ALB のレスポンスヘッダーに表示される「awselb/2.0」を削除可能か教えてください
ALB の設定でレスポンスヘッダーの無効化が可能です。
困っていたこと
Application Load Balancer(ALB)に対するセキュリティ診断で、固定レスポンスのヘッダーに「Server: awselb/2.0」と表示されることへの警告がありました。
このレスポンスヘッダーを削除、または変更する方法はありますか?
どう対応すればいいの?
2025年5月修正:
下記リンク先を参考にヘッダーを無効にすることが可能です。
Application Load Balancer の HTTP ヘッダーの変更
/// 抜粋
ヘッダーを無効にする
disable ヘッダーを使用すると、レスポンスから server:awselb/2.0 ヘッダーを無効にするように Application Load Balancer を設定できます。これにより、サーバー固有の情報の公開が減少し、アプリケーションに保護レイヤーが追加されます。
/// 抜粋
※ 記事執筆時点(2024年4月)ではレスポンスヘッダーを削除できる機能がなく Lambda@Edge 関数等でのカスタマイズ等が必要でしたが、現時点(2025年5月)では ALB の設定で無効化することが可能になっています。
残念ながら記事執筆時点(2024年4月)の ALB の仕様では、レスポンスヘッダーの削除や変更をできる機能は提供されていません。(参考[1])
もし ALB の前段に CloudFront を設置している場合は、Lambda@Edge 関数でレスポンスヘッダーをカスタマイズする方法もありますが(参考[2])、もしレスポンスヘッダーに「awselb/2.0」と表示されることが実質的にセキュリティリスクに繋がっていなければ、許容する選択肢もあるかと思います。ご要件に合わせて検討しましょう。
