reCAPTCHA キー(キーとも呼ばれます)を使用すると、ウェブページやモバイルアプリでのユーザー インタラクションを確認し、エンドポイントを保護できます。
適切な reCAPTCHA キータイプを選択するには、各プラットフォームでサポートされているキーのタイプとその違いを理解する必要があります。
reCAPTCHA キーの種類
次の表に、各プラットフォームでサポートされている reCAPTCHA キーを示します。
| reCAPTCHA のキータイプ | 説明 | サポートされているキー | 鍵の統合タイプ |
|---|---|---|---|
| ウェブ用の reCAPTCHA キー | reCAPTCHA Enterprise をウェブページに統合するためのキー。 | スコアベースのキー | SCORE |
| チェックボックスのキー | CHECKBOX |
||
| モバイル アプリ用の reCAPTCHA キー | reCAPTCHA Enterprise を Android アプリと iOS アプリに統合するためのキー。 | reCAPTCHA キー(Android 用) | SCORE |
| iOS 用の reCAPTCHA キー | SCORE |
||
| WAF 用の reCAPTCHA キー | WAF レイヤで reCAPTCHA Enterprise を統合するためのキー。 | アクション トークンのキー | SCORE と CHECKBOX |
| セッション トークンのキー | SCORE |
||
| 課題ページのキー | INVISIBLE |
||
| Expression キー | SCORE |
ウェブ用の reCAPTCHA キータイプを選択する
ウェブサイトの場合、reCAPTCHA Enterprise では、スコアベース(チャレンジなし)とチェックボックス(チェックボックスの視覚チャレンジ)のキーを使用して、ユーザーの操作を検証します。どちらのキータイプも、リクエストごとにスコアを返します。スコアはサイトとのインタラクションに基づいています。このスコアは、操作がもたらすリスクのレベルを把握し、サイトに対して適切なアクションを実行するのに役立ちます。
次の表は、スコアベースとチェックボックスのキーの違いをまとめたものです。ユースケースに基づいて適切なキーを選択する際に役立ちます。
| 比較カテゴリ | スコアベースのキー(推奨) | チェックボックスのキー |
|---|---|---|
| 説明 | スコアベースのキーを使用すると、ユーザー インタラクションなしでインタラクションが正当かどうかを確認できます。 | チェックボックス キーは、ユーザーがロボットではないことを確認するためにユーザーの操作を必要とするチェックボックス チャレンジを使用しますまた、チェックボックス キーを使用して、CAPTCHA チャレンジで特定のアクションを保護することもできます。 |
| 仕組み | スコアベースのキーを使用すると、reCAPTCHA Enterprise API がスコアを返します。このスコアは、サイトのコンテキストでアクション行うときに使用できます。 実行可能なアクションの例には、認証に別の要素を追加する、管理者に投稿を送信する、コンテンツを盗み取る可能性がある bot をスロットリングする、などがあります。 |
チェックボックス キーが [私はロボットではありません] チェックボックスを表示すると、ユーザーはロボットではないことを証明するためにクリックする必要があります。このチェックボックス キーは、CAPTCHA チャレンジでチャレンジできる場合とない場合があります。 いずれの場合も、reCAPTCHA Enterprise API はスコアを返します。 CAPTCHA チャレンジでは、ユーザーは画像コレクションから道路標識などの特定の種類のオブジェクトを選択する必要があります。 次のアニメーション GIF は、チェックボックス キーの例です。 次の図は、CAPTCHA チャレンジの例を示しています。 CAPTCHA チャレンジを使用する前に、CAPTCHA チャレンジの注意点を理解しておく必要があります。 |
| 対応プラットフォーム | ウェブサイトとモバイル プラットフォーム | ウェブサイトのみ |
| ユースケース |
スコアベース キーは、次のような場合に適しています。
|
チェックボックス キーは、ウェブページでのフォーム記入、ログイン、登録に適しています。CAPTCHA チャレンジなどの追加ステップはユーザーの認証負担を増やす側面もありますが、経験の浅い攻撃者の攻撃を阻止する効果があります。 |
CAPTCHA チャレンジによる確認の注意点
CAPTCHA チャレンジによりチェックボックスのキーを使用して自動攻撃を防止する際は、次の点に注意してください。
- CAPTCHA はユーザー インタラクションを必要としユーザーの認証負担を増加させるので、コンバージョン率が低下する可能性があります。
- コンピュータ ビジョンとマシン インテリジェンスの進歩により、CAPTCHA にとって人と bot の区別がますます難しくなっています。
- CAPTCHA には、あらゆる種類のチャレンジを解決してしまう有料の攻撃者による脅威もあります。
- CAPTCHA はすべてのユーザーが利用できるわけではないため、ウェブサイトにユーザー補助の要件がある場合は適しません。
WAF 用の reCAPTCHA キータイプを選択する
次の表に、reCAPTCHA アクション トークン、reCAPTCHA セッション トークン、reCAPTCHA 課題ページ、WAF Express 保護用 reCAPTCHA Enterprise の簡単な比較を示します。
| 比較カテゴリ | reCAPTCHA アクション トークン | reCAPTCHA セッション トークン | reCAPTCHA 課題ページ | WAF Express 保護用 reCAPTCHA Enterprise |
|---|---|---|---|---|
| 使用例 | reCAPTCHA アクション トークンを使用して、ログインやコメント投稿などのユーザー アクションを保護します。 | reCAPTCHA セッション トークンを使用して、サイトのドメインでユーザー セッション全体を保護します。 | サイトに対するスパム行為が疑われ、bot を除外する必要がある場合は、reCAPTCHA 課題ページを使用します。 この方法では、ユーザーが CAPTCHA チャレンジを確認する必要があるため、ユーザーのアクティビティが中断されます。 |
環境が reCAPTCHA JavaScript またはモバイル SDK の統合をサポートしていない場合は、WAF Express 保護用 reCAPTCHA Enterprise を使用します。 |
| 対応プラットフォーム | ウェブサイトとモバイルアプリ | ウェブサイト | ウェブサイト | API、ウェブサイト、モバイルアプリ、テレビやゲーム機などの IoT デバイス |
| 統合の作業 | 中
統合では、次のことを行う必要があります。
|
中
統合では、次のことを行う必要があります。
|
低
統合では、Google Cloud Armor のセキュリティ ポリシー ルールまたはサードパーティの WAF サービス プロバイダ用の reCAPTCHA ファイアウォール ポリシーを構成する必要があります。 |
低
統合では、WAF サービス プロバイダを使用して WAF Express 保護用 reCAPTCHA Enterprise を構成するか、アプリケーション サーバーから reCAPTCHA Enterprise にリクエストを行う必要があります。 |
| 検出精度 | 最高
アクション トークンは、個々のユーザー アクションを保護します。 |
高
セッション トークンは、サイトのドメインでのユーザー セッション全体を保護します。 |
中
このプロセスでは、reCAPTCHA 課題ページにリダイレクトされますが、ページ固有のシグナルがすべて受信されない場合があります。その結果、bot 検出の精度が低下する可能性があります。 |
低
クライアント側のシグナルは使用できません。 |
| サポートされている reCAPTCHA のバージョン | reCAPTCHA Enterprise のスコアベースのサイトキーとチェックボックスのキー | reCAPTCHA Enterprise のスコアベースのキー | reCAPTCHA 課題ページでは、最適化されたバージョンの reCAPTCHA を使用して、統合を最小限に抑えます。 | reCAPTCHA Enterprise のスコアベースのキー |
1 つのアプリケーションで WAF 用 reCAPTCHA Enterprise の 1 つ以上の機能を使用できます。 たとえば、すべてのページにセッション トークンを適用するように選択でき、セッション トークンのスコアに基づいて、不審なリクエストを reCAPTCHA 課題ページにリダイレクトできます。 また、ご購入手続きなどの重要なアクションにアクション トークンを使用できます。詳細については、例をご覧ください。