバーの安定性を確保するために重要な施策です。適切な制限値を設定し、必要に応じて調整しましょう。

クロスサイトスクリプティング(XSS)対策

クロスサイトスクリプティング（XSS）は、悪意のあるスクリプトをWebサイトに埋め込み、ユーザーの個人情報を盗み出す攻撃です。Apacheの設定で適切にXSS対策を施すことで、サイトの安全性を大幅に向上させることができます。

Content-Security-Policy(CSP)の導入

CSPは、許可されたリソースのみを読み込むようにブラウザに指示するセキュリティヘッダーです。これにより、不正なスクリプトの実行を防止できます。httpd.confまたは.htaccessに以下を追加します。

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:;"
</IfModule>

• default-src 'self' は、自ドメイン以外のコンテンツの読み込みを禁止します。
• script-src 'self' は、外部のスクリプトを防ぎます。
• img-src 'self' data: は、データURIでの画像読み込みを許可します。

X-Content-Type-Optionsヘッダーの設定

ブラウザがMIMEタイプを誤って解釈するのを防ぎ、不正なスクリプトの実行を防ぎます。

<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>

• nosniff を設定することで、コンテンツタイプを厳格にチェックします。

X-XSS-Protectionヘッダーの設定

ブラウザにXSSフィルタを有効にするよう指示します。

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

• 1; mode=block は、XSSが検出された場合にスクリプトをブロックします。

Referrer-Policyヘッダーの設定

不要なリファラー情報を遮断し、攻撃者が他サイトからのリファラーを悪用するのを防ぎます。

<IfModule mod_headers.c>
    Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

• strict-origin-when-cross-origin は、同一オリジンではリファラーを送信し、異なるオリジンでは最小限の情報のみ送信します。

HTMLのエスケープ処理

動的なWebサイトでは、ユーザーが入力したデータをエスケープすることで、不正なスクリプトの埋め込みを防ぎます。

PHPの場合の例:

echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

• htmlspecialchars を使用することで、HTMLタグをエスケープします。

設定の適用と確認

設定後、Apacheを再起動して変更を反映します。

systemctl restart apache2  # Ubuntu/Debian系
systemctl restart httpd    # CentOS/RHEL系

ブラウザの開発者ツールでHTTPヘッダーを確認し、正しく反映されていることを確認してください。

XSS対策は、ユーザーのデータを保護し、Webサイトの信頼性を高めるために不可欠です。CSPを導入し、適切なヘッダー設定を行うことで、効果的にXSS攻撃を防ぎましょう。

ブラウザキャッシュの活用と設定方法

ブラウザキャッシュを適切に設定することで、Webサイトの表示速度が向上し、サーバーの負荷が軽減されます。さらに、キャッシュポリシーを正しく管理することで、セキュリティ強化にもつながります。ここでは、Apacheでのキャッシュ制御方法を解説します。

キャッシュコントロールヘッダーの設定

httpd.confまたは.htaccessにキャッシュ制御のヘッダーを追加します。

<IfModule mod_headers.c>
    # 静的ファイルのキャッシュを1ヶ月に設定
    <FilesMatch "\.(jpg|jpeg|png|gif|ico|css|js|woff|woff2|svg|ttf|otf)$">
        Header set Cache-Control "max-age=2592000, public"
    </FilesMatch>

    # HTMLやPHPファイルはキャッシュさせない
    <FilesMatch "\.(html|htm|php)$">
        Header set Cache-Control "no-store, no-cache, must-revalidate, max-age=0"
    </FilesMatch>
</IfModule>

• 画像、CSS、JavaScriptなどの静的ファイルはmax-age=2592000（30日間）キャッシュされます。
• HTMLやPHPファイルはno-store, no-cacheでキャッシュされず、常に最新のものが読み込まれます。

ETagの無効化

ETagはファイルの変更を検知する仕組みですが、不要な場合は無効化してパフォーマンスを向上させます。

<IfModule mod_headers.c>
    Header unset ETag
</IfModule>
FileETag None

• ETag を削除し、変更検出をLast-Modifiedヘッダーで行います。

Expiresヘッダーの設定

Expiresヘッダーを使って、ファイルの有効期限を明示的に設定します。

<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType image/jpeg "access plus 1 month"
    ExpiresByType text/css "access plus 1 week"
    ExpiresByType application/javascript "access plus 1 week"
    ExpiresByType text/html "access plus 0 seconds"
</IfModule>

• 各ファイルタイプに応じたキャッシュ期間を設定します。
• HTMLはキャッシュされませんが、画像やCSSは長期間キャッシュされます。

.htaccessでのキャッシュ設定

ディレクトリごとにキャッシュ設定を行う場合は、.htaccessに以下を追加します。

<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresDefault "access plus 1 week"
</IfModule>

• この設定により、ディレクトリ以下のすべてのファイルが1週間キャッシュされます。

設定の適用と確認

設定後、Apacheを再起動して反映させます。

systemctl restart apache2  # Ubuntu/Debian系
systemctl restart httpd    # CentOS/RHEL系

ブラウザの開発者ツールでレスポンスヘッダーを確認し、Cache-ControlやExpiresが正しく設定されているか確認してください。

ブラウザキャッシュを適切に活用することで、Webサイトのパフォーマンスが向上し、ユーザー体験が改善されます。同時にセキュリティの観点からもキャッシュポリシーを慎重に設定することが重要です。

まとめ

本記事では、Apacheのhttpd.confを活用してサーバーのセキュリティを強化するための具体的な設定方法を解説しました。

サーバー情報の漏洩防止やディレクトリリスティングの無効化、不要なモジュールの停止、アクセス制御、HTTPSの強制リダイレクトなど、各設定はサーバーの脆弱性を低減し、安全な環境を維持するために重要です。

また、ファイルアップロードサイズの制限やクロスサイトスクリプティング(XSS)対策、ブラウザキャッシュの適切な管理を通じて、パフォーマンス向上とセキュリティ強化の両方を実現できます。

これらの設定は一度施すだけでなく、定期的な見直しと更新が不可欠です。サーバー環境の最新状態を保ちながら、脅威に対する防御を強化し、安心して運用できるWebサーバーを構築しましょう。