reCAPTCHA キー(キーとも呼ばれます)を使用すると、ウェブページやモバイルアプリでのユーザー インタラクションを確認し、エンドポイントを保護できます。
適切な reCAPTCHA キータイプを選択するには、各プラットフォームでサポートされているキーのタイプとその違いを理解する必要があります。
reCAPTCHA キーのタイプ
次の表に、各プラットフォームでサポートされている reCAPTCHA キーを示します。
| プラットフォーム | 説明 | サポートされているキー | 本人確認の種類 |
|---|---|---|---|
| web | ウェブページでの統合用。 | スコアベース キー | SCORE |
| チェックボックス キー | CHECKBOX |
||
| ポリシーベースの確認鍵(プレビュー) | POLICY_BASED_CHALLENGE |
||
| モバイル | Android アプリと iOS アプリとの統合用。 | Android 用 reCAPTCHA キー | SCORE |
| iOS 用 reCAPTCHA キー | SCORE |
||
| WAF | WAF またはエッジ コンピューティング サーバー経由で提供されるウェブページと API。 | アクション トークン キー | SCORE と CHECKBOX |
| セッション トークン キー | SCORE |
||
| チャレンジ ページ キー | INVISIBLE |
||
| API | reCAPTCHA JavaScript またはモバイル SDK をサポートしていない IoT デバイスなどの API やクライアントとの統合。 | Expression キー | SCORE |
ウェブ用の reCAPTCHA キーのタイプを選択する
ウェブサイトでのユーザーの操作を検証するために、reCAPTCHA には、CAPTCHA チャレンジをトリガーしないスコアベースのキー、非決定論的 CAPTCHA チャレンジをトリガーするチェックボックス キー、決定論的 CAPTCHA チャレンジをトリガーするポリシーベースのチャレンジ キーがあります。
すべてのキータイプは、リクエストごとにスコアを返します。スコアはサイトでのユーザー操作に基づきます。このスコアは、操作がもたらすリスクのレベルを把握し、サイトに対して適切なアクションを実行するのに役立ちます。
次の表は、スコアベースのキー、チェックボックスのキー、ポリシーベースのチャレンジ キーの違いをまとめたものです。
| 比較カテゴリ | スコアベース キー(推奨) | チェックボックス キー | ポリシーベースの確認キー(プレビュー) |
|---|---|---|---|
| 説明 | スコアベースのキーを使用すると、ユーザー インタラクションなしでインタラクションが正当かどうかを確認できます。 | チェックボックス キーは、ユーザーがロボットではないことを確認するためにユーザーの操作を必要とするチェックボックス チャレンジを使用しますまた、チェックボックス キーを使用して、CAPTCHA チャレンジで特定のアクションを保護することもできます。 |
ポリシーベースのチャレンジキーは、構成されたスコアのしきい値に基づいて CAPTCHA チャレンジをトリガーします。ポリシーベースのチャレンジキーを使用すると、CAPTCHA チャレンジを使用して特定のアクションを保護できます。 |
| 仕組み | スコアベースのキーを使用すると、reCAPTCHA Enterprise API がスコアを返します。このスコアは、サイトのコンテキストでアクション行うときに使用できます。 実行可能なアクションの例には、認証に別の要素を追加する、管理者に投稿を送信する、コンテンツを盗み取る可能性がある bot をスロットリングする、などがあります。 |
チェックボックス キーが [私はロボットではありません] チェックボックスを表示すると、ユーザーはロボットではないことを証明するためにクリックする必要があります。このチェックボックス キーは、CAPTCHA チャレンジでチャレンジを求めるかどうかを指定します。どちらの場合も、reCAPTCHA Enterprise API はスコアを返します。 CAPTCHA チャレンジでは、ユーザーは画像コレクションから道路標識などの特定の種類のオブジェクトを選択する必要があります。 次のアニメーション GIF は、チェックボックス キーの例です。 次の図は、CAPTCHA チャレンジの例を示しています。 
CAPTCHA チャレンジを使用する前に、CAPTCHA チャレンジの注意点を理解しておく必要があります。 |
ポリシーベースのチャレンジキーを使用すると、reCAPTCHA によって計算された初期スコアが構成済みのスコアしきい値を下回った場合に、CAPTCHA チャレンジがトリガーされます。ポリシーベースのチャレンジキーは、CAPTCHA チャレンジを決定論的にトリガーできるため、チェックボックス キーとは異なります。 CAPTCHA チャレンジでは、ユーザーは画像コレクションから道路標識などの特定の種類のオブジェクトを選択する必要があります。 次の図は、CAPTCHA チャレンジの例を示しています。
CAPTCHA チャレンジを使用する前に、CAPTCHA チャレンジの注意点を理解しておく必要があります。 |
| 対応プラットフォーム | ウェブサイトとモバイル プラットフォーム | ウェブサイトのみ | ウェブサイトのみ |
| ユースケース |
スコアベース キーは、次のような場合に適しています。
|
チェックボックス キーは、ウェブページでのフォーム記入、ログイン、登録に適しています。CAPTCHA チャレンジなどの追加ステップはユーザーの認証負担を増やす側面もありますが、経験の浅い攻撃者の攻撃を阻止する効果があります。 | ポリシーベースのチャレンジ キーは、ウェブページでのフォーム記入、ログイン、登録に適しています。CAPTCHA チャレンジなどの追加ステップはユーザーの認証負担を増やす側面もありますが、経験の浅い攻撃者の攻撃を阻止する効果があります。 |
CAPTCHA チャレンジの注意点
CAPTCHA チャレンジでチェックボックス キーを使用して自動攻撃を阻止する際は、次の点に注意してください。
- CAPTCHA はユーザー インタラクションを必要としユーザーの認証負担を増加させるので、コンバージョン率が低下する可能性があります。
- コンピュータ ビジョンとマシン インテリジェンスの進歩により、CAPTCHA にとって人と bot の区別がますます難しくなっています。
- CAPTCHA には、あらゆる種類のチャレンジを解決してしまう有料の攻撃者による脅威もあります。
- CAPTCHA はすべてのユーザーが利用できるわけではないため、ウェブサイトにユーザー補助の要件がある場合は適しません。
WAF 用の reCAPTCHA キーのタイプを選択する
Google Cloud Armor 統合用の reCAPTCHA は、アクション トークン、セッション トークン、チャレンジ ページ、reCAPTCHA express をサポートしています
1 つのアプリケーションで 1 つ以上の Google Cloud Armor 用 reCAPTCHA 機能を使用できます。たとえば、すべてのページにセッション トークンを適用するように選択でき、セッション トークンのスコアに基づいて、不審なリクエストを reCAPTCHA 課題ページにリダイレクトできます。また、ご購入手続きなどの重要なアクションにアクション トークンを使用できます。詳細については、例をご覧ください。
次の表に、Google Cloud Armor で使用可能な reCAPTCHA の機能の簡単な比較を示します。
| 比較カテゴリ | reCAPTCHA アクション トークン | reCAPTCHA セッション トークン | reCAPTCHA 課題ページ | reCAPTCHA express |
|---|---|---|---|---|
| ユースケース | ログインや投稿へのコメントなどのユーザー アクションを保護するために使用します。 | サイトのドメインでのユーザー セッション全体を保護するために使用します。 | サイトに対するスパム行為が疑われ、bot を除外する必要がある場合に使用します。 この方法では、ユーザーが CAPTCHA チャレンジを確認する必要があるため、ユーザーのアクティビティが中断されます。 |
環境が reCAPTCHA JavaScript またはモバイル SDK の統合をサポートしていない場合は、reCAPTCHA express を使用します。 |
| 対応プラットフォーム | ウェブサイトとモバイルアプリ | ウェブサイト | ウェブサイト | すべての HTTP リクエスト。 API、ウェブサイト、モバイルアプリ、テレビやゲーム機などの IoT デバイス |
| クライアント統合の作業量 | 中
クライアントサイドの手動統合。 |
中
WAF で reCAPTCHA JavaScript を手動でインストールするか、挿入してインストールします。 |
低
セキュリティ ポリシーによってトリガーされたインタースティシャル。 |
低
クライアント統合はありません。 |
| 検出精度 | 最高
クライアント、サーバー、アクション固有のシグナルを使用できます。 |
高
クライアントとサーバー固有のシグナルを使用できます。 |
中
クライアントとサーバー固有のシグナルを使用できます。クライアント シグナルはインタースティシャル ページでのみ使用できます。 |
低
サーバーサイドのシグナルのみを使用できます。 |
| サポートされている reCAPTCHA のバージョン | reCAPTCHA のスコアベース キーとチェックボックス キー | reCAPTCHA スコアベース キー | インタースティシャル ページに埋め込まれた reCAPTCHA のチャレンジベースのキー | reCAPTCHA express キー |
API 用の reCAPTCHA express キーを選択する
環境が JavaScript API やモバイル SDK などの reCAPTCHA クライアント統合をサポートしていない場合は、reCAPTCHA express を使用します。reCAPTCHA express は、API、ウェブサイト、モバイルアプリ、テレビやゲーム機などの IoT デバイスに適していますが、クライアントサイドの統合が不可能な場合にウェブサイトやモバイルアプリを保護するためにも使用できます。
reCAPTCHA express はサーバーサイドのみの統合であるため、クライアントサイドのシグナル収集がありません。通常、この場合、クライアントサイド コンポーネントを含む統合よりも検出精度が低くなります。
次のステップ
- ウェブサイト用の reCAPTCHA キーを作成する。
- モバイルアプリ用の reCAPTCHA キーを作成します。
- WAF 用の reCAPTCHA キーの詳細を確認する。
- API 用の reCAPTCHA express キーの詳細を確認する。