Google は 10 年以上にわたって reCAPTCHA で数百万のサイトを保護してきました。reCAPTCHA Enterprise は既存の reCAPTCHA API 上に構築されており、高度なリスク分析手法で人間と bot を区別します。reCAPTCHA Enterpriseを使用すると、スパムや悪用からウェブサイトまたはモバイルアプリを保護し、認証情報スタッフィング、アカウントの乗っ取り(ATO)、自動アカウント作成など、サイトでの他の種類の不正行為を検出できます。reCAPTCHA Enterpriseは、より詳細なスコア、危険なイベントの理由コード、モバイルアプリ SDK、パスワード侵害 / 漏洩の検出、多要素認証(MFA)、サイト固有モデルの調整による企業ビジネスの保護などの機能を備えた拡張検出を提供します。
reCAPTCHA Enterprise の用途
reCAPTCHA Enterprise は、ウェブサイトやモバイルアプリを bot から保護する場合や、不正行為や不正行為が発生した場合に、自動攻撃や人間による保護を行う場合に便利です。
ユースケースの詳細については、OWASP Automated Threat Textbook - Web Applications をご覧ください。
reCAPTCHA Enterprise の仕組み
reCAPTCHA Enterprise がお客様の環境にデプロイされると、それはお客様のバックエンドおよびお客様のクライアント(ウェブページまたはモバイル アプリケーション)とやり取りします。
エンドユーザーがウェブページにアクセスしたり、モバイルアプリを使用したりすると、次のイベントが連続してトリガーされます。
- クライアントが顧客のバックエンドからウェブページを読み込むか、モバイル アプリケーションを起動します。
- エンドユーザーが reCAPTCHA Enterprise で保護されたアクション(ログインなど)をトリガーすると、reCAPTCHA Enterprise JavaScript API またはクライアントのモバイル SDK がシグナルを収集して、分析のために reCAPTCHA Enterprise に送信します。
- reCAPTCHA Enterprise は、後で使用するための暗号化された reCAPTCHA トークンをクライアントに返します。
- クライアントは、暗号化された reCAPTCHA トークンをお客様のバックエンドに送信し、評価します。
- お客様のバックエンドは、評価の作成(
assessments.create
)リクエストと暗号化された reCAPTCHA トークンを reCAPTCHA Enterprise に送信します。 - 評価後、reCAPTCHA Enterprise は、このリクエストに対して評価されたリスクに基づいて判定(スコア 0.0 ~ 1.0 と理由コード)をお客様のバックエンドに返します。
- 判定結果に応じて、デベロッパーは特定のユーザー リクエストまたはアクションに対して次のステップに進むことができます。
次のシーケンス図は、reCAPTCHA Enterprise ワークフローを示しています。