http://www.atmarkit.co.jp/flinux/rensai/apache07/apache07.html

SSIは使いたいが、SSIからCGIを呼び出すのは禁じたいという場合は「IncludesNOEXEC」と書く。

要はCGIを使う時のオプション指定と同じで、実行出来るディレクトリと拡張子を指定するようだなぁ。。。。

というかinclude以外は使えないようにすれば良いやん。（特にexec）
で、include出来るフォルダを限定してファイル拡張子を指定して置けば良いのではないかなぁ。。。