このページでは、既存の reCAPTCHA インテグレーションを従来の SiteVerify メソッドから CreateAssessment メソッドに移行して、多要素認証(MFA)やパスワード防御などの不正行為防御機能を使用する方法について説明します。CreateAssessment
メソッドに移行すると、ウェブページがインストルメント化され、バックエンド呼び出しが移行されます。
不正行為防御機能を確認する
CreateAssessment メソッドを使用するように移行すると、次のような不正行為防御機能を追加で使用できます。
- アカウント保護: アカウントの乗っ取り(ATO)の試みなど、 アカウントの侵害や不正行為からユーザー アカウントを保護します。
- トランザクション防御: カーディング攻撃や盗まれた決済手段の使用など、オンライン詐欺から支払いトランザクションを保護します。
- パスワード防御: ユーザーが入力したユーザー名とパスワードの組み合わせが、既知のデータ侵害またはパスワード漏洩データベースに存在するかどうかを確認できます。
- 多要素認証(MFA): メールで確認コードを送信してユーザーの ID 確認を行います。
ウェブページをインストルメント化する
正しい reCAPTCHA のスクリプトと呼び出しを使用してウェブページをインストルメント化する手順は次のとおりです。
- 次のスクリプトがウェブページに含まれていることを確認します。
https://www.google.com/recaptcha/api.js ウェブページで
https://www.google.com/recaptcha/api.jsをhttps://www.google.com/recaptcha/enterprise.jsに置き換えます。プログラムで API を呼び出す場合は、次のように呼び出しを置き換えます。
grecaptcha.execute()->grecaptcha.enterprise.execute()grecaptcha.getResponse()->grecaptcha.enterprise.getResponse()grecaptcha.ready()->grecaptcha.enterprise.ready()grecaptcha.render()->grecaptcha.enterprise.render()grecaptcha.reset()->grecaptcha.enterprise.reset()
バックエンド呼び出しの移行
不正行為防御機能を使用するには、バックエンド呼び出しを新しいエンドポイントに移行して認証を設定する必要があります。
https://www.google.com/recaptcha/api/siteverifyへのバックエンド呼び出しをrecaptchaenterprise.googleapis.comへの同等の呼び出しに置き換えます。完全な URL と POST データ形式については、ウェブサイトの評価を作成するをご覧ください。reCAPTCHA に対する認証を設定します。
選択する認証方式は、reCAPTCHA が設定されている環境によって異なります。次の表は、認証を設定するために、適切な認証方法とサポートされているインターフェースを選択する際に有用です。
環境 インターフェース 認証方法 Google Cloud - REST
- クライアント ライブラリ
関連付けられているサービス アカウントを使用します。 オンプレミスまたは別のクラウド プロバイダ REST API キー または Workload Identity 連携を使用します。 API キーを使用する場合は、API キー制限を適用して API キーを保護することをおすすめします。
クライアント ライブラリ 以下を使用します。
- Python または Java の場合は、API キーまたはWorkload Identity 連携を使用します。
API キーを使用する場合は、API キー制限を適用して API キーを保護することをおすすめします。
- 他の言語の場合は、Workload Identity 連携を使用します。
次のステップ
- ウェブサイトの評価を作成する
- reCAPTCHA キーをモニタリングする
- パスワードの漏洩と認証情報侵害を検出する
- ウェブサイトでのアカウント関連の不正行為の検出と防止
- トランザクション保護で支払いトランザクションを保護する
- 多要素認証を構成する