インターネットを介した情報収集が一般化する昨今において、ホームページの運用は商品やサービスを訴求する上で欠かせません。
ただ、ホームページの運用にはセキュリティ対策を講じておかなければ不正なアクセスやスパム攻撃などによって被害を受ける可能性も起こりえます。
このような自社サイトのセキュリティ対策において、リキャプチャ(reCAPTCHA)を導入する動きが加速化しつつあります。
リキャプチャは、検索エンジン大手のGoogleが提供するサービスで、セキュリティ対策につなげることが可能です。
とはいえ、リキャプチャの導入には専門知識が求められ、ユーザビリティなどをふまえ適切に活用する必要があります。
そこで今回は、リキャプチャの基礎から導入するメリット・デメリット、導入方法などについて紹介していきます。
目次
閉じる
1.リキャプチャとは?
リキャプチャ(reCAPTCHA)は、Google社によって提供されているサービスです。
英訳では「Completely Automated Public Turing test to tell Computers and Humans Apart」と表記され、その頭文字を取ってreCAPTCHAと言われています。
日本語では「コンピューターと人間を区別するために、完全に自動化されたチューリングテスト」と訳され、自社のホームページやフォームに設定することでセキュリティ対策につなげることが可能です。
ホームページの閲覧やフォームの入力をしようとした際に、「私はロボットではありません」といった表示を目にするケースがあるかと思います。
このような表示を行う仕組み・サービスがリキャプチャです。
リキャプチャを設定することで、人間の目や思考を介し、ロボットによるプログラムを制限・区別することができます。
その結果、自社サイトにおけるbotからの不正なアクセスやスパム攻撃を未然に防ぐことが可能になります。
リキャプチャを導入する目的
リキャプチャを導入する目的は、botによる自社サイトへの不正アクセスや攻撃を防ぐことにあります。
そもそもbotとは、特定のタスクや行動を自動で行うプログラムのことを指します。
ロボット(robot)の省略形として表記され、人間が手動で行う業務や行為を自動化することで簡略且つ効率化することが可能です。
例えば、ホームページから任意の文章を自動で収集したり、チャットでユーザーからの質問に対して自動で答えるなど、日々の業務を効率よく進める上で欠かせない仕組みでもあります。
ただ、中にはbotを悪質に活用し意図的な攻撃を行うケースもあります。
不正アクセスやスパム攻撃を受けてしまうと、自社サイトに不具合が生じるだけでなく、個人情報などの重要な情報が流出し、大きな損害につながる可能性もあります。
このようなリスクを防ぐために、リキャプチャによってホームページやフォーム内に防波堤を築くことで、セキュリティ対策を強化しておくと効果的です。
リキャプチャの歴史と重要視される背景
リキャプチャは、2007年にコンピューター科学者のルイス・フォン・アーン氏の指導のもと、カーネギーメロン大学の研究チームによって開発されました。
初期段階のリキャプチャでは、歪んだ文字列を表示させ、ユーザーに入力させることでロボットとの違いを識別していました。
その後、2009年にGoogle社によってリキャプチャの技術は買収され、Googleのリソースをもとに複雑なデジタル化と品質向上が進められるようになりました。
リキャプチャは、botによる不正アクセスやスパム攻撃とのイタチごっこの変遷を経ています。
リキャプチャによるセキュリティ対策を強化したとしても、悪質な攻撃を行う側も常に改良し、セキュリティを突破してきます。
そのため、常に開発・改良し続け、近年では人工知能や機械学習の要素も取り入れながら、より高精度且つ高品質なリキャプチャによってセキュリティ強化を行い続けています。
2.リキャプチャの代表的な種類
Google社に買収されて以降、ここまでリキャプチャは開発・改良し続けていますが、現在その種類は1つではなく大きく3つに分類されています。
3つのリキャプチャは、それぞれ機能や特徴が異なり、目的や要件などに応じて使い分けることが可能です。
まずはそれぞれの特徴について紹介していきます。
reCAPTCHA v2
reCAPTCHA v2は、人間とbotを識別する上でチェックボックスを活用した仕組みです。
チェックボックスに入力があったタイミングで、リキャプチャ側が人間と判断した場合には、そのままページの閲覧やフォームの送信などが可能になります。
ただ、仮にリキャプチャ側で人間であるとの識別が難しい場合には、再度人間であるかの確認を行います。
この際には画像が表示され、再度確認が行われます。
例えば、複数の画像が表示された中から橋や階段、車などの指定する画像を選択するパターンや、1つの画像が分割表示された中から指定部分の画像を選択するものまで多岐に渡ります。
この確認によって人間であるかの識別がされるため、botの侵入を防ぎ、セキュリティ強化を図ることが可能になります。
一方で、導入すればユーザー側には何度も確認の手間を取らせることにもなるため、離脱を増やす可能性もあり注意も必要です。
reCAPTCHA v2 invisible
reCAPTCHA v2 invisibleは、reCAPTCHA v2のようなチェックボックスは活用せず、通常の導線設計を行いつつも人間かbotを識別する仕組みです。
リキャプチャが人間だと判断した場合には、通常通りページの閲覧やフォームの送信などが可能です。
ただ、人間かbotかの識別が難しい場合には、reCAPTCHA v2と同じく画像による再確認が実施されます。
基本的な挙動自体はreCAPTCHA v2と同じではありますが、チェックボックスが無いためユーザー側の利便性は高まり、スムーズな誘導につなげる効果が期待できます。
その上で、必要に応じて怪しいアクセスに関しては識別が入るため、reCAPTCHA v2よりも柔軟にセキュリティ強化につなげることが可能です。
reCAPTCHA v3
reCAPTCHA v3は、Google社が提供する最新版のリキャプチャサービスです。
reCAPTCHA v2やreCAPTCHA v2 invisibleと異なり、チェックボックスや画像による確認を行わずに人間かbotかの識別を行うことが可能です。
ユーザビリティを重視しているため、セキュリティ強化を図りつつもスムーズな誘導を行うことができます。
reCAPTCHA v3では、アクセスやフォーム送信などのリクエストに対し、裏側で人間であるかの識別を行っています。
この際に独自のスコアによって判別し、一定のスコア以下のリクエストに対してはブロックすることで、セキュリティ強化を図ることができます。
画像確認などユーザー側での手間を極力抑えることができるreCAPTCHA v3は、Google社も推奨しているリキャプチャの手法となり、近年では業種問わず多くの企業が採用しています。
ただ、reCAPTCHA v3では人間とbotの識別を完全に行えるというわけではありません。
中には人間にもかからずbotと判断され、アクセスができないケースも起こりえます。
そのため、導入・展開する場所や手法に関しては、自社の目的もふまえ適切に使い分けることが求められます。
reCAPTCHA v3とreCAPTCHA v2ではどちらを選択すればいいか?
ここまで紹介した3種類のリキャプチャは、それぞれ機能や特徴が異なるため、自社の目的や要件などに応じて使い分けることが重要です。
例えば、reCAPTCHA v3はユーザビリティが高い点が特徴として挙げられますが、一方で完全に人間とbotを識別できるという訳でもありません。
そのため、仮にフォーム送信にreCAPTCHA v3を導入すると、貴重なユーザー情報にもかかわらず、botと判断されてアクセスブロックされてしまう可能性も起こりえます。
一度アクセス拒否されれば、ユーザー心理としては企業やブランドに対する不信感にもつながりかねません。
これに対し、チャットや掲示板などユーザーが定期的に活用するページに対してreCAPTCHA v2を導入した場合、画像による確認が面倒となり、利便性が低いとしてユーザーが離脱してしまうリスクも想定されます。
そのため、何を目的にリキャプチャを導入するのか、導入場所はどういった要件が求められるのかなどを事前に明確化した上で選択していくことが重要です。
なお、一般的に会員登録やフォーム送信の際にはreCAPTCHA v2を活用し、チャットや掲示板などにはreCAPTCHA v3を導入しておくと効果的です。
3.リキャプチャを導入することのメリット
リキャプチャの導入は、セキュリティ強化を図る上で効果的です。
また、その他にも以下のような効果も期待できます。
botによるスパムの対策
リキャプチャの導入の一番のメリットは、botによる不正アクセスやスパム攻撃を防ぐことにあります。
ホームページを運用していると、さまざまな所からアクセスやメールによる問合せが届くようになります。
アクセスは、単に自社サイトに訪れるだけでなく、悪質なものであればウイルス攻撃を行ったり、情報を抜き取るものもあります。
特に、海外からのアクセスに関しては不正なものが多く、知らない内に情報漏えいにつながってしまう可能性も起こりえます。
また、botによるスパム攻撃はメールによる問合せでも多く存在します。
このメールによる攻撃は、海外からのメールや意味不明な文字列のメールなど多岐に渡ります。
一般的にはメールが届くだけでは問題ありませんが、開封したりメール内のリンクをクリックすることでウイルスに感染する可能性もあります。
このようなbotによる攻撃は、日々手法を変えながら行われているため、全てをブロックすることは難しいのが現状です。
ただ、リキャプチャの導入によってbotを見極めることができれば、自社サイトに訪れさせることを事前に防ぐことが可能になります。
タイムアウトの抑止
botによる不正アクセスやスパム攻撃をブロックする手法は、リキャプチャ以外にも存在します。
ただし、従来のbot対策のツールでは、人間とbotの識別を行うまでに時間がかかる傾向にあり、ユーザビリティ的にマイナスな傾向がありました。
例えば、ユーザーがフォーム入力後に送信をクリックしたにもかかわらず、その後の処理に時間がかかってしまえば、離脱につながる可能性が高まります。
一度タイムアウトになってしまうと、再度フォームに入力してもらうためには相当の労力がかかります。
このようなリスクを防ぎ、利便性を高めつつもセキュリティ強化を図る上で、リキャプチャの導入は効果が期待できます。
既存レイアウトをもとにした展開が可能
リキャプチャの導入は、既存のレイアウトを崩さずに展開できる点もメリットとして挙げられます。
bot対策ツールによっては、専用の仕組みを導入しなければ作動しなかったり、自社サイトやフォームのレイアウトに影響を及ぼすものも多くあります。
これに対しリキャプチャであれば、既存レイアウトを踏襲して展開できるため、訴求目的などをふまえたセキュリティ対策につなげることが可能です。
reCAPTCHA v2の画像による確認であっても、実際のサイトやフォームの見た目には影響しません。
またreCAPTCHA v3では裏側で識別が行われているため、ユーザーは気づくこともありません。
そのため、セキュリティを強化しつつ、本来の訴求目的を意識したアプローチを効率よく行うことができます。
関連記事
セキュリティエンジニアはリモートワーク可能か?年収など市場動向や適性業務、必要スキル・環境を解説
情報セキュリティ管理士認定試験とは?合格率や具体的な難易度、学習方法を解説
4.リキャプチャを導入することのデメリット
一方で、リキャプチャの導入にはデメリットも存在します。
これからリキャプチャの導入を検討している際には、以下の要素を注意点として押さえておくと効果的です。
手動スパムに対応できない
リキャプチャは、botによって自動的に行われる不正アクセスやスパム攻撃を抑止する上で効果的なセキュリティ対策となります。
とはいえ、このような不正な攻撃はbot以外にも存在します。
特に、人間によって行われる手動スパムと呼ばれる攻撃に対し、リキャプチャで対策を取ることはできません。
手動スパムでも、ウイルス感染や情報漏えいなどの被害は起こりえます。
そのため、リキャプチャだけでなく、さまざまなリスクを想定しながらセキュリティ強化を図っておく必要があります。
エラーが発生する可能性
リキャプチャによっては、認証が失敗したり何度の画像の確認が求められるなど、エラーが発生する可能性もあります。
botによるスパムの攻撃は、日々変化しているため、全てを網羅して対応する際に、このようなエラーが起こるケースは少なくありません。
ただし、エラーであったとしても、ユーザーが何度も画像の確認を求められたり、先に進めない状況が続けば離脱につながる可能性は高まります。
リキャプチャの導入時には、このようなリスクを想定し、ユーザー向けにあらかじめ対策を講じておくことも重要です。
例えば、エラーが起きた場合の問合せ先をはじめ、代わりの方法や対応策などを明記しておくと効果的です。
ユーザビリティや利便性が悪くなる
リキャプチャは、どの種類を導入・活用したとしてもユーザビリティや利便性が悪くなる可能性があります。
識別における画像確認はもとより、reCAPTCHA v3であったとしても、ユーザーがbotと間違われることで急にアクセスできなくなるケースもあります。
このような利便性の悪さは、離脱を生みやすく、貴重なユーザー情報を効率よく収集できず、機会損失につながることも起こりえます。
とはいえ、リキャプチャ導入の本来の目的はセキュリティ対策にあります。
その目的をふまえた上で、適切に使い分けていくことが求められます。
関連記事
プロンプトインジェクションとは?仕組みや種類・実例・リスク・対策方法を徹底解説
5.リキャプチャの導入方法
リキャプチャは、種類によって導入方法が若干異なります。
それぞれの導入方法について紹介していきます。
reCAPTCHA v2の導入方法
reCAPTCHA v2の導入は、以下の手順で設定可能です。
Googleアカウントの取得
Googleのリキャプチャ専用サイトにアクセス
「reCAPTCHAタイプ」にて「reCAPTCHA v2」を選択
「私はロボットではありません」チェックボックス」を選択し情報を取得
導入したいサイトやフォームのHTMLに対象のウィジェットを設置
サーバー側でreCAPTCHAの送信したトークンを確認
reCAPTCHA v2の導入には、サーバー側の設定・処理が必要となりますが、基本的な手順は比較的簡単に対応可能です。
なお、reCAPTCHA v2 Invisibleの設定も基本的には上記手順と同様となります。
3.で「reCAPTCHA v2」を選択し、4.で「非表示 reCAPTCHA バッジ」を設定することで、reCAPTCHA v2 Invisibleの情報を取得できます。
reCAPTCHA v3の導入方法
reCAPTCHA v3の導入は、以下の手順で設定可能です。
Googleアカウントの取得
Googleのリキャプチャ専用サイトにアクセス
「reCAPTCHAタイプ」にて「reCAPTCHA v3」を選択
導入したいサイトやフォームのHTMLに対象のJavaScriptを設置
サーバー側でreCAPTCHAの送信したトークンを確認
reCAPTCHA v3の導入では、ウィジェットではなくJavaScriptの埋め込みが必要となります。
また、botと判断する上での指標(スコアの基準)を独自に設定することも可能です。
WordPressのプラグインとしての導入方法
近年では、ホームページの運用に際し、WordPressというCMSツールを利用しているケースも多くあります。
このWordPressでは、リキャプチャのプラグインが用意されており、簡単に導入させることも可能です。
具体的な手順は以下となります。
WordPressにログイン
「プラグイン」から「新規追加」を選択
「reCAPTCHA」と検索し、関連するプラグインを選択
「今すぐインストール」を選択
「有効化」を選択
関連記事
PHPのPOST送信処理を基本からセキュリティ対策・エラー対応まで徹底解説!
6.まとめ
ホームページの運用は、近年のマーケティングには欠かせません。
一方で、IT技術の発達は悪質な行為の増加や多様化にも影響を及ぼし、セキュリティ対策は常に徹底しておく必要があります。
不正アクセスやスパム攻撃を受けると、ウイルス感染だけでなく情報漏えいなどの損害にもつながりかねません。
このようなリスクを抑止する上で、リキャプチャは有効活用できます。
今回紹介した内容も参考に、リキャプチャの基礎を押さえるとともに、目的に応じて活用し、効果的なセキュリティ強化につなげていきましょう。
本記事が皆様にとって少しでもお役に立てますと幸いです。
「フリーランスボード」は、数多くのフリーランスエージェントが掲載するITフリーランスエンジニア・ITフリーランス向けの案件・求人を一括検索できるサイトです。
開発環境、職種、単価、稼働形態、稼働日数など様々な条件から、あなたに最適なフリーランス案件・求人を簡単に見つけることができます。
単価アップを目指す方や、自分の得意なスキルを活かせる案件に参画したい方は、ぜひ「フリーランスボード」をご利用ください。
自身に最適なフリーランスエージェントを探したい方はこちらよりご確認いただけます。