はじめに

こんにちは、Koo です！
近年、ウェブと AI の発展に伴い、セキュリティの重要性もますます高まっています。
皆さんのウェブサイトとアプリは安全ですか？悪意のあるボットから守るために、reCAPTCHA を導入してみましょう！
今回の記事では、「I’m not a robot!」でおなじみの Google の reCAPTCHA について、初心者の方にも分かりやすく解説していきます！

reCAPTCHA とは？

ユーザーが人間なのか、それともボットなのかを判別する Google が提供しているセキュリティサービスです。
この技術は、ウェブサイトやアプリケーションにおいて、悪意のあるボットの活動を遮断し、セキュリティを強化すると同時にユーザー体験を向上させることを目的としています。
主に会員登録、ログイン、コメント、決済などのシステムに使用されています。

参考：reCAPTCHA の概要

reCAPTCHA のタイプ

reCAPTCHA は、チャレンジベース（v2）と、スコアベース（v3）この 2 つのタイプが提供されています。
もともと v1 もありましたが、ボットが迂回しやすく、ユーザーの経験が良くなかったので 2018 年 3 月に廃止されました。
では、v2 と v3 の違いを見てみましょう！

1.チャレンジ（v2）

チャレンジ（v2）は、「I’m not a robot」のチェックボックスにチェックを入れたり、指定された画像を選択したりするなどユーザーの追加操作が必要な方式です。
主にウェブページのフォーム、ログイン、会員登録などに適用され、セキュリティイメージの選択を通じて悪意のある攻撃を防ぎます。
以下、2 つの方式があります。

■ チェックボックス

「私はロボットではありません」のチェックボックスをクリックすることで、ボットを判別します。
もし、人間ではないと判断される場合は、画像認証が求められます。

■ 非表示 reCAPTCHA バッジ（Invisible）

Invisible はチェックボックスがなく、バックグラウンドでユーザーの行動を分析します。
人間である可能性が高い場合は何も表示されず、怪しい場合のみ追加認証が求められます。

※ Android の場合は、「SafetyNet reCAPTCHA API」を参照してください。

2.スコア（v3）

v3 は、ユーザーの経験を改善したことで、ユーザーに追加的な認証や操作を要求していません。
この方式は、ユーザーがウェブサイトで行う活動を分析して点数を付与し、この点数を基準にボットなのか人なのかを判断します。

■ ページロード

ユーザーがウェブページを開くと、reCAPTCHA スクリプトが自動的に実行されます。

■ 行動分析

ユーザーのマウスの動きやクリックパターンをリアルタイムで分析します。

■ 点数計算

0.0 から 1.0 のスコアを計算し、数値が高いほど人間である可能性が高いと判断します。
基本的に 0.5 に設定されていますが、キーの詳細ページで変更可能です。

■ ウェブサイトの動作決定

ウェブサイトの管理者は reCAPTCHA API を通じてスコアを取得し、適切な対応を決定します。

料金体系

reCAPTCHA は、「Essentials」、「Standard」、「Enterprise」の 3 つのプランによって機能と料金が異なります。
プランは請求設定と使用量によって自動決定されます。

■ Essentials

請求が有効でないプロジェクトで新しいキーを作成すると「Essentials」プランが適用されます。
毎月 10,000 件までは無料、超過すると reCAPTCHA はリクエストをブロックします。

■ Standard

請求を有効化すると自動的に Standard にアップグレードされます。
毎月 10,000 件まで無料。10,000 件を超えて 100,000 件までの使用量は一律 $8 の料金が発生します。
評価が 100,000 件を超えると、「Enterprise」に自動アップグレードされます。

■ Enterprise

100,000 件までは $8 の料金が発生、100,000 件を超えると 1,000 件ごとに $1 の追加料金が発生します。

■ 見積例

一ヶ月に 200,000 件利用した場合の料金例を見てみましょう。

利用件数	料金	備考
0 ~ 10,000 件	無料
10,001 ~ 100,000 件	$8	Essentials の方は Standard へ切り替わります。
100,001 ~ 200,000 件	$1 / 1,000 件 = $100	Standard の方は Enterprise へ切り替わります。
合計	$108

機能の違い

機能	Essentials	Standard	Enterprise
契約期間	X（該当なし）	月単位	月、年単位、カスタム
1か月あたりの評価数	10,000未満	10,000~100,000	無制限
WAF での保護	X	O	O
多要素認証(MFA)	X	SMS、メール	SMS、メール
パスワード漏洩からの保護	X	O*	O*
アカウント保護	X	O	O
bot スコアの粒度	4 レベル	11 レベル	11 レベル
SMS 通信不正利用防止	X	O*	O*
支払いに関する不正行為の防止	X	O*	O*
IOS、Android SDK	X	O	O
SLA	X	99.9 %以上の稼働率	99.9 %以上の稼働率

※ *は追加の評価が必要です。詳細内容は以下の URL を参考してください。
※ コスト削減のため、特定のページのみ reCAPTCHA を適用する方法もあります。

参考：請求の仕組み
参考：reCAPTCHA の各ティア間の機能の比較

さいごに

reCAPTCHA v2、v3 タイプのどちらが優れているかではなく、プロジェクトの用途に適したタイプを選択することが重要です。
ECサイトの会員登録フォームや決済ページなど、確実に人間であることを確認したい場合は v2 が適しています。
一方で、ブログのコメント欄など、ユーザー体験を重視しながら適度なセキュリティを確保したい場合は v3 の導入が望ましいと思います。
結局のところ、ユーザーの安全を守りながら利便性も考慮することが大切だと思います。
reCAPTCHA を導入で悪意のあるボットから私たちのサービスを守りましょう！
最後までご覧いただきありがとうございました!

※
弊社では、Google Cloud の利用割引・プロフェッショナルサービスを提供しております。
reCAPTCHA も割引対象ですので、ご興味ある方は以下をご覧ください。
Google Cloud 請求代行サービス

NHN テコラスの採用情報はこちら