reCAPTCHA キー(キーとも呼ばれます)を使用すると、ウェブページやモバイルアプリでのユーザー インタラクションを確認し、エンドポイントを保護できます。
適切な reCAPTCHA キータイプを選択するには、各プラットフォームでサポートされているキーのタイプと、それぞれの違いを理解する必要があります。
reCAPTCHA キーのタイプ
次の表に、各プラットフォームでサポートされている reCAPTCHA キーを示します。
| reCAPTCHA キーのタイプ | 説明 | サポートされているキー | キー統合タイプ |
|---|---|---|---|
| ウェブ用 reCAPTCHA キー | ウェブページに reCAPTCHA を統合するためのキー。 | スコアベース キー | SCORE |
| チェックボックス キー | CHECKBOX |
||
| モバイルアプリ用の reCAPTCHA キー | Android アプリと iOS アプリに reCAPTCHA を統合するためのキー。 | Android 用 reCAPTCHA キー | SCORE |
| iOS 用 reCAPTCHA キー | SCORE |
||
| WAF 用 reCAPTCHA キー | WAF レイヤで reCAPTCHA を統合するためのキー。 | アクション トークン キー | SCORE と CHECKBOX |
| セッション トークン キー | SCORE |
||
| チャレンジ ページ キー | INVISIBLE |
||
| Expression キー | SCORE |
ウェブ用の reCAPTCHA キーのタイプを選択する
ウェブサイトの場合、reCAPTCHA には、スコアベース キー(ノーチャレンジ)とチェックボックス キー(チェックボックス ビジュアル チャレンジ)があり、ユーザーの操作を検証できます。どちらのキータイプも、リクエストごとにスコアを返します。スコアはサイトでの操作に基づきます。このスコアは、操作がもたらすリスクのレベルを把握し、サイトに対して適切なアクションを実行するのに役立ちます。
次の表は、スコアベースとチェックボックスのキーの違いをまとめたものです。ユースケースに基づいて適切なキーを選択する際に役立ちます。
| 比較カテゴリ | スコアベース キー(推奨) | チェックボックス キー |
|---|---|---|
| 説明 | スコアベースのキーを使用すると、ユーザー インタラクションなしでインタラクションが正当かどうかを確認できます。 | チェックボックス キーは、ユーザーがロボットではないことを確認するためにユーザーの操作を必要とするチェックボックス チャレンジを使用しますまた、チェックボックス キーを使用して、CAPTCHA チャレンジで特定のアクションを保護することもできます。 |
| 仕組み | スコアベース キーを使用すると、reCAPTCHA API がスコアを返します。このスコアは、サイトのコンテキストで対処するときに使用できます。 実行可能なアクションの例には、認証に別の要素を追加する、管理者に投稿を送信する、コンテンツを盗み取る可能性がある bot をスロットリングする、などがあります。 |
チェックボックス キーが [私はロボットではありません] チェックボックスを表示すると、ユーザーはロボットではないことを証明するためにクリックする必要があります。このチェックボックス キーは、CAPTCHA チャレンジでチャレンジを求めるかどうかを指定します。いずれの場合も、reCAPTCHA API はスコアを返します。 CAPTCHA チャレンジでは、ユーザーは画像コレクションから道路標識などの特定の種類のオブジェクトを選択する必要があります。 次のアニメーション GIF は、チェックボックス キーの例です。 次の図は、CAPTCHA チャレンジの例を示しています。 CAPTCHA チャレンジを使用する前に、CAPTCHA チャレンジの注意点を理解しておく必要があります。 |
| 対応プラットフォーム | ウェブサイトとモバイル プラットフォーム | ウェブサイトのみ |
| ユースケース |
スコアベース キーは、次のような場合に適しています。
|
チェックボックス キーは、ウェブページでのフォーム記入、ログイン、登録に適しています。CAPTCHA チャレンジなどの追加ステップはユーザーの認証負担を増やす側面もありますが、経験の浅い攻撃者の攻撃を阻止する効果があります。 |
CAPTCHA チャレンジの注意点
CAPTCHA チャレンジでチェックボックス キーを使用して自動攻撃を阻止する際は、次の点に注意してください。
- CAPTCHA はユーザー インタラクションを必要としユーザーの認証負担を増加させるので、コンバージョン率が低下する可能性があります。
- コンピュータ ビジョンとマシン インテリジェンスの進歩により、CAPTCHA にとって人と bot の区別がますます難しくなっています。
- CAPTCHA には、あらゆる種類のチャレンジを解決してしまう有料の攻撃者による脅威もあります。
- CAPTCHA はすべてのユーザーが利用できるわけではないため、ウェブサイトにユーザー補助の要件がある場合は適しません。
WAF 用の reCAPTCHA キーのタイプを選択する
次の表に、reCAPTCHA アクション トークン、reCAPTCHA セッション トークン、reCAPTCHA 課題ページ、WAF Express 保護用 reCAPTCHA Enterprise の簡単な比較を示します。
| 比較カテゴリ | reCAPTCHA アクション トークン | reCAPTCHA セッション トークン | reCAPTCHA 課題ページ | WAF Express 保護用 reCAPTCHA Enterprise |
|---|---|---|---|---|
| 使用例 | reCAPTCHA アクション トークンを使用して、ログインや投稿へのコメントなどのユーザー アクションを保護します。 | reCAPTCHA セッション トークンを使用して、サイトのドメインでユーザー セッション全体を保護します。 | サイトに対するスパム行為が疑われ、bot を除外する必要がある場合は、reCAPTCHA 課題ページを使用します。 この方法では、ユーザーが CAPTCHA チャレンジを確認する必要があるため、ユーザーのアクティビティが中断されます。 |
環境が reCAPTCHA JavaScript またはモバイル SDK の統合をサポートしていない場合は、WAF Express 保護用 reCAPTCHA Enterprise を使用します。 |
| 対応プラットフォーム | ウェブサイトとモバイルアプリ | ウェブサイト | ウェブサイト | API、ウェブサイト、モバイルアプリ、テレビやゲーム機などの IoT デバイス |
| 統合の作業量 | 中
統合では、次のことを行う必要があります。
|
中
統合では、次のことを行う必要があります。
|
低
統合では、Google Cloud Armor のセキュリティ ポリシー ルールまたはサードパーティの WAF サービス プロバイダ用の reCAPTCHA ファイアウォール ポリシーを構成する必要があります。 |
低
統合では、WAF サービス プロバイダを使用して WAF Express 保護用 reCAPTCHA Enterprise を構成するか、アプリケーション サーバーから reCAPTCHA にリクエストを行う必要があります。 |
| 検出精度 | 最高
アクション トークンは個々のユーザー アクションを保護します。 |
高
セッション トークンは、サイトのドメインでのユーザー セッション全体を保護します。 |
中
このプロセスでは、reCAPTCHA 課題ページにリダイレクトされますが、ページ固有のシグナルがすべて受信されない場合があります。その結果、bot 検出の精度が低下する可能性があります。 |
低
クライアント側のシグナルは使用できません。 |
| サポートされている reCAPTCHA のバージョン | reCAPTCHA のスコアベース キーとチェックボックス キー | reCAPTCHA スコアベース キー | reCAPTCHA 課題ページでは、最適化されたバージョンの reCAPTCHA を使用して、統合を最小限に抑えます。 | reCAPTCHA スコアベース キー |
1 つのアプリケーションで WAF 用 reCAPTCHA の 1 つ以上の機能を使用できます。たとえば、すべてのページにセッション トークンを適用するように選択でき、セッション トークンのスコアに基づいて、不審なリクエストを reCAPTCHA 課題ページにリダイレクトできます。 また、ご購入手続きなどの重要なアクションにアクション トークンを使用できます。詳細については、例をご覧ください。