【2025年12月版】nginxバージョンとOSによるバックポートについて

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事は、nginxのバージョンと、各種OSによるバックポート対応についてまとめたもので、2025年12月19日に執筆しています。

nginx（エンジンエックス）は、F5,Inc.が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアの一つであり、W3Techsによれば、現時点で世界ナンバー１のシェアを有しています。

nginxの公式サポートは、アクティブサポートおよびセキュリティサポートの期間を厳密には区別しておらず、基本的にはリリース日から1年間で次の安定版がリリースされ、当該バージョンのサポートは終了します。
2025年12月19日現在、nginx安定版の最新バージョンは1.28系統であり、公式がセキュリティサポートをしているバージョンも1.28系統のみです。
※nginxのバージョン情報とサポート期限(EOL)についてはこちらをご覧ください。

もっとも、最新ではないnginxバージョンを使用していても、直ちに危険な状態になるとは限りません。OSによっては、古くなったNginxバージョンに対しても、緊急、重大な脆弱性に対してバックポートと呼ばれる方式で修正を適用するケースがあるためです。

そこで、この記事では、企業のWeb担当者の皆さまに向けて、各OSごとのバックポート対応方針とともにご紹介することで、できるだけ安心してnginxを使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

バックポートとは、本来は新しいソフトウェアのバージョンで修正された脆弱性やバグ修正の内容を、最新ではないバージョンのままのパッケージに後から移植（backport）して適用する手法を指します。

すなわち、OSによっては、新しいnginxバージョンで修正された脆弱性やバグ対応を独自パッチとして反映（バックポート対応）することで、古いnginxバージョンに対しても、一定のセキュリティレベルを事実上確保している場合があります。

ただし、このバックポート対応は、各OSベンダーが「危険」と判断した重要度の高い脆弱性（たとえば緊急や重要レベル）に限定して行われるのが一般的です。

また、どのnginxバージョンに、どの範囲まで適用するかはOSごとに方針が異なるため、EOL後のnginxバージョンに公式サポートと同等の脆弱性対策が継続されること意味しているわけではありません。

したがって、最新ではないnginxバージョンを使用している場合は、可能な限り公式にサポートされている最新バージョンへのアップデートを行うことが推奨されることに変わりはありませんが、バックポート対応がされていれば、重要度の高い脆弱性については修正が反映されているため、一定の安心感を持って運用できるとは言えるかと思います。

Amazon Linux 2023 におけるバックポート対象脆弱性の選定基準は、CVSS（Common Vulnerability Scoring System）スコアや影響範囲、安定性への影響、依存関係などを総合的に考慮して判断されています。
そのため、「CVSS 7.0以上を必ず対象とする」などの明確な数値基準やバージョン線引きは公表されていません。

また、Amazon Linux 2023のALAS（Amazon Linux Security Advisories）を読む限り、nginxに関しては、「古いパッケージ番号を据え置きつつ修正内容のみを移植（バックポート）」するケースも稀に存在しますが、アップストリームの新しい安定版へ更新する方式で修正されることが多く、バックポート対応は極めて限定的です。

このため、実運用上はCVSSスコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性がバックポート対応の対象になる可能性はあるものの、あまりあてにせず、実際に発行されたALASを都度確認する運用が推奨されます。

RHEL（Red Hat Enterprise Linux）9及びその互換ディストリビューション（AlmaLinux OS 9、Rocky Linux 9）では、基本的に、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。

RHEL 9の場合、nginx 1.20が10年の長期固定ストリームとしてバックポート対応の対象となっており、nginx 1.22、1.24、1.26は2年～3年の短期ストリームとしてバックポート対応の対象となっています。
※RHEL 9 Full Life Application Streams Release Life Cycle参照
※RHEL 9 Application Streams Release Life Cycle参照
※nginx 1.22は2025年11月をもってバックポート対応が終了しました。このため、RHEL 9においては、バックポート対象としてEOLを迎えていないのはnginx 1.20、1.24、1.26の3系統のみとなっています。

バックポート対象となる脆弱性は、Red Hat Security Impact Ratingsに基づき、Critical（緊急）やImportant（重要）に分類される脆弱性が優先的に対応されます。
Moderate（警告）レベル以下については、影響範囲や互換性リスクを考慮したうえで個別判断され、Low（注意）レベルの脆弱性は通常バックポートされません。

なお、AlmaLinux OS 9 およびRocky Linux 9 も RHEL 9 と同じSRPMソースを使用しているため、バックポート方針と選定基準、対象バージョンは実質的に同一です。そのため、それぞれRHSA（Red Hat Security Advisory）、ALSA（AlmaLinux Security Advisory）、RLSA（Rocky Linux Security Advisory）をバックポート対応の状況を確認する運用が必要となります。

RHEL（Red Hat Enterprise Linux）8及びその互換ディストリビューション（AlmaLinux OS 8、Rocky Linux 8）でも、基本的に、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。

RHEL 8の場合、RHEL 9のような長期固定ストリームをnginxに設定しておらず、nginx 1.14、1.16、1.18、1.20、1.22、1.24が2年～3年の短期ストリームとしてバックポート対応の対象となっています。
※RHEL 8 Application Streams Release Life Cycle参照
※nginx 1.14、1.16、1.18、1.20はバックポート対応が終了しており、nginx 1.22も2025年11月をもってバックポート対応が終了しました。このため、RHEL 8においては、バックポート対象としてEOLを迎えていないのはnginx 1.24のみとなっています。

バックポート対象となる脆弱性は、Red Hat Security Impact Ratingsに基づき、Critical（緊急）やImportant（重要）に分類される脆弱性が優先的に対応されます。
Moderate（警告）レベル以下については、影響範囲や互換性リスクを考慮したうえで個別判断され、Low（注意）レベルの脆弱性は通常バックポートされません。

なお、AlmaLinux OS 8 および Rocky Linux 8 も RHEL 8 と同じSRPMソースを使用しているため、バックポート方針と選定基準、対象バージョンは実質的に同一です。そのため、それぞれRHSA（Red Hat Security Advisory）、ALSA（AlmaLinux Security Advisory）、RLSA（Rocky Linux Security Advisory）をバックポート対応の状況を確認する運用が必要となります。

nginxの最新バージョンへのバージョンアップについては、Webアプリケーション側に不具合が発生する確率が高く、工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、nginxを含めたミドルウェアについては対応されていない会社も多いと思います。